Donau-Universität Krems Universitätslehrgang Marketing und ... · maschinenlesbaren Format an (i)...

Grundlagen des Datenschutzrechts Donau-Universität Krems

Universitätslehrgang Marketing und Vertrieb MSc/MBA, 29.11.2017

RA Dr. Lukas Feiler, SSCP CIPP/E

Themen

1 Einführung in das europäische Datenschutzrecht 3

2 Grundsätze der zulässigen Datenverarbeitung 14

3 Betroffenenrechte 18

4 Besondere Pflichten nach der DSGVO

• Bestellung eines Datenschutzbeauftragten

• Verzeichnis der Verarbeitungstätigkeiten

• Privacy Impact Assessments

• Privacy by Design & Default

• Datensicherheit & Data Breach Notification

• Outsourcing & Übermittlungen in Drittländer

27

5 Datenschutz und Werbung

• Direktmarketing

• Profiling

• Cookies

• Marktforschung

41

6 Rechtsdurchsetzung 58

7 Umsetzung der DSGVO in 12 Schritten 64

1 Einleitung in die Datenschutz-Grundverordnung

3

© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG

Datenschutz als Grundrecht

4

Europäische Menschenrechtskonvention

Schützt Privatsphäre (Artikel 8)

EU Grundrechtscharta

Schützt das Grundrecht auf Datenschutz (Artikel 8)

Österreich: § 1 Datenschutzgesetz 2000

USA

4. Verfassungszusatz: Schutz vor unreasonable searches & seizures; gilt aber nur wenn “reasonable expectation of privacy” (Katz v. United States, 389 U.S. 347 (1967)) secrecy paradigm


Hintergrund zur DSGVO

5

EU-Datenschutzrichtlinie von 1995:

Nicht direkt anwendbar 28 unterschiedliche nationale Datenschutzgesetze der damit verbundene Verwaltungsaufwand kostet Unternehmen ca. EUR 2,3 Mrd. pro Jahr

Datenschutzrechtliche Meldungen in fast allen EU-Mitgliedstaaten kosten Unternehmen ca. EUR 130 Mio. pro Jahr

EU-Datenschutz-Grundverordnung:

Eine einheitliche und unmittelbar anwendbare Datenschutz-Rechtsvorschrift, die die meisten umständlichen Verwaltungsanforderungen abschafft

Internalisierung von Compliance-Aufgaben

Entstehungsgeschichte


Rechtsetzungsprozess

6

Der Rechtsetzungsprozess dauerte lange und war komplex

Fast 4000 Änderungen wurden von Mitgliedern des EP eingebracht

Die Abstimmung des EP wurde zweimal vertagt

Zeitlicher Ablauf

Januar 2012: Die Kommission bringt einen ersten Vorschlag ein

März 2014: EP nimmt den Entwurf in einer Plenarabstimmung (1. Lesung) an

Juni 2014: Der Rat verabschiedet eine gemeinsame Position zu einigen Aspekten

15. Dezember 2016: Politische Einigung im Trilog

25. Mai 2018: DSGVO tritt in Geltung

Entstehungsgeschichte


Wozu Datenschutz-Compliance?

7

Bisher:

In Österreich: Datenschutzgesetz 2000 (DSG 2000)

Ab 25. Mai 2018: Datenschutz-Grundverordnung der EU (DSGVO)

Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des gesamten, weltweit erzielten Jahresumsatzes

Haftung der Geschäftsleitung

Für Verwaltungsstrafen haften Mitglieder der Geschäftsleitung grds solidarisch mit der Gesellschaft

Haftung gegenüber der Gesellschaft aus Dienstvertrag


Welche Datenverarbeitungen sind erfasst?

8

Jede Verarbeitung personenbezogener Daten ist erfasst

Verarbeiten: jede Handhabung personenbezogener Daten (auch das Gespeichert-Halten)

Personenbezogene Daten: Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen

DSG 2000: natürliche und juristische Personen

DSGVO: nur natürliche Personen

Anwendungsbereich


Die Rollenverteilung der DSGVO

9

Betroffene

Person

Für die Verarbeitung

Verantwortlicher

Hat ein Interesse

am Schutz seiner

personenbez.

Daten

Entscheidet

über Daten-

Verarbeitung

Auftrags-

verarbeiter

verarbeitet Daten auf

Anweisung des

Verantwortlichen

Übermittlung

Sub-Auftrags-

verarbeiter

Übermittlung

verarbeitet Daten

auf Anweisung

Anderer Verantwortlicher

Übermittlung

Entscheidet eigenständig

über Verarbeitung


Wo gilt die Datenschutz-Grundverordnung?

