Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten

Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten

Michael Punz bei der Präsentation der Checkliste

Wir waren auf der Konferenz der deutschen Datenschutzbeauftragten „Aufsicht trifft Wirtschaft“ am 26. und 27. Oktober 2017 in Stuttgart und haben dort unsere Checkliste vorgestellt. Diese hat großen Anklang gefunden und uns in unserer Arbeit bestärkt. Es waren ca 200 Besucher auf dieser Konferenz, welche vor allem den Süden Deutschlands abdecken sollte. Wir hatten einen regen Austausch mit unserem deutschen Schwesternverein und werden in Zukunft noch stärker kooperieren, ein paar Vergünstigungen für unsere Mitglieder gibt es jetzt schon, beispielsweise können unsere Mitglieder Konferenzen des Verbandes zum Mitgliederpreis teilnehmen und es wird künftig noch stärken Austausch und Zugang internen Informationen geben.

Anbei noch einige Notizen von Konferenz:

Behörden (Baden-Württemberg/Bayern und Staatssekretär):

Wir sind noch alle in der Theorie und müssen gemeinsam in den Austausch kommen.

Materiell wird sich für den deutschen Datenschutz wenig ändern, allerdings wird sich das Zusammenspiel zwischen den Behörden und den Unternehmen ändern. Die Behörden müssen sich selbst berechenbarer machen und zwischen den Behörden wird es mehr Koordination geben.

Es wird Kurzpapiere von der Datenschutzkonferenz geben, ein gemeinsames Verständnis aller deutschen Behörden sollte zusammengefasst werden. Es wird auch ein Muster für Verfahrensverzeichnisse geben. Ansonsten muss das Verfahrensverzeichnis so gestaltet sein, dass die Behörde ohne nachfragen einen Überblick erhalten kann.

Falls ein Auftragsverarbeiter sich weigert, einen neuen Vertrag zu unterschreiben, so kann man die Behörde anrufen.

Die Behörde als Servicefunktion

Bußgeld darf nicht das zentrale Thema werden, Behörden in Deutschland sind jetzt schon sehr kooperativ, allerdings ist das Bußgeld nötig um alle aufzuwecken , welche sich vorher nicht um das Thema gekümmert haben. In Deutschland wurden bis jetzt kaum Bußgelder verhängt, wenn man eine ungesetzliche Situation bemerkt hat, hat man eher beraten wie man den Zustand abstellt. Dieses nicht wirtschaftsunfreundliche Verhalten wird sich ändern müssen, weil die Eu einheitlich Vorgehen wird. Auch die Bußgelder werden einheitlich verhängt werden. Allerdings haben die Behörden nach Ermessen zu entscheiden. Es wird eher das französische Modell, Rechtssicherheit durch Verfahren angewendet werden.

Die Behörden befürchten, dass die Unternehmen z.B. Geld in Rechtsanwälte investieren und ganze Behörden lahmlegen könnten.

Die Behörde in Baden-Württemberg hat zurzeit 55 Mitarbeiter und wird noch aufstocken (8). Davon werden 2-3 Mitarbeiter sich nur aufs Bußgeld spezialisieren.

Mitarbeiter welche in der Beratung tätig sind, dürfen allerdings nicht mit Bußgeld arbeiten und umgekehrt, hier wird es eine strikte Trennung geben.

Eine verständnisvolle Bußgeldsituation wie bisher darf nicht mehr geben.

Sicherheitsbehörde:

Beratung der Behörden für Unternehmen wird ein großes Thema. Datenschutz sollte eher ein Thema für Unternehmen sein, wie diese z.B. mit Kundendaten umgehen. Datenschutz sollte nicht die Sicherheit der Demokratie verhindern. Das deutsche Niveau beim Datenschutz ist einzigartig, sollte aber trotzdem im Sinne der Sicherheit mehr möglich machen z.B. bekommt die Polizei in Deutschland nicht die Mautdaten, in Österreich aber schon.

Wenn man sensible Daten verwendet, sollten die TOMs strenger sein!

Man merkt dass alle in der EU ziemlich wegen dem Datenschutzbeauftragten ratlos sind, hier sollte das deutsche Erfolgsmodell als Muster gesehen werden.

