Klaus Krohmann. Entwicklungen in der Datenschutz-Gesetzgebung Seite 1. März 2017

Transkript

1 NEUESTE ENTWICKLUNGEN IN DER DATENSCHUTZ-GESETZGEBUNG (INSB. SCHWEIZER DSG UND EU-DATENSCHUTZ-GRUNDVERORDNUNG) UND KONSEQUENZEN FÜR UNTERNEHMEN IN DER SCHWEIZ Klaus Krohmann Seite 1

2 ÜBERSICHT - INHALT Reform des EU-Datenschutzes Was ist wirklich neu? Geltungsbereich Wichtige Begriffe Grundsätze Ausgewählte Rechte und Pflichten Haftung und Sanktionen Fragen und Diskussion Seite 2

3 EU-DATENSCHUTZRICHTLINE / DSG 1994 Die EU-Datenschutzrichtlinie wurde Jahre 1995 erlassen. Im gleichen Jahr Siemens S3 mit SMS 66MHz Prozessor und 80 MB Festplatten Windows 95 Seite 3

4 ENTWICKLUNG DER DATENMENGEN Auf YouToube werden pro Minute 400 Stunden Videomaterial hochgeladen 205 Milliarden Mails werden pro Tag versendet Wikipedia enthält 5.35 Millionen Artikel Pro Minute kommen 217 neue Internetteilnehmer hinzu Bis 2020 werden 50 Milliarden Geräte mit dem Internet verbunden sein Seite 4

5 REFORM DES EU-DATENSCHUTZES Hintergrund der Reform Ziel der Reform Derzeit erlassen die 28 Mitgliedstaaten ihre eigenen Gesetze anhand der Datenschutzrichtlinien von 1995 (Richtlinie 95/46/EG). Als Resultat herrscht ein ungleiches Datenschutzniveau und die Durchsetzung ist begrenzt. Ziel der Reform durch die Datenschutz-Grundverordnung sind hohe Datenschutzstandards, die einheitlich in der ganzen EU gelten sollen und dem Internetzeitalter angemessen sind. Entwicklung (vereinfacht dargestellt) Vorschlag Gesetzesentwurf der EU- Kommission Intensive Lobbyarbeit Änderungsanträge Lesung vor EU-Parlament, Resultat: abgeänderte Version Gemeinsame Position zwischen EU-Rat und EU-Parlament gefunden Verabschiedung durch EU- Parlament und dem EU- Rat 2-jährige Übergangsperiode Inkrafttreten und direkte Anwendbarkeit 2012 März 2014 Sommer April Mai 2018 Seite 5

6 Was ist neu? Seite 6

7 NEUERUNGEN DER DSGVO Direkte Verbindlichkeit für die ganze EU Gleiche Gesetzesnormen für alle direkt anwendbar; jedoch mit Möglichkeit für länderspezifische Öffnungsnormen Strengere Bussgelder bis 4% des Jahresumsatzes des ganzen Konzerns! Dokumentationspflichten Insbesondere aus neuen Prinzipien der «Accountability» und «Privacy by design» Meldepflicht von Verletzungen «Incident Reporting» innerhalb von 72 Stunden Seite 7

8 UND DAS AUCH NOCH: Recht auf «Vergessenwerden» Vorschiften und zur Pflicht zur Löschung Recht auf Datenherausgabe Erweiterte Kompetenzen der Aufsichtsbehörden Beschränkte Pflicht für Einsetzung eines betrieblichen Datenschutzverantwortlichen Abschaffung formalistischer Meldepflichten Abschaffung des Schutzes von Daten juristischen Personen (für Österreich) Seite 8

9 WAS PLANT DIE SCHWEIZ? Neu Bussgelder bis zu CHF Dokumentationspflichten Insbesondere bei der Datenschutz-Folgeabschätzung Meldepflicht von Verletzungen Unbefugte Datenbearbeitung muss unverzüglich gemeldet werden Recht auf Löschung Erweiterte Kompetenzen der Aufsichtsbehörden Kein expliziter betrieblicher Datenschutzverantwortlicher Andere Meldepflichten Abschaffung des Schutzes von Daten juristischen Personen Seite 9

10 Anwendungsbereich Seite 10

11 RÄUMLICHER ANWENDUNGSBEREICH Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines Verantwortlichen mit Niederlassung in der EU eines Auftragsverarbeiters mit Niederlassung in der EU und zwar unabhängig davon, ob die Verarbeitung in der EU oder nicht stattfindet. Seite 11