10

DSGVO gilt für Verantwortliche/Auftragsverarbeiter

mit Sitz in der EU bzw EWR;

ohne Sitz in der EU/EWR aber mit einer Niederlassung in der EU/EWR, wenn Verarbeitung im Rahmen der Tätigkeiten der Niederlassung;

ohne Sitz in der EU, aber

Waren oder Dienstleistungen werden in der EU/EWR angeboten

Verhalten von Betroffenen in der EU/EWR wird beobachtet

Anwendungsbereich


Einheitliche Rechtsvorschrift mit Ausnahmen

11

Unmittelbare Anwendbarkeit der DSGVO

Kein Fortbestehen der nationalen Datenschutzgesetze nach dem 25. Mai 2018

Prinzip der einheitlichen Auslegung

Außerhalb des Anwendungsbereichs der DSGVO

Spielraum des nationalen Gesetzgebers

69 Öffnungsklauseln

Europäische Kommission kann „delegierte Rechtsakte“ erlassen

Vorschlag der Kommission: 26 Kompetenzen

EP-Abstimmung: 10 Kompetenzen

Endgültige Vereinbarung: 2 Kompetenzen

Verhältnis zu nationalem Recht


Öffnungsklauseln für nationale Gesetzgeber

12

DSGVO überlässt viele Fragen den nationalen Gesetzgebern (u.a.):

Alter für eine wirksame Einwilligung eines Kindes: 16, 15, 14 oder 13?

Wann ist wirksame Einwilligung in Verarbeitung sensibler Daten ausgeschlossen?

Verarbeitung von strafrechtlich relevanten Daten möglich?

Ausnahmen vom Profiling-Verbot?

Unterliegen Betroffenenrechte zusätzlichen Beschränkungen?

Muss ein Datenschutzbeauftragter bestellt werden?

Können Behörden Geldbußen auferlegt werden?

Können Datenschutz-NGOs im Namen der betroffenen Personen Schadenersatz fordern? Können sie selbst eine einstweilige Verfügung erwirken?



Rechtsdurchsetzung durch nationale Behörden

13

Durchsetzung durch die nationalen Aufsichtsbehörden

Europäische Kommission hat keine Durchsetzungsbefugnis

Europäischer Datenschutzausschuss

Ersetzt Artikel-29-Datenschutzgruppe

Nur zuständig für Streitigkeiten zwischen Aufsichtsbehörden


2 Grundsätze der zulässigen Datenverarbeitung

14


Grundsätze der Datenverarbeitung

15

Rechtmäßigkeit (Rechtsgrundlage für Verarbeitung erforderlich)

Treu und Glauben

Transparenz

Zweckfestlegung

Zweckbindung

Richtigkeit

Datenminimierung

Speicherbegrenzung

Sicherheit

Rechenschaftspflicht


Datenschutzrechtliche Rechtsgrundlagen

16

1. Einwilligung der betroffenen Person (informierte und freiwillige Zustimmung)

2. Erforderlichkeit für die Erfüllung des mit betroffener Person geschlossenen Vertrages

3. Gesetzliche Verpflichtung des Verantwortlichen

4. Lebenswichtige Interessen der betroffenen Person

5. Erforderlichkeit für Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt

6. Überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten

Rechtmäßigkeit der Datenverarbeitung


Rechtsgrundlage bei sensiblen Daten

17

Als sensible Daten gelten: Daten aus denen

rassische und ethnische Herkunft,

politische Meinungen,

religiöse oder weltanschauliche Überzeugungen oder

Gewerkschaftszugehörigkeit hervorgeht

und

genetische und biometrische Daten zur Identifizierung einer natürlichen Person

Gesundheitsdaten sowie Daten zum Sexualleben

überwiegendes berechtigtes Interesse ist nicht ausreichend

Einwilligung muss ausdrücklich erfolgen

Rechtmäßigkeit der Datenverarbeitung

3 Betroffenenrechte

18


Grundlagen der Betroffenenrechte

19

Berechtigter: Eine identifizierte oder identifizierbare natürliche Person, auf die sich Informationen beziehen (Art 4 Nr. 1 DSGVO)

Verpflichteter: Der Verantwortliche: jene natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet

Gegenstand: Personenbezogene Daten – Informationen, die sich auf Betroffenen beziehen

Fristen: Beantwortung aller Betroffenenanfragen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Antrags – um zwei Monate verlängerbar bei komplexen Fällen (Art 12 Abs 3 DSGVO)

Unentgeltlichkeit: Entgelt kann nur bei offenkundig unbegründeten oder exzessiven (wiederholten) Anträgen gefordert werden (Art 12 Abs 5 DSGVO)


Recht auf Transparenz - Datenschutzmitteilung

20

Die Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)

1. die Identität des Verantwortlichen

2. den Datenschutzbeauftragten

3. die Verarbeitungszwecke

4. die rechtliche Grundlage der Verarbeitung

5. die Empfänger

6. die internationalen Datenübermittlungen

7. die Dauer der Datenspeicherung

Zeitpunkt der Information: spätestens bei Datenerhebung; wenn nicht bei Betroffenen erhoben, binnen 1 Monat ab Erhebung

