Embed Size (px)
Citation preview
© 2017 schoenherr 1
I
Die Zukunft der Datenübermittlung unter der DSGVO
© 2017 schoenherr 2
• Der Datenaustausch im Konzern - Erleichterung durch die DSGVO?
• Nutzung von Dienstleistern: Zulässigkeit von Cloud-Lösungen unter der DSGVO
• Internationale Datentransfers: Wie geht es weiter mit Standardvertragsklauseln, Binding Corporate Rules und dem Privacy
Shield?
Übersicht Modul III: Die Zukunft der Datenübermittlung unter der DSGVO
© 2017 schoenherr 3
Datenaustausch im Konzern
© 2017 schoenherr 4
• Art 24 = Generalnorm der Verantwortungszuweisung
• Steckt den Pflichtenkreis des Verantwortlichen ab:
• Der Verantwortliche muss die Einhaltung der DSGVO-Pflichten sicherstellen
• Geeignete technische und organisatorische Maßnahmen treffen
• Nachweis erbringen, dass Verarbeitung DSGVO konform erfolgt
• "Risked-based approach":
• Das Niveau der datenschutzrechtlichen Anforderungen ist dem Risiko
angepasst, das von der Verarbeitung ausgeht
• Die Pflichten sind umso umfangreicher, je größer die Wahrscheinlichkeit und der Grad einer möglichen Verletzung der Rechte und Freiheiten der natürlichen Person sind
Datenaustausch im Konzern Der Verantwortliche im Allgemeinen
© 2017 schoenherr 5
• Rollenbewusstsein von immenser Bedeutung
- Unterschiedliche Pflichten für Verantwortliche und Auftragsverarbeiter
• Legaldefinition dient der Festlegung der Rollen und damit der Zuweisung
von Verantwortlichkeiten
• Verantwortlicher ähnlich zum DSG 2000 (Art 4) =
- Die natürliche oder juristische Person […], die
» allein oder
» gemeinsam mit anderen über
» die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten
» entscheidet
Datenaustausch im Konzern Der Verantwortliche im Allgemeinen
© 2017 schoenherr 6
• Sachbezogener funktioneller Ansatz, ob mehrere Akteure über Zweck und
Mittel entscheiden
• Zweckfestlegung – wer? alleine/gemeinsam?
• Auswahl der Mittel – wer? alleine/gemeinsam?
• Gleiche "shares" sind nicht erforderlich:
- Auch minimaler Beitrag bei der Bestimmung des "Warum" (Zweck) oder
des "Wie" (Mittel) reicht für die Begründung der Verantwortlichkeit
• Risiko: ein Verantwortlicher "verlässt" sich auf den anderen
• Abhilfe: Art 26 Z 1 verlangt Vereinbarung "in transparenter Form"
Datenaustausch im Konzern Gemeinsam für die Verarbeitung Verantwortliche
© 2017 schoenherr 7
• Vertrag sollte klar und deutlich festlegen:
- Wie jeder Verantwortliche an der Entscheidung über Zweck und Mittel
bzw an einzelnen Schritten mitwirkt
- Welche Pflichten welchen Verantwortlichen treffen
- Tatsächlichen Funktionen und Beziehungen zueinander und gegenüber
den Betroffenen
• Vereinbarung in "transparenter Form" = Schriftformgebot?
