Schönherr Privacy Academy Modul I. - "What's New?" Günther Leissler Veronika Wolfbauer Hannelore Schmidt

Transkript

1 Schönherr Privacy Academy Modul I. - "What's New?" Günther Leissler Veronika Wolfbauer Hannelore Schmidt

2 ANWENDBAR IN: 603 Tagen

3 "What's New?" Anwendungsbereich Datenschutz-Folgenabschätzung Verzeichnis von Verarbeitungstätigkeiten Privacy by Design Privacy by Default Datenportabilität Verhaltensregeln und Zertifizierung 2016 schoenherr 3

4 Anwendungsbereich Sachlicher Anwendungsbereich Die DSGVO: gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind/werden sollen (Art 2) Personenbezogene Daten: Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person(= betroffene Person) beziehen (Art 4) Verarbeitung personenbezogener Daten natürlicher Personen Bestimmbar: direkt oder indirekt, insbes mittels Zuordnung zu einer Kennung wie einem Namen zu einer Kennnummer zu Standortdaten zu Merkmalen, die Ausdruck der Identität sind etc 2016 schoenherr 4

5 Anwendungsbereich Sachlicher Anwendungsbereich Sehr weiter Verarbeitungsbegriff, zb: das Erheben die Speicherung das Auslesen die Weitergabe die Verknüpfung etc = jeglichen Umgang mit personenbezogenen Daten Schutz der natürlichen Personen ist technologieneutral (automatisierte und manuelle Verarbeitung personenbezogener Daten) Ausnahmen bspw: Tätigkeiten der nationalen Sicherheit rein persönliche, familiäre Tätigkeiten (inkl die Nutzung sozialer Netze und Online-Tätigkeiten?) 2016 schoenherr 5

6 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Kein Datenschutz für juristische Personen? Unerlaubte Datenweitergabe zb von Cash-Back Konditionen (Banken) oder Polizzeninformationen (Versicherungen) nicht mehr datenschutzwidrig Es greift gesetzlicher Schutz des Betriebs- und Geschäftsgeheimnisses (zb StGB) Achtung: eingeschränkter Schutzbereich gegenüber aktuellem DSG! Juli 2016: Trade-Secret-Directive (EU Richtlinie zum Geheimnisschutz) gilt für geheime Informationen von kommerziellen Wert; verlangt nach angemessenen Geheimhaltungsmaßnahmen Folge: gesonderte Vertraulichkeitsvereinbarung in Dienstleistungsverträgen oder in Verträgen über gemeinschaftliche Datenverarbeitungen Beispielhafte Klausel: "Die Verschwiegenheitspflicht der mit der Auftragsdatenverarbeitung beauftragten Personen bleibt auch nach Beendigung ihrer Tätigkeit und deren Ausscheiden aus dem Anstellungsverhältnis aufrecht. Die Verpflichtung zur Verschwiegenheit ist auch für zur Auftragsdatenverarbeitung anvertraute Daten von juristischen Personen und handelsrechtlichen Personengesellschaften einzuhalten." 2016 schoenherr 6

7 Anwendungsbereich Räumlicher Anwendungsbereich DSGVO gilt für: Verarbeitungen personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen/Auftragsverarbeiters in der EU (gleich, ob die Verarbeitung innerhalb oder außerhalb der EU stattfindet) Niederlassung setzt effektive und tatsächliche Ausübung einer Tätigkeit durch feste Einrichtung voraus Rechtsform ist dabei nicht ausschlaggebend (egal ob Zweigstelle oder Tochtergesellschaft mit eigener Rechtspersönlichkeit) Bsp: Zweigniederlassung in Österreich veranlasst Verarbeitung in Indien 2016 schoenherr 7

8 Anwendungsbereich Räumlicher Anwendungsbereich Erweiterter räumlicher Anwendungsbereich: DSGVO gilt auch bei Verarbeitung personenbezogener Daten in der EU für Verantwortlichen/Auftragsverarbeiter außerhalb der EU, wenn die Datenverarbeitung dazu dient, Betroffenen in der EU Waren/Dienstleistungen anzubieten (unabhängig, ob Zahlung zu leisten ist) der Beobachtung von Verhalten dient, soweit dieses in der EU erfolgt 2016 schoenherr 8

