Webinar Di Austria. ztp.at IT-Ziviltechniker Dr. Wolfgang Prentner. Mag. Ines Freitag.

Transkript

1 Webinar Di Austria IT-Ziviltechniker Dr. Wolfgang Prentner. Mag. Ines Freitag.

2 Die Experten im heutigen Webinar ZT Dr.tech Wolfgang Prentner IT-Ziviltechniker, CEO ztp.at Mag. Ines Freitag Associate CMS Reich-Rohrwig Hainz Daniel Holzinger Managing Director colited 2

3 Überblick Allgemeines Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag von RA Dr. J. Juranek/CMS Teil 3: Di. 14. Nov. 2017, 14-15h DSGVO mit Beitrag von DI Oliver Pönisch/EY Teil 4: Di. 28. Nov. 2017, 14h-15.+ DSGVO mit Beitrag: RA in Mag. Ines Freitag / CMS

4 INHALTS- VERZEICHNIS 1. Sachlicher und räumlicher Anwendungsbereich 2. Wichtige Begriffsbestimmungen 3. Grundsätze und Rechtmäßigkeit der Verarbeitung 4. Einwilligungserklärung 5. Betroffenenrechte 6. Informationspflichten 7. Auskunftspflicht des Verantwortlichen 8. Pflicht zur Berichtigung, Löschung ( Recht auf Vergessenwerden ) und zur Einschränkung der Verarbeitung 9. Datenschutzrechtliche Pflicht zur Datenübertragung 10. Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches 11. Pflichten des Verantwortlichen 12. Pflichten der Auftragsverarbeiter 13. Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten 14. Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung 15. Meldung von Datenschutz-Verletzungen (data breach notification) 16. Risiko-Folgeabschätzung und vorherige Konsultation 17. Der Datenschutzbeauftragte 18. Internationaler Datenverkehr 19. Rechtsdurchsetzung und Strafen Quelle: EU-Datenschutz-Grundverordung Hg: Rosenmayr-Klemenz, WKO April 2017

5 Teil 1: heute Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN Anwendungsbereiche, wichtige Begriffsbestimmungen, Grundsätze und Rechtmäßigkeit der Verarbeitung, Einwilligungserklärung und Betroffenenrechte Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag RA Dr. J. Juranek/CMS Informationspflichten, Datenklassifikation, Aufbewahrung von Daten, Datenschutz-Folgenabschätzung, Datenschutzkonzept und -management, Datensicherheitsmaßnahmen, Datensparsamkeit Teil 3: 14. Di. Nov. 2017, 14-15h DSGVO mit Beitrag: DI Oliver Pönisch/EY Pflichten des Verantwortlichen, Pflichten der Auftragsverarbeiter, Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten, Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung, Meldung von Datenschutz-Verletzungen (data breach notification) Teil 4: 28. Di. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: offen Gemeinsame Datenverarbeitung, Datenschutzmanagementsystem, Dokumentation und Nachweise (Richtlinien, Prüfpflicht, Verhaltensregeln und Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen sowie Checklisten) 5

6 Allgemeines 6

7 Bereiche der DSGVO 7

8 Aus der Vergangenheit

9 Umfrage aus der Vergangenheit 9

10 Überblick Webinar 4/4 1. Risiko-Folgeabschätzung und vorherige Konsultation 2. Der Datenschutzbeauftragte 3. Internationaler Datenverkehr 4. Richtlinien 5. Verhaltensregeln 6. Zertifizierungen, Datenschutzsiegel und Datenprüfzeichen sowie 7. Rechtsdurchsetzung und Strafen 8. Checklisten 10

