Die EU-Datenschutzreform Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016

Was es bisher zu beachten galt… seit 1995: Datenschutz-Richtlinie (RL 95/46/EG) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde 1999 in Ö im Datenschutzgesetz 2000 umgesetzt (und das Datenschutzgesetz aus 1978 abgelöst) sonstige relevante Bestimmungen im: E-Commerce Gesetz Allgemeinen Bürgerlichen Gesetzbuch Gewerbeordnung Telekommunikationsgesetz § 16 ABGB Angeborne Rechte, § 1328a Recht auf Wahrung der Privatsphäre, § 10 AVRAG Kontrollmaßnahmen, § 91 ArbVG Allgemeine Information an BR, § 96 ArbVG Zustimmungspflichtige Maßnahmen (§ 96a Ersetzbare Zustimmung), § 5ff ECG Informationspflichten, § 151-152 GewO Direktwerbung, Kreditauskunfteien, § 107 TKG unerbetene Werbung,…

Was bisher geschah…oder -„Der lange Weg zur DSGVO“ Start: 2010 2012: Vorschlag DSGVO über 4.000 Änderungs- anträge im EP 2014: Position EP 2015: Position Rat 2015: Start TRILOG Ende 2015: politische Einigung Ziel: 14.4.2016: DSGVO beschlossen 4. Mai 2016: Veröffentlichung im Amtsblatt seit 2010: Bestrebungen der EK für einen neuen Rechtsrahmen 25. Jänner 2012: Präsentation des Vorschlags für die DSGVO durch die EU-Kommission März 2014: nach fast 4.000 Änderungsanträgen nimmt das Europäischen Parlament dessen Letztentwurf an 15. Juni 2015: Rat der Europäischen Union einigt sich auf eine gemeinsame Position ab 24. Juni 2015: „Trilogverhandlungen“ zwischen Parlament, Rat und Kommission 15. Dezember 2015: politische Einigung 14. April 2016: formeller Beschluss der DSGVO 4. Mai 2016: Veröffentlichung im Amtsblatt

Was uns nun erwartet… einheitliches Recht in der EU? zahlreiche Öffnungsklauseln für Regelungen auf EU Ebene oder durch die Mitgliedstaaten selbst wieviel Zeit zur Umsetzung? Umsetzung in Ö bis ca Mai 2018! Handlungsempfehlung? Datenanwendungen im Unternehmen JETZT prüfen, unbedingt Speicherdauer von Daten prüfen Risiko einschätzen, Informationen auf Websites, Mails etc anpassen

Warum das alles? – Ein Einblick ins Unbekannte… Wichtige Begriffe Prinzipien rechtmäßiger Verarbeitung Einwilligung Betroffenenrechte Haftung Aufzeichnungspflichten Datensicherheit Entfall (?) der Meldeverpflichtungen vs Folgenabschätzung Datenschutzbeauftragter grenzüberschreitende Datenverarbeitung Beschwerderechte Strafen

1. Begrifflichkeiten - personenbezogene Daten (Artikel 4) DSGVO DSG 2000 "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; „Daten“ („personenbezogene Daten“): Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann

1. Begrifflichkeiten - Pseudonymisierung DSGVO DSG 2000 "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

1. Begrifflichkeiten - sensible Daten (Artikel 9) DSGVO DSG 2000 personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person , Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung „sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben

1. Begrifflichkeiten - Zustimmung DSGVO DSG 2000 „Einwilligung“: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt

1. Begrifflichkeiten – und noch ein paar Neuerungen DSGVO DSG 2000 Verantwortlicher Auftraggeber Auftragsverarbeiter Dienstleister betroffene Person Betroffene Profiling - Übermitteln / Überlassen Empfänger, Dritter Einschränkung der Verarbeitung - "Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren - "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; - "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

2. Prinzipien rechtmäßiger Verarbeitung (Artikel 5) Vgl §§ 6ff DSG 2000 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht - auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden für festgelegte, eindeutige und legitime Zwecke dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sachlich richtig und erforderlichenfalls auf dem neuesten Stand in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist angemessene Sicherheit der personenbezogenen Daten gewährleistet Nachweispflicht der Einhaltung der Grundsätze durch den V

Eine Datenverarbeitung ist rechtmäßig wenn (Art 6): der Betroffene zugestimmt hat, die Verarbeitung für die Vertragserfüllung mit den Betroffenen notwendig ist, die Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung notwendig ist, die Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder anderer natürlicher Personen notwendig ist, die Verarbeitung im öffentlichen Interesse liegt oder die Verarbeitung für legitime Zwecke des Verantwortlichen oder eines Dritten notwendig ist Interessenabwägung!

