CMS Reich-Rohrwig Hainz
Das CMS-Netzwerk
- 70 Standorte in 39 Jurisdiktionen - ca. 4.500 Juristen und 7.500 Mitarbeiter - Führende Position von CMS in Zentral- und Osteuropa
• 150 Juristen • Standorte: Wien, Belgrad, Bratislava, Brüssel, Kiew, Ljubljana,
Sarajevo, Sofia, Zagreb, Podgorica, Istanbul
4
CMS Reich-Rohrwig Hainz
Unsere Klienten profitieren von
- integrierte, transnationale Anwaltsdienstleistung - einheitliche Standards - höchste Qualitätsmaßstäbe - zentraler Ansprechpartner - preisangemessene Honorargestaltung
5
CMS Reich-Rohrwig Hainz
Datenschutz - Compliance ist für Sie von Relevanz, weil
- die Gesetze und die Regelungsdichte immer strenger werden…; - das Bewusstsein, dass Daten ein heikles Gut darstellen steigt…; - die „Klagefreudigkeit“ steigt (Stichwort „..es muss einen Schuldigen
geben…“) - die „Schuldigen“ straf- und zivilrechtlich haften können….; - eine IT Landschaft und eine IT Organisation, die den Compliance
Anforderungen entspricht, einen Wettbewerbsvorteil darstellen…;
6
CMS Reich-Rohrwig Hainz
Das neue Datenschutzregime der EU
- Datenschutz-Grundverordnung („DSGVO“) – 25. Mai 2018 - Direkt in allen Mitgliedstaaten anwendbar – ersetzt die
Datenschutzrichtlinie und nationale Durchführungsvorschriften - Grundprinzipien weitgehend unverändert mit einigen Verbesserungen
• Erhöhung der Datensicherheit durch: - Laufende Überprüfung der „geeigneten technischen und organisatorischen“
Maßnahmen, ua Pseudonymisierung und Verschlüsselung - Data Breach Notification nach US-amerikanischem Vorbild - Prinzip der „Verantwortung“ statt Meldepflicht, einschließlich Privacy by Design,
Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung • Größere regulatorische Risiken:
- Erweiterung der Rechte der Betroffenen - Weitreichendere Behördenbefugnisse ua zur Beschränkung der Verarbeitung,
Löschung und Aussetzung der Übermittlung an Empfänger in Drittländern
8
CMS Reich-Rohrwig Hainz
Neuerungen nach der DSGVO
- Geänderter Anwendungsbereich - Weitaus höhere Geldstrafen - Verarbeitungsverzeichnis statt Meldung - Datenschutz-Folgenabschätzung (und vorherige Konsultation) - Privacy by Design - Datenschutzbeauftragter - Umfangreichere Informationspflichten - Umfangreichere Rechte der Betroffenen - Data Breach Notification - Detailliertere Pflichten für Auftragsverarbeiter
9
CMS Reich-Rohrwig Hainz
Anwendungsbereich (Artikel 3)
- Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters • Datenschutzrichtlinie knüpft nur an Verarbeitung durch Verantwortlichen an
- Ausschließlich personenbezogene Daten natürlicher Personen geschützt
- Exterritorialer Anwendungsbereich • Anwendung auf nicht in der Union niedergelassene Verantwortliche oder
Auftragsverarbeiter, wenn betroffene Personen sich in der Union befinden und
• Waren oder Dienstleistungen angeboten werden; oder • das Verhalten betroffener Personen beobachtet wird
10
CMS Reich-Rohrwig Hainz
Ein paar Begriffe…
Personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (‚betroffene Person‘) beziehen“
Besondere Kategorien personenbezogener Daten („sensible Daten“) „personenbezogene Daten, über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit, das Sexualleben oder die sexuelle Orientierung, sowie genetische oder biometrische Daten“
Verarbeitung „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“
Verantwortlicher (derzeit „Auftraggeber“) „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“
Auftragsverarbeiter (derzeit „Dienstleister“) „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“
11
CMS Reich-Rohrwig Hainz
Rechtmäßigkeit der Verarbeitung (Artikel 6)
Verarbeitung zulässig, wenn…
…Einwilligung des Betroffenen
vorliegt
…zur Erfüllung eines Vertrags
erforderlich
…zur Erfüllung einer rechtlichen
Verpflichtung erforderlich
…zum Schutz lebenswichtiger
Interessen erforderlich
…zur Wahrnehmung
einer Aufgabe im öffentlichen Interesse
erforderlich
…zur Wahrung berechtigter
Interessen des Verantwortlichen
bzw. Dritten erforderlich
12
CMS Reich-Rohrwig Hainz
Einwilligung (Artikel 7)
Voraussetzungen nach der DSGVO - Einwilligung muss freiwillig, spezifisch informiert, eindeutig (Stichwort
unmissverständliche Willensbekundung) - Abgabe der Einwilligung in Form einer Erklärung oder sonstigen
„eindeutigen bestätigenden Handlung“ (z.B. Checkbox anklicken) - Nachweis obliegt dem Verantwortlichen - Ersuchen um Einwilligung muss verständlich und leicht zugänglich, in
klarer und einfacher Sprache sein - Klare Unterscheidbarkeit der Einwilligung von sonstigen
Bestimmungen - Erfüllung der Informationspflichten (insb Art 13 DSGVO) - Widerruf: Belehrung über Widerrufsrecht erforderlich und Widerruf
muss so einfach möglich sein wie Einwilligung
13
CMS Reich-Rohrwig Hainz
Einwilligung (Artikel 7)
Checkliste: - Falls gegeben: Angabe der Empfänger mit Name und Adresse - Jederzeit widerrufbar (kein rückwirkender Widerruf) - „Hervorhebung“ der Einwilligung in AGB - Vertragsabschluss muss ohne Einwilligung möglich sein
(„Kopplungsverbot“) - Gesonderte Einwilligungsmöglichkeiten bei verschiedenen
Verarbeitungsvorgängen - Bei Minderjährigen: Beachtung von Art 8 DSGVO (gilt nur für Angebote
von Diensten einer Informationsgesellschaft) und im nationalen Recht festgesetzten Altersgrenze
14
CMS Reich-Rohrwig Hainz
Praxistipps für die Einwilligung
- Betroffener muss seine Einwilligung aktiv geben - Stillschweigen, angekreuzte Checkbox und Untätigkeit des Betroffenen
sind keine Einwilligungen! - Prüfen Sie Ihre bislang verwendeten Einwilligungserklärungen –
sowohl inhaltlich als auch in welcher Form sie bislang eingeholt worden sind
- Updaten Sie auch Einwilligungserklärungen in bestehenden Musterverträgen, Formularen, etc.
- Prüfen Sie Ihre Datenschutzerklärung auf DSGVO-Compliance - Bei Newsletteranmeldungen via der Website: Prüfen Sie, ob ein
Double Opt-In Verfahren notwendig ist (Stichwort: Beweispflicht des Verantwortlichen!)
