Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

Interessantes

... Eine im wesentlichen chronologische Sammlung von Informationen ohne thematische Strukturierung aus den Bereichen

Strukturierte Informationen finden Sie zB in unserem Abschnitt Tätigkeitsbereiche

Neue Seminar-Termine 2018

Seit dem 25. Mai 2018 sind die Regelungen der EU-Daten­schutz-Grund­verordnung (DSGVO) sowie des neuen öster­reichischen Datenschutzgesetzes zwingend zu beachten.
Um die hohen Bußgelder von bis zu EUR 20 Millionen zu vermeiden, ist es notwendig, dass Ihr Unternehmen sich dieser Herausforderung stellt und rechtzeitig alle nötigen Maßnahmen umsetzt, um die neuen Anforderungen zu erfüllen.

Secur-Data beschäftigt sich seit 1980 beratend und im Rahmen von Schulungen mit dem Thema „Datenschutz“.

Einige Schwerpunkte unseres aktuellen Seminars:

19.11.2018: DSGVO — Grundlagen und Praxis
Referenten: Prof. KommR Pollirer, Mag. Leschanz, Mag. Wyrobek

19. und 20.11.2018: Ausbildung zum internen Datenschutzbeauftragten (DSBA)
Referenten: Prof. KommR Pollirer, Mag. Leschanz, Mag. Stöger, Mag. Wyrobek, F. Tuma

  • EU-Datenschutz-Grundverordnung — Worauf müssen Sie Ihr Unternehmen vorbereiten?
  • Das neue Datenschutzgesetz — Welche Anpassungen sieht der österreichische Gesetzgeber vor?
  • Umstellungsplanung DSGVO — Welche Änderungen müssen Sie umgesetzt haben?
  • Neue Dokumentationspflichten — Datenschutz-Folgenabschätzung, Verarbeitungsverzeichnisse und Risikoanalyse

Anleitungen zum Umgang mit dieser komplexen Materie erhalten Sie bei unserem

Seminar am 19. 11. 2018:

DSGVO — Grundlagen und Praxis

Ein kompetenter Datenschutzbeauftragter kann Ihrem Unternehmen viele Probleme ersparen. Zum dreiund­zwanzigsten Mal veranstalten wir einen einschlägigen

Lehrgang am 19. und 20.11.2018:

Ausbildung zum internen Datenschutzbeauftragten (DSBA)

Zu Detailinformationen und der Online-Anmeldung gelangen Sie hier.
Seminarprospekte in ausdruckbarer Form sind hier und hier abrufbar.

 

DSG-Anpassungsgesetz - die Neuerungen

Es wurde viel diskutiert, das Datenschutz-Deregulierungsgesetz 2018 (BGBl. I Nr. 24/2018), das noch einen Monat vor der unmittelbaren Geltung der DSGVO im Nationalrat beschlossen wurde.

Von den in den Medien dargestellten „Entschärfungen“ ist allerdings nur vorsichtigerweise die Rede. Die wesentlichen Punkte des Datenschutz-Deregulierungsgesetzes betreffen die Vorgangsweise der Datenschutzbehörde im Rahmen ihrer Strafbefugnis, Erleichterungen bei der Datenverarbeitung für Medienunternehmen und Journalisten, den Schutz für Geschäfts- und Betriebsgeheimnisse, sowie Einschränkungen für Datenschutz-NGOs.

„Beraten statt strafen“

Das Prinzip der Verhältnismäßigkeit ist bereits in der DSGVO verankert und spielt dort eine tragende Rolle bei der Strafbemessung. Der österreichische Gesetzgeber hat im neueingefügten §11 DSG dieses Prinzip nochmals legislativ verankert und legt damit ausdrücklich fest, dass vor einer Verhängung der hohen Strafen der DSGVO im Einzelfall eine Prüfung der Verhältnismäßigkeit und Angemessenheit erfolgen soll.