- Transparenzgebot isd Art 5:
» präzise, leicht zugänglich und verständlich
» sowie in klarer und einfacher Sprache abgefasst
Datenaustausch im Konzern Vereinbarung "in transparenter Form"
© 2017 schoenherr 8
• Art 26 Abs 2 2. Satz sieht vor, dass den Betroffenen "das Wesentliche der
Vereinbarung" zur Verfügung zu stellen ist
• Grundsätzliche Möglichkeit die DSGVO-Verpflichtungen aufzuteilen
• Wahrheitsgebot gem Art 26 Abs 2 :
- Aufteilung muss die Funktionen und Beziehungen wahrheitsgetreu
widerspiegeln
• (Theoretisch) Möglichkeit zentrale Anlaufstelle für Betroffene zu schaffen
• Aber: Vollständige Zuteilung nicht möglich
Betroffenenrechte können gegenüber jedem Verantwortlichen
geltend gemacht werden (Art 26 Abs 3)
Jeder Verantwortliche haftet dem Betroffenen für gesamten
Schaden
Datenaustausch im Konzern Vereinbarung "in transparenter Form"
© 2017 schoenherr 9
• Gesamtschuldnerische Haftung im Außenverhältnis
Art 82 Abs 2: Joint Controller bilden ex lege eine Haftungs-
gemeinschaft
"…damit ein wirksamer Schadenersatz für den Betroffenen
sichergestellt ist" (Art 82 Abs 4)
• Ausgleich im Innenverhältnis:
Haftungsregress zwischen schadenersatzleistenden Verantwortlichen und anderen Verantwortlichen:
Ausgleichsanspruch nach Kausalität und Verschuldensgrad
im Zweifel: nach Köpfen
• Unabhängig davon: Bußgeld (bis zu EUR 10 Mio / 2%)
Datenaustausch im Konzern Haftung
© 2017 schoenherr 10
Sorgsame Auswahl anderer Mit-Verantwortlicher
Transparente Vereinbarung sollte immer maßgeschneidert sein
Vereinbarung sollte sich an den Vorgaben des Art 12 (Informationspflichten)
orientieren
Informationen können in Datenschutzerklärungen gem Art 13 bzw 14
aufgenommen werden
Klare Vertragsstruktur um nur "das Wesentliche" offenlegen zu müssen:
Datenschutz gegenüber Betroffenen
Datenschutz "intern"
"Commercials"
…
Datenaustausch im Konzern Praxistipp:
© 2017 schoenherr 11
Nutzung von Auftragsverarbeitern
© 2017 schoenherr 12
• Art 28 ermöglicht dem Verantwortlichen die Datenverarbeitung im
Auftrag vornehmen zu lassen (Dienstleister).
• Begriff des Auftragsverarbeiters in Art 4 Z 8 definiert als: " eine
natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, die personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet. "
• Weiters wird in Art 28 geregelt:
- Begründung der Auftragsverarbeitung und
Rechtmäßigkeitsvoraussetzungen (Auswahlverantwortung)
- Unterauftragnehmer in der Verarbeitungskette
- Umfangreiches Pflichtenprogramm für Auftragsverarbeiter
Nutzung von Auftragsverarbeitern Allgemeines zum Auftragsverarbeiter
© 2017 schoenherr 13
• Auftragsverarbeiter muss dafür Sorge tragen, dass die Verarbeitung
aufgrund geeigneter technischer und organisatorischer Maßnahmen
erfolgt und der Schutz der Betroffenenrechte gewährleistet wird.
• Die Einhaltung genehmigter Verhaltensregeln oder eine Zertifizierung
iSd Art 42 können als Faktor für die Auswahlverantwortung
herangezogen werden.
• Fortwährende Überprüfungspflicht des Verantwortlichen
(Dauerpflicht) Geldbuße bis zu EUR 10 Mio oder 2% des weltweiten
Jahresumsatzes.
Nutzung von Auftragsverarbeitern Auswahlverantwortung
© 2017 schoenherr 14
• Grundlage der Auftragsverarbeitung ist ein schriftlicher Vertrag, der die Auftragsverarbeitung konkretisiert.
- Bindung des Auftragsverarbeiters an den Verantwortlichen (Weisungsbindung).
- Wesentliche Inhalte der Verarbeitung: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten, Kategorien der Betroffenen, Rechte und Pflichten des Verantwortlichen.
- Verpflichtung zur Vertraulichkeit bzw Verschwiegenheit.
- Sicherheitsmaßnahmen iSd Art 32: Sicherung vor unberechtigten Zugriffen
von innen und außen.
- Unterauftragsverarbeitung
- Unterstützung des Verantwortlichen bei der Wahrnehmung von Betroffenenrechten.
- Unterstützung des Verantwortlichen bei den Pflichten nach Art 32 bis 36.
- Löschung oder Rückgabe nach Ende der Auftragsverarbeitung.
