Datenschutz Grundverordnung

Ähnliche Dokumente
DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Vorwort... Hinweis Das neue neue EU-Datenschutzregime... Abkürzungsverzeichnis...

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Betriebliche Organisation des Datenschutzes

Quo vadis, Datenschutz?

Die neue Grundverordnung des europäischen Datenschutzes

BvD. Management-Summary. Überblick in 10 Schritten

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

EU-DatenschutzGrundverordnung. in der Praxis

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

ao. Univ.-Prof. Dr. Wolfgang Brodil

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Datenschutz in Schulen

Rechtssicherheit in der Benutzung von Archiven

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Datenschutz-Grundverordnung

Grundlagen des Datenschutzrechts

Mobile Apps für die Gesundheitsbranche und Datenschutz

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutzbestimmungen im Vergleich D.A.CH

Ansätze für datenschutzkonformes Retina-Scanning

Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Datenschutz muss nicht trocken sein

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Erfassen von personenbezogenen Daten

Paal/Pauly Datenschutz-Grundverordnung

Datenschutz und Cloud

Mag. Andreas Krisch Datenschutz: Schülerdaten, Videoüberwachung

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Datenschutz für Künstler- und

Datenschutz in der Cloud Rechtlicher Rahmen und Compliance

ELGA Der elektronische lebensbegleitende

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Cookie Cookie Name Zweck Ablaufzeitpunkt

Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung DSVO)

Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen?

Newsletter. Juni. Datenschutz & Datenschutzkomformes Unternehmen

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO)

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Grundlagen des Datenschutzes

Datenschutz International

EU-Datenschutz-Grundverordnung

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Einführung in die Datenerfassung und in den Datenschutz

Big Data in der Medizin

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1)

Datenschutz in der Marktund Sozialforschung

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

Datenschutz im E-Commerce

Anwendungsbereich. 1.1 Sachlicher Anwendungsbereich der DSGVO

Brüssel, den 26. Juli 2011 (verbundene Fälle und )

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Big Data und die neue Datenschutzverordnung - was können Unternehmen jetzt umsetzen?

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Datenschutz und IT-Sicherheit an der UniBi

Datenschutz-Grundverordnung (DSGVO): Überblick

EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider

Datenschutz in der Volksschule

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit?

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

Konzepte der Selbstkontrolle der Industrie

Cloud Computing und Datenschutz

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

Datenschutz - ein Störfaktor?

Big Data Was ist erlaubt - wo liegen die Grenzen?

Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer

HEUKING KÜHN LÜER WOJTEK Datenschutz Europa Was kommt auf die Schweiz zu?

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Datenverwendung und Datenweitergabe - was ist noch legal?

Checkliste zum Datenschutz

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Datenschutzrechtliche Fragen der elektronischen Gesundheitsakte. Dr. Daniel Ennöckl, LL.M.

Gesetzliche Grundlagen des Datenschutzes

Cloud Computing: Rechtliche Aspekte

Webinar Datenschutzerklärung. Internet. Severin Walz, MLaw Bühlmann Rechtsanwälte AG

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

Transkript:

Wirtschaftskammer Steiermark RECHTSSERVICE E rechtsservice@wkstmk.at T 0316/601-601 http://wko.at/stmk Datenschutz Grundverordnung Montag, 22. Mai 2017 14.00 17.00 Uhr

www.kt.at 2

Auswirkungen der EU-Datenschutz-Grundverordnung und wie Sie sich am besten darauf vorbereiten RA Dr. Rainer Knyrim Knyrim Trieb Rechtsanwälte Wien Wirtschaftskammer Steiermark www.kt.at 3

Knyrim Trieb Rechtsanwälte Unternehmensgründung am 1.1.2017 www.kt.at 4 www.kt.at 3

