KSW Informationsabend: Aktuelles zur DSGVO StB Mag. Anja Cupal Graz, 25. April 2018

Intention der DSGVO mehr Transparenz gegenüber Aufsichtsbehörde, Kunden, Mitarbeitern Pflicht zur Löschung und Berichtigung von Daten strenge Informations-, Dokumentations- und Nachweispflichten Ernennung eines Datenschutzbeauftragten? Rechtsschutz personenbezogener Daten natürlicher Personen Verzeichnis der Verarbeitungstätigkeiten Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion

Kurzer Überblick über die DSGVO Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion Was ist die Datenschutz-Grundverordnung? Rechtlicher Rahmen: Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016: „Datenschutz-Grundverordnung – DSGVO“ EU-weites Gesamtregelwerk und ersetzt nationale Datenschutzgesetze Gültig ab 25. Mai 2018 Wen betrifft die DSGVO? Jede natürliche und juristische Person innerhalb der EU, die personenbezogene Daten verarbeitet, sowie natürliche und juristische Personen aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten Was sind wesentliche Vorgaben? Einhaltung der DSGVO gegenüber der Aufsichtsbehörde (= Datenschutzbehörde, DSB) muss nachweisbar sein Schutz personenbezogener Daten wird ausgeweitet Strenge Informations-, Dokumentations- und Nachweispflichten Pflicht zur Löschung und Berichtigung von Daten Mehr Transparenz gegenüber Aufsichtsbehörden, Kunden, Mitarbeiterinnen und Mitarbeitern Schwerwiegende Verstöße sind der Aufsichtsbehörde und den betroffenen Personen zu melden Ernennung eines Datenschutzbeauftragten Durchführung und Dokumentation von regelmäßigen Risikobewertungen und Datenschutz- Folgenabschätzungen Wie werden Verstöße geahndet? Strafrahmen: Verwaltungsstrafe von bis zu 4 % des Konzernumsatzes bzw. EUR 20 Millionen (je nachdem, welcher Wert höher ist) DSGVO Art 1-3

Die wichtigsten Definitionen DSGVO Aufsichtsbehörde Datenschutzbehörde der Republik Österreich Verarbeitung jeder Vorgang in Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob der Vorgang mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird (nicht nur elektronische Verarbeitung) Dritter eine natürliche oder juristische Person oder andere Stelle, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Verantwortlicher eine natürliche oder juristische Person oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Verletzung Schutz Daten (Data Breach) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung/Verlust/Veränderung/ unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt Besondere Kategorien von Daten Daten in Bezug auf zB Religion, ethnische Herkunft, politische Meinung, biometrische Daten, Gewerkschaftszugehörigkeit, Gesundheitsdaten, sexuelle Orientierung Auftragsverarbeiter eine natürliche oder juristische Person oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet TOMs Technische und Organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau der Rechte und Freiheiten natürlicher Personen zu gewährleisten Empfänger eine natürliche oder juristische Person oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion DSGVO Art 4

Erstellung von Verträgen zur gemeinsamen Verantwortung / Auftragsverarbeitung Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Erstellung von Verträgen zur gemeinsamen Verantwortung (Art 26) Legen zwei oder mehrere Verantwortliche die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche: In einer transparenten Vereinbarung ist festzuhalten, wer welche Verpflichtung erfüllt Festlegung, wer welchen Informationspflichten nachkommt Vereinbarung muss tatsächliche Funktion widerspiegeln Auftragsverarbeitung (Art 28): vertragliche Grundlagen Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Gegenstand des Vertrages sind - Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien betroffener Personen Pflichten und Rechte des Verantwortlichen Beispiele für Auftragsverarbeiter sind folgende Dienstleister: IT (zB Serverbereitstellung), Post, HR (zB Headhunter) DSGVO Art 26, Art 28

Verträge über eine Auftragsverarbeitung WKO-Mustervertrag für die Auftragsverarbeitung Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Quelle: www.wko.at „ Mustervertrag für die Auftragsverarbeitung“, Abruf am 15. März 2018 DSGVO Art 28

