PPT Juranek 2 - unternehmensrecht.univie.ac.at · CMS Reich-Rohrwig Hainz Das CMS-Netzwerk - 70 Standorte in 39 Jurisdiktionen - ca. 4.500 Juristen und 7.500 Mitarbeiter - Führende

CMS Reich-Rohrwig Hainz

EU-Datenschutz-Grundverordnung

Dr. Johannes Juranek, Partner

1

CMS Reich-Rohrwig Hainz 2

Über CMS


CMS Rechtsanwaltskanzleien

3


Das CMS-Netzwerk

-  70 Standorte in 39 Jurisdiktionen -  ca. 4.500 Juristen und 7.500 Mitarbeiter -  Führende Position von CMS in Zentral- und Osteuropa

•  150 Juristen •  Standorte: Wien, Belgrad, Bratislava, Brüssel, Kiew, Ljubljana,

Sarajevo, Sofia, Zagreb, Podgorica, Istanbul

4


Unsere Klienten profitieren von

-  integrierte, transnationale Anwaltsdienstleistung -  einheitliche Standards -  höchste Qualitätsmaßstäbe -  zentraler Ansprechpartner -  preisangemessene Honorargestaltung

5


Datenschutz - Compliance ist für Sie von Relevanz, weil

-  die Gesetze und die Regelungsdichte immer strenger werden…; -  das Bewusstsein, dass Daten ein heikles Gut darstellen steigt…; -  die „Klagefreudigkeit“ steigt (Stichwort „..es muss einen Schuldigen

geben…“) -  die „Schuldigen“ straf- und zivilrechtlich haften können….; -  eine IT Landschaft und eine IT Organisation, die den Compliance

Anforderungen entspricht, einen Wettbewerbsvorteil darstellen…;

6


Die EU-Datenschutz-Grundverordnung

7


Das neue Datenschutzregime der EU

-  Datenschutz-Grundverordnung („DSGVO“) – 25. Mai 2018 -  Direkt in allen Mitgliedstaaten anwendbar – ersetzt die

Datenschutzrichtlinie und nationale Durchführungsvorschriften -  Grundprinzipien weitgehend unverändert mit einigen Verbesserungen

•  Erhöhung der Datensicherheit durch: -  Laufende Überprüfung der „geeigneten technischen und organisatorischen“

Maßnahmen, ua Pseudonymisierung und Verschlüsselung -  Data Breach Notification nach US-amerikanischem Vorbild -  Prinzip der „Verantwortung“ statt Meldepflicht, einschließlich Privacy by Design,

Verarbeitungsverzeichnis und Datenschutz-Folgenabschätzung •  Größere regulatorische Risiken:

-  Erweiterung der Rechte der Betroffenen -  Weitreichendere Behördenbefugnisse ua zur Beschränkung der Verarbeitung,

Löschung und Aussetzung der Übermittlung an Empfänger in Drittländern

8


Neuerungen nach der DSGVO

-  Geänderter Anwendungsbereich -  Weitaus höhere Geldstrafen -  Verarbeitungsverzeichnis statt Meldung -  Datenschutz-Folgenabschätzung (und vorherige Konsultation) -  Privacy by Design -  Datenschutzbeauftragter -  Umfangreichere Informationspflichten -  Umfangreichere Rechte der Betroffenen -  Data Breach Notification -  Detailliertere Pflichten für Auftragsverarbeiter

9


Anwendungsbereich (Artikel 3)

-  Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters •  Datenschutzrichtlinie knüpft nur an Verarbeitung durch Verantwortlichen an

-  Ausschließlich personenbezogene Daten natürlicher Personen geschützt

-  Exterritorialer Anwendungsbereich •  Anwendung auf nicht in der Union niedergelassene Verantwortliche oder

Auftragsverarbeiter, wenn betroffene Personen sich in der Union befinden und

•  Waren oder Dienstleistungen angeboten werden; oder •  das Verhalten betroffener Personen beobachtet wird

