Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die EU-Datenschutzreform Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016.

Ähnliche Präsentationen


Präsentation zum Thema: "Die EU-Datenschutzreform Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016."—  Präsentation transkript:

1 Die EU-Datenschutzreform Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016

2 Was es bisher zu beachten galt… seit 1995: Datenschutz-Richtlinie (RL 95/46/EG) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde 1999 in Ö im Datenschutzgesetz 2000 umgesetzt (und das Datenschutzgesetz aus 1978 abgelöst) sonstige relevante Bestimmungen im:  E-Commerce Gesetz  Allgemeinen Bürgerlichen Gesetzbuch  Gewerbeordnung  Telekommunikationsgesetz

3 Was bisher geschah…oder -„Der lange Weg zur DSGVO“ Start: : Vorschlag DSGVO über Änderungs- anträge im EP 2014: Position EP 2015: Position Rat 2015: Start TRILOG Ende 2015: politische Einigung Ziel: : DSGVO beschlossen 4. Mai 2016: Veröffentlichung im Amtsblatt

4 Was uns nun erwartet… einheitliches Recht in der EU?  zahlreiche Öffnungsklauseln für Regelungen auf EU Ebene oder durch die Mitgliedstaaten selbst wieviel Zeit zur Umsetzung?  Umsetzung in Ö bis ca Mai 2018! Handlungsempfehlung?  Datenanwendungen im Unternehmen JETZT prüfen,  unbedingt Speicherdauer von Daten prüfen  Risiko einschätzen,  Informationen auf Websites, Mails etc anpassen

5 Warum das alles? – Ein Einblick ins Unbekannte… 1.Wichtige Begriffe 2.Prinzipien rechtmäßiger Verarbeitung 3.Einwilligung 4.Betroffenenrechte 5.Haftung 6.Aufzeichnungspflichten 7.Datensicherheit 8.Entfall (?) der Meldeverpflichtungen vs Folgenabschätzung 9.Datenschutzbeauftragter 10.grenzüberschreitende Datenverarbeitung 11.Beschwerderechte 12.Strafen

6 1. Begrifflichkeiten - personenbezogene Daten (Artikel 4) DSGVODSG 2000 "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; „Daten“ („personenbezogene Daten“): Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann

7 1. Begrifflichkeiten - Pseudonymisierung DSGVODSG 2000 "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

8 1. Begrifflichkeiten - sensible Daten (Artikel 9) DSGVODSG 2000 personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung „sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben

9 1. Begrifflichkeiten - Zustimmung DSGVODSG 2000 „Einwilligung“: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt

10 1. Begrifflichkeiten – und noch ein paar Neuerungen DSGVODSG 2000 VerantwortlicherAuftraggeber AuftragsverarbeiterDienstleister betroffene PersonBetroffene Profiling- -Übermitteln / Überlassen Empfänger, Dritter- Einschränkung der Verarbeitung-

11 2. Prinzipien rechtmäßiger Verarbeitung (Artikel 5) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht VglVgl §§ 6ff DSG 2000

12 Eine Datenverarbeitung ist rechtmäßig wenn (Art 6):  der Betroffene zugestimmt hat,  die Verarbeitung für die Vertragserfüllung mit den Betroffenen notwendig ist,  die Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung notwendig ist,  die Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder anderer natürlicher Personen notwendig ist,  die Verarbeitung im öffentlichen Interesse liegt oder  die Verarbeitung für legitime Zwecke des Verantwortlichen oder eines Dritten notwendig ist  Interessenabwägung!

13 3. Einwilligung (Artikel 4)  freiwillig, für den bestimmten Fall, informiert, unmissverständlich  Willensbekundung (Checkbox?)  Erklärung oder sonstige eindeutig bestätigende Handlung  getrennt von anderen Sachverhalten (AGB?)  jdz Widerrufbarkeit

14 1.Problem: ist Zustimmung noch freiwillig, wenn die Vertragserfüllung (Leistung) von der Einwilligung zu einer Datenverarbeitung abhängig gemacht wird, die für die Vertragserfüllung selbst nicht erforderlich ist? (Freeware, Werbedienste,…?) 2. Problem: Einwilligung eines Kindes im Internet

