SEMINAR Datenschutz-Grundverordnung
GRUNDRECHT AUF DATENSCHUTZ Charta der Grundrechte der Europäischen Union 8 Schutz personenbezogener Daten - Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
DSGVO Richtlinie 95/46/EG - Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. - Richtlinie = nationale Umsetzung erforderlich DSG 2000 DSGVO ab dem 25.5.2018 - EU-Verordnung = unmittelbar anwendbar - 88 Seiten - 173 Punkte Begründung - 99 Artikel
ZIELSETZUNG DER DSGVO Modernisierung - 1995 -> 2018 Stärkung und Präzisierung der Rechte der betroffenen Personen Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden Harmonisierung - Einheitlich innerhalb der gesamten EU - Nationale Abweichungen möglich - Auslegungshoheit des EuGH
ANWENDUNGSBEREICH DER DS-GVO Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines IN der EU niedergelassenen Verantwortlichen oder Auftraggebers (auch wenn Verarbeitung außerhalb der EU) im Rahmen der Tätigkeit eines AUSSERHALB der EU niedergelassenen Verantwortlichen oder Auftraggebers - Anbieten von Waren oder Dienstleistungen an Betroffene (auch kostenlos!) - Beobachten des innerhalb der EU gesetzten Verhaltens von Betroffenen
SANKTIONEN bis 10 Mio. EUR bzw. 2% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) - z.b. technisch organisatorische Schutzmaßnahmen - Verzeichnis der Verarbeitungstätigkeiten - Datenschutz-Folgenabschätzung bis 20 Mio. EUR bzw. 4% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) - z.b. Grundsätze (Art. 5) - Rechtmäßigkeit - Einwilligung - Rechte Betroffener - Drittlandsübermittlung - Zusammenarbeit mit Aufsichtsbehörde
GRUNDBEGRIFFE
GRUNDBEGRIFFE Personenbezogene Daten Verarbeitung Betroffener Verantwortlicher Auftragsverarbeiter Empfänger Dritter
GRUNDSÄTZE Zweckbindung Rechtmäßigkeit Verarbeitung nach Treu und Glauben Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Transparenz Rechenschaftspflicht
DATEN ÜBER STRAFRECHTLICHE VERURTEILUNGEN UND STRAFDATEN Daten über strafrechtliche Verurteilungen und Straftaten z.b. HR
RECHTMÄSSIGKEIT DATEN ÜBER STRAFDATEN Nur erlaubt, wenn gesetzlich vorgesehen
BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN Personenbezogene Daten über die - rassische oder ethnische Herkunft - religiöse oder weltanschauliche Überzeugung - politische Meinung - Gewerkschaftszugehörigkeit Genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person Gesundheitsdaten Daten zum Sexualleben und zur sexuellen Orientierung z.b. Optiker, Betriebskantine, HR, Betriebsrat
RECHTMÄSSIGKEIT BESONDERE KATEGORIEN Grundsätzlich verboten, außer Zweckgebundene Einwilligung des Betroffenen, soweit rechtlich möglich Arbeits- oder sozialrechtlich notwendig Erforderlich zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer natürlicher Personen UND der Betroffene ist körperlich oder rechtlich zu einer Einwilligung außerstande Partei, Kirche, Gewerkschaft etc unter bestimmten Bedingungen Durch den Betroffenen offensichtlich öffentlich gemachte Daten Zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen Gesundheitsvorsorge oder Arbeitsmedizin Öffentliches Interesse im Bereich der öffentlichen Gesundheit Gesetzlich festgelegte Archiv- und Forschungszwecke
SONSTIGE PERSONENBEZOGENEN DATEN sonstige personenbezogene Daten Einteilung in Kategorien empfehlenswert - z.b. Adressdaten, Finanzdaten, Bonitätsinformationen, Vertragsdaten etc.
