Inhalt. Vorwort... VII. Abkürzungsverzeichnis

Transkript

1 Inhalt Vorwort... VII Abkürzungsverzeichnis... XIX 1. Schnelleinstieg die wichtigsten Fragen im Überblick Was beinhaltet die EU-Datenschutzreform und wie kann ich mich darauf vorbereiten? Besteht Meldepflicht der Datenverarbeitung beim Datenverarbeitungsregister? Ist die Verarbeitung und Übermittlung von Kunden- und Mitarbeiterdaten zulässig? Entspricht die Zustimmungserklärung zur Datenverarbeitung der aktuellen Judikatur? Sind die durchgeführten Marketingmaßnahmen zulässig? Outsourcing: Wurde ein Dienstleistervertrag abgeschlossen? Ist unser Unternehmensnetzwerk ein genehmigungspflichtiges Informationsverbundsystem? Wir haben eine Videoüberwachung im Betrieb. Was ist zu tun? Wie weit darf man seine Mitarbeiter im Betrieb kontrollieren? Benötigen wir einen betrieblichen Datenschutzbeauftragten? Was ist zur Daten- und Informationssicherheit zu beachten? Hilfe, wir haben einen Datenmissbrauchsfall! Datenschutzrecht interessiert mich nicht? Grundbegriffe und Definitionen des Datenschutzgesetzes Entwicklung und Struktur des Datenschutzrechts Das künftige EU-Datenschutzrecht Status und Zeithorizont für die Einführung Künftige Strafhöhe Anwendungsbereich der EU-Datenschutzreform Sachlicher und örtlicher Anwendungsbereich Definitionen Grundprinzipien der Datenverarbeitung Rechtmäßigkeit der Verarbeitung Informationspflichten Betroffenenrechte Pflichten des Auftraggebers Gemeinsam verantwortliche Auftraggeber Dienstleister (Auftragsverarbeiter) Dokumentation Datensicherheit und Datenmissbrauch IX

2 Datenschutz-Folgenabschätzung (Data Protection Impact Assessment) Vorabgenehmigung und vorherige Konsultation Datenschutzbeauftragter Verhaltensregelungen Datenübermittlung in Drittstaaten Datenschutzbehörde One-Stop-Shop Beschwerde- und Klagsrechte Schadenersatz Strafen Details Ausnahmen von der DSGVO Delegierte oder implementierende Rechtsakte Inkrafttreten und Anwendbarkeit Praktische Vorbereitung auf die neue Rechtslage Risikobasierter Compliance-Ansatz Compliance bei neuen und künftigen Projekten Grundrecht auf Datenschutz und Grundprinzipien Grundrecht auf Datenschutz Grundprinzipien des Datenschutzes Trennung öffentlicher/privater Bereich Sachlicher Anwendungsbereich des DSG Natürliche und juristische Personen, Personengemeinschaften Automationsunterstützte und manuelle Dateien Räumlicher Anwendungsbereich des DSG Definitionen Daten und sensible Daten Normale personenbezogene und indirekt personenbezogene Daten Sensible Daten Datenanwendung Die drei Akteure : Betroffener, Auftraggeber, Dienstleister Informationsverbundsystem Zustimmung Meldung beim Datenverarbeitungsregister Das Datenverarbeitungsregister Wann besteht Meldepflicht? Grundregel Ausnahmen Ausnahme Standardanwendungen Schema der Standardanwendungen SA001 Rechnungswesen und Logistik SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse SA003 Mitgliederverwaltung SA007 Verwaltung von Benutzerkennzeichen SA022 Kundenbetreuung und Marketing für eigene Zwecke SA033 Datenübermittlung im Konzern X

