FSDZ Rechtsanwälte & Notariat AG Zug1
Swiss Personal 2019
DSGVO und HR 2019
Einige Schwerpunkte nach einem Jahr Erfahrung
Lukas FässlerRechtsanwalt & InformatikexperteFSDZ Rechtsanwälte & Notariat AGZugerstrasse 76B6340 Baar/ZGTel. +41 +41 727 60 [email protected]
FSDZ Rechtsanwälte & Notariat AG Zug2
Übersicht
• 25.5.2018• Wie ist die DSGVO aufgebaut?• Warum geht das unser Unternehmen etwas an?• Geltungsbereich• Rechte der Betroffenen• Pflichten des Verantwortlichen (Unternehmens)• Konkrete Fälle
FSDZ Rechtsanwälte & Notariat AG Zug3
25.5.201825.5.2018
FSDZ Rechtsanwälte & Notariat AG Zug4
DSGVO und E-DSG-CH
• Teilbereich Schengen• Neues Datenschutz-recht CH
Beratungen im STR: frühestens im Sommer 2019Inkrafttreten: ? 2021 ?
FSDZ Rechtsanwälte & Notariat AG Zug5
Zahlreiche CH-Unternehmen haben bereits (freiwillig oder wegen Art. 3 Abs. 2 DSGVO)
die DSGVO konkret umgesetzt.
DSGVO und E-DSG-CH
FSDZ Rechtsanwälte & Notariat AG Zug6
Wie ist die DSGVO aufgebaut?
FSDZ Rechtsanwälte & Notariat AG Zug7
Datenschutz-Grundverordnung ab 2018
Neues Datenschutzrecht in der EU und CH
FSDZ Rechtsanwälte & Notariat AG Zug8
Datenschutz-Grundverordnung ab 2018
Neues Datenschutzrecht in der EU und CH
FSDZ Rechtsanwälte & Notariat AG Zug8
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
§ Am 24.4.2016 vom EU-Parlament angenommen.
§ Ist am 25.5.2018 in Kraft getreten
§ Gilt ab diesem Datum für alle Akteure, die auf dem Gebiet der EU tätig sind
§ EU-Verordnung ist in Gesamtheit verbindlich
§ EU-Verordnung ist in jedem EU-Land unmittelbar anwendbar (keine
nationalen Gesetz mehr notwendig)
§ Aber zahlreiche Ausnahmetatbestände (Öffnungsklauseln) eingeführt(z.B. Ausdehnung auf juristische Personen möglich -> Österreich)
Die DSGVO
FSDZ Rechtsanwälte & Notariat AG Zug9
Verordnungstext mit Erwägungen
http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679
FSDZ Rechtsanwälte & Notariat AG Zug10
Verordnungstext mit Erwägungen (2)
FSDZ Rechtsanwälte & Notariat AG Zug11
• DSGVO hat 99 Artikel
• EU-Verordnung gilt direkt für alle EU-Länder gleich• Alle EU-Einwohner können sich darauf berufen
• Nationale Ergänzungsgesetze (DE: Bundesdatenschutz-gesetz – BDSG 2018)
• Nationale Rechtsprechung (Erste Instanz)• EuGH– Europäischer Gerichtshof sorgt für gleiche
Auslegung in EU
• Aber 69 Nationale Öffnungsklauseln vorgesehen
DSGVO – direkte Anwendbarkeit
FSDZ Rechtsanwälte & Notariat AG Zug12
DSGVO – Nationale Öffnungsklauseln
§ Spielräume bei der Datenverarbeitung auf gesetzlicher Ebene§ Spielräume bei der Verarbeitung besonders geschützter Daten§ Spielräume bei Betroffenenrechten§ Spielräume bei der Einwilligung§ Spielräume bei Auftragsverarbeitern§ Spielräume bei der Ausgestaltung der Datenschutzbehörden§ Spielräume bei den Befugnissen der Datenschutzbehörden§ Spielräume bei der Vertreten von Betroffenen durch NGOs§ Spielräume bei der Auflösung von Grundrechtskonflikten§ Spielräume im Arbeitsverhältnis
FSDZ Rechtsanwälte & Notariat AG Zug13
DSGVO – Nationale Öffnungsklauseln (2)
§ Spielräume im Arbeitsverhältnis
Ø Art. 9 Abs. 2 lit. b DSGVO: - Arbeits- und Sozialrecht jedes Staates als Rechtsgrundlage
für die Verarbeitung sensibler (Arbeitnehmer-) Daten
Ø Art. 88 DSGVO:- Beschäftigungskontext: Spezifischere Vorschriften zur
Gewährleistungen des Schutzes von Beschäftigten erlaubtdurch Rechtsvorschriften oder Kollektivvereinbarungen(Erwägungs-Grund 155 Satz 1: „einschliesslich Betriebsvereinbarungen“)
Vgl. separate Beilage 06
FSDZ Rechtsanwälte & Notariat AG Zug14
Sanktionen
Aufsichtsbehörden in EU-Ländern§ Direktes Sanktionierungsrecht gegenüber UN§ Katalog von Sanktionen (Art. 58 �2 DSGVO)
§ Mahnung§ Verwarnung§ Förmliche Bekanntmachung der UN und des Verstosses§ Vorübergehende Beschränkung der Datenbearbeitung§ Dauerhafte Beschränkung der Datenbearbeitung§ Geldbussen von bis zu € 20 Mio oder 4% des weltweiten
Jahresumsatzes§ Weitergehender Schaden (Schadenersatz und Zinsen) aus einem
Gerichtsverfahren bleibt zusätzlich vorbehalten.
In Deutschland bisher 41 Fälle mit Bussen• Fehlender Auftragsverarbeitungsvertrag bei Kolibri Image: € 5‘000.— plus Gebühren
In Frankreich: GOOGLE € 50 Millionen durch CNIL• Zustimmung ungültig, weil unzureichende Information (welche Daten wielange)
FSDZ Rechtsanwälte & Notariat AG Zug15
Warum geht das unser Unternehmen etwas an?
FSDZ Rechtsanwälte & Notariat AG Zug16
Anknüpfungspunkt 1: Verantwortung von VR und GL (Compliance)
Anknüpfungspunkt 2: Personenbezogene Daten verarbeitenAnknüpfungspunkt 3: Marktortprinzip
Warum geht das unser Unternehmen etwas an?
FSDZ Rechtsanwälte & Notariat AG Zug17
Anknüpfungspunkt 1:
Verantwortung von VR und GL(Compliance)
FSDZ Rechtsanwälte & Notariat AG Zug18
Verantwortung für die Umsetzung und Einhaltung
FSDZ Rechtsanwälte & Notariat AG Zug19
Verantwortung für die Umsetzung und Einhaltung
FSDZ Rechtsanwälte & Notariat AG Zug20
Sorgfalt
FSDZ Rechtsanwälte & Notariat AG Zug21
Haftung
FSDZ Rechtsanwälte & Notariat AG Zug22
Standards, Normen & Richtlinien
FSDZ Rechtsanwälte & Notariat AG Zug23
Anknüpfungspunkt 2:
Personenbezogene Daten verarbeiten
FSDZ Rechtsanwälte & Notariat AG Zug24
Anknüpfungspunkt 2
Art. 2 � 1 DSGVO
§ DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten (nur noch dieser Begriff) sowie für die
nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem
Dateisystem gespeichert sind oder werden.
§ Gilt auch für Profiling-Daten Erstellung, Aktualisierung und Verwendung von Profilen durch Sammlung von (auch im Internet gewonnener)
Daten, sowie deren anschließende Analyse und Auswertung, zum Zwecke der Identifikation und Überwachung von
Personen, auch zur Optimierung und Vorhersage des (Direkt)marketings oder zum Zwecke der Wahl-, Verhaltens-
und Meinungsbeeinflussung.
§ Gilt für jede Bearbeitung personenbezogener Daten, die sich auf
identifizierte oder identifizierbare natürliche Personen beziehen
§ Gilt für alle natürlichen Personen oder juristische Personen des
öffentlichen Rechts oder des privaten Rechts, die Daten verarbeiten.
FSDZ Rechtsanwälte & Notariat AG Zug25
• Jedes Verarbeiten von personenbezogenen Daten durch Verantwortliche mit oder ohne Auftragsverarbeiter auf der Basis einer gesetzlichen Grundlage oder mit ausdrücklicher Einwilligung des Betroffenen.
• Verarbeiten (Art. 4 �2 DSGVO)• Jeder
• mit oder ohne Hilfe automatisierter Verfahren • ausgeführte Vorgang oder jede solche Vorgangsreihe • im Zusammenhang mit personenbezogenen Daten wie
• das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Anknüpfungspunkt 2
FSDZ Rechtsanwälte & Notariat AG Zug26
Anknüpfungspunkt 3:
Geltungsbereich
FSDZ Rechtsanwälte & Notariat AG Zug27
Marktortprinzip Angebot an Bürger in EU - Aufenthalt in EU - BEOBACHTEN
FSDZ Rechtsanwälte & Notariat AG Zug28
Rechte der Betroffenen
FSDZ Rechtsanwälte & Notariat AG Zug29
Betroffene
Art. 4 �1 DSGVO
§ Betroffene sind identifizierbare oder identifizierte natürliche Personen,§ welche direkt oder indirekt, insbesondere mittels Zuordnung zu
§ einer Kennung wie einem Namen, § einer Kennnummer, § zu Standortdaten, § zu einer Online-Kennung oder § zu einem oder mehreren besonderen Merkmalen, die Ausdruck der § physischen, § physiologischen, § genetischen, § psychischen, § wirtschaftlichen, § kulturellen oder § sozialen Identität dieser natürlichen Person sind.
FSDZ Rechtsanwälte & Notariat AG Zug30
Wer sind Betroffene
• Mitarbeiter
• Kunden
• Lieferanten
Personenbezogene Daten
Gesetzeskonforme (ordentliche) Behandlung
Betroffenenrechte
Betroffene (2)
FSDZ Rechtsanwälte & Notariat AG Zug31
Rechte der Betroffenen
Übersicht
§ Recht auf Information (Art. 13/14 DSGVO)§ Auskunftsrecht (Art. 15 DSGVO)§ Recht auf Berichtigung (Art. 16 DSGVO)§ Recht auf Löschung («Recht auf Vergessenwerden») (Art. 17 DSGVO) § Recht auf Einschränkung der Bearbeitung (Art. 18 DSGVO)§ Recht auf Mitteilung (Art. 19 DSGVO)§ Recht auf Datenübertragbarkeit (Art. 20 DSGVO) § Widerspruchsrecht zur Datenbearbeitung (Art. 21 DSGVO)§ Recht auf Verzicht auf automatisierte Entscheidung (Art. 22 DSGVO)§ Recht auf Benachrichtigung über DS-Verletzungen (Art. 34 DSGVO)
§ Schutz von Kindern (Altersgrenze zw. 13-16) durch Zustimmung der Inhaber der elterlichen Verantwortung (Art. 8 DSGVO)
FSDZ Rechtsanwälte & Notariat AG Zug32
Pflichten der Verantwortlichen
FSDZ Rechtsanwälte & Notariat AG Zug33
Verantwortlicher
Art. 4 �7 DSGVO
§ Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
§ die allein oder gemeinsam mit anderen § über die Zwecke und Mittel der Verarbeitung § von personenbezogenen Daten § entscheidet.
Es ist der Dateninhaber, der personenbezogene Daten allein oder gemeinsam mit anderen verarbeitet.
FSDZ Rechtsanwälte & Notariat AG Zug34
Personenbezogene Daten (+ Profiling-Daten) evaluieren
Dokumentationspflichten erfüllen
Betroffenenrechte - Prozessbeschreibungen sicherstellen
Organisatorische Massnahmen im Innenverhältnis & im Aussenverhältnis ergreifen
Technische Massnahmen ergreifen
Neue Verträge mit Datenverarbeitern ausarbeiten
Internet-Auftritt überprüfen
Die 7 wichtigsten Umsetzungsaktivitäten für Unternehmen
FSDZ Rechtsanwälte & Notariat AG Zug35
Auftragsverarbeiter
Art. 4 �8 DSGVO
§ Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
§ welche die personenbezogenen Daten § im Auftrag des Verantwortlichen § Verarbeitet.