8. das überwiegende berechtigte Interesse (sofern als Rechtsgrundlage genutzt)

9. Betroffenenrechte

10. Möglichkeit, die Einwilligung zu widerrufen

11. Bestehen eines Beschwerderechts

12. Bei Profiling: Entscheidungslogik


Das Recht auf Auskunft – Art 15 DSGVO

21

Betroffener hat das Recht zu erhalten

Bestätigung, ob seine Daten verarbeitet werden

Kopie der verarbeiteten Daten (wenn Antrag elektronisch, dann in elektronischer Form)

wesentlichen Teil der Informationen, die in Datenschutzmitteilung enthalten sein müssen


Berichtigung & Vergessenwerden

22

Recht auf Berichtigung – Art 16 DSGVO

unrichtige personenbezogene Daten sind zu berichtigen

Abhängig vom Verarbeitungszweck kann der Betroffene die Vervollständigung unvollständiger Daten (z.B. ergänzende Erklärung) verlangen

Recht auf Vergessenwerden (= Recht auf Löschung) – Art 17 DSGVO

Rechtsgrundlage weggefallen (z.B. Widerruf einer Einwilligung oder Speicherbegrenzung)

Berechtigter Widerspruch

grds unverzüglich, außer noch nicht möglich aus „wirtschaftlichen oder technischen Gründen“ (§ 4 Abs 2 DSG idF DSG 2018)


Einschränkung der Verarbeitung – Art 18 DSGVO

23

Daten müssen von regulärer Verarbeitung ausgenommen werden

Recht des Betroffenen auf Einschränkung der Verarbeitung wenn:

die Richtigkeit der Daten von betroffener Person bestritten wird – für Dauer der Überprüfung der Richtigkeit

die Verarbeitung unrechtmäßig ist, die betroffene Person jedoch eine Löschung ablehnt

der Verantwortliche die Daten nicht länger benötigt; aber die betroffene Person benötigt diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

die betroffene Person Widerspruch eingelegt hat – bis über diesen entschieden wurde

die Löschung aus „wirtschaftlichen oder technischen Gründen“ noch nicht möglich ist (§ 4 Abs 2 DSG idF DSG 2018)

Neue Betroffenenrechte


Datenübertragbarkeit

24

Recht auf Datenübertragbarkeit (Art 20 DSGVO)

Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar

gilt nur gegenüber Verantwortlichen

gilt nur, wenn Daten vom Betroffenen bereitgestellt wurden

gilt nur, wenn Verarbeitung mit Einwilligung oder zur Vertragserfüllung

Neue Betroffenenrechte


Widerspruch – Art 21 DSGVO

25

Der Betroffene kann der Datenverarbeitung widersprechen ( Löschungspflicht), wenn

Überwiegendes berechtigtes Interesse als Rechtsgrundlage aber im konkreten Fall nicht gegeben (Beweislast bei Verantwortlichem)

Daten werden zu Zwecken der Direktwerbung verarbeitet

Daten werden zu Forschungszwecken oder statistischen Zwecken v erarbeitet


Automatisierte Entscheidungen – Art 22 DSGVO

26

Verbot von

automatisierten Entscheidung im Einzelfall und

Profiling, dh automatisierte Bewertung oder Vorhersage persönlicher Aspekte des Betroffenen (z.B. wirtschaftliche Lage, Gesundheit, Interessen oder Verhalten)

sofern rechtliche Wirkungen für Betroffenen oder ähnlich beeinträchtigt

Ausnahmsweise zulässig, wenn

für Abschluss/Erfüllung eines Vertrages mit Betroffenen notwendig (keine sensiblen Daten),

gesetzliche Ermächtigung od.

ausdrückliche Einwilligung

Betroffener hat Recht auf Eingreifen einer Person seitens des Verantwortlichen, auf Darlegung seines Standpunkts und Anfechtung der Entscheidung

4 Besondere Pflichten nach der DSGVO

27


Bestellung eines Datenschutzbeauftragten

28

DSG 2000: Keine Regelungen

Mit der DSGVO verpflichtend, wenn

Verarbeitung durch Behörde oder öffentliche Stelle

oder

risikoreiche Datenverarbeitung ist Kerntätigkeit

Kerntätigkeit des Unternehmens ist umfangreiche regelmäßige und systematische Überwachung von Betroffenen

Kerntätigkeit des Unternehmens ist die umfangreichen Verarbeitung sensibler oder strafrechtlich relevanter Daten

oder

nach nationalem Recht vorgeschrieben (nicht in Österreich)

