Das Wichtigste zur neuen Datenschutz-Grundverordnung

Transkript

1 Das Wichtigste zur neuen Datenschutz-Grundverordnung RA Mag. Peter Harlander IT- und Marketingrecht (z.b. Urheber-, Marken-, Wettbewerbs-, E-Commerce-Recht) Gesellschaftsrecht Vertragsrecht (z.b. AGB, Agenturverträge, Lizenzund Wartungsverträge) Arbeits- und Werkvertragsrecht (z.b. Arbeitsverträge, Subunternehmerverträge) Gewährleistungs- und Schadenersatzrecht Inkasso (c) RA Mag. Peter Harlander 1

2 DSGVO Richtlinie 95/46/EG - Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. - Richtlinie = nationale Umsetzung erforderlich DSG 2000 DSGVO ab dem EU-Verordnung = unmittelbar anwendbar - 88 Seiten Punkte Begründung - 99 Artikel ZIELSETZUNG DER DSGVO Modernisierung > 2018 Stärkung und Präzisierung der Rechte der betroffenen Personen Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden Harmonisierung - Einheitlich innerhalb der gesamten EU - Nationale Abweichungen möglich - Auslegungshoheit des EuGH (c) RA Mag. Peter Harlander 2

3 GRUNDRECHT AUF DATENSCHUTZ Charta der Grundrechte der Europäischen Union 8 Schutz personenbezogener Daten - Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. SANKTIONEN bis 10 Mio. EUR bzw. 2% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) - z.b. technisch organisatorische Schutzmaßnahmen - Verzeichnis der Verarbeitungstätigkeiten - Datenschutz-Folgenabschätzung bis 20 Mio. EUR bzw. 4% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) - z.b. Grundsätze (Art. 5) - Rechtmäßigkeit - Einwilligung - Rechte Betroffener - Drittlandsübermittlung - Zusammenarbeit mit Aufsichtsbehörde (c) RA Mag. Peter Harlander 3

4 HANDLUNGSBEDARF Ende der Insel der Seeligen Evaluierung der notwendigen Maßnahmen Umsetzung der notwendigen Maßnahmen Kurze Frist bis zum VERARBEITUNG PERSONENBEZOGENER DATEN Grundsätzlich verboten Sofern nicht ausnahmsweise erlaubt (c) RA Mag. Peter Harlander 4

5 GRUNDSÄTZE Rechtmäßigkeit Verarbeitung nach Treu und Glauben Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht EINWILLIGUNG DES BETROFFENEN Sehr formalistisch & umfangreich (c) RA Mag. Peter Harlander 5

6 VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN Löst bisherige Meldeverpflichtung ab, Entfall der DVR-Nummer Ab 250 Mitarbeiter ODER Risiko für die Rechte und Freiheiten der betroffenen Personen ODER nicht nur gelegentliche Verarbeitung ODER Verarbeitung sensibler Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten DATENSCHUTZ- FOLGEABSCHÄTZUNG Bei - Profiling etc - Verarbeitung sensibler Daten oder strafrechtlichen Daten - Systematischer Überwachung öffentlich zugänglicher Bereiche Falls hohes Risiko - Vorherige Konsultation der Aufsichtsbehörde (c) RA Mag. Peter Harlander 6

7 TECHNISCH-ORGANISATORISCHE MASSNAHMEN Gewährleistung eines dem Risiko angemessenen Schutzniveaus Umsetzung durch geeignete technische und organisatorische Maßnahmen, die getroffen werden unter Berücksichtigung - des Stands der Technik, - der Implementierungskosten - der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung - sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten INFORMATIONSPFLICHTEN Informationen für den Fall, dass die Daten bei der betroffenen Person erhoben wurden Informationen für den Fall, dass die Daten NICHT bei der betroffenen Person erhoben wurden Zum Zeitpunkt der Erhebung Bei Änderung des Verarbeitungszwecks (c) RA Mag. Peter Harlander 7

8 AUSKUNFTSPFLICHTEN Umfassende Informationen Kopie der Daten Bei Übermittlung in Drittstaaten die zugrundeliegenden Garantien SONSTIGE BETROFFENENRECHTE Recht auf Berichtigung Recht auf Löschung ("Recht auf Vergessenwerden") Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht (c) RA Mag. Peter Harlander 8

9 MELDE- UND BENACHRICHTIGUNGSPFLICHT Bei Verletzung des Schutzes personenbezogener Daten - Meldung an die Aufsichtsbehörde (außer kein Risiko) - Benachrichtigung der Betroffenen (sofern hohes Risiko) PROFILING Recht auf Darlegung des eigenen Standpunkts, eine Entscheidung durch einen Menschen und eine Anfechtung der Entscheidung (c) RA Mag. Peter Harlander 9

10 AUFTRAGSVERARBEITER Hinreichende Garantien für geeignete technische und organisatorische Maßnahmen als Voraussetzung für Beauftragung (z.b. Zertifizierung) Verpflichtende Vertragsinhalte Warnpflichten des Auftragsverarbeiters Genehmigungs- und Mitteilungspflicht bei Heranziehung von Subunternehmern, Haftung für Subunternehmer Haftung solidarisch mit dem Verantwortlichen BEI FRAGEN Mag. Peter Harlander Rechtsanwalt & IT-Sachverständiger - Ignaz-Rieder-Kai 17 - A-5020 Salzburg (662) office@lawoffice.at - (c) RA Mag. Peter Harlander 10