12 EXTRATERRITORIALER ANWENDUNGSBEREICH Geltung auch für datenverarbeitende Stellen ausserhalb der EU: Anbieten von Waren oder Dienstleistungen an Personen in der EU (natürliche Personen, keine Zahlung erforderlich) Beobachtung des Verhaltens von Personen in der EU Bearbeiten von personenbezogener Daten von Personen in der EU im Auftrag Niederlassung in der EU keine Voraussetzung Beispiele Schweizer Firma bearbeitet im Auftrag einer Firma in der EU Daten (z.b. Headquater in der Schweiz speichert HR Daten einer Tochtergesellschaft in der EU) Internetangebote an EU-Bürger (Verarbeitung von personenbezogenen Daten von EU-Bürgern in CH) Schweizer Firma beobachtet Internetaktivitäten einer Person in der EU mit Hilfe von Datenverarbeitungstechniken zum Zwecke des Profilings (z.b. Auswertung des Einkaufverhaltens einer in der EU wohnhaften Personen) Seite 12

13 Wichtige Begriffe Seite 13

14 VERARBEITUNG ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, die Anpassung oder Veränderung, die Offenlegung durch Übermittlung, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Verwendung, das Auslesen, das Abfragen, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Seite 14

15 PERSONENBEZOGENE DATEN sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (in der Verordnung «betroffene Person«[Data Subject] genannt) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Seite 15

16 BESONDERE KATEGORIEN [SPECIAL CATEGORIES] Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Nationales Recht kann weitere Kategorien definieren Seite 16

17 RECHTMÄSSIGKEIT DER BEARBEITUNG VON PERSONENDATEN (VEREINFACHT) «normale» Personendaten Personendaten dürfen nur rechtmässig bearbeitet werden, d.h.: Einwilligung vorhanden Zur Abwicklung eines Vertrags oder vorvertragliche Abklärungen Zur Erfüllung rechtlicher Verpflichtungen Um lebenswichtige Interessen einer natürlichen Person zu schützen Für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt Zur Wahrung berechtigter Interessen Besondere Kategorien von Personendaten Die Verarbeitung Besonderer Kategorien personenbezogener Daten ist verboten, ausser: Ausdrückliche Einwilligung Erforderlich, um Rechte aus Arbeitsrecht und soziale Sicherheit wahrzunehmen Zum Schutz lebenswichtiger Interessen, wenn die Person keine Einwilligung geben kann Verarbeitung auf Grundlage ausreichender Garantien einer gemeinnützigen Organisation unter Beachtung weiterer Bestimmungen Von der betroffenen Person selbst öffentlich gemachte Daten Zur Ausübung von Rechtsansprüchen vor Gericht Aufgrund des Rechts eines Mitgliedstaats, öffentlichen Interesses und weiteren ähnlichen Gründen unter genauerer Umschreibung Seite 17

18 BESONDERS SCHÜTZENSWERTE PERSONENDATEN Besonders schützenswerte Personendaten: die rassische und ethnische Herkunft politische Meinungen religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit genetischen Daten, biometrischen Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über die Intimsphäre Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen Daten über Massnahmen der sozialen Hilfe Annahme einer Persönlichkeitsverletzung, wenn besonders schützenswerte Personendaten Dritten weiter gegeben werden Seite 18

19 PROFILING jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Seite 19

20 PSEUDONYMISIERUNG Ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Seite 20

21 Grundsätze Seite 21

22 9 GRUNDSÄTZE Rechtmässigkeit Speicherbegrenzung Rechenschaftspflicht Treu & Glauben Integrität und Vertraulichkeit Grundsätze des Datenschutzes Transparenz Datenminimierung Zweckbindung Richtigkeit Seite 22

23 9 GRUNDSÄTZE Rechtmässigkeit Einwilligung Treu & Glauben Integrität und Vertraulichkeit Sicherheit von Personendaten Grundsätze des Datenschutzes Transparenz / Erkennbarkeit Datenminimierung / Verhältnismässigkeit Speicherbegrenzung Zweckbindung Richtigkeit Seite 23

24 EXKURS: EINWILLIGUNG der betroffenen Person (Ausnahme Kinder) freiwillig für den bestimmten Fall in informierter Weise unmissverständlich abgegebene Einverständnis zur Verarbeitung Muss nachweisbar sein Ausdrücklich beim Datentransfer in Drittländer Insb. bei elektronischen Erklärungen: knapp und klar ohne Unterbruch des Dienstes Kann widerrufen werden (mit Wirkung für die Zukunft) Seite 24