3 3.2.4 Vereinfachte Meldung: Musteranwendungen Musteranwendungen allgemein Musteranwendung Zutrittskontrolle DVR-Meldungen Einsicht in das Datenverarbeitungsregister Anmeldung bei DVR-Online Anmeldung als Vertreter Anmeldung als berufsmäßiger Parteienvertreter Meldung des Auftraggebers Erstmeldung Änderungsmeldung Streichungsmeldung Meldung der Datenverarbeitung Notwendiger Inhalt der Meldung Erstmeldung Änderungsmeldung Streichungsmeldung Angaben zu den ergriffenen Datensicherheitsmaßnahmen Meldung Musteranwendung Ablauf des Meldeverfahrens Sofortiger Vollbetrieb Ausnahme: Vorabkontrollverfahren Prüfungs- und Verbesserungsverfahren Eintragung der Meldung Eintragung Auflagen Registerauszug, DVR-Nummer Richtigstellung des Registers Führen der DVR-Nummer, Offenlegungspflicht Meldepflichtige Datenanwendungen Nicht-meldepflichtige Datenanwendungen Zulässigkeit der Verarbeitung von Daten Einleitung Grundsätze jeder Datenverwendung Grundsatz von Treu und Glauben und Rechtmäßigkeit Zweckbindungsgrundsatz Wesentlichkeitsgrundsatz Grundsatz der sachlichen Richtigkeit und Aktualität Grundsatz der Datenlöschung Zusammenfassung der Grundsätze, Checkliste Zulässigkeit der Verwendung von Daten Grundsatz: Verbot der Datenverarbeitung Zweck und Inhalt der Datenanwendung Gesetzliche Zuständigkeiten/rechtliche Befugnisse Schutzwürdige Geheimhaltungsinteressen Schutzwürdige Geheimhaltungsinteressen bei Verwendung nichtsensibler Daten XI

4 Ausdrückliche gesetzliche Ermächtigung oder Verpflichtung Zustimmung des Betroffenen Lebenswichtige Interessen Überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten Daten sind veröffentlicht Daten sind nicht personenbezogen Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten Erforderliches Ausmaß/gelindestes Mittel Prüfschema Zulässigkeit der Datenverarbeitung Zulässigkeit der Datenübermittlung Übermittlung innerhalb des Unternehmens, Österreichs und der EU Arten von Übermittlungen Zulässigkeit der Übermittlung Daten aus zulässiger Datenanwendung Glaubhaftmachung der rechtlichen Befugnis Schutzwürdige Geheimhaltungsinteressen Prüfschema Zulässigkeit der Datenübermittlung innerhalb des Unternehmens, Österreichs und der EU Übermittlung außerhalb der EU Materielle Ausnahmen von der Meldepflicht Gleichgestellte Drittstaaten Safe Harbor Standardvertragsklauseln Standardvertragsklauseln Verarbeiter Gewöhnliche Klauseln Ungewöhnliche Klauseln Standardvertragsklauseln der ICC Standardvertragsklauseln Dienstleister Gewöhnliche Klauseln Ungewöhnliche Klauseln Einschaltung von Sub-Dienstleistern Zusammenfassung Verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules) Genehmigung durch die Datenschutzbehörde Genehmigungsvoraussetzungen Genehmigungsverfahren Gesamtprüfschema Problem Zustimmungserklärung Notwendigkeit einer Zustimmung Formulierung der Zustimmungserklärung Gesetzliche Bestimmungen Rechtsentwicklung XII

5 Bundeskanzleramt Judikatur des OGH Merkur-Entscheidung AGB-der-Banken-Entscheidung I Mobilpoints-Entscheidung AGB-der-Banken-Entscheidung II Kreditvertragsklauseln GE Money Bank Klausel in AGB betreffend Kfz-Finanzierungsleasing AGB Finanzierungsleasing I AGB Finanzierungsleasing II Klauselprüfung Telekommunikationsvertrag ORF-Shop-AGB Lösungsvorschläge Zusammenfassung Judikatur Musterklausel Muster korrekte Klausel Typische Fehler bei der Formulierung von Zustimmungserklärungen Text von Dritten abgeschrieben Zustimmungsklausel zu weit Übermittlung in andere Geschäftsfelder übersehen Datenarten nicht genau beschrieben Zweck nicht genau beschrieben Empfänger nicht genau bezeichnet Hinweis auf Widerruf vergessen Text nicht richtig platziert Sonstige rechtliche Formalitäten nicht beachtet Zustimmung in Privacy Policies Outsourcing: Einsatz von Dienstleistern Definition Dienstleister Zulässigkeit der Datenüberlassung an Dienstleister Dienstleisterpflichten, Dienstleistervertrag Dienstleisterpflichten Cloud Computing Allgemeines Wichtige Klauseln Internationaler Datenverkehr, Subdienstleister Haftung Dienstleistervertrag Prüfschema Datenüberlassung an Dienstleister Videoüberwachung Definition Videoüberwachung Meldepflichtige Videoüberwachungssysteme Ausnahmen von der Meldepflicht Verschlüsselung der Daten Standardanwendung XIII

