Archive for the DSGVO category

Michael Mrak

Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten

Datenschutz-Folgeabschätzung, Datenschutzbeauftragter, Datenschutzbehörde, DSGVO, Header
Privacyofficers.at auf der Konferenz der deutschen Datenschutzbeauftragten
Michael Punz bei der Präsentation der Checkliste

Wir waren auf der Konferenz der deutschen Datenschutzbeauftragten “Aufsicht trifft Wirtschaft” am 26. und 27. Oktober 2017 in Stuttgart und haben dort unsere Checkliste vorgestellt. Diese hat großen Anklang gefunden und uns in unserer Arbeit bestärkt. Es waren ca 200 Besucher auf dieser Konferenz, welche vor allem den Süden Deutschlands abdecken sollte. Wir hatten einen regen Austausch mit unserem deutschen Schwesternverein und werden in Zukunft noch stärker kooperieren, ein paar Vergünstigungen für unsere Mitglieder gibt es jetzt schon, beispielsweise können unsere Mitglieder Konferenzen des Verbandes zum Mitgliederpreis teilnehmen und es wird künftig noch stärken Austausch und Zugang internen Informationen geben.

Anbei noch einige Notizen von Konferenz:

Behörden (Baden-Württemberg/Bayern und Staatssekretär):

Wir sind noch alle in der Theorie und müssen gemeinsam in den Austausch kommen.

Materiell wird sich für den deutschen Datenschutz wenig ändern, allerdings wird sich das Zusammenspiel zwischen den Behörden und den Unternehmen ändern. Die Behörden müssen sich selbst berechenbarer machen und zwischen den Behörden wird es mehr Koordination geben.

Es wird Kurzpapiere von der Datenschutzkonferenz geben, ein gemeinsames Verständnis aller deutschen Behörden sollte zusammengefasst werden. Es wird auch ein Muster für Verfahrensverzeichnisse geben. Ansonsten muss das Verfahrensverzeichnis so gestaltet sein, dass die Behörde ohne nachfragen einen Überblick erhalten kann.

Falls ein Auftragsverarbeiter sich weigert, einen neuen Vertrag zu unterschreiben, so kann man die Behörde anrufen.

Die Behörde als Servicefunktion

Bußgeld darf nicht das zentrale Thema werden, Behörden in Deutschland sind jetzt schon sehr kooperativ, allerdings ist das Bußgeld nötig um alle aufzuwecken , welche sich vorher nicht um das Thema gekümmert haben. In Deutschland wurden bis jetzt kaum Bußgelder verhängt, wenn man eine ungesetzliche Situation bemerkt hat, hat man eher beraten wie man den Zustand abstellt. Dieses nicht wirtschaftsunfreundliche Verhalten wird sich ändern müssen, weil die Eu einheitlich Vorgehen wird. Auch die Bußgelder werden einheitlich verhängt werden. Allerdings haben die Behörden nach Ermessen zu entscheiden. Es wird eher das französische Modell, Rechtssicherheit durch Verfahren angewendet werden.

Die Behörden befürchten, dass die Unternehmen z.B. Geld in Rechtsanwälte investieren und ganze Behörden lahmlegen könnten.

Die Behörde in Baden-Württemberg hat zurzeit 55 Mitarbeiter und wird noch aufstocken (8). Davon werden 2-3 Mitarbeiter sich nur aufs Bußgeld spezialisieren.

Mitarbeiter welche in der Beratung tätig sind, dürfen allerdings nicht mit Bußgeld arbeiten und umgekehrt, hier wird es eine strikte Trennung geben.

Eine verständnisvolle Bußgeldsituation wie bisher darf nicht mehr geben.

Sicherheitsbehörde:

Beratung der Behörden für Unternehmen wird ein großes Thema. Datenschutz sollte eher ein Thema für Unternehmen sein, wie diese z.B. mit Kundendaten umgehen. Datenschutz sollte nicht die Sicherheit der Demokratie verhindern. Das deutsche Niveau beim Datenschutz ist einzigartig, sollte aber trotzdem im Sinne der Sicherheit mehr möglich machen z.B. bekommt die Polizei in Deutschland nicht die Mautdaten, in Österreich aber schon.

Wenn man sensible Daten verwendet, sollten die TOMs strenger sein!

Man merkt dass alle in der EU ziemlich wegen dem Datenschutzbeauftragten ratlos sind, hier sollte das deutsche Erfolgsmodell als Muster gesehen werden.

Gutachten zur Stellung und Haftung des Datenschutzbeauftragten:

Welche Konsequenzen ergeben sich aus der DSGVO für andere Gesetze? Die DSGVO ist höher als das Grundgesetz einzustufen, bei Widerspruch zu einem deutschen Gesetz hat die DSGVO Vorrang.

Es gibt keine Formvorschrift über die Bestellung des DSB, wenn man vorher schon bestellt war, gilt die Bestellung weiter, muß also nicht neu bestellt werden.

Der Kündigungsschutz ändert sich in der deutschen Rechtlage nicht, nur wenn eine fristlose Entlassung ausgesprochen werden kann, kann man den DSB kündigen.