RECHTMÄSSIGKEIT SONSTIGE DATEN Erforderlich zur Erfüllung eines Vertrages mit dem Betroffenen oder zur Durchführung aufgrund einer Anfrage des Betroffenen notwendigen vorvertraglichen Maßnahmen Wahrung des berechtigten, überwiegenden Interesses des Verantwortlichen oder Dritter Erforderlich zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen Erforderlich zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer natürlicher Personen Erforderlich zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung übertragener öffentlicher Gewalt Zweckgebundene Einwilligung des Betroffenen
PROFILING Profiling
RECHTMÄSSIGKEIT & ZWECKBINDUNG Bei einer Änderung des Verarbeitungszwecks neuerliche Prüfung der Rechtmäßigkeit, insbesondere - jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, - den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, - die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden, - die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, - das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
ORGANISATION & IT-SECURITY
TECHNISCH-ORGANISATORISCHE MASSNAHMEN Gewährleistung eines dem Risiko angemessenen Schutzniveaus Umsetzung durch geeignete technische und organisatorische Maßnahmen, die getroffen werden unter Berücksichtigung - des Stands der Technik, - der Implementierungskosten - der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung - sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten z.b. genehmigte Verhaltensregeln / Zertifizierungen Evaluierung und Aktualisierung im erforderlichen Maß
TECHNISCH-ORGANISATORISCHE MASSNAHMEN Insbesondere auch - die Pseudonymisierung und Verschlüsselung personenbezogener Daten; - die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; - die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; - ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
TECHNIKGESTALTUNG UND VOREINSTELLUNG Umsetzung der Datenschutzgrundsätze Datenschutzfreundliche Voreinstellung - Menge der Daten - Umfang der Verarbeitung - Speicherfrist - Zugänglichkeit z.b. Zertifizierung
FORMULARWESEN
EINWILLIGUNG DES BETROFFENEN Nachweisbar (Beweislast des Verantwortlichen) Einwilligungstext - Hervorgehoben - leicht zugängliche Form - klare und einfache Sprache - Hinweis auf Widerrufsmöglichkeit und folgen Widerruf nicht komplizierter als Einwilligung Freiwilligkeit - Kein Ausnützen von Marktmacht zur Erlangung von personenbezogenen Daten, die eigentlich nicht erforderlich sind Spezialvorschriften für die Einwilligung von Kindern
VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN Löst bisherige Meldeverpflichtung ab, Entfall der DVR-Nummer NICHT unter 250 Mitarbeiter, AUSSER - Risiko für die Rechte und Freiheiten der betroffenen Personen ODER - nicht nur gelegentliche Verarbeitung ODER - Verarbeitung besonderer Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten Umfangreiche, diffizile Pflichtangaben Massive Vorarbeiten notwendig
DATENSCHUTZ- FOLGEABSCHÄTZUNG Bei - Profiling etc. - Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Daten - Systematischer Überwachung öffentlich zugänglicher Bereiche Detaillierte Vorschriften
VORHERIGE KONSULTATION DER AUFSICHTSBEHÖRDE Bei hohem Risiko Detaillierte Vorschriften
MELDE- UND BENACHRICHTIGUNGSPFLICHT Bei Verletzung des Schutzes personenbezogener Daten - Meldung an die Aufsichtsbehörde (außer kein Risiko) - Benachrichtigung der Betroffenen (sofern hohes Risiko) Detaillierte Regelungen
BETROFFENENRECHTE
BETROFFENENRECHTE Informationspflicht bei der Erhebung von personenbezogenen Daten - bei der betroffenen Person / nicht bei der betroffenen Person - zum Zeitpunkt der Erhebung / bei Änderung des Verarbeitungszwecks Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung ("Recht auf Vergessenwerden") Recht auf Einschränkung der Verarbeitung Mitteilungspflicht an Empfänger der Daten Recht auf Datenübertragbarkeit Widerspruchsrecht Profiling