11 Risiko-Folgeabschätzung und vorherige Konsultation 1. Prüfung, ob verpflichtenden Datenschutz-Folgeabschätzung vorliegt 2. Erhebung: der zu verarbeitenden personenbezogenen Datenarten (z.b. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung 3. Prinzipien: Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten? 4. Argumentation: Darlegung der Gründe, warum eine Datenschutz-Folgeabschätzung für erforderlich bzw. allenfalls für nicht erforderlich betrachtet wird. 5. Datenschutzbeauftragter: Konsultierung eines allenfalls bestellten betrieblichen Datenschutzbeauftragten. 6. Verarbeitungsvorgänge: Beschreibung der geplanten Verarbeitungsvorgänge. 7. Risikoidentifizierung für Schutzziele und Sicherheitsniveau 8. Status-quo-Erhebung: bisherige Abhilfemaßnahmen (Virenschutz, Anonymisierung, Pseudonymisierung,..) 9. Risikoanalyse 10. Aufstellung eines Maßnahmenplanes: Technisch, organisatorisch, personell, baulich, infrastrukturell 11. Berücksichtigung Maßnahmen, Prioritäten, Stand der Technik, Kosten, Risiko 11

12 Der Datenschutzbeauftragte Art. 37 bis 39 Neu, verpflichtende Bestellung eines Datenschutzbeauftragten in bestimmten Bereichen, der die DSB Aufgaben weisungsungebunden durchführt und unmittelbar der höchsten Managementebene berichtet. Folgende Verantwortliche/Auftragsverarbeiter haben zwingend einen Datenschutzbeauftragten zu bestellen: Behörden und öffentliche Stellen (mit Ausnahme von Gerichten soweit es nicht die Justizverwaltung betrifft) wenn die Kerntätigkeit die regelmäßige und systematische Überwachung von Personen darstellt wenn die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten nach Art. 9 und Strafdaten nach Art. 10 besteht. 12

13 Einbindung des Datenschutzbeauftragten In der Datenschutzrichtlinie sind die Fälle zu definieren, in denen die Mitarbeiter den Datenschutzbeauftragten anzusprechen und einzubinden haben. Beschwerden von Betroffenen (Mitarbeitern, Kunden) Einführung eines neuen Systems/Tools Einsatz eines neuen Dienstleisters Werbemaßnahmen (z.b. Versand von Newsletter) Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.) Verkauf von Teilen des Unternehmens Datenschutz-Überwachung

14 Der Datenschutzkoordinator & -beauftragte 14

15 Der Datenschutzbeauftragte 1. Datenschutzbeauftragter (Management und Schnittstelle zur DSB) 2. Datenschutzkoordinator (operativ) 15

16 Teil 1: DSGVO 16

17 Der Datenschutzbeauftragte 17

18 Der Datenschutzbeauftragte 18

19 Internationaler Datenverkehr Durch die DSGVO erfolgt eine weitreichende Genehmigungsfreiheit im internationalen Datenverkehr (Art DSGVO). Es ist wie bisher auch darauf zu achten, dass alle Verarbeitungsvorgänge zuerst im Inland zulässig sind, bevor ein Datenexport möglich ist. Daten dürfen an ein Drittland oder eine internationale Organisation übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Die Feststellung erfolgt wie bisher durch die Kommission der EU. Die bestehende Liste bleibt gültig. Weiters ist die Übermittlung zulässig, wenn eine vertragliche Vereinbarung mit Standarddatenschutzklauseln abgeschlossen wurde oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) bestehen. Diese Instrumente gab es schon bisher. Zu den neuen rechtlichen Instrumenten gehören Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungsmechanismen (Art. 42 DSGVO). Art. 46 Abs. 3 DSGVO enthält die Möglichkeit, in Sonderfällen eine Genehmigung durch die Aufsichtsbehörde einzuholen. Es bestehen auch Informationspflichten an Betroffene, wenn Daten ins Nicht-EU-Ausland übermittelt werden sollen (Art. 13 Abs. 1 lit. f und 14 Abs. 1 lit. f DSGVO). Bereits erteilte Genehmigungen bleiben grundsätzlich gültig (Art. 6 Abs. 5 DSGVO). 19

20 Leitlinien- und Leitfäden DSB: Verordnung (EU) 2016/679 Datenschutz-Grundverordnung, Leitfaden, Zusammengestellt von Dr. Matthias Schmidl, Stand: Oktober 2017, Arbeitsgruppe: Artikel 29, Vertreten durch die Leiterin der DSB 20