10


Ein paar Begriffe…

Personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (‚betroffene Person‘) beziehen“

Besondere Kategorien personenbezogener Daten („sensible Daten“) „personenbezogene Daten, über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit, das Sexualleben oder die sexuelle Orientierung, sowie genetische oder biometrische Daten“

Verarbeitung „jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“

Verantwortlicher (derzeit „Auftraggeber“) „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“

Auftragsverarbeiter (derzeit „Dienstleister“) „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“

11


Rechtmäßigkeit der Verarbeitung (Artikel 6)

Verarbeitung zulässig, wenn…

…Einwilligung des Betroffenen

vorliegt

…zur Erfüllung eines Vertrags

erforderlich

…zur Erfüllung einer rechtlichen

Verpflichtung erforderlich

…zum Schutz lebenswichtiger

Interessen erforderlich

…zur Wahrnehmung

einer Aufgabe im öffentlichen Interesse

erforderlich

…zur Wahrung berechtigter

Interessen des Verantwortlichen

bzw. Dritten erforderlich

12


Einwilligung (Artikel 7)

Voraussetzungen nach der DSGVO -  Einwilligung muss freiwillig, spezifisch informiert, eindeutig (Stichwort

unmissverständliche Willensbekundung) -  Abgabe der Einwilligung in Form einer Erklärung oder sonstigen

„eindeutigen bestätigenden Handlung“ (z.B. Checkbox anklicken) -  Nachweis obliegt dem Verantwortlichen -  Ersuchen um Einwilligung muss verständlich und leicht zugänglich, in

klarer und einfacher Sprache sein -  Klare Unterscheidbarkeit der Einwilligung von sonstigen

Bestimmungen -  Erfüllung der Informationspflichten (insb Art 13 DSGVO) -  Widerruf: Belehrung über Widerrufsrecht erforderlich und Widerruf

muss so einfach möglich sein wie Einwilligung

13


Einwilligung (Artikel 7)

Checkliste: -  Falls gegeben: Angabe der Empfänger mit Name und Adresse -  Jederzeit widerrufbar (kein rückwirkender Widerruf) -  „Hervorhebung“ der Einwilligung in AGB -  Vertragsabschluss muss ohne Einwilligung möglich sein

(„Kopplungsverbot“) -  Gesonderte Einwilligungsmöglichkeiten bei verschiedenen

Verarbeitungsvorgängen -  Bei Minderjährigen: Beachtung von Art 8 DSGVO (gilt nur für Angebote

von Diensten einer Informationsgesellschaft) und im nationalen Recht festgesetzten Altersgrenze

14


Praxistipps für die Einwilligung

-  Betroffener muss seine Einwilligung aktiv geben -  Stillschweigen, angekreuzte Checkbox und Untätigkeit des Betroffenen

sind keine Einwilligungen! -  Prüfen Sie Ihre bislang verwendeten Einwilligungserklärungen –

sowohl inhaltlich als auch in welcher Form sie bislang eingeholt worden sind

-  Updaten Sie auch Einwilligungserklärungen in bestehenden Musterverträgen, Formularen, etc.

-  Prüfen Sie Ihre Datenschutzerklärung auf DSGVO-Compliance -  Bei Newsletteranmeldungen via der Website: Prüfen Sie, ob ein

Double Opt-In Verfahren notwendig ist (Stichwort: Beweispflicht des Verantwortlichen!)