Erstellung des Verzeichnisses der Verarbeitungstätigkeiten Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. (Art 30) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfängern Datenübermittlung ins Drittland Löschfristen für Datenkategorien allgemeine Beschreibung der TOMs DSGVO Art 30

Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Allgemeine Angaben zur Verarbeitungstätigkeit LfNr .: 9 Name der Verarbeitungstätigkeit: 9 Steuerberatung für Klienten 9.1 Allfällige gemeinsam Verantwortliche Keine. Die Verarbeitung erfolgt unter der alleinigen Verantwortung der Kanzlei. 9.2 Verarbeitungszwecke/Rechtsgrundlagen Ausübung von Beratungstätigkeiten im Bereich des Steuerrechts, Beratung und Vertretung in Beitrags - , Versicherungs Leistungsangelegenheiten der Sozialversicherungen sowie vor Verwaltungsgerichten Verwaltungsbehörden gesetzlich anerkannten Kirchen Religionsgemeinschaften Beitragsangelegenheiten sonstige Übernahme Treuhandaufgaben Verwaltung Vermögen Berechtigungsumfang § 2 WTBG 2017 . Die Verarbeitung personenbezogenen Daten erfolgt auf Basis rechtlichen allfälligen vertraglichen Verpflichtungen, Einwilligung Betroffenen zur Wahrung berechtigter Interessen Kanzlei 9.3 Kategorien Betroffener - Klienten allfällige Familienangehörige von Klienten (sofern Klienten natürliche Personen sind) derzeitige und ehemalige Mitarbeiter des Klienten allfällige Organwalter und sonstige Funktionsträger des Klienten Gesellschafter des Klienten (sofern es sich bei den Klienten um Personengesellschaften handelt) Geschäftspartner des Klienten Quelle: KSW, DSGVO-Newsletter 02/2018 vom 13.03.2018 DSGVO Art 30

Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion 9.4 Datenkategorien Speicherdauer Bis zum Ablauf der einschlägigen Verjährungs - und Aufbewahrungsfristen ; darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden . Datenkategorie Bezeichnung . 9.4.1 Stammdaten und Personenstandsdaten Klienten und derer Angehörigen 9 4 2 Daten iZm einer allfälligen Konzernstruktur 9.4.3 Unternehmensspezifische Daten des Klienten zur Erfüllung gesetzlicher Meldeverpflichtungen 9.4.4 der Erstellung der Steuererklärung 9.4.5 Steuerberatung und Spezialberatung inklusive Rechtsmittel BFG und VwGH 9.4.6 finanzstrafrechtlicher Beratung und Verteidigung inklusive Rechtsmittel 9.4.7 Unterstützung im gerichtlichen Finanzstrafverfahren gem § 199 FinStrG 9.4.8 Begleitung als Vertrauensperson weitere Kategorien siehe Verzeichnis der Verarbeitungstätigkeiten Quelle: KSW, DSGVO-Newsletter 02/2018 vom 13.03.2018 DSGVO Art 30

Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion 9.5 Kategorien von Empfängern welche selbst Verantwortliche sind Sitz des Empfängers („EWR“ oder Name des Landes, Kategorie von Empfängern wenn außerhalb des EWR) . B 5 Anlass 1 9 Verwaltungsbehörden 2 Gerichte 3 Körperschaften des öffentlichen Rechtes 9.5.4 Vertragspartner, die an der Lieferung oder Leistung mitwirken bzw. mitwirken sollen Versicherungen aus Abschlusses eines Versicherungsvertrages über die Leistung oder Eintritts Versicherungsfalles (z Haftpflichtversicherung) 6 Weitere vom Klienten bestimmte Empfänger Rechtsanwälte, Vertragspartner) 9 . 6 Kategorien von Empfängern welche für die Kanzlei als Auftragsverarbeiter tätig sind Sitz des Empfängers („EWR“ oder Name des Landes, Kategorie von Empfängern wenn außerhalb des EWR) - IT Dienstleister EWR 9.7 Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen Siehe beiliegende Sicherheitsrichtlinie Quelle: KSW, DSGVO-Newsletter 02/2018 vom 13.03.2018 DSGVO Art 30

Der Datenschutzbeauftragte Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Ein Datenschutzbeauftragter ist im nicht-öffentlichen Bereich zu benennen, wenn die Kerntätigkeit eines Verantwortlichen / Auftragsverarbeiters in einem der folgenden Punkte besteht: Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Durchführung von umfangreicher Verarbeitung „besonderer Daten“ (gemäß Art 9 und 10) Keine Notwendigkeit zur Ernennung eines Datenschutzbeauftragten. Freiwillige Ernennung immer möglich. Ernennung eines Datenschutz-beauftragten (Art 37) Nein Ja DSGVO Art 37

Der Datenschutzbeauftragte Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Aufgaben Unterrichtung und Beratung des Verantwortlichen zur DSGVO Überwachung der Einhaltung der DSGVO Beratung zur und Überwachung der Datenschutz-Folgenabschätzung Zusammenarbeit mit der DSB Anlaufstelle für die DSB NICHT verpflichtet, Verzeichnis über Verarbeitungstätigkeiten zu führen Stellung im Unternehmen interner oder externer Datenschutzbeauftragter darf keinen Interessenskonflikt haben agiert weisungsfrei nicht abberufbar aufgrund seiner Tätigkeit berichtet an Top Management Ebene erhält notwendige Unterstützung und Ressourcen zur Erfüllung seiner Aufgabe Ansprechperson für Betroffene DSGVO Art 38 und 39

Sicherstellung der Rechte der betroffenen Person Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion natürliche Person Auskunfts-recht (Art 15) Recht auf Berichtigung (Art 16) Recht auf Löschung („Vergessen-werden“) (Art 17) Recht auf Einschränkung der Verarbeitung (Art 18) Recht auf Datenüber-tragbarkeit (Art 20) Wider-spruchsrecht (Art 21) DSGVO Art 15-21

To-Do-Liste bis zum 25. Mai 2018 Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Verpflichtung zur Ernennung eines Datenschutzbeauftragten prüfen Art 37 Verpflichtung zur Erstellung einer Datenschutz-Folgeabschätzung prüfen Art 35 Überblick über bestehende Datenverarbeitungstätigkeiten verschaffen Planung / Erarbeitung des Verzeichnisses der Verarbeitungstätigkeiten Art 30 Informationsschreiben an Mitarbeiter / Klienten / Lieferanten Art 13,14 Bestimmung von Prozessen betreffend Rechte betroffener Personen Schaffung technischer Möglichkeiten betreffend Herausgabeverlangen Art 15-21 Art 20 Umsetzung technischer und organisatorischer Maßnahmen Zutrittskontrollen (zB Regelungen Zutritt Büroräumlichkeiten) Zugangskontrollen (zB Passwortrichtlinie) Zugriffskontrollen (zB Zugangsrechte jedes Mitarbeiters zu personenbezogenen Daten) Art 32 Definition Prozess für möglichen Data Breach Art 33

Ihre Ansprechpartnerin bei Fragen Mag. Anja Cupal Steuerberaterin | Partnerin Tel.: +43 (1) 58835-531 anja.cupal@tpa-group.at www.tpa-group.at www.tpa-group.com SK AT HU SI HR RO RS BG AL CZ PL Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion Laufende Steuerberatung Steuerliche Spezialberatung Immobilien Bauwirtschaft Holdinggesellschaften und Konzerne Privatpersonen und Privatstiftungen Stellv. Leiterin des Kompetenz Centers „Verfahrensrecht / BAO / Finanzstrafrecht“ Zertifizierte Finanzstrafrechtsexpertin Fachautorin und Vortragende Beratungs- und Branchenschwerpunkte: Finanzstrafrechtsberatung Steuerstrukturierung / National und International Bauherren- und Beteiligungsmodelle