Nutzung von Auftragsverarbeitern Grundlage der Auftragsverarbeitung
© 2017 schoenherr 15
Nutzung von Auftragsverarbeitern Zulässigkeit von Cloud-Diensten
© 2017 schoenherr 16
• Software as a Service (SaaS) = Teilbereich des Cloud-Computings.
• Basiert auf dem Grundsatz, dass die Software und IT-Infrastruktur bei
einem externen Dienstleister betrieben wird.
• Auftragsverarbeiter übernimmt idR die komplette IT-Administration,
Wartungsarbeiten, Updates, etc.
• Folge: Personenbezogene Daten liegen nicht mehr lokal auf den
Rechnern des Verantwortlichen, sondern in einer Cloud des
Auftragsverarbeiters.
• Vorteil: Geringeres Investitionsrisiko, Mobilität, etc.
• Nachteil: Abhängigkeit vom Auftragsverarbeiter, geringere Daten-
und Transaktionssicherheit, etc.
Nutzung von Auftragsverarbeitern Software as a Service
© 2017 schoenherr 17
• Rollenverteilung:
- Verantwortlicher = Cloud-Nutzer
- Auftragsverarbeiter = Cloud-Anbieter
• Cloud-Nutzer bleibt (als Verantwortlicher) in der Verantwortung der
Daten:
- Auswahlverantwortung
- Spezifizierung der Pflichten im Auftragsverarbeitungsvertrag
- Sonstige Grundlagen für internationalen Datentransfer außerhalb
des EWR
- Überbindung der Datenschutzpflichten an
Unterauftragsverarbeiter
Nutzung von Auftragsverarbeitern Software as a Service unter den Anforderungen der DSGVO
© 2017 schoenherr 18
• Ein Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit
Zustimmung des Verantwortlichen bestellen (Art 28 Abs 2).
- Zustimmung kann allgemein oder für jeden einzelnen
Unterauftragsverarbeiter gesondert erfolgen Achtung:
Schriftformgebot!
- Bei einer allgemeinen Zustimmung ist der Verantwortliche
jedenfalls über die Heranziehung eines Unterauftragsverarbeiters
zu informieren Einspruchsrecht des Verantwortlichen!
• Der Auftragsverarbeiter muss dem Unterauftragsverarbeiter die
gleichen vertraglichen Pflichten auferlegen:
- das betrifft nicht nur den Auftragsverarbeitungsvertrag, sondern
auch
- Standardvertragsklauseln, Einhaltung genehmigter
Verhaltensregeln, etc.
Nutzung von Auftragsverarbeitern Unterauftragsverarbeiter
© 2017 schoenherr 19
Eingehende Prüfung der AGB von Diensteanbietern Achten Sie
darauf, ob Unterauftragsverarbeiter zum Einsatz kommen sollen
(allgemeine Zustimmungsklauseln)!
Dokumentieren Sie die Überbindung der vertraglichen Pflichten an
Unterauftragsverarbeiter!
Prüfen Sie in regelmäßigen Abständen, ob geeignete
organisatorische Maßnahmen getroffen werden dynamischer
Prozess und fortlaufende Pflicht!
Nutzung von Auftragsverarbeitern Praxistipps
© 2017 schoenherr 20
Internationale Datentransfers
© 2017 schoenherr 21
• Praxisbedarf an internationalen Datentransfers:
– Datenübermittlungen, Datensharing, Datenzugriffe, etc innerhalb der Unternehmensgruppe
– Unternehmen in nahezu allen Geschäftsbereichen betroffen: Server außerhalb Österreichs, Cloud Provider (zB Microsoft Outlook), BYOD, etc.