- Vorsicht bei Cookies: Prüfen Sie Ihre Cookie Policy und Cookie Zustimmungserklärung auf DSGVO-Compliance
15
CMS Reich-Rohrwig Hainz
Rechte des Betroffenen (Art 15-21)
- Auskunft (Art 15) - Berichtigung (Art 16) - Löschung (Recht auf Vergessenwerden, Art 17) - Einschränkung (Art 18) - Datenübertragbarkeit (Art 20) - Widerspruch (Art 21) - (Recht auf Beschwerde bei der Datenschutzbehörde) 16
CMS Reich-Rohrwig Hainz
Recht auf Auskunft (Art 15)
- Anlaufstelle: Unternehmen als Verantwortlicher - Schriftform nicht erforderlich - Kein aktiver Nachweis der Identität durch den Betroffenen notwendig
• Nachweis nur in Zweifelsfällen erforderlich, z.B. telefonisches Ansuchen, Fantasie-E-Mail-Adresse
• Kein Zweifelsfall, wenn z.B. Auskunftswerber Schreiben von seiner Firmen-E-Mail Adresse abschickt
- Elektronisches Auskunftsbegehren sollte möglich sein (Art 12 Abs 3) - Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen
(Frist kann um weitere 2 Monate ausgedehnt werden) - Verweigerung unter Angabe von Gründen (z.B. unbegründetes
Ersuchen, Exzessivität) und der Möglichkeit, Beschwerde bei der DSB einzulegen
- Keine Mitwirkungspflicht 17
CMS Reich-Rohrwig Hainz
Recht auf Auskunft (Art 15)
Umfang der Auskunft - verarbeitete Daten - Datenkategorien - Verarbeitungszwecke - Empfänger (oder Kategorien von Empfängern) - Herkunft - Angabe zu der verwendeten Logik, Tragweite und zu den angestrebten
Auswirkungen einer Verarbeitung - Speicherfrist - Weitere Betroffenenrechte - Recht, eine Beschwerde bei der DSB einzubringen - Bei internationalen Datentransfers: falls notwendig, die Grundlagen der
geeigneten Garantien (z.B. EU-Standardvertragsklauseln) 18
CMS Reich-Rohrwig Hainz
Praxistipps beim Auskunftsersuchen
- 1 Ersuchen pro Kalenderjahr ist wohl verhältnismäßig (ErwGr 63) - Verantwortlichen trifft Beweislast, wenn er Auskunftsbegehren
verweigert - Auskunftsbegehren generell unverzüglich beantworten; sonst Frist
kalendieren - Bei Fristerstreckung: schriftliche Information des Betroffenen binnen
der einmonatigen Frist unter Anführung der Gründe (z.B. Komplexität des Datenbestandes)
- Kosten: grdsl kein Anspruch auf Kostenersatz des Verantwortlichen • Ausnahmen: (1) Betroffene verlangt mehr als eine Datenkopie oder (2)
wenn der Betroffene ein unbegründetes Auskunftsersuchen stellt oder sein Ersuchen wegen Häufigkeit exzessiv ist
• Höhe? Verantwortlicher kann ein „angemessenes Entgelt“ für den Verwaltungsaufwand geltend machen (Art 15 Abs 3 S 2)
19
CMS Reich-Rohrwig Hainz
Recht auf Löschung (Vergessenwerden, Art 17)
- Unterschiede zur bisherigen Rechtslage (DSG 2000) halten sich in Grenzen
- Neuerungen - Beweislast nicht geregelt (DSG 2000: Auftraggeber) - Identitätsnachweis nur in Zweifelsfällen (telefonisch, Fantasie-E-Mail-
Adresse) - Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen
(Frist kann um weitere 2 Monate ausgedehnt werden) - Verweigerung der Löschung (Art 17 Abs 3): Speicherung ist notwendig
z.B. zur - Ausübung des Recht auf freie Meinungsäußerung und Information - Erfüllung einer rechtlichen Verpflichtung
• Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen
• Exzessivität
20
CMS Reich-Rohrwig Hainz
Recht auf Löschung (Vergessenwerden, Art 17)
- Daten, die zu löschen sind - Pflicht, alle personenbezogenen Daten des Betroffenen - Widerspruch zu Antwortschreiben nach Löschung der Daten (E-Mail-
Adresse und/oder Anschrift des Betroffenen wird jedenfalls benötigt werden, um ihn über die Löschung zu informieren
- Lösung: „To-Do Liste“ vor Ablauf der Frist anfertigen - Information allfällige Empfänger über das Löschungsbegehren (nur bei
veröffentlichten Daten) - Information des Betroffenen, dass dem Löschbegehren