Das heißt natürlich im Umkehrschluss nicht, dass die Datenschutzbehörde alle ihr gemeldeten Verstöße zunächst nur abmahnen wird, sondern, dass eine Einzelfallprüfung erfolgt. Es kann also bereits beim ersten groben Verstoß gegen die DSGVO zu einer Verhängung von hohen Strafen kommen. Es steht der Datenschutzbehörde frei als unabhängige Behörde zu entscheiden, ob eine Strafe im Einzelfall zu verhängen ist und ob diese angemessen und verhältnismäßig ist. Keinesfalls kann man davon ausgehen, dass sämtliche Verstöße der DSGVO nur mit einer Abmahnung der Datenschutzbehörde getadelt werden. Es ist daher Vorsicht geboten, davon auszugehen, dass man erst als „Wiederholungstäter“ den hohen Strafen der DSGVO ausgesetzt ist.

Keine Doppelbestrafung

Eine tatsächliche Erleichterung hat das Datenschutz-Deregulierungsgesetz im Bereich verwaltungsrechtliche Doppelbestrafung gebracht. Zum einen wird nach dem Grundsatz „ne bis in idem“ (nicht zweimal in derselben [Sache]) eine Doppelbestrafung durch die Datenschutzbehörde verhindert, wenn bereits eine andere Verwaltungsbehörde in derselben Sache eine Strafe verhängt hat.

Zum anderen werden die sog. § 9 VStG (Verwaltungsstrafgesetz) verantwortlichen Beauftragten nicht zusätzlich zur juristischen Person für denselben Verstoß bestraft. Dies ist insofern eine begrüßenswerte Klarstellung, da dem verantwortlichen Beauftragten durch das hohe Strafausmaß empfindliche Summen gedroht hätten.

Zusätzlich wird das „Günstigkeitsprinzip“ ausdrücklich festgelegt, das besagt, dass bei Verstößen, die noch zur Rechtslage des bis dato geltenden DSG 2000 begangen wurden und noch nicht als anhängige Verfahren laufen, nach der Rechtslage beurteilt werden, die für den Verursacher günstiger sind.

Medienunternehmen und Journalisten wird Datenverarbeitung erleichtert

Werden Daten zu journalistischen Zwecken durch Medienunternehmen oder Mediendienste verarbeitet, finden ein Großteil der Normen des Datenschutzgesetzes sowie der DSGVO keine Anwendung. Die Datenschutzbehörde hat dabei das Redaktionsgeheimnis zu beachten und im Zweifel der Meinungs- und Informationsfreiheit, Vorrang vor dem Recht auf Datenschutz zu gewähren. Dies ist eine bemerkenswerte Ausnahme, die sich auch in anderen Materiengesetzen wiederfindet, hier allerdings explizit Eingang in das neue Datenschutzgesetz gefunden hat.

Geschäfts- und Betriebsgeheimnisse hindern Auskunftsrecht

Betroffenen kann das in Art. 15 DSGVO verankerte kostenlose Auskunftsrecht verweigert werden, wenn der Verantwortliche oder Dritte dadurch Geschäfts-bzw. Betriebsgeheimnisse offenbaren müssen bzw. diese durch eine Auskunftserteilung an die betroffene Person gefährdet werden. Dies ist als Öffnungsklausel des nationalen Gesetzgebers genutzt worden und schränkt damit das Betroffenenrecht insoweit ein, als der Verantwortliche begründen muss, wieso hier Geschäfts- oder Betriebsgeheimnisse von sich oder einem Dritten gefährdet werden.

Keine Abtretung von Schadenersatzansprüche an Datenschutz-NGOs

Datenschutzorganisationen ohne Gewinnerzielungsabsicht können für betroffene Personen keine Schadenersatzansprüche mehr in ihrem Namen geltend machen. Organisationen, wie beispielsweise der von Max Schrems gegründete NGO, wird somit die Möglichkeit genommen eine kollektive Geltendmachung von Ansprüchen gegen Verantwortliche und Auftragsverarbeiter auf Schadenersatz wahrzunehmen. Dies ist insoweit bemerkenswert, da diesen Organisationen weiterhin offensteht, Beschwerde an die Datenschutzbehörde sowie das Bundesverwaltungsgericht im Namen von betroffenen Personen einzureichen. Schadenersatzrechtliche Gemeinschaftsklagen sind jedoch explizit durch das neue Datenschutzgesetz davon ausgenommen.