25 EXKURS: EINWILLIGUNG der betroffenen Person (Ausnahme Kinder) freiwillig für den bestimmten Fall in informierter Weise unmissverständlich abgegebene (eindeutig) Einverständnis zur Verarbeitung Seite 25

26 PRIVACY BY DESIGN / PRIVACY BY DEFAULT Privacy by Design bedeutet Datenschutzprobleme schon bei der Entwicklung neuer Technologien feststellen und prüfen und den Datenschutz von vorneherein in die Gesamtkonzeption einbeziehen anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturprogramme beheben. Präoperative Beurteilung Beheben von Sicherheitslücken: Einbau des Datenschutzes in die Grundstruktur eines System Nutzung höchster Sicherheitsstandards von Anfang an Stetige Dokumentation der Technologien und Kalkulation der Sicherheitsrisiken Datenschutzfreundliche Voreinstellungen (z.b. Opt-in) Privacy by Default: Kompletter Schutz von Personendaten ohne Konfiguration Benachrichtigung der betroffenen Personen Koppelungsverbot (verhindert, dass Dienste durch Datensubjekte nur mit überschiessender Datensammlung genutzt werden können). Rechtlicher Rahmen: Notwendigkeit: Rechtfertigung der Bearbeitung der Personendaten durch einen spezifischen Zweck Sparsamkeit: Kein Sammeln auf Vorrat Löschfristen: Automatische Löschung von Personendaten und Verifizierung ihrer Aktualität Need-to know Prinzip: Kenntnis nur bei Bedarf Seite 26

27 Ausgewählte Rechte und Pflichten Seite 27

28 DOKUMENTATIONSPFLICHT DES VERANTWORTLICHEN Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. Seite 28

29 DOKUMENTATIONSPFLICHT DES VERANTWORTLICHEN Der Verantwortliche und der Auftragsbearbeiter sind weiter zu Folgenden verpflichtet: a. Sie dokumentieren ihre Datenverarbeitung b. [ Informationspflichten über Verarbeitung] Seite 29

30 ACTION POINT DOKUMENTATIONSPFLICHT Es sind die Datenverarbeitungen mit personenbezogenen Daten zu dokumentieren Die Datenverarbeitungen mittels einer Risikoabschätzung zu bewerten Die Risikoabschätzung ist zu dokumentieren Basierend auf der Risikoabschätzung sind adäquate technische und organisatorische Massnahmen zu treffen Die Hauptkriterien und wichtigsten Überlegungen für die Entscheidung sind zu dokumentieren Die korrekte Implementierung ist zu überprüfen Die Aktualität der Risikoabschätzung ist regelmässig zu überprüfen und allenfalls ist diese nachzuführen Die getroffenen Massnahmen werden regelmässig überprüft und ebenfalls bei Bedarf aktualisiert Seite 30

31 ACTON POINT - VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten mit folgenden Angaben: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personendaten Kategorien von Empfängern Dokumentierung geeigneter Garantien bei Übermittlung in ein Drittland Fristen für die Löschung der Datenkategorien Allgemeine Beschreibung der technischen und organisatorischen Massnahmen Seite 31

32 DATENSCHUTZ FOLGEABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Dies ist insbesondere nötigt bei: automatisierte Verarbeitung, inkl. Profiling besondere Kategorien personenbezogener Daten systematische Überwachung öffentlich zugänglicher Bereiche Seite 32

33 DATENSCHUTZ FOLGEABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Führt die vorgesehene Datenbearbeitung voraussichtlich zu einem erhöhtem Risiko für die Persönlichkeit oder die Grundechte der betroffenen Person, so muss der Verantwortliche oder der Auftragsbearbeiter vorgängig eine Datenschutz-Folgeabschätzung durchführen. Seite 33

34 ACTION POINT FOLGEABSCHÄTZUNG [PIA] De Facto ist bei jeder neuen Applikation und/oder jedem neuen Prozess zu dokumentieren, ob eine Datenschutz-Folgeabschätzung nötig ist. Dazu ist zu fragen: Werden Personendaten bearbeitet? Werden spezielle Kategorien von Personendaten bearbeitet? Werden die Personendaten automatisiert verarbeitet? Werden öffentlich zugängliche Bereiche systematisch überwacht? Wird durch die Bearbeitung der Personendaten das Risiko der betroffenen Person (wesentlich) erhöht? Falls mindestens eine der Fragen mit «Ja» beantwortet wird, muss entschieden werden ob eine Datenschutz-Folgeabschätzung durchgeführt werden soll. Wird entschieden davon abzusehen, ist der Entscheid kurz zu begründen. Werden die Fragen mit «Nein» beantwortet, ist auch dies zu dokumentieren. Seite 34