nachgekommen werden kann - Bestätigungsschreiben der durchgeführten Maßnahmen - Löschung aller personenbezogenen Daten nach Erfüllung der oben
genannten Schritte
- Ziel: Nach Fristablauf Negativauskunft
21
CMS Reich-Rohrwig Hainz
Praxistipps für das Löschungsbegehren
- Unternehmen sollte dem Löschungsbegehren möglichst rasch nachkommen
- Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen (Frist kann um weitere 2 Monate ausgedehnt werden)
- Mitteilungspflicht des Unternehmens gg anderen Verantwortlichen über das Löschungsbegehren (nur bei veröffentlichten Daten)
- Antwortschreiben: Information des Betroffenen über die durchgeführte Maßnahme
- Kostenersatz nur bei Exzessivität (Grundsatz: „angemessenes Entgelt“ für den Verwaltungsaufwand)
22
CMS Reich-Rohrwig Hainz
Zusammenfassung des Rechts auf Auskunft und Löschung
23
Auskunft Löschung (Vergessenwerden)
Form Kein Formzwang Kein Formzwang
Identitätsnachweis Nachweis nur in Zweifelsfällen
Nachweis nur in Zweifelsfällen
Frist Max. 1 Monat bzw. Frist kann um weitere 2 Monate ausgedehnt werden
Unverzüglich, max. 1 Monat bzw. Frist kann um weitere 2 Monate ausgedehnt werden
Beweislast Beweislast nur bei offenkundig unbegründeten/exzessiven Begehren
Nicht geregelt
Kosten Grdsl nicht Grdsl nicht
Mitwirkungspflicht Nein
Verweigerung Zulässig (wenn begründet)
Zulässig (wenn begründet)
CMS Reich-Rohrwig Hainz
Datenschutzbeauftragter (Artikel 37-39)
Für Verantwortliche und Auftragsverarbeiter zwingend, wenn: - Behörde oder öffentliche Stelle; oder - Kerntätigkeit in umfangreicher regelmäßiger und systematischer
Überwachung besteht; oder - Kerntätigkeit in umfangreicher Verarbeitung besonderer
Datenkategorien oder strafrechtlicher Daten besteht
24
CMS Reich-Rohrwig Hainz
Datenschutzbeauftragter (Artikel 37-39)
- Unterrichtung, Beratung und Überwachung der Einhaltung des Datenschutzes
- Unabhängige geschützte Position, direkt der obersten Führungsebene unterstellt
- Zentraler Datenschutzbeauftragter im Konzern zulässig - Interne oder externe Bestellung möglich - Kein Interessenkonflikt (z.B. Inkompatibilität von Geschäftsführer und
Datenschutzbeauftragtem) Checkliste: - Besteht Ernennungspflicht für mein Unternehmen? - Gegebenenfalls Anpassung der Unternehmensstruktur - Ernennung 25
CMS Reich-Rohrwig Hainz
Datenschutzbeauftragter (Artikel 37-39)
Gründe zur freiwilligen Ernennung eines Datenschutzbeauftragten - Zentraler Kompetenzträger in Sachen Datenschutz im Unternehmen - Kann Strukturen schaffen, um den Datenschutz im Unternehmen zu
verankern - Kann weitere Aufgaben übernehmen
• z.B. die Führung des Verzeichnisses von Verarbeitungstätigkeiten - Ansprechperson für Kunden, Mitarbeiter, Betriebsrat und gegenüber
der Aufsichtsbehörde - Strafmilderungsgrund
26
CMS Reich-Rohrwig Hainz
Übermittlungen in Drittländer (Artikel 44-50)
- Datenübermittlung in Drittländer ist grundsätzlich verboten • Ausnahmen: Einwilligung, Vertragserfüllung ua
- Feststellung der Kommission, dass Drittstaat ein adäquates Datenschutzniveau hat
- Standarddatenschutzklauseln (Kommission oder Aufsichtsbehörde) - Interne Datenschutzvorschriften (Binding Corporate Rules) - Verhaltensregeln (Code of Conduct) und Zertifizierungsmechanismen - Bei Vorliegen „geeigneter Garantien“ keine Genehmigung der
Aufsichtsbehörde für Übermittlung in Drittland - Bereits erteilte Genehmigungen bleiben aufrecht
Checkliste: - Rechtsgrundlage bestehender Übermittlungen/Überlassungen prüfen - Genehmigung der Datenschutzbehörde einholen (Rechtssicherheit) 27
CMS Reich-Rohrwig Hainz
Erste Schritte zum Verarbeitungsverzeichnis (Artikel 30)
- Schritt I: Datenbestand prüfen • Datenschutzerklärung • Sicherheitsmaßnahmen • Antworten auf Kundenanfragen • Data Breach Notification • Compliance Maßnahmen, etc.