Es ist der Dritte, der im Auftrag des Verantwortlichen personenbezogene Daten wo auch immer verarbeitet.
Er kommt in eine neue umfassende Mitverantwortung im Rahmen des Datenschutzes
Der Verantwortliche muss den Auftragsverarbeiter kontrollieren (Joint Controllingship; vgl. Beilage 11)
FSDZ Rechtsanwälte & Notariat AG Zug142
Umsetzung EU- und CH Datenschutz
Quelle: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.htmlBundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom)
1
2
3
4
5
6
Online-Shop
7
FSDZ Rechtsanwälte & Notariat AG Zug36
Pflichten der Verantwortlichen (UN)
Übersicht (3)
§Benennung eines Datenschutzbeauftragten zwingend für (Art. 37 DSGVO)• Alle Behörden und öffentlichen Stellen• UN, die Bearbeitungen durchführen, welche eine umfangreiche regelmässige und systematische
Überwachung der betroffenen Personen erfordern• UN, die sensible Datenbearbeitungsvorgänge (vgl. Folgeabschätzung und Register der
Bearbeitungstätigkeiten) durchführen. • Nationale Erweiterungen zulässig
•Für CH-Unternehmen, die nicht in EU niedergelassen sind: (Art. 27 DSGVO)• Datenschutz-Vertreter in EU-Mitgliedstaat schriftlich
benennen, in welchem die natürlichen Personen ihren Wohnsitz haben, deren personenbezogene Daten oder Profiling-Daten bearbeitet werden(Deutschland, Frankreich etc. -> separater Flyer mit Angebot)
• Ist Ansprechpartner für Aufsichtsbehörden und Betroffene• Koordinationsstelle• mussRegister aller Kategorien von Tätigkeiten der UN führen• Verantwortliche/Bearbeiter bleibt verantwortlich
FSDZ Rechtsanwälte & Notariat AG Zug37
Sonderpflicht:EU-Datenschutz-Vertreter
FSDZ Rechtsanwälte & Notariat AG Zug38
Nach Art. 27 DSGVO benötigen Schweizer Unternehmen, welchepersonenbezogene Daten von natürlichen Personen mit Niederlassung in derEU verarbeiten oder verarbeiten lassen (Auftragsverarbeiter) zwingend einenDatenschutz-Vertreter in der EU, sofern sie oder der Auftragsverarbeiter keineNiederlassung in der EU haben (Art. 3 Abs. 2 DSGVO).
Insbesondere CH-Online-Shops, welche Waren oder Dienstleistungen an Konsumenten in EU-Länder verkaufen.
Der Vertreter muss in dem Land niedergelassen sein, in dem der Käufer wohnt oder in das die Waren exportiert werden.
EU-Datenschutz-Vertreter
FSDZ Rechtsanwälte & Notariat AG Zug39
http://www.eu-datenschutz-vertreter.ch
FSDZ Rechtsanwälte & Notariat AG Zug40
Konkrete Fälle
FSDZ Rechtsanwälte & Notariat AG Zug41
LG Sachsen-Anhalt Urteil vom 23.11.2019 – 5 Sa 7/17:Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO jedenfalls der Arbeitgeber
LG Sachsen-Anhalt Urteil vom 23.11.2019 – 5 Sa 7/17:In jeder (elektronischen oder papierbezogenen Personalakte werden personenbezogene Daten verarbeitet.
LG Sachsen-Anhalt Urteil vom 23.11.2019 – 5 Sa 7/17:Nach Art. 4 Nr. 6 DSGVO ist ein “Datensystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugängig sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
Arbeitgeber – Personalakte – Sammlung von Personendaten
FSDZ Rechtsanwälte & Notariat AG Zug42
Videoüberwachung
Bundesarbeitsgericht Deutschland, Urteil vom 23.8.2018 – 2 AZR 133/18 Keine Löschung von Videoaufzeichnungen infolge blossen Zeitablaufs
Die Speicherung von Bildsequenzen aus einer zulässigen offenen Videoüberwachung, die vorsätzliche Handlungen des Arbeitnehmers zulasten des Eigentums des Arbeitgeber aufzeigen, wird nicht durch blossen Zeitablauf unverhältnismässig (Bem. RA Fässler: und müssen vom Arbeitgeber gelöscht werden), solange die Rechtsverfolgung durch den Arbeitgeber materiell-rechtlich möglich ist.
FSDZ Rechtsanwälte & Notariat AG Zug43
Datenschutzauskunft des Arbeitnehmers geht Schutz des Whistleblowers vor
LG Stuttgart, Urteil vom 20.12.2018 – 17 Sa 11/18
In einem Arbeitsverhältnis besteht ein Auskunftsanspruch des Arbeitnehmers gegenüberdem Arbeitgeber aus Art. 15 Abs. 1 DSGVO. Von diesem Auskunftsanspruch sind auchalle personenbezogenen Leistungs- und Verhaltensdaten erfasst (Rn. 176).
Entgegenstehende Interessen Dritter können diesen Auskunftsanspruch ausschliessen oder beschränken.
Der Schutz desWhistleblowers als allgemeiner Grund für einen Auskunftsausschlussreicht nicht aus.Der Arbeitgeber hat vor Gericht darzulegen,• auf welche genauen Informationen (Sachverhalt/Vorfall/Thema in zeitlicher oder
örtlicher Eingrenzung nebst handelnden Personen) sich das berechtigte Interesse vonDritten an einer Geheimhaltung bezieht und
• warum das Geheimhaltungsinteresse des Dritten bei einer Abwägung im Einzelfall dasAuskunftsinteresse des Mitarbeiters überwiegen soll.
FSDZ Rechtsanwälte & Notariat AG Zug44
Ortungssystemdaten von Firmenfahrzeugen über Arbeitnehmer
VG Lüneburg 4. Kammer, Urteil vom 19.3.2019 – 4 A 12/19
Die Erhebung und Speicherung von Standort-, Bewegungs- und Zeitdaten der vonArbeitnehmern betrieblich genutzten Firmenfahrzeugen, die über ein Ortungssystem (GPS)anfallen, sowie deren Auswertung stellen typischerweise eine „Verarbeitung“ im Sinne derDSGVO dar.
Es bedarf dazu entweder• einer gesetzlichen Grundlage oder• der ausdrücklichen, informierten (informed consent) Einwilligungserklärung des
Arbeitnehmers.
FSDZ Rechtsanwälte & Notariat AG Zug45
DSB Polen: Verletzung der Transparenz
DSGVO-Busse von EUR 220‘000
Die polnische Datenschutz-Aufsichtsbehörde hat einen Verantwortlichen mit einer Busse von umgerechnet EUR 220‘000 bestraft.
Der Verantwortliche hat Informationen aus öffentlichen Registern bezogen und für ein kommerzielles Produkt verwendet. Die Verarbeitung betraf rund 6 Mio. Betroffene.
Der Verantwortliche informierte aber nur rund 90‘000 Betroffene, von denen er eine E-Mail-Adresse hatte. Auf eine individuelle Mitteilung und Einwilligung der restlichen Betroffenen hat er aus Kostengründen verzichtet. Die Datenschutzerklärung auf der Website (Einwilligungserklärung) wurde zudem als ungenügend beurteilt.
FSDZ Rechtsanwälte & Notariat AG Zug46
https://fsdz.ch/aktuell/google-muss-50-millio
nen-euro-datenschutzstrafe-zahlen/253.blog
CNIL: Ungenügende Information zu personalisierter Werbung
FSDZ Rechtsanwälte & Notariat AG Zug47
Nutzung von WhatsApp im Unternehmen
www.eu-datenschutz-vertreter.ch
FSDZ Rechtsanwälte & Notariat AG Zug48
www.fsdz.ch
FSDZ Rechtsanwälte & Notariat AG Zug49
www.e-comtrust.ch
FSDZ Rechtsanwälte & Notariat AG Zug50
www.eu-datenschutz-vertreter.ch
FSDZ Rechtsanwälte & Notariat AG Zug51
https://www.fhnw.ch/de/weiterbildung/wirtschaft/praxisseminar_datenschutzverordnung-dsgvo
FSDZ Rechtsanwälte & Notariat AG Zug52
Besten Dank