Am 23.1. habe ich für die Grüne Wirtschaft im Axis Coworking Loft Linz einen Crashkurs zum Datenschutz gehalten, Bilder sind zB hier zu finden: https://www.facebook.com/media/set/?set=ms.c.eJxFk9uRxTAIQzva4Q3uv7GdoGv5M2dAyKCo2VS6hWSNZ~%3BwpgKsf0Rq5wLzNU0wJAhV9Qcpq2FADFd0PrIZSNGpb3C5o~_BD6iEYFx3aiwn8gejVMrkZmt3k0jWX5V6GaBP0Zi~_CUHogKKwYtF4TYvkUOQX5Tjl~%3BwfX6i~%3BioGLXSqOzbPHRu2G7McAt~_KGYoWRJOvnW~%3BsVLFiQRPE2Fo~%3BBGeNpdLYCYAmgGhQVNeYFn3oGovzwADcxyWsx7NuWGFyhe67MVWCPaUFF~_Tr4wh9uK5G0GmsqDlF46z1w9sGrDt3mnhtUqMUgBq1xmausZzAThmHsK14GTuyFfxfAoExBibPJlkmCHBKprBkx3YoAYLr12nhDMIzlO4p~%3BRyCAHgttRr8CTM2p82WTOTDuORECy9XiKXkA3DKf78ModP6B~%3Bnz2~%3BI~-.bps.a.1228651777235167.1073741842.483650688401950&type=1
Thematisch drehte sich die Veranstaltung natürlich um die kommende DSGVO. Ich darf mich an dieser Stelle auch für den sehr interessanten Abend mit spannenden Fragen bedanken.
Auf den Folien finden Sie Informationen zum Datenschutz derzeit, zur DSGVO, praktische Hinweise und die vorab gestellten Fragen.
2. Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 01.10.2011 externer Lektor an der UNI Linz & Uni Graz
LVAs im Bereich Zivil- & Internetrecht
Seit 01.02.2014 WiFi-Trainer
Seit 01.07.2016 selbständiger Rechtsanwalt in Wels (OÖ) mit
Schwerpunkt im IT- und Urheberrecht
Seit 01.05.2017 Senior Berater bei O.P.P.-Beratungsgruppe
(Datenschutz)
3. Zu Beginn …
Es gilt (grundsätzlich):
‚Online wie Offline‘
5. DSG 2000
Grundrecht auf Datenschutz
• § 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz
inhaltlich (Verfassungsbestimmung)
– Jeder hat Anspruch auf Geheimhaltung seiner Daten,
insbesondere hinsichtlich Privat- & Familienleben
– Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist
zB nicht gegeben, wenn Daten anonym sind
– Abs 2 regelt die Möglichkeit der Beschränkung des
Grundrechtes durch den Gesetzgeber (zB wegen Schutz der
Menschenrechte)
• §§ 2 f DSG regeln Zuständigkeit & Anwendungsbereich
6. DSG 2000
Verwendung von Daten
• §§ 6 ff DSG regeln die Verwendung von Daten
– Datenverwendung nur nach dem Gesetz, zu eindeutigen
Zwecken und nur im Rahmen des Notwendigen
– Geheimhaltungsinteressen des Betroffenen sind zu wahren
– Auftraggeber muss über die entsprechenden Befugnisse zur
Verarbeitung verfügen
• §§ 8 f DSG regelt überdies das Geheimhaltungsinteresse
bei sensiblen & nicht-sensiblen Daten
7. DSG 2000
Verwendung von Daten
• Geheimhaltungsinteresse bei sensiblen & nicht-
sensiblen Daten liegt insbesondere nicht vor, wenn der
Betroffene sie selbst öffentlich macht (vgl. Soziale
Netzwerke) oder sie ihm nicht zugeordnet werden
können
• Kein Verletzung des Interesses außerdem, wenn
Verarbeitung lebensnotwendig ist und Zustimmung nicht
rechtzeitig eingeholt werden kann
8. DSG 2000
Datensicherheit
• §§ 14 ff DSG regeln die Datensicherheit
– Der Datenverwender bzw Dienstleister hat die Daten nach dem
technisch und wissenschaftlich aktuellen Stand zu sichern und
vor Zugriffen (Hacks) zu schützen
– Schutz etwa durch Zugriffsberechtigungen, Programme und
Protokollierung der Zugriffe
• Überdies unterliegen der Datenverwender und dessen
Mitarbeiter nach § 15 DSG dem Datengeheimnis
9. DSG 2000
Publizität von Datenanwendungen
• §§ 16 ff DSG regeln die Publizität von
Datenanwendungen
– Die Datenschutzbehörde hat ein Register über die Auftraggeber
der Datenanwendungen zu führen, in welches Einsicht
genommen werden kann
– Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu
melden, insbesondere bei Verarbeitung sensibler Daten (DVR-
Nummer)
10. DSG 2000
Publizität von Datenanwendungen
• Ausnahme zB bei öffentlich bekannten Daten oder einer
‚Standardanwendung‘ entsprechen, welche qua
Verordnung als solche vorgesehen ist
• § 19 DSG regelt Inhalt einer solchen Meldung:
Name und Anschrift des Auftraggebers
Nachweis über die rechtliche Befugnis zur Verarbeitung
Zweck der Datenanwendung
Kreis der Betroffenen
Allgemeine Angabe über die getroffenen Maßnahme der
Datensicherheit (TOMs)
11. DSG 2000
Rechte des Betroffenen
• §§ 26 ff DSG regeln die Rechte des von
Datenanwendungen Betroffenen
– Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese
schriftlich verlangt wird und der Betroffene seine Identität
nachweisen kann
– Ausgenommen sind Auskünfte die im überwiegenden Interesse
geheim gehalten werden müssen (zB Bundesheer) oder die
Geheimhaltung dem Schutz des Betroffenen selbst dient
– Weiters kann jeder Betroffene seine verarbeiteten Daten löschen
und/oder richtigstellen bzw aktualisieren lassen
13. DatenschutzgrundVO
Gemeinschaftsrecht im Datenschutz
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich
• Durch DSGVO gewisse Gleichschaltung des
Datenschutzes in Europa (spannend wird der Brexit
auch hier)
14. DatenschutzgrundVO
Weitere Normen parallel zur DSGVO
• DSG (2018)
– deckt Bereiche ab, welche die DSGVO nicht berührt bzw offen
lässt (zB DSBa)
– Betrifft va strafrechtlichen Bereich
– Derzeit noch § 1-3 aus DSG 2000, Änderung in Planung
• ePrivacyVO
– zB Cookies werden neu geregelt
– Derzeit noch keine finale Version
15. DatenschutzgrundVO
Was ändert sich?
• Grundsätze des Datenschutzes (zB Zweckbindung,
Datensparsamkeit, Datensicherheit) enthalten und
weiterentwickelt
• DSGVO gilt in der europäischen Union sowie für
Unternehmen, die auf dem europäischen Markt tätig sind
• Anwendbar auf personenbezogene Daten außer diese
betreffen persönlichen/familiären Bereich (sog.
‚Haushaltsausnahme‘)
16. DatenschutzgrundVO
Was ändert sich?
• Teilweise neue Bezeichnungen
– sensible Daten = kategorisierte Daten
• DVR wird mit 25.5.2018 eingefroren und mit 31.12.2019
abgeschaltet; nunmehr Verfahrensverzeichnis durch die
Unternehmen selbst
• Datenschutzfolgenabschätzung (DSFA) als (komplett)
neues Tool
• Erweiterte/neue Rechte der Betroffenen
• Nur noch natürliche Personen umfasst
17. DatenschutzgrundVO
Was ändert sich?
• Recht auf Vergessenwerden
– Erweiterung des Löschungsanspruches
– ‚Weitergabe‘ des Wunsches auf Löschung durch
Datenverarbeiter
• Datenportabilität = gewünschte Datenweitergabe in
strukturierter Form (zB bei Bankwechsel)
• Profiling = ‚Persönlichkeitsbewertung‘
– Besondere Auskunftspflicht auch über technische Aspekte
– Besonderes Widerspruchsrecht des Betroffenen
18. DatenschutzgrundVO
Was ändert sich?
• Privacy by Design/by Default = Verarbeitung möglichst
weniger Daten als ‚Grundeinstellung‘
• Data Breach Notification Duty
– Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen
72 Stunden
– Pflicht zur umfassenden Erteilung von Informationen zur
Verletzung
• Generell steht nunmehr Betroffener im Mittelpunkt
19. DatenschutzgrundVO
Was ändert sich?
• Datenschutzbeauftragter
– Bei Datenverarbeitung durch Behörden/öffentliche Stellen
– Bei umfangreicher, regelmäßiger Beobachtung von Personen als
Kerntätigkeit
– Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
• Behördliches On-Stop-Shop-Prinzip
• Höhere Strafen
– Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio.
– Betroffene kann sich an Behörde oder Gericht wenden
21. DatenschutzgrundVO
Herausforderungen für Unternehmen
• Erstellung des Verfahrensverzeichnisses
– Zweck der Verarbeitung
– Rechtmäßigkeit
– Aufbewahrungsfristen
• Implementierung von Prozessen
– Beauskunftung
– Löschung
– Data Breaches
22. DatenschutzgrundVO
Herausforderungen für Unternehmen
• Umgang/Sanierung mit/von Betroffenenrechten
• CRM-Systeme
• Vertragliche Regelung von Auftragsdatenverarbeitung
• IT-Sicherheit konform mit DSGVO
• Beziehung zu anderen Unternehmen
– Unlauterer Wettbewerb?
24. Im Unternehmen
Was kann man gleich tun?
• Clean Desk Policy
– MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen
– Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz
– Computer/Smartphones/Tablets sperren
• Security Policy
– ‚lebendes Dokument‘ welches Unternehmenspolitik zum
Datenschutz & IT-Sicherheit abbildet
– zB Grundsätze zur Passwortvergabe, Umgang mit Devices im
Außendienst, Verwendung von privaten Devices
25. Im Unternehmen
Was kann man gleich tun?
• Datenschutzerklärung – Warum?
– Bei Websites relevant
– Va Cookie-Erklärung nach TKG gefordert
– Weiters: Impressumspflichten nach ECG
• Datenschutzerklärung - Inhaltlich
– Wer verarbeitet die Daten/erfolgt eine Weitergabe?
– Welche Daten werden wie/zu welchem Zweck verarbeitet?
– Welche Cookies/Plugins werden verwendet?
– Wo kann ich mich über meine Daten informieren bzw diese
löschen lassen?
28. Q&A
Antwort
• Zweck der Verarbeitung: wozu werden die Daten
benötigt/verarbeitet?
• Insbesondere bei Marketing kein Vertrag sondern
Zustimmung benötigt
• Zustimmung muss informiert, freiwilllig und ausdrücklich
erfolgen + Aufklärung über Betroffenenrechte
• Zustimmung am besten dokumentieren!
• CRM-Systeme müsste saniert werden (Vorsicht: TKG!)
30. Q&A
Antwort
• Betroffener hat verschiedene Rechte zB auf
Beauskunftung und Löschung
• Betroffener muss an Unternehmen herantreten und
Löschung fordern
• Kommt Unternehmen dem nicht nach, dann
– Möglichkeit der Beschwerde bei der Datenschutzbehörde
– Klage bei Gerichten, va, wenn Schaden entstanden ist
32. Q&A
Antwort
• CRM = Kundendaten datenschutzkonform? (zB weil
Verarbeitung aufgrund von Vertrag)
• Wenn Datenaustausch mit Versicherungen abklären, wer
als Datenverantwortlicher gilt und dies entsprechend
vertraglich absichern
– Dienstleistervertrag
– Datensicherheit muss gewährleistet sein
34. Q&A
Antwort
• Zwar praktisch, aber (rechtlich) keine gute Idee
• WhatsApp teilt Daten mit Facebook = Gefahr der
(unsicheren) Übertragung in die USA als EU-Drittland
• Weiters (zumeist) keine Zustimmung der Betroffenen (=
gespeicherte Kontakte) zur Übertragung
36. Q&A
Antwort
• DVR gibt es bald nicht mehr
• Nunmehr Verpflichtung zum Verfahrensverzeichnis nach
Art 30 DSGVO (verpflichtend jedenfalls ab 250 MA oder
wenn Verarbeitung ‚nicht nur gelegentlich‘ erfolgt
• Inhalte zB
– Name & Kontakt des Verarbeiters
– Zweck der Verarbeitung
– Kategorisierte Daten?
– Rechtsgrundlage
38. Q&A
Antwort
• Notwendig die Nutzungsbedingungen zu sichten
• Wie werden Daten genutzt?
• Was passiert mit Adressebüchern/Kontakten etc.?
• Wohin werden Daten übertragen?
• An welche anderen Unternehmen werden Daten
übertragen?
40. Q&A
Antwort
• Datenschutz folgt der Zweckbindung, dh keine Daten nur
weil ‚nice-2-have‘
• Zweck an sich nicht vorgeben (außer durch andere
Gesetze beschränkt bzw keine illegalen Zwecke)
• Zweck muss argumentiert werden
• Datenverarbeitung nur auf Basis dieses Zweckes und
auch nur die notwendigen Daten
42. Q&A
Antwort
• Rechtmäßigkeit der Verarbeitung nach Art 6 DSGVO
(Zustimmung nach Art 6 Abs 1 lit a DSGVO)
• Bedingungen für die Einwilligung nach Art 7 DSGVO
– Nachweis der Einwilligung
– Verständlichkeit/Informiertheit
– Widerruf möglich
– Freiwilligkeit (va im Arbeitsverhältnis oft fraglich)
• Im Web auch über Masken/Checkboxen möglich
44. Q&A
Antwort
• Definitionen nach Art 4 DSGVO
• Art 4 Z 7 DSGVO: Verantwortlicher = Verarbeiter von
personenbezogenen Daten
• Art 4 Z 8 DSGVO: Auftragsverarbeiter = verarbeitet
Daten im Auftrag des Verantwortlichen = Externer