Die neue EU-DSGVO Carmen De la Cruz Böhringer, RA lic. iur., 22.11.2016
2 Bedeutung der neuen EU- DSGVO
3 Warum die neue EU-DSGVO für Unternehmen en wichtig ist: beachtliche Bussen möglich Anwendung auch ausserhalb EU Bestimmungsrechte der Betroffenen Meldepflichten bei Verletzungen Datenübermittlung an Drittländer Datenschutzbeauftragter Jugendschutz
4 Agenda
5 Agenda Räumlicher Anwendungsbereich Einwilligung des Kunden Organisatorische und technische Massnahmen Meldepflichten bei Datenschutzverletzungen Betriebsinterner Datenschutzbeauftragter Datenschutz-Folgenabschätzung Übermittlung von Daten an Drittländer Bussen Jugendschutzbestimmungen
6 Räumlicher Anwendungsbereich
7 Räumlicher Anwendungsbereich (1) Bisherige Rechtslage: Datenschutz-Richtlinie 95/46/EG Territorialitätsprinzip: Nur Bearbeitung der Daten auf dem Gebiet der EU Bearbeitung der Daten auf Mitteln, welche in der EU gelegen sind
8 Räumlicher Anwendungsbereich (2) Neue Rechtslage (Art. 3 EU-DSGVO): Betroffene Bearbeiter mit Sitz / Niederlassung in der EU In der EU erfolgtes Verhalten Auswirkungsprinzip: Betroffene (Wohn)Sitz in der EU Auch Datenverarbeitungen ausserhalb der EU Keine Standortgebundenheit der Bearbeitung Herkunft der Daten unerheblich Territorialitätsprinzip Anwendbarkeit von öffentlichem Recht nur auf schweizerische Sachverhalte
9 Einwilligung des Kunden
10 Einwilligung: Übersicht Grundprinzipien Übersicht über die neuen Grundprinzipien bezüglich Einwilligung:
11 Neukonzeption der ausdrücklichen Einwilligung Notwendigkeit der ausdrücklichen Einwilligung der betroffenen Person «Opt-in» Einwilligung (EU-DSGVO 6 (a)) Einwilligung nur bei entsprechender Erklärung Erklärender hat Tragweite der Einwilligung erkannt Auswirkungen im Bereich des Internets Bsp. Cookies: ausdrückliche Einwilligung durch Pop-up-Felder Ausgeschlossen sind stillschweigende Annahme Stillschweigendes Einverständnis Standardmässig angekreuzte Kästchen Extensive Datenschutzerklärung gemäss AGB
12 Nachweis / Widerruf der Einwilligung Anforderungen an Widerruf (Art. 7 EU-DSGVO): Herabsetzung der Anforderungen Begründungsloser Widerruf Jederzeitiger Nachweis Einfache Gestaltung
13 Recht auf «Vergessenwerden» Art. 17 EU-DSGVO hält folgende Rahmenpunkte fest: Statuierung eines expliziten Rechts auf Löschung Verhältnis zum Recht auf Widerruf Ausführung der Löschvorgänge Verwendung umfassender Protokolllösungen
14 Recht auf Datenübertragbarkeit Recht auf Erhalt der personenbezogenen Daten Strukturiertes, gängiges und maschinenlesbares Format Möglichkeit der Übermittlung an anderen Verantwortlichen
15 Folgen für Unternehmen Einwilligung: Prozess, Detaillierungsgrad, Zweckänderungen auch in elektronischer Form möglich Einführung effektiver Prozesse für die Umsetzung des Widerrufs Vorsicht bei der Gestaltung von Webseiten, Apps und digitalen Diensten Genaue Dokumentation der personenbezogenen Daten Art der Daten Herkunft Weitergabe Überprüfung des Löschverfahrens
16 Organisatorische und technische Massnahmen
17 Organisatorische Massnahmen (1) Statuierung einer allgemeinen Pflicht zur Implementierung von technischen und organisatorischen Massnahmen Umsetzung mit der Pflicht zum Nachweis der vorgeschriebenen Implementierung Sicherstellung der durch Verordnung vorgeschriebenen Verarbeitung Überprüfung und Aktualisierung von Massnahmen
