Kundendaten und DSGVO

Transkript

1 Kundendaten und DSGVO Alte Daten unter dem DSG, Neue Daten unter der DSGVO? Grundsätze zur Erhebung und Verarbeitung personenbezogener Daten: - Erhebung für festgelegte, eindeutige und legitime Zwecke - Verarbeitung auf rechtmäßige Weise und nach Treu und Glauben Diese Grundsätze wurden von der Was DS-Richtline gilt es übernommen zu beachten? und in der DSGVO weiter fortgeschrieben (Art 5 DSGVO) Dazu: Weitergehende Vorgaben unter der DSGVO Grundsatz der Datenminimierung Grundsatz der Datenrichtigkeit Grundsatz der Speicherdauerbegrenzung Der erste Tag unter der DSGVO: Grundsatz der Datenintegrität und Datenvertraulichkeit -> Übergang von Richtlinie zur DSGVO bedeutet Alte Daten im neuen Gewand 2017 schoenherr 1

2 Modul VII: Der Übergang in die DSGVO ein Überblick Das Wirken der Datenschutzbehörde: Wie wirken Genehmigungsbescheide und anhängige Verfahren fort? Wie ist das Datenverarbeitungsregister künftig zu werten? Datenschutzverletzungen im Übergang zur DSGVO: Wie werden Datenschutzverletzungen im Übergangszeitpunkt gewertet? Welches Strafregime kommt zur Anwendung? Die Spruchpraxis der Datenschutzbehörde: Wirkt die datenschutzbehördliche Spruchpraxis unter der DSGVO fort? Rechtsvorteilhafter Einsatz der datenschutzbehördlichen Judikatur unter der DSGVO? 2017 schoenherr 2

3 Übergangsbestimmung des DSG schoenherr 3

4 Übergangsbestimmung des DSG DSG 2018 Maßgebliche Regelung zu Verfahren und Bescheiden: Zum Inkrafttreten des DSG 2018 anhängige Registrierungsverfahren gelten als eingestellt (auch Vorabkontrollverfahren) Ebenso gelten zum Inkrafttreten des DSG 2018 anhängige Genehmigungsverfahren als eingestellt: Genehmigungsverfahren im internationalen Datentransfer ( 13 DSG) Genehmigungsverfahren zur wissenschaftlichen Forschung und Statistik (Zustimmungssubstitution; 46 DSG) Genehmigungsverfahren zur Zurverfügungstellung von Adressdaten zur Betroffenenbenachrichtigung (Zustimmungssubstitution; 47 DSG) Ausnahme: Genehmigungsverfahren gelten nicht als eingestellt, wenn Genehmigung auch unter DSG 2018 oder unter DSGVO erforderlich ist Sonstige datenschutzbehördliche und gerichtliche Verfahren sind nach Bestimmungen des DSG 2018 und der DSGVO fortzuführen Rechtskräftig erteilte Genehmigungen bleiben unberührt 2017 schoenherr 4

5 Übergangsbestimmung des DSG DSG 2018 Maßgebliche Regelung zum Datenverarbeitungsregister Datenverarbeitungsregister wird bis zu Archivzwecken fortgeführt Keine Eintragungen oder inhaltliche Änderungen mehr erlaubt Registrierungen werden gegenstandslos Jedermann darf in Register Einsicht nehmen Registrierungsakt und im Akt befindliche Genehmigungsbescheide: Einsichtnahme, wenn Einsichtswerber als betroffene Person Einsichtsinteresse glaubhaft macht Überwiegende schutzwürdige Geheimhaltungsinteressen des Verantwortlichen (Auftraggeber) dürfen der Einsicht nicht entgegenstehen 2017 schoenherr 5

6 Übergangsbestimmung des DSG DSG 2018 Maßgebliche Regelung zu Datenschutzverletzungen: Verletzungen des DSG 2000, die zum Zeitpunkt des DSG 2018 nicht anhängig gemacht wurden sind nach der Rechtslage nach Inkrafttreten dieses Bundesgesetzes zu beurteilen Nach dem DSG 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen 2017 schoenherr 6

7 "DSG 2000-Verfahren" 2017 schoenherr 7

8 Wirken der Datenschutzbehörde Rechtskräftige Bescheide, erledigte Verfahren DSG 2018: Rechtskräftige Genehmigungen bleiben unberührt Art 46 Abs 5 DSGVO bzw ErwGr 171: Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden. In Kraft (DSGVO) bzw unberührt (DSG 2018) bedeutet Rechtfertigungsgrund 2017 schoenherr 8

