MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS-GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg krenn@simonfay.at Tel: 01 / 403 66 05 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Überblick 1. Europarechtliche Rahmenbedingungen alt/neu 2. Case studies Europarecht 3. Neuregelung bisher unterschiedlich umgesetzter Bereiche durch die DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EU-Richtlinien Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation MMag. Michael Krenn, Kanzlei Simonfay und Salburg

EU-Datenschutz-Grundverordnung Datenschutzrecht soll durch einheitlichen Rechtsakt harmonisiert werden Entwurf im Jänner 2012 vorgestellt Neuentwurf Juni 2015 Dezember 2015: Ausschuss der ständigen Vertreter billigt Vorschlag Verordnung mit 14.4. 2016 durch EP beschlossen Inkrafttreten mit 25.05.2016, anwendbar ab 25.5.2018 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Systematische Änderung durch Verordnung I bei Richtlinien bleiben nationale Rechtsordnungen als Umsetzungsakte nötig Richtlinie wendet sich an nationalen Gesetzgeber Verpflichtung zur Umsetzung der RL ins nationale Recht Rechtsdurchsetzung bei Richtlinie komplex (Vorabentscheidungsverfahren bzw.Vertragsverletzungsverfahren) MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Systematische Änderung durch Verordnung II Auswirkungen auf das österreichische Rechtssystem Was passiert mit nationalen Gesetzen ? (DSG, sonstige Gesetze) Sind Umsetzungsschritte nötig? Beispiel: Neuregelung der Rechtsbehelfe in Art. 77 ff Beschwerdeverfahren vor Aufsichtsbehörden und Gerichten optional? Gerichtsverfahren auch gegen Verantwortliche des öffentlichen Bereichs? Internationale Zuständigkeit sowohl am Sitzort von Betroffenen als auch des Verarbeiters? Probleme bei Rechtsanwendung – Kohärenzverfahren MMag. Michael Krenn, Kanzlei Simonfay und Salburg

EU-Datenschutz-Grundverordnung Übersicht Was war geplant? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters Neufassung des Löschungsrechts -“Vergessenwerden“- Verpflichtung gegenüber Dritten Datenportabilität Profiling- Regelung Verpflichtender Datenschutzbeauftragter MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Was wurde umgesetzt ? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters (Art. 3): eingeschränkt auf Anbot von Waren und Dienstleistungen und „Beobachtung des Verhaltens“ „ Recht auf Vergessenwerden“ (Art. 17): unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen Datenportabilität (Art. 20): Ausnahmen bei Verarbeitung im öffentlichen Interesse und Rechten Dritter Profiling- Regelung (Art. 22): Ausnahmen für Vertragserfüllung, Einwilligung, ausdrückliche Vorschriften unter Wahrung berechtigter Interessen Verpflichtender Datenschutzbeauftragter (Art. 37): öffentliche Einrichtungen, regelmäßige und systematische Überwachung als Kerntätigkeit, umfangreiche Vb Daten besonderer Kategorien MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Welches Recht ist anzuwenden? Art. 4 DS-RL vs. Art. 3 DS-GVO Tätigkeit im Rahmen einer Niederlassung in EU Neu: Verarbeitung von Daten von EU-Bürgern, wenn diese dem Anbot von Waren und Dienstleistungen oder der Beobachtung ihres Verhaltens dient Anwendungsfälle MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EuGH C-131/12: : Google Bei Namenssuche taucht alte Pfändung aus Zeitungsarchiv auf Gilt europäisches Datenschutzrecht? Aufgrund Niederlassung in Spanien ja; google kann sich nicht hinter Firmenkonstrukt verstecken Was passiert ohne nationale Niederlassung ? Notwendigkeit