Datenschutz-Folgeabschätzungs-Ausnahme Verordnung 2018

1.     Datenschutzbehörde veröffentlich „White List“ als Datenschutz-Folgenabschätzung-Ausnahme Verordnung (DSFA-AV)

Die DSGVO sieht vor, dass bei einer Form der Datenverarbeitung, die nach Art, Umfang, Umständen und Zwecken ein voraussichtlich hohes Risiko für die Rechte und Freiheitlichen natürlicher Personen darstellt, eine sogenannte „Datenschutz-Folgenabschätzung“ stattzufinden hat. Die nationalen Datenschutzbehörden sind ermächtigt, Listen von Verarbeitungsvorgängen zu erstellen, für die eine Datenschutz-Folgenabschätzung jedenfalls durchzuführen ist („Black List“), sowie für eine für jene Vorgänge, für die eine Datenschutz-Folgenabschätzung nicht notwendig ist („White List“).

Die Österreichische Datenschutzbehörde hat pünktlich zum Geltungstag der EU-Datenschutzgrundverordnung die sog. „White List“ veröffentlicht, die als Datenschutz-Folgenabschätzung-Ausnahme-Verordnung (DSFA-AV, BGBl. II Nr. 108/2018) gestaltet wurde. Die darin umfassten Datenverarbeitungsvorgänge sind daher von einer Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 1 und 5 EU-DSGVO ausgenommen.

Großteils orientiert sich die White List an der ehemaligen Standard- und Musterverordnung (StMV 2004), die bereits eine Vielzahl an Datenanwendungen beinhaltet hatte, für die keine bzw. eine vereinfachte Meldepflicht im Datenverarbeitungsregister (DVR) bestand.

Nachdem nun das Datenverarbeitungsregister aufgelassen wurde und keine Meldepflichten mehr bestehen, ist es Aufgabe des Verantwortlichen als Datenverarbeiter zu entscheiden, ob eine Folgenabschätzung notwendig ist und diese im Fall auch durchzuführen. Das Fehlen einer Datenschutz-Folgenabschätzung bzw. Dokumentieren, weshalb keine notwendig ist, kann ebenfalls Strafen der Datenschutzbehörde auslösen.

Anders als bei der Standard- und Musterverordnung nennt die White List keine konkreten Datenkategorien (wie Name, Adresse, Kontodaten) mehr, sondern beschreibt die Datenverarbeitungsvorgänge ihrem Zweck nach.

Weiters ausgenommen von einer Datenschutz-Folgenabschätzung bleiben bereits bei der Datenschutzbehörde im ehemaligen Datenverarbeitungsregister (DVR) genehmigte Datenanwendungen bzw. jene, die bereits vor dem 24. Mai 2018 gem. § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren.

Wir haben für Sie die Datenverarbeitungsvorgänge gem. der neuen Datenschutz-Folgenabschätzung-Ausnahme-Verordnung (DSFA-AV) der ehemaligen Standard- und Musterverordnung gegenübergestellt, damit Sie sich orientieren können, ob Ihre Datenverarbeitung einer Ausnahme unterliegt.

Sollten Sie sich nicht sicher sein, ob Ihre Datenwendung sich unter den angeführten Verarbeitungstätigkeiten wiederfindet, beraten wir Sie gerne

Interessantes aus dem IT Security-Bereich

Corporate Password Policy

Eine vernünftige und allgemein akzeptierte Password-Politik ist integrierender Bestandteil der unternehmensweiten IT-Sicherheitspolitik.

Corporate E-mail Policy

Gibt's bei Ihnen eine unternehmensweite E-Mail-Politik? Eine klar ausformulierte E-Mail-Politik, die allen Mitarbeitern nachdrücklich kommuniziert wurde, kann Mitarbeiter und Unternehmen vor ernsthaftem Schaden bewahren. Die Corporate E-Mail Policy ist Teil des IT-Sicherheitshandbuchs.

Kompetenzbereich Datensicherheit

2010 Secur-Data. All Rights Reserved.