-  Vorsicht bei Cookies: Prüfen Sie Ihre Cookie Policy und Cookie Zustimmungserklärung auf DSGVO-Compliance

15


Rechte des Betroffenen (Art 15-21)

-  Auskunft (Art 15) -  Berichtigung (Art 16) -  Löschung (Recht auf Vergessenwerden, Art 17) -  Einschränkung (Art 18) -  Datenübertragbarkeit (Art 20) -  Widerspruch (Art 21) -  (Recht auf Beschwerde bei der Datenschutzbehörde) 16


Recht auf Auskunft (Art 15)

-  Anlaufstelle: Unternehmen als Verantwortlicher -  Schriftform nicht erforderlich -  Kein aktiver Nachweis der Identität durch den Betroffenen notwendig

•  Nachweis nur in Zweifelsfällen erforderlich, z.B. telefonisches Ansuchen, Fantasie-E-Mail-Adresse

•  Kein Zweifelsfall, wenn z.B. Auskunftswerber Schreiben von seiner Firmen-E-Mail Adresse abschickt

-  Elektronisches Auskunftsbegehren sollte möglich sein (Art 12 Abs 3) -  Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen

(Frist kann um weitere 2 Monate ausgedehnt werden) -  Verweigerung unter Angabe von Gründen (z.B. unbegründetes

Ersuchen, Exzessivität) und der Möglichkeit, Beschwerde bei der DSB einzulegen

-  Keine Mitwirkungspflicht 17


Recht auf Auskunft (Art 15)

Umfang der Auskunft -  verarbeitete Daten -  Datenkategorien -  Verarbeitungszwecke -  Empfänger (oder Kategorien von Empfängern) -  Herkunft -  Angabe zu der verwendeten Logik, Tragweite und zu den angestrebten

Auswirkungen einer Verarbeitung -  Speicherfrist -  Weitere Betroffenenrechte -  Recht, eine Beschwerde bei der DSB einzubringen -  Bei internationalen Datentransfers: falls notwendig, die Grundlagen der

geeigneten Garantien (z.B. EU-Standardvertragsklauseln) 18


Praxistipps beim Auskunftsersuchen

-  1 Ersuchen pro Kalenderjahr ist wohl verhältnismäßig (ErwGr 63) -  Verantwortlichen trifft Beweislast, wenn er Auskunftsbegehren

verweigert -  Auskunftsbegehren generell unverzüglich beantworten; sonst Frist

kalendieren -  Bei Fristerstreckung: schriftliche Information des Betroffenen binnen

der einmonatigen Frist unter Anführung der Gründe (z.B. Komplexität des Datenbestandes)

-  Kosten: grdsl kein Anspruch auf Kostenersatz des Verantwortlichen •  Ausnahmen: (1) Betroffene verlangt mehr als eine Datenkopie oder (2)

wenn der Betroffene ein unbegründetes Auskunftsersuchen stellt oder sein Ersuchen wegen Häufigkeit exzessiv ist

•  Höhe? Verantwortlicher kann ein „angemessenes Entgelt“ für den Verwaltungsaufwand geltend machen (Art 15 Abs 3 S 2)

19


Recht auf Löschung (Vergessenwerden, Art 17)

-  Unterschiede zur bisherigen Rechtslage (DSG 2000) halten sich in Grenzen

-  Neuerungen -  Beweislast nicht geregelt (DSG 2000: Auftraggeber) -  Identitätsnachweis nur in Zweifelsfällen (telefonisch, Fantasie-E-Mail-

Adresse) -  Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen

(Frist kann um weitere 2 Monate ausgedehnt werden) -  Verweigerung der Löschung (Art 17 Abs 3): Speicherung ist notwendig

z.B. zur -  Ausübung des Recht auf freie Meinungsäußerung und Information -  Erfüllung einer rechtlichen Verpflichtung

•  Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen

•  Exzessivität

20


Recht auf Löschung (Vergessenwerden, Art 17)

-  Daten, die zu löschen sind -  Pflicht, alle personenbezogenen Daten des Betroffenen -  Widerspruch zu Antwortschreiben nach Löschung der Daten (E-Mail-

Adresse und/oder Anschrift des Betroffenen wird jedenfalls benötigt werden, um ihn über die Löschung zu informieren