9 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Vertragspartner des Unternehmens ist außerhalb der EU loziert und bietet Waren/Dienstleistungen in der EU an Typischer Weise bei Outsourcing der Fall (zb indischer Outsourcing- Partner) Vertragspartner des Unternehmens ist außerhalb der EU loziert und bietet Beobachtung von Verhalten an Typischer Weise bei analytischen Supportleistungen der Fall (zb Customer tracking, Customer warehousing) Folge: Ausländischer Outsourcingpartner unterliegt den Regularien der DSGVO Folge: Österreichisches Unternehmen (als Verantwortlicher) muss Sorge leisten, dass der Ourtsourcingpartner diese Regularien erfüllt Folge: Vertragswerk mit dem Outsourcingpartner muss DSGVO- Anforderungen entsprechen Achtung: Insofern weitergehende Pflichten zu vereinbaren, als in Art 28 DSGVO vorgeschrieben (Achtung: "hinreichende Garantien, dass Anforderungen der DSGVO erfüllt sind) 2016 schoenherr 9

10 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Beispiel: Indischer Dienstleister bietet Dienstleistungen in der EU an Österreichisches Unternehmen nutzt diesen Dienstleister Art 31 DSGVO enthält die generelle Verpflichtung an Verantwortliche und Auftragsverarbeiter mit der "zuständigen Aufsichtsbehörde" zusammen zu arbeiten (zb im Fall eines "data breach ) Folge: Vertragliche Vereinbarung mit Dienstleister, dass aufgrund der Inanspruchnahme durch österreichisches Unternehmen die österreichische Datenschutzbehörde als zuständige Behörde anerkannt wird Achtung: Bei Inanspruchnahme in mehreren Mitgliedstaaten: Definition der zuständigen Aufsichtsbehörde (ggf One Stop Shop Behörde) Folge: Definition eines Konsultationsmechanismus zwischen Auftragsverarbeiter und Verantwortlichen bei Notwendigkeit gemeinschaftlicher Zusammenarbeit mit der Behörde (zb data breach) 2016 schoenherr 10

11 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Beispiel: Österreichisches Unternehmen bedient sich eines Betreibers für Apps oder Soziale Netzwerke mit Sitz außerhalb der EU Art 26 DSGVO kennt den Begriff der "gemeinschaftlichen Verarbeitung" durch zwei oder mehrere Verantwortliche (zb Facebook, Google definieren sich selbst als "Verantwortliche ) DSGVO verlangt nach Vereinbarung "in transparenter Form", wer welche Verpflichtungen nach der DSGVO übernimmt, wer welche Rolle zum Betroffenen einnimmt und der wesentliche Vertragsbezug muss dem Betroffenen offengelegt werden Folge: Beide Parteien unterliegen sämtlichen Pflichten der DSGVO Folge: Das österreichische Unternehmen muss in einem umfänglichen Vertragswerk sämtliche Pflichtenteilungen mit dem App / Netzwerkpartner vornehmen; Achtung: Vertragsgehalt ungleich größer als bei Vertrag zur Auftragsdatenverarbeitung, zb Regelung des "data breach Szenarios + Offenlegung! Realität: Vgl beispielsweise die Nutzungsbedingungen zu Google Analytics 2016 schoenherr 11

12 Anwendungsbereich Exkurs: Profiling "Profiling" = jede Art der automatisierten Verarbeitung, die bestimmte persönliche Aspekte von Personen zu bewerten, zu analysieren oder vorherzusagen insbes um Aspekte wie Arbeitsleistung wirtschaftliche Lage Gesundheit persönliche Vorlieben Interessen Zuverlässigkeit Verhalten Aufenthaltsort oder Ortswechsel Viele Formen des Customer Minings oder der Performance- Beurteilung von Mitarbeitern qualifizieren potentiell als " Profiling " 2016 schoenherr 12

13 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Art 22 DSGVO räumt den einfachgesetzlichen Anspruch ein, keinem Profiling unterworfen zu werden, sofern dies (ua) nicht zur Vertragserfüllung erforderlich ist oder hierzu die Einwilligung des Betroffenen besteht Selbst wenn Vorbehalt der Vertragserfüllung / Einwilligung erfüllt ist muss der Verantwortliche: Recht auf proaktives "Eingreifen" des Verantwortlichen gewährleisten (Achtung bei Dienstleisterkonstruktion) Darlegung des eigenen Standpunkts ermöglichen Anfechtung der Entscheidung ermöglichen 2016 schoenherr 13