6 8.3 Sonstige Bestimmungen Protokollierungspflicht Kennzeichnungspflicht Auskunftspflicht Übergangsbestimmung Prüfschema Meldung einer Videoüberwachung nach dem DSG Judikatur zu Videoüberwachung Judikatur des OGH Kamera-Attrappen Überwachung eines fremden Hausdachs Überwachung des Hausgangs Judikatur der früheren Datenschutzkommission (DSK) Qualitätschecks Webcam Videoüberwachung zur Gewinnung von Beweismitteln für einen Zivilrechtsstreit Sonstige Judikatur Umfang der Standardanwendung Videoüberwachung: Bebautes Privatgrundstück Patientenüberwachung mittels Videoüberwachung Arbeitnehmerdatenverarbeitung Arbeitnehmerdatenverarbeitung und Arbeitsverfassungsrecht Allgemeines Mitwirkung und Mitbestimmung der Belegschaft im Unternehmen Intensität der Mitwirkung Bereiche der Mitwirkung der Belegschaft Betriebsvereinbarungen Zustimmungspflichtige Maßnahmen Personalfragebögen Kontrollmaßnahmen und technische Systeme Grundlegende Bemerkungen Elektronische Zeiterfassung und Anwesenheitskontrolle Telefonüberwachung Videoüberwachung Personaldatensysteme und Personalbeurteilungssysteme Personaldatensysteme Personalbeurteilungssysteme Whistleblowing-Hotlines Allgemeines Richtlinien zur Einführung von Whistleblowing-Hotlines Auftraggeber der Datenanwendung Zulässigkeit von Whistleblowing-Hotlines Betroffene der Datenanwendung Zulässige Datenarten Konzerninterne Übermittlung der Meldungen, Beauftragung eines Dienstleisters XIV

7 Aufbewahrungsdauer der Daten Abschluss einer Betriebsvereinbarung Kontrolle von und Internet am Arbeitsplatz Allgemeines Kontrolle durch den Arbeitgeber Berührung der Menschenwürde Verbot der Privatnutzung Zulässige Privatnutzung Drei-Stufen-Modell Zusammenfassung IT-Policy, Enduser-Vereinbarung Inhalt Regelungsvorschlag private - und Internetnutzung Social Networks Forensische Untersuchungen Bring your own device BYOD Werbemaßnahmen und Datenschutz Bewerbung eigener Kunden Allgemeiner rechtlicher Rahmen Besondere gesetzliche Bestimmungen für Werbung durch Telekommunikationsmittel Werbung (Spamming) TKG Informationspflichten nach dem MedienG und nach dem UWG Informationspflichten nach dem E-Commerce-Gesetz Pflicht zur Offenlegung der Identität des Auftraggebers nach 25 DSG Weitere Schnittstellen zwischen TKG und Datenschutz Cookies und Behavioral Advertising Der Rechtsrahmen Die Umsetzung der RL 2009/136/EG in das TKG Logfiles Location Based Services (Standortdaten) Einsatz von Dienstleistern Bewerbung fremder Kunden mittels Adressverlagen und Direktmarketingunternehmen Begriff Adressverlag und Direktmarketingunternehmen Tätigkeit von Adressverlagen und Direktmarketingunternehmen Datenermittlung Datenverwendung Informationspflicht Auskunfts- und Löschungspflichten, Robinson-Liste Verkauf der eigenen Kundendaten Standesregeln für Adressverlage und Direktmarketingunternehmen Strukturierung von Marketingdatenbanken XV