Der Datenschutzbeauftragte


Persönliche Voraussetzungen

29

Persönliche Voraussetzungen

berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts

kann, muss aber nicht Arbeitnehmer des Verantwortlichen sein

es darf kein Interessenskonflikt vorliegen

Bestellung eines externen Datenschutzbeauftragten ist möglich



Stellung im Unternehmen

30

weisungsfrei

genießt Kündigungsschutz

unmittelbare Berichterstattung an die höchste Managementebene

Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen

muss über alle notwendigen Ressourcen verfügen

hat Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen

Anlaufstelle für betroffene Personen

Verschwiegenheitsverpflichtung

Grds keine Haftung nach der DSGVO



Verzeichnis der Verarbeitungstätigkeiten

31

Dokumentationspflichten bisher:

Österreich: grds keine Deutschland: Führung eines Verfahrensverzeichnisses

DSGVO: Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“

auf Anfrage der Aufsichtsbehörde bereitzustellen keine Pflicht, Verzeichnis betroffenen Personen zur Verfügung zu stellen

Mindestinhalt des Verzeichnisses nach DSGVO:

Name und Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten Verarbeitungszwecke, Kategorien betroffener Personen, personenbezogener Daten und

Empfänger Informationen zu Datenübermittlungen in Drittländer Speicherdauer Datensicherheitsmaßnahmen

Dokumentationspflichten


Privacy Impact Assessments

32

Privacy Impact Assessment verpflichtend, wenn voraussichtlich ein hohes Risiko für Betroffene durch Datenverarbeitung besteht, insbesondere bei

Profiling;

umfangreicher Verarbeitung sensibler oder strafrechtlich relevanter Daten;

systematischer, umfangreicher Überwachung öffentlicher Bereiche

Inhalt des Privacy Impact Assessments

Beschreibung der Verarbeitungsvorgänge und Zwecke

Bewertung der Notwendigkeit und Verhältnismäßigkeit

Beschreibung allfälliger Abhilfemaßnahmen

Risikobewertung (niedrig/mittel/hoch) unter Berücksichtigung der Abhilfemaßnahmen



DSGVO reduziert „Meldepflichten“

33

Keine allgemeine Meldepflicht

Aber vorherige Konsultation der Aufsichtsbehörde

wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung mit einem hohen Risiko verbunden ist, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

ist die Aufsichtsbehörde der Auffassung, dass der Verantwortliche das Risiko nicht ausreichend eingedämmt hat, unterbreitet sie innerhalb von acht Wochen entsprechende Empfehlungen.



Privacy by Design & Privacy by Default

34

Privacy by Design (Datenschutz durch Technik)

technische Maßnahmen zur Umsetzung der Datenschutzgrundsätze

z.B. Minimierung von Art und Umfang der Daten und Pseudonymisierung der Daten

Privacy by Default (Datenschutz durch datenschutzrechtliche Voreinstellungen)

personenbezogene Daten sollten durch Voreinstellungen nicht ohne Eingreifen der betroffenen Person veröffentlicht werden

Relevanz für Softwarehersteller?

Datenschutz-Compliance-Maßnahmen


Vertraulichkeit, Verfügbarkeit, Integrität

35

Daten sind zu schützen vor

Verlust der Vertraulichkeit

Verlust der Verfügbarkeit

Verlust der Integrität

Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung

des Stands der Technik,

der Implementierungskosten,

der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und

der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Datensicherheitspflichten


Sicherheitsmaßnahmen

36

Angemessene Maßnahmen umfassen laut DSGVO insb.:

Pseudonymisierung und Verschlüsselung;

die Fähigkeit, die Sicherheit der Systeme sicherzustellen;

die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities;

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits

Technische Standards ausreichend?

z.B. „Critical Security Controls für Effective Cyber Defense“ des Center for Internet Security (CIS) oder ISO/IEC 27001



Typen von Sicherheitsmaßnahmen

37

Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen

Nach der Wirkungsweise: präventive, detektive, reaktive oder absreckende Maßnahmen


Beispiele Technisch Organisatorisch Physisch

Präventiv Firewall 4-Augen-Prinzip Stahltür

Detektiv Intrusion

Detection System

Verpflichtender Log

Review

Brandmelder

Reaktiv (Backup &)

Restore

Incident Response

Policy

Feueralarm

Abschreckend Warnmeldung Disziplinarordnung Hund


Meldung von Datensicherheitsverstößen

38

auch Pflicht zur „Data Breach Notification“

Eine Verletzung des Schutzes personenbezogener Daten muss der Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden gemeldet werden

Pflicht zur Notifikation gegenüber betroffenen Personen nur, wenn das bestehende Risiko hoch ist


Outsourcing an Auftragsverarbeiter

39

Verantwortlicher kann sich zur Datenverarbeitung eines Auftragsverarbeiters bedienen

Auftragsverarbeiter muss ausreichende Gewähr für rechtmäßige und sichere Datenverwendung bieten

Auftragsverarbeitervereinbarung muss Pflichten des Auftragsverarbeiters festlegen:

Verarbeitung nur auf dokumentierte Weisungen des Verantwortlichen;

Vertraulichkeit von zur Verarbeitung befugter Personen gewährleisten;

muss notwendige Sicherheitsmaßnahmen umsetzen;

nach Abschluss der Leistungserbringung personenbezogene Daten löschen/zurückgeben;