9 Wirken der Datenschutzbehörde Rechtskräftige Bescheide, erledigte Verfahren Beispiel: Datenschutzbehörde genehmigt internationalen Datentransfer auf Basis veränderter Standardvertragsklauseln Datentransfer begründet potentielle Strafbarkeit unter DSG 2018: Datenübermittlung in Verletzung des Datengeheimnisses Datentransfer begründet potentielle Strafbarkeit unter DSGVO: Verletzung der Pflichten zu Datenübermittlung an internationale Datenempfänger (Arg: geänderte Standardvertragsklauseln qualifizieren als ad hoc Vertragsklauseln, die gem Art 46 Abs 3 der datenschutzbehördlichen Genehmigung bedürfen) Rechtskräftiger Bescheid unberührt bzw in Kraft = Rechtfertigung! Allerdings nur, solange sich Verarbeitungszweck, -umfang und empfänger nicht ändern Wichtig daher: Bescheiddokumentation, beständiges Monitoring! 2017 schoenherr 9

10 Wirken der Datenschutzbehörde Anhängige Verfahren Grundregel zu anhängigen Verfahren (vor allem: Gerichtsverfahren): Sind unter Bestimmungen des DSG 2018 und der DSGVO fortzuführen Vgl etwa Verfahren zu Schadenersatzfällen oder auf Datenherausgabe Grundregel zu Genehmigungsverfahren: Gelten als eingestellt Ausnahme: Genehmigung nach DSG 2018 oder DSGVO erforderlich Problem: Eigenbeurteilung, ob Verfahrensfortführung erforderlich Verfahren zur Zustimmungssubstitution bei wissenschaftlicher Forschung und Statistik und zur Betroffeneninformation erscheint schlüssig: kein Bruch zwischen DSG 2000 und DSG schoenherr 10

11 Wirken der Datenschutzbehörde Anhängige Verfahren Verfahren zur Genehmigung im internationalen Datentransfer: - Verfahren läuft weiter, wenn Genehmigungserfordernis unter der DSGVO (unter Berücksichtigung der DSGVO-Vorgaben) - Verfahren eingeleitet unter Standardvertragsklauseln, die auf DS-Richtlinie referenzieren - Art 46 Abs 5: Kommissionsfeststellungen bleiben in Kraft (dh, Standardvertragsklauseln bleiben in Kraft ) - Art 94: Verweise auf die DS-Richtlinie gelten als Verweise auf die DSGVO Achtung: gilt bei Verträgen nur, sofern von vertraglicher Auslegung getragen - Sind Standardvertragsklauseln nun Standarddatenschutzklauseln oder (bewilligungspflichtige) ad hoc Verträge? Rechtssicherheit: Wohl Antrag auf Verständigung zur Verfahrenseinstellung oder Feststellungsbescheid 2017 schoenherr 11

12 Wirken der Datenschutzbehörde Datenverarbeitungsregister Registrierungen werden gegenstandslos Gegenstandslosigkeit schlüssig, denn gesetzliche Konstruktion der Registrierung fällt weg Gegenstandslosigkeit bedeutet jedoch nicht Wirkungslosigkeit Fokus: Vorabkontrollpflichtige Registrierungen ( 18 DSG 2000), diese beinhalten aufsichtsbehördliche Kontrolle ErwGr 171: Genehmigungen wirken fort, sofern nicht aufgehoben Registrierung = Genehmigung? Aufhebung nur durch Behörde? Jedenfalls aber: DPIA Bewertung der Notwendigkeit und Verhältnismäßigkeit in Relation zu Verarbeitungszweck: Gestützt durch erfolgreich absolvierte Vorabkontrolle! 2017 schoenherr 12

13 Wirken der Datenschutzbehörde Datenverarbeitungsregister Archivfunktion bis Ende 2019, Einsicht für jedermann möglich Einsichtnahme in Registrierungsakt (und darin enthaltene Genehmigungsbescheide) erst nach Interessenabwägung zwischen Einsichtswerber (Betroffener) und Verantwortlichem (Auftraggeber) Zweiparteien-Verfahren, Parteiengehör des Verantwortlichen! Rechtliches Parteieninteresse evident (vgl Rechtfertigungswirkung des Genehmigungsbescheids) Wohl Verständigungspflicht der Datenschutzbehörde im Einsichtsfall, keine behördliche Eigenbeurteilung Wahrung des Parteiengehörs wohl durch mündliche Verhandlung! Entscheidung in Bescheidform aufschiebende Wirkung der Beschwerde? Usw schoenherr 13

