Am 19. März fand in den Räumlichkeiten der Firma Microsoft ein Seminar für Vereinsmitglieder statt. Danke an Harald Leitenmüller, CTO von Microsoft Österreich für die Bereitstellung der Räumlichkeiten!
Zu Beginn erörterte Dr. Thomas Menzel (Datenschutzbeauftragter Bildungsteil BMBWF) aktuelle Herausforderungen und Projekte mit Datenschutz- und Datensicherheitsbezug und Aspekte der konformen Nutzung von IT und Cloudservices im Bildungsbereich.
Dr. Matthias Schmidl, Stellvertretender der Leiter Datenschutzbehörde berichtete über die Erfahrungen in den ersten 9 Monate nach Inkraftsetzung der DSGVO und erste Entscheidungen der Datenschutzbehörde.
Wir stellen allen Vereinsmitgliedern die Präsentation von Dr. Schmidl über unsere MeWe Mitgliedergruppe zur Verfügung!
Im Anschluss konnten sich unsere Vereinsmitglieder im Rahmen eines gemütliches Get-Together mit den Vortragenden und anderen VereinsmitgliederInnen austauschen.
Die Datenschutzbehörde zieht derzeit in die Barichgasse 40-42, 1030 Wien um. Es sollte daher die Anschrift aktualisiert werden, sofern Sie z.B. in Datenschutzhinweisen genannt wird.
Implementation of the GDPR with a special focus on the role and the means of the DPAs: Written report to LIBE – First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities
1 Konsultationsverfahren nach Art 36 DSGVO (DSFA) zu Dashcams in Autos (von der DSB per rechtskräftigem Bescheid untersagt)
4 Anträge auf Genehmigung von Verhaltensregeln (Art 40 f DSGVO; Code of Conducts): die DSB hatte sich nach eigener Aussage eine größere Anzahl an Anträgen erwartet und sieht darin weiterhin einen Mehrwert für Branchenverbände
115 Verwaltungsstrafverfahren (davon 79 von den BHs und Magistraten per 25.5.2018 übernommen)
Wir waren auf der Konferenz der deutschen Datenschutzbeauftragten “Aufsicht trifft Wirtschaft” am 26. und 27. Oktober 2017 in Stuttgart und haben dort unsere Checkliste vorgestellt. Diese hat großen Anklang gefunden und uns in unserer Arbeit bestärkt. Es waren ca 200 Besucher auf dieser Konferenz, welche vor allem den Süden Deutschlands abdecken sollte. Wir hatten einen regen Austausch mit unserem deutschen Schwesternverein und werden in Zukunft noch stärker kooperieren, ein paar Vergünstigungen für unsere Mitglieder gibt es jetzt schon, beispielsweise können unsere Mitglieder Konferenzen des Verbandes zum Mitgliederpreis teilnehmen und es wird künftig noch stärken Austausch und Zugang internen Informationen geben.
Anbei noch einige Notizen von Konferenz:
Behörden (Baden-Württemberg/Bayern und Staatssekretär):
Wir sind noch alle in der Theorie und müssen gemeinsam in den Austausch kommen.
Materiell wird sich für den deutschen Datenschutz wenig ändern, allerdings wird sich das Zusammenspiel zwischen den Behörden und den Unternehmen ändern. Die Behörden müssen sich selbst berechenbarer machen und zwischen den Behörden wird es mehr Koordination geben.
Es wird Kurzpapiere von der Datenschutzkonferenz geben, ein gemeinsames Verständnis aller deutschen Behörden sollte zusammengefasst werden. Es wird auch ein Muster für Verfahrensverzeichnisse geben. Ansonsten muss das Verfahrensverzeichnis so gestaltet sein, dass die Behörde ohne nachfragen einen Überblick erhalten kann.
Falls ein Auftragsverarbeiter sich weigert, einen neuen Vertrag zu unterschreiben, so kann man die Behörde anrufen.
Bußgeld darf nicht das zentrale Thema werden, Behörden in Deutschland sind jetzt schon sehr kooperativ, allerdings ist das Bußgeld nötig um alle aufzuwecken , welche sich vorher nicht um das Thema gekümmert haben. In Deutschland wurden bis jetzt kaum Bußgelder verhängt, wenn man eine ungesetzliche Situation bemerkt hat, hat man eher beraten wie man den Zustand abstellt. Dieses nicht wirtschaftsunfreundliche Verhalten wird sich ändern müssen, weil die Eu einheitlich Vorgehen wird. Auch die Bußgelder werden einheitlich verhängt werden. Allerdings haben die Behörden nach Ermessen zu entscheiden. Es wird eher das französische Modell, Rechtssicherheit durch Verfahren angewendet werden.