18 Technische Massnahmen: Im Allgemeinen Allgemeine Massnahmen (Art. 32 EU-DSGVO) Technische Massnahmen und Wahl der Mittel Datenbearbeitungsprozesse nach Stand der Technik Beispiele: Pseudonymisierung Sicherstellung der Vertraulichkeit Datenwiederherstellung Verfahren zur regelmässigen Überprüfung Besondere Beachtung sensibler Daten Ausnahmetatbestand Definition Verschärfung risikobasierter Einstufung Folgen
19 Technische Massnahmen: Verzeichnisse (1) A. Besonderheiten bei der Erstellung von Verzeichnissen (Art. 30 EU-DSGVO) Unternehmensleitung für Verfahrensverzeichnisse verantwortlich Auftragsverarbeiter ebenfalls zur Führung von Verfahrensverzeichnissen verpflichtet Beschränktes Einsichtsrecht
20 Technische Massnahmen: Verzeichnisse (2) B. Inhalt der Verzeichnisse => Beispiele Name des Verantwortlichen Zwecke der Verarbeitung Betroffene Personen und personenbezogene Daten Empfänger Übermittlungen von Daten an Drittland
21 Technische Massnahmen: Verzeichnisse (3) C. «Logfiles» Erstellen eines Protokollierungsmechanismus («Logfiles») Orientierung an Ausführungen im Leitfaden des EDÖB Beispiele: Erstellung von Katalogen mit umschriebenen Kriterien Anpassung der Aufbewahrungsdauer der Logfiles Inhalt und Aufbewahrungsdauer der Logfiles stehen in einem Verhältnis zu den Daten und den vorgenommenen Bearbeitungen
22 Meldepflichten bei Datenschutzverletzungen
23 Meldepflichten (1) A. Meldepflicht an Aufsichtsbehörde (Art. 33 EU-DSGVO) Meldefrist von max. 72 Stunden Angabe von Gründen bei Nichteinhaltung der 72-Stunden-Frist Ausführliche Beschreibung des Datenschutzverstosses inkl. Einschätzung der Auswirkungen Umfassende Dokumentation der Verletzungen
24 Meldepflichten (2) B. Meldepflicht an Betroffene (Art. 34 EU-DSGVO) Grundsatz: unverzügliche Benachrichtigung des Betroffenen wenn Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat Ausnahmen: Treffen von technischen/organisatorische Sicherheitsvorkehrungen Hohes Risiko besteht nicht mehr unverhältnismässig hoher Aufwand
25 Folgen für die Unternehmen Überprüfung der internen Berichterstattung Identifikation von potentiellen Datenschutzverstössen sicherstellen Umgang mit Datenschutzverstössen
26 Betriebsinterner Datenschutzbeauftragter
27 Datenschutzbeauftragter Ernennung des Datenschutzbeauftragten durch Verantwortliche Zwingende Ernennung des Datenschutzbeauftragten: Unternehmen führt regelmässige und systematische Überwachung von betroffenen Personen aus umfangreiche Verarbeitung besonderer («sensiblen») Kategorien von Daten erforderlich Zusätzliche Auflagen durch nationales Recht möglich
28 Datenschutzbeauftragter (3) Beispiele von Aufgaben des Datenschutzbeauftragten Unterstützung ihrer Kollegen Prüfung der Vereinbarkeit der Firmenpolitik mit der DSG-VO Ratschläge geben betreffend Datenschutz- Folgenabschätzungen Kontakt mit Aufsichtsbehörden Datenschutzbeauftragter in direktem Kontakt mit Management 1 Datenschutzbeauftragter bei einer Gruppe von Unternehmen
29 Folgen für Unternehmen Beauftragter soll Auftrag ohne Weisungsgebundenheit ausführen können (Unterstellung unter den VR?) Kontrollaufgaben und arbeitsrechtliche Konsequenzen Ernennung von Datenschutzbeauftragten aus arbeitsrechtlicher Sicht? Publikation der Kontaktdaten und Mitteilung an Aufsichtsbehörde
