Grundlagen des Datenschutzrechts

Ähnliche Dokumente
Datenschutz. RA Dr. Lukas Feiler, SSCP, CIPP/E. Marketing und Vertrieb, MSc WS

Datenschutz und Werbung. WKÖ Datenschutz im Fokus, 12. Oktober 2017 RA Dr. Lukas Feiler, SSCP, CIPP/E

Die 69 Öffnungsklauseln der DS-GVO Regelungsspielräume der nationalen Gesetzgeber. DS-GVO ante portas, 1. Juni 2017 RA Dr. Lukas Feiler, SSCP CIPP/E

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Das EU-Datenschutzrecht

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Datenschutzreform 2018

Die Europäische Datenschutz- Grundverordnung. Schulung am

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

Datenschutz und IT-Sicherheit im Krankenhaus

SEMINAR Datenschutz-Grundverordnung

EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO)

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Grundlagen des Datenschutzrechts

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

EU-Datenschutz- Grundverordnung

Stärken und. Schwächen Analyse der EU-DSGVO aus Sicht des EU-Bürgers. eine qualitative Inhaltsanalyse. Esther Jobst, Eva-Maria Meyr, Christian Vellmer

Handlungsbedarf für Schweizer Firmen

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

DATENSCHUTZGRUNDVERORDNUNG

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Eine Praxiseinführung in die Datenschutz-Grundverordnung

BvD. Management-Summary. Überblick in 10 Schritten

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

Datenschutzreform 2018

Das neue Datenschutzrecht der EU

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

I. Einleitung. Werbeakquisition, Abound Vertriebsdaten, Datengewinnung im Web und bei Aktionen. Dr. Dominic Broy. Juristischer Referent des EMR

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Quo vadis, Datenschutz?

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Blockchain Bitcoin Smart Contracts Rechtliche Grundlagen

CHECKLISTE DATENSCHUTZ

CYBER-RISKS VERANTWORTUNG VON UNTERNEHMEN

Datenschutzbeauftragte isd DSGVO. (Data Protection Officer DPO)

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

Datenschutz-Grundverordnung im Automobilbereich

Die neue Grundverordnung des europäischen Datenschutzes

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018

Recht auf Datenschutz

DATENSCHUTZ IM RAHMEN VON KLINISCHEN STUDIEN

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

Datenschutz- Compliance nach der DS- GVO: Sicherstellung und Überwachung

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Datenschutzrecht; To-Dos und

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

Die neue EU-DSGVO. Carmen De la Cruz Böhringer, RA lic. iur., de la cruz beranek Rechtsanwälte AG

BigData RA Mag. Michael Lanzinger

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Dr. Thomas Schweiger, LLM (Duke) :05 Folie 1

Grundlagen des Datenschutzes

Datenschutz Grundverordnung

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Datenschutz SAMMLUNG SPEICHERUNG VERWENDUNG VON DATEN? Was sind personenbezogene Daten? Bessere Vorschriften für kleine Unternehmen.

Monitoring. Möglichkeiten und Grenzen des Datenschutzes. <Prof. Dr. Gabriele Beger, (HRK) nexus, >

Dr. Thomas Schweiger, LLM (Duke) :08 Folie 1

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Newsletter Datenschutz

Weisung des Roche-Konzerns. betreffend. Schutz von personenbezogenen Daten

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Datenschutzreform 2018

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Schreckgespenst neuer Datenschutz 49. Bildungswoche der österreichischen Holzbau und Zimmermeister in Alpbach

Neue datenschutzrechtliche Anforderungen an Versicherungsunternehmen

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Datenschutzreform 2018

EU-Datenschutz- Grundverordnung. Praxishinweis. Grundlegendes bleibt wie bisher

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Transkript:

Grundlagen des Datenschutzrechts VO Grundlagen des Technologierechts II 14. März 2017 / RA Dr. Lukas Feiler, SSCP, CIPP/E

Agenda 1 Wozu Datenschutz-Compliance? 2 Welche Datenverarbeitungen sind erfasst? 3 Zulässigkeit der Datenverarbeitung 4 Betrieblicher Datenschutzbeauftragter 5 Datensicherheitspflichten 6 Pflichten zur Datenaufbewahrung und -löschung 7 Meldepflichten 8 Section titledokumentationspflichten 9 Outsourcing 10 Internationale Datenübermittlungen 11 Geldstrafen

Wozu Datenschutz-Compliance? Rechtsrahmen In Österreich: Datenschutzgesetz 2000 (DSG 2000) ab 25. Mai 2018: Datenschutz-Grundverordnung der EU (DSGVO) Geldstrafen von bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes Haftung der Geschäftsleitung Für Verwaaltungnsstrafen haften Mitgleider der Geschäftsleitung grds solidarisch mit der Gesellschaft (für DSGVO noch offen) Haftung gegenüber der Gesellschaft aus Dienstvertrag 3