Einsatz von Sub-Auftragsverarbeitern nur mit Genehmigung des Verantwortlichen;

Duldung und Unterstützung von Audits;

stellt dem Verantwortlichen sämtliche Informationen zum Nachweis der Einhaltung zur

Verfügung


Internationale Datenübermittlungen

40

Unproblematisch bei Empfängern

in der EU oder dem EWR;

in einem Drittland mit adäquatem Datenschutzniveau

z.B. Kanada, Schweiz

U.S.-Privacy-Shield: angemessener Datenschutz, wenn sich der Empfänger nach Privacy Shield selbst-zertifiziert hat

Wenn in Drittland kein adäquates Datenschutzniveau

grundsätzlich „Standardvertragsklauseln“ erforderlich

DSG 2000: genehmigungspflichtig

DSGVO: keine Genehmigung erforderlich

Ausnahme: Einwilligung der Betroffenen

5 Datenschutz und Werbung

41


Datenschutz & Werbung – Topics

42

1) Direktmarketing

2) Profiling

3) Cookies

4) Marktforschung

5.1 Direktmarketing

43


Einwilligung erforderlich?

44

Zwei Rechtsgrundlagen kommen in Betracht

Einwilligung (Art 6 Abs 1 lit a DSGVO; jederzeit widerruflich)

Überwiegende berechtigte Interessen des Verantwortlichen (Art 6 Abs 1 lit f DSGVO)

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (ErwGr 47 lt. Satz)

Wenn keine Einwilligung (Opt-In) erforderlich, gilt unbedingtes Widerspruchsrecht (Opt-Out)

Der Betroffene kann jederzeit der Verarbeitung seiner Daten zu Zwecken des Direktmarketings widersprechen (Art 21 Abs 2 DSGVO)

Widerspruchsrecht ist kostenlos (Art 12 Abs 5 DSGVO)

Frist für Verantwortlichen: unverzüglich, max. 1 Monat (Art 12 Abs 3 DSGVO)

Der Widerspruch kann grds auch elektronisch erfolgen (Art 12 Abs 2 DSGVO)

Direktmarketing


Fälle der notwendigen Einwilligung – Opt-In

45

Telefonwerbung

Einwilligung immer erforderlich (§ 107 Abs 1 TKG 2003)

E-Mail-Werbung an Nicht-Kunden

Einwilligung immer erforderlich (§ 107 Abs 2 TKG 2003)

Direktwerbung unter Verwendung sensibler Daten

überwiegendes berechtigtes Interesse scheidet aus (Art 9 Abs 2 DSGVO)

es kommt nur eine ausdrückliche Einwilligung in Betracht

Datenverarbeitung mit besonders hoher Eingriffsintensität – z.B. manche Arten des Profiling

Direktmarketing


Ohne Einwilligung – Opt-Out

46

Postalische Werbung

Adressverlage und Direktmarketingunternehmen haben allgemeines Opt-Out durch Eintragung in Robinsonliste der WKÖ zu beachten (§ 151 Abs 9 GewO)

E-Mail-Werbung gegenüber Kunden (§ 107 Abs 3 TKG 2003)

bestehende oder ehemalige Kunden

Opt-Out-Möglichkeit muss bei Erhebung und in jeder E-Mail gewährt werden

Werbung nur für eigene ähnliche Produkte oder Dienstleistungen

Allgemeines Opt-Out durch Eintragung in ECG-Liste zu beachten

pseudonyme personenbezogene Werbung online

Wenn Identität des Betroffenen nur sehr schwer feststellbar (z.B. nur IP-Adresse bekannt)

Direktmarketing


Neue Grenzen für die elektronische Einwilligung

47

Schlüssige oder ausdrückliche Zustimmung

Checkbox darf nicht per Default angehakt sein

Zustimmung durch AGB?

in verständlicher und leicht zugänglicher Form

in klarer und einfacher Sprache

von anderen Regelungsgegenständen der AGB klar zu unterscheiden

Herausforderung Einwilligung


Einwilligung von Personen unter 14 Jahren

48

Einwilligung von Minderjährigen für Online-Dienste grds erst gültig ab 14 Jahren

< 14 Jahre: Zustimmung der Erziehungsberechtigten erforderlich

Verantwortlicher muss „angemessene Anstrengungen unter Berücksichtigung der vorhandenen Technologie“ unternehmen

Praktische Umsetzung

Angebot nicht auf Unter-14-Jährige ausrichten

Registrierung nur zulassen, wenn Geburtsdatum angegeben



Einwilligung & Koppelungsverbot

49

Viele „Gratis“-Angebote im Internet setzen Zustimmung zur Datenerhebung voraus (z.B. Gewinnspiel)

Zustimmung nur gültig, wenn sie „frei“ ist

Grds nicht „frei“, wenn

die Durchführung eines Vertrages von Zustimmung zur Datenverarbeitung abhängig gemacht wird und

die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist

Stehen datenbasierte Geschäftsmodelle auf dem Spiel?

