die datenschutz-grundverordnung (dsgvo) · 3 • dsgvo ist innerhalb des anwendungsbereichs...
TRANSCRIPT
1
Vortragender: RA Dr. Georg Bruckmüller
Die Datenschutz-Grundverordnung (DSGVO)Was auf Arbeitskräfteüberlasser und Arbeitgeber zukommt
12. Februar 2018
Wirtschaftskammer Steiermark
• Rechtsanwalt seit 1997
• Partner der Bruckmüller RechtsanwaltsgmbH in Linz
• Universitätslektor an der Donau Universität Krems und JKU Linz
• Vertrauensanwalt der OÖ Wirtschaftskammer
• Schwerpunkte:– Unternehmensvertragsrecht
– Arbeitsrecht
– Markenrecht & Innovationen
– Unlauterer Wettbewerb
– Immobilienrecht
– Datenschutzrecht
RechtsanwaltMag. Dr. Georg Bruckmüller
2
2
• Welche Rechtsnormen gelten?• Grundlagen des Datenschutzrechts
– Diskussion der Grundbegriffe– wichtigste Neuerungen ab 2018
• Datenschutz im Arbeitsverhältnis/AKÜ• Handlungsbedarf für Unternehmen
– Einwilligungserklärungen– Verzeichnis von Verarbeitungstätigkeiten– Datenschutz-Folgenabschätzung– Datenschutzbeauftragter– organisatorische und technische Maßnahmen
Inhaltsübersicht
3
Bis 24.05.2018: – Datenschutzgesetz 2000 (DSG 2000)
• beruhend auf der EU-DatenschutzrichtlinieAb 25.05.2018:
– neues Datenschutzgesetz (DSG) (BGBl I 2017/120)– EU-Datenschutz-GrundverordnungàBeides anzuwenden
Rechtsnormen
4
3
• DSGVO ist innerhalb des Anwendungsbereichs unmittelbar anzuwenden – natürliche Personen
• außerhalb des Anwendungsbereichs kann öst. Gesetzgeber eigene Regeln treffen– Datenschutz für juristische Personen (zB GmbH nicht von der
DSGVO umfasst)• Spielraum für öst. Gesetzgeber in der DSGVO
(Öffnungsklauseln): – Ab welchem Alter dürfen Minderjährige in Verarbeitung
einwilligen? (ab 14, siehe § 4 Abs 4 DSG neu)– Brauchen alle Verantwortlichen und Auftragsverarbeiter
einen Datenschutzbeauftragten?
DSGVO und DSG
5
Grundlagen des (neuen) Datenschutzrechts
6
4
• DSGVO ist immer dann anwendbar, wenn personenbezogene Daten elektronisch verarbeitetwerden (Datenbanken, Tabellen)
• Manuell verarbeitete Daten (zB auf Papier) nur dann, wenn sie in einem Dateisystem gespeichert sind (Ordnung nach bestimmten Kriterien)
Beispiel: Personalhandakten, die nach Namen oder Funktion im Unternehmen geordnet sind
Anwendbarkeit der DSGVO
7
„Informationen, die sich auf eine identifizierte oderidentifizierbare natürliche Person beziehen“
• Klassische personenbezogene Daten:Name, Geburtsdatum, Adresse, Telefonnummer, Einkommen, Kontonummer, SV-Nummer, Kleidergröße, Schuhgröße,…• Auch Werturteile:Zeugnisse, Benotungen, „schlechter Zahler“,…
„Personenbezogene Daten“
8
5
„Informationen, die sich auf eine identifizierte oderidentifizierbare natürliche Person beziehen“ à weiter Begriff!Beispiel 1:Name à identifiziert à personenbezogen
Beispiel 2:Geburtsdatum, SV-Nummer à identifizierbar, wenn auch Name gespeichert à personenbezogen
Beispiel 3:IP-Adresse à identifizierbar, wenn in Kombination mit anderen Daten gespeichert (zB Cookies, Nutzerverhalten, Trackingdaten) à personenbezogen
„Personenbezogene Daten“
9
Grundsatz im Überblick
10
Datenverarbeitung verboten
ausgenommen wenn
Wirksame Einwilligung der
betroffenen Person
Zur Erfüllung eines Vertrages
notwendig (Zweckbindung)
Weitere Grundlagen:- Gesetzliche Ermächtigung
- Notfallsituation
6
• Grundrecht jeder Person auf Datenschutz
• Daher: jede Verarbeitung von personenbezogenen Daten verboten
• sofern schutzwürdige Interessen der betroffenen Person bestehenBeispiel: kein schutzwürdiges Interesse bei öffentlich bekannten Daten (Telefonnummer im Telefonbuch)
Verbot der Datenverarbeitung
11
• Was ist Datenverarbeitung? à Art 4 Z 2 DSGVO
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang (…) im Zusammenhang mit personenbezogenen Daten.
