Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

Transkript

1 Kurz und Kompakt: Das 1x1 der schutz- Grundverordnung (DSGVO) Dr. Peter Kubanek schutz-convention Wien Oktober 2017

2 ströme (personenbezogene ) Verantwortlicher (verarbeiter) > Pflichten Betroffener (quelle) > Betroffenenrechte Vertrag [Muster wko.at] Rechtsgrund: Einwilligung Vertragserfüllung Auftragsverarbeiter Dritter Vierter a) (Übermittlungsempfänger) b) (quelle) > Pflichten > (Pflichten) Dr. Peter Kubanek, Oktober Seite 2

3 Die wesentlichen Neuerungen im Überblick 25. Mai 2018: DSG 2000 wird zu DSGVO DS(-Anpassungs-)G 2018 für Öffnungsklauseln, zb: Einwilligung von Kinder (im www) ab 14 Jahren gültig (statt 16) Regelungen zur Bildverarbeitung/Videoüberwachung Organisatorisches zur schutzbehörde (DSB) [Juristische Personen?] NEU: Strafrahmen 10 Mio/ 20 Mio (bzw 2%/4% des weltweiten Umsatzes) DSG 2018: Strafbarkeit der juristischen Person Ermahnung / keine kumulierenden Strafen (EB) Dr. Peter Kubanek, Oktober Seite 3

4 Pflichten des Verantwortlichen Verantwortlicher (verarbeiter) > Pflichten Betroffener (quelle) > Betroffenenrechte Vertrag [Muster wko.at] Rechtsgrund: Einwilligung Vertragserfüllung Auftragsverarbeiter Vierter a) (Übermittlungsempfänger) b) (quelle) > Pflichten > Pflichten Dr. Peter Kubanek, Oktober Seite 4

5 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen NEU: Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) statt DVR-Meldung TIPP: Existierende DVR-Meldungen können via DVR-online exportiert werden NEU: Risikobasierter Ansatz für organisatorische Maßnahmen NEU: schutz-folgenabschätzung, wenn [+/- Liste d DSB] hohes Risiko oder in hohem Maß sensible oder Profiling (vertiefte) Risikoanalyse: Bewertung der Risiken Bewertung der Notwendigkeit und Verhältnismäßigkeit Maßnahmenplan Dr. Peter Kubanek, Oktober Seite 5

6 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen NEU: Koppelungsverbot für Einwilligungserklärungen NEU: schutzbeauftragter wenn die Kerntätigkeit in der umfangreichen und systematischen Überwachung Betroffener oder umfangreichen Verarbeitung sensibler besteht NEU: schutz durch Technik (privacy by design) durch Voreinstellungen (privacy by default) sicherungsmaßnahmen (technisch/organisatorisch) missbrauch: Info an Betroffene und DSB binnen 72h (außer keine Gefahr für Betroffene) Dr. Peter Kubanek, Oktober Seite 6

7 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen Betroffenenrechte NEU: Informationspflichten (schutzerklärung) Betroffenenrechte: Auskunft (NEU: binnen 1 Monat) Berichtigung Einschränkung/Löschung Widerspruch/Widerruf NEU: übertragbarkeit NEU: Beschwerdemöglichkeit Vertragliche Vereinbarung mit Auftragsverarbeitern Vertrag [Muster wko.at] Dr. Peter Kubanek, Oktober Seite 7

8 Grundsätze Rechtsgrund Verantwortlicher (verarbeiter) > Pflichten Betroffener (quelle) > Betroffenenrechte Vertrag [Muster wko.at] Rechtsgrund: Einwilligung Vertragserfüllung Auftragsverarbeiter Vierter a) (Übermittlungsempfänger) b) (quelle) > Pflichten > Pflichten Dr. Peter Kubanek, Oktober Seite 8

9 Grundsätze für ALLE anwendungen Rechtmäßigkeit (Rechtsgrund für die Verarbeitung) Einwilligung (Koppelungsverbot; nicht vorangekreuzt) Für Vertragserfüllung notwendig Für Erfüllung einer rechtlichen Verpflichtung notwendig Lebenswichtiges Interesse des Betroffenen / öffentliches Interesse Berechtigtes Interesse des Verantwortlichen (= Verarbeiter), sofern nicht Interessen des Berechtigten (an Geheimhaltung) überwiegen Transparenz, Treu und Glauben (Fairness) wer, was, warum, wozu, Betroffener muss informiert sein: wohin, wie lange keine vorangekreuzten Checkboxen; keine Koppelungen Zweckbindung Speicherbegrenzung (minimierung und Speicherdauer) richtigkeit sicherheit (Organisatorische und technische Schutzmaßnahmen) Auskunftspflicht (Rechenschaftspflicht) gegenüber DSB und Betroffenen Schulungs pflicht, Dokumentationspflicht (-> Verzeichnis) Dr. Peter Kubanek, Oktober Seite 9

