DSG 2000 Anpassung an DSGVO

Anpassung DSG 2000

Noch knapp 13 Monate bis zum Inkrafttreten der DSGVO in Österreich. Und obwohl die Zeit zur Umsetzung der DSGVO für Unternehmen schön langsam knapp wird, ist derzeit in Österreich weit und breit kein Entwurf für ein Anpassungsgesetz des DSG 2000 in Sicht.

DSG 2000 Anpassung: Interner Entwurf kursiert in Koalitionskreisen

Am Rande des Europäischen Datenschutztages (Februar 2017) war zu hören, dass ein interner Entwurf des Bundeskanzleramts vorliege, welcher vorerst einmal innerhalb der Regierungskoalition diskutiert werden sollte. Ein Ergebnis dieser Diskussion, geschweige denn, ein Ministerialentwurf für eine Begutachtung sind weder angekündigt noch abzusehen.

Dabei unterstrich im April 2016 der damalige BM Dr Ostermayer in einer schriftlichen parlamentarischen Anfragebeantwortung betreffend der Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung – DSGVO) noch, dass es notwendig sein werde, nach Abschluss des unions-rechtlichen Legislativprozesses, so rasch wie möglich einen Ministerialentwurf für einen Gesetzestext zu erarbeiten.

Die Datenschutzgrundverordnung liegt seit Mai 2016 vor. Seitdem ist nicht viel passiert.

Neues, deutsches BDSG kurz vor Beschlussfassung

Ganz anders die Situation in Deutschland. Hier gab es im November 2016 einen Entwurf des zuständigen Innenministeriums zur Anpassung des BDSG an die DSGVO. Im Februar 2017 beschloss die deutsche Bundesregierung den Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU). Im März beschäftigte sich der deutsche Bundesrat mit dem Gesetzespaket. Dem Vernehmen nach soll das neue BDSG bzw das DSAnpUG-EU noch im April verabschiedet werden.

Die in Deutschland vorgelegten Entwürfe wurden im Rahmen der Begutachtung heftig zerpflückt und mehrmals überarbeitet. Zahlreiche Sachverständige hatten Gelegenheit ihre meist sehr kritischen Stellungnahmen abzugeben. Kritisiert wurden vor allem die zu weit gehende Einschränkung von Betroffenenrechten, die Beschneidung der Kompetenzen der Aufsichtsbehörden, teilweise unklare Rechtsbegriffe (die teils von der Terminologie der DSGVO abweichen) und die schlechte Lesbarkeit des Gesetzestextes. auf Kritik. Es wurde in diesem Zusammenhang die Befürchtung geäußert, dass bis zu der erforderlichen und zeitaufwändigen Klärung grundsätzlicher Rechtsfragen vor dem Europäischen Gerichtshof viel Rechtsunsicherheit bei allen Beteiligten entstünde. Deutsche Datenschutzbehörden ließen verlauten, dass sie das geplante Datenschutzgesetz nicht anwenden würden, weil sie es in Teilen für europarechtswidrig halten würden.

Absehbare Datenschutz-Entwicklungen in Österreich

Jurist Markus Kastelitz schreibt in seinem Blogbeitrag über den aktuellen Stand der DSG 2000 Anpassung, dass koalitionsintern gerüchteweise u.a. über das datenschutzrechtliche „Verbandsklagerecht“ sowie die Höhe von Verwaltungsstrafen diskutiert werde. Vom Anwendungsbereich des neuen Datenschutzgesetzes seien zukünftig nur mehr natürliche Personen als „Betroffene“ umfasst und Geldbußen sollen auch gegen eine juristische Person als strafbare Person („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) verhängt werden können. Diese Reglung soll Geschäftsführer und verantwortliche Vorstandmitglieder bei möglichen Geldbußen in Millionenhöhe vor der Privatinsolvenz schützen. Ein schwacher Trost für kleine und mittlere Unternehmen.

Angesichts der aktuellen Situation ist wohl auch absehbar, dass in Österreich ein Anpassungsgesetz erst im Herbst 2017 vorliegen wird. Spannend wird es, sollte es zu vorgezogenen Nationalratswahlen kommen. Dann droht entweder ein Husch-Pfusch-Gesetz oder gar keines. Das würde dann wohl bedeuten, dass die DSGVO unmittelbar in Österreich gelten würde.

Folgen für Unternehmen

Unternehmen sind gut beraten, mit ihren Projekten zur Anpassung bestehender Datenschutzmaßnahmen an die DSGVO  nicht länger zuzuwarten. Auch wenn die im Zuge der DSG 2000 Anpassung erstellten, Österreich-spezifischen Datenschutzregelungen noch nicht absehbar sind, bittet die mit 25. Mai 2018 geltende DSGVO genügend Anhaltspunkte, um wesentliche Bausteine eines professionellen Datenschutz Managements wie Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Prozesse zur Erfüllung der Betroffenenrechte oder Meldung von Datenschutzverletzungen sowie die Bestellung eines Datenschutzbeauftragten zu planen und umzusetzen.

Veröffentlicht in Datenschutzgesetz, Datenschutzgrundverordnung

Datenschutz-Folgenabschätzung

Besteht bei einer Form der Verarbeitung personenbezogener Daten, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko für die betroffenen Personen, ist der Auftraggeber (Verantwortliche) bereits vorab verpflichtet eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist vor allem beim Einsatz neuer Technologien in der Datenverarbeitung der Fall.

Für die Datenschutz-Folgenabschätzung ist der Rat eines benannten Datenschutzbeauftragter einzuholen.

Datenschutz-Folgenabschätzung unbedingt erforderlich

Eine Datenschutz-Folgenabschätzung ist in folgenden Fällen unbedingt erforderlich:

  • Bei der systematischen und umfassenden Bewertung persönlicher Aspekte der Betroffenen ua durch Rating, Scoring oder Big Data-Analysen, welche rechtliche Konsequenzen gegenüber Betroffenen haben oder diese in erheblicher Weise beeinträchtigen können, zB Auswertung von Fahrverhalten in Zusammenhang mit KFZ-Versicherung.
  • Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten, zB Gesundheitsdaten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche, zB Videoüberwachung.