Publikationen zum Datenschutzrecht www.kt.at 5

Entwicklung der Datenschutz-Grundverordnung (DSGVO) Jänner 2012: Entwurf der EU- Kommission März 2014: Beschluss des EP in 1. Lesung Juni 2015: Beschluss des Rates Dezember 2015: Einigung im Trilog zwischen Kommission, Parlament und Rat. In Kraft getreten am 24. Mai 2016. Geltung ab 25. Mai 2018. Bis dahin ist DSG 2000 uneingeschränkt anwendbar! www.kt.at 6

www.kt.at 7

www.kt.at 8

Sanktionen (Art 83 DSGVO) 1 Strafrahmen bis EUR 10 Mio (2 % des weltweiten Jahresumsatzes) Verstoß gegen Bestimmungen zu Datenschutz durch Technik (privacy by default); Verstoß gegen Bestimmungen zur Auftragsdatenverarbeitung; Verletzung der Vorschriften zum Verzeichnis von Verarbeitungstätigkeiten ; Verletzung von Datensicherheitsbestimmungen / Datenschutzfolgenabschätzung; Verletzung von Pflichten der Verantwortlichen Strafrahmen bis EUR 20 Mio 2 (4 % des weltweiten Jahresumsatzes) Verletzung von Rechten betroffener Personen; Verletzung von Bestimmungen über den internationalen Datenverkehr; Verstoß gegen Bestimmungen gegen die Grundsätze rechtmäßiger Datenverarbeitung; Verletzung von Rechten betroffener Personen www.kt.at 9

Einleitung Grundbegriffe Grundsätze jeder Datenverarbeitung Ablauf Datenschutzprüfung www.kt.at 10

Definitionen Personenbezogene Daten: Angaben über Betroffene (=natürliche Personen), deren Identität identifiziert oder identifizierbar ist. Identifizierbar ist eine Person über: Adresse, Telefonnummer, Bild auf Foto, IP-Adressen, Kfz-Kennzeichen. All das fällt unter das Datenschutzgesetz und alle damit in Verbindung stehenden Daten. ZB alles, was ein Mitarbeiter zu einem Geschäftsfall bearbeitet. Technisches Format ist egal, alles fällt darunter, ob Datenfelder in Software, Excel, Word, Email, Videoaufnahme, Foto, Audioaufnahmen, wenn Personenbezug herstellbar. Besondere Kategorien von Daten: Gesundheitsdaten, biometrische Daten, genetische Daten, Religionsbekenntnis, Sexualleben, Gewerkschaftszugehörigkeit, ethnische Herkunft, politische Meinung www.kt.at 11

Grundlagen Akteure im Datenschutzrecht Auftraggeber (Verantwortlicher) Dritter Betroffener Dienstleister (Auftragsverarbeiter) www.kt.at 12

Wozu überhaupt Datenschutzrecht? www.kt.at 13

Wozu überhaupt Datenschutzrecht? Antwort ergibt sich aus den Datenschutzgrundsätzen Folgende Grundsätze gelten für jede Datenverarbeitung: Rechtmäßigkeit, Fairness und Transparenz! Zweckbindung: Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke, nicht in mit diesen Zwecken unvereinbarer Weise weiterverwenden! Datenminimierung: Nur soviel Datenverarbeitung, als zur Erreichung des Zwecks nötig! Richtigkeit: sachlich richtig, aktuell Speicherbegrenzung: möglichst pseudonymisieren (Datensparsamkeit) oder Daten löschen, wenn keine Speicherpflichten (Archivierungs- oder Aufbewahrungspflichten) mehr vorhanden! Integrität und Vertraulichkeit: organisatorische und technische Schutzmaßnahmen Rechenschaftspflicht man muss zu allen Rede und Antwort stehen können! www.kt.at 14

Datenschutzprüfung: Faktensammlung und rechtlicher Teil Was machen wir? Überblick (Zwecke, Datenanwendungen) Auftraggeber oder Dienstleister? Faktensammlung Was für Daten haben wir? (Erhebung Datenarten) Wer bekommt was wofür? (Erhebung Übermittlung, Zugriffe) Rechtlicher Teil Dürfen wir das? (materielle Rechtsgrundlage) zb Zustimmungserklärung Formalitäten?(Verfahrensverzeichnis, internationaler Datenverkehr, Dienstleisterverträge, Betriebsvereinbarungen) www.kt.at 15

Wann darf man Daten überhaupt verarbeiten? Grundrecht Schutz und Verbot Wann ist Datenverarbeitung erlaubt? www.kt.at 16

