Überblick über Datenschutzgrundverrdnung ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung Mag. Veriana Ostermann, Datenschutzbeauftragte des Teilknzerns der ÖBB-Persnenverkehr AG
Themen Rechtsgrundlage Überblick über zentrale Themen Umsetzung ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 28.09.2017 2
Rechtsgrundlage Verrdnung (EU) des Eurpäischen Parlaments und des Rates vm 27.04.2016 zum Schutz natürlicher Persnen bei der Verarbeitung persnenbezgener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverrdnung) 2 Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutzanpassungsgesetz 2018) Beide Rechtsgrundlagen treten mit 25.05.2018 in Kraft ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 3
Thema Rechtsgrundlage Überblick über zentrale Themen Umsetzung ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 28.09.2017 4
Überblick über die zentralen Änderungen Neue Definitinen Dramatisch erhöhter Strafrahmen Wegfall der Registrierungspflicht dafür Verpflichtung zur Führung eines Verzeichnisses vn Verarbeitungstätigkeiten (VvV) Neue erhöhte Infrmatinspflichten Neue Betrffenenrechte Grundprinzipien knkretisiert / Nachweispflichten / erhöhter Dkumentatinsaufwand Verpflichtung zur Speicherbegrenzung (Löschung / Pseudnymisierung) Neuer Fkus auf Vertraulichkeit und Integrität erhöhte Dkumentatinspflichten Privacy by default and design Gesetzliche Neuregelung der Zustimmung Datenschutzflgeabschätzung Knsultatinspflicht der Aufsichtsbehörde bei Datenverlusten Verpflichtung zur Bestellung eines Datenschutzbeauftragten Zusätzliche Verpflichtungen für Auftragsverarbeiter ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 5
Neue Definitinen 2 Datenschutzrechtlicher Auftraggeber nunmehr Verantwrtlicher Dienstleister nunmehr Auftragsverarbeiter Datenschutzbehörde nunmehr Aufsichtsbehörde ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 6
Neue Definitinen Prfiling (Opt-Out-Möglichkeit!) Auswertung persnenbezgener Daten hinsichtlich bestimmter persönlicher Aspekte des Betrffenen, insbesndere zur Analyse und Prgnse der Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, persönlicher Vrlieben, Interessen, Zuverlässigkeit, Aufenthaltsrt der Ortswechsel Pseudnymisierung technische Datenschutz- und Datenminimierungmaßnahme Verarbeitung persnenbezgener Daten, wbei eine Zurechnung zum Betrffenen erst durch zusätzliche Infrmatinen möglich ist, welche gesndert aufbewahrt werden und die Nichtidentifizierung durch technische Maßnahmen sichergestellt ist. Einwilligung Jede freiwillig für den bestimmten Fall, in infrmierter Weise und unmissverständlich abgegebene Willensbekundung in Frm einer Erklärung der einer snstigen eindeutigen bestätigenden Handlung, mit der die betrffene Persn zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden persnenbezgenen Daten einverstanden ist. ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 7
Neuer Strafrahmen Alte Rechtlage Neue Rechtslage Maximalstrafe EUR 25.000,- Bis EUR 10 Mi. der bis zu 2% des weltweiten Vrjahresumsatzes Verstöße gegen technische / rganisatr. Maßnahmen (VvV, Datenschutzflgeabschätzungen, Nichtbestellung DSB) Bis EUR 20 Mi. der 4% des weltweiten Vrjahresumsatzes Unrechtmäßige Datenverarbeitung der jene, entgegen den Grundsätzen, Rechte der Betrffenen Nichtzusammenarbeit der Verstß gegen Auflagen der Aufsichtsbehörde ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 8
Betrffenenrechte Überblick Wie bisher NEU Recht auf Auskunftserteilung Recht auf Datenübertragbarkeit Recht auf Berichtigung Recht auf Löschung Mitteilungspflicht Widerspruchsrecht (Direktwerbung, Prfiling) Recht auf Einschränkung Strafe: EUR 20 Mi / 4 % des letztjährigen weltweiten Jahresumsatzes Fristverkürzung vn 8 Wchen auf 4 Wchen ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 28.09.2017 9
Neues Betrffenenrecht Recht des Betrffenen, die vn ihm zur Verfügung gestellten Daten in maschinenlesbarer Art zu erhalten und an einem anderen für die Verarbeitung verantwrtlichen zu übergeben 2 Vraussetzungen Recht auf Datenübertragbarkeit Verarbeitung erflgt aufgrund einer Zustimmung der eines Vertrages Verarbeitung muss mit autmatischen Mitteln erflgen Wenn technisch möglich, sllen die Daten direkt zwischen den für die Verarbeitung Verantwrtlichen übertragen werden. Ausnahmen: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe des öffentlichen Interesses erflgt der Wenn Rechte und Freiheiten anderer verletzt werden würden ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 10
Widerspruchsrecht Direktwerbung / Prfiling Abslutes Widerspruchsrecht bei Direktwerbung Spätestens bei der ersten Kmmunikatin muss der Betrffene auf dieses Widerspruchsrecht gesndert hingewiesen werden. Prfiling: Grundsätzliches Widerspruchsrecht des Betrffenen Ausnahmen Prfiling ist für den Vertragsabschluss der die Vertragserfüllung erfrderlich Prfiling ist durch Rechtsvrschriften, die geeignete Schutzmechanismen vrsehen, gestattet Prfiling basiert aufgrund einer ausdrücklichen Zustimmung des Betrffenen ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 11
Grundprinzipien Grundsätze für die Verarbeitung persnenbezgener Daten Artikel 5 DSGVO Hher Strafrahmen Weitgehende Übereinstimmung mit 6 DSG ALT Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung NEU Integrität und Vertraulichkeit Schutz gegen unbefugten bzw. unrechtmäßigen Zugriff und versehentlichen Datenverlust, Zerstörung der Schädigung durch angemessene technische der rganisatrische Maßnahmen bisher nur als Datensicherheitsmaßnahme RECHENSCHAFTSPFLICHT des Verantwrtlichen! Dieser ist für die Einhaltung dieser Grundsätze verantwrtlich (Artikel 5 Abs. 2 DSGVO), erhöhter Dkumentatinsaufwand Grundprinzipien werden durch die DSGVO knkretisiert ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 12
Rechtgrundlagen Rechtgrundlagen für eine Datenverarbeitung Einwilligung des Betrffenen Vertragserfüllung Rechtliche Verpflichtung Wahrung lebenswichtiger Interessen Wahrung vn Aufgaben im öffentlichen Interesse / Ausübung öffentlicher Gewalt Wahrung berechtigter Interessen des Verantwrtlichen der eines Dritten NEU: Datenverarbeitung zu anderen Zwecken Dkumentatinsaufwand: Srgfältige Begründung erfrderlich (hhe Strafdrhung) ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 13
Themen Rechtsgrundlage Überblick über zentrale Themen Umsetzung im ÖBB-Knzern ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 28.09.2017 14
Vrbereitung auf DSGVO Gründung eines Prgramms geleitet vn der ÖBB Hlding AG Prgramm Kernteam DSB der Teilknzerne und Vertreter des ÖBB-internen technischen Dienstleisters swie Knzern Security Officer Gegenstand: Evaluierung und Knzeptin der wesentlichen Themen Umsetzungsprjekte in den einzelnen Teilknzernen swie Hlding und BCC für Themen aus dem Prgramm und allenfalls snstigen gesellschaftsspezifischen Themen ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 15
Thank yu fr yur attentin ÖBB-Persnenverkehr AG Datenschutzgrundverrdnung 28.09.2017 16