Die Datenschutzbehörde wird in Österreich spezielle Listen der Verarbeitungen erstellen, für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Inhalte der Datenschutz-Folgeabschätzung

Die Datenschutz-Folgenabschätzung enthält zumindest nachfolgende Inhalte:

  • eine systematische Beschreibung der Verarbeitungsvorgänge und deren Zwecke inkl. der verfolgten berechtigten Auftraggeberinteressen
  • eine zweckbezogene Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
  • eine Bewertung der durch die Form der Verarbeitung anfallenden Risiken für die Rechte und Freiheiten der Betroffenen
  • die zur Risikominimierung geplanten Maßnahmen, wie Garantien, Sicherheitsvorkehrungen und Verfahren, zum Schutz der personenbezogenen Daten.

Die Einhaltung der durch die Datenschutzbehörde genehmigten Verhaltensregeln ist bei der Datenschutz-Folgenabschätzung gebührend zu berücksichtigen. Für die Datenschutz-Folgenabschätzung ist gegebenenfalls der Standpunkt der Betroffenen einzuholen. Falls erforderlich, hat der Auftraggeber eine Überprüfung und bei geänderter Risikolage für die betroffenen Personen erneut eine Datenschutz-Folgenabschätzung durchzuführen.

Konsultation der Datenschutzbehörde

Ergibt die durchgeführte Datenschutz-Folgenabschätzung, dass ohne Maßnahmen des Auftraggebers zur Eindämmung des Risikos ein hohes Risiko für die Betroffenenrechte bestünde, ist der Auftraggeber verpflichtet vor der Verarbeitung, die Aufsichtsbehörde zu konsultieren. Kommt die Datenschutzbehörde bei einer Prüfung zur Auffassung, dass die geplante Verarbeitung rechtswidrig sei, unterbreitet sie dem Auftraggeber innerhalb von 8 Wochen schriftliche Empfehlungen zur Maßnahmenverbesserung. Die Datenschutzbehörde ist im Extremfall sogar befugt eine Verarbeitung vorübergehend oder endgültig zu verbieten. Den Auftraggeber trifft bei der Konsultation eine Informationspflicht gegenüber der Aufsichtsbehörden.

Bei fehlender Datenschutz-Folgenabschätzung droht hohe Strafe

Bei Verstößen gegen eine erforderliche Datenschutz-Folgenabschätzung können Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Fazit

Die gesetzlich verlangte Durchführung einer Datenschutz-Folgenabschätzungen erfordert einen hohen personellen und organisatorischen Aufwand für die Verantwortlichen. Verschärft wird die Lage noch dadurch, dass im Gesetz nur sehr allgemeine Mindest-Anforderungen an eine Datenschutz-Folgenabschätzung enthalten sind. Hilfreich wäre eine baldige Veröffentlichung von Listen jener Verarbeitungsvorgänge für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Veröffentlicht in Datenschutz-Folgenabschätzung, Datenschutzgrundverordnung, Datenschutzpraxis Getagged mit:

Datenschutztag 2017: DSGVO fordert Österreichs Wirtschaft


Jetzt! Programm ansehen und anmelden!

Datenschutztag 2017

Am 23. Februar 2017 fand der 11. Europäische Datenschutztag unter dem Titel „Das neue Datenschutzrecht in der Europäischen Union“ statt. In der gemeinsamen Veranstaltung von Datenschutzbehörde und Datenschutzrat referierten und diskutierten im Bundeskanzleramt namhafte Datenschutzexperten über die Folgen und Auswirkungen der neuen Datenschutzreglungen.

Erhebliche Anpassungen erforderlich

Bundesminister Mag. Thomas Drozda (SPÖ) wies in seiner Eröffnungsrede auf den erheblichen Anpassungsbedarf im österreichischen Datenschutzrecht hin. Weiters betonte er, dass bei der Umsetzung vor allem wichtig sein werde, bestehende, hohe Datenschutzstandards in Österreich aufrechtzuerhalten und möglichst eine bundesweit einheitliche Regelungen zu schaffen.

Massiver Aufwand in der Praxis

Die Leiterin der internen Datenschutzabteilung der A1 Telekom Austria AG, Mag. Judith Leschanz, berichtete über Prozesse und Erfahrungen der seit fast 3 Jahren andauernden Compliance-Projekte beim Mobilfunkanbieter. Die neuen Reglungen brächten große Herausforderungen und einen massiven technischen und organisatorischen Mehraufwand im Unternehmen mit sich. Notwendig sei die Konzeption und Implementierung eines unternehmensweiten, professionellen Datenschutz Management Systems für präventive, operative und Notfall-Maßnahmen im gesamten Konzern. Das bräuchte eben Zeit und personelle und finanzielle Ressourcen auf allen Ebenen.

Mehr Befugnisse für die Datenschutzbehörde

Der stellvertretende Leiter der Datenschutzbehörde, Dr Matthias Schmidl, referierte über die zukünftigen Aufgaben und Befugnisse der Datenschutzbehörde nach der Datenschutz-Grundverordnung. Diese werden im Zuge der neuen Reglungen erheblich erweitert, ua bekommt die Datenschutzbehörde weitreichende Untersuchungsbefugnisse und kann zukünftig bei schwerwiegenden Datenschutzverletzungen selbstständig Verwaltungsstrafen bis zu 20 Mio Euro oder 4% des weltweiten Firmenumsatzes verhängen.