einer anderen Anknüpfung gegeben Erlaubt Art. 3 DS-GVO Anknüpfung über Betroffenen? Google hat für Österreich mittlerweile Niederlassung angemeldet MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg EuGH C-230/14 : Weltimmo Auf den ungarischen Markt ausgerichtete Immo- Website Löschungsklage in Ungarn-Vorlage EuGH Vorabentscheidungsverfahren Geringfügige Tätigkeit stellt bereits Niederlassung dar (zB Vertreter, Bankkonto, Postfach) Niederlassung muss selbst keine Daten verarbeiten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Neue Definitionen durch DS-GVO Unternehmen, Unternehmensgruppe (Art. 4/18ff DS-GVO) Verbindliche unternehmensinterne Datenschutzregelungen (Art. 4/20ff DS-GVO) Daten eines Kindes (Art. 8 DS-GVO) Welche Folgen haben diese Neudefinitionen ? MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Resumee Vereinheitlichung der europäischen Rechtslage sinnvoll, Anfangsschwierigkeiten sind zu erwarten. Inhaltlich bringt die DS-GVO Fortschritte, im Vergleich zu Erstentwurf aber Verschlechterungen. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Datenschutz 1. ORF/Einkommensdaten 2. Safe-Harbour 3. Internationaler Datenverkehr -Standardvertragsklauseln 4. Generelle Vorratsdatenspeicherung 5. SMS-Dienst über Steuerdaten als journalistische Berichterstattung? MMag. Michael Krenn, Kanzlei Simonfay und Salburg

ORF/Übermittlung von Einkommensdaten (VfGH KR 1/00, 28.11.2003) § 8 Bezügebegrenzungsgesetz sah Übermittlung von Bezügen von ORF-Mitarbeitern an Rechnungshof und Parlament sowie Veröffentlichung vor Antrag an VfGH aufgrund unmittelbarer Anwendbarkeit der EU-Datenschutz-RL hinsichtlich der Zulässigkeit von Verarbeitungen Eingriffe laut EuGH nur „angemessen“ und „notwendig“ zulässig Zweck des effizienten Einsatzes von Budgetmitteln rechtfertigt keine personenbezogene Veröffentlichung von Einkommen Entscheidung unter Blickpunkt auf DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Safe Harbour Entscheidung der EU-Kommission Wann dürfen Daten aus einem EU-Mitgliedsstaat an eine US-Organisation übermittelt werden ? Grundsätze des „sicheren Hafens“, Organisation muss sich gegenüber US-Handelsministerium zur Einhaltung verpflichten. Überprüfung der Entscheidung nach PRISM-Affäre MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Safe Harbour (EuGH, C-362/14, 6.10.2015) Ist Entscheidung der EU-Kommission bindend oder ist der angemessene Schutz zu prüfen? EuGH: Entscheidung nicht bindend, nationaler Sicherheit und Durchführung von US-Gesetzen wird Vorrang eingeräumt Angemessenes Schutzniveau daher nicht gewährleistet EU-US Safe Harbour Privacy shield MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Internationaler Datenverkehr genehmigungsfreie/genehmigungspflichtige Überlassung: §§ 12, 13 DSG 2000, nunmehr Art. 44 ff DS-GVO Vorgaben der EU-Datenschutzrichtlinie sind zu beachten; Sarbanes-Oxley Act in Widerspruch zu EU-Recht Problem der Datenübermittlung im Konzernverhältnis Beispiel „whistle-blowing- Daten“ (DSK K 178.274/0010-DSK/2008, 05.12.2008; K600.074/0002-DVR/2010, 20.1.2010) MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Zulässsiger Datenverkehr (Art. 44 ff DS-GVO) Übermittlung/Überlassung EU-Staaten, Staaten mit angemessenem Drittschutz, Art. 45 DS-GVO (Schweiz, Kanada, Argentinien, „Safe Harbour“ USA, Kanalinseln) Datenübermittlung bei geeigneten Garantien (Art. 46 DS-GVO) Datenübermittlung aufgrund unternehmensinterner Vorschriften (Art. 47 DS-GVO) MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Genehmigungsfreier