Gutachten zur Stellung und Haftung des Datenschutzbeauftragten:

Welche Konsequenzen ergeben sich aus der DSGVO für andere Gesetze? Die DSGVO ist höher als das Grundgesetz einzustufen, bei Widerspruch zu einem deutschen Gesetz hat die DSGVO Vorrang.

Es gibt keine Formvorschrift über die Bestellung des DSB, wenn man vorher schon bestellt war, gilt die Bestellung weiter, muß also nicht neu bestellt werden.

Der Kündigungsschutz ändert sich in der deutschen Rechtlage nicht, nur wenn eine fristlose Entlassung ausgesprochen werden kann, kann man den DSB kündigen.

Ein Motto der Konferenz

Für den Datenschutz verantwortlich ist nicht der DSB sondern, der für die Datenverarbeitung Verantwortliche. Deshalb kann nur dieser sanktioniert werden. (also Unternehmensleitung), dieser ist auch verantwortlich für die PIA und muß den Rat des DSB einzuholen. DSB überwacht die Einhaltung hat aber selbst kein Weisungsrecht.

Bildlich wurde ein Fußballcoach gesehen, der auch nicht steuernd in das laufende Spiel eingreifen kann.

Es wurde auch die Frage aufgeworfen, ob der DSB zusätzliche Pflichten übernehmen kann, dies kann nur im Einzelfall entschieden werden, ist aber schwierig, weil möglicheInteressenskonflikte auftreten können. Die gesetzlichen Pflichten gehen jedenfalls vor.

Die Pflichten sollten bei der Bestellung klar definiert werden, wobei die gesetzlichen nicht vertraglich ausgedehnt werden sollten. Bei der Bestellung ist es unzulässig das Bußgeld dem DSB umzuhängen.

Unterschied zu Compliance Officer:

Compliance Officer haften bei Unterlassung, Datenschutzbeauftragte haben nur eine Verpflichtung darauf hinzuweisen.

Datenschutzbeauftragte können Schulungen übernehmen, es besteht eher kein Interessenskonflikt.

Das gesamte 60igseitige Gutachten wird nächste Woche veröffentlicht.

Noch rein paar interessante Aussagen aus der Konferenz:

Es gibt 5000 Datenschutzbeauftragte alleine in Bayern!

Data Breach sollte nicht der Datenschutzbeauftragte melden, diese Entscheidung trifft die Unternehmensleitung, Vorsicht bei Aussagen: arbeitsrechtliche Treuepflicht – Geheimhaltungspflicht ……

Der Datenschutzbeauftragte hat keine Anzeigepflicht!

Privacyofficers.at veröffentlicht Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten

Privacyofficers.at veröffentlicht Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at freut sich, das Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten zur Verfügung stellen zu können. In der vorliegenden Version wurde das österreichische Datenschutz- Anpassungsgesetz 2018 entsprechend berücksichtigt.

Das vorliegende Werk beschäftigt sich mit den Themen der Benennung des/der Datenschutzbeauftragten (zB: „Wer muss/wer kann einen bestellen?“, „Welche Voraussetzungen in fachlicher, sozialer und sonstiger Hinsicht muss ein/e Datenschutzbeauftragte/r erfüllen?“), die Stellung des/der Datenschutzbeauftragten bei der Ausübung seiner/ihrer Funktion, wo/wie der/die Datenschutzbeauftragte organisatorisch positioniert werden sollte, Abgrenzung der Aufgaben des/der Datenschutzbeauftragten zu anderen Positionen in der Organisation, die arbeitsrechtliche Stellung des/der Datenschutzbeauftragten und natürlich auch die Aufgaben des/der Datenschutzbeauftragten. Selbstverständlich werden auch die Datenschutzbeauftragten in Behörden und öffentlichen Stellen berücksichtigt.

Abschließend haben wir eine Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten beigefügt.

Herzlichen Dank unserem Arbeitskreis Rollenbild Datenschutzbeauftragter und allen beteiligen Vereinsmitgliedern für die Erstellung dieses Dokuments.