– Datentransfer außerhalb Europas: Fiktion des unsicheren Drittlands
• Verschiedene Konzepte zur Herbeiführung eines "sicheren"
internationalen Datentransfers:
– EU-Kommissionsentscheidung: Sicheres Drittland
– EU-Kommissionsentscheidung: "Safe Harbor " (nunmehr: "Privacy Shield")
– EU-Kommissionsentscheidung: Standardvertragsklauseln
– Binding Corporate Rules
– Informierte Einzelzustimmung
Internationale Datentransfers Bestandsaufnahme
© 2017 schoenherr 22
• "Privacy Shield" :
– EuGH erklärte "Safe Harbor" für unzulässig (aufgrund mangelnder Feststellungen zum US Recht im EU-Kommissionsbeschluss)
– Reaktion: USA und Europa verstärkten die Kooperation im Rahmen der Nachfolgeregelung "Privacy Shield"
– Wie "Safe Harbor" basiert auch der "Privacy Shield" auf einem EU-
Kommissionsbeschluss
– Wirkung: Konzept der Zertifizierung, Datentransfers an "Privacy Shield" zertifizierte Unternehmen sind ohne Genehmigung möglich
– Privacy Shield Liste: https://www.privacyshield.gov/list
• Standardvertragsklauseln:
– Im Unterschied zu "Privacy Shield" keine Zertifizierung, sondern vertragliches Versprechen
– Standardvertragsklauseln basieren auf EU-Kommissionsbeschluss
– Im Unterschied zu "Privacy Shield" bedarf Datentransfer in das EU-Ausland vorab der Genehmigung der DSB auf Basis der vorzulegenden Standardvertragsklauseln
Internationale Datentransfers Praxisrelevante Konzepte
© 2017 schoenherr 23
• DSGVO regelt "Übermittlung personenbezogener Daten an
Drittländer oder an internationale Organisationen" (Art 44 bis 50
DSGVO)
• Wichtig: Begriff der "Übermittlung" erfasst jede Form der Offenlegung, auch an Dienstleister
• Konzept des "Angemessenheitsbeschlusses" wird in der DSGVO fortgetragen (Art 45)
• Falls kein "Angemessenheitsbeschluss" vorliegt: Datenübermittlung auf
aufgrund "geeigneter Garantien" erlaubt (Art 46)
• Bestehen weder ein "Angemessenheitsbeschluss" noch geeignete
Garantien, so kann die Übermittlung nur auf den gesetzlichen
Ausnahmekatalog des Art 49 gestützt werden
Internationale Datentransfers Die Regelungen der DSGVO
© 2017 schoenherr 24
• EU-Kommission kann für ein Drittland, für Gebiete eines Drittlands oder
für spezifische Sektoren in diesem Drittland die Angemessenheit beschließen (Anwendungsfälle etw Schweiz, "Privacy Shield")
• Folge: Datenübermittlungen ohne besondere Genehmigung zulässig
• Art 45 sieht umfangreiche Beschlussvorgaben für die EU-Kommission
vor
• Falls die Voraussetzungen für den Angemessenheitsbeschluss
nachträglich wegfallen sind, hat die EU-Kommission ihren
Angemessenheitsbeschluss (ohne Rückwirkung: § 45 Abs 5) zu
widerrufen (wichtig va mit Blick auf "Privacy Shield")
• Von diesem Widerruf werden Datenübermittlungen aufgrund der Art
46 bis 49 "nicht berührt"
Internationale Datentransfers Grundlage I: Angemessenheitsbeschluss
© 2017 schoenherr 25
• Praxisrelevanz:
- DSGVO anerkennt damit Parallelkonzepte für Drittländer (zB Standardvertragsklauseln)
- Etwa Absicherung des "Privacy Shield" durch zusätzlichen Abschluss von Standardvertragsklauseln möglich
- DSB sieht nach derzeitiger Rechtslage keinen Raum für
Standardvertragsklauseln neben dem "Privacy Shield"
(Antragsabweisung)
- Hinkünftig: Rechtliches Interesse ableitbar aus Art 45 Abs 7
DSGVO
- Abschluss paralleler Standardvertragsklauseln aus heutiger Sicht
empfehlenswert
Internationale Datentransfers Grundlage I: Angemessenheitsbeschluss
© 2017 schoenherr 26
• Falls kein "Drittlandbeschluss" vorliegt: Übermittlung auf Basis
"geeigneter Garantien" (Art 46 Abs 2):
– Rechtsverbindliches und durchsetzbares Dokument zwischen Behörden
– Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
– Von der EU-Kommission erlassene Standarddatenschutzklauseln
– "Bottom up": Von einer nationalen Aufsichtsbehörde angenommene Standarddatenschutzklauseln, die von der EU-Kommission genehmigt