-  Lösung: „To-Do Liste“ vor Ablauf der Frist anfertigen -  Information allfällige Empfänger über das Löschungsbegehren (nur bei

veröffentlichten Daten) -  Information des Betroffenen, dass dem Löschbegehren

nachgekommen werden kann -  Bestätigungsschreiben der durchgeführten Maßnahmen -  Löschung aller personenbezogenen Daten nach Erfüllung der oben

genannten Schritte

-  Ziel: Nach Fristablauf Negativauskunft

21


Praxistipps für das Löschungsbegehren

-  Unternehmen sollte dem Löschungsbegehren möglichst rasch nachkommen

-  Frist: unverzüglich, jedoch spätestens binnen 1 Monat nach Einlangen (Frist kann um weitere 2 Monate ausgedehnt werden)

-  Mitteilungspflicht des Unternehmens gg anderen Verantwortlichen über das Löschungsbegehren (nur bei veröffentlichten Daten)

-  Antwortschreiben: Information des Betroffenen über die durchgeführte Maßnahme

-  Kostenersatz nur bei Exzessivität (Grundsatz: „angemessenes Entgelt“ für den Verwaltungsaufwand)

22


Zusammenfassung des Rechts auf Auskunft und Löschung

23

Auskunft Löschung (Vergessenwerden)

Form Kein Formzwang Kein Formzwang

Identitätsnachweis Nachweis nur in Zweifelsfällen

Nachweis nur in Zweifelsfällen

Frist Max. 1 Monat bzw. Frist kann um weitere 2 Monate ausgedehnt werden

Unverzüglich, max. 1 Monat bzw. Frist kann um weitere 2 Monate ausgedehnt werden

Beweislast Beweislast nur bei offenkundig unbegründeten/exzessiven Begehren

Nicht geregelt

Kosten Grdsl nicht Grdsl nicht

Mitwirkungspflicht Nein

Verweigerung Zulässig (wenn begründet)

Zulässig (wenn begründet)


Datenschutzbeauftragter (Artikel 37-39)

Für Verantwortliche und Auftragsverarbeiter zwingend, wenn: -  Behörde oder öffentliche Stelle; oder -  Kerntätigkeit in umfangreicher regelmäßiger und systematischer

Überwachung besteht; oder -  Kerntätigkeit in umfangreicher Verarbeitung besonderer

Datenkategorien oder strafrechtlicher Daten besteht

24



-  Unterrichtung, Beratung und Überwachung der Einhaltung des Datenschutzes

-  Unabhängige geschützte Position, direkt der obersten Führungsebene unterstellt

-  Zentraler Datenschutzbeauftragter im Konzern zulässig -  Interne oder externe Bestellung möglich -  Kein Interessenkonflikt (z.B. Inkompatibilität von Geschäftsführer und

Datenschutzbeauftragtem) Checkliste: -  Besteht Ernennungspflicht für mein Unternehmen? -  Gegebenenfalls Anpassung der Unternehmensstruktur -  Ernennung 25



Gründe zur freiwilligen Ernennung eines Datenschutzbeauftragten -  Zentraler Kompetenzträger in Sachen Datenschutz im Unternehmen -  Kann Strukturen schaffen, um den Datenschutz im Unternehmen zu

verankern -  Kann weitere Aufgaben übernehmen

•  z.B. die Führung des Verzeichnisses von Verarbeitungstätigkeiten -  Ansprechperson für Kunden, Mitarbeiter, Betriebsrat und gegenüber

der Aufsichtsbehörde -  Strafmilderungsgrund

26


Übermittlungen in Drittländer (Artikel 44-50)

-  Datenübermittlung in Drittländer ist grundsätzlich verboten •  Ausnahmen: Einwilligung, Vertragserfüllung ua

-  Feststellung der Kommission, dass Drittstaat ein adäquates Datenschutzniveau hat

-  Standarddatenschutzklauseln (Kommission oder Aufsichtsbehörde) -  Interne Datenschutzvorschriften (Binding Corporate Rules) -  Verhaltensregeln (Code of Conduct) und Zertifizierungsmechanismen -  Bei Vorliegen „geeigneter Garantien“ keine Genehmigung der