Grundrecht auf Datenschutz Verfassungsrechtliches Grundrecht auf Datenschutzrecht und Privatsphäre in 1 DSG 2000 Jedermann hat Anspruch auf Achtung des Privat- und Familienlebens u. Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten www.kt.at 17

Datenschutz: Verbotsgesetz! Datenschutzgesetz ist ein Verbotsgesetz: Verarbeitung personenbezogener Daten ist grundsätzlich verboten! Nur erlaubt, wenn eine eine Ausnahme vom Verbot vorliegt! www.kt.at 18

Ausnahmen vom Verbot Verwendung im lebenswichtigen Interesse des Betroffenen Gesetzliche Ermächtigung oder rechtliche Verpflichtung Überwiegende berechtigte Interessen, zb Vertragserfüllung Zustimmung des Betroffenen liegt vor Daten sind öffentlich od. anonym www.kt.at 19

Ausnahme Notwendigkeit zur Vertragserfüllung Datenverarbeitung, um vertragliche Verpflichtung zu erfüllen zb: Kaufvertrag, Leasingvertrag, Dienstvertrag, Werkvertrag zb für: Bestellung, Auslieferung, Erfüllung Dienstvertrag etc. nur was für den Vertrag benötigt, sonst Zustimmung nötig! www.kt.at 20

Zustimmung Judikatur des Obersten Gerichtshofes: Zustimmung muss transparent sein und Folgendes beinhalten: Welche Datenarten? (Name, Adresse, etc) Zu welchem Zweck? (zb Zusendung von Information über.) An wen übermittelt? Genau benennen (Firmenname, Land, Zweck)!! Zustimmung kann jederzeit widerrufen werden Widerrufsbelehrung! Bei sensiblen Daten ist Zustimmung ausdrücklich zu erteilen Zustimmung muss nie schriftlich erfolgen, ist aber zu Beweiszwecken immer empfehlenswert www.kt.at 21

Rechtmäßigkeit materielle Prüfung Fallbeispiel: Tapferes Schneiderlein GmbH, Versand von Maßanzügen Zentrale in Wien, Muttergesellschaft in Stuttgart, Konzerngesellschaft in Laibach bearbeiten Bestellung und senden abwechselnd Werbung. Kooperationspartner Total Chic in Paris möchte auch Werbung über Kleidung zusenden. www.kt.at 22

Rechtmäßigkeit materielle Prüfung Geheimhaltungsinteressen Zustimmung Formulierung Hiemit stimme ich zu, dass mein Name, meine Adresse, meine Kleidergröße,... zur Zusendung von Informationen über Bekleidung an die Tapferes Schneiderle GmbH in Stuttgart, die Sneidr d.o.o. in Laibach und an die Total Chic S.A. in Paris übermittelt werden dürfen. Ich kann diese Zustimmung jederzeit durch Brief/Email an. widerrufen. www.kt.at 23

www.kt.at 24

www.kt.at 25

Materielle Rechtsgrundlagen Neu mit DSGVO bei Zustimmung: Ausdrückliche Klarstellung, dass Zustimmung schriftlich, einschließlich elektronisch und durch Checkbox oder mündlich erfolgen kann, soweit darin die Zustimmung zu den beschriebenen Datenverarbeitungen klar hervorkommt Schweigen, vorab angeklickte Checkboxen oder Untätigkeit der Betroffenen bilden keine gültige Zustimmungserklärung Zustimmung bei Kindern: Bis 16 Jahre durch die Eltern (Alter kann herabgesetzt werden) Rechenschaftspflicht: Zustimmung muss nachgewiesen werden können! www.kt.at 26

Verfahrensverzeichnis, internationaler Datenverkehr Den Überblick behalten: Verfahrensverzeichnis Ausnahme Muster Internationaler Datenverkehr www.kt.at 27