wurden
– Genehmigte Verhaltensregeln (Art 40; Zielsetzung: KMUs)
– Genehmigter Zertifizierungsmechanismus (Art 42)
– Wirkung: Keine behördliche Genehmigung erforderlich
• Alternative "geeignete" Garantien (Art 46 Abs 3):
– Ad hoc Vertragsklauseln (keine Standarddatenschutzklauseln)
– Verwaltungsvereinbarungen zwischen Behörden
– Wirkung: Genehmigung durch die Aufsichtsbehörde erforderlich
Internationale Datentransfers Grundlage II: Geeignete Garantien
© 2017 schoenherr 27
• Standarddatenschutzklauseln (auch: Standardvertragsklauseln):
– Dürfen in ihrem Wortlaut nicht verändert werden
– Können aber in einen Gesamtvertrag eingebettet werden (zB Intra Group Agreement)
– Gesamtvertrag darf jedoch inhaltlich den Standarddatenschutzklauseln nicht
widersprechen
– Änderungen an den Standarddatenschutzklauseln = Verlust der rechtsprivilegierenden Wirkung, selbst bei einem "Mehr" an Betroffenenrechten
– Es stehen Standarddatenschutzklauseln für Datenübermittlungen an Auftragsverarbeiter und an Verantwortliche zur Verfügung
– Neu: Unter der DSGVO können auch Auftragsverarbeiter als Datenexporteure
Standarddatenschutzklauseln schließen Praxiserleichterung!
• Neu: Standarddatenschutzklauseln "bottom up":
– Von der DSB angenommen und von der EU-Kommission geprüft
– Zweck: Ergänzung der bestehenden Standarddatenschutzklauseln bei besonderem Bedarf (zB Cloud Services / Sub-Processors)
Internationale Datentransfers Grundlage II: Geeignete Garantien
© 2017 schoenherr 28
• Alternative "geeignete Garantien" - ad hoc Verträge:
– Individuelle Gestaltbarkeit, zB Cloud Lösung bei der Verantwortlicher und Auftragsverarbeiter innerhalb Europas und Sub-Processor außerhalb Europas tätig sind
– Realistischer Weise jedoch sollte in Art und Wesen Orientierung an Standardschutzklauseln stattfinden, denn:
– Genehmigung durch die DSB erforderlich
• Alternative "geeignete Garantien" – Verhaltensregeln & Zertifizierungen:
– Verhaltensregeln können zB für bestimmte Industrien (etwa Rechtsanwälte) erstellt werden
– Rechtsverbindlichkeit für den EU-ausländischen Datenempfänger muss gewährleistet sein (zB Gruppenvertrag)
– Werden von der DSB genehmigt, wirken genehmigungsbefreiend
– Ebenso: Zertifizierungskriterien, deren Rechtsverbindlichkeit bei den EU-ausländischen Datenempfängern gewährleistet werden muss
– Zertifizierung durch DSB oder akkreditierte Stelle
– Aktuell wurden noch keine näheren Regelungen hierzu erlassen
Internationale Datentransfers Grundlage II: Geeignete Garantien
© 2017 schoenherr 29
• Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules):
– Genehmigung durch zust DSB nach europaweitem Kohärenzverfahren
– DSGVO sieht detaillierte Inhaltsanforderungen vor (Art 47)
• Gesetzliche Erlaubnistatbestände (Art 49) - Auszug:
– Einwilligung der Betroffenen (nach erfolgter Risikoaufklärung)
– Übermittlung ist für Vertragserfüllung unbedingt erforderlich (auch vorvertragliche Pflichten umfasst, jedoch nur "auf Antrag" des Betroffenen)
– Datenübermittlung liegt im öffentlichen Interesse oder ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
– Datenübermittlung zum Schutz lebenswichtiger Interessen des Betroffenen, der
aus rechtlichen oder psychischen Gründen nicht einwilligungsfähig ist
– Übermittlung erfolgt aus einem öffentlichen Register
– Neu: Falls keine dieser Tatbestände erfüllt ist nicht wiederkehrende Übermittlung mit begrenzter Betroffenenzahl zu zwingenden Interessen des Verantwortlichen erlaubt, wenn Betroffeneninteresse nicht überwiegt und diese informiert wurden
– Behörde ist diesfalls zu unterrichten
Internationale Datentransfers Grundlage III: Sonstige Konzepte
© 2017 schoenherr 30
Verschaffen Sie sich einen Überblick über die Datenflüsse in Ihrem Unternehmen
Verschaffen Sie sich einen Überblick über Ihre Dienstleister (EU-Ausland? Konzernintern?)