Datenverkehr (Art. 49 DS-GVO) lebenswichtige Interesse Daten zulässigerweise in Register veröffentlicht Zustimmung des Betroffenen Vertragserfüllung im Interesse des Betroffenen Begründung, Geltendmachung und Verteidigung von Rechtsansprüchen berechtigtes Interesse des Verantwortlichen oder Auftragsverarbeiters; „nicht häufig oder massiv“; gegebenenfalls Vorsehung geeigneter Garantien MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Genehmigungspflicht Jeder nicht gem. Art. 49 DS-GVO genehmigungsfreie Datenverkehr Genehmigung der DSK ist im Einzelfall zu erteilen Unternehmensinterne Vorschriften gem. Art. 47 DS-GVO EU-Standardvertragsklauseln sind zu berücksichtigen MMag. Michael Krenn, Kanzlei Simonfay und Salburg

EU-Standardvertragsklauseln Entscheidung der Kommission 2 Versionen optional + Standardvertrag für Dienstleister wesentlicher Inhalt: Pflichten für Exporteur/Importeur Drittbegünstigtenklausel: Betroffener erwirbt Rechte aus Vereinbarung Haftungsklauseln: Exporteur haftet für Importeur Gerichtsstand und anwendbares Recht: kann Betroffener aussuchen MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Praxisfälle Problem mangelnden Schutzes Betroffener : DSK K178.234/0008-DSK/2007 Keine Genehmigung bei rechtswidriger Ermittlung: DSK K178.180/0009-DSK/2005 Keine Genehmigung bei Vorbehalt von Vertragsänderungen: DSK K178.194/0007-DSK/2005 Keine Genehmigung erforderlich, wenn keine Daten aus Datenanwendungen: DSK K178.074/13-DSK/00 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Steuerdaten-SMS als privilegierter Journalismus? (EuGH C-73/07, 16.12.2008) Veröffentlichung von persönlichen Steuerdaten und Verbreitung per SMS in Finnland Vorabentscheidungsverfahren EuGH sieht privilegierten Journalismus Steuerdatenöffentlichkeit in Skandinavien Zulässigkeit im Lichte der DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Neuregelung bisher unterschiedlich umgesetzter Bereiche Neuregelung Aufsichtsbehörden Art. 51 ff DS-GVO Datenschutz-Folgeabschätzung und Genehmigung Art. 35 ff DS-GVO Neuregelung Sanktionen Art. 82 ff DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Art. 51 DS-GVO Aufsichtsbehörde Aufsichtsbehörde in Art. 51 definiert „völlige Unabhängigkeit“, EuGH C‑518/07, 9.3.2010, Unabhängigkeit der deutschen Landesdatenschutzbehörden; EuGH C‑614/10 fehlende Unabhängigkeit der Ö-DSK. Unabhängigkeitsdefinition in Art. 52 DS-GVO Bedingung an Mitglieder Art. 53 DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg bisherige Umsetzung Einheitliche Behörde vs. Föderalisierung/sachliche Aufteilung Kompetenzen Bestellung/Organisation der Behörde Bestelldauer und Art der Mitglieder Finanzielle Ausstattung MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Art. 35 DS-GVO Folgenabschätzung und vorherige Genehmigung Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO Vorherige Konsultation Art. 36 DS-GVO MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Bisherige Umsetzung Registrierung als Ausnahme: It Selbstregulierung-“data protection officer“: H, D, SP, Polen, F Registrierung prinzipiell verpflichtend vorgesehen: alle restlichen EU-Staaten; allerdings breite Ausnahmeregeln MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Art. 82 ff Schadenersatz und Sanktionen Art. 82 DS-GVO: zivilrechtlicher Schadenersatz Art. 83 DS-GVO: hoheitliche Sanktionen Im Gegensatz zu Art. 24 der DS-RL sind nun Sanktionshöhen definiert Wie sieht Sanktionshöhe im Vergleich zur bisherigen österreichischen Regelung aus? Vergleich zu Regelungen anderer Migtliedsstaaten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Zivilrechtlicher Schadenersatz Bisher nach § 33 DSG Ersatz immaterieller Schäden nur bei öffentlicher Bloßstellung Art. 82 DS-GVO hält bei jedem Verstoß gegen die Verordnung immateriellen Schadenersatz für denkbar Auch mittelbar Geschädigte – etwa Konkurrenzunternehmen – könnten immateriellen Schadenersatz erheben. Welche Anwendungsfälle könnte es in Zukunft geben? 