Die Einwilligung kann für die Vertragserfüllung (wirtschaftlich) notwendig sein

Alternativ anbieten:

keine Gebühr + datenschutzrechtliche Einwilligung oder

angemessene Gebühr


5.2 Profiling

50


Was ist Profiling?

51

Bewertung oder Vorhersage persönlicher Aspekte von Betroffenen, wie (Art 4 Nr. 4 DSGVO)

Arbeitsleistung,

wirtschaftliche Lage,

Gesundheit,

persönliche Vorlieben,

Interessen,

Zuverlässigkeit,

Verhalten,

Aufenthaltsort oder Ortswechsel

Profiling


Setzt Profiling eine Einwilligung voraus?

52

Profiling zu internen Zwecken

überwiegendes berechtigtes Interesse als Rechtsgrundlage; Widerspruch (Opt-Out) nur selten möglich (z.B. bei Kindern; vgl Art 6 Abs 1 lit f DSGVO)

Profiling zu Zwecken des Direktmarketings (Art 21 Abs 2 DSGVO)

grds überwiegendes berechtigtes Interesse als Rechtsgrundlage; Opt-Out immer möglich

Profiling mit erhöhter Eingriffsintensität

z.B. bei Preisdifferenzierung oder bei sensiblen Daten

nur mit (ausdrücklicher) Einwilligung

Profiling mit rechtlichen Folgen für Betroffene oder ähnlich schwerer Beeinträchtigung (Art 22)

ausdrückliche Einwilligung (sofern nicht für Vertragsabschluss od. -erfüllung erforderlich)

Recht des Betroffenen auf Darlegung des Standpunkts & Anfechtung der Entscheidung

Pflicht zur Information über verwendete Logik und Auswirkungen der Entscheidung

Profiling

5.3 Cookies

53


Das Einwilligungserfordernis bei Cookies

54

Auslesen von Daten des Endgeräts des Nutzers grds nur mit Einwilligung (§ 96 Abs 3 TKG 2003)

Ausnahme funktionale Cookies

Keine Einwilligung nötig, wenn Cookie zur Erbringung des ausdrücklich gewünschten Dienstes technisch notwendig

Praktische Einholung der Einwilligung

Information über verwendete Cookies (Cookie Policy; z.B. im Impressum)

Nutzer willigt ein durch Handhabung der Browser-Einstellungen ein (EBRV 1389 BlgNR XXIV. GP 25)

„Lösung“ Device Fingerprinting?

Cookies

5.4 Marktforschung

55


Marktforschung ohne Einwilligung?

56

Marktforschung

Echte Marktforschung

wissenschaftlich-methodisches

Vorgehen

Ziel ist statistische Aussage, keine

Aussage über Einzelperson

überwiegendes berechtigtes

Interesse • Einwilligungserfordernis würde

Sample auf bereits bekannte

Nutzer beschränken

Opt-Out nur im Einzelfall

Push Polling

ist versteckte Direktwerbung

kein überwiegendes berechtigtes

Interesse

nur mit Einwilligung zulässig

© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG 57

Eine Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)

1. die Identität des Verantwortlichen

2. den Datenschutzbeauftragten

3. die Verarbeitungszwecke

4. die rechtliche Grundlage der Verarbeitung

5. die Empfänger

6. die internationalen Datenübermittlungen

7. die Dauer der Datenspeicherung

Zeitpunkt der Information: spätestens bei Datenerhebung bei Betroffenen

Erfüllung der Informationspflicht durch Verweis auf Datenschutzerklärung auf der Website?

8. das überwiegende berechtigte Interesse (sofern als Rechtsgrundlage genutzt)

9. Betroffenenrechte

10. Möglichkeit, die Einwilligung zu widerrufen

11. Bestehen eines Beschwerderechts

12. Bei Profiling: Entscheidungslogik

Sonderproblem Informationspflichten per Telefon Marktforschung

6 Rechtsdurchsetzung

58


Zuständigkeit der nationalen Behörden

59

Die Durchsetzungsbefugnis liegt bei den nationalen Aufsichtsbehörden

Welche Aufsichtsbehörde ist zuständig?

Kein echter One-Stop-Shop (Verfahren der Zusammenarbeit und Kohärenz) für Konzerne

Allgemein gilt: jede Aufsichtsbehörde ist im Hoheitsgebiet ihres Mitgliedstaats zuständig

Rechtsdurchsetzung & Strafen


Fehlendes Kollisionsrecht

60

Das nationale Recht welches Mitgliedstaats ist anwendbar?

DSGVO enthält (bis auf eine Ausnahme) keine Regelungen zu Gesetzeskonflikten in Bezug auf Öffnungsklauseln

Das Recht des Landes, in dem der für die Verarbeitung Verantwortliche niedergelassen ist?