14 Anwendungsbereich Bedeutung für Unternehmen & Praxistipp Beispiel: Die Konzernmutter erhält unter anderem performancebezogene Mitarbeiterdaten des österreichischen Unternehmens Performancebeurteilung = die Analyse der Arbeitsleistung eines Mitarbeiters, dh sie unterliegt den Vorgaben des Profilings Zustimmung im Arbeitsverhältnis ist fragwürdig, dh die Performancebeurteilung muss zur Vertragserfüllung erforderlich sein Folge: Adaption der Arbeitsverträge im Unternehmen (sofern nationales Anpassungsgesetz nicht Sondertatbestand einräumt) Folge: Die Schutzprinzipien der DSGVO zum Profiling müssen gewahrt bleiben, dh die österreichische Unternehmenstochter muss die Möglichkeit des proaktiven "Eingreifens" gewährleisten und es muss eine Anfechtungsmöglichkeit gewährt werden Folge: Etablierung von Intra-Group Agreements, welche dem Profiling- Standard der DSGVO entsprechen 2016 schoenherr 14

15 Datenschutz-Folgenabschätzung 2016 schoenherr 15

16 Datenschutz-Folgenabschätzung Privacy Impact Assessment (PIA) Wann? Neue Datenverarbeitung soll eingesetzt werden Voraussichtlich mit hohem Risiko für die Betroffenen verbunden Hohes Risiko: insbes bei der Verwendung neuer Technologien, aufgrund der Art = Analyse der zu verarbeitenden Daten (Stammdaten, Bilddaten, Gesundheitsdaten) des Umfangs = Anzahl an Datenkategorien; Zahl der Betroffenen; Zahl der an der Verarbeitung Beteiligten der Umstände = Art der Erhebung; Weiterverarbeitungen und der Zwecke = gesetzlich erforderlich? mit Zustimmung des Betroffenen? "nice to have"?; Verwendung zu weiteren Zwecken geplant? 2016 schoenherr 16

17 Datenschutz-Folgenabschätzung Privacy Impact Assessment (PIA) Insbesondere in folgenden Fällen: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche 2016 schoenherr 17

18 Datenschutz-Folgenabschätzung Privacy Impact Assessment (PIA) Mindestinhalt: Systematische Beschreibung der geplanten Verarbeitungsvorgänge (inkl Zwecke und verfolgten berechtigten Interessen) Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen Geplante Abhilfemaßnahmen zur Bewältigung der Risiken (inkl Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der Daten/Nachweis der Compliance) 2016 schoenherr 18

19 Datenschutz-Folgenabschätzung Vorabkonsultation In Zweifelsfällen: Miteinbeziehung der Betroffenen Wenn Verarbeitung ein hohes Risiko zur Folge hätte und keine geeigneten Maßnahmen zur Eindämmung Vorabkonsultation der Aufsichtsbehörde Binnen 8 Wochen Empfehlungen der Aufsichtsbehörde falls Verarbeitung nicht im Einklang mit DSGVO Aufsichtsbehörde kann Rechte gem Art 58 DSGVO ausüben:» Datenschutzprüfung (Audit)» Überprüfung von Zertifizierungen» Hinweis auf vermeintlichen Verstoß» Geldbußen (EUR 10 Mio / 2%) 2016 schoenherr 19

20 Datenschutz-Folgenabschätzung Bedeutung für Unternehmen & Praxistipp Interne Dokumentation statt DVR-Registrierung Bisherige DVR Registrierung deckt systematische Beschreibung: Zweck der Datenverwendung Umfang der Datenverwendung (Datenkategorien, Datenempfänger) Rechtsgrundlagen Zusätzlich erforderlich: Darlegung der Notwendigkeit in Bezug auf verfolgten Zweck:» Wirtschaftsorientierte Darlegung (Kosten-Nutzenrelation)» Organisationsorientierte Darlegung (Notwendigkeit aufgrund der tatsächlichen Unternehmens- und Konzernstruktur) Risikobewertung:» Risikobeurteilung bezogen auf Betroffenen als Arbeitnehmer oder Dritten (zb Kunden, Lieferanten) und auf Angehörige bzw sonstige Betroffenensphäre (zb Substitutionsmöglichkeiten) Sicherheitsmaßnahmen bezogen auf identifiziertes Risiko! 2016 schoenherr 20