Chancen und länderspezifische Probleme

In der abschließenden Podiumsdiskussion wurden die Chancen und Risiken der neunen Reglungen für österreichische Unternehmen erörtert. „Österreich wäre aufgrund seiner Größe und Marktreife das ideale Entwicklungsfeld für innovative Datenschutz-Services“, meinte WU-Professorin Dr. Sarah Spiekermann und forderte Unternehmer auf: “Neue Personal Data Management Services zu entwickeln und damit wirtschaftliche Chancen aktiv zu nutzen.“

Johann Maier, Vorsitzender des Datenschutzrates, zeigte sich da schon weniger optimistisch und verwies auf bestehende Probleme bei bundesländerspezifischen Regelungen, ua Wettgesetze oder Sportförderungsgesetze der Länder, welche immer noch nicht den heutigen Datenschutzstandards entsprechen würden. Änderungen seien hier aber nur gemeinsam mit den Ländern möglich.

Der Leiter des Rechtsinformatikinstituts der Leibniz Universität Hannover, Univ.-Prof. Nikolaus Forgó, wiederum verwies auf die Fülle der unklaren Rechtsbegriffe in der Verordnung, welche ihn und seine Kollegen noch über Jahre beschäftigen würden.

Bilder: Bilder zum 11. Datenschutztag sind über das Fotoservice des Bundespressedienstes kostenfrei abrufbar. http://www.fotoservice.bundeskanzleramt.at/

Veröffentlicht in Datenschutz, Datenschutzbehörde, Datenschutztag

Strafen im Datenschutz

Das Thema Strafen im Datenschutz gewinnt mit der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) zunehmend an Bedeutung. Die neuen Regelungen sehen eine drastische Erhöhung der Geldbußen bei zukünftigen Datenschutzverstößen vor. Bis zu 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro drohen lt DSGVO in Zukunft als höchste Geldstrafe. Aufsichtsbehörden sind zudem verpflichtet, sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

Strafen im Datenschutz (DSG 2000)

Der § 52 DSG 2000 sieht aktuell Geldstrafen zwischen 500 und 25.000 Euro bei datenschutzrechtlichen Verwaltungsübertretungen vor. Zuständig für Entscheidungen, wie die Bemessung der Strafen sind die Bezirksverwaltungsbehörden, also Bezirkshauptmannschaften oder Magistrate, in denen der Auftraggeber seinen Aufenthalt oder Sitz hat. Wie häufig Strafen ausgesprochen. Dem Autor sind keine Quellen bekannt, welche Auskunft darüber geben würden. wie oft und in welcher Höhe in den vergangenen Jahren entsprechende Verwaltungsstrafen in Österreich verhängt worden sind.

Strafen nach der DSGVO

Die DSGVO sieht hingegen bei Datenschutzverstößen drastische Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Die Strafen werden im jeweiligen Einzelfall unter Berücksichtigung aller besonderen Umstände verhängt. Strafmildernd wirken ua vorhandene, technische und organisatorische Maßnahmen zur Minderung des Schadens. Zuständig für die Verhängung von Verwaltungsstrafen ist lt DSGVO in Österreich die Datenschutzbehörde, deren Befugnisse merklich erweitert worden sind.

Umsetzung der Strafbestimmungen in nationales Recht

Für die Umsetzung der Strafbestimmungen lässt die DSGVO den nationalen Gesetzgebern einiges an Spielraum. Wie aus dem Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO ersichtlich ist, bewegen sich dort die für Datenschutzverstöße vorgesehenen Geldbußen zwischen 50.000 und 300.000 Euro. Ausdrücklich vorgesehen ist, dass Strafe den wirtschaftlichen Vorteil, den der Täter aus der Verwaltungsübertretung gezogen hat, übersteigen soll. Reichen die Strafen von bis zu 300.000 Euro dafür nicht aus, dann kann der Strafbetrag auch höher liegen. Ein entsprechender Entwurf liegt in Österreich derzeit noch nicht vor.

Strafen zukünftig existenzbedrohend?

Obwohl die Strafbestimmungen in der DSGVO als Höchstsätze zu betrachten sind und wie das deutsche Beispiel zeigt, die drohenden Strafsätze für Verwaltungsübertretungen auch niedriger sein können, ergibt sich durch das im österreichischen Verwaltungsstrafrecht (VStG) vorherrschende Kumulationsprinzip möglicherweise ein weiteres, existenzgefährdendes Problem für Unternehmen. Das Prinzip sieht vor, dass bei mehreren begangenen Verwaltungsübertretungen auch mehrere Strafen nebeneinander verhängt werden dürfen. Dies könnte im schlimmsten Fall zu einer Gesamtstrafe in der mehrfachen Höhe eines Jahresumsatzes führen.

Anpassung an DSGVO mit Augenmaß

In Hinblick auf die anstehende Umsetzung der DSGVO in nationales Recht ist zu hoffen, dass der Gesetzgeber die entsprechenden Regelungen mit Augenmaß durchführt und dabei vor allem die wirtschaftlichen Folgen überzogener Strafen berücksichtigt. Schlussendlich kann es nicht Sinn und Zweck der DSGVO sein, die wirtschaftliche Existenz von Unternehmen, insbes von Klein und Kleinstbetriebe, zu gefährden. Den Firmen ist wiederum zu empfehlen, rasch sämtliche Datenanwendungen im Unternehmen zu erfassen, zu analysieren und sachgerechte Datenschutzmaßnahmen zu ergreifen.

Links

Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO (DSAnpUG-EU)

Veröffentlicht in Datenschutz, Datenschutzgesetz, Datenschutzgrundverordnung

Richtlinien zur Bestellung eines Datenschutzbeauftragten

Der Zusammenschluss der nationalen Datenschutzbehörden in Europa, die sog. Art. 29 Datenschutzgruppe hat im Dezember 2016 einen Leitfaden veröffentlicht, welcher die nicht immer eindeutigen Regelungen der DS-GVO zur Bestellung eines Datenschutzbeauftragten konkretisieren soll.

Bestellung eines Datenschutzbeauftragten

Die DSG-VO sieht zwingend die Bestellung eines Datenschutzbeauftragten in nachfolgenden Fällen vor:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Einzelnen Mitgliedsstaaten bleibt es vorbehalten, darüber hinaus Regelungen zur verpflichtenden Benennung eines Datenschutzbeauftragten zu erlassen. Ebenso können Organisationen auf freiwilliger Basis einen Datenschutzbeauftragten bestellen.

Bestellung eines Datenschutzbeauftragten im Unternehmen

In der Praxis tauchten in den letzten Monaten immer wieder Fragen zu einzelnen Begriffen in der DSG-VO auf, deren ordnungsgemäße Beantwortung für die zwingend erforderliche Benennung eines Datenschutzbeauftragten in privaten Unternehmen von zentraler Bedeutung ist.

Im einzelnen sind dies:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters
  • ihrer Art, ihres Umfangs und/oder ihrer Zwecke sowie
  • regelmäßige und systematische Überwachung

Die Art. 29 Datenschutzgruppe hat nun im Leitfaden zu Datenschutzbeauftragte diese Begriffe genauer spezifiziert und bietet damit eine wertvolle Hilfestellung bei der Entscheidung zur notwendigen Benennung eines Datenschutzbeauftragten im Unternehmen.

Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters

Als Kerntätigkeiten des Unternehmens sind die Hauptaktivitäten des Unternehmens zur Erreichung des Unternehmensziels zu verstehen. Am Beispiel eines Krankenhauses, dessen wichtigstes Ziel die öffentliche Gesundheitsversorgung ist, wird die Notwendigkeit zur Benennung eines Datenschutzbeauftragten dadurch verdeutlicht, dass eine sichere und effektive Gesundheitsversorgung ohne die Verarbeitung von Gesundheitsdaten in der heutigen Zeit unmöglich sei. Die Verarbeitung von Gesundheitsdaten zählt somit zur Kerntätigkeit eines Krankenhauses uns damit wird die Benennung eines Datenschutzbeauftragten obligatorisch.

Andererseits verarbeiten alle Unternehmen auch Lohnzahlungen oder andere grundlegende Datenanwendungen. Diese Verarbeitungen sind als notwendige Unterstützungsaktivitäten für die Kerntätigkeit des Unternehmens zu sehen und begründen an sich keine Verpflichtung zur Benennung eines Datenschutzbeauftragten.

Art, Umfang und/oder Zweck der personenbezogenen Datenanwendungen

In früheren Fassungen der DSG-VO hat man noch versucht, diesen Begriff abhängig von der Anzahl der mit der Bearbeitung beschäftigten Mitarbeiter oder betroffenen Personen zu quantifizieren. Die endgültige Fassung der DSG-VO verzichtet auf eine derartige Quantifizierung udn trägt damit nicht unerheblich zur Auslegungsunsicherheit bei.

Die Art.29 Gruppe empfiehlt vor allem nachfolgende Faktoren bei der Beurteilung von Art, Umfang und/oder Zweck der personenbezogenen Datenanwendung zu beachten:

  • Anzahl der betroffene Personen, als absolute bzw relative Zahl des betroffenen Personenkreises
  • Umfang und/oder Bandbreite der verschiedenen, verarbeiteten Daten
  • die Dauer der Verarbeitungsaktivitäten
  • die geografische Ausbreitung der Verarbeitungsaktivitäten

Datenanwendungen die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes die Bestellung eines Datenschutzbeauftragten lt Leitfaden notwendig machen wären ua die Verarbeitung

  • von Kundendaten im regulären Geschäft einer Versicherung oder Bank
  • von personenbezogenen Daten für verhaltensorientierte Werbung

Umfangreiche regelmäßige und systematische Überwachung

Hiermit sind alle Formen des umfangreichen Trackings und Profilings von personenbezogenen Daten für verhaltensorientierte Werbung, Retargeting, Scoring, Gesundheitsdatenmonitoring uvam gemeint.

Der Begriff „regelmäßig“ umfasst dabei andauernde, regelmäßige, ständige oder periodische Verarbeitungsaktivitäten. Der Begriff „systematisch“ bezieht sich auf einem System folgende, organisierte, methodische, geplante und strategische Verarbeitungsaktivitäten.

Fazit

Der Leitfaden der Art.29-Gruppe stellt eine wertvolle Orientierungshilfe für die Entscheidung hinsichtlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten dar. Trotzdem werden in der Praxis weitere Fallkonstellationen auftauchen, in denen weiterhin nach klaren Antworten intensiv zu suchen sein wird.

Anmerkung: Oben angeführte Informationen stammen überwiegend  veröffentlichten, englischen Version des Leitfadens“Guidelines on Data Protection Officers“. Ich habe mich bemüht, die deutsche Übersetzung möglichst im Sinne des englischen Wortlauts und in Abstimmung mit den Begrifflichkeiten der deutschsprachigen DSG-VO durchzuführen. Sollten sich daraus etwaige Unklarheiten oder Missverständnisse ergeben, bitte ich Sie diese zu entschuldigen bzw mich zu informieren.

Links

Der Leitfaden der Art.29-Gruppe im englischsprachigen Original, „Guidelines on Data Protection Officers„.

Veröffentlicht in Datenschutzbeauftragter, Datenschutzgrundverordnung, Datenschutzpraxis

Datenschutz und Datensicherheit im Jahr 2017

Zu Jahresbeginn gestatte ich mir einen Ausblick auf bevorstehende Aufgaben für das kommende Jahr. Zwei wichtige EU-weite Gesetze die 2018 in Kraft treten werden, stehen schon im heurigen Jahr im Mittelpunkt des Interesses für IT-Verantwortliche:

  • Die Datenschutzgrundverordnung (DSGVO)
  • Die Richtlinie zur Netz- und Informationssicherheit (NIS)

Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung wird mit 25. Mai 2018 in Kraft treten. Die DSGVO gilt für Unternehmen, welche beispielsweise in der EU ansässig sind oder deren Angebot an Waren oder Dienstleistungen sich an EU-Bürger richtet. Die Datenschutzgrundverordnung gilt somit auch für Unternehmen, die außerhalb Europas ansässig sind. Sie beinhaltet mögliche Strafen von bis zu vier Prozent des jährlichen weltweiten Umsatzes. Bis Mai 2018 haben nationale Gesetzgeber noch Zeit, bestehende gesetzliche Regelungen, wie das DSG 2000, an die DSGVO anzupassen. Während in Deutschland bereits erste Entwürfe des neuen Datenschutzgesetzes vorliegen und auch schon sehr kontrovers diskutiert wurden, ist es in Österreich diesbezüglich noch sehr ruhig geblieben.