Verzeichnis von Verarbeitungstätigkeiten (Art 30 DSGVO) Bisher: Meldung im öffentlichem Datenverarbeitungsregister (https://dvr.dsb.gv.at) Künftig: Führung eines internen Verzeichnisses von Verarbeitungstätigkeiten; Inhalt: Name und Kontaktdaten des Verantwortlichen; anderer gemeinsamer Verantwortlichen; des Datenschutzbeauftragten; Verarbeitungszweck(e); Datenarten; Kategorien betroffener Personen; Datenübermittlungsempfänger Datenübermittlungen in Drittstaaten; soweit möglich die geplante Speicherdauer von Daten; Datensicherheitsmaßnahmen. Verfahrensverzeichnis ist zu erstellen! Inhalt weitgehend ident mit bisherigen DVR-Meldungen, bis auf zusätzliche Angabe der Speicherdauer und Wegfall der Rechtsgrundlage! www.kt.at 28

Verfahrensverzeichnis (Art 30 DSGVO) Neu: Dokumentationspflicht auch auf Auftragsverarbeiter anwendbar! Auftragsverarbeiter müssen für jeden Verantwortlichen ein Verfahrensverzeichnis führen! Ausnahmen: Verantwortliche und Auftragsverarbeiter mit weniger als 250 Arbeitnehmern: Verzeichnis nur für Verarbeitungstätigkeiten, die Risiko für Rechte und Freiheiten der betroffenen Personen bergen, nicht nur gelegentlich erfolgen oder sensible oder strafrechtlich relevante Daten verarbeiten! Daher z.b. Personalverwaltung (sensible Daten wie Religionsbekenntnis) immer in Verfahrensverzeichnis aufnehmen! www.kt.at 29

Verfahrensverzeichnis - Praxisbeispiel www.kt.at 30

Verfahrensverzeichnis - Praxisbeispiel www.kt.at 31

Internationaler Datenverkehr über EU-Grenzen hinaus Bisher: oft Vorab-Genehmigung der Datenschutzbehörde erforderlich, wenn Daten über EU-Grenzen geschickt werden oder von dort eingesehen werden. zb im Konzern, oder bei Cloud-Applikationen www.kt.at 32

Internationaler Datenverkehr über EU-Grenzen hinaus (Auszug) Künftig: Genehmigungsfreie Übermittlung ua bei: Ausdrückliche Zustimmung der betroffenen Personen, nachdem diese über die Risiken der Datenübermittlung ohne Angemessenheitsbeschluss oder geeignete Garantien informiert wurde; Notwendigkeit der Vertragserfüllung; Drittland mit anerkanntem Datenschutzniveau (zb Schweiz, Kanada) Binding Corporate Rules (BCR) unternehmensinterne Datenschutzvorschriften; Abschluss von Standarddatenschutzklauseln; Verhaltensregeln (Code of Conduct) Zertifizierung Achtung bei Cloud-Anwendungen: Meist über EU-Grenzen hinaus! Internationaler Datenverkehr ist im Verfahrensverzeichnis zu dokumentieren. www.kt.at Dokumentieren, welches Rechtsinstrument die Basis 33 ist!

Datenschutzbeauftragter Wann braucht man einen Datenschutzbeauftragten? www.kt.at 34

Wann ist DSB erforderlich (Art 37 DSGVO) (1/2) Ein Datenschutzbeauftragter ist erforderlich In Körperschaften öffentlichen Rechts; ausgenommen Gerichte im Rahmen justizieller Tätigkeit Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters die umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich macht oder in der umfangreichen Verarbeitung besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen besteht. Nationale Gesetze oder europäische Rechtsvorschriften können weitere Fälle vorsehen, in denen ein DSB erforderlich ist; www.kt.at 35

Wann ist DSB erforderlich (Art 37 DSGVO) (2/2) DSB kann sowohl von Verantwortlichen als auch von Auftragsverarbeitern freiwillig bestellt werden; Gemeinsame DSB Eine Unternehmensgruppe kann einen gemeinsamen DSB ernennen, sofern der DSB von allen Niederlassungen leicht erreichbar ist (DSB muss Amtssprache beherrschen); DSB kann Mitarbeiter oder externer Dienstleister des Verantwortlichen oder Auftragsverarbeiters sein; www.kt.at 36

Die Rolle des DSB (Art 38 DSGVO) DSB wir aufgrund seiner beruflichen Qualifikation und seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben. DSB muss ordnungsgemäß und frühzeitig über alle Angelegenheiten informiert werden, die sich auf den Schutz personenbezogener Daten beziehen; Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden; Der DSB berichtet unmittelbar der höchsten Managementebene (z.b. Vorstand oder Geschäftsführung); www.kt.at 37