21 Datenschutz-Folgenabschätzung Praxistipp Geschultes Personal Awareness erforderlich in:» Geschäftsleitung (zb für Budgetplanung)» IT-Abteilung (zb für Riskassessment); enge Zusammenarbeit (Jour fixe) zwischen Recht und IT zu empfehlen» Awareness bei Beschaffungsvorgängen (zb Software- vs Cloudelösung; welche Auftragsverarbeiter bekommen Daten?) Zeitnah Strukturen und Dokumentationsstandards einführen: Erstellen von PIA-Templates, die den Mindestinhalt widerspiegeln Erstellen von Guidelines und Richtlinien zur Durchführung von PIAs» wann durchzuführen?» wer ist verantwortlich?» wann ist die Aufsichtsbehörde zu konsultieren? 2016 schoenherr 21

22 Verzeichnis von Verarbeitungstätigkeiten 2016 schoenherr 22

23 Verzeichnis von Verarbeitungstätigkeiten Dokumentationspflichten Zweck: Nachweis der Einhaltung der DSGVO Von jedem Verantwortlichen (ggf Vertreter in der EU) zu führen Von jedem Auftragsverarbeiter (ggf Vertreter in der EU) zu führen (=Verfahrensverzeichnis): Doppelte Verzeichnisführung für Auftragsverarbeiter: für "Kundendatenverarbeitungen" als "eigenständiger" Verantwortlicher (zb für seine HR-Daten) 2016 schoenherr 23

24 Verzeichnis von Verarbeitungstätigkeiten Dokumentationspflichten Ausnahme: 250er Regel: Verantwortlicher < 250 Mitarbeiter Es sei denn: Verantwortlicher / Auftraggeber verarbeitet Daten mit Risiken für die Rechte und Freiheiten der betroffenen Personen Insbes sensiblen Daten / Daten über strafrechtliche Verurteilungen wenn die Datenverarbeitung stetig erfolgt (nicht nur gelegentlich) 2016 schoenherr 24

25 Verzeichnis von Verarbeitungstätigkeiten Dokumentationspflichten Inhalt (für Verantwortliche): Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten Zwecke der Verarbeitung Beschreibung der Betroffenenkategorien und der Datenkategorien Empfängerkategorien (tatsächliche, beabsichtigte; inkl Empfänger in Drittländern) Drittländer, an die Daten weitergegeben werden, unter Angabe des konkreten Drittlands und bei Ausnahmetransfer der Drittlandsgarantien Löschkonzept Beschreibung der Datensicherheitsmaßnahmen (technische und organisatorische) 2016 schoenherr 25

26 Verzeichnis von Verarbeitungstätigkeiten Bedeutung für Unternehmen & Praxistipp Dateninventarisierung erforderlich DVR-Registrierungen können als Grundlage herangezogen werden, müssen aber aktualisiert werden! Achtung: DVR Registrierungen enthalten keine Auftragsverarbeiter (Dienstleister) Wichtige Neuerung: Löschkonzept! An Bußgeld geknüpft (bis zu EUR 10 Mio/2%) 2016 schoenherr 26

27 Verzeichnis von Verarbeitungstätigkeiten Praxistipp Zeitnahe Dateninventarisierung: Durchführung eines Datenschutzaudits Auflistung aller Datenverarbeitungsvorgänge» Datenkategorien» Betroffene» Rechtsgrundlagen» Empfänger Analyse der gesetzlich vorgesehenen Speicherdauer Erstellen des Verzeichnisses 2016 schoenherr 27

28 Privacy by Design & by Default 2016 schoenherr 28

29 Privacy by Design Anwendungsbereich Art 25 DSGVO: Datenminimierung und Datenschutz ist zu gewährleisten im Zeitpunkt der Festlegung der Mittel der Datenverarbeitung und während ihrer Ausübung im Hinblick auf: Stand der Technik Implementierungskosten Art, Umfang, Umstände und Zweck der Datenverarbeitung Eintrittswahrscheinlichkeit und Schwere möglicher Risiken " Privacy by Design" ist eng mit Datenschutz-Folgenabschätzung verknüpft "Privacy by Design" verlangt schon in der Planungsphase von Projekten nach Folgenabschätzung (Arg: "im Zeitpunkt der Festlegung der Mittel") 2016 schoenherr 29