3. Einwilligung (Artikel 4) freiwillig, für den bestimmten Fall, informiert, unmissverständlich Willensbekundung (Checkbox?) Erklärung oder sonstige eindeutig bestätigende Handlung getrennt von anderen Sachverhalten (AGB?) jdz Widerrufbarkeit

Einwilligung eines Kindes im Internet Problem: ist Zustimmung noch freiwillig, wenn die Vertragserfüllung (Leistung) von der Einwilligung zu einer Datenverarbeitung abhängig gemacht wird, die für die Vertragserfüllung selbst nicht erforderlich ist? (Freeware, Werbedienste,…?) 2. Problem: Einwilligung eines Kindes im Internet Kind: 13-16J, Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird, wie handzuhaben?

4. Betroffenenrechte Art 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Art 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Art 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Art 15 Auskunftsrecht Art 16 Recht auf Berichtigung Art 17 Recht auf Löschung ("Recht auf Vergessenwerden") Art 18 Recht auf Einschränkung der Verarbeitung Art 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Art 20 Recht auf Datenübertragbarkeit Art 21 Widerspruchsrecht

4. Betroffenenrechte - Informationspflichten Vgl §§ 23, 24 DSG 2000 DSGVO DSG 2000 Namen und Kontaktdaten des Verantwortlichen Namen und Kontaktdaten Datenschutzbeauftragter Verarbeitungszwecke und Rechtsgrundlagen berechtigte Interessen Empfängerkategorien Daten an ein Drittland: Vorhandensein Angemessenheitsbeschluss, geeigneter oder angemessener Garantien und Zugang hierzu Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer Betroffenenrechte Widerrufsmöglichkeit der gegebenen Einwilligung Beschwerdemöglichkeit ob Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Verpflichtung der Betroffenen zur Bereitstellung besteht oder aus welcher Quelle die Daten stammen, wenn die Daten nicht beim Betroffenen erhoben wurden automatisierte Entscheidungsfindung, inkl Logik und Tragweite andere Zwecke der Verarbeitung und alle anderen maßgeblichen Informationen nicht-meldepflichtige Datenanwendungen Zweck, Name und Adresse des Auftraggebers weitergehende Informationen nach Treu & Glauben data breach notification DVR Nummer DVR Nummer und Identität eines involvierten Dritten weitergehende Infos nach Treu und Glauben wenn a) ein Widerspruchsrecht (nach § 28 DSG 2000) besteht, b) wenn es für die betroffenen Personen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist oder c) die Daten in einem gesetzlich nicht vorgesehenen Informationsverbundsystem verarbeitet werden sollen data breach: bei systematisch und schwerwiegend unrechtmäßiger Verwendung von Betroffenendaten zu geben, wenn den betroffenen Personen Schaden droht. Eine Ausnahme besteht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der betroffenen Personen einerseits oder der Kosten der Information aller betroffenen Personen andererseits einen unverhältnismäßigen Aufwand erfordert

Ausnahme: Betroffene haben Daten bereits DSGVO DSG 2000 Zeitpunkt: zum Zeitpunkt der Erhebung / innerhalb angemessener Frist, wenn Daten von Dritten erhoben wurden (max 1 Mon) Zeitpunkt: DVR Nummern bei Übermittlung, Standardanwendung auf Nachfrage, ansonsten aus Anlass der Datenanwendung Ausnahme: wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person unmöglich oder mit unverhältnismäßig hohem Aufwand verbunden ist. Ausnahme: Betroffene haben Daten bereits