Die Rolle und Aufgaben des DSB (Art 38f DSGVO) Der DSB ist zur Verschwiegenheit im Bezug auf seine Tätigkeit verpflichtet; Der DSB darf andere Tätigkeiten wahrnehmen; Verantwortliche bzw. Auftragsverarbeiter müssen aber sicherstellen, dass es dadurch zu keinem Interessenskonflikt kommt; Aufgaben u.a.: Information und Beratung von Auftraggeber und Dienstleister über Verpflichtungen nach DSGVO und DSG Überwachung der Einhaltung der Datenschutzgesetze Schnittstelle zur Datenschutzbehörde www.kt.at 38

Betroffenenrechte Was hat jeder Kunde, Lieferant, Mitarbeiter für Rechte gegen das Unternehmen? Was bedeutet das für jeden Unternehmer? www.kt.at 39

Informationspflicht (Art 13 f DSGVO) Pflicht zur Mitteilung folgender Informationen an betroffene Personen (Pflichtinformation): Name/Kontaktdaten des Verantwortlichen (Datenschutzbeauftragten); Zwecke der Datenverarbeitung; Rechtsgrundlagen der Datenverarbeitung (ggf. Offenlegung überwiegender berechtigter Interessen); (Kategorien von) Übermittlungsempfängern, Übermittlungen in Drittländer Pflicht zur Zurverfügungstellung folgender Informationen nach Treu und Glauben : Speicherdauer von Daten oder Kriterien für Bestimmung derselben; Hinweis auf Betroffenenrechte (inkl. Hinweis auf Beschwerderecht); Hinweis auf Widerrufsrecht von Zustimmungserklärungen; Hinweis auf Logik und Auswirkungen einer automationsunterstützten Entscheidungsfindung; Bei geplanter weiterer Verwendungszwecken -> neue Informationspflicht, wenn nicht gleich darüber informiert! Auf umfangreiche Informationspflichten vorbereiten! www.kt.at 40

Information durch Bildsymbole (Vorstellung des Europäischen Parlaments) Bildsymbole sollen Informationspflicht nur ergänzen. Standardisierte Bildsymbole sollen von Kommission erstellt werden. www.kt.at 41

Auskunftsrecht (Art 15 DSGVO) Verantwortliche müssen bekannt geben, ob Daten über eine bestimmte betroffene Person verarbeitet werden; Bei Verarbeitung: Verarbeitungszweck(e); Kategorien personenbezogener Daten (Datenarten); Empfänger/Kategorien von Empfängern, speziell bei Empfängern in Drittstaaten oder bei internationalen Organisationen; Information über die geeigneten Garantien (z.b. (Standard)Vertragsklauseln, BCR, Datenschutzsiegel, etc.) im Zusammenhang mit der Übermittlung; Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für deren Festlegung; das Bestehen von Berichtigungs-, Löschungs-, Widerspruchsrechten oder auf Einschränkung der Verarbeitung personenbezogener Daten; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ( private Rechtsmittelbelehrung ); www.kt.at 42

Recht auf Datenübertragbarkeit (Art 20 DSGVO) Recht betroffener Personen, zur Verfügung gestellte Daten in maschinenlesbarer Art zu erhalten und an einen anderen Verantwortlichen zu übertragen, wenn: die Verarbeitung aufgrund der Einwilligung oder eines Vertrages erfolgt Wenn technisch möglich, sollen die Daten direkt zwischen Verantwortlichen übertragen werden; Ausnahmen: wenn Verarbeitung für die Wahrnehmung einer Aufgabe des öffentlichen Interesses erfolgt oder Rechte und Freiheiten anderer verletzten würde. Beachte: Recht auf Datenübertragbarkeit besteht nur an Daten, die betroffene Personen bereitgestellt haben! www.kt.at 43

Weitere Rechte Recht auf Löschung Recht auf Berichtigung Recht auf Einschränkung Wenn Betroffenenrechte nicht beachtet werden: Strafrahmen bis EUR www.kt.at 44 20 Mio!