Das Recht des Landes, in dem die betroffene Person ihren Wohnsitz hat?

Das Recht des Landes, in dem die Daten verarbeitet werden?

Wendet jede Aufsichtsbehörde ihre eigenen Rechtsvorschriften an?

Das Recht welches Mitgliedstaats wenden die Gerichte an?

Wird die Beschwerde einer betroffenen Person abgewiesen, entscheidet die Aufsichtsbehörde, bei der die Beschwerde eingelegt wurde; wird der Beschwerde stattgegeben, entscheidet die federführende Aufsichtsbehörde kollisions- und zuständigkeitsrechtliches Paradox



Befugnisse der Aufsichtsbehörden

61

Untersuchungsbefugnisse

Abhilfebefugnisse

Warnungen über voraussichtliche Verstöße gegen Verordnung erteilen

Verwarnungen bei Verstößen gegen Verordnung erteilen

Einhaltung anordnen und Verarbeitungsverbote/-einschränkungen verhängen

Genehmigungsbefugnisse



Verhängung und Bemessung von Geldstrafen

62

Strafrahmen nach DSGVO: bis zu 20 Millionen Euro oder vier Prozent des weltweiten, jährlichen Umsatzes des Unternehmens

Unionskartellrechtlicher Unternehmensbegriff

Bemessung der Strafe: weltweiter Umsatz des gesamten Konzerns maßgeblich

Strafe kann auch über Konzernmutter verhängt werden

Mitverantwortung der Konzernobergesellschaft, wenn Tochtergesellschaft Verhalten nicht autonom bestimmt

widerlegliche Vermutung bei 100%-igen Tochtergesellschaften (EuGH C-107/82 – AEG)



Private Rechtsdurchsetzung

63

Betroffene Person kann klagen,

wo sie ihren Wohnsitz hat;

wo der Verantwortliche/Auftragsverarbeiter eine Niederlassung hat

Mögliche Ansprüche:

Betroffenenrechte (Auskunft, Löschung, …)

Materieller und immaterieller Schadenersatz

Rechtsdurchsetzung durch NGOs:

NGOs können im Namen von Betroffenen klagen

Schadenersatzansprüche nur, wenn nach nationalem Recht zugelassen (nach welchem?)

Betroffenenrechte unabhängig von Auftrag eines Betroffenen einklagen (je nach Gerichtsstand)


7 Umsetzung der DSGVO in 12 Schritten

64

© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG

Unterstützung aus dem Management sichern

65

DSGVO-Umsetzung erfordert

• Personalressourcen

• Budget

• (unternehmens-)politische Unterstützung

Motivation des Managements?

• persönliche Haftung (im Regress) für Verstöße

• negative PR und Verlust der Mangementposition

Schritt 1


Datenschutzbeauftragten/Manager ernennen

66

Schritt 2


Ersten Überblick verschaffen

67

Welche Arten von IT-Systemen nutzt das Unternehmen?

• Mitarbeiterdaten: Lohnbuchhaltung, E-Mail-System, Telefonsystem, Personalinformationssystem, …

• Kundendaten: Rechnungswesen, CRM-System, Lohnbuchhaltung, …

• Lieferantendaten: Rechnungswesen, …

Wie sieht die gesellschaftsrechtliche Struktur des Unternehmens aus?

• Welche Gesellschaften/Niederlassungen in welchen Ländern?

• Beteiligungsstrukturen?

Welche Geschäftssparten hat das Unternehmen?

• B2B und/oder B2C

Schritt 3


Ziele des Datenschutzmanagements definieren

68

Konzernweite Datenschutzstrategie vs. dezentraler Ansatz

• Für welche Gesellschaften ist die Datenschutzstrategie verbindlich?

Aus personenbezogenen Daten einen wirtschaftlicher Wert gewinnen?

• Defensive vs. offensive Datenschutzstrategie

100% Compliance oder pragmatischer Compliance-Ansatz?

• Betriebswirtschaftliche vs. politische Risiken

Wer ist wofür zuständig?

• Rollen und Verantwortlichkeiten definieren

Schritt 4


IT-Tools für Datenschutz-Management auswählen

69

Richtige Werkzeuge erleichtern die Arbeit – MS Office-Vorlagen vs. Online-Tools:

• Verzeichnis der Verarbeitungstätigkeiten

• Privacy Impact Assessments

• Verzeichnis der Sicherheitsverletzungen

Schritt 5


Infos über Datenverarbeitungsprozesse erheben

70

Für jede Verarbeitungstätigkeit zu klären:

• Wer ist der Verantwortliche?

• Welche Datenkategorien werden verarbeitet?

• Zu welchen Zwecken erfolgt die Verarbeitung?

• Werden Auftragsverarbeiter eingesetzt? (Welche? Wo? Vertragsgrundlage?)