Aufsichtsbehörde für Übermittlung in Drittland -  Bereits erteilte Genehmigungen bleiben aufrecht

Checkliste: -  Rechtsgrundlage bestehender Übermittlungen/Überlassungen prüfen -  Genehmigung der Datenschutzbehörde einholen (Rechtssicherheit) 27


Verarbeitungsverzeichnis Artikel 30

28


Erste Schritte zum Verarbeitungsverzeichnis (Artikel 30)

-  Schritt I: Datenbestand prüfen •  Datenschutzerklärung •  Sicherheitsmaßnahmen •  Antworten auf Kundenanfragen •  Data Breach Notification •  Compliance Maßnahmen, etc.

-  Schritt II: „Datamapping“

29


Prüfung des Datenbestandes

-  Dateninventur -  Ein Verzeichnis aller personenbezogenen Daten und dazugehörigen

Informationen einer Gesellschaft -  Dazu gehören:

•  Art der personenbezogenen Daten •  Erhebung •  Verarbeitung •  Transfers •  Aufbewahrung, etc.

30


Datamapping

-  Aufzeichnung aller Verarbeitungstätigkeiten und Datenflüsse im Unternehmen

-  Ersetzt Meldung nach dem DSG 2000 -  Häufige Fehler beim Erstellen

•  Das Verzeichnis der Verarbeitungstätigkeiten wird nicht entsprechend der DSGVO Anforderungen erstellt

•  Annahme, die existierenden Nachweise würden die DSGVO Anforderungen erfüllen

Erstellung des

Fragebogens

Sammlung der

Antworten Analyse der Ergebnisse

31


Datamapping

-  Schritt 1: Anhaltspunkte in der bisherigen Dokumentation suchen •  Bestandslisten (Datenanwendungen, Datenbanken) und deren Ort

definieren •  Liste von Drittauftragsdatenverarbeitern

-  Schritt 2: Verständnis für das Erheben, Verwenden und Offenlegen von personenbezogenen Daten entwickeln

-  Schritt 3: Festlegung des Zwecks •  Geschäftsprozesse: Definition des „start-to-end workflow“ über alle

Datenanwendungen hinweg, die mit diesem Geschäftsprozess verknüpft sind

•  Datenanwendungen: Definition aller Aspekte der Datenanwendungen (z.B., Cloud- oder lokale Lösung, international oder Dritter, geographische Lage, etc.), die ein Datenschutzrisiko darstellen könnten

32


Datamapping

-  Schritt 4: Involvierung anderer Abteilungen •  Frühzeitige Einbeziehung •  zB HR, Marketing

-  Schritt 5: frühzeitige Einbindung von Experten -  Schritt 6: Berichterstattung -  Schritt 7: Laufende Aktualisierung und Überprüfung auf einem

risikobasierten Zeitplan

33


Erstellung eines Verarbeitungsverzeichnisses

34

Allgemeines

Geschäftsbereich

Prozess/Aktivität

Beschreibung

System

Besitzer

Betroffene

Kategorie

Klassifikation

Sammlung

Datenquelle

Art

Verarbeitung

Zweck

Art

Rechtsgrundlage

Lokation & Hosting

Transfers

Intern/Extern/International

Empfänger

Art

Rechtsgrundlage

Verwendung besonderer Datenkategorien

Vernichtung & Aufbewahrung

Vernichtung

Archivierung

Sicherheit

Technische & Organisatorische Maßnahmen

Vorteile: -  Ausgerichtet an Geschäftsprozessen -  Ermöglicht detaillierte Erhebung der

Verarbeitungstätigkeiten im Unternehmen -  Unterstützt die Identifizierung von „Wissenslücken“

Fragen sollten sich am Lebenszyklus der Daten orientieren


Privacy by Design und Datenschutz-Folgenabschätzung Artikel 25 und 35

35


Privacy by Design (Artikel 25)

-  Privacy by Design •  „Datenschutz durch Technik“ •  Verantwortlicher hat geeignete technische und organisatorische

Maßnahmen zum Schutz der Rechte der Betroffenen zu ergreifen •  Berücksichtigung des Stands der Technik, der Implementierungskosten und

der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken

-  Privacy by Default •  „Datenschutz durch datenschutzfreundliche Voreinstellungen“ •  Geeignete Voreinstellungen, sodass nur die für den jeweiligen Zweck

erforderlichen Daten verarbeitet werden •  Bsp.: Websites

36


Datenschutz-Folgenabschätzung (Artikel 35)

-  Tools zur Abschätzung und Minimierung des Risikos für Datenschutzverletzungen

-  Obligatorisch wenn Verarbeitung voraussichtlich ein hohes Datenschutzrisiko zur Folge hat, insbesondere bei •  systematischer und umfassender Bewertung persönlicher Aspekte als

Grundlage für Entscheidungen, die Rechtswirkung gegenüber dem Betroffenen entfalten oder diesen in erheblicher Weise beeinträchtigen; oder bei

•  umfangreicher Verarbeitung besonderer Datenkategorien; oder bei •  systematischer umfangreicher Überwachung öffentlich zugänglicher

Bereiche -  Aufsichtsbehörde erstellt Liste der Verarbeitungsvorgänge mit

obligatorischer Datenschutz-Folgeabschätzung -  Verantwortlicher konsultiert Aufsichtsbehörde bei hohem Risiko, sofern

keine Maßnahmen zur Risikominimierung getroffen werden

37


Datenschutz-Folgenabschätzung-Ausnahmenverordnung

-  Ausnahmen von der Datenschutz-Folgenabschätzung für: •  Datenanwendungen, welche in der Anlage der DSFA-AV angeführt sind

(sog.“White List“), z.B.: -  Kundenverwaltung, Rechnungswesen, Logistik, Buchführung -  Personalverwaltung -  Mitgliederverwaltung -  Kundenbetreuung und Marketing für eigene Zwecke -  Videoüberwachung -  Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte,

Gesundheitsdiensteanbieter und Apotheken -  […]

•  Datenanwendungen, die gemäß § 18 (2) und § 50c (1) DSG 2000 der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im DVR registriert wurden, sowie

•  Datenanwendungen, die gemäß § 17 (2) Z 6 DSG 2000 nicht meldepflichtig waren

38


Big Data und Profiling Artikel 6 Abs. 4, Artikel 22

39


Big Data

“Big data is high volume, high velocity, and/or high variety information assets that require new forms of processing to enable enhanced decision making, insight discovery and process optimization”

Laney, 3D data management: Controlling data volume, velocity, and variety. (2001)

Zwecke: -  Zielgerichtete Werbung -  Bonitätsprüfung -  Risikobewertung -  Betrugsbekämpfung -  Kriminalistik und Terrorismusbekämpfung -  uvm

40


Big Data

Datenschutz Big Data

Monetarisierung

Profiling

Analyse

Datensammlung

Verhältnismäßigkeit

Erforderlichkeit

Zweckbindung

41


Weiterverarbeitung (Artikel 6 Abs. 4)

-  Zulässig bei Einwilligung, spezieller Rechtsgrundlage oder bei Vereinbarkeit des neuen Zwecks mit Erhebungszweck

Vereinbarkeit mit Erhebungszweck?