Dienstleister Was ist bei Dienstleistern (Auftragsverarbeitern) zu beachten? www.kt.at 45

Auftragsverarbeiter (Art 28 DSGVO) Verantwortliche müssen Auftragsverarbeiter auswählen, die hinreichende Garantien für eine Verarbeitung im Einklang mit den Anforderungen der DSGVO treffen und den Schutz der Rechte der Betroffenen sicherstellen (andernfalls: Auswahlverschulden ); Vertragliche Vereinbarung mit Auftragsverarbeiter ist zwingend schriftlich abzufassen (auch elektronisch möglich) Überblick über Auftragsverarbeiter und weitere Auftragsverarbeiter schaffen; laufendes Management der Auftragsverarbeiterverträge absolut notwendig! www.kt.at 46

Datensicherheitsmaßnahmen Grundanforderungen Datenschutz durch Technik und Voreinstellungen www.kt.at 47

Grundanforderungen (Art. 32 DSGVO) AG ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu implementieren, um sicherstellen und belegen zu können, dass er die DSGVO einhält. Dazu können auch die Einhaltung von Verhaltensregeln und Zertifizierungen dienen. Die Maßnahmen sind abhängig von Art, Zweck, Umfang und Kontext der Verarbeitung und den Risiken für die Privatsphäre der Betroffenen. Risikoevaluierung sollte durch objektives Assessment erfolgen Die Maßnahmen sind zu überprüfen und sofern notwendig zu aktualisieren. Wo es im Hinblick auf die Datenverwendung verhältnismäßig ist, müssen die Maßnahmen die Implementierung von geeigneten Datenschutz- Policies durch den AG beinhalten. www.kt.at 48

Datenschutz durch Technik (Art 25 Abs 1 DSGVO) Datenschutz durch Technik (data protection by design) Verantwortlicher muss: sowohl bei Festlegung der Mittel als auch bei der Verarbeitung selbst technische und organisatorische Maßnahmen (wie z.b. Pseudonymisierung der Daten) treffen, um die Datenschutzprinzipien (Art 5 DSGVO, z.b. die Datenminimierungspflicht) effektiv zu implementieren, um die Anforderungen der DSGVO zu erfüllen. Maßnahmen müssen dem Stand der Technik entsprechen und wirtschaftlich vertretbar sein und im Verhältnis zu Art, Zweck, Umfang und Kontext der Verarbeitung und den Risiken für die Privatsphäre der Betroffenen stehen. www.kt.at 49

Datenschutzfreundliche Voreinstellungen (Art 25 Abs 2 DSGVO) Datenschutzfreundliche Voreinstellungen (data protection by default) Verantwortlicher muss: geeignete technische und organisatorische Maßnahmen treffen, um zu sichern, dass standardmäßig nur jene Daten verarbeitet werden, die für den jeweiligen Zweck notwendig sind. Dies bezieht sich auf die Menge der gesammelten Daten, den Umfang der Verarbeitung, die Speicherdauer und ihre Zugänglichkeit. Insbesondere sollen Daten standardmäßig nicht ohne die Intervention des Betroffenen einer unbestimmten Personenanzahl zugänglich gemacht werden (Bsp: Social Media-Voreinstellungen). Diese Maßnahmen sind immer anzuwenden! Keine Einschränkung durch wirtschaftliche Verhältnismäßigkeit! www.kt.at 50

Schutzverletzung Was muss bei einer Verletzung des Schutzes der Daten getan werden? www.kt.at 51

www.kt.at 52

www.kt.at 53

Meldung an Behörde (Artikel 33 DSGVO) Mitteilung durch Verantwortlichen an die Behörde unverzüglich (max. 72 Stunden Möglichkeit der schrittweisen Meldung, Verzögerung ist mit der Meldung zu begründen); Ausnahme: keine Gefahr für betroffene Personen; Inhalt der Meldung Beschreibung des Vorfalls; Angabe der betroffenen Datenarten, der Anzahl der betroffenen Personen, sowie der Zahl der Datensätze; Nennung des Ansprechpartners beim Auftraggeber (z.b.: Datenschutzbeauftragter); Abschätzung der Folgen für die Betroffenen; Beschreibung der ergriffenen Maßnahmen. www.kt.at 54