• Werden Daten an andere Verantwortliche übermittelt? (Welche? An wen? Zu welchen Zwecken? Wohin? Vertragsgrundlage?)

• Verarbeitung auf Grundlage einer Einwilligung? (Kopie der Einwilligungserklärung?)

• Kopie der Datenschutzmitteilung (sofern vorhanden)

• Datensicherheitsmaßnahmen

Vorbedingung für VZ der Verarbeitungstätigkeiten (Schritt 7) und Prüfung der Rechtsmäßigkeit (Schritt 8)

Schritt 6


Verzeichnis der Verarbeitungstätigkeiten erstellen

71

Informationen aus Schritt 6 mit Tools aus Schritt 5 erfassen

Ausnahme von der Pflicht zur Führung eines Verzeichnisses

• weniger als 250 Mitarbeiter und

• Verarbeitung birgt keine Risiken für Betroffene und

• Verarbeitung erfolgt nur gelegentlich und

• Verarbeitung umfasst keine sensiblen oder strafrechtlich relevanten Daten.

Schritt 7


Rechtmäßigkeit der Verarbeitungstätigen prüfen

72

Für jede Verarbeitungstätigkeit

• Rechtsgrundlage für Datenverarbeitung identifizieren

• ggfls. wirksame Zustimmungserklärungen entwerfen

• Datenschutzmitteilungen korrekt gestalten

• Auftragsdatenverarbeitungsvereinbarungen mit Dienstleistern abschließen

• Wo erforderlich Standardvertragsklauseln für internationale Datenübermittlungen vereinbaren

Schritt 8


Privacy Impact Assessments durchführen

73

Für jede Verarbeitungstätigkeit

• Prüfen, ob prima facie ein hohes Risiko für Betroffene gegeben ist (z.B. sensible Daten, Profiling oder „schwarze Liste“ der Datenschutzbehörde)

• Grds kein hohes Risiko, „wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt“ (Erwägungsgrund 91 DSGVO)

• Nur wenn prima facie hohes Risiko gegeben ist: Privacy Impact Assessment durchführen

• Wenn PIA ein hohes Risiko ergibt: Konsultation mit der Datenschutzbehörde

Schritt 9


Datenschutzrelevante Unternehmensrichtlinien

74

Datenschutzrelevante Unternehmensrichtlinien erstellen

• Richtlinie zum Umgang mit personenbezogenen Daten

• Richtlinie zur Informationssicherheit

• Richtlinie zur Reaktion auf Zwischenfälle

• Richtlinie zur Nutzung der Unternehmens-IT

• BYOD-Richtlinie

• …

Schritt 10


Konzept für Info-Maßnahmen und Schulungen

75

Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen

• Wen wie oft schulen?

• Kreatives Awareness-Raising

• Compliance am Papier vs. tatsächliche Compliance

Schritt 11


Datenschutz im täglichen Betrieb aufrechterhalten

76

DSGVO-Umsetzung kontinuierliche Compliance-Maßnahmen:

• Audits durchführen

• Schulungen abhalten

• Auf Zwischenfälle reagieren

• Anfragen von Betroffenen bearbeiten

• Neue Verarbeitungstätigkeiten erfassen

• An das Management berichten

Schritt 12


Übersicht

77

Schritte 1 bis 12

1) Unterstützung aus dem Management sichern

2) Datenschutzbeauftragten/Manager ernennen

3) Ersten Überblick verschaffen

4) Ziele des Datenschutzmanagements definieren

5) IT-Tools für das Datenschutz-Management auswählen

6) Informationen über Datenverarbeitungsprozesse erheben

7) Verzeichnis der Verarbeitungstätigkeiten erstellen

8) Rechtmäßigkeit der Verarbeitungstätigen prüfen

9) Datenschutz-Folgeabschätzungen durchführen

10) Datenschutzrelevante Unternehmensrichtlinien erstellen

11) Konzept für Informationsmaßnahmen & Schulungen

12) Datenschutz im täglichen Betrieb aufrechterhalten

www.bakermckenzie.com

Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein

nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker &

McKenzie Rechtsanwaltsgesellschaft mbH, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend,

bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied

von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker &

McKenzie International.


Dr. Lukas Feiler, SSCP CIPP/E

Senior Associate

Leiter des Teams für IT-Recht in Wien

Schottenring 25

1010 Vienna

T: +43 1 24 250

[email protected]

Lukas Feiler ist Co-Autor des ersten österreichischen Kommentars zur DSGVO sowie des ersten Buchs zur

Umsetzung der DSGVO in der österreichischen Praxis und begleitet Unternehmen auf www.digitalwave.at bei der

digitalen Transformation

mailto:[email protected]

http://www.digitalwave.at/

Donau-Universität Krems Universitätslehrgang Marketing und ... · maschinenlesbaren Format an (i)...

Documents

Transcript of Donau-Universität Krems Universitätslehrgang Marketing und ... · maschinenlesbaren Format an (i)...