Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Datenschutz-Vortrag bei Galileo Leonding

173 Aufrufe

Veröffentlicht am

Am 8.3.2018 war ich einmal mehr bei dem Verein Galileo (http://galileo-leonding.at) zu Gast und konnte zur kommenden DSGVO vortragen. Anbei finden Sie nun die Folien zum Vortrag, welche sich in die drei Bereiche Datenschutz jetzt - Datenschutz bald - Datenschutz praktisch gliedern. Danke an dieser Stelle an die TeilnehmerIhnen für die spannende Diskussion und die gelungene Veranstaltung.
Übrigens, es gibt jetzt auch ein DSGVO-Hörbuch: https://smartesmarketing.com/dsgvo von mir und Frameblending

Veröffentlicht in: Recht
  • Login to see the comments

  • Gehören Sie zu den Ersten, denen das gefällt!

Datenschutz-Vortrag bei Galileo Leonding

  1. 1. Datenschutz? RA Mag. Michael Lanzinger
  2. 2. Magister Who? RA Magister Michael Lanzinger office@kanzlei-lanzinger.at www.rechtsanwalt-lanzinger.at Seit 2011 externer Lektor im Bereich Zivil- & Internetrecht Seit 2016 selbständiger Rechtsanwalt in Wels (OÖ) mit Schwerpunkt im IT-Recht und Cybercrime sowie Mitglied der Law Busters Seit 2017 Senior Berater bei O.P.P.-Beratungsgruppe (Datenschutz)
  3. 3. Zu Beginn … Es gilt (grundsätzlich): ‚Online wie Offline‘
  4. 4. Herausforderungen Datenschutz und Datensicherheit? • Zumeist parallele Verwaltungssysteme, dh Software und Papier, nur wenige ‚paperless‘ Unternehmen • Datenschutz bei Werbemaßnahmen • IT-Infrastruktur und hier va die IT-Sicherheit • Inwieweit gilt die DSGVO überhaupt für KMU?
  5. 5. Herausforderungen Fragen zum Datenschutz und zur Datensicherheit • Wie betrifft einen die DSGVO? • Wie kommt man zu einem Verfahrensverzeichnis? • Wird ein Datenschutzbeauftragter benötigt? • Wie ist mit Betroffenenrechten (zB Recht auf Beauskunftung) umzugehen? • Wie kann ein Costumer-Relations-Management-System (CRM) konform betrieben werden? • Was muss bei der Datensicherheit getan werden?
  6. 6. Datenschutzrecht (derzeit)
  7. 7. DSG 2000 Datenschutzgesetz (derzeit noch DSG 2000) Umsetzung einer Datenschutzrichtlinie Inhalte: • Schutz personenbezogener Daten • Rechtsschutzinstrumente • Dokumentation im DVR • DSG betrifft natürliche und juristische Personen
  8. 8. DSG 2000 Grundrecht auf Datenschutz • § 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz inhaltlich (Verfassungsbestimmung) – Jeder hat Anspruch auf Geheimhaltung seiner Daten, insbesondere hinsichtlich Privat- & Familienleben – Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist zB nicht gegeben, wenn Daten anonym sind – Abs 2 regelt die Möglichkeit der Beschränkung des Grundrechtes durch den Gesetzgeber (zB wegen Schutz der Menschenrechte) • §§ 2 f DSG regeln Zuständigkeit & Anwendungsbereich
  9. 9. DSG 2000 (Sensible) Daten? • § 4 Z 1 DSG 2000: personenbezogene Daten = Daten durch welche eine Person bestimmt oder bestimmbar ist • § 4 Z 2 DSG 2000: Daten von natürlichen Personen über – Rassische/ethnische Herkunft – Politische Meinung – Gewerkschaftszugehörigkeit – Religiöse/philosophische Überzeugung – Gesundheit – Sexualleben
  10. 10. DSG 2000 Verwendung von Daten • §§ 6 ff DSG regeln die Verwendung von Daten – Datenverwendung nur nach dem Gesetz, zu eindeutigen Zwecken und nur im Rahmen des Notwendigen – Geheimhaltungsinteressen des Betroffenen sind zu wahren – Auftraggeber muss über die entsprechenden Befugnisse zur Verarbeitung verfügen • §§ 8 f DSG regelt überdies das Geheimhaltungsinteresse bei sensiblen & nicht-sensiblen Daten – zB nicht-sensible Daten mit Zustimmung verarbeitet – zB sensible Daten durch Betroffenen selbst veröffentlicht
  11. 11. DSG 2000 Verwendung von Daten • Geheimhaltungsinteresse bei sensiblen & nicht- sensiblen Daten liegt insbesondere nicht vor, wenn der Betroffene sie selbst öffentlich macht (vgl. Soziale Netzwerke) oder sie ihm nicht zugeordnet werden können • Kein Verletzung des Interesses außerdem, wenn Verarbeitung lebensnotwendig ist und Zustimmung nicht rechtzeitig eingeholt werden kann
  12. 12. DSG 2000 Datensicherheit • §§ 14 ff DSG regeln die Datensicherheit – Der Datenverwender bzw Dienstleister hat die Daten nach dem technisch und wissenschaftlich aktuellen Stand zu sichern und vor Zugriffen (Hacks) zu schützen – Schutz etwa durch Zugriffsberechtigungen, Programme und Protokollierung der Zugriffe • Überdies unterliegen der Datenverwender und dessen Mitarbeiter nach § 15 DSG dem Datengeheimnis
  13. 13. DSG 2000 Publizität von Datenanwendungen • §§ 16 ff DSG regeln die Publizität von Datenanwendungen – Die Datenschutzbehörde hat ein Register über die Auftraggeber der Datenanwendungen zu führen, in welches Einsicht genommen werden kann – Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu melden, insbesondere bei Verarbeitung sensibler Daten (DVR- Nummer)
  14. 14. DSG 2000 Publizität von Datenanwendungen • Ausnahme zB bei öffentlich bekannten Daten oder einer ‚Standardanwendung‘ entsprechen, welche qua Verordnung als solche vorgesehen ist • § 19 DSG regelt Inhalt einer solchen Meldung:  Name und Anschrift des Auftraggebers  Nachweis über die rechtliche Befugnis zur Verarbeitung  Zweck der Datenanwendung  Kreis der Betroffenen  Allgemeine Angabe über die getroffenen Maßnahme der Datensicherheit (TOMs)
  15. 15. DSG 2000 Rechte des Betroffenen • §§ 26 ff DSG regeln die Rechte des von Datenanwendungen Betroffenen – Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese schriftlich verlangt wird und der Betroffene seine Identität nachweisen kann – Ausgenommen sind Auskünfte die im überwiegenden Interesse geheim gehalten werden müssen (zB Bundesheer) oder die Geheimhaltung dem Schutz des Betroffenen selbst dient – Weiters kann jeder Betroffene seine verarbeiteten Daten löschen und/oder richtigstellen bzw aktualisieren lassen
  16. 16. Datenschutzrecht (bald)
  17. 17. DatenschutzgrundVO Gemeinschaftsrecht im Datenschutz • EU-VO 2016/679 vom 27.4.2016 zum Schutz der Verarbeitung personenbezogener Daten und zum freien Datenverkehr • Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in Österreich • Durch DSGVO gewisse Gleichschaltung des Datenschutzes in Europa (spannend wird der Brexit auch hier)
  18. 18. DatenschutzgrundVO Weitere Normen parallel zur DSGVO • DSG (2018) – Deckt Bereiche ab, welche die DSGVO nicht berührt bzw offen lässt (zB Datenschutz in Strafsachen) – Derzeit noch §§ 1-3 aus DSG 2000, Änderung in Planung • ePrivacyVO – ZB Cookies werden neu geregelt – Noch keine finale Version – Derzeit eher stark in Richtung Datenschutz (va Zustimmung)
  19. 19. DatenschutzgrundVO Was ändert sich? • Grundsätze des Datenschutzes (zB Zweckbindung, Datenminimierung, Datensicherheit) weiterhin enthalten und weiterentwickelt • DSGVO gilt in der europäischen Union sowie für Unternehmen, die auf dem europäischen Markt tätig sind • Anwendbar auf personenbezogene Daten außer diese betreffen persönlichen/familiären Bereich (sog. ‚Haushaltsausnahme‘)
  20. 20. DatenschutzgrundVO Was ändert sich? • Teilweise neue Bezeichnungen – sensible Daten = kategorisierte Daten • DVR wird mit 25.5.2018 eingefroren und mit 31.12.2019 abgeschaltet; nunmehr Verfahrensverzeichnis durch die Unternehmen selbst • Datenschutzfolgenabschätzung (DSFA) als (komplett) neues Tool • Erweiterte/neue Rechte der Betroffenen • Nur noch natürliche Personen umfasst
  21. 21. DatenschutzgrundVO Was ändert sich? • Recht auf Vergessenwerden – Erweiterung des Löschungsanspruches – ‚Weitergabe‘ des Wunsches auf Löschung durch Datenverarbeiter (Information an Auftragsverarbeiter vorgesehen) • Datenportabilität = gewünschte Datenweitergabe in strukturierter Form (zB bei Bankwechsel) • Profiling = ‚Persönlichkeitsbewertung‘ – Besondere Auskunftspflicht auch über technische Aspekte – Besonderes Widerspruchsrecht des Betroffenen
  22. 22. DatenschutzgrundVO Was ändert sich? • Privacy by Design/by Default = Verarbeitung möglichst weniger Daten als ‚Grundeinstellung‘ • Data Breach Notification Duty – Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen 72 Stunden – Pflicht zur umfassenden Erteilung von Informationen zur Verletzung • Generell steht nunmehr Betroffener im Mittelpunkt und nicht die Interessen von Unternehmen
  23. 23. DatenschutzgrundVO Was ändert sich? • Datenschutzbeauftragter – Bei Datenverarbeitung durch Behörden/öffentliche Stellen – Bei umfangreicher, regelmäßiger Beobachtung von Personen als Kerntätigkeit – Bei Verarbeitung von sensiblen Daten als Kerntätigkeit • Behördliches On-Stop-Shop-Prinzip • Höhere Strafen – Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio. – Betroffene kann sich an Behörde oder Gericht wenden
  24. 24. DatenschutzgrundVO Betroffenenrechte • Beauskunftung (Gefahr des ‚Art 15-Flasch-Mob‘) • Löschung • Richtigstellung bzw Aktualisierung • Einschränkung der Verarbeitung
  25. 25. DatenschutzgrundVO Herausforderungen für Unternehmen • Erstellung des Verfahrensverzeichnisses – Zweck der Verarbeitung – Rechtmäßigkeit – Aufbewahrungsfristen • Implementierung von Prozessen – Beauskunftung – Löschung – Data Breaches
  26. 26. DatenschutzgrundVO Herausforderungen für Unternehmen • Umgang/Sanierung mit/von Betroffenenrechten • CRM-Systeme • Vertragliche Regelung von Auftragsdatenverarbeitung • IT-Sicherheit konform mit DSGVO • Beziehung zu anderen Unternehmen/Organisationen/Kanzleien – Unlauterer Wettbewerb?
  27. 27. Datenschutzrecht (praktisch)
  28. 28. Im Unternehmen Interne Anweisungen • Clean Desk Policy – MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen – Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz – Computer/Smartphones/Tablets sperren • Security Policy – ‚lebendes Dokument‘ welches Unternehmenspolitik zum Datenschutz & IT-Sicherheit abbildet – zB Grundsätze zur Passwortvergabe, Umgang mit Devices im Außendienst, Verwendung von privaten Devices (va WhatsApp)
  29. 29. Im Unternehmen Interne Anweisungen • Wie geht man mit Papier um? – Wer hat Zugang zu Papierakten – Wie werden Informationen an Dritte weitergegeben (zB per Telefon, nur schriftlich) • Wie werden Data Breaches vermieden? – Datenweitergabe an Unberechtigte – Kontrollverlust über Daten, zB durch Verlust eines Devices – Umgang mit potentiellen Phishing-Mails etc.
  30. 30. Im Unternehmen Verfahrensverzeichnis • Verzeichnis nach Art 30 DSGVO – Ab 250 MitarbeiterInnen jedenfalls – Abs 5 jedoch sehr weit gefasst, dh im Zweifel ein Verzeichnis anzulegen • Verzeichnis – Inhaltlich – Wo werden Daten verarbeitet (va Software, Papierakte, Excel) – Wer sind Betroffene (Mandanten, Mitarbeiter, Kollegen, Dritte) – Zu welchem Zweck werden Daten verarbeitet – Auf Basis von Gesetz/Vertrag/Einwilligung – Weitergabe an Dritte
  31. 31. Im Unternehmen (Betroffenen-) Prozesse • Beauskunftung – Binnen 4 Wochen – Wie können Daten möglichst rasch ermittelt werden? – Formulare für Beauskunftung und Beantwortung • Löschung/Richtigstellung/Aktualisierung – Behaltefristen definieren für Daten – Sicherstellung der technischen Löschung/Anonymisierung – Löschanspruch des Betroffenen teilw. eingeschränkt, va bei Entzug der Zustimmung zur Datenverarbeitung
  32. 32. Im Unternehmen (Betroffenen-) Prozesse • Pflege des Verfahrensverzeichnisses – Neue Software muss eingetragen werden • Data Breach – Binnen 72 (Real-)Stunden zu melden – Liegt eine Datenpannen vor? – Wer ist Betroffener? – Wer ist zu informieren? – Wie kann Schaden begrenzt werden? – Wie können gleiche/gleichartige Pannen zukünftig vermieden werden
  33. 33. Im Unternehmen Datenschutzbeauftragter • Geregelt in Art 37 ff DSGVO • Nur in bestimmten Fällen zwingend vorgesehen, gerade bei Einzelunternehmern an sich nicht notwendig • Kann freiwillig bestellt werden • Datenschutzbeauftragter kann intern oder extern sein – Intern Stellung in Richtung Betriebsrat (va Kündigungsschutz) – Extern ist Haftung nach § 1299 ABGB relevant
  34. 34. Im Unternehmen Auf der Website • Datenschutzerklärung – Warum? – Va Cookie-Erklärung nach TKG gefordert (und zukünftig wohl auch nach der ePrivacyVO) – Weiters: Impressumspflichten nach ECG/MedienG/TKG • Datenschutzerklärung - Inhaltlich – Wer verarbeitet die Daten/erfolgt eine Weitergabe? – Welche Daten werden wie/zu welchem Zweck verarbeitet? – Welche Cookies/Plugins werden verwendet? – Wo kann ich mich über meine Daten informieren bzw diese löschen lassen?
  35. 35. Im Unternehmen Einzelfragen • CRM – Im Falle von Newsletter usw relevant (neben § 25 MedienG) – Bewerbung von Kunden erfordert idR Zustimmung – Sollte gegebenenfalls noch saniert werden • Bewerberdatenbank – Datenverarbeitung nur zum Zweck der Postenbesetzung (Vorvertrag) – Evidenzhaltung nur mit ausdrücklicher Zustimmung möglich – Behaltefrist (ohne Zustimmung): 6 Monate nach Postenbesetzung (wegen GleichbehandlungsG)
  36. 36. Links • DSGVO-Hörbuch – https://smartesmarketing.com/dsgvo • Website-Stresstest – http://www.rechtsanwalt- lanzinger.at/beratungsprodukte/#stresstest • LawBusters – https://www.facebook.com/LawBustersLinz/ • Verein für Datenschutz und IT-Sicherheit (DAVITS) – https://www.davits.eu
  37. 37. Credits Vielen Dank! office@kanzlei-lanzinger.at www.rechtsanwalt-lanzinger.at

×