ZB: Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Veränderung, Auslesen, Abfrage, Verwendung, Offenlegung, Verbreitung, Löschung,…
à extrem weiter Begriff!
Definition Datenverarbeitung
12
7
• Erstellen einer Mitarbeiterdatenbank à Speicherung, Ordnung = Datenverarbeitung– egal ob nach Qualifikation, Geschlecht, Abteilung, Dienstalter,…
• Weiterleitung von Mitarbeiterdaten an Sozialversicherung àOffenlegung, Verbreitung = Datenverarbeitung
• Recherche über möglichen Mitarbeiter bei Facebook, Xing etc. àErhebung = Datenverarbeitung
Beispiele Datenverarbeitung
13
• Grundsätzliches VerbotWichtigste Rechtsgrundlagen, die das Verbot im Einzelfall durchbrechen (Art 6 DSGVO):
– Einwilligung der betroffenen Person– Erfüllung eines Vertrages oder einer vorvertraglichen
Maßnahme– Erfüllung einer rechtlichen Verpflichtung des
Verantwortlichen– lebenswichtige Interessen des Betroffenen
(„Notfallsituationen“)– öffentliche Interessen
Rechtsgrundlagen für Verarbeitung
14
8
Einwilligung als Rechtsgrundlage der Verarbeitung
• im Vorhinein erfolgen• jederzeit widerruflich • Einwilligung in Verarbeitung für bestimmte Zwecke• Beweislast für Einwilligung liegt beim Verantwortlichen
– Einwilligung sollte daher schriftlich oder zumindest nachweisbar eingeholt werde
Beispiel: Ein Unternehmen möchte die Daten eines Lieferanten speichern und an Dritte weiterleiten. Es muss davor (zB bei Vertragsabschluss) die Einwilligung des Lieferanten eingeholt werden.
Einwilligung der betroffenen Person
15
Notwendigkeit zur Vertragserfüllung als Rechtsgrundlage der Verarbeitung
Grundsatz: Besteht zwischen Verantwortlichem und betroffener Person ein Vertrag und ist die geplante Datenverarbeitung zur Erfüllung dieses Vertrages notwendig, braucht keine Einwilligung eingeholt werden. Geht die Verarbeitung darüber hinaus, ist eine Einwilligung nötig.
à Schwierige Frage, was im Einzelfall notwendig zur Erfüllung ist!
Vertragserfüllung als Grundlage
16
9
Beispiel 1: Ein Unternehmen verarbeitet die Bankdaten seiner AN, damit die interne Lohnverrechnung die Löhne anweisen kann.à zur Erfüllung des Arbeitsvertrages notwendig, daher ohneEinwilligung des AN zulässigBeispiel 2: Ein Unternehmen schickt Rechnungen, Zahlungsbestätigungen etc an seine Kunden per E-Mail. Jetzt soll an alle Kunden ein regelmäßiger Newsletter per E-Mail gesendet werden.à Verarbeitung der E-Mail-Adressen ohne Einwilligung unzulässig, weil
Newsletter (Werbemaßnahme) nicht mehr mit der Erfüllung der Verträge zusammenhängt.
Beispiel 3: AG leitet Lohndaten seiner AN an die Sozialversicherungweiter.à Erfüllung einer gesetzlichen Verpflichtung, keine Einwilligung nötig.
