BigData RA Mag. Michael Lanzinger

Transkript

1 BigData 2017 RA Mag. Michael Lanzinger

2 Magister Who? RA Magister Michael Lanzinger Seit externer Lektor an der UNI Linz & Uni Graz LVAs im Bereich Zivil- & Internetrecht Seit WiFi- & BFI-Trainer Seit selbständiger Rechtsanwalt in Wels und Mitglied im Verein für Datenschutz und IT-Sicherheit

3 Datenschutzrecht (derzeit)

4 DSG 2000 Grundrecht auf Datenschutz 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz inhaltlich (Verfassungsbestimmung) Jeder hat Anspruch auf Geheimhaltung seiner Daten, insbesondere hinsichtlich Privat- & Familienleben Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist zb nicht gegeben, wenn Daten anonym sind Abs 2 regelt die Möglichkeit der Beschränkung des Grundrechtes durch den Gesetzgeber (zb wegen Schutz der Menschenrechte) 2 f DSG regeln Zuständigkeit & Anwendungsbereich

5 DSG 2000 Verwendung von Daten 6 ff DSG regeln die Verwendung von Daten Datenverwendung nur nach dem Gesetz, zu eindeutigen Zwecken und nur im Rahmen des Notwendigen Geheimhaltungsinteressen des Betroffenen sind zu wahren Auftraggeber muss über die entsprechenden Befugnisse zur Verarbeitung verfügen 8 f DSG regelt überdies das Geheimhaltungsinteresse bei sensiblen & nicht-sensiblen Daten

6 DSG 2000 Verwendung von Daten Geheimhaltungsinteresse bei sensiblen & nichtsensiblen Daten liegt insbesondere nicht vor, wenn der Betroffene sie selbst öffentlich macht (vgl. Soziale Netzwerke) oder sie ihm nicht zugeordnet werden können Kein Verletzung des Interesses außerdem, wenn Verarbeitung lebensnotwendig ist und Zustimmung nicht rechtzeitig eingeholt werden kann (zb Gesundheitsdaten)

7 DSG 2000 Datensicherheit 14 ff DSG regeln die Datensicherheit Der Datenverwender bzw Dienstleister hat die Daten nach dem technisch und wissenschaftlich aktuellen Stand zu sichern und vor Zugriffen (Hacks) zu schützen Schutz etwa durch Zugriffsberechtigungen, Programme und Protokollierung der Zugriffe Überdies unterliegen der Datenverwender und dessen Mitarbeiter nach 15 DSG dem Datengeheimnis

8 DSG 2000 Publizität von Datenanwendungen 16 ff DSG regeln die Publizität von Datenanwendungen Die Datenschutzbehörde hat ein Register über die Auftraggeber der Datenanwendungen zu führen, in welches Einsicht genommen werden kann Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu melden, insbesondere bei Verarbeitung sensibler Daten (DVR- Nummer)

9 DSG 2000 Publizität von Datenanwendungen Ausnahme zb bei öffentlich bekannten Daten oder einer Standardanwendung entsprechen, welche qua Verordnung als solche vorgesehen ist 19 DSG regelt Inhalt einer solchen Meldung: Name und Anschrift des Auftraggebers Nachweis über die rechtliche Befugnis zur Verarbeitung Zweck der Datenanwendung Kreis der Betroffenen Allgemeine Angabe über die getroffenen Maßnahme der Datensicherheit

10 DSG 2000 Rechte des Betroffenen 26 ff DSG regeln die Rechte des von Datenanwendungen Betroffenen Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese schriftlich verlangt wird und der Betroffene seine Identität nachweisen kann Ausgenommen sind Auskünfte die im überwiegenden Interesse geheim gehalten werden müssen (zb Bundesheer) oder die Geheimhaltung dem Schutz des Betroffenen selbst dient Weiters kann jeder Betroffene seine verarbeiteten Daten löschen und/oder richtigstellen bzw aktualisieren lassen

11 Datenschutzrecht (bald)

12 DatenschutzgrundVO Gemeinschaftsrecht im Datenschutz EU-VO 2016/679 vom zum Schutz der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in Österreich

13 DatenschutzgrundVO Was ändert sich? Grundsätze des Datenschutzes (zb Zweckbindung, Datensparsamkeit) erthalten und weiterentwickelt DSGVO gilt in der europäischen Union sowie für Unternehmen, die auf dem europäischen Markt tätig sind Anwendbar auf personenbezogene Daten außer diese betreffen persönlichen/familiären Bereich (sog. Haushaltsausnahme )

14 DatenschutzgrundVO Was ändert sich? Recht auf Vergessenwerden Erweiterung des Löschungsanspruches Weitergabe des Wunsches auf Löschung durch Datenverarbeiter Datenportabilität = gewünschte Datenweitergabe in strukturierter Form (zb bei Bankwechsel) Profiling = Persönlichkeitsbewertung Besondere Auskunftspflicht auch über technische Aspekte Besonderes Widerspruchsrecht des Betroffenen

15 DatenschutzgrundVO Was ändert sich? Privacy by Design/by Default = Verarbeitung möglichst weniger Daten als Grundeinstellung Data Breach Notification Duty Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen 72 Stunden Pflicht zur umfassenden Erteilung von Informationen zur Verletzung Datenschutz-Folgenabschätzung = Verarbeiter muss die Folgen der Daten-Verarbeitung für die Zukunft einschätzen

16 DatenschutzgrundVO Was ändert sich? Datenschutzbeauftragter Bei Datenverarbeitung durch Behörden/öffentliche Stellen Bei umfangreicher, regelmäßiger Beobachtung von Personen als Kerntätigkeit Bei Verarbeitung von sensiblen Daten als Kerntätigkeit Behördliches On-Stop-Shop-Prinzip Höhere Strafen Bußgelder: 4% globaler Jahresumsatz oder bis 20 Mio. Betroffene kann sich an Behörde oder Gericht wenden

17 DatenschutzgrundVO Was ist unklar? Lage in D Derzeit neues Datenschutzrecht in Vorbereitung Datenschutzbehörden gehen von (teilweiser) Unvereinbarkeit mit dem Verfassungsrecht und dem Europarecht aus Lage in Ö DSG tritt (dann) hinter DSGVO Möglichkeit zur Lückenfüllung, hier noch keine konkreten Vorhaben Erst nach Mai 2018 wird sich Praxis/Judikatur entwickeln

18 Datenschutzrecht (praktisch)

19 Im Unternehmen Was kann man gleich tun? Clean Desk Policy MitarbeiterInnen auf analogen Datenschutz schulen Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz Computer/Smartphones/Tablets sperren Security Policy lebendes Dokument welches Unternehmenspolitik zum Datenschutz & IT-Sicherheit abbildet zb Grundsätze zur Passwortvergabe, Umgang mit Devices im Außendienst, Verwendung von privaten Devices

20 Im Unternehmen Was kann man gleich tun? Datenschutzerklärung Warum? Bei Websites relevant Va Cookie-Erklärung nach TKG gefordert Weiters: Impressumspflichten nach ECG Datenschutzerklärung - Inhaltlich Wer verarbeitet die Daten/erfolgt eine Weitergabe? Welche Daten werden wie/zu welchem Zweck verarbeitet? Welche Cookies/Plugins werden verwendet? Wo kann ich mich über meine Daten informieren bzw diese löschen lassen?

21 DAVITS Verein für Datenschutz und IT-Sicherheit

22 Credits Vielen Dank!