Datenschutz als Grundrecht Europäische Menschenrechtskonvention Schützt Privatsphäre (Artikel 8) EU Grundrechtscharta Schützt das Grundrecht auf Datenschutz (Artikel 8) Österreich: 1 Datenschutzgesetz 2000 USA 4. Verfassungszusatz: Schutz vor unreasonable searches & seizures; gilt aber nur wenn reasonable expectation of privacy (Katz v. United States, 389 U.S. 347 (1967)) secrecy paradigm 4

Welche Datenverarbeitungen sind erfasst? Jede Verarbeitung personenbezogener Daten ist erfasst Verarbeiten: jede Handhabung von Daten (auch gespeichert halten) personenbezogene Daten: Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen DSG 2000: natürlich und juristische Personen DSGVO: nur natürliche Personen 5

Akteure im Bereich des Datenschutzrechts betroffene Person natürliche Personen Verantwortlicher natürliche oder juristische Person entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Auftragsverarbeiter natürliche oder juristische Person, die im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet Aufsichtsbehörde 6

Akteure im Bereich des Datenschutzes 7

Räumlicher Anwendungsbereich Wo gilt die DSGVO? Verantwortlicher/Auftragsverarbeiter haben ihren Sitz in der EU die Verarbeitung findet im Rahmen der Tätigkeiten einer Niederlassung in der EU statt Verantwortlicher/Auftragsverarbeiter haben keinen Sitz in der EU Verarbeitung von Daten von Personen mit Wohnsitz in der EU steht im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an EU Bürger unabhängig von einer Zahlung durch die betroffene Person der Beobachtung des Verhaltens von betroffenen Personen innerhalb der EU 8

Verhältnis der DSGVO zu nationalen Datenschutzgesetzen Unmittelbare Anwendbarkeit der DSGVO kein Fortbestehen der nationalen Datenschutzgesetze nach dem 25. Mai 2018 Außerhalb des Anwendungsbereichs der DSGVO Spielraum des nationalen Gesetzgebers 69 Öffnungsklauseln zb Einwilligung, Daten über strafrechtliche Verurteilungen 9

Zulässigkeit der Datenverarbeitung Grundsätze der Datenverarbeitung Rechtmäßigkeit datenschutzrechtliche Rechtsgrundlage erforderlich Treu und Glauben Transparenz Zweckbindung Datenminimierung und Speicherbegrenzung Richtigkeit Sicherheit 10

Datenschutzrechtliche Rechtsgrundlage 1. Einwilligung gegeben (informierte und freie Zustimmung) 2. Verarbeitung ist für die Erfüllung eines Vertrags erforderlich 3. gesetzliche Verpflichtung des Verantwortlichen 4. lebenswichtige Interessen der betroffenen Person 5. öffentliches Interesse oder in Ausübung öffnetlicher Gewalt, die dem Verantwortlichen übertragen wurde 6. überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten 11

Neue Grenzen für die elektronische Einwilligung nach der DSGV Schlüssige oder ausdrückliche Zustimmung Checkbox darf nicht per default angehakt sein Zustimmung durch AGB? in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache von anderen Regelungsgegenständen der AGB klar zu unterscheiden 12

Herausforderungen bei der Einwilligung von Personen unter 16 Jahren (1) Zustimmung von Minderjährigen grds erst gültig ab 16 Jahren (Art 8 DSGV) < 16 Jahre: Zustimmung der Erziehungsberechtigten erforderlich Verantwortlicher muss angemessene Anstrengungen unter Berücksichtigung der vorhandenen Technologie unternehmen Praktische Umsetzung Angebot nicht auf Unter-16-Jährige ausrichten Registrierung nur zulassen, wenn Geburtsdatum angegeben 13

Herausforderungen bei der Einwilligung von Personen unter 16 Jahren (2) Überwiegendes berechtigtes Interesse als alternative Rechtsgrundlage? z.b. wenn pseudonymisiert DSGV ermächtigt nationalen Gesetzgeber zur Herabsetzung der Altersgrenze 14

Daten als Ware & neue Grenzen der Einwilligung Viele Gratis Dienste im Internet setzen Zustimmung zur Datenerhebung voraus Zustimmung nur gültig, wenn sie frei ist Grds nicht frei, wenn (Art 7 Abs 4 DSGV): Durchführung eines Vertrages wird von Zustimmung zur Datenverarbeitung abhängig gemacht und Datenverarbeitung für Vertragserfüllung nicht erforderlich Daten-getriebene Geschäftsmodelle prüfen und absichern 15

Sensible Daten rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, und religiöse oder weltanschauliche Überzeugung hervorgeht. genetischen und biometrischen Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben überwiegendes berechtigtes Interesse ist nicht ausreichend Einwilligung muss ausdrücklich erfolgen 16

Bestellung eines betrieblichen Datenschutzbeauftragten (1) DSG 2000: Keine Regelungen Mit der DSGVO verpflichtend, wenn Behörde oder öffentliche Stelle aus Verantwortlicher fungiert Daten-getriebenes Geschäftsmodell nach nationalem Recht vorgeschrieben (voraussichtlich in Deutschland, nicht in Österreich) 17