35 AUSKUNFTS-, HERAUSGABE- UND LÖSCH- BEGEHREN [SUBJECT ACCESS REQUEST] Recht auf Auskunft und Recht auf Datenübertragbarkeit Das Datensubjekt hat das Recht, von dem für die Verarbeitung Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob: Personenbezogene Daten verarbeitet werden oder nicht, und in verständlicher Sprache abgefasste Informationen bezüglich Datentransfer, gesammelten Kategorien, die Dauer etc. Werden personenbezogene Daten elektronisch verarbeitet, hat das Datensubjekt das Recht, eine Kopie der zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Recht auf Berichtigung und Löschung («Recht auf Vergessenwerden») Die betroffene Person kann vom Verantwortlichen die unverzügliche Löschung von sie betreffenden Daten verlangen, wenn einer der nachfolgenden Gründe vorliegt: Sie die Einwilligung widerruft und keine anderen Rechtfertigungsgründe vorliegen Bei gerechtfertigten Widersprüchen gegen die Verarbeitung Bei unrechtmässiger Verarbeitung Die Löschung rechtlich erforderlich ist Bei Diensten der Informationsgesellschaft für Kinder Die Löschung kann nicht verlangt werden, wenn die Verarbeitung für die freie Meinungsäusserung und Information nötig ist, rechtliche Pflicht ist, oder andern spezifisch erwähnten Gründen des öffentlichen Interesses oder zur Durchsetzung von Rechtsansprüchen. Seite 35

36 ACTION POINT - PROZEDUR BEI AUSKUNFT- BZW. LÖSCHUNGSANTRAG (BEISPIEL) Erhalt eine Begehrens (allgemeine Prüfung) 1 Weiterleitung an den (internen) Datenschutzverantwortlichen 2 Vorprüfung durch den (internen) Datenschutzverantwortlichen 3 Kontaktaufnahme mit dem Datensubjekt, Überprüfung der Identität und Einholen von weiteren Informationen oder Ablehnung der Anfrage sofern die gesetzlichen Anforderungen nicht erfüllt sind. Mögliche Ablehnungsgründe: Ablehnung ist mit anwendbarem Recht vereinbar Anfrage ist nicht dem Europäischen Datenschutzrecht unterstellt Entgegenstehende Geschäftsinteressen oder öffentliche Interessen Herkunft der Personendaten ist ausserhalb von Europa und die Auskunft erfordert ausserordentlichen Aufwand Auskunft über gespeicherte Personendaten a b Der (interne) Datenschutzverantwortliche durchsucht sämtliche System und Materialien nach Personendaten des Datensubjekts. Die Ergebnisse sind in einem gängigen und lesbaren Format zur Verfügung zu stellen. Die Informationen werden dem Datensubjekt mit einem Begleitschreiben als Antwort auf die Anfrage zugestellt. Kann die Informationen nicht oder nur mit grossem Aufwand aus dem System extrahiert werden, wird dem Datensubjekt kurzfristig Zugang zum entsprechenden System verschafft. Löschungsbegehren/Änderungsbegehren/Einstellung der Datenbearbeitung a b c Löschungsbegehren sind durch den (internen) Datenschutzverantwortlichen detailliert zu prüfen. Sofern dem Löschungsantrag zugestimmt werden kann, hat der (interne) Datenschutzverantwortliche die Löschung in die Wege zu leiten. Bei einem Änderungsantrag prüft der (interne) Datenschutzverantwortliche die bestehenden Informationen und fügt allfällige Änderungen ein. Bei einem Antrag über die Einstellung der Datenverarbeitung hat der der (interne) Datenschutzverantwortliche die Freiheitsrechte des Datensubjekts gegenüber dem Rechtsfertigungsgrund zu Bearbeitung der Daten abzuwägen. Sofern die Bearbeitung aufgrund einer gesetzlichen Bestimmung notwendig ist, wird der Antrag abgelehnt. Seite 36