15 4. Betroffenenrechte Art 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Art 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Art 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Art 15 Auskunftsrecht Art 16 Recht auf Berichtigung Art 17 Recht auf Löschung ("Recht auf Vergessenwerden") Art 18 Recht auf Einschränkung der Verarbeitung Art 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Art 20 Recht auf Datenübertragbarkeit Art 21 Widerspruchsrecht

16 4. Betroffenenrechte - Informationspflichten VglVgl §§ 23, 24 DSG 2000 DSGVODSG 2000 Namen und Kontaktdaten des Verantwortlichen Namen und Kontaktdaten Datenschutzbeauftragter Verarbeitungszwecke und Rechtsgrundlagen berechtigte Interessen Empfängerkategorien Daten an ein Drittland: Vorhandensein Angemessenheitsbeschluss, geeigneter oder angemessener Garantien und Zugang hierzu Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer Betroffenenrechte Widerrufsmöglichkeit der gegebenen Einwilligung Beschwerdemöglichkeit ob Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Verpflichtung der Betroffenen zur Bereitstellung besteht oder aus welcher Quelle die Daten stammen, wenn die Daten nicht beim Betroffenen erhoben wurden automatisierte Entscheidungsfindung, inkl Logik und Tragweite andere Zwecke der Verarbeitung und alle anderen maßgeblichen Informationen nicht-meldepflichtige Datenanwendungen Zweck, Name und Adresse des Auftraggebers weitergehende Informationen nach Treu & Glauben data breach notification DVR Nummer DVR Nummer und Identität eines involvierten Dritten

17 DSGVODSG 2000 Zeitpunkt: zum Zeitpunkt der Erhebung / innerhalb angemessener Frist, wenn Daten von Dritten erhoben wurden (max 1 Mon) Zeitpunkt: DVR Nummern bei Übermittlung, Standardanwendung auf Nachfrage, ansonsten aus Anlass der Datenanwendung Ausnahme: wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person unmöglich oder mit unverhältnismäßig hohem Aufwand verbunden ist. Ausnahme: Betroffene haben Daten bereits

18 4. Betroffenenrechte - Auskunftsrecht VglVgl § 26 DSG 2000 DSGVODSG 2000 Verarbeitungszwecke Kategorien personenbezogener Daten Empfänger Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer sonstige Betroffenenrechte Beschwerderecht alle verfügbaren Informationen über die Herkunft der Daten automatisierte Entscheidungsfindung, inkl Logik und Tragweite geeigneten Garantien bei Übermittlung an Drittland verarbeiteten Daten Informationen über Datenherkunft Empfänger Zweck der Datenverwendung Rechtsgrundlagen Namen und Adressen von Dienstleistern oder Negativauskunft

19 DSGVODSG 2000 formlosschriftliches Begehren Identitätsnachweis bei begründeten Zweifeln Identitätsnachweis durch Betroffenen „in geeigneter Form“ Frist: max 1 Mon (verlängerbar auf max 2 Mon) Frist: max 8 Wochen

20 4. Betroffenenrechte - Recht auf Berichtigung Sollten Daten ungenau oder unrichtig sein, so hat der Betroffene das Recht auf Richtigstellung, bzw Ergänzung unvollständiger Datensätze Neu:  kein Formzwang  Identitätsnachweis bei begründeten Zweifeln  Frist: max 1 Mon (2 Mon) VglVgl § 27 DSG 2000

21 4. Betroffenenrechte - Recht auf Vergessenwerden Daten sind zu löschen:  wenn diese für die Zwecke der Datenverarbeitung nicht mehr notwendig sind,  wenn der Betroffene seine Zustimmung widerrufen hat oder generell widersprochen hat,  wenn Daten unrechtmäßig verarbeitet wurden,  wenn Löschung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist,  wenn Daten von einem Kind im Internet erhoben wurden. Neu:  kein Formzwang, Frist 1 Mon (2 Mon), Identitätsnachweis bei begründeten Zweifeln  Recht auf Vergessen werden im Onlinekontext VglVgl § 26 DSG 2000

22 4. Betroffenenrechte - Recht auf Einschränkung für die Dauer der Überprüfung der Richtigkeit, wenn der Betroffene statt Löschung Einschränkung wählt wenn der Verantwortliche Daten nicht mehr benötigt, der Betroffene sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, für die Dauer der Überprüfung eines Widerspruchbegehrens  Infopflicht ggü Betroffenen, wenn Einschränkung wieder aufgehoben wird! NEU! vgl aber vgl aber auch § 27 Abs 7 DSG 2000!