Ein Motto der Konferenz

Für den Datenschutz verantwortlich ist nicht der DSB sondern, der für die Datenverarbeitung Verantwortliche. Deshalb kann nur dieser sanktioniert werden. (also Unternehmensleitung), dieser ist auch verantwortlich für die PIA und muß den Rat des DSB einzuholen. DSB überwacht die Einhaltung hat aber selbst kein Weisungsrecht.

Bildlich wurde ein Fußballcoach gesehen, der auch nicht steuernd in das laufende Spiel eingreifen kann.

Es wurde auch die Frage aufgeworfen, ob der DSB zusätzliche Pflichten übernehmen kann, dies kann nur im Einzelfall entschieden werden, ist aber schwierig, weil möglicheInteressenskonflikte auftreten können. Die gesetzlichen Pflichten gehen jedenfalls vor.

Die Pflichten sollten bei der Bestellung klar definiert werden, wobei die gesetzlichen nicht vertraglich ausgedehnt werden sollten. Bei der Bestellung ist es unzulässig das Bußgeld dem DSB umzuhängen.

Unterschied zu Compliance Officer:

Compliance Officer haften bei Unterlassung, Datenschutzbeauftragte haben nur eine Verpflichtung darauf hinzuweisen.

Datenschutzbeauftragte können Schulungen übernehmen, es besteht eher kein Interessenskonflikt.

Das gesamte 60igseitige Gutachten wird nächste Woche veröffentlicht.

Noch rein paar interessante Aussagen aus der Konferenz:

Es gibt 5000 Datenschutzbeauftragte alleine in Bayern!

Data Breach sollte nicht der Datenschutzbeauftragte melden, diese Entscheidung trifft die Unternehmensleitung, Vorsicht bei Aussagen: arbeitsrechtliche Treuepflicht – Geheimhaltungspflicht ……

Der Datenschutzbeauftragte hat keine Anzeigepflicht!

Markus Kastelitz

9.11.: „Datenschutzbeauftragte im Gespräch: Vorbereitung auf die EU-Datenschutz-Grundverordnung“ (Graz)

Datenschutzbeauftragter, DSGVO

Es diskutieren:
Mag. Markus Kastelitz (ehem. Medizinische Universität Wien, jetzt Research Institute AG & Co KG; [Vorstandsmitglied bei Privacyofficers.at])
Mag. Martin Leiter (ÖBB-Holding AG)
Mag. Judith Leschanz (A1 Telekom Austria AG [und Vorstandsmitglied bei Privacyofficers.at])
Christoph Wenin (Rewe International AG)
Es moderiert:
Assoz. Prof. Mag. Dr. Christian Bergauer (Universität Graz)
Wann: Donnerstag, 9. November 2017, 17.30 — 19.30 Uhr s.t.
Wo: Universität Graz, ReSoWi-Zentrum, Universitätsstraße 15, 8010 Graz, Bauteil A, 2. Stock
Die Teilnahme ist kostenlos möglich, aus organisatorischen Gründen ist eine Anmeldung bis 31.10.2017 hier erforderlich.

Markus Kastelitz

BvD-Herbstkonferenz Datenschutz: Vortrag von Privacyofficers.at

BRD, DSGVO

BvD-Herbstkonferenz Datenschutz – Herausforderungen zur DS-GVO – Wirtschaft trifft Aufsicht

Termin: 26. – 27.10.2017, Beginn: 09:00 Uhr, Ort: Steigenberger Hotel Graf Zeppelin

Wir freuen uns bekannt geben zu dürfen, dass unser Vorstandsmitglied Michael Punz als Vortragender an der Herbstkonferenz teilnimmt (Vorstellung unserer DSGVO-Checkliste). Für Vereinsmitglieder von Privacyofficers.at kommen dank unserer Kooperation mit dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V die ermäßigten Teilnahmegebühren zur Anwendung, Näheres hier.

Michael Mrak

Privacyofficers.at veröffentlicht aktualisierte Version 2.0 der Checkliste zur Umsetzung der DSGVO

Compliance, Datenschutz-AnpassungsG 2018, DSGVO, Header

Wir freuen uns Ihnen eine aktualisierte Checkliste zur Umsetzung der DSGVO zur Verfügung stellen zu können. Die nun vorliegende Version 2.0 berücksichtigt nun auch das Datenschutz-Anpassungsgesetz 2018. Einige Referenzen wurden ergänzt und geringe inhaltliche Verbesserungen wurden eingearbeitet. Erneut herzlichen Dank unserem Arbeitskreis Datensicherheit und allen beteiligten Vereinsmitgliedern.

Markus Kastelitz

BRD: Vermischtes zur DSGVO

Auftragsdatenverarbeitung, BRD, Datenschutz, DSGVO, Verfahrensverzeichnis
Markus Kastelitz

Privacyofficers.at gibt Stellungnahme zum Datenschutz-AnpassungsG 2018 ab

Datenschutz, Datenschutz-AnpassungsG 2018, Datenschutzbeauftragter, DSGVO, Header

Unsere Stellungnahme zum Entwurf eines Datenschutz-Anpassungsgesetzes 2018 ist in Kürze auf der Website des Parlaments unter diesem Link verfügbar. Danke an alle Mitglieder, die dazu beigetragen haben!