06.06.20185.5.2011 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Höhe verwaltungsrechtlicher Sanktionen Art. 83 DS-GVO  Geldbuße bis zu 10,000,000 EUR bzw. bis zu 2% des weltweiten Jahresumsatzes etwa bei Verarbeitung von Daten eines Kindes ohne Einwilligung, Nichtbestellung eines Datenschutzbeauftragten, Nichtbestellung eines Verantwortlichen  Geldbuße bis zu 20,000,000 EUR bzw. bis zu 4% des weltweiten Jahresumsatzes etwa bei Verstößen gegen Verarbeitungsgrundsätze, persönliche Rechte, Drittstaatsübermittlung. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Vergleich bisherige Strafandrohungen MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Vergleich bisher Geldstrafen angedroht - exekutiert MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Sanktionen Bueraeu X (2004): NL, Informationsdienstleister beschafft Daten auf illegalem Wege; 240 Stunden gemeinnützige Arbeit, 1 Jahr bedingte Haftstrafe Zeppelin (2004): Spanien, Produktionsfirma von „Big Brother“, mangelnde Datensicherheit; Geldstrafe von rd. 1.000.000,- EUR MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Sanktionen Mangelnder Schutz von Steuerdaten durch Finanzministerium: GR, EUR 150.000,00 – Einkommensteuerklärungen durch mangelhaften Schutz in Umlauf gekommen. Übermittlung von Gesundheitsdaten (2006): GR, EUR 50.000,-; private Krankenversicherung hat ohne Zustimmung oder Information Gesundheitsdaten von Versicherten erhoben. Strafe erging an Spital und Krankenversicherung MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Sanktionen Telefonica (2005): Spanien; gesetzwidrige, konzerninterne Datenübermittlung für Direktmarketing; EUR 420.708,- Geldstrafe Greek tapping case (2004 - 2007): Griechenland; Abhörskandal von Politikern und Prominenten bei Vodafone; Einsatz eines Trojanerprogramms EUR 76,000.000,- Strafe für Vodafone EUR 7,360.000,- Strafe für Ericson MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Sanktionen CZ: EUR 70.000,- Gesundheitsdaten im Hof gefunden D: Deutsche Bahn AG erhält Strafe von EUR 1,123.503,- für „Mitarbeiterprofiling“ D: EUR 200.000,- für HASPA für Weitergabe von Kundendaten an externe Finanzberater D: Deutsche Telekom-Spitzelskandal um “undichte Stellen” zu finden - 3 Jahre Freiheitsstrafe für Abteilungsleiter MMag. Michael Krenn, Kanzlei Simonfay und Salburg

Case studies Sanktionen D: “Christstollenskandal” – 1000,- EUR Strafe D: “Debeka”: Illegaler Ankauf der Daten von Beamtenanwärtern-1,3 Mio EUR Ö: verbotene Direktwerbung: EUR 12.000,-, OGH 7Ob168/09w Ö: illegaler Datenverkauf durch Rechtspfleger: bedingte Haftstrafen Ö: Richterin fragt Akt des Bewerbungskonkurrenten ab: 7 Monate bedingte Haft (OGH 17Os41/14d) UK: Krankenhaus übermittelt unverschlüsselte Audioaufzeichnungen über Invitrofertilisationsbehandlungen an indischen Dienstleister: £ 200.000 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Resumee DS-GVO kann in zweierlei Hinsicht grundsätzlich als Fortschritt gewertet werden: Schaffung einer einheitlichen europäischen Rechtslage Einbeziehung von Verantwortlichen in Drittstaaten MMag. Michael Krenn, Kanzlei Simonfay und Salburg