MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS- GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg Tel: 01 /

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Überblick 1. Europarechtliche Rahmenbedingungen alt/neu 2. Case studies Europarecht 3. Neuregelung bisher unterschiedlich umgesetzter Bereiche durch die DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EU-Richtlinien Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

EU-Datenschutz-Grundverordnung Datenschutzrecht soll durch einheitlichen Rechtsakt harmonisiert werden Entwurf im Jänner 2012 vorgestellt Neuentwurf Juni 2015 Dezember 2015: Ausschuss der ständigen Vertreter billigt Vorschlag Verordnung mit durch EP beschlossen Inkrafttreten mit , anwendbar ab MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Systematische Änderung durch Verordnung I bei Richtlinien bleiben nationale Rechtsordnungen als Umsetzungsakte nötig Richtlinie wendet sich an nationalen Gesetzgeber Verpflichtung zur Umsetzung der RL ins nationale Recht Rechtsdurchsetzung bei Richtlinie komplex (Vorabentscheidungsverfahren bzw.Vertragsverletzungsverfahren)

Systematische Änderung durch Verordnung II Auswirkungen auf das österreichische Rechtssystem Was passiert mit nationalen Gesetzen ? (DSG, sonstige Gesetze) Sind Umsetzungsschritte nötig? Beispiel: Neuregelung der Rechtsbehelfe in Art. 77 ff Beschwerdeverfahren vor Aufsichtsbehörden und Gerichten optional? Gerichtsverfahren auch gegen Verantwortliche des öffentlichen Bereichs? Internationale Zuständigkeit sowohl am Sitzort von Betroffenen als auch des Verarbeiters? Probleme bei Rechtsanwendung –Kohärenzverfahren MMag. Michael Krenn, Kanzlei Simonfay und Salburg

EU-Datenschutz-Grundverordnung Übersicht Was war geplant? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters Neufassung des Löschungsrechts - “Vergessenwerden“- Verpflichtung gegenüber Dritten Datenportabilität Profiling- Regelung Verpflichtender Datenschutzbeauftragter

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Was wurde umgesetzt ? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters (Art.3): eingeschränkt auf Anbot von Waren und Dienstleistungen und „Beobachtung des Verhaltens“ „ Recht auf Vergessenwerden“(Art.17): unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen Datenportabilität (Art.20): Ausnahmen bei Verarbeitung im öffentlichen Interesse und Rechten Dritter Profiling- Regelung (Art.22): Ausnahmen für Vertragserfüllung, Einwilligung, ausdrückliche Vorschriften unter Wahrung berechtigter Interessen Verpflichtender Datenschutzbeauftragter (Art.37): öffentliche Einrichtungen, regelmäßige und systematische Überwachung als Kerntätigkeit, umfangreiche Vb Daten besonderer Kategorien

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Welches Recht ist anzuwenden? - Art. 4 DS-RL vs. Art. 3 DS-GVO - Tätigkeit im Rahmen einer Niederlassung in EU - Neu: Verarbeitung von Daten von EU-Bürgern, wenn diese dem Anbot von Waren und Dienstleistungen oder der Beobachtung ihres Verhaltens dient - Anwendungsfälle

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EuGH C-131/12: : Google Bei Namenssuche taucht alte Pfändung aus Zeitungsarchiv auf Gilt europäisches Datenschutzrecht? Aufgrund Niederlassung in Spanien ja; google kann sich nicht hinter Firmenkonstrukt verstecken Was passiert ohne nationale Niederlassung ? Notwendigkeit einer anderen Anknüpfung gegeben Erlaubt Art. 3 DS-GVO Anknüpfung über Betroffenen? Google hat für Österreich mittlerweile Niederlassung angemeldet

EuGH C-230/14 : Weltimmo Auf den ungarischen Markt ausgerichtete Immo- Website Löschungsklage in Ungarn-Vorlage EuGH Vorabentscheidungsverfahren Geringfügige Tätigkeit stellt bereits Niederlassung dar (zB Vertreter, Bankkonto, Postfach) Niederlassung muss selbst keine Daten verarbeiten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Neue Definitionen durch Richtlinie Unternehmen, Unternehmensgruppe (Art. 4/18ff DS-GVO) Verbindliche unternehmensinterne Datenschutzregelungen (Art. 4/20ff DS-GVO) Besondere Kategorien personenbezogener Daten („ausgeweitete sensible Daten“) (Art. 9 DS-GVO) Daten eines Kindes (Art. 8 DS-GVO) Welche Folgen haben diese Neudefinitionen ? MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Resumee Vereinheitlichung der europäischen Rechtslage sinnvoll, Anfangsschwierigkeiten sind zu erwarten. Inhaltlich bringt die DS-GVO Fortschritte, im Vergleich zu Erstentwurf aber Verschlechterungen. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Datenschutz 1.ORF/Einkommensdaten 2.Safe-Harbour 3. Internationaler Datenverkehr - Standardvertragsklauseln 4.SMS-Dienst über Steuerdaten als journalistische Berichterstattung?