4. Betroffenenrechte - Auskunftsrecht Vgl § 26 DSG 2000 DSGVO DSG 2000 Verarbeitungszwecke Kategorien personenbezogener Daten Empfänger Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer sonstige Betroffenenrechte Beschwerderecht alle verfügbaren Informationen über die Herkunft der Daten automatisierte Entscheidungsfindung, inkl Logik und Tragweite geeigneten Garantien bei Übermittlung an Drittland verarbeiteten Daten Informationen über Datenherkunft Zweck der Datenverwendung Rechtsgrundlagen Namen und Adressen von Dienstleistern oder Negativauskunft

schriftliches Begehren Identitätsnachweis bei begründeten Zweifeln DSGVO DSG 2000 formlos schriftliches Begehren Identitätsnachweis bei begründeten Zweifeln Identitätsnachweis durch Betroffenen „in geeigneter Form“ Frist: max 1 Mon (verlängerbar auf max 2 Mon) Frist: max 8 Wochen

4. Betroffenenrechte - Recht auf Berichtigung Vgl § 27 DSG 2000 Sollten Daten ungenau oder unrichtig sein, so hat der Betroffene das Recht auf Richtigstellung, bzw Ergänzung unvollständiger Datensätze Neu: kein Formzwang Identitätsnachweis bei begründeten Zweifeln Frist: max 1 Mon (2 Mon)

4. Betroffenenrechte - Recht auf Vergessenwerden Vgl § 26 DSG 2000 Daten sind zu löschen: wenn diese für die Zwecke der Datenverarbeitung nicht mehr notwendig sind, wenn der Betroffene seine Zustimmung widerrufen hat oder generell widersprochen hat, wenn Daten unrechtmäßig verarbeitet wurden, wenn Löschung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist, wenn Daten von einem Kind im Internet erhoben wurden. Neu: kein Formzwang, Frist 1 Mon (2 Mon), Identitätsnachweis bei begründeten Zweifeln Recht auf Vergessen werden im Onlinekontext Onlinekontext: : alle anderen „Controller“, welche die Daten verarbeiten/ Links verwenden/ sonstige Kopien der Daten angefertigt haben, sind über Löschungsanspruch zu informieren, alle „vertretbaren“ Mittel sollen in Anspruch genommen werden, unter Berücksichtigung der verfügbaren Technologie und technischen Maßnahmen, um diese Information durchzuführen

4. Betroffenenrechte - Recht auf Einschränkung NEU! vgl aber auch § 27 Abs 7 DSG 2000! für die Dauer der Überprüfung der Richtigkeit, wenn der Betroffene statt Löschung Einschränkung wählt wenn der Verantwortliche Daten nicht mehr benötigt, der Betroffene sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, für die Dauer der Überprüfung eines Widerspruchbegehrens Infopflicht ggü Betroffenen, wenn Einschränkung wieder aufgehoben wird!

4. Betroffenenrechte - Mitteilungspflicht NEU! vgl aber § 27 Abs 8 DSG 2000! an alle Empfänger, denen personenbezogenen Daten offengelegt wurden wenn Berichtigung, Löschung oder Einschränkung der Verarbeitung durchgeführt wurde außer: unmöglich oder mit unverhältnismäßigem Aufwand Infopflicht an Betroffene auf Verlangen

4. Betroffenenrechte - Recht auf Datenübertragbarkeit NEU! Recht auf Erhalt der Daten Recht auf Übermittlung der Daten an anderen Verantwortlichen (direkt, wenn „technisch machbar“) im strukturierten, gängigen und maschinenlesbaren Format wenn Datenanwendung aufgrund: einer Einwilligung oder eines Vertrages zwischen Verantwortlichen und Betroffenen erfolgte und Verarbeitung mithilfe automatisierter Verfahren erfolgte.