37 ACTION POINT - MELDUNG VON VERLETZUNGEN [INCIDENT RESPONSE] Grundlagen Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden (CH: unverzüglich). Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten. Im Anschluss: Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung an die Aufsichtsbehörde unverzüglich das Datensubjekt, sofern der Schutz der personenbezogenen Daten, die Privatsphäre oder die Rechte des Datensubjektes durch eine Verletzung beeinträchtigt werden. CH: Information des Datensubjekts, wenn für es für dieses erforderlich ist oder der Beauftragte dies verlangt Inhalt der Benachrichtigung Die Benachrichtigung enthält mindestens: Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Datensubjekte, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze; Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners; eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; gegebenenfalls eine Beschreibung der vorgeschlagenen oder ergriffenen Massnahmen. Seite 37

38 ACTION POINT - VORBEREITUNGS- HANDLUNGEN FÜR MELDUNGEN Handlungen Inventar sämtlicher Systeme mit welchen personenbezogene Daten bearbeitet werden Klassifikation der Daten nach Sensibilität Kenntnis der Speicherorte von personenbezogenen Daten (gruppenintern inclusive extern) Identifizieren von Risikobereichen wie z.b. frei zugängliche Firmennetzwerke; portable elektronische Geräte (Laptop, Mobiltelefon, Harddisk) Regelmässige Durchführung von Schulungen der Arbeitnehmer zur Sensibilisierung (inklusive zur Verfügung stellen einer Ansprechperson) Erstellen einer Richtlinie zur Handhabung von Verletzungen Definieren der Verantwortlichen und Kompetenzen Zuteilung von Ressourcen Interner Informationsablauf [Breach response procedure] Kommunikationsprozess Sofortmassnahmen (Wiederherstellung des vorherigen Zustandes) Seite 38

39 ACTION POINT - CHECKLISTE BEI VORLIEGEN EINER VERLETZUNG (BEISPIEL) Mögliche Prüfungshandlungen /zu eruierende Informationen 1 Welche Daten und welche Datenkategorien sind betroffen? 2 Vorprüfung durch den (internen) Datenschutzverantwortlichen 3 Bei Datendiebstahl oder Verlust: Wurden die Daten gesichert z.b. verschlüsselt? 4 Was ist mit den Daten vorgefallen? Wurden die Daten gestohlen oder verloren? Ersteres setzt das Datensubjekt einem erheblich höheren Missbrauchsrisiko aus und erfordert entsprechend erhöhte Aufmerksamkeit. 5 Welche Informationen können aus den Daten durch einen Dritten über das Datensubjekt gelesen werden? Sind die Informationen über das Datensubjekt kritisch bzw. führt deren Veröffentlichung zu einer starken Persönlichkeitsverletzung? 6 Wie viele Datensubjekte sind betroffen? (muss nicht der entscheidende Faktor sein) 7 Wer sind die betroffenen Datensubjekte? Kunde, Arbeitnehmer, Zulieferer? Sofern es sich um externe Parteien handelt, besteht eine erhöhtes Risiko an Konsequenzen. 8 Welche Konsequenzen hat der Datenverlust für das Datensubjekt? Gefahr für Leib und Leben, Reputation, finanzieller Verlust? 9 Sind weiterreichende Konsequenzen zu befürchten (nicht nur für das Datensubjekt)? Öffentliche Gesundheit / Sicherheit? Seite 39

40 Haftung und Sanktionen Seite 40

41 HAFTUNG UND SANKTIONEN Haftung Jede Person, der wegen eines Verstosses gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen (Controller) oder gegen den Auftragsverarbeiter (Processor). Sanktionen Bei Verstößen gegen bestimmte Bestimmungen werden Geldbussen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Seite 41

42 SANKTIONEN (BEISPIELE) Mit Busse bis zu Franken werden private Personen bestraft, die ihre Melde- und Auskunftspflichten verletzten (Informationspflicht bei der Beschaffung, Informations- und Anhörungspflichten bei einer automatisierten Verarbeitung, Auskunftspflicht, Ergebnisse PIA, Bekanntgabe ins Ausland, falsche Angaben in Untersuchungen, Unterlassung von Meldung von Verletzungen) Ihre Sorgfaltspflichten verletzen (Unerlaubte Bekanntgabe ins Ausland, ungenügender Vertrag mit Auftragsbearbeiter, ungenügende IT Sicherheit, Nichtvornahme eines PIA, Dokumentation der Datenbearbeitung) Teilweise ist die Strafe nur auf Antrag auszusprechen. Wer fahrlässig handelt, wird mit einer Busse von höchstens Franken bestraft. Seite 42

43 Fragen und Diskussion Seite 43

44 KONTAKTDATEN KLAUS KROHMANN BDO AG Fabrikstrasse 50 CH-8031 Zürich Tel Mobile Seite 44