14 Datenschutzverletzung im Übergang Grundregel Verletzungen nach DSG 2000, die zum Inkrafttreten des DSG 2018 nicht anhängig sind, sind nach neuer Rechtslage zu beurteilen Anhängig machen bedeutet wohl formelle Verfahrenseinleitung Das bedeutet: - Verletzung vor 25. Mai 2018 und - keine formelle Verfahrenseinleitung bedeutet: - Beurteilung der Verletzung unter DSGVO und/oder DSG 2018 Wichtig: Greift nur bei Fällen des Strafenkatalog unter 51, 52 DSG 2000 (Arg: Verletzungen nach dem DSG 2000) 2017 schoenherr 14

15 Datenschutzverletzung im Übergang Beispielfall 50d DSG 2000 sieht spezielle Kennzeichnungspflichten für Videoüberwachung vor 52 DSG 2000: Sanktioniert Verstoß gegen Kennzeichnungspflicht des 50d DSG DSG 2018 normiert ebenso Kennzeichnungspflicht für Videoüberwachung 62 DSG 2018 sanktioniert Verletzung der Kennzeichnungspflicht Zusätzlich 13 Abs 7 DSG 2018: Räumt bei Verletzung der Kennzeichnungspflicht spezifischen Auskunftsanspruch ein Ähnliche Spezifizierung: 50e ivm 26 DSG DSG 2000: Sanktioniert Verletzung des Auskunftsanspruchs (EUR 500) 2017 schoenherr 15

16 Datenschutzverletzung im Übergang Beispielfall Problem: 13 Abs 7 DSG 2018: Unbegründete Verweigerung des Auskunftsanspruchs bedeutet Auskunftsverweigerung gem Art 15 DSGVO Strafmaß: bis zu EUR 20 Mio / 4% Umsatz Rechtsdogmatische Kette: - Verletzung DSG 2000 liegt vor (Sanktionierung Kennzeichnungsverletzung und Sanktionierung von Auskunftsverletzung, die aus Kennzeichnungsverletzung entsteht - Kennzeichnungsverletzung unter DSG 2018 zwar höher sanktioniert, aber keine Sanktion unter DSGVO (denn diese regelt Videoüberwachung nicht) - DSG 2018 unterwirft zusätzlich kennzeichnungsspezifische Auskunftsverletzung der DSGVO Auskunftsverletzung vor 25. Mai 2018 nicht anhängig -> DSGVO Verfassungskonform? 2017 schoenherr 16

17 Spruchpraxis der Datenschutzbehörde Ein Auszug 2017 schoenherr 17

18 Bsp: HR-Datenübermittlung im Konzern 2017 schoenherr 18

19 Case Law Bsp: HR-Datenübermittlung im Konzern Ausgangslage: - Global agierender Konzern tauscht Mitarbeiterdaten aus - Regelmäßig: Konzerninterne "Matrixstruktur" - Matrix = Mitarbeiter ist mehreren funktionalen Vorgesetzten innerhalb der Konzerngruppe unterstellt 2017 schoenherr 19

20 Case Law Bsp: HR-Datenübermittlung im Konzern Herausforderung: - Befugnis zur Mitarbeiterdatenverwendung ergibt sich aus Arbeitsrecht und Arbeitsvertrag - Steht grds nur direktem Arbeitgeber zu - Arbeitsverträge üblicherweise mit lokaler Tochtergesellschaft - HR-Datenübermittlung muss "Drittvergleich" standhalten (DSGVO generelles Konzernprivileg) 2017 schoenherr 20

21 Case Law Bsp: HR-Datenübermittlung im Konzern DSB-Spruchpraxis: - Rechtlich muss sichergestellt werden, dass auch bei Kooperationen mit anderen Konzerngesellschaften, die grundsätzlichen Rechte zur Verwendung der Mitarbeiterdaten beim Arbeitgeber verbleiben = Exklusive Rechtestellung des Arbeitgebers hinsichtlich seiner Mitarbeiter - (Bisher) zwei Modelle: i. "Weisungsmodell": Ö. Arbeitgeberin erteilt an ihre Arbeitnehmer die Weisung, dass der in der Matrix funktional zuständige Vorgesetzte zwar Weisungen erteilen kann, aber der Vorgesetzte bei der österreichischen Arbeitgeberin immer die stärkere Befugnis hat (vgl DSB K /0006-DSK/2011) 2017 schoenherr 21

22 Case Law Bsp: HR-Datenübermittlung im Konzern - (Bisher) zwei Modelle: ii. "Arbeitsvertragsmodell": Bereits im Arbeitsvertrag erteilt der Mitarbeiter seine Einwilligung / Bereitschaft zur Entsendung an andere Gruppenunternehmen oder zum Abschluss eines Arbeitsverhältnisses mit diesen anderen Gesellschaften. Hierdurch sind die "Arbeitgeberkompetenzen" des österreichischen Arbeitgebers durch den Arbeitsvertrag definiert (DSB K /0009-DSK/2012) schoenherr 22