21 Verhaltensregeln Art. 40 ff Die Art. 40 ff bauen das bereits in Art. 27 der DSRL vorgesehene System der Verhaltensregeln weiter aus. Verbände und andere Vereinigungen - datenschutzrechtliche Verhaltensregeln erstellen und diese bei der Aufsichtsbehörde zur Genehmigung einreichen. Die Überwachung der Einhaltung von genehmigten Verhaltensregeln obliegt der Aufsichtsbehörde; sie kann aber auch eine dafür besonders geeignete Stelle akkreditieren. (c) Verordnung (EU) 2016/679 Datenschutz-Grundverordnung, Leitfaden, Zusammengestellt von Dr. Matthias Schmidl, Stand: Oktober 2017, 21

22 Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen Art. 42 und 43 Datenschutzsiegel, -prüfzeichen: Verantwortliche und Auftragsverarbeiter können bestimmte Verarbeitungsvorgänge zertifizieren lassen, um nachzuweisen, dass die Verarbeitung in Übereinstimmung mit der DSGVO erfolgt Zertifizierung: erfolgt entweder durch die Aufsichtsbehörde selbst oder durch Zertifizierungsstellen, die von der Aufsichtsbehörde oder der nationalen Akkreditierungsstelle nach der VO (EG) Nr. 765/2008 hierzu eigens akkreditiert werden. Nachweis: der faktischen Einhaltung von Vorgaben der DSGVO bei bestimmten Verarbeitungsvorgängen. Erteilung: Eine Zertifizierung wird durch die Aufsichtsbehörde auf Grundlage der Zertifizierungskriterien eines genehmigten Zertifizierungsverfahrens erteilt. Maximale Gültigkeit: einer Zertifizierung beträgt drei Jahre, eine (mehrfache) Verlängerung um je maximal drei Jahre ist möglich. (c) Verordnung (EU) 2016/679 Datenschutz-Grundverordnung, Leitfaden, Zusammengestellt von Dr. Matthias Schmidl, Stand: Oktober 2017, 22

23 Rechtsdurchsetzung und Strafen (DSB) Förmliche Verwarnung: In bestimmten Fällen kann die Datenschutzbehörde an Stelle der Verhängung einer Geldbuße auch eine förmliche Verwarnung aussprechen. Weniger schwere Verstöße: gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 10 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 2 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag. Schwerwiegende Verstöße: gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 20 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag. Bundesverwaltungsgericht: Gegen die Verhängung einer Geldbuße kann Beschwerde an das Bundesverwaltungsgericht erhoben werden. (c) Verordnung (EU) 2016/679 Datenschutz-Grundverordnung, Leitfaden, Zusammengestellt von Dr. Matthias Schmidl, Stand: Oktober 2017, 23

24 Rechtsdurchsetzung und Strafen (DSB) II 24 (c) Verordnung (EU) 2016/679 Datenschutz-Grundverordnung, Leitfaden, Zusammengestellt von Dr. Matthias Schmidl, Stand: Oktober 2017,

25 Checklisten Anpassung an die DSGVO (wko.at) Ablaufplan Datenschutz-Folgenabschätzung (wko.at) 25

26 26

27 Werkzeuge - Tools 27

28 Gast Fragen und Diskussion RAA Mag. Ines Freitag, CMS 28

29 Ausblick Es wird vermutet, dass die DSB vorschriftsmäßig die DSGVO exekutiert Keine praktischen Erfahrungswerte zu Tiefe der Umsetzungspflicht und höhe der Strafen IT-Ziviltechniker die Fachexperten, staatlich befugt und beeidet Muster<ziviltechniker>gutachten zur DSGVO Prüfstandards und Prüfkriterien zur DSGVO Checklisten Unabhängige Beratung zur Umsetzung und Prüfung sowie Begutachtung Bundeskammer der Ziviltechniker Bundesfachgruppe für Informationstechnologie, 29

30 Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? 30

31 ZT Wolfgang Prentner 31

32 Begriffe und Anpassungen Quelle: Bundeskanzleramt/Verfassungsdienst 32

33 Umfrage vom

34 Umfrage vom