Richtlinie zur Netz- und Informationssicherheit (NIS)

Die NIS-Richtlinie muss bis zum 10. Mai 2018 von den EU-Mitgliedstaaten in ihre nationale Gesetzen übernommen und angewandt werden. Die Richtlinie gilt für bestimmte Unternehmen, nämlich für Betreiber von wesentlichen Diensten, wie Unternehmen im Energie-, Verkehrs-, Banken- und Gesundheitsbereich oder bei der Trinkwasserversorgung sowie für digitale Dienstleister, zB Unternehmen, die eine der drei Leistungen erbringen: Cloud-Computing-Services, Online-Marktplätze oder Online-Suchmaschinen.

Entscheidende Vorarbeiten für Compliance bereits 2017

Beide Gesetze fordern von den Unternehmen angemessene Sicherheitsmaßnahmen auf dem Stand der Technik im Hinblick auf ihre Risiken, persönliche Daten sowie den Schutz von Netzen und Informationssystemen.

Angesichts der weitreichenden Auswirkungen der neuen Bestimmungen, werden die erforderlichen Anpassungen bestehender Datenschutz- und Datensicherheitsmaßnahmen einen unternehmensweiten Compliance-Prozess notwendig machen, der sich über viele Monate erstrecken kann. Führungskräfte sollten daher das heurige Jahr dazu nutzen, organisatorische, technische und rechtliche Datenschutz- und Datensicherheit-Standards im Unternehmen zu erfassen und zu prüfen, wie sich die bestehende Praxis bis zum Inkrafttreten der neuen Regelungen mit den zukünftigen Anforderungen in Einklang bringen lässt. Damit geht ein mehr oder weniger großer Zeit- und Ressourcenaufwand einher, je nachdem, wie die bisherige Datenschutz- und Datensicherheitspraxis aussahen.

Links

Veröffentlicht in Datenschutzgrundverordnung, Datensicherheit

Datenschutz-Grundverordnung – Fehlende Pläne zur Umsetzung

Kürzlich veröffentlichte Studien zur Bereitschaft von Unternehmen die Herausforderungen der neuen Datenschutz-Grundverordnung zu bewältigen, zeichnen ein alarmierendes Bild. Dell hat eine internationale Studie zum Thema EU-Datenschutz-Grundverordnung (DSGVO) vorgestellt. Die wichtigsten Ergebnisse: Kleinen, mittleren und großen Unternehmen fehlt das Verständnis dafür, wie man sich auf die Anforderungen der DSGVO vorbereitet und welche Strafen bei Nichteinhaltung drohen.

Keine Pläne zur Umsetzung der Datenschutz-Grundverordnung

In der von Dell beauftragten internationalen Studie zur Datenschutz-Grundverordnung (DSGVO), welche sich mit dem Kenntnisstand über die DSGVO von kleinen, mittleren und großen Unternehmen auseinandersetzt, geben 70% der Befragten an, nicht zu wissen, ob sie den Anforderungen der Datenschutz-Grundverordnung gerecht werden können. Nur 3 Prozent aller befragten Unternehmen haben laut eigener Aussage bereits einen Plan, wie sie die Konformität mit der ab Mai 2018 geltenden DSGVO herstellen können.

Das ist verwunderlich, wenn man bedenkt, dass die Datenschutz-Grundverordnung nicht nur die datenschutzrechtlichen Anforderungen an die Unternehmen erhöht, sondern auch ein deutlich höheres Sanktionsrisiko mit sich bringt. So drohen bei Verletzungen der DSGVO ab Mai 2018 maximale Geldbußen von 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr.

In Hinblick auf die Schaffung von Konformität zur DSGVO ist für einzelne Unternehmen von einem mindestens halb- bis einjährigen Zeitaufwand auszugehen. Der tatsächliche Zeitaufwand zur Analyse, Planung und Umsetzung der DSGVO-Konformität ist von mehreren Faktoren abhängig. Eine wesentliche Rolle bei der Bestimmung des Zeitaufwands spielen dabei ua der Umfang an Datenanwendungen, die Schutzbedürftigkeit der verarbeitenden, personenbezogenen Daten und die zu ergreifenden, technischen und organsiatorischen Maßnahmen für Datensicherheit im Unternehmen.

Ausmaß der Strafen bei Nichteinhaltung wird unterschätzt

Die Ergebnisse der Dell-Studie zeigen auch: Unternehmen wissen zwar, dass sich die Nichteinhaltung auf die Datensicherheit und die Geschäftsergebnisse auswirkt, aber über das Ausmaß der nötigen Veränderungen sowie über die Schwere der Strafen sind sie sich nicht im Klaren:

  • von den 21% der Befragten, die angaben, mit einer Strafe zu rechnen, wenn die DSGVO bereits jetzt gelte, dachten 36%, es würde nur einfacher Nachbesserungen bedürfen oder kannten die Höhe der Strafe nicht;
  • knapp 50% glaubten, dass sie mit einer moderaten Geldstrafe oder überschaubaren Nachbesserungsarbeiten davon kommen würden;
  • fast 25% erwarteten bedeutende Veränderungen bei den aktuellen Datenschutzpraktiken und -technologien.