4. Betroffenenrechte - Widerspruchsrecht Vgl § 28 DSG 2000 „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ Widerspruch ist Folge zu leisten, außer: der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Direktwerbung/ Profiling: jdz Widerspruch möglich Infopflicht des Verantwortlichen: zum Zeitpunkt der ersten Kommunikation sind Betroffene in einer verständlichen und von anderen Informationen getrennten Form über dieses Widerspruchsrecht zu informieren

5. Haftung privacy by design / privacy by default (Art 25): NEU! privacy by design / privacy by default (Art 25): durch Technikgestaltung und Voreinstellungen sollen nur jene Daten verarbeitet werden, die für den konkreten Anwendungsfall notwendig sind, dazu sind geeignete technische und organisatorische Maßnahmen zu implementieren (zB Pseudonymisierung) Datenschutzgarantien müssen schon in der ersten Entwicklungsphase „eingebaut“ werden Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten

5. Haftung - Auftragsverarbeiter (Art 28) großteils NEU, aber vgl auch § 11 DSG 2000 schriftlicher (auch „electronic“) Dienstleistervertrag (von der EK oder Aufsichtsbehörde bereitzustellen): Bindung an Verantwortlichen Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichten und Rechte des Verantwortlichen Verpflichtung zur Implementierung von Sicherheitsmaßnahmen technisch und organisatorisch Verantwortlichen bei Betroffenenrechte unterstützen Pflicht zur Führung eines Verzeichnis von Verarbeitungstätigkeiten Verpflichtung zur Risikoabschätzung ggf Verpflichtung zur Benennung eines DSB AV haftet ebenfalls für Nichteinhaltung von Bestimmungen Warnpflicht ggü Verantwortlichem

6. Aufzeichnungspflichten (Art 30) NEU! Vgl aber §§ 14, 50b DSG 2000 Aufzeichnungspflichten für AV und Verantwortlichen Inhalt der Verzeichnispflichten für Verarbeitungstätigkeiten äußerst weitreichend! Aufzeichnungen haben schriftlich oder elektronisch zu erfolgen  ausgehöhlte Ausnahme für KMU (= Unternehmen mit weniger als 250 Mitarbeitern) Ausnahme von der Ausnahme: Risiko für die Rechte und Freiheiten der betroffenen Personen Verarbeitung erfolgt nicht nur gelegentlich Verarbeitung besonderer Datenkategorien (= sensible Daten) Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Inhalt auszugsweise: Name und Kontaktdaten des AG, Zweck der Verarbeitung, Kategorien der Daten, wo zutreffend Empfänger der Daten, wo zutreffend Übermittlung in Drittstaat und die Dokumentation geeigneter Sicherheitsmaßnahmen, wenn möglich die Dauer der Aufbewahrung, wenn möglich eine generelle Beschreibung der Sicherheitsmaßnahmen, die ergriffen wurden

7. Datensicherheit (Art 32) Vgl § 14 DSG 2000 geeignete technische und organisatorische Maßnahmen „state of the art“: Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten Pseudonymisierung und Verschlüsselung Sicherstellung Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste Wiederherstellung der Fähigkeit, Verfügbarkeit und Zugang regelmäßigen Überprüfung, Bewertung und Evaluierung Zugang nur für Befugte

Verpflichtung des AV zur Meldung an den Verantwortlichen Verpflichtung des Verantwortlichen bei Datenmissbrauch die Aufsichtsbehörde inhaltlich ohne unnötige Verzögerung zu informieren (Art 33) spätestens innerhalb von 72h nachdem ihm die Verletzung bekannt wurde sofern nicht möglich, muss eine Begründung, weshalb die Frist nicht eingehalten werden konnte, mitgeliefert werden Ausnahme: gilt nicht, sofern die Panne wahrscheinlich kein Risiko für die Rechte und Freiheiten der Betroffenen darstellt jedenfalls muss er die Verletzung, die Auswirkungen und Abhilfemaßnahmen dokumentieren Verpflichtung des AV zur Meldung an den Verantwortlichen NEU!

8. Entfall der Meldeverpflichtungen vs - Folgenabschätzung (Art 35) NEU! allgemeine Risikoeinschätzung wahrscheinlich hohes Risiko Datenschutz-Folgenabschätzung Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hohes Risiko? „high risk to the rights and freedoms of individuals by virtue of their nature, scope, context and purposes” Wie ist eine Risikoeinschätzung durchzuführen? "Forum Privatheit„ = Experten des Fraunhofer-Instituts ISI, des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Universität Kassel das Whitepaper "Datenschutz-Folgenabschätzung: Verfügbarkeit, Integrität und Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit -> Risiken nach drei Schutzstufen zu bewerten, die sich nicht allein an den Schadenshöhen und Eintrittswahrscheinlichkeiten orientieren, sondern daran, wie tief die Datenverarbeitung in die Grundrechte der Betroffenen eingreift