Beispiele Rechtsgrundlagen
17
• Grundsatz der Zweckbindung der Datenverarbeitung
• Erhebung personenbezogener Daten nur zulässig, wenn bereits im Zeitpunkt der Erhebung ein konkreter Zweck für die Verarbeitung feststeht– nicht konkret: „geschäftliche Zwecke“, „Vereinfachung der
Kommunikation“, „für Marketing“
• darüber hinausgehende/andere Verarbeitung àgrundsätzlich neue Einwilligung erforderlich
Zweckbindung der Verarbeitung
18
10
Beispiel 1:Ein Unternehmen schließt mit einem Kunden einen Vertrag. Mit seiner Unterschrift erklärt sich der Kunde mit einer Verarbeitung genau bestimmter Daten zum Zweck der Personalisierung von wöchentlichen Promotion-E-Mails für bestimmte Produkte einverstanden.
Beispiel 2:Ein Dienstnehmer erklärt sich im Dienstvertrag damit einverstanden, dass der Dienstgeber sein Alter undGeschlecht zum Zweck der Erstellung interner Statistiken über die Mitarbeiterstruktur verarbeitet und diese Daten auch an die Konzernzentrale zu diesem Zweck weiterleitet.
Beispiele für korrekte Einwilligung und Zweckbindung
19
Verantwortlicher (bis 2018: „Auftraggeber“)• Natürliche oder juristische Person (zB GmbH), • die allein oder gemeinsam mit anderen über• Zwecke und Mittel der Verarbeitung• von personenbezogenen Daten entscheidet.
à alle Unternehmen, die Kunden-, Lieferanten- oder sonstige Datenbanken mit personenbezogenen Daten haben!
An wen richtet sich die DSGVO?
20
11
Auftragsverarbeiter (bis 2018: „Dienstleister“)• Natürliche oder juristische Person (zB GmbH), • die personenbezogene Daten• im Auftrag eines Verantwortlichen verarbeitet, aber• selbst nicht über Zwecke und Mittel der Verarbeitung
entscheidet.
Beispiel: Unternehmen (= Verantwortlicher) lagert den Betrieb seiner Mitarbeiterdatenbank auf ein IT-Unternehmen (= Auftragsverarbeiter) aus
An wen richtet sich die DSGVO?
21
• Recht auf Auskunft (Art 15 DSGVO)• Recht auf Berichtigung (Art 16 DSGVO)• Recht auf Löschung (Art 17 DSGVO)
– „Recht auf Vergessenwerden“
• Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO)
• Recht auf Widerspruch (Art 21 DSGVO)
Überblick – Betroffenenrechte
22
12
Datenschutz im Arbeitsverhältnis
23
• Videoüberwachung des Betriebs/Teilen davon?• Fingerabdruckscanner (zB Zeiterfassung)?• Kontrolle und Speicherung von Daten über Telefon-
und Internetnutzung?• CMR-Daten, Aufzeichnung über Akkordarbeiten
• Prüfung im Einzelfall: Wird Menschenwürde berührt?Falls ja:àAbschluss einer BV notwendig (§ 96 Abs 1 Z 3
ArbVG)àWenn kein BR vorhanden à Abschluss einer
Vereinbarung mit allen AN (§ 10 AVRAG)
Überwachungsmaßnahmen
24
13
Praxistipp 1:zeitgerecht überprüfen, ob möglicherweise Kontrollmaßnahmen vorliegen, die die Menschenwürde berühren!
Praxistipp 2:Jedenfalls bis 25.05.2018 entsprechende BV oder Individualvereinbarungen abschließen, wenn es solche Maßnahmen gibt!
Kontrollmaßnahmen – NEU
25
Beispiel 1:In einem Betrieb mit BR ist den AN die Benutzung des Internetzugangs zu privaten Zwecken verboten. Der AG installiert eine Software, die einmal pro Minute Screenshots anfertigt und diese zentral abspeichert. Herangezogen werden die Screenshots aber nur, wenn Verdachtsmomente für Missbrauch vorliegen.
1. Handelt es sich um personenbezogene Daten?2. Berührt diese Maßnahme die Menschenwürde?3. Welche Schritte muss der AG setzen, damit er die
Überwachung zulässigerweise fortsetzen kann?
Beispiele Arbeitsrecht
26
14
1. Handelt es sich um personenbezogene Daten?Immer dann, wenn die Screenshots einem Arbeitsplatz und damit in der Regel einem AN zuordenbar sind.2. Berührt diese Maßnahme die Menschenwürde?Im Einzelfall zu beurteilen und eher zu bejahen; aber: wenn es ein Verbot privater Nutzung gibt, hat der AG viel eher ein Interesse an der Kontrolle der Einhaltung.3. Welche Schritte muss der AG setzen, damit er die
Überwachung zulässigerweise fortsetzen kann?Abschluss einer BV mit dem BR
Lösung Beispiel 1
27
Beispiel 2:Ein Überlasser hat mit einem Beschäftiger (Bauunternehmen) eine Rahmenvereinbarung. Darin ist geregelt, dass Arbeitskleidung und -schuhe vom Beschäftiger zur Verfügung gestellt werden. Um die entsprechenden Größen bestellen zu können, fordert der Beschäftiger die Kleider- und Schuhgrößen der AN vom Überlasser an. Die Arbeitsverträge enthalten dazu keine Regelung.
1. Handelt es sich um personenbezogene Daten?2. Unter welchen Voraussetzungen darf der Überlasser
die Daten übermitteln?
Beispiele Arbeitsrecht
28
15
1. Handelt es sich um personenbezogene Daten?Immer dann, wenn die Größen einem AN zuordenbar sind, was wohl regelmäßig der Fall sein wird (im Zusammenhang mit anderen Daten).
2. Unter welchen Voraussetzungen darf der Überlasser die Daten übermitteln?
Es ist im Zweifel eine Einwilligung der AN einzuholen. Darin ist anzuführen, an welchen Beschäftiger welche Daten übermittelt werden. Auch der genaue Zweck ist zu bezeichnen.
Lösung Beispiel 2
29
• Zahlreiche Unternehmen nutzen zB Online-Formulare für Bewerber
• Praxistipps:– Rechtzeitige Information über Verarbeitung (vor Erhebung)– Einholung einer rechtswirksamen Einwilligung (aktives
Element à Checkbox)– Abfrage nur absolut notwendiger Daten– Bei Weiterleitung Information darüber, an wen dies erfolgt
(„Bewerberpools“, auf die mehrere Unternehmen zugreifen)– unverzügliche Löschung, sofern Daten nicht mehr
unbedingt notwendig
Umgang mit Bewerberdaten
30
16
Besonders heikle Praxisfragen im Bereich der Arbeitskräfteüberlassung
31
ü Welche Informationen werden und können zwischen Überlasser und Beschäftiger ausgetauscht werden?− teilweise gesetzliche Grundlage (Lohnunterlagen à LSD-BG)
ü Gibt es andere Gesetze, die die Verarbeitung von AN-Daten erlauben?− AÜG, LSD-BG, ASVG (Weiterleitung an SV, Finanzbehörden, AMS etc.)
ü Inwiefern ist die Datenverarbeitung und -weiterleitung an Beschäftiger bzw Überlasser zur Erfüllung des Arbeitsvertrages notwendig?− wenn keine gesetzliche/vertragliche Deckung à Einwilligung
notwendig
Wichtige Fragen im Bereich AKÜ
32
17
ü Liegen solche Einwilligungen auch für Bewerber vor?− Wichtig, wenn längerfristige Speicherung oder Weiterleitung der
Bewerberdaten an andere geplant ist
ü Wie lange dürfen Daten über ehemalige Mitarbeiter oder Bewerber gespeichert werden?− Nur so lange wie unbedingt notwendig. Verantwortliche sind
verpflichtet, die Daten danach selbstständig zu löschen; es gibt auch ein Antragsrecht des Betroffenen (Art 17 DSGVO).
Wichtige Fragen im Bereich AKÜ
33
ü Hat mein Vertragspartner (Überlasser/Beschäftiger) intern die DSGVO umgesetzt? - Compliance
ü Werden bei uns im Betrieb Maßnahmen gesetzt, die die Bestellung eines Datenschutzbeauftragten erforderlich machen?
ü Ist klar definiert, welche Daten zu welchen Zwecken verarbeitet werden dürfen?
Wichtige Fragen im Bereich AKÜ
34
18
ü Bedürfen Arbeitszeitaufzeichnungen und Aufzeichnungen über Akkordarbeiten nun einer Einwilligung? Gilt das auch für unsere Aufzeichnungen über die Zahlungsverhalten und bei CMR-Daten?− Kontrollmaßnahmen? BV notwendig?
ü Ist eine Einwilligung zusätzlich erforderlich, wenn die Überprüfung des Verhaltens bereits durch den BR genehmigt wurde?− Nein (ArbVG in Verbindung mit Art 88 DSGVO)
ü Sollen/müssen mit den AN eigene Vereinbarungen über die Datenverwendung getroffen werden?− Grundsätzlich immer dann empfehlenswert, wenn Verarbeitungen
erfolgen, die nicht mehr der Erfüllung des Arbeitsvertrages dienen.
Wichtige Fragen im Bereich AKÜ
35
Handlungsbedarf für Unternehmen
36
19
• Ab diesem Tag müssen die Vorgaben eingehalten werden à keine Übergangsfristen danach!
• Bei Verstößen drohen empfindliche Strafen:– bis zu EUR 20 Mio. bzw– 4 % des Jahresumsatzes des Unternehmensà Es gilt der höhere Betrag!
à daher: zeitgerecht Handlungsbedarf identifizieren!
DSGVO gilt ab 25.05.2018
37
• Welche personenbezogenen Daten verarbeitet mein Unternehmen? Sind sensible Daten darunter?
• Welche Datenanwendungen gibt es?– Sind Standardanwendungen darunter?– Welche sind bisher im DVR registriert?
• Welche Zwecke für Datenverarbeitungen gibt es?
Checkliste 1
38
20
• Was ist die Rechtsgrundlage der Verarbeitungen (in der Regel Einwilligung oder Vertragserfüllung)?
• Liegen taugliche Einwilligungserklärungen vor?• Habe ich Auftragsverarbeiter beauftragt?
– IT-Dienstleister– Externe Lohnverrechnung– …
• Überprüfung von AGB, Datenschutzerklärungen, Impressum, Webseite, Vertragsmuster,…
Checkliste 2
39
• Auch bereits bestehende Einwilligungen in Datenverarbeitungen müssen ab 25.05.2018 den Erfordernissen in Art 7 DSGVO entsprechen!à § 69 Abs 9 DSG neuBeispiel:Ein langjähriger Kunde eines Unternehmens hat im Jahr 2005 seine Zustimmung zur Speicherung und Verarbeitung seiner Daten erklärt.à Es ist vor 25.05.2018 zu prüfen, ob die Einwilligung dem Art 7 DSGVO entspricht.
Wirksamkeit von Einwilligungen
40
21
Beispiel 1: „Ich stimme zu, dass Unternehmen X meine Daten zu Marktforschungszwecken verwendet.“à Zu unbestimmt! Welche Daten? Was sind „Marktforschungszwecke“?Beispiel 2: „Ich stimme zu, dass meine Gesundheitsdaten an Versicherungsunternehmen weitergeleitet werden.“àZu unbestimmt! Welche Gesundheitsdaten?
Welche Versicherungsunternehmen?
Beispiele Einwilligungen
41
• Ist eine Einwilligung überhaupt notwendig?– zB dann nicht, wenn Verarbeitung zur Vertragserfüllung
notwendig• Wurde die Einwilligung rechtzeitig (= vor Beginn der
Verarbeitung) eingeholt?• Können Inhalt und Abgabe der Einwilligung im Falle
des Falles nachgewiesen werden (zB durch Unterschrift)?
• Falls die Einwilligung Teil von AGB/Vertragsvorlagenist: Ist sie klar hervorgehoben?
Checkliste Einwilligung 1
42
22
• Ist die Einwilligung in klar verständlicher Sprache verfasst?
• Hat die betroffene Person alle nötigen Informationen vor Einwilligung erhalten?
• Ist der Verarbeitungszweck in der Einwilligung präzise formuliert?
• Enthält die Einwilligung einen klaren Hinweis auf die jederzeitige Widerrufsmöglichkeit?
