Der konzerninterne Austausch personenbezogener Daten im ... · Anmeldung zu und Verwaltung von...
Transcript of Der konzerninterne Austausch personenbezogener Daten im ... · Anmeldung zu und Verwaltung von...
Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
Internationales Rechtsinformatiksymposium23. Februar 2018
www.pwclegal.at
PwC Legal
Zu meiner Person …… und warum dieses Thema?
Sabine Brunner
+43 (0) 664 886 39 015+43 (0) 1 384 055 0
Ausbildung
• Mag.iur. (Universität Salzburg, 2014)
• LLB.oec. (Universität Salzburg, 2015)
Beruflicher Werdegang
• seit 08/2017 PwC Legal - oehner & partnerrechtsanwaelte gmbh, Rechtsanwaltsanwärterin
o Datenschutzrecht
o IT/IP-Recht
o Litigation
o Commercial Contracts
Unterstützung bei der Umsetzung der Vorgaben der Datenschutz-Grundverordnung
• Einzelhandel
• Automobilimport
• Banken
• Versicherungen
• Forschung / Beratung
• Öffentlicher Sektor
• E-Commerce
• Social Business
• …
2
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Austausch personenbezogener Daten im Konzern
3
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
Weder im geltenden DSG 2000 noch in der DSGVO findet sich ein „Konzernprivileg“ in Hinblick auf die Datenübermittlung.
Guideline?
PwC Legal
Konzernbegriff in der DSGVOUnternehmensgruppe
• Unternehmensgruppe: Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht (Art. 4 Z. 19 DSGVO)
• Verantwortliche, die Teil einer Unternehmensgruppe sind, können ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln (ErwGr. 48)
• keine ausdrückliche Privilegierung, daher wie Übermittlungen an Dritte zu beurteilen
4
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Konzerninterne Datentransfers in der EUZulässigkeit
• Auftragsverarbeitung gem. Art. 4 Z. 8 i.V.m Art. 28 DSGVO
• Rechtfertigungstatbestände Art. 6 Abs 1 / Art. 9 Abs. 2 DSGVO
• Fokus im Folgenden auf:
o Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
o berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
5
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Einwilligung zur konzerninternen ÜbermittlungArt. 6 Abs. 1 lit. a DSGVO
• Herausforderungen:
o Jederzeitiger Widerruf möglich
o Freiwilligkeit im Dienstverhältnis?
• Mitarbeiterdaten: ggf. Betriebsvereinbarung notwendig
• daher vorrangig für Kunden-/Lieferanten-/Geschäftspartnerdaten geeignet
• Anführung sämtlicher Empfänger notwendig
o Auflistung sämtlicher Konzernunternehmen auf Webseite zu empfehlen (Link)
6
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Berechtigtes Interesse für Übermittlung im Konzern
Art. 6 Abs. 1 lit. f DSGVO
• ErwGr. 48: … berechtigtes Interesse, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, zu übermitteln (?)
• DSK/DSB (DSG 2000):
• Widerspruchsrecht gem. Art. 21 DSGVO (Mail, Dienstvertrag)
7
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
Personalbereitsstellung Interne Kommunikation
Spesen- und Reisekostenabrechung Leistungsbeurteilung
Mitsprache bei der Zuteilung von Belohnungen Ermittlung der erfolgsabhängigen Vergütung
Verwaltung des Serverzugangs Potentialanalyse und Karriereplanung
Verwaltung von freiwilligen Vergütungs- und Beteiligungsplänen
Entwicklung von Organisationsplänen für Projektplanung und Planung von Auslandseinsätzen
Anmeldung zu und Verwaltung von Schulungen dauerhafte Matrixorganisation (Beurteilung durch Manager anderer Konzerngesellschaften)
PwC Legal
Auftragsverarbeitung im KonzernArt. 4 Z. 8 i.V.m. Art. 28 DSGVO
• wenn Daten ausschließlich im Auftrag der verantwortlichen Konzerngesellschaft verarbeitet werden sollen
• nicht für eigene Zwecke bzw. Konzernzwecke
• schriftliche Vereinbarung gem. Art 28 DSGVO
• Einhaltung der Pflichten des Auftragsverarbeiters
z.B. Auslagerung der IT
8
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Gemeinsame Verantwortlichkeit im KonzernArt. 26 DSGVO
• Mehrere Verantwortliche entscheiden gemeinsam über Zwecke und Mittel der Verarbeitung
• Regelung der damit verbundenen Funktionen und die Aufteilung der Verpflichtungen in einer Vereinbarung
• ähnelt dem derzeit noch geltenden Informationsverbundsystem (§ 4 Z. 13 DSG 2000)
• z.B. Konzerngesellschaften betreiben gemeinsam eine Webseite
9
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
PwC Legal
Konzerninterne Übermittlung in DrittstaatenEmpfehlungen
10
Vancouver
Atlanta
Toronto
New York
San Paulo
London
Athens
Moscow
Vienna
Dubai
Mumbai
Tokyo
Hong Kong
Sydney
Melbourne
Cape Town
Singapore
Nairobi
Bestimmungen desArt. 44 ff DSGVO
Binding Corporate RulesArt. 47 DSGVO
- bedürfen einer Genehmigung durch die DSB- nachträglich weitere Konzerngesellschaft?
PwC Legal
Konzerninterner DatentransferFazit
• keine wesentlichen Neuerungen durch die DSGVO
• auch künftig an gewisse Voraussetzungen / Auflagen gebunden
• konzerninterne Datenschutz-Compliance gewinnt aufgrund des hohen Strafrahmens der DSGVO und des drohenden Reputationsschadens massiv an Bedeutung
• kein allgemein gültiges Patentrezept, sorgfältige Abwägung im Einzelfall
23. Februar 2018Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO
11
Vielen Dank für Ihre Aufmerksamkeit!
© 2018 PwC Legal. „PwC Legal“ bezeichnet die oehner & partner rechtsanwaelte gmbh mit Sitz in 1030 Wien, Erdbergstraße 300, FN 449646w,
Handelsgericht Wien. Weitere Informationen finden Sie unter www.pwclegal.at.
Kontakt:
Sabine Brunner+43 (0) 664 886 39 015
+43 (0) 1 384 055 [email protected]