Benachrichtigung von betroffenen Personen (Artikel 34 DSGVO) Betroffene Personen sind unverzüglich zu informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge haben wird; Meldung soll inhaltlich ident mit jener an die Behörde sein! Ausnahmen: Die personenbezogenen Daten waren verschlüsselt; Der Verantwortliche kann die hohen Risiken für die Betroffenen durch das Ergreifen von Maßnahmen abwenden; Unverhältnismäßigkeit des zu treibenden Aufwands Öffentliche Mitteilung ist zu erstatten; Pflicht zur Verständigung der Betroffenen kann auch von der Behörde auferlegt werden. www.kt.at 55

Datenschutz-Folgenabschätzung Wann muss eine Datenschutz- Folgenabschätzung gemacht werden? www.kt.at 56

Datenschutz-Folgenabschätzung (Art 35 DSGVO) Datenschutzfolgeabschätzung (DPIA) notwendig, wenn hohes Risiko für Rechte und Freiheiten von Personen besteht aufgrund: neuer Technologien; der Art, des Umfangs, der Umstände oder der Zwecke der Verarbeitung. DPIA ist insbesondere durchzuführen bei: automatischer, systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen (einschließlich Profiling ), die einer Entscheidung zugrunde liegen, die Rechtswirkungen für die Personen entfaltet; umfangreicher Verarbeitung sensibler Daten und von Daten bezüglich einer strafrechtlichen Anschuldigung und bei umfangreicher, systematischer Überwachung öffentlich zugänglichen Raums. Wenn DPIA Risiken zeigt, die nicht in den Griff zu bekommen sind: Konsultation der Datenschutzbehörde erforderlich. Verantwortlicher hat DPIA bei großer Gefahr für Geheimhaltungsinteressen von www.kt.at 57 betroffenen Personen vorab durchzuführen!

Fit bis 2018: 10-Punkte-Fahrplan für die Datenschutz-Reform 1 2 3 4 5 6 7 8 9 10 Projektverantwortlichen/Datenschutzbeauftragten bestellen, Projektstart Prüfen ob DSB nötig und wenn möglich gleich damit betrauen oder einbinden; interne/externe Mitwirkende definieren, Projektumfang, Budget und Zeithorizont definieren Verfahrensverzeichnis/internationaler Datenverkehr Status Quo erheben und Dokumentation erstellen; Datensicherheitsmaßnahmen; Internationalen Datenverkehr abarbeiten Zustimmung; Grundprinzipien und Rechtsgrundlagen Zustimmungen prüfen; Grundprinzipien und RGL pro Anwendung prüfen Dienstleister Verträge Dienstleister identifizieren, Dienstleisterverträge abschließen und archivieren Policies IT-Policies überarbeiten, evtl. auch gleich Betriebsvereinbarungen prüfen Informationspflicht; Betroffenenrechte Infopflichten vorbereiten; Auskunftsrecht, Löschungsrecht, Datenportabilität, Verständigungspflichten Datenmissbrauch Organisation darauf vorbereiten; Musterschreiben; Notfallkontakte; Ernstfall üben Datenschutz durch Technik und Voreinstellungen Anwendbarkeit prüfen; technische und organisatorische Maßnahmen umsetzen Datenschutz-Folgenabschätzung Prüfen ob erforderlich; wenn ja, durchführen. Evtl. Konsultation DSB notwendig Schulung Schulung der Belegschaft in allen Ebenen und Geschäftsbereichen zur Awarenessbildung und Prävention www.kt.at 58

Beratungspaket www.kt.at 59

Fragen? RA Dr. Rainer Knyrim Knyrim Trieb Rechtsanwälte OG 1060 Wien, Mariahilfer Straße 89A Tel. +43/1/9093070, Fax +43/1/9093639 Email ky@kt.at www.kt.at www.kt.at 60

Herzlichen DANK UNTERLAGEN zur Veranstaltung http://wko.at/stmk/rs/va ZUSAMMENFASSUNG der Veranstaltung Die Veranstaltung wird gefilmt und ist mit wichtigen TIPPS unter www.wko.tv abzurufen. ANFRAGEN E rechtsservice@wkstmk.at oder T 0316/601-601

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback