2. OÖ-Datenschutztag – Ein Format gewinnt an Profil

Datenschutztag

Am 24. Oktober 2017 fand in der Welser Villa Muthesius der 2. OÖ-Datenschutztag statt. Im Zuge der Veranstaltung informierten vier Datenschutzexperten über aktuelle Themen in Zusammenhang mit der für 2018 anstehenden Datenschutzreform. Neben den Vorträgen präsentierten Aussteller ihre Datenschutz Management Tools im Dialog mit den Teilnehmerinnen und Teilnehmer.

Datenschutzbehörde mit neuen Aufgaben und Befugnissen

Der stellvertretende Leiter der Datenschutzbehörde, Matthias Schmidl, informierte, in seinem überaus interessanten Einblick in aktuelle Belange der Datenschutzbehörde, über zukünftige, deutlich erweiterte Tätigkeitsbereiche der österreichischen Aufsichtsbehörde.  Die Behörde wird ab Mai 2018 mit einer Reihe von erweiterten Aufgaben und den damit verbundenen Befugnissen  ausgestattet werden, ua unmittelbare Untersuchungsbefugnisse und die Befugnis zur Verhängung von Geldbußen.

Schmidl kündigte auch an, dass die im Gesetz vorgeschriebene Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, noch im heuer als Verordnungsentwurf in Begutachtung gehen soll. In Hinblick auf das Verzeichnis der Verarbeitungstätigkeiten, verwies auf die seit kurzem bestehenden Exportfunktionen das Datenverarbeitungsregisters (DVR), welche dem Verantwortlichen die Möglichkeit bietet, die Meldedaten der bestehenden Registrierungen von Datenanwendungen herunterzuladen, um diese, als Ausgangspunkt für ein zukünftiges Verzeichnis der Verarbeitungstätigkeiten verwenden zu können.

Aktuelle Entwicklungen im Datenschutzrecht

Der Linzer IT-Anwalt, Thomas Schweiger, unterstrich in seinem, mit einer Vielzahl von praktischen Beispielen gespickten Vortrag, die Konsequenzen von Datenschutzverletzungen für die Verantwortlichen.

Neben unweigerlichen Imageverlusten drohen den betreffenden Unternehmen in Zukunft auch empfindliche Geldbußen bis zu einer Höhe von 20 Mio Euro und mehr.

Schweiger machte auch deutlich, dass Haftung und Compliance im neuen Datenschutzrecht zwei Seiten einer Medaille sind. Je genauer ein Unternehmen, die Bestimmungen des Datenschutzrechtes einhalte, desto geringer wird das Risiko, wegen Schadenersatz in Anspruch genommen zu werden oder eine Geldbuße von der Datenschutzbehörde zu erhalten. Schadenersatzansprüche, die, laut Schweiger, auch Geschäftsführer bei Regressforderungen empfindlich treffen können.

Professionelles Datenschutz Management

Der IT-Sicherheits- und Datenschutzexperte Peter Kleebauer präsentierte in seinem Vortrag, ein, im Zuge seiner Beratungstätigkeit entwickeltes professionelles Datenschutz-Management-System.

Basierend auf vier Fachbereiche: IT, Organisation, Recht und Prozesse entstand dabei ein Praxisleitfaden für Verantwortliche und Auftragsverarbeiter zur Umsetzung einer risikoorientierten Datenschutz-Compliance im Unternehmen.

Anhand von ausgewählten Beispielen verdeutlichte er überaus anschaulich die vielseitigen und praxisnahen Anwendungsmöglichkeiten des Datenschutz-Management-Systems.

Aufgaben eines Datenschutzbeauftragten

Zum Abschluss referierte der Welser Sachverständige für Datenschutz und externe Datenschutzbeauftragte, Horst Greifeneder, über Aufgaben und Pflichten eines Datenschutzbeauftragten in der Praxis.

Neben den Aufgaben aus der DSGVO könne der Datenschutzbeauftragte weitere Tätigkeiten im Rahmen der erforderlichen Maßnahmen zur Datenschutz-Compliance übernehmen. Wichtig sei dabei, dass die Maßnahmen im Rahmen eines eigenen Datenschutz Management Prozesses sorgfältig geplant, umgesetzt und laufend überprüft  bzw verbessert werden. Das Datenschutz Management sei ein fortlaufender Prozess, der im Sinne der Betroffenen, Verantwortlichen und Auftragsverarbeiter stets weiterentwickelt werden muss.

Zufriedene Teilnehmer, neuer Datenschutztag im April 2018

Die Teilnehmerinnen und Teilnehmer der Veranstaltungen zeigten sich im persönlichen Gespräch durchwegs sehr zufrieden mit der Organisation, den Inhalten, Referenten und Ausstellern. Nachfolgend ein paar Aussagen, die in Erinnerung geblieben sind:

Sehr spannend und aufschlussreich. Habe einige wichtige Anregungen für meine eigene Kanzleiarbeit mitnehmen können.

Vollprofis am Werk. Die Vorträge waren alle sehr informativ, unterhaltsam und interessant.

Ein kompetentes Fachpublikum und großes Interesse an unserer Software-Lösung. Als Aussteller haben wir uns bei der Veranstaltung sehr wohl gefühlt.

Die Location und Gastlichkeit waren top. Sehr freundliche und kompetente Aussteller mit interessanten Software-Lösungen für Datenschutz-Management.

Persönlich möchte ich mich bei allen Teilnehmerinnen und Teilnehmer bedanken, welche mit ihrem Interesse und ihren Fragen wesentlich dazu beigetragen haben, den 2.OÖ-Datenschutztag erfolgreich zu machen.

Der nächste OÖ-Datenschutztag ist für den 25. April 2018 geplant.