Bestellung eines betrieblichen Datenschutzbeauftragten (2) Persönliche Voraussetzungen beruflichte Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts kann, muss aber nicht Arbeitnehmer des Verantwortlichen sein Bestellung eines externen Datenschutzbeauftragten ist möglich 18

Stellung des betrieblichen Datenschutzbeauftragten nach der DSGVO Unmittelbare Berichterstattung an die höchste Managementebene Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen muss über alle notwendigen Ressourcen verfügen hat Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen Anlaufstelle für betroffene Personen Verschwiegenheitsverpflichtung Grds keine Haftung nach der DSGVO 19

Datensicherheitspflichten nach der DSGVO (1) Daten sind zu schützen vor Verlust der Vetraulichkeit Verlust der Verfügbarkeit Verlust der Integrität Risikoangemessene Sicherheitsmaßnahme unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, Umfangs & Zwecke der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen 20

Datensicherheitspflichten nach der DSGVO (2) Angemessene Maßnahmen umfassen laut DSGV insb.: Pseudonymisierung und Verschlüsselung die Fähigkeit, die Sicherheit der Systeme sicherzustellen die Fähigkeit, Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits Technische Standards ausreichend? z.b. Center for Internet Security Critical Security Controls oder ISO/IEC 27001? 21

Dokumentationspflichten Österreich: grds keine DSGVO: Führung eines Verzeichnisses der Verarbeitungstätigkeiten auf Anfrage der Aufsichtisbehörde bereitzustellen betroffene Personen haben kein Recht auf Einsicht Mindesinhalt des Verzeichnisses nach DSGVO: Name und Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten Verarbeitungszwecke, Kategorien betroffener Personen, personenbezogener Daten und Empfänger Informationen zu Datenübermittlungen in Drittländer Speicherdauer Datensicherheitsmaßnahmen 22

Privacy Impact Assessments & vorherige Konsultation verpflichtend, wenn voraussichtlich hohes Risiko für, insb. bei Profiling umfangreicher Verarbeitung sensibler oder strafrechtlich relevanter Daten systematischer, umfangreicher Überwachung öffentlicher Bereiche Inhalt des Privacy Impact Assessments Beschreibung der Verarbeitungsvorgänge und Zwecke Bewertung der Notwendigkeit und Verhältnismäßigkeit Beschreibung allfälliger Abhilfemaßnahmen Risikobewertung (niedrig/mittel/hoch) Wenn hohes Risiko: vorherige Konsultation mit Datenschutzbehörde 23

Outsourcing Datenübermittlung an Dienstleister Verantwortliche kann sich zur Datenverarbeitung eines Auftragsverarbeiters bedienen Auftragsverarbeiter muss ausreichende Gewähr für rechtmäßige und sichere Datenverwendung bieten Auftragsverarbeitervereinbarung muss nach DSGVO Pflichten des Auftragsverarbeiters festlegen Weisungsgebundenheit Verpflichtung zur Vertraulichkeit aller Gehilfen Sicherheitsmaßnahmen Sub-Auftragsverarbeiter nur mit Zustimmung Duldung und Unterstützung von Audits Datenrückgabe (in welchem Format?) 24

Internationale Datenübermittlungen Wenn Empfänger in der EU/EWR: ok Wenn in Drittland mit adäquatem Datenschutzniveau: ok zb Kanada, Schweiz U.S. Privacy Shield: angemessener Datenschutz, wenn sich der Empfänger nach Privacy Shield selbst-zertifiziert hat Wenn in Drittland kein adäquates Datenschutzniveau Grds: sog. Standardvertragsklauseln erforderlich DSG 2000: genehmigungspflichtig DSGVO: keine Genehmigung erforderlich Wichtigste Ausnahme: ausdrückliche Einwilligung der Betroffennen 25

Verhängung und Bemessung von Geldbußen im Konzern Strafrahmen nach DSGVO: bis zu 20 Millionen Euro oder 4 % des weltweiten jährlichen Umsatzes des Unternehmens Unionskartellrechtlicher Unternehmensbegriff Bemessung der Strafe: weltweiter Umsatz des gesamten Konzerns maßgeblich (Art 83 ivm Erwägungsgrund 150 Satz 3 DSGVO) Strafe kann auch über Konzernmutter verhängt werden Mitverantwortung der Konzernobergesellschaft, wenn Tochtergesellschaft Verhalten nicht autonom bestimmt widerlegliche Vermutung bei 100%-igen Tochtergesellschaften (EuGH C-107/82 AEG) 26

RA Dr. Lukas Feiler, SSCP CIPP/E Senior Associate Baker & McKenzie Schottenring 25 1010 Wien T: +43 1 2 42 50 F: +43 1 2 42 50 600 lukas.feiler@bakermckenzie.com www.bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker & McKenzie Rechtsanwaltsgesellschaft mbh, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker & McKenzie International. 2017 Baker & McKenzie

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback