17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen

Präsentation zum Thema: "17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen"—  Präsentation transkript:

1 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Hans G. Zeger, ARGE DATEN Wien, Hilton GardenInn Vienna South, 17. Oktober 2017 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: / Fax.: / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf EU DSGVO-Volltext: ftp://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: elektronische Kopie der Veranstaltungsunterlagen: ARGE DATEN

2 Aktivitäten der ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten Mitgliederbetreuung Datenschutzfragen - 2016: ca. 500 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2016: in ca. 80 Fällen Mitglieder in Verfahren vertreten Studien- und Beratungsprojekte - Sichere Tickets - Onlinebanking - Smartmeter - Onlineapotheken Diese Datenschutzthemen bewegen die Österreicher: - Gesundheit und Soziales: 20%  - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 17%  - Beruf / Ausbildung: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 8%  - Konsumentendaten/Adressenverlage: 8%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 4%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 500 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2016)‏ ARGE DATEN

3 Ausbildungsreihe der ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I: Datenschutz Grundlagen Modul II: Datenverwendung im Unternehmen Oktober 2017 / 11. April 2018 Modul III: Datenschutz und IT-Sicherheit 7. November 2017 / 24. April 2018 Modul IV: Datenschutz EU & Praxis Oktober 2017 / 12. April 2018 Modul V: Datenschutzfragen identifizieren 8. November 2017 / 25. April 2018 Warum ein "betrieblicher Datenschutzbeauftragter"? Die DSGVO verlangt für alle Behörden und zahlreiche Unternehmen (zB wenn vorrangig "besondere Datenkategorien" verarbeitet werden) verpflichtend einen Datenschutzbeauftragten. Auf Grund der umfangreichen neuen Dokumentations- und Informationspflichten der DSGVO empfiehlt es sich jedoch für alle anderen Unternehmen, insbesondere ab einer Größe von 50 Mitarbeitern, die Position eines "betrieblichen Datenschutzbeauftragten" zu schaffen. Dies hat sowohl ablauf- als auch aufbauorganisatorische Vorteile. Durch die Schaffung dieser Position ergibt sich für alle Mitarbeiter eine klar dokumentierte Zuständigkeit für Datenschutzfragen, die meist komplexer rechtlicher, technischer oder organisatorischer Art sind und nicht unmittelbar einzelnen Abteilungen, wie der IT- oder der Rechts-Abteilung zugeordnet werden können. Damit können Koordination und Durchsetzung der notwendigen Datenschutzmaßnahmen erleichtert werden. Für Mitarbeiter, Kunden und Lieferanten ergibt sich eine eindeutige Kompetenzstelle für alle Datenschutzprobleme, unabhängig davon welche Geschäftsbereiche diese betreffen. Gerade Datenschutzfragen enthalten potentiellen Konfliktstoff, der durch eine rasche und effiziente Klärung offener Fragen professionell beseitigt werden kann. Die Reihe wird mit einem Zertifikat abgeschlossen ARGE DATEN

4 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN

5 Was ist eigentlich die Neuerung der DSGVO?
17. Oktober 2017 EU-Neuregelung des Datenschutzes Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Was ist eigentlich die Neuerung der DSGVO? Übergang von einer verwaltungsorientierten, bürokratischen Datenschutzaufsicht zu einem organisationsorientierten Datenschutzmanagement Vorteil: keine Meldepflichten Nachteil: mehr Unklarheiten wie im Einzelfall Datenschutz umzusetzen ist Informationen zur weiteren Entwicklung der EU-Verordnung: Zentrale Frage: Wann dürfen persönliche Daten verarbeitet warden? ARGE DATEN

6 Geplanter Seminarablauf
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Geplanter Seminarablauf Grundlagen DSGVO / DSG (DSG 2000) Bildverarbeitung / Spezialregelungen Schutz der Privatsphäre Informationspflichten / Betroffenenrechte Datenschutzmanagment (Privacy Policy) - Sicherheit / Strafen / Ausblick ARGE DATEN

7 ARGE DATEN Grundlagen DSGVO / DSG (DSG 2000) Die wichtigsten Begriffe
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Grundlagen DSGVO / DSG (DSG 2000) Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung - ARGE DATEN

8 ARGE DATEN DSGVO - Grundlagen Entwicklung Datenschutz in Österreich
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Entwicklung Datenschutz in Österreich 1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) (Geltung ) 2016 DSGVO (EU) 2016/679 2017 Schaffung DSG Anpassungsgesetzes (DSAG 2018) 2018 Anwendung der DSGVO (Geltung ab ) Was kommt noch auf uns zu? ??/20?? Publikation Liste Verarbeitungen mit hohem Risiko / "ohne" Risiko ??/20?? Regelung wann verpflichtende Konsultation erforderlich ist ??/20?? Akkreditierung von Datenschutz-Zertifizierungsstellen ??/20?? EU-weite Durchführungsbestimmungen und Rechtsakte der EU- Kommission Entwicklung des Datenschutzes in Österreich Eine Übersicht findet sich unter Änderungen zum DSG 2000 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) u.a. Regelung der Videoüberwachung 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) Abschaffung der Datenschutzkommission, Überführung der Agenden der Kommission in den Bundesverwaltungsgerichtshof 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) Anpassung der Datenschutzkommission an die Unabhängigkeitsanforderungen nach dem EUGH-Urteil 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) Regelung der Kompetenzen der Datenschutzbehörde (1. Instanz) und der Datenschutzagenden des Bundesverwaltungsgerichtshofs (2. Instanz) 2013 Novelle der Datenschutzangemessenheits-Verordnung (BGBl. II Nr. 150/ DSAV-Novelle 2013) 2013 Datenschutzanpassungs-Verordnung 2013 (BGBl. II Nr. 213/2013) EU Datenschutz-Grundverordnung ARGE DATEN

9 Fahrplan zur EU DSGVO ARGE DATEN EU-Neuregelung des Datenschutzes
17. Oktober 2017 EU-Neuregelung des Datenschutzes Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Fahrplan zur EU DSGVO Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln - bis europaweites Konsultationsverfahren Entwurf einer EU-Grundverordnung Datenschutz Abstimmung im LIBE-Ausschuß des EU-Parlaments (Verhandlungsmandat des Parlaments) Rats-Arbeitsgruppe beschließt gemeinsame Position abstimmungsfähiger Endentwurf Beschluss Europäisches Parlament - 2017/2018 Nationale Durchführungsgesetze erforderlich Geltung der Grundverordnung Datenschutz (DSGVO) EU-weit + DSAG 2018 in Österreich Informationen zur weiteren Entwicklung der EU-Verordnung: ARGE DATEN

10 Eckpfeiler der neuen DSGVO
17. Oktober 2017 DSGVO Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Eckpfeiler der neuen DSGVO - verpflichtender Datenschutzbeauftragter (Art. 37)  alle öffentlichen Einrichtungen  Kerntätigkeit erfordert umfangreiche regelmäßige und systematische Beobachtung der Betroffenen  Kerntätigkeit ist die Verarbeitung besonderer Kategorien von Daten  Kerntätigkeit ist die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten - abgestufte Geldbußen (Art. 83)  bis 10 Mio Euro (bei Unternehmen bis 2% Umsatz), ua bei Verletzung von Aufzeichnungspflichten  bis 20 Mio Euro (bis 4% Umsatz), ua bei Verletzung von Betroffenenrechten  Verantwortlich ist die Aufsichtsbehörde  keine Mindeststrafen vorgesehen - ARGE DATEN

11 Eckpfeiler der neuen DSGVO II
17. Oktober 2017 DSGVO Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Eckpfeiler der neuen DSGVO II - "doppeltes" One-Stop-Shop-System: a) je Verantwortlichen/Auftragsverarbeiter ist nur eine Aufsichtsstelle zuständig (Hauptniederlassung des Verantwortlichen/Auftragsverarbeiters, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich bei Beschwerden gegen alle Verantwortliche gemäß DSGVO an seine nationale Aufsichtsbehörde wenden - Dokumentation und Folgenabschätzung (Art. 30, 35, 36)  detailliertes Verzeichnis der Verarbeitungstätigkeiten ist zu führen  Risken einer Verarbeitung sind zu bewerten (zB Profiling, automatisierte Entscheidungen, Übermittlungen)  Pflicht zur Vorabkonsultation der Aufsichtsbehörde bei "hohem" Risiko - ARGE DATEN

12      DSAG 2018 Aufbau ARGE DATEN
17. Oktober 2017 Datenschutz-Anpassungsgesetz DSAG 2018 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG 2018 Aufbau - 5 Hauptstücke - formal: Änderung des DSG 2000 - Verfassungsbestimmungen des DSG 2000 bleiben auf Grund parteipolitischer Patt-Situation unverändert - §1 DSG 2000 steht im offensichtlichen Widerspruch zur DSGVO - Verzicht auf eigene Begriffsbestimmungen Hauptstück 1: DSGVO Anpassungen Hauptstück 2: Organe Hauptstück 3: Umsetzung DS-Richtlinie Sicherheitsbehörden Hauptstück 4: Strafbestimmungen Hauptstück 5: Schlussbestimmungen  wird behandelt  DSB wird behandelt  nicht behandelt -  wird behandelt  wird behandelt ARGE DATEN

13 EU-Verordnung DSGVO (2016)
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy EU-Verordnung DSGVO (2016) "Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG" Art. 1 Abs. 1 "Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten." Art. 1 Abs. 2 "Schutz der Grundrechte und Grundfreiheiten und insbesondere deren Recht auf Schutz personenbezogener Daten." Art. 1 Abs. 3 "Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden" DSGVO gilt nur für "natürliche Personen" ab 5/2018 KEIN Datenschutz (iS der DSGVO) für "juristische und sonstige Personen") Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten (Art. 2 Abs. 1) VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern DSGVO Art. 1 Gegenstand und Ziele (1)Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (2)Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. (3)Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. Das DSG 2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am ARGE DATEN

14 DSGVO "Anwendung" ARGE DATEN DSGVO - Grundlagen
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO "Anwendung" Grundsätzlich gilt die DSGVO für alle Verwendungen personenbezogener Daten "für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen" (EW26), insbesondere auch für folgende Bereiche: - EW153: journalistische Tätigkeit - EW158: Archivzwecke - EW159: wissenschaftliche Forschungszwecke - EW160: historische Forschung - EW161: klinische Forschung - EW162: statistische Zwecke - EW165: religiöse Angelegenheiten Jedoch Erleichterungen und Abweichungen, auf Grund nationaler Gesetze, bestehender völkerrechtlicher Vereinbarungen oder anderer EU-Bestimmungen DSGVO EW153 Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit und Kohärenz und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden. ARGE DATEN

15 DSGVO Art. 2 Abs. 2 "Keine Anwendung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 2 Abs. 2 "Keine Anwendung" - Tätigkeiten die nicht in den Anwendungsbereich des Unionsrechts fallen (zB Internationale Organisationen) - Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten - Behördentätigkeit im Rahmen der Strafverfolgung, der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit ( eigene Datenschutzrichtlinie) weiters keine Anwendung: - Verstorbene (EW27, EW160) DSGVO Art. 2 Sachlicher Anwendungsbereich (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. DSGVO EW27 Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen. DSGVO EW160 Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu historischen Forschungszwecken gelten. Dazu sollte auch historische Forschung und Forschung im Bereich der Genealogie zählen, wobei darauf hinzuweisen ist, dass diese Verordnung nicht für verstorbene Personen gelten sollte. ARGE DATEN

16 DSGVO Art. 3 Abs 2 "räumliche Anwendung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 3 Abs 2 "räumliche Anwendung" - bei Tätigkeiten im Rahmen einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet - auf alle sonstigen Verantwortlichen oder Auftragsverarbeiter, bei a) Angebot von Waren und Dienstleistungen an EU-Bürger (unabhängig ob gegen Bezahlung oder gratis) b) Beobachtung von Verhalten von Personen, soweit es innerhalb der EU stattfindet - alle Verantwortlichen (unabhängig vom Sitz) soweit er dem Recht eines Mitgliedsstaates unterliegt DSGVO Art. 3 Räumlicher Anwendungsbereich (2)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. ARGE DATEN

17 Verarbeitungserlaubnis mit Einschränkungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Verarbeitungserlaubnis mit Einschränkungen neu durch DSGVO: statt Verbotsgesetz Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter DSG 2000 § 1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten") Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg ARGE DATEN

18 DSGVO Art 4 Z 1 "personenbezogene Daten"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art 4 Z 1 "personenbezogene Daten" "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen" DSG 2000 § 4 Z 1 "personenbezogene Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSGVO Art. 4 Begriffsbestimmungen 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." ARGE DATEN

19 DSGVO Art. 4 Z 2 "Verarbeitung''
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 4 Z 2 "Verarbeitung'' "jeden Vorgang oder Vorgangsreihe wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" DSGVO Art. 4 Begriffsbestimmungen 2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; DSG 2000 §4 Z 7 "Datenanwendung'": die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung) 8. "Verwenden von Daten": jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten; 9. "Verarbeiten von Daten": das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten; 11. "Überlassen von Daten": die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5); 12. "Übermitteln von Daten": die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers; ARGE DATEN

20 DSGVO Art. 4 Z 7 "Verantwortlicher"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 4 Z 7 "Verantwortlicher" "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" DSG 2000 § 4 Z 4 "Auftraggeber" "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSGVO Art. 4 Z 8 "Auftragsverarbeiter" natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSGVO Art. 4 Begriffsbestimmungen 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; 8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ ARGE DATEN

21  DSGVO Art. 9 Z 1 "besondere Kategorien"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 9 Z 1 "besondere Kategorien" Daten natürlicher Personen über rassische und ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheit, Sexualleben DSGVO Art. 4 Z 13,14,15 "Definitionen" Definition der genetischen und biometrischen Daten sowie der Gesundheitsdaten DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse und philosophische Überzeugung, Gesundheit, Sexualleben NEU! DSGVO DSGVO Art. 9 Abs. 1 Verarbeitung besonderer Kategorien personenbezogener Daten (1)Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. DSGVO Art. 4 Begriffsbestimmungen 13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; 14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; 15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; DSG 2000 § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ ist in der EU-Richtlinie definiert und wurde durch Österreich weder eingeengt, noch erweitert (andere Ländr erweiterten den Definitionsumfang). Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU-Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. bisherige Position DSK/DSB: Erhebungs"absicht" (Zweck) wesentliche Komponente bei der Bewertung ob sensibles Datum  DSGVO ARGE DATEN

22 DSGVO Art 4 Z 3 "Einschränkung Verarbeitung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art 4 Z 3 "Einschränkung Verarbeitung" Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken DSGVO Art 4 Z 4 "Profiling" bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte betreffend Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen DSGVO Art 4 Z 5 "Pseudonymisierung" Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen um eine Identifikation zu verhindern DSGVO Art. 4 Begriffsbestimmungen 3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; 4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; 5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; NEU! DSGVO ARGE DATEN

23 Personenbezogene Daten iS DSG 2000
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Grundlagen Personenbezogene Daten iS DSG 2000 Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG2000 §4 Z2)‏: Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN

24 Personenbezogene Daten iS DSGVO
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Grundlagen Personenbezogene Daten iS DSGVO Pseudonymisierte Daten Art. 4 Z 5 DSGVO personenbezogene Daten Art. 4 Z 1 DSGVO besondere Kategorien Art. 9 Abs. 1 DSGVO - ARGE DATEN

25 DSGVO Art. 4 Z 11 "Einwilligung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 4 Z 11 "Einwilligung" "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist" (weitere Details und Widerruf der Einwilligung in Art. 7 geregelt) DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" (Widerruf der Zustimmung in § 8 bzw. § 9 geregelt) Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus DSGVO Art. 4 Begriffsbestimmungen 11.„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; Von Einwilligung/Zustimmung sind andere rechtlich zulässige Nutzungen von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... ARGE DATEN

26 Die geklagten Klauseln werden durchwegs aufgehoben
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy OGH 4 Ob 221/06p ("GE ...bank") AK klagt Vielzahl von AGB-Klauseln Datenschutzbestimmungen betreffen: - Entbindung vom Bankgeheimnis (OGH  unzulässig in den AGB's, hat jedoch ausdrücklich zu erfolgen) - Zustimmung zur Datenaustausch mit Auskunftsdiensten (OGH  Stellen sind ausdrücklich zu benennen, nicht ausreichend in AGB's, Daten sind zu spezifizieren, Zweifel ob im vorliegenden Fall überhaupt berechtigt) - OGH: Aus Pflicht zur Bonitätsprüfung kann keine Datenweitergabe an Auskunftsdienste abgeleitet werden - Zustimmung zu Werbezwecken (OGH  Widerrufsmöglichkeit muss in derselben Klausel wie Zustimmung sein, ansonsten Irreführungsmöglichkeit) - Übermittlung an andere Unternehmen zu Werbezwecken (OGH  Unternehmen, Daten und Zwecke müssen vollständig angeführt sein) Die geklagten Klauseln werden durchwegs aufgehoben  DSGVO OGH 4 Ob 221/06p ("GE ...bank"): Pflicht der Bank zur Bonitätsprüfung bedeutet noch keine Erlaubnis zur Dateneinholung bei Auskunftsdiensten ohne Zustimmung, sondern bloß dass sich die Bank um eine Zustimmung bemühen muss und wenn sie nicht gegeben wird, die Kreditvergabe verweigern muss. Aus der OGH-Entscheidung: "Eine Bestimmung in allgemeinen Geschäftsbedingungen, durch die der Kunde sogar dem Austausch von Bonitätsinformationen mit nur beispielsweise genannten Auskunftsstellen zustimme, sei intransparent, weil sie die Tragweite der Einwilligung nicht erkennen lasse. Eine wirksame Zustimmung könne nur vorliegen, wenn der Betroffene wisse, welche seiner Daten zu welchem Zweck von wem verwendet werden sollen. Die Zustimmung zur Einholung von der Beklagten „notwendig erscheinenden" Informationen sowie zur Übermittlung der seitens des Kreditgebers angefragten Daten sei gleichfalls intransparent. Der Einwand der Beklagten, sie sei zur Bonitätsprüfung verpflichtet, könne nur bewirken, dass sie sich um die erforderlichen Zustimmungen bemühen und bei deren Verweigerung die Kreditvergabe ablehnen müsse. Ein überwiegendes und berechtigtes Interesse, mit nicht genannten Auskunftsstellen nicht angeführte Bonitätsdaten auszutauschen, ergebe sich daraus nicht Dem Einwand der Beklagten, die Klausel enthalte eine wirksame Entbindung vom Bankgeheimnis, ist die nunmehr ständige Rechtsprechung des Obersten Gerichtshofs entgegenzuhalten. Danach reicht die Aufnahme einer entsprechenden Klausel in - regelmäßig nicht unterfertigte - Allgemeine Geschäftsbedingungen nicht für eine wirksame Entbindung vom Bankgeheimnis aus (4 Ob 28/01y = SZ 74/52; 4 Ob 179/02f = SZ 2002/153). Es besteht auch im vorliegenden Fall kein Anlass, von dieser Auffassung abzugehen. Das Gebot der Schriftlichkeit bedeutet, dass der Kunde das die Zustimmungserklärung enthaltende Schriftstück unterfertigen muss. Die geforderte Ausdrücklichkeit bedingt, dass die Entbindungserklärung klar und deutlich im unterfertigten Schriftstück enthalten ist (4 Ob 179/02f = SZ 2002/153 mN). Angesichts der besonderen Bedeutung des Bankgeheimnisses muss sichergestellt sein, dass auch ein Kunde, der das Schriftstück nur oberflächlich studiert, die Entbindungserklärung zur Kenntnis nimmt und sie im Bewusstsein ihrer Bedeutung unterzeichnet. Diese vorformulierte Zustimmungserklärung widerspricht dem Transparenzgebot nach § 6 Abs 3 KSchG. Sie lässt weder erkennen, auf welches Unternehmen sich die Einwilligung bezieht (die in Klausel 31 angeführten Unternehmen können es nicht sein, weil sich darunter einige befinden, die ganz offenkundig keine Bankgeschäfte betreiben), noch ist ersichtlich, welcher Art die zu bewerbenden Produkte sind, noch auch welchen Kommunikationsmitteln der Kreditnehmer durch seine Erklärung zustimmen soll. Es bleibt daher völlig offen, mit welchen Werbemaßnahmen welchen Unternehmens der Kreditnehmer aufgrund dieser Klausel zu rechnen hat. Es kann daher auch nicht abgeschätzt werden, mit welcher Beeinträchtigung er rechnen muss." ARGE DATEN

27 DSGVO Art 4 Z 16 "Hauptniederlassung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art 4 Z 16 "Hauptniederlassung" Verantwortlicher mit Niederlassungen in mehreren EU-Staaten, kann jene zur Hauptniederlassung erklären, an der die Entscheidungen getroffen werden  Zuständigkeit der Aufsichtsbehörde (Art. 51ff) DSGVO Art 4 Z 18 "Unternehmen" natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform DSGVO Art 4 Z 19 "Unternehmensgruppe" Gruppe, die aus herrschenden Unternehmen und den von diesemherrschenden Unternehmen abhängigen Unternehmen  Datenschutzbeauftragten (Art. 37), Unternehmensvorschriften (Art. 47), Beschäftigtendaten (Art. 88) Keine Konzernerleichterung, aber: "Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt." (EW 38) NEU! DSGVO DSGVO Art. 4 Begriffsbestimmungen 16. „Hauptniederlassung“ a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt; 17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; 18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen; 19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht; ARGE DATEN

28 DSGVO Art. 5 "Treu und Glauben, Zweckbindung"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 5 "Treu und Glauben, Zweckbindung" - Daten müssen rechtmäßig, nach Treu und Glauben und transparent für Betroffenen ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz") - Verarbeitung erfolgt für festgelegte Zwecke ("Zweckbindung") - Verwendung der Daten auf notwendiges Maß beschränken ("Datenminimierung") - Daten müssen sachlich richtig und im notwendigen Ausmaß auf dem neuesten Stand sein ("Richtigkeit") - Begrenzung der Speicherdauer identifizierbarer Personendaten ("Speicherbegrenzung") [Ausnahme: "im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke"] - Verpflichtung zu Sicherheitsmaßnahmen "durch geeignete technische und organisatorische Maßnahmen" ("Integrität und Vertraulichkeit") - Verantwortliche müssen die Einhaltung der Grundsätze nachweisen ("Rechenschaftspflicht") DSGVO Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1)Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2)Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). ARGE DATEN

29 ARGE DATEN DSG 2000 - Grundlagen
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG 2000 § 6 "Grundsätze Verwendung Daten" - Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) - Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) - Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) - Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3) DSGVO verwendet ähnliche Formulierungen, jedoch umfangreicher und erweitert um zusammenfassende Begriffe DSG 2000 § 6 ist Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, bekanntes Beispiel: Adressenverlage "Fair-Data" ARGE DATEN

30 DSGVO Art. 6 "Rechtmäßigkeit"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 6 "Rechtmäßigkeit" Zulässige Datenverwendung (Abs. 1) (a) betroffene Person hat Einwilligung (iS Art 7) für bestimmte Zwecke gegeben (b) Verarbeitung ist zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich (inklusive vorvertraglicher Maßnahmen) (c) Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich (d) um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (e) Verarbeitung liegt im öffentlichen Interesse oder erfolgt in Ausübung einer "öffentlichen Gewalt" die dem Verantwortlichen übertragen wurde (f) Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht Datenschutzinteressen überwiegen (nicht anwendbar bei Behörden!) Erhebliche Anpassungen erforderlich! Abs 2, 3: Mitgliedsstaaten können bestehende spezifische Anforderungen präziser festlegen oder verabschieden, um die in der DSGVO vorgegebenen Anforderungen zu genügen DSGVO Art. 6 Rechtmäßigkeit der Verarbeitung (1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. (2)Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. (3)Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch a) Unionsrecht oder b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. ARGE DATEN

31 DSGVO Art. 6 "Rechtmäßigkeit" II
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 6 "Rechtmäßigkeit" II Abweichende Zwecke (Abs. 4) zulässig, wenn Verantwortlicher berücksichtigt: - jede Verbindung zwischen Zwecken, für die die personenbezogenen Daten erhoben wurden, und Zwecken der beabsichtigten Weiterverarbeitung - den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden - Art der personenbezogenen Daten (besondere Kategorien iS Art. 9, strafrechtliche Verurteilungen und Straftaten iS Art. 10) - mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen - Vorhandensein geeigneter Garantien, insbesondere Verschlüsselung oder Pseudonymisierung DSGVO Art. 6 Rechtmäßigkeit der Verarbeitung (Fortsetzung) Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. (4)Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. ARGE DATEN

32 DSGVO Art. 9 "besondere Datenkategorien"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 9 "besondere Datenkategorien" Grundsätzliches Verarbeitungsverbot (Abs. 1) - rassischer und ethnischer Herkunft - politische Meinung - religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - genetischen Daten - biometrischen Daten zur eindeutigen Identifizierung - Gesundheit - Sexualleben oder der sexuellen Orientierung Ausnahmen vom Verarbeitungsverbot (Abs. 2) (a) Einwilligung durch Betroffenen, jedoch Einwilligung kann auch verboten werden [Anm: AT siehe Gentechnikgesetz] (b) Verarbeitung aus Gründen sozialer Sicherheit und Sozialschutzes erforderlich (c) lebenswichtige Interessen erfordern Verwendung und Betroffener ist außerstande eine Einwilligung zu geben DSGVO Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten (1)Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. (2)Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, ARGE DATEN

33 DSGVO Art. 9 "besondere Datenkategorien" II
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 9 "besondere Datenkategorien" II Ausnahmen vom Verarbeitungsverbot (Abs. 2) Fortsetzung (d) Verarbeitung erfolgt durch Organisation im Rahmen ihrer Tätigkeit (gilt ausschließlich für Organisation ohne Gewinnerzielungsabsicht und nur für ihre Mitglieder bzw. ehemaligen Mitglieder (e) Daten wurden vom Betroffenen offensichtlich öffentlich gemacht (f) Verarbeitung dient zur Geltendmachung von Rechtsansprüchen oder im Rahmen gerichtlicher Handlungen (g) Unionsrecht oder nationales Recht sieht Verarbeitung vor, bei Wahrung des Rechts auf Datenschutzes [Anm: ELGA-Gesetz?] (h) Verarbeitung zum "Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich" erforderlich DSGVO Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten (Fortsetzung) e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder ARGE DATEN

34 DSGVO Art. 9 "besondere Datenkategorien" III
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 9 "besondere Datenkategorien" III Ausnahmen vom Verarbeitungsverbot (Abs. 2) Fortsetzung (i) Verarbeitung aus "Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten" erforderlich (j) Verarbeitung ist für in "öffentlichem Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke" erforderlich Sonstige Verarbeitungsbeschränkungen (Abs. 3, 4) - im Rahmen der Gesundheitsvorsorge/-versorgung (iS Abs. 2 lit h): erfordert Fachpersonal das Berufsgeheimnis unterliegt bzw. Personen unter dessen Verantwortung (ebenfalls Geheimhaltungspflicht erforderlich) - Mitgliedsstaaten können zusätzliche Bedingungen inklusive Beschränkungen einführen (bzw. aufrecht erhalten) die genetische, biometrische oder Gesundheitsdaten betreffen DSGVO Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten (Fortsetzung) j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich. (3)Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. (4)Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. ARGE DATEN

35 ARGE DATEN DSG 2000 - Grundlagen
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG 2000 §§ 8,9 "Zulässige Datenverwendung" (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten (EU-Konformität??) - zulässig veröffentlichte Daten Wann dürfen Daten verwendet werden? Wann sind Geheimhaltungsinteressen nicht verletzt? - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§ 8 Abs. 1 Z 1) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§ 9 Z 3) - Betroffener hat zugestimmt/Widerrufsrecht (§ 8 Abs. 1 Z 2, § 9 Z 6) - lebenswichtige Interessen des Betroffenen (§ 8 Abs. 1 Z 3, § 9 Z 7) - zulässigerweise veröffentlichte Daten (§ 8 Abs. 2, §9 Z 1) - indirekt personenbezogene Daten (§ 8 Abs. 2, §9 Z 2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§ 8 Abs. 1 Z 4, nur bei nichtsensiblen Daten!) - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§ 8 Abs.3 Z1) - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§ 8 Abs. 3 Z 2, § 9 Z 4) - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs. 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§ 8 Abs. 3 Z 3, § 9 Z 8) ARGE DATEN

36 Grundlage einer rechtmäßigen Datenverwendung
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss ein berechtigter Zweck für die Datenverarbeitung gegeben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (Art. 5) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (Art. 6-9) Die Datenverarbeitung muss den Informations- und Dokumentationspflichten entsprechen (Art , 30, 35, 36) Beispiele: - Warndatei von Risikopatienten in einem Krankenhaus - Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? ! bisher DVR unverändert DSGVO - ARGE DATEN

37  ARGE DATEN Zwecke und Geschäftsbereiche
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Zwecke und Geschäftsbereiche Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91) Ausgangslage - eine sektorale Bausparkasse hat den ihr zugerechneten Banken vorgeschlagen, die Girokonten nach "Fremdbausparverträgen" bzw. "Nichtbausparern" zu analysieren und diese gezielt bezüglich eines Abschlusses eines Bausparvertrages anzusprechen - eine Datenübermittlung an die Bausparkasse fand nicht statt - die Bausparkasse stellte ein Auswertungstool zur Verfügung Entscheidung des OGH - unzulässige Datenverwendung - die Führung von Girokonten und die Vermittlung von Verträgen (hier: Bausparverträgen) sind als zwei getrennte Geschäftsbereiche anzusehen  DSGVO RIS Rechtssätze zu OGH 4 Ob 114/9: "Der Wahrung des Bankgeheimnisses und des Datenschutzes kommt gerade im Kreditwesen große Bedeutung zu; im Zweifel ist dem Schutz des Kunden durch das Bankgeheimnis und der vertraulichen Behandlung personenbezogener Daten gegenüber dem eigenen Geschäftsinteresse (Provisionsinteresse) der Vorrang zu geben." (DSG § 1; KWG 1979 § 23; UWG § 1 C2) "Es ist nicht zulässig, Kundendaten einem Dritten zum Zweck eines Datenvergleiches zu übermitteln, um herauszufinden, wer von den eigenen Kunden noch nicht Kunde des Dritten ist." (DSG § 3 Z 4; DSG § 3 Z 9; DSG § 18) "Die allgemeine Erklärung, daß die Daten "zum Zweck des bankinternen Informationssystems" verarbeitet würden, enthält eine Zustimmung zur Verarbeitung für "andere Aufgabengebiete" im Sinne des § 3 Z 9 DSG nicht." (DSG § 3 Z 9) "Wer einer Bank im Rahmen des Giroverkehrs Daten anvertraut, soll aber mangels besonderer Vereinbarung nicht gewärtigen müssen, daß die Bank diese Daten (wenn sie sie auch nicht an einen Dritten weitergibt) zum Zweck der Vermittlung von Bausparverträgen vornehmlich im Interesse eines Dritten (und im eigenen Provisionsinteresse) verwendet." (DSG § 3 Z 9) "Die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers soll nicht nur für den öffentlichen Bereich des DSG (zweiter Abschnitt: §§ 6 bis 16) Geltung haben; nunmehr kommt dem "Aufgabengebiet auch im privaten Bereich so weit Bedeutung zu, als von einem Rechtsträger unterschiedliche Tätigkeitsbereiche besorgt werden (zB Buchclub/Versicherungsgeschäft). In jedem Fall sollen die Betroffenen bei der Ermittlung davon ausgehen können, daß die Daten nur für einen bestimmten Tätigkeitsbereich des Rechtsträgers Verwendung finden." (DSG § 3 Z 9) [Anm. die zitierten Bestimmungen beziehen sich auf Stand Urteilsverkündung, und sind zum Teil verändert, z.B. § 23 KWG seit § 38 BWG, die DSG- Bestimmungen beziehen sich auf DSG78] ARGE DATEN

38  Fallbeispiel Bankkonto ARGE DATEN Zwecke und Geschäftsbereiche
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Zwecke und Geschäftsbereiche Fallbeispiel Bankkonto Welche Daten dürfen Banken bei Girokontoeröffnung erheben? - nach BWG, FM-GwG und vergleichbare Bestimmungen verpflichtet: Identität des Antragstellers (Name, Adresse, Geburtsdatum, Ausweis) - aus Kontaktgründen sinnvoll: Telefonnummer, -Adresse - auf Grund spezifischer Angebote möglich: Dienstgeber Welche weiteren Daten erheben Banken? (Studie bei 19 Instituten) - SV-Nummer (5), Familienstand(13), Zahl der Kinder(6), Beruf/Beschäftigungsart(14), Wohnungsart(3), Bildung(2), PKW- Besitz(2) - nur 4 Institute stellen keine über den Zweck hinausgehende Fragen - Maximalvariante: ein Institut verlangte detaillierte Haushaltsrechnung Unter der Bezeichnung "Finanzanalyse" und "Haushaltsrechnung" verlangte ein Kreditinstitut folgende Daten (ausschnittsweise): Vermögensangaben: - Grundbesitz (Wohnnutzfläche, Grundbuchdaten, Baujahr, Verkehrswert, Versicherungssumme)‏ - Lebensversicherung (Polizzennummer, Versicherungsanstalt, Laufzeit, Rückkaufswert)‏ - Wertpapiere (Depotinstitut, Depotnummer, Kurswert)‏ - Spar- und Giroeinlage (Institut, Saldo)‏ - Bausparen (Bausparkasse, Vertragnummer, Guthaben)‏ - Beschreibung und Wert der sonstigen Vermögenswerte - Kredite und Leasingvereinbarungen (Institute, Kreditarten, offener Saldo, Laufzeit)‏ Haushaltsrechnung: - Beruf, Berufsausbildung, Wohnart, Arbeitgeber, Zahl der Personen im Haushalt - Nettoeinkommen aus Erwerbstätigkeit, aus Kapitalvermögen, aus Vermietung/Verpachtung, aus Nebenerwerb - Einkünfte aus Wohnbeihilfe, Familienbeihilfe, Alimente - Höhe der Zahlungen für Miete, Wohnungskredit, Betriebskosten, Heizung, Strom, Kommunikation, Telefonkosten, Kirchenbeiträge, monatlicher Lebensaufwand für Ernährung, Bekleidung und Freizeit - PKW-Versicherung, Treibstoff, PKW-Wartung, PKW-Leasing, öffentliche Verkehrsmittel - Haushalts-, Lebens-, Kranken/Unfall- oder sonstige Versicherungen - eigene Ausbildungskosten, Ausbildungskosten für Kinder und Partner  DSGVO ARGE DATEN

39 DSGVO Art 11 "Verarbeitung ohne Identifikation"
17. Oktober 2017 DSGVO - Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art 11 "Verarbeitung ohne Identifikation" Abs. 1: Ist zur Verarbeitung die Identifikation einer Person nicht (mehr) erforderlich, dann gibt es KEINE Verpflichtung des Verantwortlichen zur Einhaltung der DSGVO Zusatzinformationen einzuholen oder bereit zu halten Jedoch! Abs. 2: Kann ein Verantwortlicher nachweisen, dass er nicht in der Lage ist einen Betroffenen zu identifizieren, sind Art. 15 bis 20 NICHT anzuwenden (Auskunfts-, Berichtigungs- und Löschungsrechte) außer Betroffener stellt selbst Informationen zur Identifikation zur Verfügung DSG 2000 § 4 Z 1 "indirekt personenbezogene Daten" Personenbezug der Daten ist derart, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann  führt zu umfassenden Ausnahmen der Betroffenenrechte und Genehmigungspflichten DSGVO Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (1)Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. (2)Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen. ARGE DATEN

40 ARGE DATEN Bildverarbeitung / Spezialregelungen Bildverarbeitung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Bildverarbeitung / Spezialregelungen Bildverarbeitung Rechte Kinder gemeinsame Verwendung Verständigung / Adressenverlage Profiling - Übertragung von Daten ARGE DATEN

41 erhebliche Abweichung zu DSG 2000
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG Bestimmungen DSAG 2018 §§ 12,13 "Bildverarbeitung" Ausdehnung der "Videoüberwachung" auf jede Form der Bildverarbeitung inkl. Tonaufnahmen Zulässigkeit der "Bildverarbeitung": - im lebenswichtigen Interesse einer Person erforderlich - betroffene Person hat in die Verarbeitung eingewilligt - auf Grund gesetzlicher Bestimmungen angeordnet oder erlaubt - überwiegende Interessen des Verarbeiters oder Dritter bestehen, insbesondere: [1] vorbeugender Schutz von Personen oder Sachen privater Liegenschaften [2] vorbeugender Schutz von Personen oder Sachen öffentlich zugänglicher Orte [3] privates Dokumentationsinteresse erhebliche Abweichung zu DSG 2000 Zulässigkeit der Bildaufnahme DSAG 2018 § 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist. (2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn 1. sie im lebenswichtigen Interesse einer Person erforderlich ist, 2. die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, 3. sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder 4. im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist. (3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn 1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen, 2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder 3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist. ARGE DATEN

42 DSAG 2018 §§ 12,13 "Bildverarbeitung" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG Bestimmungen DSAG 2018 §§ 12,13 "Bildverarbeitung" II [1] Bildverarbeitung privat genutzter Liegenschaft: - Liegenschaft ausschließlich vom Verantwortlichen genutzt - Aufzeichnung erfolgt innerhalb der Liegenschaft - öffentliche Verkehrsflächen dürfen im Umfang der Zielerreichung erfasst warden [2] Bildverarbeitung öffentlich zugänglicher Orte: - Ort unterliegt dem Hausrecht des Verantwortlichen - vorherige Rechtsverletzungen oder besonderes Gefährdungspotential erfordert Überwachung [3] Bildverarbeitung aus privatem Dokumentationsinteresse: - keine identifizierende Erfassung von Personen angestrebt - keine Erfassung von Objekten, die zur mittelbaren Identifikation von Personen geeignet ist wird angestrebt Zulässigkeit der Bildaufnahme DSAG 2018 §  (4) Unzulässig ist 1. eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich, 2. eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern, 3. der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten oder 4. die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium. (5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß. ARGE DATEN

43 DSAG 2018 §§ 12,13 "Bildverarbeitung" III
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG Bestimmungen DSAG 2018 §§ 12,13 "Bildverarbeitung" III Verarbeitungsverbote: - Bildaufnahme ohne Einwilligung des Betroffenen in seinem höchstpersönlichen Lebensbereich - zur Kontrolle der Mitarbeiter - automationsunterstützter Abgleich der Daten der Bildaufnahme mit anderen personenbezogenen Daten - Auswertung der Daten der Bildaufnahmen mit besonderen Kategorien von Daten Sicherheitsmaßnahmen: - Verhinderung nachträglicher Änderungen durch Unbefugte - jede Verwendung ist zu protokollieren (Ausnahme: Echtzeitüberwachung) - Löschung, wenn nicht mehr benötigt, eine Aufbewahrung länger als 72 Stunden ist zu begründen und dokumentieren Sicherheitsmaßnahmen sind nicht im Fall [3] privates Dokumentationsinteresse anzuwenden! Besondere Datensicherheitsmaßnahmen und Kennzeichnung DSAG 2018 § 13. (1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist. (2) Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren. (3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen. (4) Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3. (5) Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt. (6) Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen. (7) Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten. ARGE DATEN

44 DSAG 2018 §§ 12,13 "Bildverarbeitung" IV
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG Bestimmungen DSAG 2018 §§ 12,13 "Bildverarbeitung" IV Kennzeichnungspflicht: - Bildaufnahmen sind zu kennzeichnen - keine Kennzeichnung im Fall [3] privates Dokumentationsinteresse - keine Kennzeichnung bei zeitlich strikt begrenzten Verarbeitungen, wenn Zweck nur durch verdeckte Ermittlung erreicht werden kann - ARGE DATEN

45 neu durch DSG neu: keine Ausnahmen
17. Oktober 2017 DSG Videoüberwachung Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: - systematische und fortlaufende Feststellung von Ereignissen - betreffen bestimmte/überwachte Objekte oder Personen - Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! - einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") - einzelne Aufnahmen aus fahrenden Autos heraus - Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") fallen nicht unter die Definition der Videoüberwachung  Empfehlung DSK K /0004-DSK/2013 "Wetter-TV"  DSB-Meldemuster "Baustellenkamera" neu durch DSG neu: keine Ausnahmen DSG-Novelle 2010 § 50a Abs. 1 (neu): (1) Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) § 50a Abs. 1 enthält zunächst eine Definition der Videoüberwachung. Dass dies mit „systematischer“ Erfassung von Ereignissen umschrieben wurde, soll klarstellen, dass durch eine Summe von Verwendungsschritten (vgl. § 4 Z 7) das Ergebnis „Überwachung“ verwirklicht werden soll. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen aber auch Filmen für ausschließlich familiäre oder persönliche Tätigkeiten (vgl. § 45, zB bei einem Kindergeburtstag) fallen damit nicht darunter, sehr wohl aber auch gezieltes Fotografieren. Überwachtes Objekt oder überwachte Person ist jene Person, Gegenstand oder Ort, auf die sich die systematische Erfassung von Ereignissen intentional richtet. Sofern Videoüberwachungen für ausschließlich persönliche und familiäre Tätigkeiten überhaupt denkbar sind (zB Bildüberwachung von Babys), fallen diese nicht unter die Bestimmungen des § 50a. Entgegen dem Judikat K /0002- DVR/2009 der Datenschutzkommission vom 8. Mai 2009 ist aber davon auszugehen, dass der eng gefasste Wortlaut des § 45 [Datenanwendung für private Zwecke, Anm.] die Überwachung von Einfamilienhäusern und dazu gehörigen Grundstücken nicht umfasst und überdies neben potenziellen Einbrechern auch andere Personen (Besucher, allfällige Hausangestellte wie etwa Reinigungspersonal) davon betroffen sein können. Derartige Datenanwendungen fallen daher unter § 50a. ARGE DATEN

46 Videoüberwachung - Regeln zur Verwendung der Daten
17. Oktober 2017 DSG Videoüberwachung Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) - Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] - nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) ähnlich zu DSG neu DSG-Novelle 2010 § 50b (neu): Besondere Protokollierungs- und Löschungspflicht § 50b. (1) Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung. (2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzkommission die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist. ARGE DATEN

47 Vorabkontrolle entfallen
17. Oktober 2017 DSG Videoüberwachung Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht - keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] - keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) - vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSB (Abs. 1) neu durch DSG neu: Vorabkontrolle entfallen Meldung und DSG-Novelle 2010 § 50c (neu): Meldepflicht und Registrierungsverfahren § 50c. (1) Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzkommission sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen. (2) Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen 1. in Fällen der Echtzeitüberwachung oder 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt. (3) Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt. ARGE DATEN

48 Vorabkontrolle entfallen
17. Oktober 2017 DSG Videoüberwachung Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) - alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) neu durch DSG neu: Vorabkontrolle entfallen Meldung und - ARGE DATEN

49 DSGVO Art. 8 ua "Rechte Kinder"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Grundlagen DSGVO Art. 8 ua "Rechte Kinder" - grundsätzliche Altersgrenze: 16 Jahre (national kann darunter gegangen werden, mindestens jedoch 13 Jahre) - unter der Altersgrenze, Verarbeitung der Daten nur mit Zustimmung der Erziehungsberechtigten zulässig - Verantwortlicher muss sich um Zustimmung kümmern ("Berücksichtigung der verfügbaren Technik angemessene Anstrengungen") - jedoch kein Eingriff in sonstige Vertragsrechte - Informationspflichten müssen Kinder berücksichtigen (Art. 12 Abs. 1) NEU! DSGVO DSGVO Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (1)Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. (2)Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. (3)Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt. DSGVO Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (1)Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. ARGE DATEN

50 DSGVO Art. 26 "Gemeinsame Verarbeitung"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Grundlagen DSGVO Art. 26 "Gemeinsame Verarbeitung" - gemeinsame Verarbeitung zulässig - muss transparent vereinbart sein - Verteilung der Aufgaben und Pflichten muss eindeutig geregelt sein - Betroffene können ihre Rechte gegenüber jedem einzelnen Verantwortlichen wahrnehmen DSG 2000 § 50 "Informationsverbundsystem (IVS)" - gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber - geeigneter Betreiber ist zu bestellen - Betreiber ist zwecks Eintrag im DVR zu melden - Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) - es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden - Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) DSGVO Art. 26 Gemeinsam für die Verarbeitung Verantwortliche ‏(1)Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. (2)Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. (3)Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. ARGE DATEN

51  ARGE DATEN DSG 2000 - Informationsverbund DSGVO
17. Oktober 2017 DSG Informationsverbund Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG 2000 § 50 "Informationsverbundsystem (IVS)" II - Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: ca. 150 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private Registrierung von Warndateien bei Banken DSK K /021-DSK/2001 Genehmigung mit Auflagen erteilt I Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks - vertragswidrig genutzter Bankomat- oder Kreditkarte - Aufkündigung einer Kontoverbindung + - Fälligstellung eines Kredits + - Einleitung der Rechtsverfolgung + + Forderung übersteigt EUR Informationspflicht des Betroffenen VOR Eintragung Grund der Warneintragung ist Betroffenen bekannt zu geben  DSGVO - - ARGE DATEN

52 ARGE DATEN DSG 2000 - Spezialregelungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Spezialregelungen Sonderbestimmungen zu Adressenverlagen / Werbung - § 151 GewO1994 ("Listenprivileg" der Adressenverlage) - § 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO § 151 ist Offenlegungsermächtigung - Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben - auf Widerspruchsmöglichkeit muss hingewiesen werden - zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei - gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! - Löschungsanspruch gegenüber gewerblichen Adressenverlagen! ?? DSGVO ?? ePrivacy-VO Zugehörigkeitsinformation - enthält die eigentlich marketingrelavante Information - es handelt sich um eine unbestimmte Formulierung, die von den Unternehmen großzügig interpretiert wird. - durch geeignete Gliederung können leicht Interessensprofile erstellt werden Beachtung des Widerspruchshinweises: In einer Studie wurden 2004 Datenschutzerklärungen von eCommerce-WebSites untersucht: - 69 (2%) hatten korrekten Hinweis, - 890 (23%) gaben bekannt, keine Daten weiter zu geben (75%!!) brachten keinen Widerspruchshinweis Wie kommen Adressverlage zu den Daten? - Analyse der Warenkörbe (bei Einkäufen mit Kundenkarten): Modeartikel, Kindernahrung, Hygieneartikel, ... - Vergleichsanalyse bestimmter Regionen/Orte, geht bis Häuserblockebene - Reaktion der Betroffenen auf bisherige Direktmail-Zusendungen - Kombination in welchen Geschäften Person einkauft ?? DSGVO ARGE DATEN

53 erhebliche Änderungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Grundlagen DSGVO Art. 22 "Profiling & Einzelentscheidung" - Recht keiner rechtlichen, ausschließlich automatisierten Einzelentscheidung oder Profiling unterworfen zu werden Ausnahmen (wenn geeignete Maßnahmen ergriffen werden) - für den Abschluss eines Vertrages erforderlich - auf Grund von Rechtsvorschriften zulässig - mit ausdrücklicher Einwilligung des Betroffenen geeignete Maßnahmen - Anfechtung der Entscheidung ist möglich - Betroffener kann Standpunkt darlegen - Einschränkung in der Verwendung besonderer Kategorien von Daten erhebliche Änderungen zu DSG 2000 DSGVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (1)Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. (2)Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. (3)In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. (4)Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. ARGE DATEN

54 ARGE DATEN DSG 2000 - Spezialregelungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Spezialregelungen DSG 2000 § 49 "Automatisierte Einzelentscheidungen" "niemand darf einer rechtlichen Folge oder ihn beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich automationsunterstützt erfolgt" Automatisierte Einzelentscheidungen sind zulässig: - wenn gesetzlich vorgesehen - wenn automationsunterstützte Entscheidungen im Sinne des Betroffenen sind - wenn ausreichende Maßnahmen getroffen werden, die die Interessen des Betroffenen berücksichtigen (etwa ein "Einspruchsrecht") DSG 2000 § 49 (1) Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens. (2) Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn 1. dies gesetzlich ausdrücklich vorgesehen ist oder 2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde oder 3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen - beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen - garantiert wird. (3) Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der automatisierten Entscheidungsfindung in allgemein verständlicher Form darzulegen. § 26 Abs. 2 bis 10 gilt sinngemäß. Beispiele: - psychologische Tests - Führerscheinprüfung - Onlinebonitätsprüfung der Mobilkom-Firmen - Online-Bestellung mit automatisierter Kundenbewertung - computergestützte Prüfungen ARGE DATEN

55 DSGVO Art. 20 "Datenportabilität"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Grundlagen DSGVO Art. 20 "Datenportabilität" - Recht eigene, selbst bereitgestellte Daten in "strukturiertem, gängigen und maschinenlesbarem Format zu erhalten" - Recht auf Übermittlung dieser Daten an einen anderen Verantwortlichen Voraussetzungen - Verarbeitung erfolgt auf Grund einer Einwilligung (Art. 6 Abs. 1 lit a oder Art. 9 Abs. 2 lit a) oder - Verarbeitung erfolgt auf Grund eines Vertrages (Art. 6 Abs. 1 lit b) + Verarbeitung erfolgt automatisiert + Grundrechte Dritter werden nicht beeinträchtigt geeignete Maßnahmen - Anspruch der direkten Übertragung von einem Verantwortlichen an einen anderen - Löschungsrecht (Art. 17) bleibt davon unberührt Anwendungsbereiche: Kontoübertragungen, KFZ-Daten, SocialMedia-Accounts, Mobiltelefonie, Clouddienste! NEU! DSGVO DSGVO Art. 20 Recht auf Datenübertragbarkeit (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. (2)Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. (3)Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. (4)Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. ARGE DATEN

56 ARGE DATEN Schutz der Privatsphäre Übersicht Privatsphärebestimmungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Schutz der Privatsphäre Übersicht Privatsphärebestimmungen § 1328a ABGB Beispiele Privatsphäreverletzungen Entscheidungen Privatsphäre - ARGE DATEN

57 Bestimmungen zum Schutz der Privatsphäre
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • EU-Grundrechtecharta Art 8 (Datenschutz) • StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118 (Briefgeheimnis), § 119 (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch), § 107a ("Stalking"), § 107c ("Mobbing") • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz) • Regelungen für einzelne Berufsgruppen • ABGB § 1328a (Bloßstellung) Europäische Menschenrechtskonvention Artikel 8 Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Charta der Grundrechte der Europäischen Union 26. Oktober 2012 (EU-Grundrechtecharta) Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. [BGBl. Nr. 8/1974] Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. ARGE DATEN

58 § 1328a ABGB Privatsphärebestimmung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Privatsphärebestimmung seit § 1328a ABGB Abs. 2: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." Literatur zum § 1328a ABGB - Helmich - „Schadenersatz bei Eingriffen in die Privatspähre“ ecolex , S. 888 - Karner/Koziol - „Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform“ 15. ÖJT Band II/1, Manz 2003, S. 101ff. - Lein - „Das Zivilrechtsänderungsgesetz 2004“ JAP 2003/2004, S. 122 OGH 4Ob150/08z Rechtssatz Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. ARGE DATEN

59 Höhe des Schadenersatzes
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Schutz der Privatsphäre - §1328a ABGB Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst ( Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen ( §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG 2000) Die Höhe der Entschädigung, die grundsätzlich zugesprochen werden kann ist nicht beschränkt, allerdings wird in den erläuternden Bemerkungen zum ursprünglichen Entwurf auf den § 7 Abs. 1 Mediengesetz verwiesen, nach dem die Entschädigung einen Betrag von EUR nicht übersteigen darf. Da oft gerade Verletzungen der Privatsphäre durch Massenmedien besonders gravierend sind, ist anzunehmen, dass Entschädigungen nach dem § 1328a ABGB kaum über dieser Grenze liegen werden. Im ursprünglichen Entwurf war eine Untergrenze für die Entschädigung von EUR vorgesehen. Diese wurde in die endgültige Fassung nicht übernommen. Die Untergrenze war im Vorfeld von einigen Experten kritisiert worden, weil dadurch u.U. die Situation entstehen hätte können, dass die Entschädigung höher als der tatsächliche Schaden ausfällt. Andererseits muss angemerkt werden, dass eine solche Untergrenze insbesondere in Fällen, in denen viele Personen gleichzeitig von einem Eingriff betroffen wären, zu einer besonders abschreckenden Wirkung geführt hätte, die solche Eingriffe bereits im Vorfeld verhindern hätte können. ARGE DATEN

60 Beispiele für Eingriffe in die Privatsphäre
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate, ...) Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. ARGE DATEN

61  ARGE DATEN Entscheidungen zur Privatsphäre
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Entscheidungen zur Privatsphäre Entscheidungen zum Schutz der Privatsphäre OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten  OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung) OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) Rechtssatz zu OGH 6Ob2401/96y Der Schutz der Privatsphäre eines Mieters vor solchen Maßnahmen endet auch nicht an der inneren Wohnungstüre, es ist ihm durchaus ein berechtigtes Interesse daran zuzubilligen, dass das Betreten oder Verlassen der Wohnung durch ihn, seine Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet wird. Dem Hauseigentümer hingegen ist nicht nur zum Schutz seiner eigenen Person, wenn er selbst eine Wohnung in dem Miethaus bewohnt, sondern auch zum Schutz seines Eigentums und seiner Mieter ein berechtigtes Interesse an größtmöglicher Sicherheit vor unbefugtem Eindringen und vor Sachbeschädigungen zuzubilligen. Rechtssatz zu 6Ob256/12h (ABGB § 16, UrhG § 78) Das Recht am eigenen Bild stellt eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrechts dar. Daher kann bereits die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten einen unzulässigen Eingriff in dessen allgemeines Persönlichkeitsrecht darstellen. Dabei wird das allgemeine Persönlichkeitsrecht des Betroffenen nicht nur dann verletzt, wenn Abbildungen einer Person in deren privatem Bereich angefertigt werden, um diese der Öffentlichkeit zugänglich zu machen. Vielmehr kann auch die Herstellung von Bildnissen einer Person in der Öffentlichkeit zugänglichen Bereichen und ohne Verbreitungsabsicht einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen. Rechtssatz zu OGH 4Ob150/08z Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Zur „Privatsphäre" zählen auch private, das Familienleben betreffende Umstände, die nicht für eine weitere Öffentlichkeit bestimmt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. OGH 8Ob155/06m Beharrliche Kontaktaufnahme mit Ex-Freundin per , Telefonate, (Unterlassungsanspruch nach § 382g Abs 1 EO, begründet auf § 107a StGB und § 1328a ABGB)  DSGVO ARGE DATEN

62 Informationspflichten / Betroffenenrechte
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Informationspflichten / Betroffenenrechte Recht auf Geheimhaltung Informationspflicht Recht auf Auskunft Recht auf Berichtigung & Löschung Recht auf Widerspruch - Recht auf Widerruf ARGE DATEN

63 DSGVO Art. 12 ("allgemeine Informationspflichten")
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Informationspflicht DSGVO Art ("allgemeine Informationspflichten") - Verpflichtung Informationssystem zu organisieren - Verarbeiter muss Informationszugang für Betroffene erleichtern - unverzügliche Bereitstellung von Informationen (maximal 1 Monat, kann bei komplexen Anfragen um weitere 2 Monate verlängert werden) - grundsätzlich entgeltfrei, bei "exzessiven Anträgen" kann Entgelt verlangt werden oder Information verweigert werden - bei begründetem Zweifel an der Identität können zusätzliche Nachweise verlangt werden - Einsatz von Bildsymbolen zur Information zulässig DSG 2000 § 25 "Offenlegungspflicht" Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene - Identität des Auftraggebers - bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers DSGVO Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (1)Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (2)Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. (3)Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. (4)Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen. (5)Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder b) sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. (6)Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. (7)Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein. (8)Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. ARGE DATEN

64 DSGVO Art. 13 "Informationspflicht Ermittlung bei Betroffenen"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Informationspflicht DSGVO Art "Informationspflicht Ermittlung bei Betroffenen" Informationsumfang (soweit zutreffend) - Name + Kontaktdaten Verantwortlichen (inkl. Vertreter bzw. Datenschutzbeauftragten) - Zwecke und Rechtsgrundlagen, Kategorien der Daten - Empfänger oder Kategorien von Empfängern - Informationen über Absicht die Daten an Drittländer ohne angemessenes Schutzniveau zu übermitteln - Dauer der Datenspeicherung oder Kriterien die die Dauer bestimmen - Gründe der Verarbeitung (im Fall der überwiegenden Interessen iS Art. 6 Abs. 1 lit f) - Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, ...) DSGVO Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1)Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. (2)Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; ARGE DATEN

65 DSGVO Art. 13 "Informationspflicht Ermittlung bei Betroffenen" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Informationspflicht DSGVO Art "Informationspflicht Ermittlung bei Betroffenen" II Informationsumfang (soweit zutreffend) - Hinweis auf Widerrufsrecht (bei Verarbeitungen nach Art. 6 Abs. 1 lit a oder Art. 9 Abs. 2 lit a) - Hinweis auf Beschwerderecht bei Aufsichtsbehörde - Verpflichtung (bzw. Freiwilligkeit) der Bereitstellung der Informationen durch Betroffenen + Hinweis auf Konsequenzen - Hinweis auf Bestehen einer automatisierten Entscheidungsfindung bzw. eines Profiling + aussagekräftige Informationen zur Entscheidungslogik - Zeitgerechte Information des Betroffenen, wenn Daten für andere Zwecke verwendet werden sollen Bestimmungen finden keine Anwendung, wenn Betroffener diese Informationen schon hat DSGVO Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Fortsetzung) b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3)Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (4)Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. ARGE DATEN

66 DSGVO Art. 14 "Informationspflicht Ermittlung nicht bei Betroffenen"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Informationspflicht DSGVO Art. 14 "Informationspflicht Ermittlung nicht bei Betroffenen" Ergänzend zu Art. 13 - Datenquelle (auch wenn öffentlich recherchiert) Verständigungsfristen (alternativ) - innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats (Anwendungsfall: Informationsdienste, ...) - spätestens zum Zeitpunkt der ersten Mitteilung an Betroffenen (Anwendungsfall: Kommunikation mit Betroffenen) - bei Offenlegung an einen anderen Empfänger, spätestens zum Zeitpunkt der ersten Offenlegung DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (1)Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) die Kategorien personenbezogener Daten, die verarbeitet werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten; f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind. (2)Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen; ARGE DATEN

67 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Informationspflicht DSGVO Art. 14 "Informationspflicht Ermittlung nicht bei Betroffenen" II zusätzliche Einschränkungen der Informationspflicht - Erteilung der Information ist unmöglich oder verursacht unverhältnismäßigen Aufwand - Informationen wurden auf Grund von Rechtsvorschriften der Union oder der Mitgliedstaaten erlangt, die geeignete Garantien zur Sicherung des Datenschutzes bieten - Informationen unterliegen rechtlichen Geheimhaltungspflichten (Berufsgeheimnis, satzungmäßigen Geheimhaltungspflichten) DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Fortsetzung) g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3)Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2 a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder, c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung. (4)Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (5)Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit a) die betroffene Person bereits über die Informationen verfügt, b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit, c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. ARGE DATEN

68 DSGVO Art. 19 "Informationspflicht Datenänderung"
17. Oktober 2017 DSGVO - Informationspflicht Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 19 "Informationspflicht Datenänderung" - Empfänger von Daten werden informiert, bei jeder Berichtigung (Art. 16) oder Löschung (Art. 17 Abs. 1) personenbezogener Daten oder einer Einschränkung der Verarbeitung (Art. 18) Ausnahme von Informationspflicht - Verständigung ist unmöglich - Aufwand ist unverhältnismäßig Informationsrecht des Betroffenen - auf Verlangen sind Betroffene über Empfänger zu informieren NEU! DSGVO DSGVO Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. ARGE DATEN

69 erhebliche Ausweitung zu DSG 2000
17. Oktober 2017 DSGVO - Informationspflicht Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 33 & 34 "Informationspflicht Datenschutzverletzung" - Information an Aufsichtsbehörde ("möglichst binnen 72 Stunden", mit Begründung später) - unverzügliche persönliche Information an Betroffenen (bei "hohem Risiko für die persönlichen Rechte und Freiheiten") Informationsinhalt an Aufsichtsbehörde und Betroffenen (soweit möglich) - Beschreibung der Art der Verletzung - Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze - Name und Kontaktstelle (Datenschutzbeauftragter oder sonstige Anlaufstelle) - Beschreibung der wahrscheinlichen Folgen für Betroffene - Beschreibung der ergriffenen Maßnahmen erhebliche Ausweitung zu DSG 2000 DSGVO Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (1)Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. (2)Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (3)Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4)Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. (5)Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. ARGE DATEN

70 DSGVO Art. 33 & 34 "Informationspflicht Datenschutzverletzung" II
17. Oktober 2017 DSGVO - Informationspflicht Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 33 & 34 "Informationspflicht Datenschutzverletzung" II - Information kann an Aufsichtsbehörde schrittweise erfolgen - interne Dokumentationspflicht des Vorfalls Entfall der Informationspflicht an Betroffenen: - technische und/oder organisatorische Sicherheitsmaßnahmen verhindern den Zugriff auf die betroffenen Daten - nachfolgende Maßnahmen verhindern ein Risko für die persönlichen Rechte und Freiheiten - im Falle eines unverhältnismäßig hohen Aufwands kann auch eine "öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden" Alternativ ist die Aufsichtsbehörde zur Information der Betroffenen berechtigt DSGVO Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1)Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2)Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. (3)Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4)Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. ARGE DATEN

71 ARGE DATEN DSG 2000 - Informationspflicht
17. Oktober 2017 DSG Informationspflicht Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG 2000 § 24 Abs. 2a "Informationspflicht Datenschutzverletzung" Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Geänderte Bestimmungen (DSG-Novelle 2010) § 24 Abs. 2a (neu): “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] ARGE DATEN

72 DSGVO Art. 19 "Informationspflicht Datenänderung"
17. Oktober 2017 DSGVO - Informationspflicht Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO Art. 19 "Informationspflicht Datenänderung" - Empfänger von Daten werden informiert, bei jeder Berichtigung (Art. 16) oder Löschung (Art. 17 Abs. 1) personenbezogener Daten oder einer Einschränkung der Verarbeitung (Art. 18) Ausnahme von Informationspflicht - Verständigung ist unmöglich - Aufwand ist unverhältnismäßig Informationsrecht des Betroffenen - auf Verlangen sind Betroffene über Empfänger zu informieren NEU! DSGVO DSGVO Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. ARGE DATEN

73 DSGVO Art. 15 "Auskunftsrecht"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Betroffenenrechte DSGVO Art. 15 "Auskunftsrecht" - Auskunft ist auf Verlangen zu geben - Auskunft ob Daten vorhanden sind, wenn ja welche Daten - weiters alle Angaben gemäß Art. 13 und 14 ("Informationsrechte") - erste Auskunft (Kopie der Daten) ist kostenlos, für weitere kann angemessenes Entgelt verlangt werden - wird Antrag elektronisch gestellt, sind "Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen" (sofern Betroffener nicht anderes wünscht), betrifft alle Daten des Betroffenen  "Recht auf Datenportabilität Art. 20: betrifft alle Daten des Betroffenen, die dieser zur Verfügung gestellt hat - Beschränkung der Auskunft bei Gefahr der Beeinträchtigung der Interessen anderer Personen DSGVO Art. 15 Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: a) die Verarbeitungszwecke; b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.  ähnlich zu DSG2000 ARGE DATEN

74 DSGVO Art. 15 "Auskunftsrecht" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Betroffenenrechte DSGVO Art. 15 "Auskunftsrecht" II Abweichung zum DSG 2000 - KEINE Beschränkung auf jährlich und/oder "aktuelle" Daten - KEIN spezifischer Identitätsnachweis erforderlich, aber zusätzliche Identitätsangaben können bei "begründeten Zweifel" gefordert werden - KEINE Formvorgaben bei Auskunftsbegehren - KEIN "therapeutisches" Privileg: "Recht auf Auskunft über diese personenbezogenen Daten" - KEINE Auskunft über Auftragsverarbeiter - KEINE spezifische Mitwirkungspflicht des Betroffenen, aber Auskunftsverweigerungsrecht bei "exzessiven Anträgen" Fristen und allgemeine Verfahrensregeln in Art. 12 geregelt DSGVO Art. 15 Auskunftsrecht der betroffenen Person (Fortsetzung) (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. ARGE DATEN

75 ARGE DATEN DSG 2000 - Betroffenenrechte
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Betroffenenrechte DSG 2000 § 26 "Betroffenenrecht - Auskunft" - Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) - Auskunftsfrist sind 8 Wochen (Abs. 4) - Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) - ungerechtfertigter Aufwand ist zu vermeiden - Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft aktuellen Datenbestand betrifft und im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers erfolgte In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6) bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7) Bei Beschwerde vor der DSB Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens ARGE DATEN

76 ARGE DATEN DSG 2000 - Betroffenenrechte
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Betroffenenrechte DSG 2000 § 26 "Betroffenenrecht - Auskunft" II - Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) - 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) - Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich  DSK K /0008-DSK/2009 Fax & erfüllen Schriftform Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg") Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. ARGE DATEN

77 ARGE DATEN DSG 2000 - Betroffenenrechte
17. Oktober 2017 DSG Betroffenenrechte Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG 2000 § 26 "Betroffenenrecht - Auskunft" III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich: - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste - überwiegende Interessen des Auftraggebers oder Dritter - aus therapeutischen Gründen (Gesundheitszustand) - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Dienstleister müssen bei Auskunftsbegehren binnen zwei Wochen den tatsächlichen Auftraggeber bekannt geben Auskunftsfrist für Auftraggeber bleibt bei 8 Wochen ab Einlangen beim Dienstleister! (Abs. 10) Geänderte Bestimmungen (DSG-Novelle 2010) § 26 Abs. 8 (geändert): “(8) In dem Umfang, in dem eine Datenanwendung für eine Person oder Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.” § 26 Abs. 10 (geändert): “(10) Ergibt sich eine Auftraggeberstellung auf Grund von Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann. Wird ein Auskunftsbegehren an einen Dienstleister gerichtet und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden. Der Auftraggeber hat innerhalb von acht Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, von einer Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das Ersuchen direkt an den Auftraggeber gestellt, so hat dieser nach Abs. 5 vorzugehen. Für Betreiber von Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.” ARGE DATEN

78  DSK K121.017/0009-DSK/2005 ("Prüfungsdaten") ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Auskunftsrechte DSK K /0009-DSK/2005 ("Prüfungsdaten") Ausgangslage - Betroffener nahm an (Berufsqualifikations-)Prüfung teil - hatte umfangreiche Angaben zur Person zu machen - Test wurde negativ beurteilt - Einsicht in Beurteilung brachte schwere Mängel - Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse DSK-Entscheidung - Auskunftsrecht wurde verletzt - Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen - ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht - die persönlichen Daten des Prüfers sind nicht zu beauskunften  DSGVO DSK K /0009-DSK/2005 Das ausschließlich in Papierform vorliegende Anmeldeformular sowie die ebenfalls ausschließlich in Papierform aufbewahrten, vom Beschwerdeführer während seiner Prüfung angefertigten Fallbeispiele unterliegen gemäß der angeführten Rechtsprechung nicht der Pflicht zur Auskunftserteilung, weshalb die Beschwerde diesbezüglich abzuweisen war. Auch hinsichtlich der Verweigerung der Auskunftserteilung über den Namen und die Adresse des Assessors hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers aus zwei Gründen nicht verletzt: Zum Einen steht dem Auskunftsanspruch des Beschwerdeführers der Geheimhaltungsanspruch des jeweiligen Assessors in Bezug auf seine personenbezogenen Daten (und dazu zählen Name und Adresse) gemäß § 1 Abs. 1 DSG 2000 entgegen (der Beschwerdeführer hat im Übrigen auch nicht dargetan, welchen Wert eine Weitergabe dieser Daten des Assessors für ihn hätte, was in einer Interessenabwägung gemäß § 1 Abs. 2 DSG 2000 zu seinen Gunsten hätte ausschlagen können), zum Anderen ist Name und Adresse des Assessors gar nicht Gegenstand des ursprünglichen Auskunftsbegehrens des Beschwerdeführers vom 21. Dezember 2004, in dem es ihm lediglich um die Beauskunftung „allfälliger Bewertungen durch Assessoren“, nicht aber um deren Identität selbst gegangen ist. Die Beschwerde war daher auch im Hinblick auf die Daten des Assessors als unbegründet abzuweisen. Wohl aber hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers gemäß § 26 DSG 2000 dadurch verletzt, dass sie die in elektronischer Form vorhandenen Daten, das sind aus Sicht der Datenschutzkommission jedenfalls die Ergebnisse des Computertests sowie der gesamte Inhalt des über den Prüfungstag aufgenommenen Excel-Sheets, nicht beauskunftet hat. Die in diesen Aufzeichnungen über den Beschwerdeführer geführten Daten sind personenbezogene Daten iSd DSG 2000 (§ 4 Z 1) und der RL 95/46 (Art. 2 lit.a): Der verwendete Begriff „personenbezogene Daten bezieht sich nach der Definition des Art. 2 lit. a (der RL 95/46) auf alle Informationen über eine bestimmte oder bestimmbare natürliche Person“ (EuGH C-101/01). ARGE DATEN

79 DSGVO Art. 16 "Recht auf Berichtigung"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Betroffenenrechte DSGVO Art. 16 "Recht auf Berichtigung" - unverzüglich Berichtigung sie betreffender unrichtiger personenbezogener Daten verlangen - Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen (Berücksichtigung der Zwecke der Verarbeitung) DSGVO Art. 17 "Recht auf Löschung" - unverzügliche Löschung, falls  Daten sind nicht mehr erforderlich  Einwilligung der Datenverwendung gemäß Art. 6 bzw. Art. 9 wird widerrufen  Betroffener legt Widerspruch gemäß Art. 21 ein  Daten werden unrechtmäßig verarbeitet  Löschung auf Grund rechtlicher Vorschriften  Löschung im Zusammenhang mit Diensten der Informationsgesellschaft von Daten Minderjähriger DSGVO Art. 16 Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen. DSGVO Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“) (1)Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. ARGE DATEN

80 DSGVO Art. 17 "Recht auf Löschung" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Betroffenenrechte DSGVO Art. 17 "Recht auf Löschung" II Verpflichtung bei öffentlich zugänglichen Daten Verantwortliche zu informieren, dass die "Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten" verlangt wurde ["Lex Facebook/Schrems"] Beschränkung der Löschung - Informationen dienen der Ausübung der freien Meinungsäußerung - Verwendung ist auf Grund von Rechtsvorschriften erforderlich - aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit - für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke - für statistische Zwecke - zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen [des Verantwortlichen] DSGVO Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“) (2)Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. (3)Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information; b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. ARGE DATEN

81 DSGVO Art. 18 "Recht auf Einschränkung"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Betroffenenrechte DSGVO Art. 18 "Recht auf Einschränkung" - Richtigkeit der Daten wird bestritten, für die Dauer der Klärung des Sachverhalts - die Verarbeitung ist rechtswidrig, der Betroffene lehnt jedoch die Löschung ab und verlangt eine Beschränkung der Verwendung - Verantwortliche benötigt die Daten nicht länger, aber Betroffener benötigt sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Im Fall einer Einschränkung dürfen Daten "nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden" DSGVO Art. 18 Recht auf Einschränkung der Verarbeitung (1)Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt; c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. (2)Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. (3)Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird. NEU! DSGVO ARGE DATEN

82 ARGE DATEN DSG 2000 - Betroffenenrechte
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Betroffenenrechte DSG 2000 § 27 "Löschung/Richtigstellung" - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen - Betroffene können Richtigstellungsantrag stellen - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung - Telekomdienste, Internet Service Provider - Logistik (Postzustellung, Paketzustellung) - Verkehrsüberwachung (Maut, Section-Control) Richtigstellungspflicht des Auftraggebers (Abs. 1) Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1) auf begründeten Antrag des Betroffenen (Z2) Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4) unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1) nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1) Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen ARGE DATEN

83 ARGE DATEN DSG 2000 - Betroffenenrechte DSG 2000 § 8, 9 "Widerruf"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Betroffenenrechte DSG 2000 § 8, 9 "Widerruf" - freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden DSG 2000 § 8, 9 "Widerspruch" - nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich - Widerspruchsrecht besteht unabhängig von gegebener Zustimmung! - in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen Bei Widerruf wurden keine Fristen festgelegt, ist unverzüglich umzusetzen. Widerruf kann erhoben werden, wenn der Betroffene selbst einer Verwendung zugestimmt hat. (DSG 2000 § 8 Abs. 1 Z 2): Bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Widerspruch: Löschung/Nichtverwendung innerhalb von 8 Wochen nicht bei indirekt personenbezogenen Daten Widerspruch kann eingelegt werden, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und die Geheimhaltungsinteressen in einer besonderen Situation überwiegen (DSG 2000 § 28 Abs. 1). Das Widerspruchsrecht bezieht sich nicht auf indirekt personenbezogene Daten (§ 29) Ziel der DS-RL war es, dann Widerspruch zu ermöglichen, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und nicht im Interesse des Betroffenen ist. ARGE DATEN

84 DSGVO Art. 51 - 76 "Aufsichtsbehörde"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Aufsicht DSGVO Art "Aufsichtsbehörde" - nationale Behörden (eine oder mehrere je Land zulässig, aber mit identen Rechten, Art. 51, 58) - federführende Aufsichtsbehörde bei grenzüberschreitenden Datenschutzfragen (Art. 56) - Aufgaben (Auszug, Art. 57): Anwendung der DSGVO Sensibilisierung Öffentlichkeit, sensibilisieren Verantwortliche Beratung Regierung / Parlament Auskunftserteilung über Rechte der Betroffenen Standardvertragsklauseln festlegen - Verpflichtung zur Zusammenarbeit mit anderen Aufsichtsbehörden (Art ) DSAG 2018 §§ "Datenschutzbehörde" - eine einzige Datenschutz-Behörde eingerichtet Aufgaben DSAG 2018 § 21. (1) Die Datenschutzbehörde berät die Ausschüsse des Nationalrates und des Bundesrates, die Bundesregierung und die Landesregierungen auf deren Ersuchen über legislative und administrative Maßnahmen. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen sowie von Verordnungen im Vollzugsbereich des Bundes, die Fragen des Datenschutzes unmittelbar betreffen, anzuhören. (2) Die Datenschutzbehörde hat die Listen nach Art. 35 Abs. 4 und 5 DSGVO im Wege einer Verordnung im Bundesgesetzblatt kundzumachen. (3) Die Datenschutzbehörde hat die nach Art. 57 Abs. 1 lit. p DSGVO festzulegenden Kriterien im Wege einer Verordnung kundzumachen. Sie fungiert zugleich als einzige nationale Akkreditierungsstelle gemäß Art. 43 Abs. 1 lit. a DSGVO. Befugnisse DSAG 2018 § 22. (1) Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren. Der Verantwortliche oder Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben. (2) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. (3) Informationen, die der Datenschutzbehörde oder den von ihr Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach § 63 dieses Bundesgesetzes oder nach §§ 118a, 119, 119a, 126a bis 126c, 148a oder § 278a des Strafgesetzbuches – StGB, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozeßordnung – StPO, BGBl. Nr. 631/1975, zu entsprechen ist. ... ARGE DATEN

85 DSGVO - zuständige Stellen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - zuständige Stellen Einrichtungen / Zuständigkeiten zum Datenschutz - Datenschutzbehörde (formlos) - Beschwerdestelle für Betroffene in allen Fällen - Aufsichtsstelle für alle Verantwortliche und Auftragsverarbeiter, die ihre Hauptniederlassung in AT haben - Strafbehörde bei Datenschutzverletzungen nach DSGVO und DSAG Kontroll-, Beratungs- und Informationsbefugnisse - Ansprechstelle in EU-Koheränzverfahren - Bundesverwaltungsgericht (formlos) - Beschwerdeinstanz gegen Entscheidungen der Datenschutzbehörde - Zivilgericht (Anwaltspflicht) - bei Schadenersatzklagen - Staatsanwaltschaft / Polizei (formlos) Anzeigen gem. § 63 DSAG 2018 Zivilgerichte - 16 Landesgerichte zuständig: LG Eisenstadt, Feldkirch, Zivilrechtssachen Graz, Innsbruck, Klagenfurt, Korneuburg, Krems a/d Donau, Leoben, Linz, Ried/Innkreis, Salzburg, St. Pölten, Steyr, Wels, Zivilrechtssachen Wien, Wr. Neustadt (

86 ARGE DATEN Datenschutzmanagment (Privacy Policy)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Datenschutzmanagment (Privacy Policy) Dokumentationspflichten Risikoanalyse und Zertifizierung Datenschutzbeauftragter Befugnisse & Verpflichtungen Aufsicht Internationaler Datenverkehr - ARGE DATEN

87  DSGVO Art. 30 "Verzeichnis der Verarbeitungstätigkeiten" ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Verzeichnis der Verarbeitungstätigkeiten" Verzeichnis ist von folgenden Verantwortlichen zu führen: (es genügt, wenn eine Bedingung zutrifft!) - Einrichtungen mit mehr als 250 Mitarbeitern - weniger als 250 Mitarbeiter, wenn Verarbeitung mehr als "gelegentlich" erfolgt - Datenanwendung birgt besondere Risken für Betroffene [Anm. werden Informationsdienste, Profiling-Verarbeitungen sein] - Verantwortliche verarbeiten besondere Kategorien von Daten (Art. 9 Abs. 1) - Verantwortliche verarbeiten strafrechtliche Verurteilungen und Straftaten (Art. 10) Inhalt des Verzeichnisses (soweit zutreffend): - Namen und Kontaktdaten des Verantwortlichen, seines Vertreters und seines Datenschutzbeauftragten NEU! DSGVO DSGVO Art. 30 Verzeichnis von Verarbeitungstätigkeiten (1)Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (2)Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:  DVR ARGE DATEN

88      DSGVO Art. 30 "Verzeichnis der Verarbeitungstätigkeiten" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Verzeichnis der Verarbeitungstätigkeiten" II - Zwecke der Verarbeitung - Beschreibung der Kategorien der verwendeten Daten - Kategorien der Empfänger (inklusive innerbetriebliche Empfänger) gegenüber denen Daten offengelegt wurden oder werden (einschließlich Drittländer oder internationale Organisationen) - Dokumentation der Garantien im Fall von Übermittlungen in Drittländer oder an internationale Organisationen - "wenn möglich" [?] vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien - "wenn möglich" [?] allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Ähnliches Verzeichnis hat auch Auftragsverarbeiter zu führen Verzeichnis ist schriftlich zu führen (elektronisch ist zulässig) Verzeichnis ist auf Verlangen der Aufsichtsbehörde vorzulegen  DVR - teilweise  DVR  DVR  DSB-Verfahren ! nicht DVR  DVR - teilweise DSGVO Art. 30 Verzeichnis von Verarbeitungstätigkeiten (Fortsetzung) a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (3)Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (4)Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. (5)Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt. ARGE DATEN

89 ARGE DATEN DSG 2000 - Registrierung und Genehmigung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Registrierung und Genehmigung DSG 2000 §§ 16ff "Registrierung Datenanwendungen" - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Weiters existieren Musteranwendungen, die die Registrierung zwar nicht ersetzen, jedoch erleichtern sollen. MA001 Personentransport- und Hotelreservierung MA002 Zutrittskontrollsysteme MA003 KFZ-Zulassung durch beliehene Unternehmen MA004 Teilnahme am Informationsverbundsystem MA005 Teilnahme am Informationsverbundsystem FundInfo.at ARGE DATEN

90 ARGE DATEN DSG 2000 - Registrierung und Genehmigung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Registrierung und Genehmigung DSG 2000 § 17 "Registrierungsfreiheit" - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - nicht-automatisierte ("manuelle") Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1) - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2) Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3) - bei persönlichen DA's (Abs. 2 Z 4) - für publizistische Zwecke (Abs. 2 Z 5) - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5) Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar ARGE DATEN

91 ARGE DATEN DSG 2000 - Standardanwendungen
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Standardanwendungen Die wichtigsten Standardanwendungen für Unternehmen (gem. StMV 2004, StF BGBl. II Nr. 312/2004) SA001 Rechnungswesen und Logistik ("Buchhaltung") SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse ("Mitarbeiterverwaltung") + "Bewerberdaten" SA007 Verwaltung von Benutzerkennzeichen SA022 Kundenbetreuung und Marketing für eigene Zwecke SA032 Videoüberwachung für bestimmte Branchen SA033 Datenübermittlung in Konzernen Die wichtigste Musteranwendung bei Unternehmen MA002 Zutrittskontrollsysteme Standardanwendung für Vereine SA003 Mitgliederverwaltung Hinweis! Registrierungsfreiheit besteht bei einer Standardanwendung nur, wenn alle Teile der Standardanwendung mit der eigenen Datenanwendung übereinstimmen oder die eigene Datenanwendung weniger Daten verwendet: Zweck, Betroffenenkreise, Datenarten, Empfängerkreise bei Übermittlungen Standard- und Muster-Verordnung 2004 – StMV 2004 Stammfassung: BGBl. II Nr. 312/2004 Änderungen: BGBl. II Nr. 255/2009 BGBl. II Nr. 152/2010, BGBl. II Nr. 105/2011, BGBl. II Nr. 306/2012 letzte Änderung 2011/03/30: BGBl. II Nr. 306/ Novelle zur Standard- und Muster-Verordnung 2004 – StMV Diverse Änderungen, insbesondere zur Konzerndatenverarbeitung und Videoüberwachung ARGE DATEN

92 ARGE DATEN DSG 2000 - Registrierung und Genehmigung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Registrierung und Genehmigung DSG 2000 § 17 Abs. 1a "Registrierungsverfahren" - Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy-Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich - Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt DSG 2000 § 19 Abs. 3a "Vorabkontrollpflicht" - Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt DSG 2000 § 19 Abs. 2 "Betriebsauflagen" - Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa auch für reinen Testbetrieb] - Auflagen, Bedingungen und Befristungen müssen ausreichend bestimmt sein Geänderte Bestimmungen (DSG-Novelle 2010) § 17 Abs. 1a (neu): “(1a) Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E- Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.” § 19 Abs. 1 Z 3a (neu): “3a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und” ARGE DATEN

93 DSGVO Art. 35 "Datenschutz-Folgenabschätzung"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" allgemeine Voraussetzungen zum Führen einer Folgenabschätzung: jede Form der Verarbeitung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen  Verwendung neuer Technologien [Anm.: heuristische Verfahren, CRM-Analysen, "Big-Data"-Analysen, statistische Verfahren, Verfahren mit "hohen" FAR/FRR-Ergebnissen]  besonders umfangreiche Datenverarbeitungen [Anm.: "alle" Personen einer Gruppe]  besondere Umstände der Datenverarbeitung [Anm.: mangelnde Freiwilligkeit, besonders exponierte Personengruppe, etwa im Sozialbereich, unscharf abgegrenzte Betroffenengruppe]  besondere Zwecke der Datenverarbeitung [Anm.: Verarbeitungsergebnis hat weitreichende Konsequenzen, zB Job-Verlust, Verlust einer Berechtigung, Terminverlust, ...] NEU! DSGVO DSGVO Art. 35 Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. ARGE DATEN

94 DSGVO Art. 35 "Datenschutz-Folgenabschätzung" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" II in Verordnung genannte Beispiele: - systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet - umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten [Anm: Arzt NEIN, Spital JA] - umfangreiche Verarbeitung strafrechtlicher Verurteilungen und Straftaten - systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche [Anm: Videoüberwachung?] Aufsichtsbehörde MUSS Liste von "riskanten" Verarbeitungen erstellen Aufsichtsbehörde KANN Liste von "unbedenklichen" Verarbeitungen erstellen Regelung fehlt! DSGVO Art. 35 Datenschutz-Folgenabschätzung (Fortsetzung) (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz- Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. (6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. (7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Regelung fehlt! vergleichbar StMV? ARGE DATEN

95 DSGVO Art. 35 "Datenschutz-Folgenabschätzung" III
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" III Listen müssen im "Kohärenzverfahren" mit den anderen EU-Staaten abgestimmt werden Inhalt der Folgenabschätzung (soweit zutreffend): - systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen - Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck - Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen - Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird - ARGE DATEN

96 DSGVO Art. 36 "Vorabkonsultation"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 36 "Vorabkonsultation" Konsultationsfälle: - Verantwortlicher hat Aufsichtsbehörde zu konsultiren, wenn Verarbeitung "hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft" [Anm: eher theoretische Bestimmung] - nationale Bestimmungen verpflichten Konsultation bei bestimmten Verarbeitungen Regelung fehlt! DSGVO Art. 36 Vorherige Konsultation (1)Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. (2)Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat. (3)Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung: a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; b) die Zwecke und die Mittel der beabsichtigten Verarbeitung; c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien; d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. (4)Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen. (5)Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen. ARGE DATEN

97 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 13 & 14 iV mit Art. 30, und 19 ersetzen und erweitern: DSG 2000 § 24 "Informationspflicht bei Ermittlung" - Zweck und Auftraggeber - spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information DSG 2000 §§ 16ff "Registrierungspflicht" Das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 iVm den Informationsverpflichtungen gemäß Art. 13 & 14, 33+34, 19 und der Folgenabschätzung gemäß Art. 35 kann als Kernstück des neuen Datenschutzmanagements angesehen werden Bisherige Informations-Bestimmung gemäß DSG 2000 Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizistische DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] ARGE DATEN

98 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Benennung Datenschutzbeauftragter" (gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen) verpflichtende Benennung: - Verarbeitung durch Behörde oder öffentliche Stelle, mit Ausnahme von Gerichten, im Rahmen ihrer justiziellen Tätigkeit [Anm: keine inhaltlichen oder personellen Ausnahmen!] - Kerntätigkeit ist eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen [Anm: ??? Informationsdienste, Detektive, Sicherheitsdienste, ...] - Kerntätigkeit ist die umfangreiche Verarbeitung besonderer Kategorien von Daten [Anm: Spitäler JA, Ärzte NEIN] - Kerntätigkeit ist die umfangreiche Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten - nationale Bestimmungen verpflichten zu Datenschutzbeauftragten DSGVO Art. 37 Benennung eines Datenschutzbeauftragten (1)Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, b)die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. (2)Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. (3)Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. ARGE DATEN

99 DSGVO Art. 37 "Benennung Datenschutzbeauftragter" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Benennung Datenschutzbeauftragter" II Organisationsbestimmungen: - Unternehmensgruppe darf gemeinsamen Datenschutzbeauftragten ernennen - Behörde oder öffentliche Stelle, kann für mehrere vergleichbare Behörden oder Stellen gemeinsamen Datenschutzbeauftragten ernennen - Verbände und andere Vereinigungen können Datenschutzbeauftragten ernennen, der in Vertretung der Verantwortlichen handeln kann ["Kammer-Datenschutz-Beauftragter"] - interner oder externer Datenschutzbeauftragter sind zulässig - Kontaktdaten des Datenschutzbeauftragten sind Aufsichtsbehörde mitzuteilen und zu veröffentlichen DSGVO Art. 37 Benennung eines Datenschutzbeauftragten (Fortsetzung) (4)In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. (5)Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. (6)Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. (7)Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. ARGE DATEN

100 DSGVO Art. 38 "Stellung Datenschutzbeauftragter"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Stellung Datenschutzbeauftragter" - frühzeitige Einbindung in Verarbeitungsprojekte - Bereitstellung erforderlicher Ressourcen - Ermöglichen des Zugangs zu den personenbezogenen Daten und Verarbeitungsvorgängen - Weisungsfrei bezüglich der Ausübung dieser Aufgaben - Keine Abberufung im Zusammenhang mit seiner Tätrigkeit - Datenschutzbeauftragter berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters - Betroffene können sich in ALLEN Datenschutzfragen an Datenschutzbeauftragten wenden - Datenschutzbeauftragter ist zur Verftraulichkeit verpflichtet - andere Tätigkeiten zulässig, dürfen aber nicht in Konflikt stehen DSGVO Art. 38 Stellung des Datenschutzbeauftragten (1)Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. (2)Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. (3)Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (4)Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. (5)Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. (6)Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. ARGE DATEN

101 DSGVO Art. 39 "Aufgaben Datenschutzbeauftragter"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Aufgaben Datenschutzbeauftragter" - Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen zu Dokumentationspflichten - Überwachung der Umsetzung und Anwendung der Datenschutzstrategien - Zuweisung von Zuständigkeiten - Schulung der an den Verarbeitungen beteiligten Mitarbeiter - Überwachung der Umsetzung und Anwendung der Grundverordnung Datenschutz, insbesondere an technische Datenschutz-Anforderungen, datenschutzfreundliche Voreinstellungen, an Datensicherheit, an Benachrichtigung betroffener Personen DSGVO Art. 39 Aufgaben des Datenschutzbeauftragten (1)Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. (2)Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. ARGE DATEN

102 DSGVO Art. 39 "Aufgaben Datenschutzbeauftragter" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art "Aufgaben Datenschutzbeauftragter" II - Sicherung der Betroffenenrechte - Sicherung und Überwachung aller erforderlichen Dokumentationen - Meldung und Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten - Überwachung der durchgeführten Datenschutz-Folgenabschätzung sowie Beantragung erforderlicher vorheriger Genehmigungen - Überwachung der durch die Aufsichtsbehörde angeordneten Maßnahmen - Ansprechpartner und Zusammenarbeit mit der Aufsichtsbehörde - ARGE DATEN

103 Organisatorische und fachliche Einordnung des Datenschutzbeauftragten
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Datenschutzbeauftragter Organisatorische und fachliche Einordnung des Datenschutzbeauftragten - IT-Leiter ist gleichzeitig Datenschutzbeauftragter - Sicherheitsverantwortlicher ist gleichzeitig Datenschutzbeauftragter +/- Einbindung des DSB in Revisions- oder Rechtsabteilung +/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit +/- Complience-Verantwortlicher ist Datenschutzbeauftragter Wo Datenschutzbeauftragter fehlt, hat Geschäftsführung die Datenschutz-Aufgaben zu übernehmen - ARGE DATEN

104 DSGVO Art. 28 "Auftragsverarbeiter"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 28 "Auftragsverarbeiter" - Eignung muss gegeben sein - keine weiteren Auftragsverarbeiter "ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen" - rechtliche Vereinbarung erforderlich, die "Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen" enthält notwendiger Vertragsinhalt: - Verarbeitung erfolgt nur auf dokumentierte Weise - verarbeitende Personen wurden zur Vertraulichkeit verpflichtet - geeignete Sicherheitsmaßnahmen wurden ergriffen (Art. 32) - Sub-Auftragsverarbeiter werden zur Einhaltung der Vereinbarungen verpflichtet DSGVO Art. 28 Auftragsverarbeiter (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; ARGE DATEN

105 DSGVO Art. 28 "Auftragsverarbeiter" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 28 "Auftragsverarbeiter" II notwendiger Vertragsinhalt (Fortsetzung): - Unterstützung des Verantwortlichen zur Einhaltung der Betroffenenrechte und sonstiger Verpflichtungen gemäß DSGVO - nach Abschluss der Verarbeitung löscht Auftragsverarbeiter alle Daten oder gibt sie zurück (sofern dem nicht gesetzliche Regelungen entgegen stehen) - stellt dem Verantwortlichen alle notwendigen Informationen zur Einhaltung seiner Verpflichtungen bereit und ermöglicht gegebenenfalls auch Inspektionen Vertragsgestaltung: - kann ein Standardvertrag der EU-Kommission verwendet werden - Vertrag ist schriftlich abzufassen (elektronische Form ist zulässig) DSGVO Art. 28 Auftragsverarbeiter (Fortsetzung) b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d)die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e)angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht; h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. ARGE DATEN

106 DSGVO Art. 28 "Auftragsverarbeiter" III
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Datenschutzorganisation DSGVO Art. 28 "Auftragsverarbeiter" III Nachweis der Eignung: - Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder - Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. DSGVO Art. 28 Auftragsverarbeiter (Fortsetzung) (4)Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, (5)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. (6)Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. (7)Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (8)Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (9)Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. (10)Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. Auftragsverarbeiter wird Verantwortlicher, wenn er persönliche Daten entgegen den Bestimmungen der DSGVO verwendet ARGE DATEN

107 DSGVO Art. 44-50 "Internationaler Datenverkehr"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Internationaler Datenverkehr DSGVO Art "Internationaler Datenverkehr" Grundsatz der Einhaltung aller Bestimmungen der DSGVO (Art. 44) Zulässige genehmigungsfreie Übermittlungen - innergemeinschaftliche Übermittlungen - auf Grund einer Angemessenheitsentscheidung der EU-Kommission (Art. 45) - rechtlich durchsetzbare Vereinbarungen zwischen Behörden bzw. öffentlichen Stellen (Art. 46 Abs. 2 lit a) [Behörden] - verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) iS Art. 47 (Art. 46 Abs. 2 lit b) [Unternehmen] - Standardschutzklauseln der EU-Kommission (Art. 46 Abs. 2 lit c,d) - bestehen eines Zertifizierungsmechanismus iS Art (Art. 46 Abs. 2 lit f) DSGVO Art. 44 Allgemeine Grundsätze der Datenübermittlung Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. DSGVO Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (1)Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. (2)Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende: a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden, b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben. ARGE DATEN

108 DSGVO Art. 44-50 "Internationaler Datenverkehr"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Internationaler Datenverkehr DSGVO Art "Internationaler Datenverkehr" Zulässige genehmigungspflichtige Übermittlungen - individuelle Vertragsklauseln zwischen Verantwortlichen oder dem Auftragsverarbeiter und Empfänger (Art. 46 Abs. 3 lit a) - Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen die durchsetzbare Rechte der Betroffenen sichern (Art. 46 Abs. 3 lit b) DSG 2000 §§ 12, 13, 55 "Internationaler Datenverkehr" Genehmigungsfreiheit - innergemeinschaftlicher Datenverkehr - gleichwertige Datenschutzgesetzgebung - im Inland zulässigerweise veröffentlichte Daten - notwendige Grundlage zur Vertragserfüllung mit Betroffenen - persönliche oder publizistische DA‘s - mit Zustimmung des Betroffenen - wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen - bei Akten und Dokumenten DSGVO Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Fortsetzung) (3)Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. (4)Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten. (5)Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte. (6)Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat. (7)Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt. (8)Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten. (9)Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. ARGE DATEN

109 EU-Rechtsakt fehlt! ARGE DATEN DSG 2000 - Internationaler Datenverkehr
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Internationaler Datenverkehr Genehmigungsfrei (weil gleichwertig) - gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein - gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ), Argentinien ( ), Israel ( ), Uruguay ( ), Neuseeland ( ) + Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey - USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern EU-Rechtsakt fehlt! gekippt auf Grund EuGH-Entscheidung C-362/14, Neues Abkommen "Privacy Shield" seit August 2016 aktiv Aktueller Stand der gleichwertigen Länder: transfers/adequacy/index_en.htm (STAND: 3/2015)‏ Suchbegriffe: "Commission decisions adequacy protection personal data third countries" auf EG-Standardvertragsklauseln: Version 1 (2001): ftp://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf Version 2 (2004): ftp://ftp.freenet.at/privacy/eu-ds/eu-standardvertragsklauseln-2.pdf Wichtige Vertragselemente der Standardvertragsklauseln Auswahlhaftung des Datenexporteurs: muss sich von der Fähigkeit des Importeurs bei der Einhaltung der Datenschutzbestimmungen überzeugen bei Datenschutzverletzungen: zuständig ist das Gericht, in dem Land in dem der Datenexporteur seinen Sitz hat Durchsetzungfrist bei Datenschutzrechten: ein Monat Einsetzbarkeit der Standardvertragsklauseln in Österreich nur beschränkt gegeben: Genehmigung durch DSB trotzdem erforderlich. ARGE DATEN

110 Formal praktisch ident mit Safe Harbour
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Internationaler Datenverkehr Was bedeutet "Privacy Shield"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich FTC (Federal Trade Commission, Bundeshandelskommission) bzw DOT (Department of Transportation bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand Oktober 2016: ca Organisationen, etwa 10 % der früheren Safe Harbour-Liste, ua Facebook, Google, Microsoft Beitritt betrifft "alle" persönlichen Daten, es kann jedoch für HR-Daten (Personaldaten) Ausnahme vorgesehen werden Formal praktisch ident mit Safe Harbour Unterlagen zur Entscheidung der EU-Kommission "über die Angemessenheit des Datenschutzes in den USA": shield/index_en.htm Pressemitteilung EU-Kommission "über die Angemessenheit des Datenschutzes in den USA": ... The EU-U.S. Privacy Shield is based on the following principles: Strong obligations on companies handling data: under the new arrangement, the U.S. Department of Commerce will conduct regular updates and reviews of participating companies, to ensure that companies follow the rules they submitted themselves to. If companies do not comply in practice they face sanctions and removal from the list. The tightening of conditions for the onward transfers of data to third parties will guarantee the same level of protection in case of a transfer from a Privacy Shield company. Clear safeguards and transparency obligations on U.S. government access: The US has given the EU assurance that the access of public authorities for law enforcement and national security is subject to clear limitations, safeguards and oversight mechanisms. Everyone in the EU will, also for the first time, benefit from redress mechanisms in this area. The U.S. has ruled out indiscriminate mass surveillance on personal data transferred to the US under the EU-U.S. Privacy Shield arrangement. The Office of the Director of National Intelligence further clarified that bulk collection of data could only be used under specific preconditions and needs to be as targeted and focused as possible. It details the safeguards in place for the use of data under such exceptional circumstances. The U.S. Secretary of State has established a redress possibility in the area of national intelligence for Europeans through an Ombudsperson mechanism within the Department of State. ARGE DATEN

111 ARGE DATEN DSG 2000 - Internationaler Datenverkehr
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Internationaler Datenverkehr Ausnahmen / Erleichterungen "Privacy Shield" - Medienunternehmen sind von "Privacy Shield" ausgenommen ?? - Internet Service Providers, Telekomunternehmen und vergleichbare, die nur Durchleit- und Cachingdienste betreiben sind in diesem Bereich vom "Privacy Shield" ausgenommen - weitreichende Ausnahmen für Auditoren, Due Diligence Prüfungen und vergleichbares: in diesen Fällen finden die Grundsätze des "Privacy Shield" keine Anwendung. "Privacy Shield" ein großer Fortschritt? - Hat sich die EU gegenüber US durchgesetzt? Oder ist das Framework ein großer Papiertiger? Wesentlich wird Rechtsdurchsetzung in Konfliktfällen sein - Wird frühestens in einem Jahr beurteilt werden können, wird auch von der Länge der "Negativ"-Liste abhängen Empfehlung: um auf der datenschutzrechtlich "sicheren" Seite zu sein, sollten zusätzliche Maßnahmen getroffen werden: Standardvertragsklauseln, Zustimmung, Corporate Binding Rules EU-U.S. PRIVACY SHIELD FRAMEWORK PRINCIPLES ISSUED BY THE U.S. DEPARTMENT OF COMMERCE (Auszüge) ... II. PRINCIPLES 1. NOTICE a. An organization must inform individuals about: i. its participation in the Privacy Shield and provide a link to, or the web address for, the Privacy Shield List, ii. the types of personal data collected and, where applicable, the entities or subsidiaries of the organization also adhering to the Principles, iii. its commitment to subject to the Principles all personal data received from the EU in reliance on the Privacy Shield, iv. the purposes for which it collects and uses personal information about them, v. how to contact the organization with any inquiries or complaints, including any relevant establishment in the EU that can respond to such inquiries or complaints, vi. the type or identity of third parties to which it discloses personal information, and the purposes for which it does so, vii. the right of individuals to access their personal data, viii. the choices and means the organization offers individuals for limiting the use and disclosure of their personal data, ix. the independent dispute resolution body designated to address complaints and provide appropriate recourse free of charge to the individual, and whether it is: (1) the panel established by DPAs, (2) an alternative dispute resolution provider based in the EU, or (3) an alternative dispute resolution provider based in the United States, x. being subject to the investigatory and enforcement powers of the FTC, the Department of Transportation or any other U.S. authorized statutory body, xi. the possibility, under certain conditions, for the individual to invoke binding arbitration, xii. the requirement to disclose personal information in response to lawful requests by public authorities, including to meet national security or law enforcement requirements, and xiii. its liability in cases of onward transfers to third parties. ARGE DATEN

112 DSGVO Art. 47 "Binding Corporate Rules (BCR)"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Internationaler Datenverkehr DSGVO Art. 47 "Binding Corporate Rules (BCR)" Rechtlich bindende Datenschutzregeln für eine Unternehmensgruppe (Abs. 1) Notwendiger Inhalt (Abs. 2) (a) Unternehmensstruktur, Kontaktdaten der Unternehmensgruppe und aller ihrer Mitglieder (b) vollständige Information über die betroffenen Datenübermittlungen (inkl. Art der Daten, Zweck, betroffene Personengruppen) (c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften (d) Beschreibung der Anwendung der allgemeinen Datenschutzgrundsätze, der Sicherheitsmaßnahmen (e) Beschreibung der Betroffenenrechte inkl. im Falle der Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz (f) Haftung der in den Mitgliedsstaaten niedergelassenen verantwortlichen DSGVO Art. 47 Verbindliche interne Datenschutzvorschriften (1)Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt, b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und c) die in Absatz 2 festgelegten Anforderungen erfüllen. (2)Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben: a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder; b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer; c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften; d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen; e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten; f) die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann; ARGE DATEN

113 DSGVO Art. 47 "Binding Corporate Rules (BCR)" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Internationaler Datenverkehr DSGVO Art. 47 "Binding Corporate Rules (BCR)" II Notwendiger Inhalt (Abs. 2) Fortsetzung (g) Informationsverfahren der Betroffenen über die "Binding Corporate Rules" (h) Aufgaben der Datenschutzbeauftragten (i) Ablauf eines Beschwerdeverfahrens (j) Beschreibung der Verfahren innerhalb der Unternehmensgruppe zur Einhaltung der BCR (k) Verfahren zur Änderung und Meldung der Änderung der BCR bei den Aufsichtsbehörden (l) Verfahren zur Zusammenarbeit mit den Aufsichtsbehörden (m) Meldeverfahren über Änderungen von rechtlichen Bestimmungen in Drittländern die sich nachteilig auf den Datenschutz auswirken können (n) geeignete Datenschutzschulungen der Mitarbeiter DSGVO Art. 47 Verbindliche interne Datenschutzvorschriften (Fortsetzung) g) die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden; h) die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist; i) die Beschwerdeverfahren; j) die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden; k) die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde; l) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde; m)die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und n) geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten. (3)Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. ARGE DATEN

114 ARGE DATEN Sicherheit / Strafen / Ausblick Sicherheitverpflichtung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Sicherheit / Strafen / Ausblick Sicherheitverpflichtung Schadenersatz Strafbestimmungen Ausblick - ARGE DATEN

115 DSGVO Art. 32 "Sicherheit" ARGE DATEN DSGVO - Sicherheit
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Sicherheit DSGVO Art. 32 "Sicherheit" Grundsatz der Verhältnismäßigkeit (Abs 1): - Stand der Technik - Implementierungskosten - Zwecke der Verarbeitung - unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen individuelle Vertragsklauseln zwischen Verantwortlichen oder dem Auftragsverarbeiter und Empfänger (Art. 46 Abs. 3 lit a) zu setzende Maßnahmen - Pseudonymisierung und Verschlüsselung personenbezogener Daten (Abs 1 lit a) - Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste müssen auf Dauer sichergestellt sein (Abs 1 lit b) - Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen muss nach einem Zwischenfall rasch wieder hergestellt werden (Abs 1 lit c) DSGVO Art. 32 Sicherheit der Verarbeitung (1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. ARGE DATEN

116 DSGVO Art. 32 "Sicherheit" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Sicherheit DSGVO Art. 32 "Sicherheit" II zu setzende Maßnahmen (Fortsetzung) - Implementierung von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Abs. 1 lit d) - Sicherung, dass Mitarbeiter Daten nur gemäß Anweisungen verwenden (Abs. 4) Beurteilung der gesetzten Maßnahmen - bei Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind (Abs. 2) - der Nachweis der Einhaltung genehmigter Verhaltensregeln (Art. 40) oder genehmigter Zertifizierungen (Art. 42) kann als Nachweis der Erfüllung der Anforderungen dienen (Abs. 3) DSGVO Art. 32 Sicherheit der Verarbeitung (Fortsetzung) (4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. ARGE DATEN

117 ARGE DATEN DSG 2000 - Sicherheit
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Sicherheit DSG 2000 § 14 "Sicherheitsbestimmungen" Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ ARGE DATEN

118 DSAG § 6 "Datengeheimnis"  ähnlich zu DSG2000 ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG Bestimmungen DSAG § 6 "Datengeheimnis" Mitarbeiter sind zum Datengeheimnis zu verpflichten Mitarbeiter sind über Folgen der Verletzung des Datengeheimnisses zu belehren Daten dürfen nur auf Grund ausdrücklicher Anordnung verwendet werden Mitarbeiter darf aus der Weigerung einer rechtswidrigen Übermittlung kein Nachteil erwachsen bestehende gesetzliche Aussageverweigerungsrechte dürfen nicht durch inanspruchnahme eines für den Verantwortlichen tätigen Auftragsverarbeiters umgangen werden  ähnlich zu DSG2000 Datengeheimnis DSAG 2018 § 6. (1) Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten. (3) Der Verantwortliche und der Auftragsverarbeiter haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen. (5) Ein zugunsten eines Verantwortlichen bestehendes gesetzliches Aussageverweigerungsrecht darf nicht durch die Inanspruchnahme eines für diesen tätigen Auftragsverarbeiters, insbesondere nicht durch die Sicherstellung oder Beschlagnahme von automationsunterstützt verarbeiteten Dokumenten, umgangen werden. ARGE DATEN

119 DSGVO Art. 82 "Schadenersatz"
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Kontroll- & Strafbestimmungen DSGVO Art. 82 "Schadenersatz" - schuldhaftes Verhalten erforderlich - es ist materieller UND immaterieller Schaden zu ersetzen - sind mehrere Verantwortliche beteiligt, haftet jeder ungeteilt DSG 2000 § 33 "Schadenersatz" schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSGVO Art. 82 Haftung und Recht auf Schadenersatz (1)Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2)Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. (3)Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (4)Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. (5)Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. ARGE DATEN

120 DSGVO Art. 82 "Schadenersatz" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Kontroll- & Strafbestimmungen DSGVO Art. 82 "Schadenersatz" II Unterschied der DSGVO zum DSG 2000 Schadenersatz KEINE Schadenswerte angegeben KEINE Einschränkungen in der Art des Schadens KEIN Bezug auf andere Bestimmungen (wie Medienrecht) DSGVO Art. 82 Haftung und Recht auf Schadenersatz (Fortsetzung) (6)Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t) Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN

121  ARGE DATEN DSG 2000 - Schadenersatz
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage - Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung - Verwendete Daten stammen aus Exekutionsdatenbank der Justiz - abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung - mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt - Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35) LG Innsbruck 12 Cg 72/10h Die beklagte Partei ist schuldig, dem Kläger binnen 14 Tagen zu Handen der Klagsvertreterin einen Betrag von EUR 3.330,35 samt 4 % Zinsen aus EUR 3.331,40 vom bis sowie 4 % Zinsen aus EUR 3.330,35 ab dem zu bezahlen und die mit EUR 1.448,80 (darin enthalten EUR 316,-- Barauslagen und EUR 188,80 USt) bestimmten Verfahrenskosten zu ersetzen. ... Durch die rechtswidrige und schuldhafte Verwendung der Bonitätsdaten des Klägers sei diesem ein Schaden durch erhöhte Mobilfunkgebühren bis Mai 2009 in Höhe von EUR ,35 entstanden, weiters ein Schaden durch Mehrkosten, weil er einen Kinderwagen nicht online bei der Firma Eduscho sondern in der Folge bei der Firma Kika im August kaufen habe müssen in Höhe von EUR 56,-- und weiters habe der Kläger Strafporto in Höhe von EUR 1,05 bezahlen müssen, da der Beklagte einen an den Kläger adressierten Brief wegen Auskunft nach dem Datenschutzgesetz nicht frankiert habe, obwohl er hiezu nach dem Datenschutzgesetz verpflichtet gewesen wäre. Weiters begehrte der Kläger eine angemessene Entschädigung in Höhe von EUR 1.000,-- für die erlittene Kränkung, weil durch die öffentliche zugängliche rechtswidrige Verwendung der über den Kläger gespeicherten Datensätze und Übermittlung derselben an verschiedene Personen schutzwürdige Geheimhaltungsinteressen des Klägers vom Beklagten verletzt worden seien und der Kläger gegenüber mehreren Firmen bloßgestellt worden sei.  DSGVO, wahrscheinlich höherer immaterieller Schadenersatz möglich ARGE DATEN

122 DSGVO Art. 58, 83, 84 "Sanktionen" ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Strafbestimmungen DSGVO Art. 58, 83, 84 "Sanktionen" - Aufsichtsbehörden sind verantwortlich für wirksame, verhältnismäßige und abschreckende Sanktionen (Art. 83 Abs 1) - umfassende Untersuchungs-, Abmahn- und Abhilfebefugnisse inkl. der Möglichkeit eine Datenverarbeitung zu verbieten (Art. 58) - Geldbußen haben ua Art, Schwere und Dauer eines Verstoßes zu berücksichtigen, Vorsätzlichkeit oder Fahrlässigkeit, Grad der Verantwortung, frühere Verstöße, Kategorien der betroffenen Daten Geldbußen bis 10 Mio EUR (Art. 83 Abs. 4) (bei Unternehmen bis 2% seines gesamten weltweit erzielten Jahresumsatzes) - Missachtung der Datenschutz-Rechte eines Kindes (iS Art. 8) - Verarbeitung von personenbezogenen Daten, obwohl Identifizierung nicht erforderlich (iS Art. 11) - sonstige allgemeine Verletzungen bei Datenverarbeitungen inkl. Verletzung von Sicherheitsbestimmungen (iS Art ) DSGVO Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen (1)Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2)Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i)Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. ARGE DATEN

123 DSGVO Art. 58, 83,84 "Sanktionen" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Strafbestimmungen DSGVO Art. 58, 83,84 "Sanktionen" II Geldbußen bis 20 Mio EUR (Art. 83 Abs. 5) (bei Unternehmen bis 4% seines gesamten weltweit erzielten Jahresumsatzes) - Verletzung von Verarbeitungsgrundsätzen (iS Art. 5, 6, 7, 9) - Verletzung der Betroffenenrechte (iS Art ) - unzulässige Datenübermittlung in Drittländer oder internationale Organisationen (iS Art ) - Missachtung der Regeln für besondere Verarbeitungssituationen (etwa zu Meinungsfreiheit) (iS Kapitel IX Art ) - Verhinderung oder Behinderung von Untersuchungen der Aufsichtsbehörden (iS Art. 58 Abs. 1,2) - Nichtbefolgung von Anweisungen der Aufsichtsbehörden (iS Art. 58 Abs. 2) DSGVO Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen (Fortsetzung) (3)Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. (4)Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. (5)Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (6)Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. ARGE DATEN

124 DSGVO Art. 58, 83, 84 "Sanktionen" III
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO / DSAG Strafbestimmungen DSGVO Art. 58, 83, 84 "Sanktionen" III Mitgliedsstaaten können Geldbußen gegen Behörden abweichend regeln! DSAG 2018 § 30 Abs. 4 "Behördensanktion" - KEINE Strafen bei Datenschutzverletzungen durch Behörden DSAG 2018 § 62 "ergänzende Sanktionen" Verwaltungsstrafe bis ,- Euro - vorsätzliches Verschaffen eines Zugangs zu einer Datenverarbeitung - vorsätzliches aufrecht Erhalten eines Zugangs - Übermittlung unter vorsätzlicher Verletzung des Datengeheimnisses - Verschaffen von personenbezogenen Daten unter Vortäuschung falscher Tatsachen - Bildverarbeitung entgegen den Bestimmungen ! neu zu DSG 2000 - ARGE DATEN

125 DSAG 2018 § 62 "ergänzende Sanktionen" II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO / DSAG Strafbestimmungen DSAG 2018 § 62 "ergänzende Sanktionen" II - Verweigerung der Einschau durch die Datenschutzbehörde - Versuch ist strafbar - Verfall von Datenträgern und Programmen kann ausgesprochen werden, wenn diese im Zusammenhang mit der Verwaltungsübertretung stehen - verschaffen von personenbezogenen Daten unter Vortäuschung falscher Tatsachen - Datenschutzbehörde ist zuständige Strafbehörde - ARGE DATEN

126 DSAG 2018 § 63 "Strafrecht"  ähnlich zu DSG2000 ARGE DATEN
17. Oktober 2017 DSAG Strafbestimmungen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSAG 2018 § 63 "Strafrecht" - Datenverarbeitung in Gewinn- oder Schädigungsabsicht Delikt begeht, wer vorsätzlich ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr oder Geldstrafe bis 720 Tagessätze Delikt ist Offizialdelikt Strafbestimmung gilt subsidiär  ähnlich zu DSG2000 Datenverarbeitung in Gewinn- oder Schädigungsabsicht DSAG 2018 § 63. Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen. ARGE DATEN

127 Wie auf die DSGVO reagieren?
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Ready Wie auf die DSGVO reagieren? Ist definiert wer zuständig für Datenschutzfragen ist? Wer wird Ansprechstelle für die Aufsichtsbehörde? Sind alle innerbetrieblichen Verarbeitungstätigkeiten bekannt? Sind alle Verarbeitungstätigkeiten dokumentiert? Sind die erforderlichen Informationsunterlagen für die Betroffenen vorbereitet? Sind sie leicht zugänglich? Können alle Betroffenendaten binnen Monatsfrist beauskunftet werden? Können die Betroffenendaten in einem "technisch üblichen Format" bereit gestellt werden? Ist die Vorbereitung auf Löschungswünsche von Betroffenen ausreichend (inklusive der Verständigung früherer Empfänger)? Gibt es einen vollständigen Überblick zu allen Zustimmungserklärungen? Entsprechen die Zustimmungserklärungen den Vorgaben der DSGVO? - ARGE DATEN

128 Wie auf die DSGVO reagieren? II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Ready Wie auf die DSGVO reagieren? II Für welche Datenverarbeitungen ist eine Datenschutzfolgenabschätzung erforderlich? Wer wird für die Datenschutzfolgenabschätzung zuständig sein? Ist ein verpflichtender Datenschutzbeauftragter erforderlich? Wenn nein, soll ein freiwilliger Datenschutz-beauftragter eingesetzt werden? Soll ein interner Mitarbeiter oder eine externe Stelle Datenschutzbeauftragter sein? Ist internationaler Datenverkehr mit Dritt-Staaten vorhanden/geplant? Wenn ja, auf welcher Grundlage soll er stattfinden? Sind Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sichergestellt? Existierte eine Security-Policy bzw. eine Sicherheits-Zertifizierung? - ARGE DATEN

129 Wie auf die DSGVO reagieren? III
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Ready Wie auf die DSGVO reagieren? III Sind die Meldeverfahren an Betroffene und Datenschutzbehörde für den Fall von Datenschutzverletzungen vorbereitet? Ist die Hauptniederlassung definiert? Welche Aufsichtsstelle wird in Zukunft zuständig sein? Ist Unternehmen Teil einer Unternehmensgruppe? Sind Teile der Unternehmensgruppe in Drittstaaten? Wenn ja, wo warden die Entscheoidungen zum Einsatz persönlicher Daten getroffen, wo findet die Datenverarbeitung technisch statt, sind in der Unternehmensgruppe BCR geplant? Gibt es in der eigenen Branche / im eigenen Verband Bestrebungen zu eigenen Verhaltensregeln? Wenn ja, wer wird sich an der Ausarbeitung beteiligen? Ist zum Datenschutzmanagement eine Zertifizierung geplant? - ARGE DATEN

130 Oder werden lieber für zu erwartende Strafen Rückstellungen gemacht?
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSGVO - Ready Wie auf die DSGVO reagieren? IV Gibt es eine Aufwands- und Budgetplanung? Ist für die Umsetzung der DSGVO ausreichendes Budget bewilligt? Oder werden lieber für zu erwartende Strafen Rückstellungen gemacht? Wenn Sie auf alle diese Fragen eine klare Antwort haben, dann sind Sie für den Mai bestens vorbereitet - ARGE DATEN

131 Ich danke für Ihre Aufmerksamkeit
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Ich danke für Ihre Aufmerksamkeit - ARGE DATEN

132 Onlineinformation ARGE DATEN http://www.argedaten.at/
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Onlineinformation Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN

133 Anhang (nur Online-Version)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Anhang (nur Online-Version) DSGVO DSG Stand 25. Mai 2018 - ____________________ ARGE DATEN

134 Nicht verwendete Folien
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Nicht verwendete Folien - ____________________ ARGE DATEN

135 Anhang ARGE DATEN Verschwiegenheitspflichten
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Anhang Verschwiegenheitspflichten DVR-Meldung (Online-Verfahren) Standard- und Musteranwendungen - ____________________ ARGE DATEN

136 Geheimnis- und Verschwiegenheitspflichten (Auswahl)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Verschwiegenheit Geheimnis- und Verschwiegenheitspflichten (Auswahl) - Amtsgeheimnis (StGB § 310) - Bankwesengesetz (§ 38) - Ziviltechnikergesetz (§ 15) - Ärztegesetz (§ 54) - Glückspielgesetz (§ 51) - Hebammengesetz (§ 7) - Psychologengesetz (§ 14) - Tierärztegesetz (§ 23) - Gesundheits- und Krankenpflegegesetz (§ 6) - Sanitätergesetz (§ 6) - Wirtschaftstreuhandberufsgesetz (§ 91) - Detektive (§ 130 Abs. 5 GewO) Grundsätzlich gilt das DSG 2000 subsidiär Welche Geheimhaltungserklärung gilt? Beauftragt ein Auftraggeber (ein für personenbezogene Daten Verantwortlicher), wie eine Bank, ein Spital oder ein Steuerberater für einzelne Datenverarbeitungsschritte einen Dienstleister, dann ist eine Dientsleistungsvereinbarung gemäß § 10 DSG abzuschließen. Wesentlicher Bestandteil dieser Vereinbarung ist die Verpflichtung des Dienstleisters, seinerseits seine Mitarbeiter zur Einhaltung der Verschwiegenheit gem. § 15 DSG zu verpflichten. Grundsätzlich gilt das DSG 2000 subsidiär. Das heisst, es wirkt für jene Bereiche personenbezogener Daten, die nicht von den fachspezifischen oder berufsspezifischen Geheimhaltungsbestimmungen erfasst sind. Sind also die berufsspezifischen Bestimmungen weitreichend genug definiert, könnte im konkreten Dienstleistungsfall auf eine Geheimhaltungsvereinbarung gemäß DSG verzichtet werden. Der umgekehrte Fall ist nicht möglich! ARGE DATEN

137 "alte" Strafbestimmungen zum Geheimnisbruch
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Cybercrime - Übersicht "alte" Strafbestimmungen zum Geheimnisbruch - § 126a StGB Datenbeschädigung - § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch - § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen - § 119 Verletzung des Telekommunikationsgeheimnisses - § 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten - § 121 Verletzung von Berufsgeheimnissen - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses - § 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses - § 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands "Amts"-Bestimmungen - Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen § 126a StGB Datenbeschädigung Schädigung durch Verändern, Löschen oder sonst Unbrauchbarmachen von Daten Strafrahmen: 6 Monate, bei Schaden über = 2 Jahre, bei Schaden über = 6 Monate bis 5 Jahre § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch Eingriffe in die Ergebnisse einer Datenverarbeitung Strafrahmen: 6 Monate, bei gewerbsmäßiger Durchführung oder bei Schaden über = 3 Jahre, bei Schaden über = 1 bis 10 Jahre "Amts"-Bestimmungen - Verbotene Veröffentlichung § 301 StGB - Missbrauch der Amtsgewalt § 302 StGB - Verletzung des Amtsgeheimnisses § 310 StGB ARGE DATEN

138 Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Cybercrime - Übersicht Neue "cybercrime"-Bestimmungen (seit ) - § 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] - § 119a Missbräuchliches Abfangen von Daten - § 126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] - § 126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] - § 225a Datenfälschung von EU beschlossen (2006) - Aufbewahrungspflicht für Telekom- und Internetdaten - in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) - bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich) - von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012) Anmerkungen zu den neuen Bestimmungen Grundsätzlich ist zu beachten, dass bei Strafbestimmungen ganz allgemein immer Vorsatz und Gewinn/Schädigungsabsicht gegeben sein müssen - Widerrechtlicher Zugriff auf ein Computersystem (§ 118a)‏ Sonderregelung zu Briefgeheimnis (§ 118)‏ Soll den Bereich "HACKEN" regeln, wobei bisher "akademisches" Hacken, ohne Verletzung einer der "alten" Delikte nicht strafbar war PROBLEMPUNKT: "überwinden spezifischer Sicherheitseinrichtungen" - Missbräuchliches Abfangen von Daten (§ 119a)‏ Analog zu den Bestimmungen des Briefgeheimnisses und des Telekommunikationsgeheimnisses sollen Eingriffe in den Datenverkehr ganz allgemein erfasst werden - Störung der Funktionsfähigkeit eines Computersystems (§ 126b)‏ Soll "Denial-of-Service"-Attacken regeln - Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c)‏ Soll "Cracker"-Programme und ähnliche Tools unter Strafe stellen PROBLEMPUNKT: Praktisch alle Cracker- und Hacker-Tools werden auch für Audit- und Monitoring-Maßnahmen eingesetzt - Datenfälschung (§ 225a)‏ Soll Urkundenfälschung im Datenverkehr abdecken Info Europarat - Convention on Cybercrime =16/03/04&CL=GER ARGE DATEN

139  ARGE DATEN DSG 2000 - Schadenersatz
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage - Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt - privater Wachdienst forderte 100,- Euro "Entschädigung", Forderung wurde Inkassodienst übergeben - nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet - Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts OGH-Entscheidung - Eintrag ohne vorherige Verständigung ist rechtswidrig - Eintragung geeignet die Kreditwürdigkeit zu beschädigen - auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG 2000 - Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen ZRS Wien 53Cg106/07h (Entscheidung vom OGH bestätigt) "Gemäß §33 Abs. 1 DSG hat der Auftraggeber, der Daten schuldhaft entgegen den Bestimmungen des DSG verwendet, dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in §18 abs. 2 Z1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines betroffenen in einer Weise evrletzt, die einer Eignung zur Bloßstellung gemäß §7 Abs. 1 Mediengesetz gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. ... Im §6 Abs. 1 Z 1 DSG ist der Grundsatz verankert, dass Daten nur nach Treu und Glauben verwendet werdendürfen. Dieser Grundsatz erfordert eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte Datenverwendung zur Wehr zu setzen. Eine derartige Verständigung ist im vorliegenden Fall nicht erfolgt. Die Aufnahme der hier in Rede stehenden Eintragung in die Datenbank der Beklagten ist somit rechtswidrig erfolgt (6 Ob 275/05t). ... Die hier in Rede stehenden Daten wurden nur in geringem Umfang verwendet. ... Eine solche Eintragung ist geeignet, das berufliche Fortkommen zu gefährden oder zu beeinträchtigen, weil potenzielle Geschäftspartner mit Sicherheit Personen, deren Kreditwüdigkeit in Frage steht, meiden. Unter Berücksichtigung dieser Umstände erscheint die vom Kläger begehrte Schadenersatzleistung [750,- Euro, Anm.] für die mit der gesetzwidrigen Eintragung in die Zahlungsverhaltensdatenbank verbundene Bloßstellung als angemessen."  DSGVO, wahrscheinlich höherer immaterieller Schadenersatz möglich ARGE DATEN

140 Weitere typische Aufgaben des Datenschutzbeauftragten [Empfehlungen]
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Datenschutzbeauftragter Weitere typische Aufgaben des Datenschutzbeauftragten [Empfehlungen] - Abschluss der Auftragsdaten-Vereinbarungen und Überwachen deren Einhaltung - Kontrolle von Zustimmungserklärungen auf DSGVO- Konformität - Beratung bei Abschluss von Dienststellen- /Betriebsvereinbarungen - Internes und externes "Lobbying" (Entwicklung von Konzernpositionen) - Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung - Entwicklung einer organisationsweiten Privacy-Policy - ARGE DATEN

141  ARGE DATEN DSG 2000 - Veröffentlichung
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Veröffentlichung Beispiel Verwendung Mailadresse OGH-Entscheidung 6 Ob 167/06m Ausgangslage - WK-Obmann des Fachverbands Werbung klagt, weil seine auf der Webseite des Verbands veröffentlichte Mailadresse im Zusammenhang mit der "Robinsonliste" genannt wird - Mailadresse diene bloß für Fachverbandsmitglieder, nicht für Beschwerden von Konsumenten Entscheidung - kein Schutzinteresse, da Adresse von Betroffenen selbst mehrfach veröffentlicht wurde und ein sachlicher Zusammenhang zwischen der Robinsonliste, die in den Verantwortungsbereich des Fachverbands fällt und dem Obmann besteht  DSGVO aus dem OGH-Urteil 6 Ob 167/06m: "Es entspricht aber ebenso ständiger Rechtsprechung, dass der Schutz der Privatsphäre auf der einen Seite mit dem Informationsinteresse der Allgemeinheit und dem Schutz der Meinungsäußerungsfreiheit auf der anderen Seite abzuwägen ist; das Informationsbedürfnis der Öffentlichkeit wird dabei zur Verneinung der Rechtswidrigkeit einer Namensnennung führen, wenn der Namensträger selbst sachlichen Anlass zur Nennung gegeben hat (1 Ob 36/86 = SZ 59/182 ua). Ob tatsächlich ein solcher Anlass gegeben war, ist ebenso Einzelfallbeurteilung wie das Ergebnis der Interessenabwägung (vgl 6 Ob 306/98p = EFSlg ; 6 Ob 42/05b)." "Nach den Feststellungen der Vorinstanzen waren die private Handynummer und die private -Adresse des Klägers auf den jedermann zugänglichen Websites der Wirtschaftskammer Österreich ersichtlich; Publikationen des Klägers enthielten - zumindest fallweise - ausdrückliche Aufforderungen zur Kontaktaufnahme. Für einen unbeteiligten Betrachter und jeden Konsumenten entstand dadurch der Eindruck, der Kläger als Obmann des Fachverbands Werbung und Marktkommunikation lade auch ihn in Belangen des Fachverbands zur Kontaktaufnahme ein; zu diesen Belangen gehört auch die Führung der Robinsonliste." "Berücksichtigt man den von den Vorinstanzen festgestellten Umgang des Klägers mit seiner privaten Handy-Nummer und seiner privaten -Adresse, sind allerdings keine derartigen überwiegenden schutzwürdigen Geheimhaltungsinteressen erkennbar. Der Kläger argumentiert selbst auch lediglich damit, dass „massenweise übermittelte E- mails von Antragstellern an eine öffentliche Einrichtung nichts im Privathaushalt eines Funktionärs zu suchen" hätten; zur Interessenabwägung nimmt er inhaltlich jedoch nicht konkret Stellung." (RIS-Rechtssatz) ARGE DATEN

142  DSK K121.224 ("Nationalrat, Parlament") ARGE DATEN
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Abgrenzung Zuständigkeit DSK K ("Nationalrat, Parlament") Ausgangslage - im Zuge einer parlamentarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt - Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht Entscheidung - keine Zuständigkeit der DSK/DSB gegeben - DSK/DSB nur bei Vollziehung der Gesetze ("öffentlicher Bereich" § 5 DSG 2000) und - teilweise - für private Datenverarbeiter zuständig - Datenschutzverletzung betrifft Gesetzgebung für Gesetzgebung, aber auch Justiz keine Zuständigkeit des DSG 2000, Gerichte haben jedoch vergleichbare Bestimmungen im GOG  DSGVO § 5 DSG Öffentlicher und privater Bereich (1) Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden. (2) Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber, 1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder 2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind. (3) Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes. ebenfalls relevant: DSK K /005-DSK/ Aufnahme eines unvollständig anonymisierten Beschlusstextes (Urteil) in die RIS-Datenbank OGH-Urteil 9ObA116/98v - Im Urteil wird die Mobiltelefonnummer vollständig angegeben Weitere Beispiele: NR-Abgeordneter veröffentlicht (nicht anonymisiert) Brief einer Frau auf seiner Homepage ARGE DATEN

143  ARGE DATEN Entscheidungen zur Privatsphäre
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Entscheidungen zur Privatsphäre Videoüberwachung Konkurrent OGH 8Ob108/05y Ausgangslage - für die Zustellung einer Klage war festzustellen, ob sich der Beklagte regelmäßig an einer bestimmten Adresse (Haus der Mutter) aufhielt - vor dem Haus wurde in einem parkenden Auto eine versteckte Kamera installiert, die Hauseingang und Garagenzufahrt filmte (von öffentlichen Flächen einsehbar) OGH-Entscheidung - Anliegen grundsätzlich legitim, Videoüberwachung trotzdem unzulässig - Videoüberwachung jedoch überschießend, gelindere Mittel sind vorzuziehen, auch wenn sie Zusatzkosten verursachen - spricht von "Überwachungsdruck" durch automatisierte Aufzeichnung - Privatsphäre auch im öffentlichen Raum gegeben - Problem der unbeteiligen Dritten - unerheblich, wieviel Personen tatsächlich Einschau in Aufzeichnungen nehmen Rechtssatz zu OGH 8Ob108/05y "Systematische, verdeckte, identifizierende Videoüberwachung stellt immer einen Eingriff in das geschützte Recht auf Achtung der Geheimsphäre dar. Die Videoaufzeichnung ist identifizierend, wenn sie auf Grund eines oder mehrere Merkmale letztlich einer bestimmten Person zugeordnet werden kann. Steht ein Eingriff in die Privatsphäre fest (hier: durch systematische, identifizierende Videoüberwachung), trifft den Verletzer die Behauptungs- und Beweislast dafür, dass er in Verfolgung eines berechtigten Interesses handelte und dass die gesetzte Maßnahme ihrer Art nach zur Zweckerreichung geeignet war. Entspricht er dieser Behauptungs- und Beweislast, kann der Beeinträchtigte behaupten, dass die Maßnahme nicht das schonendste Mittel zur Zweckerreichung darstellt. Stellt sich dabei heraus, dass die Maßnahme nicht das schonendste Mittel war, erübrigt sich die Vornahme einer Interessenabwägung."  DSGVO ARGE DATEN

144 Verwendung von Daten für Wissenschaft und Forschung (§ 46)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) - Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind - effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: - öffentlich zugängliche Daten (Abs. 1 Z 1) - Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) - indirekt personenbezogene Daten (Abs. 1 Z 3) - gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) - mit Zustimmung des Betroffenen (Abs. 2 Z 2) - Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3) DA's für wissenschaftliche und statistische Zwecke liegen dann vor, wenn die Ergebnisse nicht personenbezogen sind (Abs. 1)‏ Genehmigung durch DSB (Abs. 2 Z 3) , wenn folgende Bestimmungen gemeinsam zutreffen: + Einholung der Zustimmung des Betroffenen unmöglich/unwirtschaftlich und + öffentliches Interesse der Verwendung ist gegeben und + fachliche Eignung des Antragstellers ist gegeben Es dürfen auch sensible Daten verwendet werden (!)‏ - wichtiges öffentliches Interesse der Verwendung ist gegeben und - verwendende Personen unterliegen gesetzlicher Verschwiegenheitspflicht Sonstige rechtliche Verwendungsbeschränkungen, wie etwa urheberrechtliche Beschränkungen können durch eine Genehmigung der DSB nicht aufgehoben werden. Auch bei berechtigter wissenschaftlicher/statistischer Verarbeitung muss der Personenbezug ab dem Zeitpunkt entfernt werden, ab dem dieser nicht mehr für die Verarbeitung notwendig ist. ARGE DATEN

145 Verwendung von Daten für Wissenschaft und Forschung (§ 46) II
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK/DSB DSK , K /002-DSK/2001: "Das öffentliche Interesse an der Durchführung eines Forschungsauftrages kann durch die Förderung durch Stellen des Bundes, eines Landes und einer Gemeinde als gegeben angenommen werden." (RIS)‏ DSK , K /003-DSK/2003: "Die Datenschutzkommission erteilt gemäß § 46 Abs 3 Datenschutzgesetz 2000, BGBl I Nr. 165/1999 idF BGBl I 136/2001 (DSG 2000), die Genehmigung zur Verwendung personenbezogener Daten des Hauptverbands der Sozialversicherungsträger der gewerblichen Wirtschaft ( in der Folge: SVA) und der Gebietskrankenkassen für Zwecke der wissenschaftllichen Forschung und Statistik nach Maßgabe der folgenden Bedingungen und Auflagen: 1) Die Verwendung ist nur für Zwecke der Durchführung der sozialwissenschaftlichen Grundlagenstudie mit dem Titel 'Leiharbeit und neue selbständige in Österreich' in Auftrag gegeben vom Bundesministerium für Wirtschaft und Arbeit (in der Folge: BMWA) zulässig..... 5) Die vorliegende Genehmigung zur Datenverwendung umfasst nicht die allfällige Übermittlung einschließlich der Veröffentlichung von Forschungsergebnissen in personenbezogener Form; dies gilt auch für die Übermittlung solcher Daten an den zivilrechtlichen Auftraggeber des gegenständlichen Forschungsprojekts. Eine derartige Verwendung von Daten ist nur zulässig, wenn sie im konkreten Einzelfall den Bestimmungen des 2. Abschnitts des DSG entspricht. Die Übermittlung der verwendeten Daten in personenbezogener Form allein auf der Grundlage einer allfälligen vertraglichen Vereinbarung mit dem zivilrechtlichen Auftragsgeber des Forschungsprojekts ist nicht zulässig.."(RIS)‏ DSK K /3-DSK/00: "Die Durchführung von Forschungen zum Thema der Zwangsarbeit in der NS-Zeit liegt in einem wichtigen öffentlichen Interesse, insbesondere da die Erforschung und objektive Aufarbeitung der NS-Vergangenheit dem Ansehen Österreichs in der Welt nützlich sein wird." (RIS)‏ ARGE DATEN

146 Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei"
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen. OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte) DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt. Ein Gutachten, das darin auf Grund bestimmter individueller Umstände, wie hier einer Stellenbewerbung der im Akt beschriebenen Person, einliegt, enthält wiederum im wesentlichen schriftlich niedergelegte, eigenständige Schlussfolgerungen des Sachverständigen, die definitionsgemäß weder strukturiert noch ihrem (Daten-) Inhalt nach vorhersehbar sein müssen. DSK K /015-DSK/2003 ("Indexdatei der Polizei") "Die Datensammlung bei Namensakten ist nach dem Suchbegriff "Anfangsbuchstabe des Familiennamens" geordnet und weist eine durch die KanzlO-BG vorgegebene innere Struktur in der Form auf, dass innerhalb der Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet sind, die sich auf ein und denselben Betroffenen beziehen...(RIS)‏ Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet OGH 6Ob148/00h "Obwohl das Gesetz dies weder im § 1 DSG idgF noch in den Begriffsbestimmungen des § 4 DSG ausdrücklich zum Ausdruck bringt, ist es nach der systematischen und teleologischen Interpretation nicht zweifelhaft, dass das Recht auf Datenschutz gemäß § 1 leg cit nur solche personenbezogenen Daten betreffen kann, die in einer Datei aufscheinen, also nach der gesetzlichen Begriffsdefinition in einer strukturierten Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind." (RIS)‏ ARGE DATEN

147 Die wichtigsten Begriffe (§ 4 DSG Z ...)
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden Z 10 Ermitteln: gestrichen Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) ARGE DATEN

148 Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken"
17. Oktober 2017 DSG Grundlagen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Entscheidung zu DSG 2000 § 7 DSK K /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden Die DSK/DSB geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird. Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK/DSB unzulässig. Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar sein Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken" DSK K /8-DSK/00 "Ein ehemaliger Patient einer öffentlichen Krankenanstalt erhob Beschwerde, weil seine, aus dem ADV-Aufnahmebuch der Krankenanstalt stammenden Daten zur Versendung eines Spendenaufrufs an ihn selbst verwendet worden waren. Die Verwendung der Daten 'Name' und 'Adresse' des Patienten zum Zweck eines Spendenaufrufs (für eine Spendenaktion im Rahmen des Krankenhauses, deren Erlös zum Wohl der Patienten verwendet werden soll) erfolgt zu einem - mit dem Zweck der ursprünglichen Ermittlung der Daten kompatiblen - und der ursprünglichen Datenverarbeitung angelagerten Zweck, nämlich der Verwendung im Rahmen einer Art 'Eigenwerbung' der Krankenanstalt." (RIS)‏ ARGE DATEN

149 17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Spezialregelungen Bereitstellung von Adressen zu Verständigungs- /Befragungszwecken [inkl. Werbung] (§ 47) Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND - Verwendung der Daten desselben Auftraggebers (Z 1) oder - bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder - der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b) Weitere Möglichkeiten mit Genehmigung der DSB Verwendungsbeschränkung der Adressen! Löschungspflicht (!) nach Verwendung Grundsätzlich bedarf auch die Übermittlung der Adressdaten der Zustimmung des Betroffenen Adressdaten sind keine "freien" Daten, es gelten die Verarbeitungsvoraussetzungen des DSG 2000 Grundsätzliche Verwendungs- und Übermittlungsmöglichkeiten: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen und Verwendung der Daten desselben Auftraggebers (Z 1) oder bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b)‏ Weitere Verwendungsmöglichkeiten mit Genehmigung der DSB (Abs. 3) - Benachrichtigung/Befragung im Interesse des Betroffenen (Z 1) - bei wichtigem öffentlichen Benachrichtigungsinteresse (Z 2) - zu wissenschaftlichen bzw. statistischen Zwecken (Z 3)‏ Verwendungsbeschränkung der Daten: Die Verwendung ist zulässig nur für den Benachrichtigungs/Befragungszweck! ARGE DATEN

150 Organisationsänderungen der Aufsichtsbehörde
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Aufsicht - Organisationsnovellen Organisationsänderungen der Aufsichtsbehörde - Schaffung des Bundesverwaltungsgericht BVwG, Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle ) - Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH Rs C-614/10, DSG-Novelle ) - Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014) Konsequenzen - Mit wird aus bisheriger "Datenschutzkommission" Datenschutzbehörde Entscheidungen als Verwaltungsbehörde (+Beirat) - BVwG wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat - Kommission (bis ) und Behörde (ab ) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder - ARGE DATEN

151 Möglichkeiten der Kontrolle durch DSB:
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG Kontrollbefugnisse Möglichkeiten der Kontrolle durch DSB: (a) vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b) bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen ("Ombudsverfahren" § 30) (c) Im Zuge von Beschwerdeverfahren Betroffener (§ 31, 31a) (d) DSB kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: § 22a) [Gesetzgeber hofft laut EB zu Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für DSB geschaffen zu haben] - ARGE DATEN

152 Warum Datenschutzbeauftragter (DSB) ?
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy Datenschutzbeauftragter Warum Datenschutzbeauftragter (DSB) ? - derzeit gesetzlich nicht verpflichtend vorgesehen - freiwillig kann ein Datenschutzbeauftragter von Organisationen immer eingerichtet werden - Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird die Haftung (bei ausreichender Ausstattung des DSB) reduziert sein - EU-weit geht Trend zum Datenschutzbeauftragten - DSG-Novelle 2012 plante freiwilligen DSB, bei Entfall von Registrierungspflichten Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden, wurde letztlich nicht umgesetzt Aus dem Entwurf der DSG-Novelle 2012 (derzeit umgesetzt): Ausnahmen von der Meldepflicht: § 17 .. Abs. 7. der Kontrolle eines an die Datenschutzkommission gemeldeten Datenschutzbeauftragten (§ 17a) für die Dauer seiner aufrechten Bestellung unterliegen. Datenschutzbeauftragter § 17a. (1) Auftraggeber (§ 4 Z 4) können eine natürliche Person für einen Zeitraum von mindestens drei Jahren zum Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Der Datenschutzbeauftragte darf in Erfüllung seiner Aufgaben nicht gekündigt oder sonst benachteiligt werden. (2) Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach der Art der verwendeten Daten und dem Umfang und Zweck der Verwendung. (3) Der Auftraggeber hat umgehend nach der Bestellung den Namen und die beruflichen Kontaktdaten der zum Datenschutzbeauftragten bestellten Person sowie die Dauer der Bestellung der Datenschutzkommission mitzuteilen. Von der Datenschutzkommission ist eine Liste der Auftraggeber, welche Datenschutzbeauftragte bestellt haben, mit den zugehörigen Namen, den beruflichen Kontaktdaten der bestellten Personen und der Dauer der Bestellung im Internet zur allgemeinen Einsichtnahme zu veröffentlichen und aktuell zu halten. (4) Der Datenschutzbeauftragte hat die Einhaltung der Vorschriften dieses Bundesgesetzes beim Auftraggeber zu überwachen und ein Verzeichnis der Datenanwendungen des Auftraggebers zu führen, in welches betroffene Personen auf Verlangen Einsicht nehmen können, und auf diese Weise sicherzustellen, dass die Rechte der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. Weiters hat er den Auftraggeber, die Bediensteten oder die Arbeitnehmer und die Personalvertretung oder den Betriebsrat in Belangen des Datenschutzes zu beraten. Betroffene können sich jederzeit an den Datenschutzbeauftragten wenden. ARGE DATEN

153 nicht umgesetzt Datenschutzbeauftragter (§ 17a Entwurf 2012)
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy aus dem Entwurf einer DSG Novelle aus 2012 Datenschutzbeauftragter (§ 17a Entwurf 2012) - kann freiwillig eingesetzt werden, bei Einsetzung Entfall der Meldepflichten - muss natürliche Person sein, Mindestbestelldauer von 3 Jahre, Wiederbestellung möglich - Auftraggeber hat notwendige Mittel bereit zu stellen, im ersten Jahr sind mindestens 40 Stunden der Arbeitszeit für Ausbildung bereit zu stellen, danach 20 Stunden pro Jahr - muss Datenschutzkommission gemeldet werden, ist weisungsfrei - kann nicht gekündigt werden, Enthebung nur möglich, wenn Pflichten nicht erfüllt werden können - Fachkunde erforderlich, obliegt Dokumentationspflichten und Überwachung der Einhaltung der DSG-Vorschriften - Datenschutzverletzungen sind vom DSB zu beheben, wo das nicht geht, ist der Auftraggeber zu informieren nicht umgesetzt Aus dem Entwurf der DSG-Novelle 2012 (nicht umgesetzt): „Datenschutzbeauftragter § 17a. Fortsetzung (5) Der Datenschutzbeauftragte ist vom Auftraggeber über das Vorhaben, neue Datenanwendungen einzusetzen, rechtzeitig zu unterrichten. Wird ihm ein Verdacht einer Verletzung datenschutzrechtlicher Vorschriften bekannt, hat er auf die Herstellung eines rechtmäßigen Zustandes hinzuwirken. Ist ihm dies aus Eigenem nicht möglich, hat er den Auftraggeber von dem Verdacht in Kenntnis zu setzen. (6) Der Auftraggeber hat den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. (7) Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er hat jedoch datenschutzbezogene Anregungen entgegenzunehmen und die Ablehnung von Anregungen zu begründen. (8) Dem Datenschutzbeauftragten sind im ersten Jahr seiner ununterbrochenen Tätigkeit zumindest 40 Stunden und in jedem folgenden Jahr zumindest 20 Stunden an Arbeitszeit zum Erwerb von Fachkenntnissen und zur Fort- und Weiterbildung auf dem Gebiet des Datenschutzes zur Verfügung zu stellen. Die Kosten für die erforderliche Fort- und Weiterbildung sind vom Auftraggeber zu tragen. (9) Der Datenschutzbeauftragte unterliegt dem Datengeheimnis (§ 15). Er ist insbesondere zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (10) Die Bestellung des Datenschutzbeauftragten lässt die Verantwortung des Auftraggebers für die Einhaltung der Bestimmungen dieses Bundesgesetzes unberührt.“ ARGE DATEN

154 DSG-Strafbestimmung als totes Recht?
17. Oktober 2017 DSG Strafbestimmungen Hans G. Zeger, Datenschutz Grundlagen Von der Datenschutzbürokratie zur Privacy Policy DSG-Strafbestimmung als totes Recht? Anzeigen Gerichtsverfahren Urteile BAZ 20 ST 11 BG 13 LG 0 BAZ+ST BAZ 5 ST Quelle: Auskünfte des BMJ auf parlamentarische Anfragen BAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden Verurteilungen nach dem DSG 2003 LG Linz Freiheitsstrafe über 1 bis 3 Monate 2004 LG Feldkirch teilbedingte Verurteilung 2009 LG für Strafsachen Wien Geldstrafe über 60 bis 120 Tagessätze BAZ - ST - BG - LG 1 Urteile BG 10 LG 1 ARGE DATEN