23 Case Law Bsp: HR-Datenübermittlung im Konzern Relevanz unter der DSGVO: - Österreichischer Arbeitgeber = Verantwortlich für "seine" HR-Daten - Weitergabe muss rechtskonform erfolgen auch innerhalb des Konzerns - DSB würde im Kontrollfall gleichen Maßstab anlegen (kein Grund für Abweichung von bisheriger Spruchpraxis) Dh im Konzernprojekt "Zentrale HR-Datenbank" udlg muss österr. Tochter erkennen, dass DSB zusätzliche Safeguards verlangt! 2017 schoenherr 23

24 Bsp: Hinweisgebersystem 2017 schoenherr 24

25 Case Law Bsp: Whistleblowing-System Ausgangslage: - Global agierender Konzern stellt Hinweisgebersystem zur Verfügung - Regelmäßig: Internationaler Datentransfer strafrechtlich relevanter Daten - Art 10 DSGVO: "Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. " 2017 schoenherr 25

26 Case Law Bsp: Whistleblowing-System Herausforderung: - Deckt Art 10 auch Daten, bei denen die betroffene Person lediglich der Tat verdächtig ist ab? Lit nicht einstimmig ABER: Österr Strafrecht argumentierbar "Nein" DSB-Registrierungen zeigen, dass Verarbeitung izm WB "nach dem Recht des Mitgliedstaats, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist." 2017 schoenherr 26

27 Case Law Bsp: Whistleblowing-System DSB-Spruchpraxis: - Selbstversprechen oder Bescheidauflagen im Sinn der Art 29- Datenschutzgruppe (WP 117)» Eskalationsszenario (nur bei leitenden Angestellten)» Speicherdauer» Nur bei maßgeblichen Verstößen» Anonym möglich, nicht forciert usw - "Geeignete Garantien" isd Art 10 DSGVO: Bescheidauflagen / Selfcommittment isd Art 29-WP 117? 2017 schoenherr 27

28 Case Law Bsp: Whistleblowing-System Relevanz unter der DSGVO: - Österreichischer Arbeitgeber = Verantwortlich für Teilnahme am Konzern- Whistleblowing-System - Achtung: Möglichkeit des "One-Stop-Shops" bei WB AT-Gesellschaft möglicherweise nur "Zaungast" - Dennoch: DSB würde im Kontrollfall gleichen Maßstab anlegen (kein Grund für Abweichung von bisheriger Spruchpraxis) Dh im Konzernprojekt "Whistleblowing-System" muss österr. Tochter erkennen, dass DSB (Art-29-Gruppe) zusätzliche Safeguards verlangt! 2017 schoenherr 28

29 Bsp: Cloudprovider 2017 schoenherr 29

30 Case Law Bsp: Cloudprovider Ausgangslage: - Cloudprovider befindet sich im EU-Ausland - Derzeit meist: Genehmigungsverfahren vor der DSB (C2P-Klauseln) Herausforderung: - Geeignete Garantien für internationalen Datentransfer künftig regelmäßig nicht verfahrensgegenständlich - Selbstbeurteilung des Inhalts der Standarddatenschutzklauseln (Anhang) 2017 schoenherr 30

31 Case Law Bsp: Cloudprovider DSB-Spruchpraxis: - "Die Genehmigung wird mit der Auflage erteilt, dass das in den Standardvertragsklauseln zugesicherte Sicherheitsniveau (technische und organisatorische Sicherheitsmaßnahmen der abgeschlossenen Standardvertragsklauseln und anderer einschlägiger Verträge) eingehalten werden muss. - Falls erkennbar ist, dass der Dienstleister oder seine Sub-Dienstleister allgemein nicht in der Lage ist, die Sicherheit ihrer Cloud-Technologie zu gewährleisten, muss das Dienstleistungsverhältnis gelöst werden." Relevanz unter der DSGVO: - Zu beachten bei Vertragsgestaltung (C2P-Standarddatenschutzklauseln; kommerzielle Ergänzung oder genehmigungspflichtiger Ad-hoc Vertrag) - Zu "leben" auch gegenüber Google/Amazon/Microsoft 2017 schoenherr 31

32 Thank you!

33 schoenherr is one of the top corporate law firms in central and eastern europe. With our wide-ranging network of offices throughout CEE/SEE, we offer our clients unique coverage in the region. The firm has a long tradition of advising clients in all fields of commercial law, providing seamless service that transcends national and company borders. Our teams are tailor-made, assembled from our various practice groups and across our network of offices. Such sharing of resources, local knowledge and international expertise allows us to offer the client the best possible service.