23 4. Betroffenenrechte - Mitteilungspflicht an alle Empfänger, denen personenbezogenen Daten offengelegt wurden wenn Berichtigung, Löschung oder Einschränkung der Verarbeitung durchgeführt wurde außer: unmöglich oder mit unverhältnismäßigem Aufwand Infopflicht an Betroffene auf Verlangen NEU! vgl aber vgl aber § 27 Abs 8 DSG 2000!

24 4. Betroffenenrechte - Recht auf Datenübertragbarkeit Recht auf Erhalt der Daten Recht auf Übermittlung der Daten an anderen Verantwortlichen (direkt, wenn „technisch machbar“) im strukturierten, gängigen und maschinenlesbaren Format wenn Datenanwendung aufgrund:  einer Einwilligung oder  eines Vertrages zwischen Verantwortlichen und Betroffenen erfolgte und  Verarbeitung mithilfe automatisierter Verfahren erfolgte. NEU!

25 4. Betroffenenrechte - Widerspruchsrecht „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ Widerspruch ist Folge zu leisten, außer:  der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen,  die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder  die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Direktwerbung/ Profiling: jdz Widerspruch möglich Infopflicht des Verantwortlichen: zum Zeitpunkt der ersten Kommunikation sind Betroffene in einer verständlichen und von anderen Informationen getrennten Form über dieses Widerspruchsrecht zu informieren VglVgl § 28 DSG 2000

26 privacy by design / privacy by default (Art 25):  durch Technikgestaltung und Voreinstellungen sollen nur jene Daten verarbeitet werden, die für den konkreten Anwendungsfall notwendig sind,  dazu sind geeignete technische und organisatorische Maßnahmen zu implementieren (zB Pseudonymisierung)  Datenschutzgarantien müssen schon in der ersten Entwicklungsphase „eingebaut“ werden  Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten 5. Haftung NEU!

27 5. Haftung - Auftragsverarbeiter (Art 28) schriftlicher (auch „electronic“) Dienstleistervertrag (von der EK oder Aufsichtsbehörde bereitzustellen):  Bindung an Verantwortlichen  Gegenstand und Dauer der Verarbeitung  Art und Zweck der Verarbeitung,  Art der personenbezogenen Daten,  Kategorien betroffener Personen und  Pflichten und Rechte des Verantwortlichen Verpflichtung zur Implementierung von Sicherheitsmaßnahmen technisch und organisatorisch Verantwortlichen bei Betroffenenrechte unterstützen Pflicht zur Führung eines Verzeichnis von Verarbeitungstätigkeiten Verpflichtung zur Risikoabschätzung ggf Verpflichtung zur Benennung eines DSB AV haftet ebenfalls für Nichteinhaltung von Bestimmungen Warnpflicht ggü Verantwortlichem großteils NEU, aber vgl auchvgl auch § 11 DSG 2000

28 6. Aufzeichnungspflichten (Art 30) Aufzeichnungspflichten für AV und Verantwortlichen Inhalt der Verzeichnispflichten für Verarbeitungstätigkeiten äußerst weitreichend! Aufzeichnungen haben schriftlich oder elektronisch zu erfolgen ausgehöhlte Ausnahme für KMU (= Unternehmen mit weniger als 250 Mitarbeitern)  Ausnahme von der Ausnahme: 1.Risiko für die Rechte und Freiheiten der betroffenen Personen 2.Verarbeitung erfolgt nicht nur gelegentlich 3.Verarbeitung besonderer Datenkategorien (= sensible Daten) 4.Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten NEU! Vgl aber §§ 14, 50b DSG 2000Vgl

29 7. Datensicherheit (Art 32) geeignete technische und organisatorische Maßnahmen „state of the art“: Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten  Pseudonymisierung und Verschlüsselung  Sicherstellung Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste  Wiederherstellung der Fähigkeit, Verfügbarkeit und Zugang  regelmäßigen Überprüfung, Bewertung und Evaluierung  Zugang nur für Befugte VglVgl § 14 DSG 2000