Verbindung zwischen Zwecken

Verhältnis zwischen Betroffenem und Verantwortlichem

Art der Daten Folgen für Betroffenen

Schutzmaßnahmen (Verschlüsselung,

Pseudonymisierung)

42


Automatisierte Entscheidungen und Profiling (Artikel 22)

-  Verbot ausschließlich automatisierter Entscheidung (inklusive Profiling), wenn diese rechtliche Wirkung entfaltet oder Betroffenen in ähnlicher Weise beeinträchtigt

-  Ausnahmen •  Vertragserfüllung, spezielle Rechtsgrundlage oder Einwilligung; jedoch •  Verarbeitung besonderer Datenkategorien grundsätzlich verboten •  „Rechtsschutz“: Darlegung des eigenen Standpunkts und

Anfechtungsmöglichkeit -  Informationspflicht über die involvierte Logik sowie die Tragweite und

die angestrebten Auswirkungen einer derartigen Verarbeitung (Artikel 15 Abs. 2 lit. g)

Checkliste: -  Datenschutz-Folgenabschätzung durchführen

43


Geldstrafen Artikel 83

44


Geldstrafen (Artikel 83)

-  Kumulationsprinzip •  Ausnahme: Verstöße betreffen den gleichen oder miteinander verbundene

Verarbeitungsvorgänge -  Bis EUR 10.000.000 oder bei Unternehmen bis zu 2 % des gesamten

weltweiten Umsatzes •  Ungültige Einwilligung von Kindern, Verstoß gegen Privacy by Design ua

-  Bis EUR 20.000.000 oder bei Unternehmen bis zu 4 % des gesamten weltweiten Umsatzes •  Verstoß gegen Grundsätze (einschließlich Einwilligung), Unzulässige

Übermittlung in Drittland ua Checkliste: -  (Rechtzeitige) Überprüfung der datenschutzrechtlichen Compliance

45

CMS Reich-Rohrwig Hainz CMS Reich-Rohrwig Hainz

Österreich – Das neue Datenschutzgesetz („DSG“)

46


Key Facts zu dem neuen DSG

-  Öffnungsklauseln in der DSGVO ermöglichen nationalem Gesetzgeber Durchführung ins nationale Recht

-  Datenschutz-Anpassungsgesetz 2018

-  Trat am 25. Mai 2018, zusammen mit der DSGVO, in Kraft

-  Schutz juristischer Personen nach DSG 2018 und ggf Widerspruch zur DSGVO?

-  Stärkung der Datenschutzbehörde als Aufsichtsbehörde zur

Überprüfung von Datenverarbeitungen mit Einschau- und Betretungsrechten

47


Wichtigste Neuerungen für Unternehmen

-  Neue Regelungen zur Bildverarbeitung (Videoüberwachung) -  Verarbeitung personenbezogener Daten im Beschäftigungskontext -  Protokollierungspflicht -  Datengeheimnisverpflichtung der Mitarbeiter -  Zusätzlich zu den DSGVO-Strafen: Verwaltungsstrafen iHv bis zu EUR

50.000, die gegen natürliche und juristische Personen zu verhängen sind

-  § 11 DSG 2018: Bei erstmaligen Verstößen erfolgt zunächst eine Mahnung durch die Datenschutzbehörde

48


Umsetzung in der Praxis

-  Datenschutzbeauftragten bestellen?

-  Möglichst vollständiges Verzeichnis von Verarbeitungstätigkeiten schaffen

-  Interne Verantwortlichkeiten klären •  Für jede einzelne Verfahrenstätigkeit •  Für vorgeschriebene Maßnahmen (data breach notification duty,

Datenschutzfolgenabschätzung)

-  Prozess-Schnittstellen schaffen (IT-Demand, IT-Betrieb, Informationssicherheit, Einkauf, Personal, …)

-  Awareness im Unternehmen schaffen

49


Ihre Ansprechpartner im Datenschutzrecht

50

Dr. Johannes Juranek Partner, Technology CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH T +43 1 40443 2450 E [email protected]

Documents

PPT Juranek 2 - unternehmensrecht.univie.ac.at · CMS Reich-Rohrwig Hainz Das CMS-Netzwerk - 70 Standorte in 39 Jurisdiktionen - ca. 4.500 Juristen und 7.500 Mitarbeiter - Führende