30 Privacy by Design Bedeutung für Unternehmen & Praxistipp Beispiel: Ein Unternehmen möchte eine CRM Datenbank einführen. "Privacy by Design" verlangt folgende Folgenabschätzung: Entspricht es dem Stand der Technik, die CRM Daten in der geplanten Form auf personenbezogener Basis zu verarbeiten? Ausarbeitung von Alternativmodellen (zb keine Klardatenhinterlegung, sondern Verschlüsselung mit De-Kodierung im Arbeitsfall) und Gegenüberstellung derer Implementierungskosten Abschätzung der mit der Datenbank verfolgten Ziele und ihres Umfangs (insbesondere: anstehende Erweiterungsmöglichkeiten, zb Werbedaten auch von Kindern) Evaluierung der Risiken: Aus heutiger Sicht vor allem Impakt-Risiken, dh wie hoch ist der Eingriff in die Privatsphäre der Betroffenen bei Datenschutzverfehlungen (sind Gesundheitsdaten oder Daten Minderjähriger betroffen? Sind mittelbare Rückschlüsse auf sensible Personengruppen möglich?) 2016 schoenherr 30

31 Privacy by Default Anwendungsbereich Art 25 DSGVO: Voreinstellungen sollen gewährleisten, dass die Datenverarbeitung nur dem definierten Verarbeitungszweck dient: Menge der erhobenen Daten Umfang der Datenverarbeitung Datenspeicherung Datenzugriffe "Privacy by Default" soll verhindern, dass Daten einer "unbestimmten Zahl" Dritter zur Verfügung stehen, ohne dass dies mit Zutun des Betroffenen erfolgt (zb Einwilligung) "Privacy by Default" zielt im Unterschied zu "Privacy by Design" weniger auf die Planungsphase sondern verlangt nach einem konstanten Monitoring der Datenverarbeitung 2016 schoenherr 31

32 Privacy by Default Bedeutung für Unternehmen & Praxistipp Beispiel: Ein Unternehmen betreibt ein konzernweites HR-Administrationssystem; "Privacy by Default" verlangt: Exakte Bestimmung jener (zulässigen) Zwecke, welchen das Administrationssystem dient, etwa: konzernweite, strategische Personalplanung; nicht: "Unterstützung bei HR Management" Prüfung, ob der Umfang der Datenverarbeitung mit dem Verarbeitungszweck korreliert, etwa Personaldaten leitender Angestellte, nicht: "non expatriate eligible" Personal Prüfung der Konzernzugriffe, etwa Zugriff durch EMEA zuständige Personalabteilung, konzernweite Zugriffe nur auf funktionale Projektzuständigkeiten einschränken Prüfung der Aufbewahrungsfristen, etwa zur Wahrung arbeitsrechtlicher Bewahrungsfristen nach österreichischem Recht: Kappen der internationalen Zugriffe auf diese Daten oder Vereinbarung einer Dienstleistungsverwahrung für reine Storage Zwecke ("data freeze") 2016 schoenherr 32

33 Datenportabilität 2016 schoenherr 33

34 Datenportabilität Anwendungsbereich Art 20 DSGVO: Betroffener hat das Recht ihn betreffende Daten zu erhalten oder an einen Dritten zu übertragen in einem Format. strukturierten gängigen maschinenlesbaren Soweit technisch machbar, hat die Datenübermittlung an den Dritten auf Anweisung des Betroffenen "direkt" zu erfolgen Vor allem für Dienstleistungskonstruktionen relevant: Vereinbarung mit dem Dienstleister muss gewährleisten, dass Verantwortlicher seiner Portierungspflicht nachkommen kann 2016 schoenherr 34

35 Datenportabilität Bedeutung für Unternehmen & Praxistipp Beispiel: Ein Unternehmen lässt bei einem Dienstleister den Zahlungsverkehr mit den Kunden und das Kundenbindungsprogramm des Unternehmens administrieren Der Verarbeitungsstandard ist vertraglich nicht geregelt, der Dienstleister implementierte seine Software beim Unternehmen Der Kunde wechselt das Unternehmen (zb das Bankinstitut) und möchte seine Daten auf das neue Bankinstitut portiert wissen Das neue Bankinstitut unterstützt den Standard des Dienstleisters nicht. Folge: (Teure) Nachverhandlungen zur Standardumstellung Vertragliche Regelung: "gängiges" Datenformat Vertragliche Regelung: "Direkte" Datenportierung an Dritte 2016 schoenherr 35