INFORMATIONSPFLICHTEN (Datenschutzerklärung) Informationen für den Fall, dass die Daten bei der betroffenen Person erhoben wurden Informationen für den Fall, dass die Daten NICHT bei der betroffenen Person erhoben wurden Zum Zeitpunkt der Erhebung Bei Änderung des Verarbeitungszwecks Umfangreiche Detailregelungen
RECHT AUF AUSKUNFT Auf Verlangen des Betroffenen: - Umfassende Informationen - Kopie der Daten - Bei Übermittlung in Drittstaaten die zugrundeliegenden Garantien
RECHT AUF BERICHTIGUNG Auf Verlangen des Betroffenen: - Berichtung unrichtiger Daten - Vervollständigung unvollständiger Daten
RECHT AUF LÖSCHUNG Recht auf Vergessenwerden Diverse Ausnahmen und Detailregelungen
RECHT AUF EINSCHRÄNKUNG DER VERARBEITUNG Statt Löschung Nur noch Speicherung, sonst nahezu keine Verarbeitungsmöglichkeiten
MITTEILUNGSPFLICHT des Verantwortlichen an alle Empfänger bei - Berichtigung - Löschung - Einschränkung Offenlegung der Empfänger auf Verlangen des Betroffenen
RECHT AUF DATENÜBERTRAGBARKEIT auf Verlangen des Betroffenen sofern Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt Zurverfügungstellung in einem strukturierten, gängigen, maschinenlesbaren Format Übermittlung direkt an den nächsten Verantwortlichen, sofern technisch machbar
RECHT AUF WIDERSPRUCH auf Widerspruch des Betroffenen sofern Verarbeitung im öffentlichen Interesse oder aufgrund der Übertragung hoheitlicher Gewalt oder aufgrund einer Interessensabwägung erfolgt Einstellung der Verarbeitung, außer zwingende, überwiegende schutzwürdige Gründe Direktwerbung - Pflicht auf Hinweis auf Widerspruchsrecht bei erster Kommunikation - Bei Widerspruch Einstellung der Verarbeitung
PROFILING Recht auf Darlegung des eigenen Standpunkts, eine Entscheidung durch einen Menschen und eine Anfechtung der Entscheidung
TRANSPARENZ UND MODALITÄTEN in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache spätestens binnen 1 Monat sonst Mitteilung der Gründe und Aufklärung über Beschwerdemöglichkeit Detailregelungen
MITWIRKENDE AUFTRAGSVERARBEITER DATENSCHUTZBEAUFTRAGTER
AUFTRAGSVERARBEITER Hinreichende Garantien für geeignete technische und organisatorische Maßnahmen als Voraussetzung für Beauftragung (z.b. Zertifizierung) Verpflichtender schriftlicher Vertrag Hinweis- und Warnpflichten des Auftragsverarbeiters bei Datenschutzverstößen Genehmigungs- und Mitteilungspflicht bei Heranziehung von Subunternehmern, Haftung für Subunternehmer Weisungsgebundenheit der Mitarbeiter des Auftragsverarbeiters an den Verantwortlichen Haftung solidarisch mit dem Verantwortlichen
DATENSCHUTZBEAUFTRAGTER Notwendig, falls - die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder - die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht, oder - sonstige Vorschriften
DATENSCHUTZBEAUFTRAGTER Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung seiner Aufgaben. Keine Interessenskollision Stellung ähnlich Betriebsrat Keine verwaltungsstrafrechtliche Verantwortung Externer Datenschutzbeauftragter
SONSTIGES DATENÜBERMITTLUNG INS AUSLAND AUFSICHTSBEHÖRDEN
Aufgabenliste Verantwortlichen festlegen. Personenbezogene Daten aufspüren, kategorisieren, Zweck festlegen, Risiken abschätzen, auf Rechtmäßigkeit prüfen. Sanierungsmaßnahmen durchführen. Verarbeitungsvorgänge definieren. Notwendige Daten, Berechtigungen, Speicherdauer festlegen. Verarbeitungsregister, Datenschutzfolgeabschätzung, Vorabkonsultation vornehmen. Einwilligungstexte, Datenschutzerklärungen, Verträge m. Auftragsverarbeitern überarbeiten. Infopflichten und Betroffenenrechte vorbereiten.
BEI FRAGEN RA Mag. Peter Harlander Harlander Rechtsanwalt GmbH Fürbergstraße 42a A-5020 Salzburg +43 (662) 623323-0 office@lawoffice.at www.lawoffice.at