© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 1
Dr. Thomas Schweiger, LL.M.
Webinar WKOÖ, 27.04.2018
4 Wochen bis 25.05.2018
Datenschutz-Grundverordnung (DSGVO) und Auswirkungen auf Transport & Logistik
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 2
Dr. Thomas Schweiger, LLM
RA in Linz seit 09.09.1999
zert DSBA (DATB, TÜV, CIPP/E)
vorwiegend beratend tätig
www.dataprotect.at
www.it-recht.at
t: @dataprotect_at
f: dataprotect
DSGVO –neue Herausforderungenund Grundprinzipien
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 3
DSGVO – in Geltung ab 25.05.2018(neue) Herausforderungen
ComplianceRechenschafts-verpflichtung
Nachweis-pflicht
umfassende Informations-
pflichten
Schulung & Training
Dokumen-tation
Revision & Review
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 4
Recht-mäßigkeit
Transparenz Zweck(e)Datenmini-
mierung
RichtigkeitSpeicher-
begrenzungIntegrität &
Vertraulichkeit
Grundprinzipien des Datenschutzes
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 5
Rechtmäßigkeit
„the processing shall belawful only …“ (lawfulness)
Grundsatz: die Verarbeitung ist verboten
Grundlage für die (erlaubte) Verarbeitung
02
.05
.20
18
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 6
Einwilligung
Vertrag
gesetzlicheVerpflichtung
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 7
Einwilligungen richtig gestalten
Wer / Was / Warum / Wohin?
Nachweispflicht soll erfüllbar sein (Einwilligung & Vorabinfo)
Freiwilligkeit & Kopplungsverbot
Widerrufsmöglichkeit
Anwendung: Newsletter/Marketing, Beschäftigte (?)
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 8
Mustereinwilligung………………………………………………. ………………………………………………. ……………………………………………….(Name) (Vorname) (Postadresse)………………………………………………. ………………………………………………. ……………………………………………….(Email-Adresse) (Festnetz) (Mobiltelefon)
erklärt die Einwilligung, dass die oben bekannt gegebenen Daten von XXXX zu Werbezwecken verwendet werden dürfen. Diese Einwilligung kann jederzeit widerrufen werden. Ein Widerruf kann z.B. per Email an [Email-Adresse] oder auch auf jede andere Art und Weise erfolgen. Der Widerruf gilt für die Zukunft und hat zur Folge, dass keine weiteren Zusendungen oder Kontaktaufnahmen erfolgen. Die Verarbeitung der Daten vor dem Widerruf ist nicht davon betroffen. Die Daten werden dann lediglich zum Nachweis der korrekten Abwicklung der bisherigen Tätigkeit (z.B. Dokumentation der Einwilligung, bisherige Zusendung der Werbemittel) verwendet. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.
XXXX verarbeitet die Daten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen. Nähere Informationen finden Sie [am Messestand] oder finden diese auch im Internet unter [www.[...]/Datenschutz]
………………. …………………………………………….(Datum) (Unterschrift)
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 9
Vertrag & Vertragsanbahnung
alle personenbezogenen Daten, die erforderlich sind
Vertrag mit der betroffenen Person
Verträge mit Kunden, Lieferanten, Beschäftigten …
direkte Beziehung mit der betroffenen Person
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 10
rechtliche Verpflichtung
gesetzliche (normative) Verpflichtungen des MS/Union
Arbeitsrecht (Arbeitszeit, Krankenstandsaufzeichnungen)
TachografenVO, Lenkzeiten, Ruhezeiten
steuerliche Aufbewahrungspflichten (§ 132 BAO), Zoll (?)
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 11
Was bringt die DSGVO Neues für Organisationen
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 12
Was gibt es Neues ?VV (Verz. von Verarbeitungstätigkeiten) / ROPA – Art 30
DSFA (Datenschutz-Folgenabschätzung) / (D)PIA– Art 35 ff
DSBA (Datenschutzbeauftragter) / DPO - Art 37 ff
DBN (Data Breach Notification) – Art 33 ff
Geldbußen (gg Unternehmen) – Art. 83 / §§ 11, 30 DSG
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 13
Verarbeitungsverzeichnis
ersetzt die Meldung beim Datenverarbeitungsregister (DVR) und die Standard- und Musteranwendungen
dient der internen Dokumentation im Unternehmen
ist auf Anfrage der Datenschutzbehörde vorzulegen
Ausnahme: Organisationen, die Datenverarbeitungen nur gelegentlichdurchführen
13
© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 14
Verzeichnis von Verarbeitungstätigkeiten (VV)
Inhalt:
Namen und Kontaktdaten des Verantwortlichen
Zweck(e) der Verarbeitung
Kategorien der betroffenen Personen & Daten
Kategorien der Empfänger
Löschfrist
technische u organisatorische Maßnahmen (TOMs)
Muster-Verarbeitungsvorgänge
• I-Shap
• Digi-Tacho – Anwendung TIS WEB
• Maut Go-Box
• Tankkarte
Transport-gewerbe
• Betriebsanweisungen (für diverse Unterweisungen)
• Kundenverwaltung
• Rechnungswesen
Allgemeine Verarbeitungen
• Lohnverrechnung
• MitarbeiterverwaltungPersonal
16
Muster-Verarbeitungsvorgänge17
1. Angaben zum Verantwortlichen
2. Zweckbestimmung und Rechtsgrundlagen
3. betroffene Personengruppen
4. Kategorien von Empfängern
mit Klassifizierung als intern/extern & Rechtsgrundlage für
die Übermittlung)
5. Übermittlung in Drittstaaten
6. Datenkategorien mit
Kategorisierung, Datenherkunft,
Zuweisung der Empfänger und Aufbewahrungsdauer
7. technisch-organisatorische Maßnahmen
18
1. Angaben zum Verantwortlichen Verantwortlicher im eigenen Unternehmen
Vertreter:
Kontakt
Kontakt
Tel.-Nr.
Tel.-Nr.
Mobil.-Nr.
Mobil.Nr.
Fax
Fax
Für die Verarbeitung zuständige Abteilung:
Datenschutzbeauftragter (DSBA):
Auftragsverarbeiter:
Kontakt
Kontakt
Tel.-Nr.
Anschrift
Mobil.-Nr.
Fax
Datenschutz-Folgeabschätzung x Nicht erforderlich für dieses Verfahren
Wurde durchgeführt
19
2. Zweckbestimmung und Rechtsgrundlagen Zweckbestimmung: Verwaltung der Kunden, einschließlich des Führens von Korrespondenzen, Abwicklung von Aufträgen, Nachweis
Transportauftrag, Rechnungslegung, usw. Rechtsgrundlage(n): Art. 6 Abs.1 lit.a, b, c DS-GVO
3. Betroffene Personengruppen
Nr. Personengruppe Anmerkung
1
Kunden und deren Mitarbeiter
2
Potentielle Kunden/Interessenten
4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern sowie Art und Herkunft empfangener Daten (inklusive Auftragsverarbeitung)
Nr. Empfängerkategorie Empfänger Rechtsgrundlage für Datenübermittlung
1 Firmeneigene Mitarbeiter intern Art 6 Abs.1 lit a,b,c DS-GVO 2 Banken zur Zahlungsabwicklung extern Art 6 Abs.1 lit b DS-GVO 3 Rechtsanwälte, Gerichte zum Zweck der Rechtsdurchsetzung extern Art 6 Abs.1 lit b, f DS-GVO 4 Steuerberater extern Art 6 Abs.1 lit b,c DS-GVO 5 Behörden extern Art 6 Abs.1 lit c DS-GVO Ev weitere Empfänger je nach Unternehmen
20
4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern sowie Art und Herkunft empfangener Daten (inklusive Auftragsverarbeitung)
Nr. Empfängerkategorie Empfänger Rechtsgrundlage für Datenübermittlung
1 Firmeneigene Mitarbeiter intern Art 6 Abs.1 lit a,b,c DS-GVO 2 Banken zur Zahlungsabwicklung extern Art 6 Abs.1 lit b DS-GVO 3 Rechtsanwälte, Gerichte zum Zweck der Rechtsdurchsetzung extern Art 6 Abs.1 lit b, f DS-GVO 4 Steuerberater extern Art 6 Abs.1 lit b,c DS-GVO 5 Behörden extern Art 6 Abs.1 lit c DS-GVO Ev weitere Empfänger je nach Unternehmen
6. Datenkategorien
Nr. Datenkategorie
Be
s. Kat
Straf. Re
l.
Datenherkunft Aufbewahrungsdauer Empfänger
Name ☐ ☐ Selbstangabe zB aus steuerrechtlichen Gründen: mindestens 7 Jahre – je nach Geschäftsfall kann auch eine längere Aufbewahrung notwendig sein
1-3
Anschrift ☐ ☐ Selbstangabe Siehe oben 1-3
Elektronische Kontaktdaten (TelNr, E-Mail Adresse) ☐ ☐ Selbstangabe Siehe oben 1-3
Bankverbindung (Bankleitzahl, kontoführende Bank, Kontonummer, IBAN-Code, SWIFT-Code)
☐ ☐ Selbstangabe Siehe oben 1-3
Korrespondenzen ☐ ☐ Selbstangabe Siehe oben 1-3
UID Nummer ☐ ☐ Selbstangabe Siehe oben 1-3
usw. siehe eigene Kundenverwaltung ☐ ☐ Siehe oben
21
7. Technisch–organisatorische Maßnahmen
7.1 Allgemeine sicherheitsrelevante Informationen Zertifizierungen: Betroffene Assets: Basisdienst Client-Betrieb/E-Mail/Web/Dateiservice Risikoanalyse durchgeführt: Ist durchzuführen Allgemeine Maßnahmen; zB. Schulungen der Mitarbeiter, Dienstanweisungen
7.2 Asset-spezifische Maßnahmen
Asset Maßnahmen/Information
zB Basisdienst Client Betrieb
zB Office Anwendungen – Absicherung über Zugriffsberechtigungen des Dateisystems, Zugriff nur für Berechtigte möglich
zB Basisdient Dateiservice Absicherung über Zugriffsberechtigungen des Dateisystems, Zugriff nur für Berechtigte möglich
Erfüllung der Informationspflichten
Betroffene Personen (die Personen, deren Daten verarbeitet werden)
sind über die Verarbeitungsvorgänge zu informieren.
Die Mitteilung hat in präziser, transparenter, verständlicher und leicht
zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen.
Die Information kann schriftlich oder in anderer Form, z.B. elektronisch,
oder wenn die betroffene Person es verlangt, auch mündlich erfolgen.
„mehrstufige Datenschutz-Information“ / layered privacy notice
Einen Auftragsverarbeiter (der im Auftrag eines Verantwortlichen
personenbezogene Daten verarbeitet) trifft diese
Informationsverpflichtung nicht.
22
Beispiel für
Transparenz23
Die Transparenz ist in einer Art
und Weise herzustellen, die es
der betroffenen Person erlaubt,
sich über den Zweck und den
Verantwortlichen zu informieren
und weitere Informationen zu
erhalten.
Hinweis & weiter-
führende Information
Informationspflicht – wirkt diese zurück?
keine Rückwirkung: keine Verpflichtung, betroffene Personen,
deren Daten am 25.05.2018 schon verarbeitet werden, zu
informieren (!)
derzeitige Regelung: § 24 DSG 2000
anlässlich der Ermittlung der Daten über Zweck und Namen & Adresse des
Auftraggebers, sofern diese Informationen nicht bereits vorliegen
nach „Treu und Glauben“ weitere Informationen (zB Widerspruchsrecht
bei Aufnahme in eine Datenbank; IVS)
neue Regelung ab 25.05.2018
umfassender; Art 12 ff. DSGVO – allgemeine Regelung
bei direkter Erhebung der Daten (in Kontakt mit der betroffenen Person) –
Art 13 DSGVO
bei indirekter Erhebung (Daten werden von dritter Seite zur Verfügung
gestellt) – Art 14 DSGVO
26
27
Hinweis in Korrespondenz, Emailfooter, Briefpapier …… mit Verlinkung / Verweis auf
Homepage
Hinweis im Vertrag (zB mit Mitarbeiier/in) & Beilage der Information
Übermittlung/Aushändigung im Zuge anderer Informationspflichten
& Beilage der Information (zB Drittschuldnererklärung bei Gehaltsexekution)
Übermittlung/Aushändigung bei Vertragsabschluss (wenn schriftl/elektronisch)
Info bei Einladungen, Veranstaltungen etc… (zB auf Fotoaufnahmen bzw. andere
Verarbeitungsvorgänge
„Wir verarbeiten personenbezogene Daten nach den datenschutzrechtlichen Bestimmungen. Weitergehende Informationen finden Sie unter: www. ……….. oder kontaktieren Sie uns unter: …..“
Informationspflicht – wer und wie?
Identifizieren Sie betroffene Personen
Mitarbeiter/in: direkt – Hinweis in Vertrag u Infoblatt
Gläubiger bei Lohnexekution – Infoblatt
Videoüberwachung – Kennzeichnung und
Datenschutzinformation auf Website
Datenerhebung über Website (Kontaktformular, Tracking,
Webshop, Newsletter – Hinweis (direkt) & Link auf
Datenschutzinformation
Kunden / Lieferanten – Hinweis in der Korrespondenz und
Datenschutzinformation auf der Website
TOM`s (technische und
organisatorische Maßnahmen Technische und organisatorische Maßnahmen,
dienen dazu, die personenbezogenen Daten vor Verlust oder Zugriff durch unbefugte Personen zu schützen
Sie sind zu dokumentieren und auch zu beschreiben.
Die im Muster angeführten Kategorien (zB Zutritts, Zugangs-, Zugriffskontrolle, Weitergabekontrolle …) stellen eine Möglichkeit dar, dass sich jede Organisation einen Überblick über die Maßnahmen verschafft
in den einzelnen Punkten finden sich Vorschlägefür Maßnahmen, die ergänzt bzw. adaptiert werden sollten.
https://www.wko.at/branchen/transport-verkehr/gueterbefoerderungsgewerbe/beispiele-fuer-tom.pdf
Handbuch zur Umsetzung der DSGVO
Handlungsempfehlungen mit Zielen zur
Umsetzung (funktional, technisch-
organisatorisch, juristisch)
Erklärungen / Informationen
Projekteinschätzungsmethoden
(Umfang)
Informationen zur Analyse
Anleitungen für die Projektdurchführung
„DSGVO“ (Wie soll man vorgehen? Was
sind die Auswirkungen?)
Informationen zur IT-Security
Checklisten (zur Überprüfung)
Benötigt ein Transportunternehmer einen DSBA?
Art 37 DSGVO – in Ö: nicht erweitert!
zwei Tätigkeitsarten:
regelmäßige und systematische Überwachung (Beobachtung)
von Personen (umfangreich & Kerntätigkeit)
Verarbeitung von Art 9 / Art 10 Daten
umfangreiche „Kerntätigkeit“ ist maßgebend
Kerntätigkeiten: Spedition und Güterverbringung von A > B
„umfangreich“: keine „Definition“ in Art 37 DSGVO
Beispiele der Leitlinien DSBs der Art 29 DS-Gruppe
32
Kundenzufriedenheitsumfrage per Telefon / Email?
Direktwerbung per Telefon (cold calling; ohne vorherige Zustimmung) – verboten
Direktwerbung per Email – (ohne vorherigen Kundenkontakt, ohne vorherige Zustimmung) – verboten
Ausnahme für elektronische Post / SMS: § 107 (3) TKG (!)
Hinweis bei Datenerhebung auf Verwendung u Ablehnung
gleichartige Produkte oder Dienstleistungen
Ablehnungsmöglichkeit bei jeder Kontaktaufnahme
RTR-Liste checken
transaktionsgebundene Emails: zulässig / inkl. Werbung (!)
transaktionsgebundene Rückfragen: zulässig (nicht gesichert, keine Entscheidungen in Ö, LG Coburg „Feedbackanfrage per Email ist keine Werbung“)
33