Prüfen Sie die bisherigen Rechtsgrundlagen (Gesetz, überwiegendes Interesse, Zustimmung)
Implementieren / adaptieren Sie Ihre bestehenden Datentransfers an die
neuen Konzepte der DSGVO, etwa:
Parallelkonzept "Privacy Shield" und Standarddatenschutzklauseln
Ad hoc Verträge oder "bottom up" Standarddatenschutzklauseln
Binding Corporate Rules
[…]
Internationale Datentransfers Praxistipp
© 2017 schoenherr 31
Schönherr Privacy Academy Zeitplan auf der Roadmap 2018
Business Breakfast 15.06.2016
Modul I: 28.09.2016 Modul II: 23.11. 2016
Modul III: 01.03.2017 Modul IV: 26.04.2017
Modul V: Juni 2017
Durchgängig:
On Demand Schulungen
Mai 2018:
DSGVO findet Anwendung
Plattform zum
Erfahrungsaustausch
© 2017 schoenherr 32
Schönherr Privacy Academy Unser Team
Dr. Günther Leissler, LL.M. ist seit 2006 bei Schönherr in der Practice Group Regulatory und leitet die Datenschutzgruppe bei Schönherr. Günther Leissler berät die Mandaten von Schönherr in allen Bereichen des Telekommunikations- und Datenschutzrechts und der damit einhergehenden Unternehmenscompliance, wie etwa bei der Implementierung konzernweiter Datenbanken, bei der Erstellung webbasierter Kommunikationslösungen oder bei der Vornahme internationaler Datentransfers und er vertritt die Mandanten von Schönherr in allen damit einhergehenden behördlichen Registrierungs-, Genehmigungs-, und Beschwerdeverfahren. Er ist involviert in einschlägige datenschutzrechtliche Gesetzesvorhaben wie etwa im Bereich der Gesundheitsdatenregulierung und er begutachtet Gesetze im Datenschutzbereich für die österreichische Rechtsanwaltskammer.
Mag. Veronika Wolfbauer, LL.M. ist seit 2013 bei Schönherr in der Practice Group Regulatory und seit Mai 2016 Rechtsanwältin bei Schönherr. Sie hat sich auf die Bereiche des Datenschutzrechts, Energierechts, Glücksspielrechts sowie auf Apothekenrecht spezialisiert und verfügt über breite Erfahrung im allgemeinen öffentlichen Verwaltungs- und Verfassungsrecht.
Dr. Hannelore Schmidt ist seit 2015 bei Schönherr in der Practice Group Regulatory und seit 2016 Rechtsanwaltsanwärterin. Zuvor war sie an der Universität Innsbruck als Universitätsassistentin in Lehre und Forschung tätig. Sie legte ihre Dissertation im Bereich des Datenschutzrechtes ab und konnte durch die Betreuung mehrerer Forschungsprojekte in diesem Bereich einschlägige Erfahrung sammeln.
Thank you!
schoenherr is one of the top corporate law firms in central and eastern europe. With our wide-ranging network of offices throughout CEE/SEE, we offer our clients unique coverage in the region. The firm has a long tradition of advising clients in all fields of commercial law, providing seamless service that transcends national and company borders. Our teams are tailor-made, assembled from our various practice groups and across our network of offices. Such sharing of resources, local knowledge and international expertise allows us to offer the client the best possible service. www.schoenherr.eu
