Webinar Di. 14.11.2017. Austria IT-Ziviltechniker Dr. Wolfgang Prentner. w.prentner@ztp.at DI (FH) Oliver Pönisch. oliver.poenisch@at.ey.com
Überblick Allgemeines Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag von RA Dr. J. Juranek/CMS Teil 3: Di. 14. Nov. 2017, 14-15h DSGVO mit Beitrag von DI Oliver Pönisch/EY Teil 4: Di. 28. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: offen 2 Seite 2
INHALTS- VERZEICHNIS 1. Sachlicher und räumlicher Anwendungsbereich 2. Wichtige Begriffsbestimmungen 3. Grundsätze und Rechtmäßigkeit der Verarbeitung 4. Einwilligungserklärung 5. Betroffenenrechte 6. Informationspflichten 7. Auskunftspflicht des Verantwortlichen 8. Pflicht zur Berichtigung, Löschung ( Recht auf Vergessenwerden ) und zur Einschränkung der Verarbeitung 9. Datenschutzrechtliche Pflicht zur Datenübertragung 10. Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches 11. Pflichten des Verantwortlichen 12. Pflichten der Auftragsverarbeiter 13. Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten 14. Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung 15. Meldung von Datenschutz-Verletzungen (data breach notification) 16. Risiko-Folgeabschätzung und vorherige Konsultation 17. Der Datenschutzbeauftragte 18. Internationaler Datenverkehr 19. Rechtsdurchsetzung und Strafen Quelle: EU-Datenschutz-Grundverordung Hg: Rosenmayr-Klemenz, WKO April 2017
Teil 1: heute Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN Anwendungsbereiche, wichtige Begriffsbestimmungen, Grundsätze und Rechtmäßigkeit der Verarbeitung, Einwilligungserklärung und Betroffenenrechte Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag RA Dr. J. Juranek/CMS Informationspflichten, Datenklassifikation, Aufbewahrung von Daten, Datenschutz-Folgenabschätzung, Datenschutzkonzept und -management, Datensicherheitsmaßnahmen, Datensparsamkeit Teil 3: 14. Di. Nov. 2017, 14-15h DSGVO mit Beitrag: DI Oliver Pönisch/EY Pflichten des Verantwortlichen, Pflichten der Auftragsverarbeiter, Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten, Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung, Meldung von Datenschutz-Verletzungen (data breach notification) Teil 4: 28. Di. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: offen Gemeinsame Datenverarbeitung, Datenschutzmanagementsystems, Dokumentation und Nachweise (Richtlinien, Prüfpflicht, Verhaltensregeln und Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen sowie Checklisten) 4
Allgemeines 5
Bereiche der DSGVO 6
Aus der Vergangenheit
Umfrage vom 31.10.2017 8
Umfrage vom 17.10.2017 9
Aktuell
Haben Sie bereits eine Folgen-Risiko Abschätzung gemacht? 1. Nein 2. Benötigen wir nicht 3. In Arbeit 4. Ja 11
Teil 1: DSGVO 12
Pflichten der Verantwortliche Was wird neu? Pflichten Der Verantwortliche erfu llt die Informationspflichten und handhaben der Betroffenenrechte. Gemeinsam für die Verarbeitung Verantwortliche Keine weiteren Subunternehmen ohne schriftliche Zustimmung des V. Ausnahmen von der Pflicht zur Benennung eines Vertreters Keine besonderen Kategorien, kein Risiko. Haftung Betroffene Personen haben Recht auf einen wirksamen gerichtlichen Rechtsbehelf Betroffene Personen können auf materiellen oder immateriellenschadenersatz klagen. 13
Pflichten des Auftragsverarbeiter Was wird neu? Pflichten Datensicherheit und privacy by design/privacy by default. Verfahrensverzeichnis, Zusammenarbeit mit DSB (auf Anfrage), Risikoanalyse, Datenschutzbeauftragter (in bestimmten Fällen). Gemeinsam für die Verarbeitung Verantwortliche Keine weiteren Subunternehmen ohne schriftliche Zustimmung des V. Ausnahmen von der Pflicht zur Benennung eines Vertreters Keine besonderen Kategorien, kein Risiko. Warnpflicht Haftung Betroffene Personen haben Recht auf einen wirksamen gerichtlichen Rechtsbehelf Betroffene Personen können auf materiellen oder immateriellenschadenersatz klagen. 14
Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten Verantwortliche Der Verantwortliche hat ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, zu führen (<250, >250 MA). Dieses Verzeichnis hat Folgendes zu enthalten: Namen und Kontaktdaten des/der Verantwortlichen, Vertreters sowie etwaigen Datenschutzbeauftragten Zweck der Datenverarbeitung, Beschreibung der Kategorien a.) betroffener Personen und b.) der Kategorien personenbezogener Daten (z.b. Kunden- und Lieferantendaten; Rechnungs-, Adressdaten, Online-DB) Kategorien von Empfängern a.) offengelegt worden sind oder b.) noch offengelegt werden (z.b. Finanzamt, Sozialversicherung, Rechtsanwalt, Notare, Steuerberater), einschließlich c.) Empfänger in Drittländern oder internationalen Organisationen (z.b. Konzernmutter in USA),...uU ist auch die Dokumentierung geeigneter Garantien. vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit), allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit). 15
Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten Auftragsverarbeiter Name und Kontaktdaten des Auftragverarbeiters sowie jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls Vertreters und etwaiger Datenschutzbeauftragter, Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden, Übermittlungen (gegebenenfalls) von personenbezogenen Daten an ein Drittland oder internationalen Organisation,... uu ist auch die Dokumentierung geeigneter Garantien erforderlich. allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen. 16
17
Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung Datensicherheit die Pseudonymisierung und Verschlüsselung z.b. Passwortsicherungen von Dateien Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Verfügbarkeit und Zugang bei physischen oder technischen Zwischenfällen rasch wiederherzustellen (z.b. Backup-Programme); Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (wie zb. Selbstevaluierungsprozesse) Beurteilung des angemessenen Schutzniveaus Datenschutz durch Technik Datenschutzfreundliche Voreinstellungen Geldstrafen bis zu 10 Mio Euro oder 2% des letztjährigen weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres 18
Meldung von Datenschutz-Verletzungen (data breach notification) Meldung an die Aufsichtsbehörde Benachrichtigung der betroffenen Person Geldstrafen bis zu EUR 10 Mio oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres 19
20
Gastbeitrag DI (FH) Oliver Pönisch, EY Austria 21
Ausblick Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von DI R. Redl/EVN Anwendungsbereiche, wichtige Begriffsbestimmungen, Grundsätze und Rechtmäßigkeit der Verarbeitung, Einwilligungserklärung und Betroffenenrechte Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag RA Dr. J. Juranek/CMS Informationspflichten, Datenklassifikation, Aufbewahrung von Daten, Datenschutz-Folgenabschätzung, Datenschutzkonzept und -management, Datensicherheitsmaßnahmen, Datensparsamkeit Teil 3: 14. Di. Nov. 2017, 14-15h DSGVO mit Beitrag: DI Oliver Pönisch/EY Pflichten des Verantwortlichen, Pflichten der Auftragsverarbeiter, Dokumentationspflicht Verzeichnis von Verarbeitungstätigkeiten, Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung, Meldung von Datenschutz-Verletzungen (data breach notification) Teil 4: 28. Di. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: offen Gemeinsame Datenverarbeitung, Datenschutzmanagementsystems, Dokumentation und Nachweise (Richtlinien, Prüfpflicht, Verhaltensregeln und Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen sowie Checklisten) 22
Besten Dank für Ihre Aufmerksamkeit! Haben Sie noch Fragen? 23
ZT Wolfgang Prentner 24
Begriffe und Anpassungen Quelle: Bundeskanzleramt/Verfassungsdienst 25