Die Behörden befürchten, dass die Unternehmen z.B. Geld in Rechtsanwälte investieren und ganze Behörden lahmlegen könnten.
Die Behörde in Baden-Württemberg hat zurzeit 55 Mitarbeiter und wird noch aufstocken (8). Davon werden 2-3 Mitarbeiter sich nur aufs Bußgeld spezialisieren.
Mitarbeiter welche in der Beratung tätig sind, dürfen allerdings nicht mit Bußgeld arbeiten und umgekehrt, hier wird es eine strikte Trennung geben.
Eine verständnisvolle Bußgeldsituation wie bisher darf nicht mehr geben.
Sicherheitsbehörde:
Beratung der Behörden für Unternehmen wird ein großes Thema. Datenschutz sollte eher ein Thema für Unternehmen sein, wie diese z.B. mit Kundendaten umgehen. Datenschutz sollte nicht die Sicherheit der Demokratie verhindern. Das deutsche Niveau beim Datenschutz ist einzigartig, sollte aber trotzdem im Sinne der Sicherheit mehr möglich machen z.B. bekommt die Polizei in Deutschland nicht die Mautdaten, in Österreich aber schon.
Wenn man sensible Daten verwendet, sollten die TOMs strenger sein!
Man merkt dass alle in der EU ziemlich wegen dem Datenschutzbeauftragten ratlos sind, hier sollte das deutsche Erfolgsmodell als Muster gesehen werden.
Gutachten zur Stellung und Haftung des Datenschutzbeauftragten:
Welche Konsequenzen ergeben sich aus der DSGVO für andere Gesetze? Die DSGVO ist höher als das Grundgesetz einzustufen, bei Widerspruch zu einem deutschen Gesetz hat die DSGVO Vorrang.
Es gibt keine Formvorschrift über die Bestellung des DSB, wenn man vorher schon bestellt war, gilt die Bestellung weiter, muß also nicht neu bestellt werden.
Der Kündigungsschutz ändert sich in der deutschen Rechtlage nicht, nur wenn eine fristlose Entlassung ausgesprochen werden kann, kann man den DSB kündigen.
Für den Datenschutz verantwortlich ist nicht der DSB sondern, der für die Datenverarbeitung Verantwortliche. Deshalb kann nur dieser sanktioniert werden. (also Unternehmensleitung), dieser ist auch verantwortlich für die PIA und muß den Rat des DSB einzuholen. DSB überwacht die Einhaltung hat aber selbst kein Weisungsrecht.
Bildlich wurde ein Fußballcoach gesehen, der auch nicht steuernd in das laufende Spiel eingreifen kann.
Es wurde auch die Frage aufgeworfen, ob der DSB zusätzliche Pflichten übernehmen kann, dies kann nur im Einzelfall entschieden werden, ist aber schwierig, weil möglicheInteressenskonflikte auftreten können. Die gesetzlichen Pflichten gehen jedenfalls vor.
Die Pflichten sollten bei der Bestellung klar definiert werden, wobei die gesetzlichen nicht vertraglich ausgedehnt werden sollten. Bei der Bestellung ist es unzulässig das Bußgeld dem DSB umzuhängen.
Unterschied zu Compliance Officer:
Compliance Officer haften bei Unterlassung, Datenschutzbeauftragte haben nur eine Verpflichtung darauf hinzuweisen.
Datenschutzbeauftragte können Schulungen übernehmen, es besteht eher kein Interessenskonflikt.
Das gesamte 60igseitige Gutachten wird nächste Woche veröffentlicht.
Noch rein paar interessante Aussagen aus der Konferenz:
Es gibt 5000 Datenschutzbeauftragte alleine in Bayern!
Data Breach sollte nicht der Datenschutzbeauftragte melden, diese Entscheidung trifft die Unternehmensleitung, Vorsicht bei Aussagen: arbeitsrechtliche Treuepflicht – Geheimhaltungspflicht ……
Der Datenschutzbeauftragte hat keine Anzeigepflicht!
Gemäß § 37 Abs 5 DSG 2000 hat die Datenschutzbehörde bis zum 31. März eines jeden Jahres einen Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem Nationalrat und dem Bundesrat vorzulegen.
Anlässlich des 11. Europäischen Datenschutztages fand am 23. Februar 2017 im Bundeskanzleramt eine gemeinsame Veranstaltung von Datenschutzbehörde und Datenschutzrat unter dem Titel “Das neue Datenschutzrecht in der Europäischen Union” statt. Zu den Vortragenden zählte auch Judith Leschanz von Privacyofficers.at, die Vortragsfolien (darunter auch jene von Dr. Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde) sind hier (Bundeskanzleramt) abrufbar. Ein Bericht der Wiener Zeitung über den Datenschutztag ist hier verfügbar.