Checkliste Einwilligung 2
43
Informationspflichten
44
23
• Spätestens 1 Monat nach Datenerhebung sind der betroffenen Person Informationen gemäß Art 13/14 DSGVO zu erteilen!– Name/Firma des Verantwortlichen– Name und Kontaktdaten des Datenschutzbeauftragten– Verarbeitungszwecke und Rechtsgrundlage (zB Einwilligung)– Möglichkeit des Widerrufs der Einwilligung– Rechte des Betroffenen– etc.
Praxistipp:à Es ist daher empfehlenswert, vor 25.05.2018 entsprechende Informationsformblätter vorzubereiten bzw. AGB zu überarbeiten.
Pflichten für Verantwortliche
45
Interne Compliance-Vorschriften statt externer Meldungen
à internes Verzeichnis und Folgenabschätzung statt Meldepflicht
46
24
• Bis 24.05.2018:– Pflicht zur Meldung von Datenverarbeitungen beim
Datenverarbeitungsregister (§§ 17 ff DSG 2000)
• ab 25.05.2018:– Führung eines internen Verzeichnisses durch den
Verantwortlichen– Datenschutz-Folgenabschätzung
Meldepflicht à internes Verzeichnis
47
• Meldepflicht gemäß §§ 17 ff DSG 2000 an das Datenverarbeitungsregister (DVR)
• grundsätzlich sämtliche Datenverarbeitungen
• Erleichterungen für bestimmte „Standardanwendungen“:– Personalwesen und Logistik– Personalverwaltung für Dienstverhältnisse– Mitgliederverwaltung– Verwaltung von Benutzerkennzeichen– Kundenbetreuung und Marketing für eigene Zwecke– Videoüberwachung
Bis 2018: Meldepflicht an das DVR
48
25
• Meldepflicht gemäß §§ 17 ff DSG 2000 an das Datenverarbeitungsregister (DVR) entfällt
• stattdessen interne Pflichten für:– Verantwortliche: Führung eines schriftlichen
Verzeichnisses (Name, Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung,…)
– Auftragsverarbeiter: schriftliches Verzeichnis über alle „Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden“
• Vorweisen des Verzeichnisses auf Anfrage
NEU ab 2018: Verzeichnis von Verarbeitungstätigkeiten
49
• Kein Verzeichnis notwendig, wenn– Unternehmen < 250 Mitarbeiter hat– Verarbeitung keine Risiken für betroffene Personen birgt– die Verarbeitung nur gelegentlich erfolgt– die Verarbeitung keine sensiblen oder strafrechtlich
relevanten Daten umfasstUnklarheit:à Unterschiede zwischen deutscher/englischer Fassung der
VO: reicht eine Voraussetzung oder müssen alle vier vorliegen?àWas bedeutet „keine Risiken“? Was bedeutet
„gelegentlich“?
Achtung – Rechtsunsicherheit!
50
26
• nur für bestimmte Verarbeitungsvorgänge mit „hohem Risiko“ für die Rechte und Freiheiten natürlicher Personen
• insbesondere dann, wenn:– systematische und umfassende Bewertung persönlicher Aspekte
(„Profiling“)– umfangreiche Verarbeitung sensibler Daten– systematische Überwachung öffentlicher Bereiche
à Folge: Aufsichtsbehörde muss vor Verarbeitung konsultiert werden.
Praxistipp:Die Aufsichtsbehörde wird höchstwahrscheinlich eine Liste mit Verarbeitungen veröffentlichen, die jedenfalls ein hohes Risiko aufweisen („schwarze Liste“) sowie eine Liste mit jedenfalls unbedenklichen Verarbeitungen („weiße Liste“).
NEU ab 2018: Datenschutz-Folgenabschätzung
51
Ist die Bestellung eines Datenschutzbeauftragten notwendig?
52
27
• zwingend für Behörden und „öffentliche Stellen“
• für die meisten privaten Unternehmen: nicht zwingend, freiwillig immer möglich
• Beauftragter nur notwendig, wenn:– Kerntätigkeit des Unternehmens in der Durchführung von
Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn
– Kerntätigkeit in der Verarbeitung sensibler Daten oder Daten über strafrechtliche Verurteilungen besteht
Datenschutzbeauftragter(Art 37 DSGVO)
53
• muss kein AN des Unternehmens sein– „externer“ Datenschutzbeauftragter ist möglich– keine besondere „Datenschutz-Ausbildung“ nötig
• keine Weisungsunterworfenheit bei Erfüllung seiner Aufgaben
• Verantwortliche und Auftragsverarbeiter müssen ihn unterstützen
Datenschutzbeauftragter(Art 37 DSGVO)
54
28
Beispiel 1: Ein Kaufhausbetreiber überwacht regelmäßig und systematisch Kunden per Videokamera.