MMag. Michael Krenn, Kanzlei Simonfay und Salburg ORF/Übermittlung von Einkommensdaten (VfGH KR 1/00, ) §8 Bezügebegrenzungsgesetz sah Übermittlung von Bezügen von ORF-Mitarbeitern an Rechnungshof und Parlament sowie Veröffentlichung vor Antrag an VfGH aufgrund unmittelbarer Anwendbarkeit der EU-Datenschutz-RL hinsichtlich der Zulässigkeit von Verarbeitungen Eingriffe laut EuGH nur „angemessen“ und „notwendig“ zulässig Zweck des effizienten Einsatzes von Budgetmitteln rechtfertigt keine personenbezogene Veröffentlichung von Einkommen Entscheidung unter Blickpunkt auf DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Safe Harbour Entscheidung der EU-Kommission Wann dürfen Daten aus einem EU-Mitgliedsstaat an eine US-Organisation übermittelt werden ? Grundsätze des „sicheren Hafens“, Organisation muss sich gegenüber US-Handelsministerium zur Einhaltung verpflichten. Überprüfung der Entscheidung nach PRISM-Affäre

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Ist Entscheidung der EU-Kommission bindend oder ist der angemessene Schutz zu prüfen? EuGH: Entscheidung nicht bindend, nationaler Sicherheit und Durchführung von US-Gesetzen wird Vorrang eingeräumt Angemessenes Schutzniveau daher nicht gewährleistet EU-US Safe Harbour Privacy shield Safe Harbour (EuGH, C-362/14, )

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Internationaler Datenverkehr genehmigungsfreie/genehmigungspflichtige Überlassung: §§ 12, 13 DSG 2000, nunmehr Art. 44 ff DS-GVO Vorgaben der EU-Datenschutzrichtlinie sind zu beachten; Sarbanes- Oxley Act in Widerspruch zu EU-Recht Problem der Datenübermittlung im Konzernverhältnis Beispiel „whistle-blowing- Daten“ ( DSK K /0010- DSK/2008, ; K /0002-DVR/2010, )

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Zulässsiger Datenverkehr (Art. 44 ff DS-GVO) Übermittlung/Überlassung EU-Staaten, Staaten mit angemessenem Drittschutz, Art 45 DS-GVO (Schweiz, Kanada, Argentinien, „Safe Harbour“ USA, Kanalinseln) Datenübermittlung bei geeigneten Garantien (Art 46 DS-GVO) Datenübermittlung aufgrund unternehmensinterner Vorschriften (Art 47 DS- GVO)

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Genehmigungsfreier Datenverkehr (Art.49 DS-GVO) lebenswichtige Interesse Daten zulässigerweise in Register veröffentlicht Zustimmung des Betroffenen Vertragserfüllung im Interesse des Betroffenen Begründung, Geltendmachung und Verteidigung von Rechtsansprüchen berechtigtes Interesse des Verantwortlichen oder Auftragsverarbeiters; „nicht häufig oder massiv“; gegebenenfalls Vorsehung geeigneter Garantien

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Genehmigungspflicht Jeder nicht gem. Art. 49 DS-GVO genehmigungsfreie Datenverkehr Genehmigung der DSK ist im Einzelfall zu erteilen Unternehmensinterne Vorschriften gem. Art. 47 DS-GVO EU-Standardvertragsklauseln sind zu berücksichtigen

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EU-Standardvertragsklauseln Entscheidung der Kommission 2 Versionen optional + Standardvertrag für Dienstleister wesentlicher Inhalt: Pflichten für Exporteur/Importeur Drittbegünstigtenklausel: Betroffener erwirbt Rechte aus Vereinbarung Haftungsklauseln: Exporteur haftet für Importeur Gerichtsstand und anwendbares Recht: kann Betroffener aussuchen

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Praxisfälle Problem mangelnden Schutzes Betroffener : DSK K /0008-DSK/2007 Keine Genehmigung bei rechtswidriger Ermittlung: DSK K /0009-DSK/2005 Keine Genehmigung bei Vorbehalt von Vertragsänderungen: DSK K /0007-DSK/2005 Keine Genehmigung erforderlich, wenn keine Daten aus Datenanwendungen: DSK K /13-DSK/00