- Schritt II: „Datamapping“
29
CMS Reich-Rohrwig Hainz
Prüfung des Datenbestandes
- Dateninventur - Ein Verzeichnis aller personenbezogenen Daten und dazugehörigen
Informationen einer Gesellschaft - Dazu gehören:
• Art der personenbezogenen Daten • Erhebung • Verarbeitung • Transfers • Aufbewahrung, etc.
30
CMS Reich-Rohrwig Hainz
Datamapping
- Aufzeichnung aller Verarbeitungstätigkeiten und Datenflüsse im Unternehmen
- Ersetzt Meldung nach dem DSG 2000 - Häufige Fehler beim Erstellen
• Das Verzeichnis der Verarbeitungstätigkeiten wird nicht entsprechend der DSGVO Anforderungen erstellt
• Annahme, die existierenden Nachweise würden die DSGVO Anforderungen erfüllen
Erstellung des
Fragebogens
Sammlung der
Antworten Analyse der Ergebnisse
31
CMS Reich-Rohrwig Hainz
Datamapping
- Schritt 1: Anhaltspunkte in der bisherigen Dokumentation suchen • Bestandslisten (Datenanwendungen, Datenbanken) und deren Ort
definieren • Liste von Drittauftragsdatenverarbeitern
- Schritt 2: Verständnis für das Erheben, Verwenden und Offenlegen von personenbezogenen Daten entwickeln
- Schritt 3: Festlegung des Zwecks • Geschäftsprozesse: Definition des „start-to-end workflow“ über alle
Datenanwendungen hinweg, die mit diesem Geschäftsprozess verknüpft sind
• Datenanwendungen: Definition aller Aspekte der Datenanwendungen (z.B., Cloud- oder lokale Lösung, international oder Dritter, geographische Lage, etc.), die ein Datenschutzrisiko darstellen könnten
32
CMS Reich-Rohrwig Hainz
Datamapping
- Schritt 4: Involvierung anderer Abteilungen • Frühzeitige Einbeziehung • zB HR, Marketing
- Schritt 5: frühzeitige Einbindung von Experten - Schritt 6: Berichterstattung - Schritt 7: Laufende Aktualisierung und Überprüfung auf einem
risikobasierten Zeitplan
33
CMS Reich-Rohrwig Hainz
Erstellung eines Verarbeitungsverzeichnisses
34
Allgemeines
Geschäftsbereich
Prozess/Aktivität
Beschreibung
System
Besitzer
Betroffene
Kategorie
Klassifikation
Sammlung
Datenquelle
Art
Verarbeitung
Zweck
Art
Rechtsgrundlage
Lokation & Hosting
Transfers
Intern/Extern/International
Empfänger
Art
Rechtsgrundlage
Verwendung besonderer Datenkategorien
Vernichtung & Aufbewahrung
Vernichtung
Archivierung
Sicherheit
Technische & Organisatorische Maßnahmen
Vorteile: - Ausgerichtet an Geschäftsprozessen - Ermöglicht detaillierte Erhebung der
Verarbeitungstätigkeiten im Unternehmen - Unterstützt die Identifizierung von „Wissenslücken“
Fragen sollten sich am Lebenszyklus der Daten orientieren
CMS Reich-Rohrwig Hainz
Privacy by Design (Artikel 25)
- Privacy by Design • „Datenschutz durch Technik“ • Verantwortlicher hat geeignete technische und organisatorische
Maßnahmen zum Schutz der Rechte der Betroffenen zu ergreifen • Berücksichtigung des Stands der Technik, der Implementierungskosten und