Beispiel 2: Ein Dienstleister analysiert Kundendaten zur Individualisierung und Personalisierung von Angeboten.
à Kein Datenschutzbeauftragter notwendig, weil die Überwachung nicht die Kerntätigkeit des Unternehmens ist.
Beispiel 3: Ein Versicherungsunternehmen überwacht laufend seine Versicherungsnehmer zur Risikobeurteilung.
àMöglicherweise Verpflichtung zur Bestellung eines Datenschutzbeauftragten.
Datenschutzbeauftragter(Art 37 DSGVO)
55
Implementierung organisatorischer und technischer Maßnahmen
56
29
• Verabschiedung einer Datenschutzstrategie – Festlegung interner Datenschutzziele– Wer ist wofür verantwortlich?– Welche Arten von Daten werden wo/wie verarbeitet?
Art 24, 25 DSGVO
57
• Datenschutz durch Technik– Sicherstellung, dass nur Daten verarbeitet werden, soweit dies
unbedingt notwendig ist– Sicherstellung, dass Daten ehestmöglich pseudonymisiert werden– sonstige SicherheitsvorkehrungenBeispiel: Den für Kündigungen zuständigen Personen im Unternehmen ist es technisch nicht möglich, Mitarbeiter nach Religionszugehörigkeit abzufragen (à Diskriminierungsschutz)
• Datenschutz durch „datenschutzfreundliche Voreinstellungen“Beispiel: Die Suchmaske der Mitarbeiterdatenbank ist beim Login leer und enthält nicht die Daten des „im Alphabet“ ersten Mitarbeiters.
Art 24, 25 DSGVO
58
30
Zusammenfassung
59
• Datenanwendungen und -verarbeitungen im Unternehmen, insb. Weiterleitungen, erheben
• Vereinbarkeit mit DSGVO überprüfen– professionelle Beratung!
• potenzielle Probleme identifizieren
• langfristige Lösungen erarbeiten
To Dos vor 25.05.2018
60
31
üÜberprüfung, ob bestehende Einwilligungserklärungen Art 7 DSGVO entsprechen (à AGB, Vertragsformblätter, Webseite prüfen/erneuern!)
üVorbereitung von Formblättern bzw. Aktualisierung bestehender AGB zur Information betroffener Personen (Art 13, 14 DSGVO)!
üÜberprüfung, ob ein Verzeichnis vonVerarbeitungstätigkeiten notwendig ist!
To Dos vor 25.05.2018
61
üÜberprüfung, ob es Verarbeitungstätigkeiten gibt, die eine Datenschutz-Folgenabschätzungnotwendig machen!
üMuss ein Datenschutzbeauftragter bestellt werden?
üMindestmaß an organisatorischen und technischen Maßnahmen?
To Dos vor 25.05.2018
62
32
• Weiterleitung von Daten nach außerhalb der EU?
• Verwendung von Tools zur Nutzeranalyse auf Website– Google Analytics– Facebook Pixel
• Vereinbarungen mit Auftragsverarbeitern– externe IT-Dienstleister– Steuerberater– Auslagerung der Personalverrechnung
Weitere heikle Themen
63
Bruckmüller RechtsanwaltsgmbHAm Winterhafen 114020 Linz
Tel: 0732 / 77 55 44 – 14Fax: 0732 / 77 55 44 – 10E-Mail: [email protected]
passion for law
Für Antworten auf Ihre Fragen können Sie uns gerne kontaktieren
64
Unsere Beratungsschwerpunkte:• Arbeitsrecht• Gesellschaftsrecht• Wirtschaftsvertragsrecht• Immobilienrecht• IP/Markenrecht• UWG• Datenschutz, Betriebs- und
Geschäftsgeheimnisse