Rechenschaftspflicht für Verantwortliche und Auftragsverarbeiter

Die EU-weite Datenschutz-Grundverordnung (DSGVO) wird nach einer Übergangsphase von zwei Jahren am 25. Mai 2018 auch in Österreich wirksam werden. Sie bringt, neben einem Wegfall der in Österreich geltenden Meldepflicht für Datenanwendungen im Datenverarbeitungsregister, eine Reihe von neuen Dokumentationspflichten (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter mit sich. Zentraler Baustein, um der normierten Rechenschaftspflicht zu genügen, ist das vom Verantwortlichen und Auftragsverarbeiter zu führende Verzeichnis der Verarbeitungstätigkeiten. Zusätzlich müssen auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1), das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7) sowie geeignete, technische und organisatorische Datensicherheitsmaßnahmen (Art. 32 Abs. 1) durch entsprechende Dokumentationen vom Verantwortlichen und/oder Auftragsverarbeiter nachgewiesen werden können.

Verzeichnis der Verarbeitungstätigkeiten

Dieses Verzeichnis der Verabreitungstätigkeiten betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzelbeiträgen bestehen müssen. Das Verfahrensverzeichnis wird somit die Summe der einzelnen Verfahrensbeschreibungen sein. [1]

Einwilligungen durch betroffene Personen

Beruht die Verarbeitung der personenbezogenen Daten auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten rechtmäßig eingewilligt hat. Grundsätzlich kann die Einwilligung durch die betroffenen Person auch mündlich oder elektronisch erfolgen. Aus Gründen der späteren Nachweisbarkeit der erfolgten Einwilligung empfiehlt sich mE die Schriftform oder ein Double-Opt-In Verfahren. Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was insbesondere bei schriftlichen Erklärungen eine Herausforderung darstellen könnte. Stichwort: Personenbezogenes Dokumenten Management System.

Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vorgesehen. Ab diesem Datum müssen alle genutzten Einwilligungen den verschärften Anforderungen der DSGVO genügen.

Ergebnis der Datenschutzfolgenabschätzungen

Hat die Form der geplanten Datenverarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine Datenschutzfolgenabschätzung der Verarbeitungsvorgänge in Hinblick auf den Schutz personenbezogener Daten durchführen.

In Hinblick auf geltende Prüfpflichten sind die Inhalte und Ergebnisse einer durchgeführten Datenschutzfolgenabschätzung durch den Verantwortlichen schriftlich zu dokumentieren.

Dokumentation der technischen und organisatorischen Datensicherheitsmaßnahmen

Verantwortliche und Auftragsverarbeiter haben, um ein dem Risiko angemessenes (Daten-)Schutzniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen.

Die zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten getroffenen Maßnahmen sind ua in Hinblick auf geltende Nachweis- und Prüfpflichten für Verantwortliche und Auftragsverarbeiter zwangsläufig zu dokumentieren.

Geldbußen bei Verstößen gegen die Rechenschaftspflicht

Verstöße durch eine fehlende oder nicht vollständige Dokumentationen oder das Nichtvorlegen der Dokumentationen nach Aufforderung durch die Aufsichtsbehörde können von der Datenschutzbehörde mit Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden.

Empfehlung hinsichtlich Rechenschaftspflicht

Aus unserer Sicht ist es für Unternehmen empfehlenswert, rechtzeitig mit der Planung und Umsetzung einer strukturierten Datenschutzdokumentation, zB vollständiges Verzeichnis von Verarbeitungstätigkeiten. Eine vollständige und aktuelle Datenschutzdokumentation dient als wesentliche Grundlage für dem Verantwortliche und Auftragsverarbeiter zur Erfüllung der, gemäß Art. 5 Abs. 2 DSGVO vorgesehenen Rechenschaftspflicht zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten im Unternehmen.

Die ordnungsgemäße Erfüllung der Rechenschaftspflicht durch den Verantwortlichen bzw dem Auftragsverarbeiter ist bei der Entscheidung durch die Datenschutzbehörde über die Verhängung einer Geldbuße und über deren Betrag gebührend zu berücksichtigen.

Quellen

[1]  Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, Datenschutzkonferenz.

Getagged mit: , ,

Datenschutz für Bewerberdaten

Unternehmen erhalten auf elektronischem Wege fast täglich Bewerbungen auf offene Stellen. Dabei handelt es sich entweder um Initiativbewerbungen oder um eine Bewerbung für eine aktuelle Stellenausschreibung. Die nicht ordnungsgemäße Verarbeitung und Übermittlung von erhaltenen Bewerberdaten kann dabei für den Verantwortlichen schnell zur unvermuteten, datenschutzrechtlichen Stolperfalle werden.

Im Zuge meiner Tätigkeit als externer Datenschutzbeauftragter bin ich immer wieder mit nachfolgenden Fragen konfrontiert:

  • Wie lange dürfen personenbezogene Bewerberdaten (Motivationsschreiben, Lebensläufe, Bewerbungsmappen, Video-Interviews uä) eigentlich gespeichert werden?
  • An wem innerhalb des Unternehmens dürfen sie weiter gegeben werden?
  • Wie dürfen Bewerberdaten erhoben werden und was ist dabei zu beachten?

Bewerberdaten sind zu löschen

Personenbezogene Daten sind zu löschen, wenn sie zur Erfüllung der Datenverarbeitungszweckes nicht mehr benötigt werden und keine rechtmäßige Grundlage für eine weitere Aufbewahrung mehr besteht. Zweck der elektronischen Verarbeitung von Bewerberdaten ist die Auswahl einer, für die freie Arbeitsstelle geeigneten Person. Ist die Stelle besetzt, sind die Bewerberdaten also zu löschen? Im Prinzip ja, außer es gibt eine ausdrückliche, am besten schriftliche, Einwilligung der Bewerberin oder des Bewerbers für eine weitere zulässige Verarbeitung der Bewerberdaten oder eine gesetzliche Grundlage für ein überwiegendes berechtigtes Interesse des Unternehmens für eine längere Aufbewahrung der Daten, zB bis zu 3-jährige Verjährungsfrist hinsichtlich der Geltendmachung von Ansprüchen des Gleichbehandlungsgesetzes (§15 GlBG).

Die häufig geübte Praxis der Übernahme von Bewerberdaten in eine Art von „Bewerberregister“ für zukünftige Stellenausschreibungen ist wohl durch ein überwiegendes berechtigtes Interesse des Unternehmens nicht zu rechtfertigen und bedarf somit der ausdrücklichen Einwilligung der Bewerberin oder des Bewerbers. Wobei es sich empfiehlt diese Einwilligung erst nach der ursprünglichen Stellenbesetzung vorzunehmen, um keinen Einwilligungsdruck auf Bewerberinnen und Bewerber auszuüben.

Zugang und Zugriff auf Bewerberdaten beschränkt

Bewerberdaten dürfen im Unternehmen nur denjenigen Personen zugänglich gemacht werden, die mit der Bewerbung für eine offene Stelle befasst sind. In kleinen und mittleren Unternehmen ist das in der Regel der Arbeitgeber selbst oder die Personalabteilung. Ebenfalls ein berechtigtes Interesse zur Einsichtnahme in personenbezogene Bewerberdaten haben zukünftige Vorgesetzte der Bewerberin bzw des Bewerbers, sofern sie im Zusammenhang mit der gegenständlichen Stellenausschreibung mit ihnen zusammenarbeiten und über deren Einstellung mitentscheiden werden. Schließlich hat auch der Betriebsrat einen bedingten, rechtlichen Anspruch auf die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung der Bewerberdaten (§91 ArbVG).

Sichere Verwendung von Bewerberdaten

Die elektronische Erhebung von Bewerberdaten per E-Mail oder online-gestütztem Bewerbungsformular ist in der Regel durch die mögliche Begründung eines Arbeitsvertrages rechtlich gedeckt. Allerdings sind seitens des Unternehmens für die Erhebung und Übermittlung der Daten, entsprechende organisatorische und technische Datensicherheitsmaßnahmen zu gewährleisten. Werden die Daten im Auftrag des Unternehmens durch einen Dienstleister, zB Personalberater oder eine Online-Jobplattform erhoben bzw übermittelt, sind mit diesem geeignete organisatorische und technische Maßnahmen zum rechtmäßigen Schutz der Daten vertraglich zu vereinbaren. Die ungesicherte Übermittlung von Bewerberdaten im Klartext, ob per Mail oder Formulardaten, ist ein absolutes No-Go. Weiters sind seitens des Unternehmens geeignete Sicherheitsmaßnahmen gegen den unberechtigten Zugriff bzw Zugang zu den Bewerberdaten  zu treffen. So sollte zB das Kopieren von Bewerberdaten auf externe Datenträger bzw die Mitnahme zur Durchsicht der Daten im Home Office entweder gänzlich untersagt oder nur dann erlaubt werden, wenn die Daten verschlüsselt worden sind.

Links

 

 

Getagged mit:

Datenschutz-Anpassungsgesetz 2018

Seit 12. Mai 2017 liegt ein Ministerialentwurf für das Datenschutz-Anpassungsgesetz 2018 vor. Mit der Gesetzesvorlage soll das österreichische Datenschutzgesetz an die Datenschutzgrundverordnung (DSGVO) angepasst werden. Das Werk umfasst  77 Paragraphen und knapp 31 Seiten. Ziel des Entwurfes ist die Aufhebung des bestehenden Datenschutzgesetzes (DSG 2000) und die Erlassung eines neuen Datenschutzgesetzes, mit welchem die durchzuführenden Bestimmungen der DSGVO geregelt werden sollen.

Grundrecht auf Datenschutz

Mit der Aufhebung des DSG 2000 entfällt auch das per Verfassungsgesetz geregelte Grundrecht auf Datenschutz. Im neuen Datenschutzgesetz soll deshalb ein Grundrecht auf Datenschutz geschaffen werden, das inhaltlich auf dem in § 1 DSG 2000 geregelten Grundrecht basiert, jedoch verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst ist sowie nur natürliche Personen schützt.

Durchführung der Datenschutz-Grundverordnung

Die allgemeinen Bestimmungen zur Durchführung der Datenschutz-Grundverordnung enthalten eine interessante Regelung bezüglich der Berichtigung oder Löschung von personenbezogenen Daten. Diese kann, nach Einschränkung der Datenverarbeitung, aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden. Weiters sind hier Ausführungen zur Geheimhaltungspflicht des Datenschutzbeauftragten und zum Datengeheimnis für Verantwortliche, Auftragsverarbeiter und ihre Mitarbeiter enthalten.

Die Einrichtung und Befugnisse der Datenschutzbehörde werden festgelegt genau wie Rechtsbehelfe, Haftung und Sanktionen. Regelungen zur Bildverarbeitung ersetzen die im DSG 2000 vorhandenen Bestimmungen zur Videoüberwachung.

Das Datenschutz-Anpassungsgesetz 2018 sieht bei Verstößen die Verhängung von Geldbußen gegen eine juristische Person vor. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Sofern eine Tat nicht nach einem Tatbestand der DSGVO nicht mit strengeren Strafen bedroht ist, werden Vergehen als Verwaltungsübertretung mit einer Geldstrafe bis zu 50.000 Euro geahndet.

Für die Verarbeitung personenbezogener Daten zum Zweck der wissenschaftlichen Forschung und Statistik, der Benachrichtigung und Befragung von betroffenen Personen, der Freiheit der Meinungsäußerung und Informationsfreiheit und im Katastrophenfall finden sich eigene Regelungen im Entwurf zum Datenschutz-Anpassungsgesetz.

Kommentar zum Datenschutz-Anpassungsgesetz

Der erste Eindruck, Der vorliegende Entwurf ist im Vergleich zum deutschen Anpassungsgesetz sehr gut lesbar und übersichtlich. In weiten Teilen werden Bestimmungen der DSGVO übernommen, Anpassungen werden vor allem in Hinblick auf die Datenschutzbehörde, den Datenschutzrat sowie die Übernahme von bestehenden Regelungen im DSG 2000 durchgeführt. Im nächsten Schritt werden wir den Entwurf im Detail auswerten und Sie weiter informieren.

Gesetzesmaterialien

Ministerialentwurf und weitere Materialien zum Datenschutz-Anpassungsgesetz

 

 

 

Getagged mit:

OÖ-Datenschutztag war ein voller Erfolg

Am 27. April 2017 fand in der Welser Villa Muthesius der OÖ-Datenschutztag statt. Im Zuge der Veranstaltung informierten Top-Experten über aktuelle Informationen und Entwicklungen in Bezug auf datenschutzrechtliche Anforderungen für Unternehmen im Zusammenhang mit der kommenden Datenschutzgrundverordnung (DSGVO).

Datenschutzbehörde im Wandel

Der langjährige Mitarbeiter der Datenschutzbehörde, Georg Lechner, informierte über die zukünftige Rolle der Aufsichtsbehörde bei der Durchsetzung der neuen datenschutzrechtlichen Normen in Österreich. Die Behörde wird ab Mai 2018 mit einer Reihe von erweiterten Befugnissen und den damit verbundenen Aufgaben ausgestattet werden, ua unmittelbare Untersuchungsbefugnisse und die Befugnis zur Verhängung von Geldbußen. Bisherige Zuständigkeiten der Behörde, wie die Führung des Datenverarbeitungsregisters, werden wegfallen.

Klar sei auch , dass es ein österreichisches Datenschutzgesetz weiterhin geben werde, aber genauso absehbar sei es, dass eine umfassende Novellierung oder Neuerlassung erforderlich sein werde. Bezüglich des aktuellen Standes etwaiger Entwürfe für Anpassungsgesetze konnte der Behördenvertreter keine Angaben machen. Aus dem Publikum war zu hören, dass es bereits einen Entwurf geben solle, der angeblich zur Stellungnahme im Justizministerium aufliegen würde. Sonst sei kaum etwas zu vernehmen, alles werde sehr vertraulich behandelt.

Neue Aufgaben und Pflichten für Unternehmen

Der Wiener IT-Anwalt, Felix Hörlsberger, unterstrich in seinem Vortrag, dass auf die Unternehmensleitung in Hinblick auf das zukünftig erforderliche, erweiterte Datenschutz Management mehr Pflichten und neue Aufgaben zukommen werden. Umfassende Dokumentationspflichten der Verarbeitungsvorgänge, die Notwendigkeit von Datenschutz-Folgenabschätzungen, die Berücksichtigung von datenschutzfreundlichen Systemeinstellungen und -designs, die Gewährleistung der Datenportabilität und Meldepflichten bei Datenschutzverletzungen, um nur eine kleine Auswahl zu nennen, verlangen nach eigenen Geschäftsprozessen und Verantwortlichkeiten im Unternehmen.

Hörlsberger machte auch klar, dass die hohen Bußgelder das Haftungsrisiko für Unternehmen bei verschuldeten Datenschutzverletzungen deutlich erhöhen werde und die Etablierung von unternehmensübergreifenden Richtlinien und Verhaltensregeln sowie die Benennung eines Datenschutzbeauftragten erforderlich machen würde.

Wirksames Datensicherheitsmanagement

Der Linzer IT-Sicherheitsexperte Paul Grünberger präsentierte ausgewählte Prozesse und Maßnahmen für mehr betriebliche Datensicherheit. Anhand einer Liste der zehn häufigsten Beanstandungen bei IT-Sicherheitsaudits veranschaulichte er einprägsam die vorhandenen Schwachstellen bestehender Sicherheitsarchitekturen in den Unternehmen.

Als Lösung verwies er auf die Vorteile beim Einsatz erprobter IT-Security Management Systeme wie IT-Grundschutz oder ISO 27000. Die standardisierten Verfahren würden Unternehmen dabei unterstützen, ihre Datensicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Notwendigkeit und Sinnhaftigkeit eines Datenschutzbeauftragten

Zum Abschluss referierte der Welser Sachverständige für Datenschutz, Horst Greifeneder, über die Notwendigkeit und Sinnhaftigkeit der Benennung eines Datenschutzbeauftragten. Während Behörden und öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen, gilt diese Verpflichtung für Unternehmen nur bedingt. Anhand von zahlreichen Beispielen zeigte der externe Datenschutzbeauftragte ausgewählte Szenarien in denen eine Bestellung für Unternehmen erforderlich sein wird.

Unabhängig von der Verpflichtung sei eine Benennung eines eigenen Datenschutzbeauftragten in den meisten Unternehmen aber grundsätzlich sinnvoll. Der Datenschutzbeauftragte agiere als wichtiger Garant für die Umsetzung der neuen datenschutzrechtlichen Vorschriften. Laut Gesetz berate und unterrichte er die, für die Verarbeitung von personenbezogenen Daten Verantwortlichen bzw Auftragsbearbeiter, überwache die Durchführung von Datenschutz-Folgenabschätzungen und sei bei Datenschutzverletzungen eine zentrale Schnittstelle zur Aufsichtsbehörde. Außerdem könne die Benennung eines eigenen Datenschutzbeauftragten das Haftungsrisiko für Unternehmen reduzieren.

Positive Resonanz, neuer Datenschutztag im Herbst 2017

Die Teilnehmerinnen und Teilnehmer der Veranstaltungen zeigten sich sehr zufrieden mit der Organisation, den Inhalten und Referenten der Veranstaltung. Nachfolgend ein paar Zitate, die in Erinnerung geblieben sind:

Super Vortrag. Unterhaltsam und informativ. Man könnte ihm alleine einen ganzen Tag zuhören.

Veranstaltung lieferte einen sehr brauchbaren Einblick in die aktuelle Datenschutzsituation. Nur schade, dass noch so viel im Ungewissen zu sein scheint.

Bei der 10-Punkte-Liste habe ich an unser Unternehmen gedacht. Und alle wieder gefunden.

Spannende Themen, kompetente Vortragende und ein tolles Ambiente. Ich komme gerne wieder.

Persönlich möchte ich mich bei allen Teilnehmerinnen und Teilnehmer bedanken, welche mit ihrem Interesse und ihren Fragen wesentlich dazu beigetragen haben, den OÖ-Datenschutztag erfolgreich zu machen.

Der nächste OÖ-Datenschutztag ist für den 24. Oktober 2017 geplant.

 

Getagged mit: ,

DSG 2000 Anpassung an DSGVO

Anpassung DSG 2000

Noch knapp 13 Monate bis zum Inkrafttreten der DSGVO in Österreich. Und obwohl die Zeit zur Umsetzung der DSGVO für Unternehmen schön langsam knapp wird, ist derzeit in Österreich weit und breit kein Entwurf für ein Anpassungsgesetz des DSG 2000 in Sicht.

DSG 2000 Anpassung: Interner Entwurf kursiert in Koalitionskreisen

Am Rande des Europäischen Datenschutztages (Februar 2017) war zu hören, dass ein interner Entwurf des Bundeskanzleramts vorliege, welcher vorerst einmal innerhalb der Regierungskoalition diskutiert werden sollte. Ein Ergebnis dieser Diskussion, geschweige denn, ein Ministerialentwurf für eine Begutachtung sind weder angekündigt noch abzusehen.

Dabei unterstrich im April 2016 der damalige BM Dr Ostermayer in einer schriftlichen parlamentarischen Anfragebeantwortung betreffend der Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung – DSGVO) noch, dass es notwendig sein werde, nach Abschluss des unions-rechtlichen Legislativprozesses, so rasch wie möglich einen Ministerialentwurf für einen Gesetzestext zu erarbeiten.

Die Datenschutzgrundverordnung liegt seit Mai 2016 vor. Seitdem ist nicht viel passiert.

Neues, deutsches BDSG kurz vor Beschlussfassung

Ganz anders die Situation in Deutschland. Hier gab es im November 2016 einen Entwurf des zuständigen Innenministeriums zur Anpassung des BDSG an die DSGVO. Im Februar 2017 beschloss die deutsche Bundesregierung den Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU). Im März beschäftigte sich der deutsche Bundesrat mit dem Gesetzespaket. Dem Vernehmen nach soll das neue BDSG bzw das DSAnpUG-EU noch im April verabschiedet werden.

Die in Deutschland vorgelegten Entwürfe wurden im Rahmen der Begutachtung heftig zerpflückt und mehrmals überarbeitet. Zahlreiche Sachverständige hatten Gelegenheit ihre meist sehr kritischen Stellungnahmen abzugeben. Kritisiert wurden vor allem die zu weit gehende Einschränkung von Betroffenenrechten, die Beschneidung der Kompetenzen der Aufsichtsbehörden, teilweise unklare Rechtsbegriffe (die teils von der Terminologie der DSGVO abweichen) und die schlechte Lesbarkeit des Gesetzestextes. auf Kritik. Es wurde in diesem Zusammenhang die Befürchtung geäußert, dass bis zu der erforderlichen und zeitaufwändigen Klärung grundsätzlicher Rechtsfragen vor dem Europäischen Gerichtshof viel Rechtsunsicherheit bei allen Beteiligten entstünde. Deutsche Datenschutzbehörden ließen verlauten, dass sie das geplante Datenschutzgesetz nicht anwenden würden, weil sie es in Teilen für europarechtswidrig halten würden.

Absehbare Datenschutz-Entwicklungen in Österreich

Jurist Markus Kastelitz schreibt in seinem Blogbeitrag über den aktuellen Stand der DSG 2000 Anpassung, dass koalitionsintern gerüchteweise u.a. über das datenschutzrechtliche „Verbandsklagerecht“ sowie die Höhe von Verwaltungsstrafen diskutiert werde. Vom Anwendungsbereich des neuen Datenschutzgesetzes seien zukünftig nur mehr natürliche Personen als „Betroffene“ umfasst und Geldbußen sollen auch gegen eine juristische Person als strafbare Person („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) verhängt werden können. Diese Reglung soll Geschäftsführer und verantwortliche Vorstandmitglieder bei möglichen Geldbußen in Millionenhöhe vor der Privatinsolvenz schützen. Ein schwacher Trost für kleine und mittlere Unternehmen.

Angesichts der aktuellen Situation ist wohl auch absehbar, dass in Österreich ein Anpassungsgesetz erst im Herbst 2017 vorliegen wird. Spannend wird es, sollte es zu vorgezogenen Nationalratswahlen kommen. Dann droht entweder ein Husch-Pfusch-Gesetz oder gar keines. Das würde dann wohl bedeuten, dass die DSGVO unmittelbar in Österreich gelten würde.

Folgen für Unternehmen

Unternehmen sind gut beraten, mit ihren Projekten zur Anpassung bestehender Datenschutzmaßnahmen an die DSGVO  nicht länger zuzuwarten. Auch wenn die im Zuge der DSG 2000 Anpassung erstellten, Österreich-spezifischen Datenschutzregelungen noch nicht absehbar sind, bittet die mit 25. Mai 2018 geltende DSGVO genügend Anhaltspunkte, um wesentliche Bausteine eines professionellen Datenschutz Managements wie Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Prozesse zur Erfüllung der Betroffenenrechte oder Meldung von Datenschutzverletzungen sowie die Bestellung eines Datenschutzbeauftragten zu planen und umzusetzen.