36 Verhaltensregeln und Zertifizierung 2016 schoenherr 36

37 Verhaltensregeln und Zertifizierung Code of Conduct Verhaltensregeln = Auslegungshilfen bei der Anwendung der DSGVO Besonderheiten einzelner Verarbeitungsbereiche Besondere Bedürfnisse von KMUs Ausarbeitung auch durch Verbände/Kammern etc möglich Präzisierungen der Datenschutzregelungen etwa im Bereich faire und transparente Verarbeitung berechtigte Interessen des Verantwortlichen Pseudonymisierung personenbezogener Daten Ausübung der Betroffenenrechte 2016 schoenherr 37

38 Verhaltensregeln und Zertifizierung Code of Conduct Verhaltensregeln können als Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer dienen im Bußgeldverfahren strafmildernd wirken bei der Bewertung der technisch organisatorischen Maßnahmen des Datenschutzes und der Datensicherheit berücksichtigt werden bei der Auswahl und Beauftragung eines Auftragsverarbeiters eine Rolle spielen (Wettbewerbsvorteil?) 2016 schoenherr 38

39 Verhaltensregeln und Zertifizierung Zertifizierung Zertifizierungen sollen die Transparenz der Datenverarbeitung erhöhen die Einhaltung der DSGVO verbessern den betroffenen Personen einen raschen Überblick über das Datenschutzniveau von Produkten und Dienstleistungen geben Zertifizierungen beziehen sich nicht auf das Unternehmen an sich, sondern jeweils nur auf einzelne Verarbeitungsvorgänge Nachweis, dass Unternehmen die Anforderungen der DSGVO sowie der technisch organisatorischen Maßnahmen für Verarbeitungsvorgang einhalten 2016 schoenherr 39

40 Verhaltensregeln und Zertifizierung Zertifizierung Zertifizierungen von Aufsichtsbehörde Möglicherweise Zertifizierungen durch akkreditierte Stellen Mindert nicht die Verantwortung des Verantwortlichen /des Auftragsverarbeiters für die Einhaltung der DSGVO Zertifizierung wird für eine Höchstdauer von drei Jahren erteilt 2016 schoenherr 40

41 Schönherr Privacy Academy Unser Team Dr. Günther Leissler, LL.M. ist seit 2006 bei Schönherr in der Practice Group Regulatory und leitet die Datenschutzgruppe bei Schönherr. Günther Leissler berät die Mandaten von Schönherr in allen Bereichen des Telekommunikations- und Datenschutzrechts und der damit einhergehenden Unternehmenscompliance, wie etwa bei der Implementierung konzernweiter Datenbanken, bei der Erstellung webbasierter Kommunikationslösungen oder bei der Vornahme internationaler Datentransfers und er vertritt die Mandanten von Schönherr in allen damit einhergehenden behördlichen Registrierungs-, Genehmigungs-, und Beschwerdeverfahren. Er ist involviert in einschlägige datenschutzrechtliche Gesetzesvorhaben wie etwa im Bereich der Gesundheitsdatenregulierung und er begutachtet Gesetze im Datenschutzbereich für die österreichische Rechtsanwaltskammer. Mag. Veronika Wolfbauer, LL.M. ist seit 2013 bei Schönherr in der Practice Group Regulatory und seit Mai 2016 Rechtsanwältin bei Schönherr. Sie hat sich auf die Bereiche des Datenschutzrechts, Energierechts, Glücksspielrechts sowie auf Apothekenrecht spezialisiert und verfügt über breite Erfahrung im allgemeinen öffentlichen Verwaltungs- und Verfassungsrecht. Dr. Hannelore Schmidt ist seit 2015 bei Schönherr in der Practice Group Regulatory und seit 2016 Rechtsanwaltsanwärterin. Zuvor war sie an der Universität Innsbruck als Universitätsassistentin in Lehre und Forschung tätig. Sie legte ihre Dissertation im Bereich des Datenschutzrechtes ab und konnte durch die Betreuung mehrerer Forschungsprojekte in diesem Bereich einschlägige Erfahrung sammeln schoenherr 41

42 schoenherr offices 2016 schoenherr 42

43 Thank you!

44 schoenherr is one of the top corporate law firms in central and eastern europe. With our wide-ranging network of offices throughout CEE/SEE, we offer our clients unique coverage in the region. The firm has a long tradition of advising clients in all fields of commercial law, providing seamless service that transcends national and company borders. Our teams are tailor-made, assembled from our various practice groups and across our network of offices. Such sharing of resources, local knowledge and international expertise allows us to offer the client the best possible service.