Neben der Strafandrohungen verschärft sich auch die Gefahr eines durch eine Datenpanne verursachten Imageschadens beträchtlich. Künftig muss der zuständigen Aufsichtsbehörde grundsätzlich jede Verletzung des Schutzes personenbezogener Daten mitgeteilt werden, sofern nicht eine in der DSGVO geregelte Ausnahme besteht, nach der es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Außerdem sind unter gesetzlich festgelegten Umständen die Betroffenen auch noch persönlich zu informieren. Das auf Grund der verschärften Regelungen steigende Risiko, dass die Öffentlichkeit über eine erlittene Datenpanne zu informieren ist, erhöht den potentiellen Schaden für das Image eines Unternehmens nachvollziehbar.

Best-Practice: Datenschutzbeauftragter und verbesserte Datensicherheitsmassnahmen

Dell empfiehlt zur Vermeidung potenzieller Strafen bzw Imageschäden die Bestellung eines Datenschutzbeauftragten sowie die Verbesserung von technischen und organisatorischen Massnahmen bei der Zugriffskontrolle auf personenbezogene Daten, den Einsatz von Next Generation Firewalls zur Senkung des Risikos von Datenlecks, und ein besonderes Augenmerk auf Datensicherheit bei mobilen Datenanwendungen und E-Mails.

In Hinblick auf den zeitlichen Aufwand zur Anpassung bestehender Datenschutzstandards auf die steigenden Anforderungen durch die Datenschutz-Grundverordnung ist den Unternehmen eine rasche, aktive Auseinandersetzung zu empfehlen. Eine professionelle Planung der Einführung der Datenschutz-Grundverordnung im Rahmen eines firmenspezifischen Datenschutzkonzeptes mit gesetzeskonformen Datenschutz- und Datensicherheitsrichtlinien sowie begleitenden Schulungsmassnahmen für Mitarbeiterinnen und Mitarbeiter sollte eine weitgehend reibungsfreie Umsetzung der DSGVO im Unternehmen bis 2018 ermöglichen.

Links

Management Summary der Dell-Studie zum Thema „Dell General Data Protection Regulation Global Survey“: https://software.dell.com/docs/executive-summary-gdpr-global-survey-white-paper-23601.pdf.

Veröffentlicht in Datenschutzbeauftragter

Welser Bürgerumfrage datenschutzkonform?

Ich wurde in den vergangenen Tagen immer wieder von Bekannten und Dritten gefragt, ob die Welser Bürgerumfrage aus meiner Sicht datenschutzkonform sei?

Meine erste Reaktion war „Ja, natürlich!“. Warum sollte eine anonym durchgeführte Bürgerumfrage denn nicht datenschutzschutzkonform sein? Immer mehr Fragende, führten jedoch zu immer mehr offenen Fragestellungen. Ich habe mich deshalb in den letzten Tagen intensiver und aus der Sicht eines Datenschutzbeauftragten mit der Zulässigkeit der Bürgerumfrage befasst.

Dabei bin ich auf interessante Informationen und Fragestellungen gestoßen, die ich den, an Datenschutz interessierten LeserInnen nicht vorenthalten möchte.

Sachverhalt zur Welser Bürgerumfrage

Ausgangspunkt ist die Welser Bürgerumfrage, welche in der Zeit vom 19. September bis 2. Oktober 2016 stattfand.

Teilnahmeberechtigt waren alle StaatsbürgerInnen und EU-BürgerInnen ab dem, spätestens am 2. Oktober, vollendeten 16. Lebensjahr. Die TeilnehmerInnen mussten mit Stichtag Donnerstag, 1. September, ihren Hauptwohnsitz in Wels haben.

Alle teilnahmeberechtigten BürgerInnen erhielten in den Wochen vor der Wahl einen namentlich adressierten Brief des Bürgermeisters der Stadt Wels. Darin enthalten ein 4-seitiger Informationsfolder zur Bürgerumfrage sowie ein Papierfragebogen mit 5 Fragestellungen zu  verkehrs-, kultur- und bildungspolitischen Fragestellungen.  Der am Briefkuvert aufgedruckten  DVR-Nummer 0024724 waren die Daten des Auftraggebers der Datenanwendung, das Magistrat der Stadt Wels, zu entnehmen.

Die Teilnahme an der Befragung war durch die persönliche Abgabe des Papierfragebogens ua im Rathaus oder online unter www.wels.at/befragung möglich. Die Autorisierung zur Teilnahme an der Online-Befragung erfolgte durch einen, auf dem Papierfragebogen aufgedruckten Zugangsschlüssel. Dem Informationsfolder war zu entnehmen, dass der aufgedruckte Zugangsschlüssel zufällig vergeben worden sei und keine Rückschlüsse auf die Person zulassen würde. Insbesondere könne keinerlei Zusammenhang mit dem Namen und der Adresse der an der Befragung teilnehmenden Person hergestellt werden.

Von verschiedenen Seiten wurde im Vorfeld immer wieder auch darauf hingewiesen, dass im Statut der Stadt Wels für die Durchführung der Bürgerumfrage keine entsprechende gesetzliche Grundlage vorliegen würde.

Zulässigkeit der Datenverwendung

Verschiedene Dateneigenschaften und eigene Recherchen weisen darauf hin, dass die, für die Aussendung der Befragungsunterlagen verwendeten Daten mit hoher Wahrscheinlichkeit aus einem Melderegister stammen. Die mutmaßliche Verwendung von Meldedaten zur Durchführung einer Bürgerumfrage bedeutet aber aus der Sicht der Datenschutzbehörde (vormals Datenschutzkommission) unter gewissen Voraussetzungen eine Verletzung des Grundrechts auf Datenschutz.

Die Datenschutzbehörde stellte nämlich in einem ähnlich gelagerten Fall in Graz fest, dass die Verwendung von personenbezogenen Daten, wie Vor-, Familienname, Geburtsdatum und Anschrift aus dem lokalen Melderegister für Zwecke der Durchführung einer im Rahmen der Privatwirtschaftsverwaltung durchgeführten Meinungs- bzw Bürgerumfrage das Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten verletzt (GZ K121.879/0014-DSK/2012). Die Datenschutzbehörde begründet in den rechtlichen Schlußfolgerungen ausführlich, dass es sich bei der Durchführung einer Bürgerumfrage, die sich auf keine gesetzliche Grundlage stützt, nur um einen Akt der Privatwirtschaftsverwaltung und nicht um eine, dem Magistrat oder sonstigen Organ der Stadt gesetzlich übertragene Aufgabe handeln könne.

Die Verwendung von Meldedaten für die Durchführung einer privatwirtschaftlichen Meinungsumfrage zu politischen Themen ist somit nach Auffassung der Datenschutzbehörde nicht datenschutzkonform.

Auch für den Fall, dass die Daten nicht wie angenommen aus dem Melderegister sondern aus einer anderen Datenanwendung des Magistrats der Stadt Wels stammen, ist aufgrund der oben angeführten Entscheidung mit hoher Wahrscheinlichkeit davon auszugehen, dass für einen anderen Zweck ermittelte Daten nicht datenschutzkonform zur Durchführung einer Bürgerumfrage verwendet werden dürfen.

Anonymität bei der Online Umfrage

Auch die alternativ angebotene Möglichkeit zur Teilnahme an der Bürgerumfrage durch Ausfüllen eines Online-Fragebogens ist in Hinblick auf die versprochene Anonymität kritisch zu beurteilen.

Aus technischer Sicht garantiert der verwendete Zugangsschlüssel nämlich keine hundertprozentige Anonymität. Selbst wenn gewährleistet wäre, dass kein personenbezogener Rückschluss zwischen den Namens- und Adressdaten der Aussendung und dem Zugangsschlüssel gezogen werden kann, ist es technisch durchaus möglich, unter bestimmten Umständen einen personenbezogenen Zusammenhang zwischen dem verwendeten Zugangsschlüssel und den Antworten bei der Online-Befragung herzustellen.

Handelt es sich aber bei den ermittelten Daten aber nicht um indirekt personenbezogene („anonyme“) Daten, dann gilt wiederum das Datenschutzgesetz. Die Zulässigkeit der Datenverwendung ist somit zu prüfen. Im konkreten Fall sogar unter dem Gesichtspunkt der besonders schutzwürdigen Geheimhaltungsinteressen bei der Verwendung sensibler Daten. Sensible Daten sind Informationen die ua Auskunft zur politischen Meinung der Person geben.

Somit wäre auch hier zu prüfen, ob Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind. Das ist im konkreten Fall bei Organen der Satdt Wels anzunehmen. Im nächsten Schritt wäre zu klären, ob die besonders schutzwürdigen Geheimhaltungsinteressen der Betroffenen durch die Online Befragung verletzt werden bzw der damit verbundene Eingriff in das Grundrecht auf Geheimhaltung personenbezogener Daten mit dem gelindesten Mittel erfolgt.

Hier könnten Probleme für die Zulässigkeit der Datenanwendung auftreten, da meinen Beobachtungen zufolge bei der Teilnahme an der Online Befragung keine ausdrückliche und informierte Einholung der Betroffenen zur Verwendung der Daten eingeholt wurde. Wobei auch bei einer erfolgten Zustimmung ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirken würde. Dieses Widerufsrecht könnte aber durch den Betroffenen nur durch erforderliche Aufhebung der Anonymität wahrgenommen werden.

In diesem Zusammenhang ist zudem anzumerken, dass Datenanwendungen mit sensiblen Daten nicht nur der Meldepflicht unterliegen, sondern auch erst nach Prüfung durch die Datenschutzbehörde in Betrieb genommen werden dürfen.

Bürgerumfrage datenschutzkonform?

Wie man sieht, der Teufel steckt wie immer im Detail.

Folgt man der Entscheidung der Datenschutzbehörde im oben angeführten Fall, dann ist die Verwendung von Meldedaten für die Durchführung einer Bürgerumfrage nicht datenschutzkonform.

In Hinblick auf die Anonymität der Online Befragung ist kritisch zu hinterfragen, ob der Auftraggeber oder Dienstleister die Identität des Betroffenen mit rechtlich zulässigen Mitteln bestimmen kann. Ist das der Fall, dann wäre die Zulässigkeit der Datenanwendung zu prüfen und gegebenenfalls die Datenanwendung bei der Datenschutzbehörde zu melden und erst nach einer Vorabkontrolle in Betrieb zu nehmen gewesen.

Endgültige Klarheit hinsichtlich der Datenschutzkonformität der durchgeführten Bürgerumfrage brächte wohl nur eine Beschwerde an die Datenschutzbehörde.

Veröffentlicht in Allgemein, Datenschutz, Datenschutzbehörde

Abmahnung wegen fehlender Datenschutzerklärung

Mangelnde Compliance beim Datenschutz, wie eine fehlende Datenschutzerklärung, kann sehr schnell zu wettbewerbsrechtlichen Verstößen führen, die dann richtig teuer werden können.

Website ohne Datenschutzerklärung

Einer deutschen Steuerberatungsgesellschaft wurden fehlende Informationen zum Datenschutz bei einem Kontaktformular auf ihrer Website zum Verhängnis. Da weder beim Formular noch an einer anderen Stelle der Website eine Information zum Umgang mit den Daten zu finden war, befand das Oberlandesgericht Köln, dass die durch einen Wettbewerber erfolgte Abmahnung nicht rechtsmissbräuchlich erfolgt sei und es sich bei der fehlenden Datenschutzerklärung nicht nur um einen Bagatellverstoß handle. Insbesondere könne das Fehlen entsprechender Datenschutz-Informationen die Interessen von Verbrauchern spürbar beeinträchtigen.

Rechtliche Lage in Österreich

In Österreich regelt das Datenschutzgesetz 2000 (DSG 2000) den Schutz personenbezogener Daten. Demnach unterliegt jeder Auftraggeber einer Datenanwendung, somit auch ein Websitebetreiber, bestimmten, im Gesetz festgelegten Informationspflichten, deren Verletzung zu Verwaltungsstrafen bis zu einer Höhe von 10.000,- Euro führen können.

Da in Österreich der Streitwert für UWG-Verletzungen bei 36.000,- Euro liegt, ist bei einer Abmahnung gegebenenfalls mit anwaltlichen Kosten um die 1.500,- Euro zu rechnen. Die Kosten im Falle der gerichtlichen Geltendmachung (Unterlassungsklage allenfalls verbunden mit Einstweiliger Verfügung) liegen idR deutlich höher.

Links:

Das Urteil des OLG Kölns im Wortlaut.

Veröffentlicht in Datenschutzgesetz, Datenschutzpraxis

Datenschutzschild – Datenübermittlung in die USA

Ein neuer Rechtsrahmen für den Datentransfer in die USA ist am 12.Juli 2016 in Kraft getreten. Das „EU-US-Datenschutzschild“ gewährleistet den Schutz der Grundrechte aller Personen in der EU, deren personenbezogene Daten in die USA übermittelt werden, und schafft Rechtsklarheit für Unternehmen, die auf transatlantische Datenübermittlungen angewiesen sind.

Grundsätze des Privacy Shields

Der EU-US-Datenschutzschild beruht auf folgenden Grundsätzen:

  • Strenge Auflagen für Unternehmen, die Daten verarbeiten
    Im Rahmen der neuen Regelung wird das US-Handelsministerium die Liste der teilnehmenden Unternehmen regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass die Unternehmen die Regeln einhalten, denen sie sich selbst unterworfen haben. Halten Unternehmen diese Regeln in der Praxis nicht ein, müssen sie mit Sanktionen und der Streichung von der Liste rechnen. Die strengeren Bedingungen für die Weitergabe von Daten an Dritte werden dasselbe Schutzniveau im Falle einer Datenweitergabe durch ein am Datenschutzschild beteiligtes Unternehmen garantieren.
  • Klare Schutzvorkehrungen und Transparenzpflichten beim Datenzugriff durch US-Behörden
    Die USA haben der EU zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen gestattet sein wird. Alle Personen in der EU erhalten erstmals Zugang zu Rechtsschutzmechanismen in diesem Bereich. Die USA haben eine unterschiedslose Massenüberwachung der im Rahmen des EU-US-Datenschutzschilds in die USA übermittelten personenbezogenen Daten ausgeschlossen. Das Büro des Direktors der nationalen Nachrichtendienste hat des Weiteren klar gestellt, dass eine Sammelerhebung von Daten nur unter bestimmten Voraussetzungen und mit einer möglichst gezielten Ausrichtung erfolgen darf. Die Schutzvorkehrungen für die Verwendung von Daten unter solchen außergewöhnlichen Umständen werden im Einzelnen geregelt. Der US-Außenminister hat im Außenministerium eine Ombudsstelle eingerichtet, an die sich EU-Bürger mit Rechtsschutzbegehren, die den Bereich der nationalen Sicherheit betreffen, wenden können.
  • Wirksamer Schutz der Rechte des Einzelnen
    Ist ein EU-Bürger der Auffassung, dass seine Daten im Rahmen des Datenschutzschilds missbraucht wurden, stehen ihm mehrere Möglichkeiten der Streitbeilegung offen, von denen er leicht und ohne große Kosten Gebrauch machen kann. Idealerweise wird sich das Unternehmen selbst um die Beschwerde kümmern und das Problem lösen. Außerdem steht ein kostenloses Verfahren der alternativen Streitbeilegung zur Verfügung. Einzelpersonen können sich auch an ihre nationalen Datenschutzbehörden wenden, die dann zusammen mit der Federal Trade Commission dafür sorgen, dass Beschwerden nachgegangen und abgeholfen wird. Kann der Fall nicht auf andere Weise gelöst werden, gibt es als letztes Mittel ein Schiedsverfahren. Für Rechtsschutzbegehren von EU-Bürgern, die den Bereich der nationalen Sicherheit betreffen, ist eine von den US-Nachrichtendiensten unabhängige Ombudsstelle zuständig.
  • Gemeinsame jährliche Überprüfung
    Überprüft wird die Funktionsweise des Datenschutzschilds einschließlich der Zusicherungen und Zusagen hinsichtlich des Datenzugriffs aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit. Die Europäische Kommission und das US-Handelsministerium werden diese Überprüfung gemeinsam durchführen und Sachverständige der US-Nachrichtendienste und der europäischen Datenschutzbehörden hinzuziehen. Die Kommission wird darüber hinaus alle anderen verfügbaren Informationsquellen heranziehen und einen an das Europäische Parlament und den Rat gerichteten öffentlichen Bericht vorlegen.

Reaktionen auf das Datenschutzschild

Die Reaktionen seitens der betroffenen Interessensgruppen auf das Privacy Shield sind gemischt. Während deutsche Industrie- und Wirtschaftsverbände die wiedergewonnene Rechtssicherheit beim Datentransfer in die USA begrüßen, äußern sich Datenschützer wie der Wiener Max Schrems bedeutend kritischer: „Es ist besorgniserregend, dass eigentlich ziemlich blank das Urteil des EuGH (zur Aufhebung der Safe-Harbor Regelung, Anmerkung Autor) ignoriert wird“. Er rechnet damit, dass die neue Regelung bei einer erneuten Anfechtung vor dem EuGH ebenfalls kassiert werden würde.

Links

Angemessenheitsbeschluss für EU-US-Datenschutzschild: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf

Veröffentlicht in Datenschutz, Datenschutzpraxis