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Steuerdaten-SMS als privilegierter Journalismus? (EuGH C-73/07, ) Veröffentlichung von persönlichen Steuerdaten und Verbreitung per SMS in Finnland Vorabentscheidungsverfahren EuGH sieht privilegierten Journalismus Steuerdatenöffentlichkeit in Skandinavien Zulässigkeit im Lichte der DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Neuregelung bisher unterschiedlich umgesetzter Bereiche Neuregelung Aufsichtsbehörden Art. 51 ff. DS- GVO Datenschutz-Folgeabschätzung und Genehmigung Art. 35 ff. DS-GVO Neuregelung Sanktionen Art. 82 ff. DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 51 DS-GVO Aufsichtsbehörde Aufsichtsbehörde in Art. 51 definiert „völlige Unabhängigkeit“, EuGH C ‑ 518/07, , Unabhängigkeit der deutschen Landesdatenschutzbehörden; EuGH C ‑ 614/10 fehlende Unabhängigkeit der Ö-DSK. Unabhängigkeitsdefinition in Art. 52 DS-GVO Bedingung an Mitglieder Art. 53 DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg bisherige Umsetzung Einheitliche Behörde vs. Föderalisierung/sachliche Aufteilung Kompetenzen Bestellung/Organisation der Behörde Bestelldauer und Art der Mitglieder Finanzielle Ausstattung

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 35 DS-GVO Folgenabschätzung und vorherige Genehmigung Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO Vorherige Konsultation Art. 36 DS-GVO

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Bisherige Umsetzung Registrierung als Ausnahme: It Selbstregulierung-“data protection officer“: H, D, SP, Polen, F Registrierung prinzipiell verpflichtend vorgesehen: alle restlichen EU-Staaten; allerdings breite Ausnahmeregeln

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 82 ff. Schadenersatz und Sanktionen Art. 82 DS-GVO: zivilrechtlicher Schadenersatz Art. 83 DS-GVO: hoheitliche Sanktionen Im Gegensatz zu Art. 24 der DS-RL sind nun Sanktionshöhen definiert Wie sieht Sanktionshöhe im Vergleich zur bisherigen öst. Regelung aus? Vergleich zu Regelungen anderer Mitgliedsstaaten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Höhe verwaltungsrechtlicher Sanktionen Art. 83DS-GVO Geldbuße bis zu 10,000,000 EUR bzw. bis zu 2% des weltweiten Jahresumsatzes etwa bei Verarbeitung von Daten eines Kindes ohne Einwilligung, Nichtbestellung eines Datenschutzbeauftragten, Nichtbestellung eines Verantwortlichen Geldbuße bis zu 20,000,000 EUR bzw. bis zu 4% des weltweiten Jahresumsatzes etwa bei Verstößen gegen Verarbeitungsgrundsätze, persönliche Rechte, Drittstaatsübermittlung. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Vergleich bisherige Strafandrohungen

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Vergleich bisher Geldstrafen angedroht - exekutiert

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Bueraeu X (2004): NL, Informationsdienstleister beschafft Daten auf illegalem Wege; 240 Stunden gemeinnützige Arbeit, 1 Jahr bedingte Haftstrafe Zeppelin (2004): Spanien, Produktionsfirma von „Big Brother“, mangelnde Datensicherheit; Geldstrafe von rd ,- Euro

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Mangelnder Schutz von Steuerdaten durch Finanzministerium: GR, EUR ,00 – Einkommensteuerklärungen durch mangelhaften Schutz in Umlauf gekommen. Übermittlung von Gesundheitsdaten (2006): GR, Euro ,-; private Krankenversicherung hat ohne Zustimmung oder Information Gesundheitsdaten von Versicherten erhoben. Strafe erging an Spital und Krankenversicherung

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Telefonica (2005): Spanien; gesetzwidrige, konzerninterne Datenübermittlung für Direktmarketing; Euro ,- Geldstrafe Greek tapping case ( ): Griechenland; Abhörskandal von Politikern und Prominenten bei Vodafone; Einsatz eines Trojanerprogramms Euro 76, ,- Strafe für Vodafone Euro 7, ,- Strafe für Ericson

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen CZ: Euro ,- Gesundheitsdaten im Hof gefunden D: Deutsche Bahn AG erhält Strafe von Euro 1, ,- für „Mitarbeiterprofiling“ D: Lidl erhält Strafe für Mitarbeiterüberwachung in Höhe von 1, ,- D: EUR ,- für HASPA für Weitergabe von Kundendaten an externe Finanzberater D: Deutsche Telekom-Spitzelskandal um “undichte Stellen” zu finden- 3 Jahre Freiheitsstrafe für Abteilungsleiter

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen D: “Christstollenskandal” – 1000 Euro Strafe D: “Debeka”: Illegaler Ankauf der Daten von Beamtenanwärtern-1,3 Mio EUR Ö: verbotene Direktwerbung: EUR ,00, OGH 7Ob168/09w D: “Trillerpfeifenattacke” gegen Direktwerbung: 800 Euro Ö: illegaler Datenverkauf durch Rechtspfleger: bedingte Haftstrafen Ö: Richterin fragt Akt des Bewerbungskonkurrenten ab: 7 Monate bedingte Haft (OGH 17Os41/14d)

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Resumee DS-GVO kann in zweierlei Hinsicht grundsätzlich als Fortschritt gewertet werden: Schaffung einer einheitlichen europäischen Rechtslage Einbeziehung von Verantwortlichen in Drittstaaten