Datenschutz-Folgenabschätzung

Besteht bei einer Form der Verarbeitung personenbezogener Daten, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko für die betroffenen Personen, ist der Auftraggeber (Verantwortliche) bereits vorab verpflichtet eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist vor allem beim Einsatz neuer Technologien in der Datenverarbeitung der Fall.

Für die Datenschutz-Folgenabschätzung ist der Rat eines benannten Datenschutzbeauftragter einzuholen.

Datenschutz-Folgenabschätzung unbedingt erforderlich

Eine Datenschutz-Folgenabschätzung ist in folgenden Fällen unbedingt erforderlich:

  • Bei der systematischen und umfassenden Bewertung persönlicher Aspekte der Betroffenen ua durch Rating, Scoring oder Big Data-Analysen, welche rechtliche Konsequenzen gegenüber Betroffenen haben oder diese in erheblicher Weise beeinträchtigen können, zB Auswertung von Fahrverhalten in Zusammenhang mit KFZ-Versicherung.
  • Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten, zB Gesundheitsdaten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche, zB Videoüberwachung.

Die Datenschutzbehörde wird in Österreich spezielle Listen der Verarbeitungen erstellen, für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Inhalte der Datenschutz-Folgeabschätzung

Die Datenschutz-Folgenabschätzung enthält zumindest nachfolgende Inhalte:

  • eine systematische Beschreibung der Verarbeitungsvorgänge und deren Zwecke inkl. der verfolgten berechtigten Auftraggeberinteressen
  • eine zweckbezogene Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
  • eine Bewertung der durch die Form der Verarbeitung anfallenden Risiken für die Rechte und Freiheiten der Betroffenen
  • die zur Risikominimierung geplanten Maßnahmen, wie Garantien, Sicherheitsvorkehrungen und Verfahren, zum Schutz der personenbezogenen Daten.

Die Einhaltung der durch die Datenschutzbehörde genehmigten Verhaltensregeln ist bei der Datenschutz-Folgenabschätzung gebührend zu berücksichtigen. Für die Datenschutz-Folgenabschätzung ist gegebenenfalls der Standpunkt der Betroffenen einzuholen. Falls erforderlich, hat der Auftraggeber eine Überprüfung und bei geänderter Risikolage für die betroffenen Personen erneut eine Datenschutz-Folgenabschätzung durchzuführen.

Konsultation der Datenschutzbehörde

Ergibt die durchgeführte Datenschutz-Folgenabschätzung, dass ohne Maßnahmen des Auftraggebers zur Eindämmung des Risikos ein hohes Risiko für die Betroffenenrechte bestünde, ist der Auftraggeber verpflichtet vor der Verarbeitung, die Aufsichtsbehörde zu konsultieren. Kommt die Datenschutzbehörde bei einer Prüfung zur Auffassung, dass die geplante Verarbeitung rechtswidrig sei, unterbreitet sie dem Auftraggeber innerhalb von 8 Wochen schriftliche Empfehlungen zur Maßnahmenverbesserung. Die Datenschutzbehörde ist im Extremfall sogar befugt eine Verarbeitung vorübergehend oder endgültig zu verbieten. Den Auftraggeber trifft bei der Konsultation eine Informationspflicht gegenüber der Aufsichtsbehörden.

Bei fehlender Datenschutz-Folgenabschätzung droht hohe Strafe

Bei Verstößen gegen eine erforderliche Datenschutz-Folgenabschätzung können Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Fazit

Die gesetzlich verlangte Durchführung einer Datenschutz-Folgenabschätzungen erfordert einen hohen personellen und organisatorischen Aufwand für die Verantwortlichen. Verschärft wird die Lage noch dadurch, dass im Gesetz nur sehr allgemeine Mindest-Anforderungen an eine Datenschutz-Folgenabschätzung enthalten sind. Hilfreich wäre eine baldige Veröffentlichung von Listen jener Verarbeitungsvorgänge für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Getagged mit:

Datenschutztag 2017: DSGVO fordert Österreichs Wirtschaft


Jetzt! Programm ansehen und anmelden!

Datenschutztag 2017

Am 23. Februar 2017 fand der 11. Europäische Datenschutztag unter dem Titel „Das neue Datenschutzrecht in der Europäischen Union“ statt. In der gemeinsamen Veranstaltung von Datenschutzbehörde und Datenschutzrat referierten und diskutierten im Bundeskanzleramt namhafte Datenschutzexperten über die Folgen und Auswirkungen der neuen Datenschutzreglungen.

Erhebliche Anpassungen erforderlich

Bundesminister Mag. Thomas Drozda (SPÖ) wies in seiner Eröffnungsrede auf den erheblichen Anpassungsbedarf im österreichischen Datenschutzrecht hin. Weiters betonte er, dass bei der Umsetzung vor allem wichtig sein werde, bestehende, hohe Datenschutzstandards in Österreich aufrechtzuerhalten und möglichst eine bundesweit einheitliche Regelungen zu schaffen.

Massiver Aufwand in der Praxis

Die Leiterin der internen Datenschutzabteilung der A1 Telekom Austria AG, Mag. Judith Leschanz, berichtete über Prozesse und Erfahrungen der seit fast 3 Jahren andauernden Compliance-Projekte beim Mobilfunkanbieter. Die neuen Reglungen brächten große Herausforderungen und einen massiven technischen und organisatorischen Mehraufwand im Unternehmen mit sich. Notwendig sei die Konzeption und Implementierung eines unternehmensweiten, professionellen Datenschutz Management Systems für präventive, operative und Notfall-Maßnahmen im gesamten Konzern. Das bräuchte eben Zeit und personelle und finanzielle Ressourcen auf allen Ebenen.

Mehr Befugnisse für die Datenschutzbehörde

Der stellvertretende Leiter der Datenschutzbehörde, Dr Matthias Schmidl, referierte über die zukünftigen Aufgaben und Befugnisse der Datenschutzbehörde nach der Datenschutz-Grundverordnung. Diese werden im Zuge der neuen Reglungen erheblich erweitert, ua bekommt die Datenschutzbehörde weitreichende Untersuchungsbefugnisse und kann zukünftig bei schwerwiegenden Datenschutzverletzungen selbstständig Verwaltungsstrafen bis zu 20 Mio Euro oder 4% des weltweiten Firmenumsatzes verhängen.

Chancen und länderspezifische Probleme

In der abschließenden Podiumsdiskussion wurden die Chancen und Risiken der neunen Reglungen für österreichische Unternehmen erörtert. „Österreich wäre aufgrund seiner Größe und Marktreife das ideale Entwicklungsfeld für innovative Datenschutz-Services“, meinte WU-Professorin Dr. Sarah Spiekermann und forderte Unternehmer auf: “Neue Personal Data Management Services zu entwickeln und damit wirtschaftliche Chancen aktiv zu nutzen.“

Johann Maier, Vorsitzender des Datenschutzrates, zeigte sich da schon weniger optimistisch und verwies auf bestehende Probleme bei bundesländerspezifischen Regelungen, ua Wettgesetze oder Sportförderungsgesetze der Länder, welche immer noch nicht den heutigen Datenschutzstandards entsprechen würden. Änderungen seien hier aber nur gemeinsam mit den Ländern möglich.

Der Leiter des Rechtsinformatikinstituts der Leibniz Universität Hannover, Univ.-Prof. Nikolaus Forgó, wiederum verwies auf die Fülle der unklaren Rechtsbegriffe in der Verordnung, welche ihn und seine Kollegen noch über Jahre beschäftigen würden.

Bilder: Bilder zum 11. Datenschutztag sind über das Fotoservice des Bundespressedienstes kostenfrei abrufbar. http://www.fotoservice.bundeskanzleramt.at/

Strafen im Datenschutz

Das Thema Strafen im Datenschutz gewinnt mit der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) zunehmend an Bedeutung. Die neuen Regelungen sehen eine drastische Erhöhung der Geldbußen bei zukünftigen Datenschutzverstößen vor. Bis zu 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro drohen lt DSGVO in Zukunft als höchste Geldstrafe. Aufsichtsbehörden sind zudem verpflichtet, sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

Strafen im Datenschutz (DSG 2000)

Der § 52 DSG 2000 sieht aktuell Geldstrafen zwischen 500 und 25.000 Euro bei datenschutzrechtlichen Verwaltungsübertretungen vor. Zuständig für Entscheidungen, wie die Bemessung der Strafen sind die Bezirksverwaltungsbehörden, also Bezirkshauptmannschaften oder Magistrate, in denen der Auftraggeber seinen Aufenthalt oder Sitz hat. Wie häufig Strafen ausgesprochen. Dem Autor sind keine Quellen bekannt, welche Auskunft darüber geben würden. wie oft und in welcher Höhe in den vergangenen Jahren entsprechende Verwaltungsstrafen in Österreich verhängt worden sind.

Strafen nach der DSGVO

Die DSGVO sieht hingegen bei Datenschutzverstößen drastische Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Die Strafen werden im jeweiligen Einzelfall unter Berücksichtigung aller besonderen Umstände verhängt. Strafmildernd wirken ua vorhandene, technische und organisatorische Maßnahmen zur Minderung des Schadens. Zuständig für die Verhängung von Verwaltungsstrafen ist lt DSGVO in Österreich die Datenschutzbehörde, deren Befugnisse merklich erweitert worden sind.

Umsetzung der Strafbestimmungen in nationales Recht

Für die Umsetzung der Strafbestimmungen lässt die DSGVO den nationalen Gesetzgebern einiges an Spielraum. Wie aus dem Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO ersichtlich ist, bewegen sich dort die für Datenschutzverstöße vorgesehenen Geldbußen zwischen 50.000 und 300.000 Euro. Ausdrücklich vorgesehen ist, dass Strafe den wirtschaftlichen Vorteil, den der Täter aus der Verwaltungsübertretung gezogen hat, übersteigen soll. Reichen die Strafen von bis zu 300.000 Euro dafür nicht aus, dann kann der Strafbetrag auch höher liegen. Ein entsprechender Entwurf liegt in Österreich derzeit noch nicht vor.

Strafen zukünftig existenzbedrohend?

Obwohl die Strafbestimmungen in der DSGVO als Höchstsätze zu betrachten sind und wie das deutsche Beispiel zeigt, die drohenden Strafsätze für Verwaltungsübertretungen auch niedriger sein können, ergibt sich durch das im österreichischen Verwaltungsstrafrecht (VStG) vorherrschende Kumulationsprinzip möglicherweise ein weiteres, existenzgefährdendes Problem für Unternehmen. Das Prinzip sieht vor, dass bei mehreren begangenen Verwaltungsübertretungen auch mehrere Strafen nebeneinander verhängt werden dürfen. Dies könnte im schlimmsten Fall zu einer Gesamtstrafe in der mehrfachen Höhe eines Jahresumsatzes führen.

Anpassung an DSGVO mit Augenmaß

In Hinblick auf die anstehende Umsetzung der DSGVO in nationales Recht ist zu hoffen, dass der Gesetzgeber die entsprechenden Regelungen mit Augenmaß durchführt und dabei vor allem die wirtschaftlichen Folgen überzogener Strafen berücksichtigt. Schlussendlich kann es nicht Sinn und Zweck der DSGVO sein, die wirtschaftliche Existenz von Unternehmen, insbes von Klein und Kleinstbetriebe, zu gefährden. Den Firmen ist wiederum zu empfehlen, rasch sämtliche Datenanwendungen im Unternehmen zu erfassen, zu analysieren und sachgerechte Datenschutzmaßnahmen zu ergreifen.

Links

Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO (DSAnpUG-EU)

Richtlinien zur Bestellung eines Datenschutzbeauftragten

Der Zusammenschluss der nationalen Datenschutzbehörden in Europa, die sog. Art. 29 Datenschutzgruppe hat im Dezember 2016 einen Leitfaden veröffentlicht, welcher die nicht immer eindeutigen Regelungen der DS-GVO zur Bestellung eines Datenschutzbeauftragten konkretisieren soll.

Bestellung eines Datenschutzbeauftragten

Die DSG-VO sieht zwingend die Bestellung eines Datenschutzbeauftragten in nachfolgenden Fällen vor:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Einzelnen Mitgliedsstaaten bleibt es vorbehalten, darüber hinaus Regelungen zur verpflichtenden Benennung eines Datenschutzbeauftragten zu erlassen. Ebenso können Organisationen auf freiwilliger Basis einen Datenschutzbeauftragten bestellen.

Bestellung eines Datenschutzbeauftragten im Unternehmen

In der Praxis tauchten in den letzten Monaten immer wieder Fragen zu einzelnen Begriffen in der DSG-VO auf, deren ordnungsgemäße Beantwortung für die zwingend erforderliche Benennung eines Datenschutzbeauftragten in privaten Unternehmen von zentraler Bedeutung ist.

Im einzelnen sind dies:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters
  • ihrer Art, ihres Umfangs und/oder ihrer Zwecke sowie
  • regelmäßige und systematische Überwachung

Die Art. 29 Datenschutzgruppe hat nun im Leitfaden zu Datenschutzbeauftragte diese Begriffe genauer spezifiziert und bietet damit eine wertvolle Hilfestellung bei der Entscheidung zur notwendigen Benennung eines Datenschutzbeauftragten im Unternehmen.

Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters

Als Kerntätigkeiten des Unternehmens sind die Hauptaktivitäten des Unternehmens zur Erreichung des Unternehmensziels zu verstehen. Am Beispiel eines Krankenhauses, dessen wichtigstes Ziel die öffentliche Gesundheitsversorgung ist, wird die Notwendigkeit zur Benennung eines Datenschutzbeauftragten dadurch verdeutlicht, dass eine sichere und effektive Gesundheitsversorgung ohne die Verarbeitung von Gesundheitsdaten in der heutigen Zeit unmöglich sei. Die Verarbeitung von Gesundheitsdaten zählt somit zur Kerntätigkeit eines Krankenhauses uns damit wird die Benennung eines Datenschutzbeauftragten obligatorisch.

Andererseits verarbeiten alle Unternehmen auch Lohnzahlungen oder andere grundlegende Datenanwendungen. Diese Verarbeitungen sind als notwendige Unterstützungsaktivitäten für die Kerntätigkeit des Unternehmens zu sehen und begründen an sich keine Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Art, Umfang und/oder Zweck der personenbezogenen Datenanwendungen

In früheren Fassungen der DSG-VO hat man noch versucht, diesen Begriff abhängig von der Anzahl der mit der Bearbeitung beschäftigten Mitarbeiter oder betroffenen Personen zu quantifizieren. Die endgültige Fassung der DSG-VO verzichtet auf eine derartige Quantifizierung udn trägt damit nicht unerheblich zur Auslegungsunsicherheit bei.

Die Art.29 Gruppe empfiehlt vor allem nachfolgende Faktoren bei der Beurteilung von Art, Umfang und/oder Zweck der personenbezogenen Datenanwendung zu beachten:

  • Anzahl der betroffene Personen, als absolute bzw relative Zahl des betroffenen Personenkreises
  • Umfang und/oder Bandbreite der verschiedenen, verarbeiteten Daten
  • die Dauer der Verarbeitungsaktivitäten
  • die geografische Ausbreitung der Verarbeitungsaktivitäten

Datenanwendungen die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes die Bestellung eines Datenschutzbeauftragten lt Leitfaden notwendig machen wären ua die Verarbeitung

  • von Kundendaten im regulären Geschäft einer Versicherung oder Bank
  • von personenbezogenen Daten für verhaltensorientierte Werbung

Umfangreiche regelmäßige und systematische Überwachung

Hiermit sind alle Formen des umfangreichen Trackings und Profilings von personenbezogenen Daten für verhaltensorientierte Werbung, Retargeting, Scoring, Gesundheitsdatenmonitoring uvam gemeint.

Der Begriff „regelmäßig“ umfasst dabei andauernde, regelmäßige, ständige oder periodische Verarbeitungsaktivitäten. Der Begriff „systematisch“ bezieht sich auf einem System folgende, organisierte, methodische, geplante und strategische Verarbeitungsaktivitäten.

Fazit

Der Leitfaden der Art.29-Gruppe stellt eine wertvolle Orientierungshilfe für die Entscheidung hinsichtlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten dar. Trotzdem werden in der Praxis weitere Fallkonstellationen auftauchen, in denen weiterhin nach klaren Antworten intensiv zu suchen sein wird.

Anmerkung: Oben angeführte Informationen stammen überwiegend  veröffentlichten, englischen Version des Leitfadens“Guidelines on Data Protection Officers“. Ich habe mich bemüht, die deutsche Übersetzung möglichst im Sinne des englischen Wortlauts und in Abstimmung mit den Begrifflichkeiten der deutschsprachigen DSG-VO durchzuführen. Sollten sich daraus etwaige Unklarheiten oder Missverständnisse ergeben, bitte ich Sie diese zu entschuldigen bzw mich zu informieren.

Links

Der Leitfaden der Art.29-Gruppe im englischsprachigen Original, „Guidelines on Data Protection Officers„.

Top