8. Entfall der Meldeverpflichtungen vs. - doch vorherige Konsultation 8. Entfall der Meldeverpflichtungen vs - doch vorherige Konsultation? (Art 36) NEU? Datenschutz-Folgenabschätzung wahrscheinlich hohes Risiko vorherige Konsultation der Aufsichtsbehörde wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen (unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert) Entscheidung innerhalb von 8 Wochen (+ 6W)

9. Datenschutzbeauftragter (DSB, Art 37ff) NEU! Verpflichtung sowohl für Verantwortlichen als auch AV verpflichtend für Behörde oder öffentlichen Stelle und für Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen beinhaltet oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten beinhaltet. mit Ausnahme von Gerichten

Kenntnisse, praktische Erfahrung im Datenschutz keine spezielle Haftung angeordnet, aber mögliche Haftung als „verantwortlicher Beauftragter? (§ 9 VStG) Kenntnisse, praktische Erfahrung im Datenschutz Datenschutzbeauftragte handelt unabhängig und weisungsfrei Mitarbeiter/ freier Mitarbeiter/ Dienstleister ABER: kein Interessenkonflikt Einbindung im Betrieb, berichtet unmittelbar der höchsten Managementebene keine Abberufung/ Benachteiligung wegen Aufgabenerfüllung Unterstützung durchs Unternehmen (Ressourcen, Fortbildung,…) Aufgaben: Unterrichtung und Beratung, Anlaufstelle Überwachung Zusammenarbeit mit der Aufsichtsbehörde

10. grenzüberschreitende Datenverarbeitung (Art 44ff) Vgl §§ 12, 13 DSG 2000 Grundsatz: Schutzniveau der Verordnung ist jedenfalls einzuhalten Daten-übermittlung auf der Grundlage eines Angemessen-heits-beschlusses Datenüber-mittlung vorbehaltlich geeigneter Garantien Ausnahmen für bestimmte Fälle

11. Beschwerderechte - Verfahren Vgl §§ 31ff DSG 2000 Parallelverfahren (Art 77 und 78): Beschwerde sowohl vor den Aufsichtsbehörden als auch vor Gerichten möglich Verbandsklagebefugnis (Art 80) für non-profit Organisationen   Schadenersatz (Art 82) sowohl für materiellen als auch immateriellen Schaden Solidarhaftung im Falle mehrerer Schädiger Achtung: Verantwortlichkeit des DL

12. Strafen Vgl §§ 52 DSG 2000 zusätzlich zu den weitgehenden Ermittlungs-, Straf- sowie Beratungs- und Konsultationsrechten der Aufsichtsbehörde kann sie auch Verwaltungsstrafen (Art 83 ff) festlegen. Strafen können im schlechtesten Fall bis zu 20 Millionen oder 4% des Jahresumsatzes weltweit betragen, je nach dem was sich als höher herausstellt zusätzlich können MS weitere Vorschriften über wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen Unternehmen meint daher „Einheiten, die eine wirtschaftliche Tätigkeit ausüben, unabhängig von ihrer Rechtsform, dem Vorliegen oder Fehlen einer Gewinnerzielungsabsicht, dem Umfang der Tätigkeit oder der Art ihrer Finanzierung. Voraussetzung für die Unternehmenseigenschaft ist eine selbständige wirtschaftliche Tätigkeit im weitesten Sinne“. Eine wirtschaftliche Einheit liegt vor, wenn Mutter- und Tochtergesellschaft einheitlich am Markt agieren. Es reiche schon aus, wenn auf die Tochtergesellschaft aufgrund von wirtschaftlichen, organisatorischen oder rechtlichen Gründen Einfluss ausgeübt wird. Vermutet wird ein solcher, sofern die Tochtergesellschaft zu 100% von der Muttergesellschaft gehalten wird, denkbar ist es allerdings auch bei 50/50 Joint Ventures.

Was Sie nun tun sollten… KEINE PANIK! Durchatmen, sacken lassen Datenanwendungen im Unternehmen in Ruhe prüfen und einschätzen und bei Fragen…

Vielen Dank für Ihre Aufmerksamkeit.