Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS- GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg.

Veröffentlicht von:Eduard Kraus Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS- GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg."—  Präsentation transkript:

1 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS- GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg krenn@simonfay.at Tel: 01 / 403 66 05

2 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Überblick 1. Europarechtliche Rahmenbedingungen alt/neu 2. Case studies Europarecht 3. Neuregelung bisher unterschiedlich umgesetzter Bereiche durch die DS-GVO

3 MMag. Michael Krenn, Kanzlei Simonfay und Salburg EU-Richtlinien Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation

4 EU-Datenschutz-Grundverordnung Datenschutzrecht soll durch einheitlichen Rechtsakt harmonisiert werden Entwurf im Jänner 2012 vorgestellt Neuentwurf Juni 2015 Dezember 2015: Ausschuss der ständigen Vertreter billigt Vorschlag Verordnung mit 14.4. 2016 durch EP beschlossen Inkrafttreten mit 25.05.2016, anwendbar ab 25.5.2018 MMag. Michael Krenn, Kanzlei Simonfay und Salburg

5 Systematische Änderung durch Verordnung I bei Richtlinien bleiben nationale Rechtsordnungen als Umsetzungsakte nötig Richtlinie wendet sich an nationalen Gesetzgeber Verpflichtung zur Umsetzung der RL ins nationale Recht Rechtsdurchsetzung bei Richtlinie komplex (Vorabentscheidungsverfahren bzw.Vertragsverletzungsverfahren)

6 Systematische Änderung durch Verordnung II Auswirkungen auf das österreichische Rechtssystem Was passiert mit nationalen Gesetzen ? (DSG, sonstige Gesetze) Sind Umsetzungsschritte nötig? Beispiel: Neuregelung der Rechtsbehelfe in Art. 77 ff Beschwerdeverfahren vor Aufsichtsbehörden und Gerichten optional? Gerichtsverfahren auch gegen Verantwortliche des öffentlichen Bereichs? Internationale Zuständigkeit sowohl am Sitzort von Betroffenen als auch des Verarbeiters? Probleme bei Rechtsanwendung –Kohärenzverfahren MMag. Michael Krenn, Kanzlei Simonfay und Salburg

7 EU-Datenschutz-Grundverordnung Übersicht Was war geplant? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters Neufassung des Löschungsrechts - “Vergessenwerden“- Verpflichtung gegenüber Dritten Datenportabilität Profiling- Regelung Verpflichtender Datenschutzbeauftragter

8 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Was wurde umgesetzt ? Anknüpfung am Sitz des Betroffenen statt des Verarbeiters (Art.3): eingeschränkt auf Anbot von Waren und Dienstleistungen und „Beobachtung des Verhaltens“ „ Recht auf Vergessenwerden“(Art.17): unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen Datenportabilität (Art.20): Ausnahmen bei Verarbeitung im öffentlichen Interesse und Rechten Dritter Profiling- Regelung (Art.22): Ausnahmen für Vertragserfüllung, Einwilligung, ausdrückliche Vorschriften unter Wahrung berechtigter Interessen Verpflichtender Datenschutzbeauftragter (Art.37): öffentliche Einrichtungen, regelmäßige und systematische Überwachung als Kerntätigkeit, umfangreiche Vb Daten besonderer Kategorien

9 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Welches Recht ist anzuwenden? - Art. 4 DS-RL vs. Art. 3 DS-GVO - Tätigkeit im Rahmen einer Niederlassung in EU - Neu: Verarbeitung von Daten von EU-Bürgern, wenn diese dem Anbot von Waren und Dienstleistungen oder der Beobachtung ihres Verhaltens dient - Anwendungsfälle

10 MMag. Michael Krenn, Kanzlei Simonfay und Salburg EuGH C-131/12: : Google Bei Namenssuche taucht alte Pfändung aus Zeitungsarchiv auf Gilt europäisches Datenschutzrecht? Aufgrund Niederlassung in Spanien ja; google kann sich nicht hinter Firmenkonstrukt verstecken Was passiert ohne nationale Niederlassung ? Notwendigkeit einer anderen Anknüpfung gegeben Erlaubt Art. 3 DS-GVO Anknüpfung über Betroffenen? Google hat für Österreich mittlerweile Niederlassung angemeldet

11 EuGH C-230/14 : Weltimmo Auf den ungarischen Markt ausgerichtete Immo- Website Löschungsklage in Ungarn-Vorlage EuGH Vorabentscheidungsverfahren Geringfügige Tätigkeit stellt bereits Niederlassung dar (zB Vertreter, Bankkonto, Postfach) Niederlassung muss selbst keine Daten verarbeiten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

12 Neue Definitionen durch Richtlinie Unternehmen, Unternehmensgruppe (Art. 4/18ff DS-GVO) Verbindliche unternehmensinterne Datenschutzregelungen (Art. 4/20ff DS-GVO) Besondere Kategorien personenbezogener Daten („ausgeweitete sensible Daten“) (Art. 9 DS-GVO) Daten eines Kindes (Art. 8 DS-GVO) Welche Folgen haben diese Neudefinitionen ? MMag. Michael Krenn, Kanzlei Simonfay und Salburg

13 Resumee Vereinheitlichung der europäischen Rechtslage sinnvoll, Anfangsschwierigkeiten sind zu erwarten. Inhaltlich bringt die DS-GVO Fortschritte, im Vergleich zu Erstentwurf aber Verschlechterungen. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

14 Case studies Datenschutz 1.ORF/Einkommensdaten 2.Safe-Harbour 3. Internationaler Datenverkehr - Standardvertragsklauseln 4.SMS-Dienst über Steuerdaten als journalistische Berichterstattung?

15 MMag. Michael Krenn, Kanzlei Simonfay und Salburg ORF/Übermittlung von Einkommensdaten (VfGH KR 1/00, 28.11.2003) §8 Bezügebegrenzungsgesetz sah Übermittlung von Bezügen von ORF-Mitarbeitern an Rechnungshof und Parlament sowie Veröffentlichung vor Antrag an VfGH aufgrund unmittelbarer Anwendbarkeit der EU-Datenschutz-RL hinsichtlich der Zulässigkeit von Verarbeitungen Eingriffe laut EuGH nur „angemessen“ und „notwendig“ zulässig Zweck des effizienten Einsatzes von Budgetmitteln rechtfertigt keine personenbezogene Veröffentlichung von Einkommen Entscheidung unter Blickpunkt auf DS-GVO

16 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Safe Harbour Entscheidung der EU-Kommission Wann dürfen Daten aus einem EU-Mitgliedsstaat an eine US-Organisation übermittelt werden ? Grundsätze des „sicheren Hafens“, Organisation muss sich gegenüber US-Handelsministerium zur Einhaltung verpflichten. Überprüfung der Entscheidung nach PRISM-Affäre

17 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Ist Entscheidung der EU-Kommission bindend oder ist der angemessene Schutz zu prüfen? EuGH: Entscheidung nicht bindend, nationaler Sicherheit und Durchführung von US-Gesetzen wird Vorrang eingeräumt Angemessenes Schutzniveau daher nicht gewährleistet EU-US Safe Harbour Privacy shield Safe Harbour (EuGH, C-362/14, 6.10.2015)

18 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Internationaler Datenverkehr genehmigungsfreie/genehmigungspflichtige Überlassung: §§ 12, 13 DSG 2000, nunmehr Art. 44 ff DS-GVO Vorgaben der EU-Datenschutzrichtlinie sind zu beachten; Sarbanes- Oxley Act in Widerspruch zu EU-Recht Problem der Datenübermittlung im Konzernverhältnis Beispiel „whistle-blowing- Daten“ ( DSK K 178.274/0010- DSK/2008, 05.12.2008; K600.074/0002-DVR/2010, 20.1.2010)

19 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Zulässsiger Datenverkehr (Art. 44 ff DS-GVO) Übermittlung/Überlassung EU-Staaten, Staaten mit angemessenem Drittschutz, Art 45 DS-GVO (Schweiz, Kanada, Argentinien, „Safe Harbour“ USA, Kanalinseln) Datenübermittlung bei geeigneten Garantien (Art 46 DS-GVO) Datenübermittlung aufgrund unternehmensinterner Vorschriften (Art 47 DS- GVO)

20 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Genehmigungsfreier Datenverkehr (Art.49 DS-GVO) lebenswichtige Interesse Daten zulässigerweise in Register veröffentlicht Zustimmung des Betroffenen Vertragserfüllung im Interesse des Betroffenen Begründung, Geltendmachung und Verteidigung von Rechtsansprüchen berechtigtes Interesse des Verantwortlichen oder Auftragsverarbeiters; „nicht häufig oder massiv“; gegebenenfalls Vorsehung geeigneter Garantien

21 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Genehmigungspflicht Jeder nicht gem. Art. 49 DS-GVO genehmigungsfreie Datenverkehr Genehmigung der DSK ist im Einzelfall zu erteilen Unternehmensinterne Vorschriften gem. Art. 47 DS-GVO EU-Standardvertragsklauseln sind zu berücksichtigen

22 MMag. Michael Krenn, Kanzlei Simonfay und Salburg EU-Standardvertragsklauseln Entscheidung der Kommission 2 Versionen optional + Standardvertrag für Dienstleister wesentlicher Inhalt: Pflichten für Exporteur/Importeur Drittbegünstigtenklausel: Betroffener erwirbt Rechte aus Vereinbarung Haftungsklauseln: Exporteur haftet für Importeur Gerichtsstand und anwendbares Recht: kann Betroffener aussuchen

23 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Praxisfälle Problem mangelnden Schutzes Betroffener : DSK K178.234/0008-DSK/2007 Keine Genehmigung bei rechtswidriger Ermittlung: DSK K178.180/0009-DSK/2005 Keine Genehmigung bei Vorbehalt von Vertragsänderungen: DSK K178.194/0007-DSK/2005 Keine Genehmigung erforderlich, wenn keine Daten aus Datenanwendungen: DSK K178.074/13-DSK/00

24 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Steuerdaten-SMS als privilegierter Journalismus? (EuGH C-73/07, 16.12.2008) Veröffentlichung von persönlichen Steuerdaten und Verbreitung per SMS in Finnland Vorabentscheidungsverfahren EuGH sieht privilegierten Journalismus Steuerdatenöffentlichkeit in Skandinavien Zulässigkeit im Lichte der DS-GVO

25 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Neuregelung bisher unterschiedlich umgesetzter Bereiche Neuregelung Aufsichtsbehörden Art. 51 ff. DS- GVO Datenschutz-Folgeabschätzung und Genehmigung Art. 35 ff. DS-GVO Neuregelung Sanktionen Art. 82 ff. DS-GVO

26 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 51 DS-GVO Aufsichtsbehörde Aufsichtsbehörde in Art. 51 definiert „völlige Unabhängigkeit“, EuGH C ‑ 518/07, 9.3.2010, Unabhängigkeit der deutschen Landesdatenschutzbehörden; EuGH C ‑ 614/10 fehlende Unabhängigkeit der Ö-DSK. Unabhängigkeitsdefinition in Art. 52 DS-GVO Bedingung an Mitglieder Art. 53 DS-GVO

27 MMag. Michael Krenn, Kanzlei Simonfay und Salburg bisherige Umsetzung Einheitliche Behörde vs. Föderalisierung/sachliche Aufteilung Kompetenzen Bestellung/Organisation der Behörde Bestelldauer und Art der Mitglieder Finanzielle Ausstattung

28 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 35 DS-GVO Folgenabschätzung und vorherige Genehmigung Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO Vorherige Konsultation Art. 36 DS-GVO

29 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Bisherige Umsetzung Registrierung als Ausnahme: It Selbstregulierung-“data protection officer“: H, D, SP, Polen, F Registrierung prinzipiell verpflichtend vorgesehen: alle restlichen EU-Staaten; allerdings breite Ausnahmeregeln

30 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Art. 82 ff. Schadenersatz und Sanktionen Art. 82 DS-GVO: zivilrechtlicher Schadenersatz Art. 83 DS-GVO: hoheitliche Sanktionen Im Gegensatz zu Art. 24 der DS-RL sind nun Sanktionshöhen definiert Wie sieht Sanktionshöhe im Vergleich zur bisherigen öst. Regelung aus? Vergleich zu Regelungen anderer Mitgliedsstaaten MMag. Michael Krenn, Kanzlei Simonfay und Salburg

31 Höhe verwaltungsrechtlicher Sanktionen Art. 83DS-GVO Geldbuße bis zu 10,000,000 EUR bzw. bis zu 2% des weltweiten Jahresumsatzes etwa bei Verarbeitung von Daten eines Kindes ohne Einwilligung, Nichtbestellung eines Datenschutzbeauftragten, Nichtbestellung eines Verantwortlichen Geldbuße bis zu 20,000,000 EUR bzw. bis zu 4% des weltweiten Jahresumsatzes etwa bei Verstößen gegen Verarbeitungsgrundsätze, persönliche Rechte, Drittstaatsübermittlung. MMag. Michael Krenn, Kanzlei Simonfay und Salburg

32 Vergleich bisherige Strafandrohungen

33 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Vergleich bisher Geldstrafen angedroht - exekutiert

34 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Bueraeu X (2004): NL, Informationsdienstleister beschafft Daten auf illegalem Wege; 240 Stunden gemeinnützige Arbeit, 1 Jahr bedingte Haftstrafe Zeppelin (2004): Spanien, Produktionsfirma von „Big Brother“, mangelnde Datensicherheit; Geldstrafe von rd. 1.000.000,- Euro

35 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Mangelnder Schutz von Steuerdaten durch Finanzministerium: GR, EUR 150.000,00 – Einkommensteuerklärungen durch mangelhaften Schutz in Umlauf gekommen. Übermittlung von Gesundheitsdaten (2006): GR, Euro 50.000,-; private Krankenversicherung hat ohne Zustimmung oder Information Gesundheitsdaten von Versicherten erhoben. Strafe erging an Spital und Krankenversicherung

36 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen Telefonica (2005): Spanien; gesetzwidrige, konzerninterne Datenübermittlung für Direktmarketing; Euro 420.708,- Geldstrafe Greek tapping case (2004 - 2007): Griechenland; Abhörskandal von Politikern und Prominenten bei Vodafone; Einsatz eines Trojanerprogramms Euro 76,000.000,- Strafe für Vodafone Euro 7,360.000,- Strafe für Ericson

37 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen CZ: Euro 70.000,- Gesundheitsdaten im Hof gefunden D: Deutsche Bahn AG erhält Strafe von Euro 1,123.503,- für „Mitarbeiterprofiling“ D: Lidl erhält Strafe für Mitarbeiterüberwachung in Höhe von 1,462.000,- D: EUR 200.000,- für HASPA für Weitergabe von Kundendaten an externe Finanzberater D: Deutsche Telekom-Spitzelskandal um “undichte Stellen” zu finden- 3 Jahre Freiheitsstrafe für Abteilungsleiter

38 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Case studies Sanktionen D: “Christstollenskandal” – 1000 Euro Strafe D: “Debeka”: Illegaler Ankauf der Daten von Beamtenanwärtern-1,3 Mio EUR Ö: verbotene Direktwerbung: EUR 12.000,00, OGH 7Ob168/09w D: “Trillerpfeifenattacke” gegen Direktwerbung: 800 Euro Ö: illegaler Datenverkauf durch Rechtspfleger: bedingte Haftstrafen Ö: Richterin fragt Akt des Bewerbungskonkurrenten ab: 7 Monate bedingte Haft (OGH 17Os41/14d)

39 MMag. Michael Krenn, Kanzlei Simonfay und Salburg Resumee DS-GVO kann in zweierlei Hinsicht grundsätzlich als Fortschritt gewertet werden: Schaffung einer einheitlichen europäischen Rechtslage Einbeziehung von Verantwortlichen in Drittstaaten

Herunterladen ppt "MMag. Michael Krenn, Kanzlei Simonfay und Salburg Europäisches Datenschutzrecht unter dem Gesichtspunkt der DS- GVO MMag. Michael Krenn Kanzlei Simonfay&Salburg."

Ähnliche Präsentationen

Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
#Selbstregulierung 19.12.13 Dr. Carlo Piltz, 2013.

#Selbstregulierung Dr. Carlo Piltz, 2013.
MMag. Michael Krenn, Kanzlei Simonfay und Salburg

MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU

Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU
© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede, Entwicklungen ARGE DATEN Wien, NH Danube City, 22. Oktober 2015.

© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede, Entwicklungen ARGE DATEN Wien, NH Danube City, 22. Oktober 2015.
Mag. Andreas Krisch Die neue DSGVO – Kann sie die großen Erwartungen erfüllen? Wien, 07.04.2016 Hier steht der Titel des Vortrages.

Mag. Andreas Krisch Die neue DSGVO – Kann sie die großen Erwartungen erfüllen? Wien, Hier steht der Titel des Vortrages.
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Vorratsdatenspeicherung Vortrag am 29.10.2008 vor dem HIT-Forum in Duisburg.

Vorratsdatenspeicherung Vortrag am vor dem HIT-Forum in Duisburg.
Datenschutz aus EU-Sicht Nikolaus Forgó

Datenschutz aus EU-Sicht Nikolaus Forgó
CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller.

CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller.
C Kartellverfahrensrecht

C Kartellverfahrensrecht
Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679

Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679
Was ist eine Menschenrechtskonvention?

Was ist eine Menschenrechtskonvention?
Grundgedanken der Richtlinie:

Grundgedanken der Richtlinie:
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Ähnliche Präsentationen

Google-Anzeigen