30 Datenschutz- Folgenabschätzung
31 Datenschutz-Folgenabschätzung (1) Identifizierung und Minimierung von non-compliance Risiken Datenschutz-Folgenabschätzung in der Schweiz Durchführung der Folgenabschätzung vor Hochrisiko- Verarbeitungsaktivität Hochrisiko-Fälle mit Folgenabschätzung zwingend wenn: Form der Verarbeitung verursacht wahrscheinlich ein hohes Risiko, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke
32 Datenschutz-Folgenabschätzung (2) Neue Technologien: Beispiele o Systematische Bewertung aufgrund automatisierter Verarbeitung o Umfangreiche Verarbeitung besonderer Datenkategorien o Weiträumige Überwachung öffentlich zugänglicher Bereiche
33 Datenschutz-Folgenabschätzung (3) Veröffentlichung von Einzelheiten und Leitlinien bzgl. Hochrisiko-Fälle Minimalvorgaben in der neuen EU-DSG-VO: Beschreibung der Verarbeitungsaktivitäten und deren Zweck Beurteilung der Notwendigkeit und der Verhältnismässigkeit der Verarbeitung, die Risiken und die ergriffenen Massnahmen zur Risikominimierung, vor allem Vorsichts- und Sicherheitsmassnahmen, die dem Schutz der persönlichen Daten dienen und den Vorgaben in der DSG-VO entsprechen Meinung des Datenschutzbeauftragten bezüglich Folgenabschätzung wichtig Aufsichtsbehörde muss im Hochrisikofall in Kenntnis gesetzt werden
34 Datenaustausch / Übermittlung von Daten an Drittländer
35 Übermittlung von Daten an Drittländer (1) Bedingungen für den erlaubten Datentransfer 1. Angemessenes Schutzniveau für den Drittstaat Beurteilung der Angemessenheit: Kriterien (Auswahl) Rechtsstaatlichkeit, Menschenrechte und Grundrechte im Drittstaat Vollzug des Datenschutzrechts im Drittstaat Zugriff von Behörden auf personenbezogene Daten Rechtsprechung der Gerichte des Drittstaates
36 Übermittlung von Daten an Drittländer (2) 2. Datentransfer erfolgt auf Grundlage von Standardvertragsklauseln Standardvertragsklauseln geeignete Garantien von Kommission gemäss Prüfverfahren erlassen werden von Aufsichtsbehörde angenommenen Standarddatenschutzklauseln 3. Einzelgenehmigung des Datentransfers 4. Einwilligung der Betroffenen Vorgängige Information Aufklärung von Risiken
37 Übermittlung von Daten an Drittländer (3) 5. Datentransfer erfolgt auf der Grundlage von Binding Corporate Rules BCRs: Sicherstellung eines angemessenen Vertragsniveaus Praktische Relevanz im Bereich des Outsourcing und des Cloud Computing Inhalt der Binding Corporate Rules: Beispiele Definition des Geltungsbereichs Aufbau und Umsetzung eines Sicherheitskonzepts zum Schutz von pers. Daten Datenschutzschulung von Mitarbeitern
38 Bussen
39 Verwaltungsrechtliche Sanktionen (1) Katalog von Verstössen in EU-DSGVO grösser als im schweizerischen adsg Neue Rechte von betroffenen Personen Neue Pflichten für Bearbeiter Weitere verwaltungsrechtliche bzw. strafrechtliche Sanktionen durch Mitgliedstaaten möglich Beachtung von ne bis in idem