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken
- Privacy by Default • „Datenschutz durch datenschutzfreundliche Voreinstellungen“ • Geeignete Voreinstellungen, sodass nur die für den jeweiligen Zweck
erforderlichen Daten verarbeitet werden • Bsp.: Websites
36
CMS Reich-Rohrwig Hainz
Datenschutz-Folgenabschätzung (Artikel 35)
- Tools zur Abschätzung und Minimierung des Risikos für Datenschutzverletzungen
- Obligatorisch wenn Verarbeitung voraussichtlich ein hohes Datenschutzrisiko zur Folge hat, insbesondere bei • systematischer und umfassender Bewertung persönlicher Aspekte als
Grundlage für Entscheidungen, die Rechtswirkung gegenüber dem Betroffenen entfalten oder diesen in erheblicher Weise beeinträchtigen; oder bei
• umfangreicher Verarbeitung besonderer Datenkategorien; oder bei • systematischer umfangreicher Überwachung öffentlich zugänglicher
Bereiche - Aufsichtsbehörde erstellt Liste der Verarbeitungsvorgänge mit
obligatorischer Datenschutz-Folgeabschätzung - Verantwortlicher konsultiert Aufsichtsbehörde bei hohem Risiko, sofern
keine Maßnahmen zur Risikominimierung getroffen werden
37
CMS Reich-Rohrwig Hainz
Datenschutz-Folgenabschätzung-Ausnahmenverordnung
- Ausnahmen von der Datenschutz-Folgenabschätzung für: • Datenanwendungen, welche in der Anlage der DSFA-AV angeführt sind
(sog.“White List“), z.B.: - Kundenverwaltung, Rechnungswesen, Logistik, Buchführung - Personalverwaltung - Mitgliederverwaltung - Kundenbetreuung und Marketing für eigene Zwecke - Videoüberwachung - Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte,
Gesundheitsdiensteanbieter und Apotheken - […]
• Datenanwendungen, die gemäß § 18 (2) und § 50c (1) DSG 2000 der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im DVR registriert wurden, sowie
• Datenanwendungen, die gemäß § 17 (2) Z 6 DSG 2000 nicht meldepflichtig waren
38
CMS Reich-Rohrwig Hainz
Big Data
“Big data is high volume, high velocity, and/or high variety information assets that require new forms of processing to enable enhanced decision making, insight discovery and process optimization”
Laney, 3D data management: Controlling data volume, velocity, and variety. (2001)
Zwecke: - Zielgerichtete Werbung - Bonitätsprüfung - Risikobewertung - Betrugsbekämpfung - Kriminalistik und Terrorismusbekämpfung - uvm
40
CMS Reich-Rohrwig Hainz
Big Data
Datenschutz Big Data
Monetarisierung
Profiling
Analyse
Datensammlung
Verhältnismäßigkeit
Erforderlichkeit
Zweckbindung
41
CMS Reich-Rohrwig Hainz
Weiterverarbeitung (Artikel 6 Abs. 4)
- Zulässig bei Einwilligung, spezieller Rechtsgrundlage oder bei Vereinbarkeit des neuen Zwecks mit Erhebungszweck
Vereinbarkeit mit Erhebungszweck?