30 Verpflichtung des Verantwortlichen bei Datenmissbrauch die Aufsichtsbehörde inhaltlich ohne unnötige Verzögerung zu informieren (Art 33)  spätestens innerhalb von 72h nachdem ihm die Verletzung bekannt wurde  sofern nicht möglich, muss eine Begründung, weshalb die Frist nicht eingehalten werden konnte, mitgeliefert werden  Ausnahme: gilt nicht, sofern die Panne wahrscheinlich kein Risiko für die Rechte und Freiheiten der Betroffenen darstellt  jedenfalls muss er die Verletzung, die Auswirkungen und Abhilfemaßnahmen dokumentieren Verpflichtung des AV zur Meldung an den Verantwortlichen NEU!

31 8. Entfall der Meldeverpflichtungen vs - Folgenabschätzung (Art 35) allgemeine Risikoeinschätzung wahrscheinlich hohes Risiko Datenschutz- Folgenabschätzung 31 NEU!

32 8. Entfall der Meldeverpflichtungen vs - doch vorherige Konsultation? (Art 36) Datenschutz- Folgenabschätzung wahrscheinlich hohes Risiko vorherige Konsultation der Aufsichtsbehörde 32 Entscheidung innerhalb von 8 Wochen (+ 6W) NEU?

33 9. Datenschutzbeauftragter (DSB, Art 37ff) Verpflichtung sowohl für Verantwortlichen als auch AV verpflichtend für Behörde oder öffentlichen Stelle und für Unternehmen,  deren Kerntätigkeit aus Datenverarbeitung besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen beinhaltet oder  deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten beinhaltet. NEU!

34 keine spezielle Haftung angeordnet, aber mögliche Haftung als „verantwortlicher Beauftragter? (§ 9 VStG) Kenntnisse, praktische Erfahrung im Datenschutz Datenschutzbeauftragte handelt unabhängig und weisungsfrei Mitarbeiter/ freier Mitarbeiter/ Dienstleister  ABER: kein Interessenkonflikt Einbindung im Betrieb, berichtet unmittelbar der höchsten Managementebene keine Abberufung/ Benachteiligung wegen Aufgabenerfüllung Unterstützung durchs Unternehmen (Ressourcen, Fortbildung,…) Aufgaben:  Unterrichtung und Beratung, Anlaufstelle  Überwachung  Zusammenarbeit mit der Aufsichtsbehörde

35 10. grenzüberschreitende Datenverarbeitung (Art 44ff) 35 Vgl §§ 12, 13 DSG Grundsatz: Schutzniveau der Verordnung ist jedenfalls einzuhalten Daten- übermittlung auf der Grundlage eines Angemessen -heits- beschlusses Datenüber- mittlung vorbehaltlich geeigneter Garantien Ausnahmen für bestimmte Fälle

36 11. Beschwerderechte - Verfahren Parallelverfahren (Art 77 und 78): Beschwerde sowohl vor den Aufsichtsbehörden als auch vor Gerichten möglich Verbandsklagebefugnis (Art 80) für non-profit Organisationen Schadenersatz (Art 82) sowohl für materiellen als auch immateriellen Schaden  Solidarhaftung im Falle mehrerer Schädiger  Achtung: Verantwortlichkeit des DL 36 VglVgl §§ 31ff DSG 2000

37 12. Strafen zusätzlich zu den weitgehenden Ermittlungs-, Straf- sowie Beratungs- und Konsultationsrechten der Aufsichtsbehörde kann sie auch Verwaltungsstrafen (Art 83 ff) festlegen. Strafen können im schlechtesten Fall bis zu 20 Millionen oder 4% des Jahresumsatzes weltweit betragen, je nach dem was sich als höher herausstellt zusätzlich können MS weitere Vorschriften über wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen 37 VglVgl §§ 52 DSG 2000

38 Was Sie nun tun sollten… KEINE PANIK! Durchatmen, sacken lassen Datenanwendungen im Unternehmen in Ruhe prüfen und einschätzen und bei Fragen…

39

40 Vielen Dank für Ihre Aufmerksamkeit.


Herunterladen ppt "Die EU-Datenschutzreform Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016."

Ähnliche Präsentationen


Google-Anzeigen