10 Pflichten des Verantwortlichen im Detail Verantwortlicher (verarbeiter) > Pflichten Pflichten im Detail Betroffener (quelle) > Betroffenenrechte Vertrag [Muster wko.at] Rechtsgrund: Einwilligung Vertragserfüllung Auftragsverarbeiter Vierter a) (Übermittlungsempfänger) b) (quelle) > Pflichten > Pflichten Dr. Peter Kubanek, Oktober Seite 10

11 Informationspflichten bei erhebung (schutzerklärung) Name/Kontaktdaten (inkl schutzbeauftragter) Erhobene (nach Kategorien) [nach DSGVO nur, wenn nicht beim Betroffenen erhoben werden, aber Transparenz!] Zweck Rechtsgrund: berechtigtes Interesse, Vertragserfüllung, Gesetz [mehr nach DSGVO nicht zwingend, aber sinnvoll zu(r) Dokumentation/Beweiszwecken für Einwilligung/kein Erfordernis einer Einwilligung] Übermittlungsempfänger (Kategorien) Speicherdauer (Kriterien) Hinweis auf Betroffenenrechte Widerrufsrecht der Einwilligung (vorher) Gegebenenfalls: Information über Konsequenzen von Profiling Dr. Peter Kubanek, Oktober Seite 11 WER WAS WARUM WOZU WOHIN WIE LANGE

12 Verzeichnis der Verarbeitungstätigkeit (Verfahrensverzeichnis) gilt eingeschränkt auch für Auftragsverarbeiter Name/Kontaktdaten (inkl schutzbeauftragtem) Erhobene (nach Kategorien) nach DSGVO nur, wenn nicht beim Betroffenen erhoben werden, aber Transparenz!) Zweck Rechtsgrund: berechtigtes Interesse, Vertragserfüllung, Gesetz [mehr nach DSGVO nicht zwingend, aber sinnvoll zu(r) Dokumentation/Beweiszwecken für Einwilligung/kein Erfordernis einer Einwilligung] Übermittlungsempfänger (Kategorien) Speicherdauer (Kriterien) Betroffene (nach Kategorien) WER WAS WARUM WOZU WOHIN WIE LANGE Nach Möglichkeit: Beschreibung der sicherungsmaßnahmen Dr. Peter Kubanek, Oktober Seite 12

13 Betroffenenrechte im Detail Verantwortlicher (verarbeiter) > Pflichten Betroffener (quelle) > Betroffenenrechte Vertrag [Muster wko.at] Rechtsgrund: Einwilligung Vertragserfüllung Auftragsverarbeiter Vierter a) (Übermittlungsempfänger) b) (quelle) > Pflichten > Pflichten Dr. Peter Kubanek, Oktober Seite 13

14 Betroffenenrechte Auskunft (binnen 1 Monat) Berichtigung (von ) Einschränkung (der Speicherung) (insbes) wenn Rechtsgrund / Zweck weggefallen sind Löschung (von ) (insbes) wenn Rechtsgrund / Zweck weggefallen sind Widerspruch (zu einer Verarbeitung) (insbes) nicht, wenn zwingende Interessen (zb Vertragserfüllung, Verteidigung von Rechtsansprüchen) höher zu werten sind als Interessen des Betroffenen Widerrufsrecht (der Einwilligung) Beschwerdemöglichkeit (bei der DSB) übertragbarkeit (an Drittanbieter) Dr. Peter Kubanek, Oktober Seite 14

15 Infos auf wko.at Webshop: Broschüre wko.at, Startseite: Achtung: enthält (auch) geltendes Recht (DSG) DSGVO unter Änderungen durch die EU-schutz-Grundverordnung wko.at >Themen >Wirtschafts-u Gewerberecht: Checkliste inkl Kurzüberblick oder Suchpfad: >Übersicht >schutz Achtung: betrifft (auch) geltendes Recht (DSG) DSGVO unter Änderungen durch die EU-schutz-Grundverordnung Dr. Peter Kubanek, Oktober Seite 15

16 schutz = sicherheit Vielen Dank für Ihre Aufmerksamkeit. Dr. Peter Kubanek, Oktober Seite 16