Verbindung zwischen Zwecken
Verhältnis zwischen Betroffenem und Verantwortlichem
Art der Daten Folgen für Betroffenen
Schutzmaßnahmen (Verschlüsselung,
Pseudonymisierung)
42
CMS Reich-Rohrwig Hainz
Automatisierte Entscheidungen und Profiling (Artikel 22)
- Verbot ausschließlich automatisierter Entscheidung (inklusive Profiling), wenn diese rechtliche Wirkung entfaltet oder Betroffenen in ähnlicher Weise beeinträchtigt
- Ausnahmen • Vertragserfüllung, spezielle Rechtsgrundlage oder Einwilligung; jedoch • Verarbeitung besonderer Datenkategorien grundsätzlich verboten • „Rechtsschutz“: Darlegung des eigenen Standpunkts und
Anfechtungsmöglichkeit - Informationspflicht über die involvierte Logik sowie die Tragweite und
die angestrebten Auswirkungen einer derartigen Verarbeitung (Artikel 15 Abs. 2 lit. g)
Checkliste: - Datenschutz-Folgenabschätzung durchführen
43
CMS Reich-Rohrwig Hainz
Geldstrafen (Artikel 83)
- Kumulationsprinzip • Ausnahme: Verstöße betreffen den gleichen oder miteinander verbundene
Verarbeitungsvorgänge - Bis EUR 10.000.000 oder bei Unternehmen bis zu 2 % des gesamten
weltweiten Umsatzes • Ungültige Einwilligung von Kindern, Verstoß gegen Privacy by Design ua
- Bis EUR 20.000.000 oder bei Unternehmen bis zu 4 % des gesamten weltweiten Umsatzes • Verstoß gegen Grundsätze (einschließlich Einwilligung), Unzulässige
Übermittlung in Drittland ua Checkliste: - (Rechtzeitige) Überprüfung der datenschutzrechtlichen Compliance
45
CMS Reich-Rohrwig Hainz
Key Facts zu dem neuen DSG
- Öffnungsklauseln in der DSGVO ermöglichen nationalem Gesetzgeber Durchführung ins nationale Recht
- Datenschutz-Anpassungsgesetz 2018
- Trat am 25. Mai 2018, zusammen mit der DSGVO, in Kraft
- Schutz juristischer Personen nach DSG 2018 und ggf Widerspruch zur DSGVO?
- Stärkung der Datenschutzbehörde als Aufsichtsbehörde zur
Überprüfung von Datenverarbeitungen mit Einschau- und Betretungsrechten
47
CMS Reich-Rohrwig Hainz
Wichtigste Neuerungen für Unternehmen
- Neue Regelungen zur Bildverarbeitung (Videoüberwachung) - Verarbeitung personenbezogener Daten im Beschäftigungskontext - Protokollierungspflicht - Datengeheimnisverpflichtung der Mitarbeiter - Zusätzlich zu den DSGVO-Strafen: Verwaltungsstrafen iHv bis zu EUR
50.000, die gegen natürliche und juristische Personen zu verhängen sind
- § 11 DSG 2018: Bei erstmaligen Verstößen erfolgt zunächst eine Mahnung durch die Datenschutzbehörde
48
CMS Reich-Rohrwig Hainz
Umsetzung in der Praxis
- Datenschutzbeauftragten bestellen?
- Möglichst vollständiges Verzeichnis von Verarbeitungstätigkeiten schaffen
- Interne Verantwortlichkeiten klären • Für jede einzelne Verfahrenstätigkeit • Für vorgeschriebene Maßnahmen (data breach notification duty,
Datenschutzfolgenabschätzung)
- Prozess-Schnittstellen schaffen (IT-Demand, IT-Betrieb, Informationssicherheit, Einkauf, Personal, …)
- Awareness im Unternehmen schaffen
49
CMS Reich-Rohrwig Hainz
Ihre Ansprechpartner im Datenschutzrecht
50
Dr. Johannes Juranek Partner, Technology CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH T +43 1 40443 2450 E [email protected]
Top Related