8 10.6 Big Data Definition Datenschutzprobleme von Big Data Pseudonymisierte oder anonymisierte Daten? Zweckbindung? Datenschutzrechtliche Lösungsansätze für Big Data Zustimmung Wissenschaftliche Forschung und Statistik Zusammenfassung der Lösungsansätze Rechte, Pflichten und Sanktionen nach dem Datenschutzgesetz Pflichten des Auftraggebers und Dienstleisters Datensicherheitsmaßnahmen ( 14 DSG) Datengeheimnis ( 15 DSG) Informationspflicht bei Datenmissbrauch ( 24 Abs 2a DSG) Pflicht zur Verständigung Ausnahmen von der Informationspflicht Keine Pflicht zur Meldung an die Behörde Sonderregelung im Bereich Telekommunikation Betroffenenrechte Auskunftsrecht ( 26 DSG) Richtigstellungs- und Löschungsverpflichtung ( 27 DSG) Widerspruchsrecht ( 28 DSG) Rechtsschutz Kontrollbefugnisse der Datenschutzbehörde Beschwerde an die Datenschutzbehörde Anrufung der Gerichte Schadenersatz Recht auf Wahrung der Privatsphäre nach 1328a ABGB Das Rechtsmittelverfahren vor dem Bundesverwaltungsgericht Beschwerdegegenstand und die Zuständigkeit Beschwerdelegitimation Das Verfahren vor dem Bundesverwaltungsgericht Das Verfahren für Bescheidbeschwerden Das Verfahren für Säumnisbeschwerden Strafen Strafen nach dem Strafgesetzbuch Strafen nach dem DSG Verwaltungsstrafbestimmungen nach dem DSG Sonstige Risiken Klage wegen unlauterem Wettbewerb Negative Publicity European Privacy Seal (EuroPriSe) Einleitung Zertifizierungsprozess Auswahl akkreditierter Experten Abschluss einer Zertifizierungsvereinbarung Vereinbarung des Target of Evaluation XVI

9 Evaluierung durch die Experten Einreichung des Evaluierungsberichts und Zertifizierung Zweck und Nutzen von EuroPriSe Kosten der Zertifizierung Betrieblicher Datenschutzbeauftragter Position und Qualifikation Aufgabenbereich Aus- und Weiterbildung Literatur Nationale und internationale Seminare und Konferenzen Websites und Newsletter mit einschlägigen Informationen Behörden, Verbände und Interessenvertretungen Aufbau der Datenschutzorganisation Interner Datenschutzbeirat Top-Down-Modell Bottom-Up-Modell Kombinationsmodell Vorschlag für die inhaltliche Arbeit des DSB Wichtige Fragen, die immer vom DSB zu stellen sind Anlaufstelle für Betroffenenrechte Gestaltung von Mitarbeiterschulungen Das erste Jahr als Datenschutzbeauftragter Aufbau der rechtlichen Prüfung Informationen über sämtliche Datenanwendungen beschaffen und auswerten Mit beschafften Informationen DVR-Meldepflicht prüfen Für DVR-Meldung notwendige Beilagen prüfen Für internationalen Datenverkehr notwendige Unterlagen prüfen Informationen, die zu Dienstleistern beschafft wurden, aufarbeiten Sonstige Prüfung Für die Zukunft Datenschutzhandbuch Datenschutz und Informationssicherheit Grundbegriffe und Ausgangslage Begriff der Informationssicherheit Datenschutzanforderungen an die Informationssicherheit Was sollte der Datenschutzbeauftragte über Informationssicherheit wissen? Grundlagen der Informationssicherheit Einführung in das Thema Was charakterisiert die Informationssicherheit? Informationssicherheits-Standards Informationssicherheits-Managementprozess Schutzziele der Informationssicherheit Die wichtigsten Säulen der Informationssicherheit Scope (Anwendungsbereich) XVII

10 13.5 Informationssicherheit und Datenschutz sind Chefsache Sicherheits- und Datenschutzkultur Sicherheitsziele Schutzbedarf Informationssicherheitspolitik Sicherheitsrichtlinien Organisation der Sicherheit Verantwortlichkeiten Audit Ist-Analyse Gap-Analyse Assetmanagement Datenklassifizierung Vertraulichkeitsklassifizierung Verfügbarkeitsklassifizierung Sicherheitszonen Risikomanagement Definitionen Sinn eines Risikomanagements Problematik beim Risikomanagement Risikomanagement aus Datenschutzsicht Risikomanagement: Praktischer Lösungsansatz in sieben Schritten Resümee zum Risikomanagement Notfallsmanagement Informationssicherheitshandbuch Awareness Compliance Informationssicherheitshandbuch Awareness Compliance Zusammenarbeit Datenschutzbeauftragter Informationssicherheits-Manager Technik und Organisation Nichts vergessen Ausblick Anhang Standardanwendungen SA001 Rechnungswesen und Logistik SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse SA003 Mitgliederverwaltung SA007 Verwaltung von Benutzerkennzeichen SA022 Kundenbetreuung und Marketing für eigene Zwecke SA032 Videoüberwachung SA033 Datenübermittlung im Konzern SA036 Hinweisgebersysteme gemäß 99g BWG Literatur Stichwortverzeichnis XVIII