9.11.: „Datenschutzbeauftragte im Gespräch: Vorbereitung auf die EU-Datenschutz-Grundverordnung“ (Graz)

Es diskutieren:
Mag. Markus Kastelitz (ehem. Medizinische Universität Wien, jetzt Research Institute AG & Co KG; [Vorstandsmitglied bei Privacyofficers.at])
Mag. Martin Leiter (ÖBB-Holding AG)
Mag. Judith Leschanz (A1 Telekom Austria AG [und Vorstandsmitglied bei Privacyofficers.at])
Christoph Wenin (Rewe International AG)
Es moderiert:
Assoz. Prof. Mag. Dr. Christian Bergauer (Universität Graz)
Wann: Donnerstag, 9. November 2017, 17.30 — 19.30 Uhr s.t.
Wo: Universität Graz, ReSoWi-Zentrum, Universitätsstraße 15, 8010 Graz, Bauteil A, 2. Stock
Die Teilnahme ist kostenlos möglich, aus organisatorischen Gründen ist eine Anmeldung bis 31.10.2017 hier erforderlich.

Art.29-Datenschutzgruppe: aktualisierte Guidelines u.a. zum Datenschutzbeauftragten

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz

Ein Cross-post von meinem Blog: Es schwirren derzeit einige Gerüchte über das künftige österreichische „DSGVO-Anpassungsgesetz“ herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese „fake news“ sein können – also Achtung):

  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte …
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene „Flexibilisierungen“ hinaus).
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur „das Notwendigste“ regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche „Verbandsklagerecht“ heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als „Betroffene“ umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) – dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer „saftigen“ Geldbuße Privatinsolvenz beantragen zu müssen …
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: „ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne“)  – es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige „Austriaca“ anzupassen …
  • Update 1: Ich habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll – eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) „geträumt“ haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; „Weisungsfreiheit“). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des“Haftungsprellbocks“. Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.
Universitätslehrgang „Datenschutz und Privacy“ (Certified Program)

Universitätslehrgang „Datenschutz und Privacy“ (Certified Program)

Update 11.5.2017: Der Universitätslehrgang wurde genehmigt und startet im Oktober 2017, nähere Informationen finden Sie direkt bei der Donau-Uni Krems, hier geht es direkt zur Bewerbung.

Die Donau-Universität Krems bietet ab Oktober 2017 – vorbehaltlich des studienrechtlichen Genehmigungsverfahrens – eine fundierte, mehrwöchige Weiterbildung im Bereich des Datenschutzrechts an (Lehrgangsleiter: Univ.-Prof. Ing. Dr. Clemens Appl, LL.M). Mehrere (Vorstands-)Mitglieder von Privacyofficers.at haben die Ehre, den Lehrgang als Mitglieder des Beirats begleiten zu dürfen. Hervorzuheben ist auch die Mitwirkung des stellvertretenden Leiters der österr. Datenschutzbehörde. Eines dürfen wir schon verraten – das Weiterbildungsprogramm kann sich wirklich sehen lassen.

Ziel des Universitätslehrgangs ist die akademisch fundierte und zugleich anwendungsorientierte Weiterbildung im Fachgebiet „Datenschutz und Privacy“. Vermittelt werden vertiefte Kenntnisse zu rechtlichen Rahmenbedingungen, technischen Aspekten der Datensicherheit sowie zum Datenschutzmanagement. Die Inhalte und Kompetenzen orientieren sich eng am gesetzlichen Tätigkeits- und Qualifikationsprofil für „Datenschutzbeauftragte“. Damit qualifizieren die im Lehrgang erworbenen Fachkenntnisse und Kompetenzen zur Ausübung dieser Funktion in Unternehmen oder in der öffentlichen Verwaltung. Der Lehrgang wird 19 Ausbildungstage (Präsenzlehre) und 18 ECTS umfassen.

Mehr dazu finden Sie hier, das Infoblatt (pdf) können Sie hier herunterladen.

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Privacyofficers.at veröffentlicht Stellungnahme betreffend “Guidelines on Data Protection Officers” der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe hat im Dezember 2016 u.a. “Guidelines on Data Protection Officers (‘DPOs’)” veröffentlicht, die (bis Ende Jänner 2017) kommentiert werden können. Privacyofficers.at hat diese Möglichkeit genutzt und folgende Stellungnahme abgegeben:

In general, Privacyofficers.at welcomes the approach of the WP29 to further illustrate the GDPR and create a benefit for the addressees in the practical adoption of its provisions. Nevertheless, we would like to draw your attention to three issues which we find to be debatable in the view of a practical implementation:

1. Section 3.2. of the Guidelines (“Necessary resources”) – last bullet point:
The WP29 clarifies that an external DPO can fulfill the duties of a DPO for a data controller/processor either by a single representative or by a team. We welcome this approach; however, the option of carrying out the tasks of a DPO as a team should also be open to internal DPOs. We are of the opinion that controllers/processors should be free to appoint a single DPO or a team/board with the tasks of a DPO as long as all team members benefit from the provisions of the GDPR regarding dismissal etc. Therefore, we would recommend a clarification of the Guidelines in this regard.

2. Section 3.4. of the Guidelines (“Dismissal or penalty for performing DPO tasks”):
The WP29 argues that the cancellation of a contract with an external DPO shall only be possible and legally enforceable in the case the external DPO is in breach of its duties of being a DPO. This interpretation could be in conflict with the principle of freedom of contract. Each controller should be able to engage an external DPO but also to terminate the assignment of an external DPO in compliance with the relevant contract and applicable law. An external DPO is, in essence, a service provider commissioned to perform the controller´s / processor’s duties. The strict interpretation by the WP29 would lead to a situation where a controller cannot switch from an external DPO to an internal DPO unless the external DPO has failed to fulfill its duties under the GDPR. We are of the opinion that such an interpretation is not in line with the GDPR requirements and the principle of freedom of contract. We would therefore kindly ask for a re-evaluation or clarification of the Guidelines as regards this matter.

3. Section 4.4. of the Guidelines (“The DPO´s role in record-keeping”):
We regard the possibility of assigning the task of a data controller/processor to keep records of processing activities to the DPO, as the WP29 suggests, very critical for four reasons:
a. The DPO should be able to perform its duties and rights in full autonomy and without any interference by the controller / processor. On top of that, other tasks assigned to the DPO shall not lead to any conflicts of interest in executing the task of a DPO. It is foreseeable that a task principally assigned to the data controller, where noncompliance might lead to a fine as imposed by Art. 83, might create conflicts and could endanger the full autonomy of DPOs, for example in case the DPO does not follow instructions given by the data controller regarding the records to “cover-up” data processing not fully in line with the GDPR.

b. Furthermore, the DPO has – from the viewpoint of the tasks assigned by the GDPR- a sole control and advisory function, and is not responsible for the controller’s / processor`s compliance with the GDPR. Should the DPO be mandated to keep the records of all processing activities of the controller, this is in conflict with the nature of these tasks assigned and would very likely lead to a conflict of interests.

c. Also from a practical perspective the assignment of this task causes certain issues: Such a register has to follow specific requirements of IT or other responsible departments within a controller’s organization. It is not ensured that a DPO is receiving complete information of all processing activities within a controller’s business as the DPO is not responsible to have a complete list/register of all processing operations. The DPO has the role of an advisor and supervisor but not that of an “implementer”. This obligation lies with the controller / processor and not with the DPO.

d. Finally, the autonomy of the DPO opens up the possibility to impose fines on the data controller based on the activities of the DPO – while having only very limited influence over the DPO. As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

As the GDPR is very clear on this, we therefore ask the WP29 to reconsider its opinion regarding the assignment of record-keeping of the processing activities to the DPO.

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

Art. 29 WP issues GDPR Guidelines (DPO, Lead Supervisory Authority, Data Portability) 

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

From the press release: Consistent with its 2016 Action Plan decided in February 2016, the WP29 adopted during the December plenary:

To complement this, the WP29 welcomes any additional comments that stakeholders may have on the adopted guidelines until the end of January  2017.  The comments on guidelines can be sent to the following addresses: JUST-ARTICLE29WP-SEC@ec.europa.eu and presidenceg29@cnil.fr. Finally, the guidelines on Data Protection Impact Assessments and Certification will be ready in 2017.

BRD: BvD veröffentlicht mit Hinblick auf die DSGVO ein aktualisiertes Berufsbild für Datenschutzbeauftragte

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat kürzlich ein aktualisiertes Berufsbild für betriebliche Datenschutzbeauftragte (Stand September 2016) vorgestellt. Die neue EU-Datenschutzgrundverordnung hatte eine Überarbeitung erforderlich gemacht (Quelle: Virtuelles Datenschutzbüro).