Markus Kastelitz

Regierungsvorlage Datenschutz-Anpassungsgesetz 2018

DSGVO

Regierungsvorlage: Bundesgesetz, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (Datenschutz-Anpassungsgesetz 2018)
Beilagen zum heutigen Ministerratsbeschluss: Entwurfstext, Erläuterungen

Markus Kastelitz

Privacyofficers.at veröffentlicht Checkliste zur Umsetzung der DSGVO

DSGVO

Es freut uns sehr, ein Jahr vor Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 eine Umsetzungs-Checkliste zur Verfügung stellen zu können. Herzlichen Dank für die Ausarbeitung gebührt unserem Arbeitskreis Datensicherheit und allen beteiligten Vereinsmitgliedern.

Update 29.6.2017: Das österreichische “DSGVO-Anpassungsgesetz” (Datenschutz-Anpassungsgesetz 2018) wurde vom Nationalrat beschlossen. Privacyofficers.at wird dieses über den Sommer in die Checkliste einarbeiten, natürlich sollten die Vorgaben bereits ab sofort berücksichtigt werden.

Markus Kastelitz

Österreich: Datenschutzbehörde veröffentlicht Leitfaden zur DSGVO

Datenschutzbehörde, DSGVO
Leitfaden Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, zusammengestellt von Dr. Matthias Schmidl, Stand: April 2017
Markus Kastelitz
Markus Kastelitz

BRD: GDD veröffentlicht Auftragsverarbeitungs-Mustervertrag u. Praxishilfe “Verfahrensverzeichnis”

Auftragsdatenverarbeitung, DSGVO, Verfahrensverzeichnis

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat bereits mehrere, sehr empfehlenswerte “Praxishilfen DS-GVO” veröffentlicht, zuletzt die

Markus Kastelitz

Art.29-Datenschutzgruppe veröffentlicht Guidelines zur Datenschutz-Folgenabschätzung 

Art. 29 WP, Datenschutz-Folgeabschätzung, DSGVO

​Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 (pdf), Annex 1 – Examples of existing EU DPIA frameworks, Annex 2 – Criteria for an acceptable DPIA

Markus Kastelitz

Art.29-Datenschutzgruppe: aktualisierte Guidelines u.a. zum Datenschutzbeauftragten

Art. 29 WP, Datenportabilität, Datenschutzbeauftragter, Datenschutzbehörde, DSGVO, Uncategorized
Michael Punz

Weiteres Vereinsseminar zum Thema “Umsetzungsprojekt zur EU-DSGVO”

DSGVO, Umsetzungsprojekt
Weiteres Vereinsseminar zum Thema “Umsetzungsprojekt zur EU-DSGVO”

Aufgrund des Erfolgs des ersten Vereinsseminars zum Thema “Umsetzungsprojekt zur EU-DSGVO” und des großen Interesses an diesem Thema hat am 3. April 2017 kurzfristig auch ein weiteres Vereinsmitglied den aktuellen Projektfortschritt im eigenen Haus vorgestellt, wie die Compliance zur EU-DSGVO bis Mai 2018 hergestellt wird.

Besonders erwähnenswert ist, dass sich ein Mitglied des Top Managements des Gastgebers die Zeit genommen hat, beim Vereinsseminar die Erfahrungen mit der EU-DSGVO auch aus Sicht des Top Managements zu schildern und auf Fragen der Teilnehmer einzugehen. Die Erkenntnis war klar: Für ein erfolgreiches EU-DSGVO-Umsetzungsprojekt ist die Unterstützung des Top Managements unerlässlich!

Durch die angeregte Diskussion und die vielen Inputs der Teilnehmer konnte wieder jeder wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Das nächste Vereinsseminar findet am 9. Mai (ebenfalls in Wien) zum Thema „Datensicherheit in der Praxis – Stand der Technik“ statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich über die bereits versendete Einladung dazu eingeladen.

Markus Kastelitz

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz

Datenschutz, Datenschutzbeauftragter, DSGVO

Ein Cross-post von meinem Blog: Es schwirren derzeit einige Gerüchte über das künftige österreichische “DSGVO-Anpassungsgesetz” herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese “fake news” sein können – also Achtung):

  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte …
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene “Flexibilisierungen” hinaus).
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur “das Notwendigste” regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche “Verbandsklagerecht” heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als “Betroffene” umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden (“Verbandsverantwortlichkeit”; vgl. das Kartellrecht) – dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer “saftigen” Geldbuße Privatinsolvenz beantragen zu müssen …
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: “ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne”)  – es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige “Austriaca” anzupassen …
  • Update 1: Ich habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll – eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) “geträumt” haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; “Weisungsfreiheit”). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des”Haftungsprellbocks”. Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.