40 Verwaltungsrechtliche Sanktionen (2) Art. 79 Abs. 3 EU-DSGVO (a) Verstoss gegen die Pflichten als Verarbeiter Art. 8, 10, 23-39a Art. 8: Verarbeitung personenbezogener Daten eines Kindes Art. 10: Verarbeitung ohne dass die betroffene Person bestimmt werden kann Art. 23-39a: Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter (aa) Verstoss gegen Pflicht als Zertifizierungsstelle 39-39a (ab) Verstoss gegen die Pflicht als Überwachungsstelle Art. 38a Art. 79 Abs. 3a EU-DSGVO (a) Grundsätze der Verarbeitung und der Einwilligung Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten Art. 6: Rechtmäßigkeit der Verarbeitung Art. 7: Einwilligung Art. 9: Verarbeitung personenbezogener Kategorien von personenbezogenen Daten (b) Rechte der betroffenen Personen Art. 12-20: Kapitel III Rechte der betroffenen Person (ba) bei der Übermittlung personenbezogener Daten an ein Drittland oder internatl. Organisation Art. 40-44: Kapitel V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (bb) Verpflichtungen gemäss der durch den Mitgliedstaat, gemäss Kapitel IX, verabschiedete Gesetze (c) Nichteinhaltung einer Anordnung oder Beschränkung der Verarbeitung oder Aussetzung durch die Aufsichtsbehörde oder Verweigerung des Zugangs Art. 53 Abs. 1b Art. 53 Abs. 1
41 Verhängung von Geldbussen (1) Ordnungswidrigkeitstatbestände (Art. 83 EU-DSGVO) Wirksame und verhältnismässige Wirkung von Geldbussen Würdigung der Umstände des Einzelfalles Höhe der Geldbussen: EUR 10 Mio. bzw. EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 2 % bzw. 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs Durchsetzbarkeit gegen Schweizer in EU Vollstreckbarkeit in Schweiz?
42 Verhängung von Geldbussen (2) Kriterien (Auswahl) für Bussenverhängung Art, Schwere und Dauer des Verstosses Art und die Reichweite sowie der Zweck der jeweiligen Datenverarbeitung Zahl der von dem Verstoss Betroffenen Ausmass des für den Betroffenen entstandenen Schadens Vorsätzliche / fahrlässige Begehung des Verstosses
43 Tom Bayer Fotolia.com
Thank you for your attention! delacruz@delacruzberanek.com
45 Junge Kunden
46 Jugendschutzbestimmungen (1) A. Tragweite/Bedeutung der Bestimmungen Jugendschutzbestimmungen neu in der EU-DSG-VO Kinder/Jugendliche: «schutzbedürftiger natürlicher Personen» Keine Angaben bzgl. Alter des Kindes/Jugendlichen Zustimmung der Eltern wenn Online-Dienste Kindern zur Verfügung gestellt werden Beachtung des Alters
47 Jugendschutzbestimmungen (2) B. Zustimmung der Eltern: Konstellationen Falls Kind/Jugendlicher das 16. Lebensjahr vollendet hat: Verarbeitung der personenbezogenen Daten des Kindes rechtmässig Falls Kind/Jugendlicher das 16. Lebensjahr noch nicht vollendet hat: Verarbeitung von personenbezogenen Daten nur rechtmässig, sofern Einwilligung durch den Träger der elterlichen Verantwortung für das Kind Zustimmung durch Träger der elterlichen Verantwortung
48 Jugendschutzbestimmungen (3) C. Kinder-/jugendgerechte Benachrichtigungen Verständliche und leicht zugängliche Form klare und einfache Sprache Tragweite der Schutzbedürftigkeit von Kindern/Jugendlichen Kinder und Jugendliche müssen die Informationen verstehen können
49 Folgen für Unternehmen Anwendbarkeit nationaler Regeln überprüfen Anwendbarkeit nationaler Regeln auf Vertragsschlussmechanismen Offline-Datenverarbeitung Vermittlung klarer, verständlicher Informationen in kind- bzw. jugendgerechter Art und Weise Standesregeln des Unternehmens