Upload
harmand-regier
View
116
Download
1
Embed Size (px)
Citation preview
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Datenschutzrecht im internationalen Vergleich
MMag. Michael KrennKanzlei Simonfay&Salburg
[email protected]: 01 / 403 66 05
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Überblick
1. Europarechtliche Rahmenbedingungen
2. Case Studies Europarecht3. Signifikante Unterschiede
zwischen EU-Staaten4. Nationale Rechtsordnungen im
Vergleich
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
EU-Richtlinien Richtlinie 95/46/EG zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Europarechtliche Rahmenbedingungen
Richtlinien 27 nationale Rechtsordnungen Richtlinie wendet sich an nationalen
Gesetzgeber Verpflichtung zur Umsetzung der RL
ins nationale Recht
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Durchsetzung der Richtlinien
„unmittelbare Wirkung“: “indirekt personenbezogene Daten”, Auskunftsrecht
Vertragsverletzungsverfahren: mangelnde Unabhängigkeit deutscher Landesdatenschutzbehörden
Vorabentscheidungsverfahren: ORF Einkommensdaten, Auskunftsrecht Vorratsdaten
Staatshaftung: Geltendmachung von Kosten für SPAM-Löschung gegen Republik Österreich (VfGH A 8/05)
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
EU-Datenschutzverordnung I
Datenschutzrecht soll durch einheitlichen Rechtsakt harmonisiert werden
Entwurf im Jänner 2012 vorgestellt Neufassung des
Löschungsrechts-“Vergessenwerden“- Verpflichtung gegenüber Dritten
Datenportabilität Profiling- Regelung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
EU-Datenschutzverordnung
II Neuregelung der Rechtsbehelfe Beschwerdeverfahren vor
Aufsichtsbehörde und Gerichten optional? Internationale Zuständigkeit sowohl am
Sitzort von Betroffenen als auch des Verarbeiters?
Probleme bei Rechtsanwendung –Kohärenzverfahren
Auswirkungen auf das österreichische Rechtssystem
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Welches Recht ist anzuwenden?
- Art. 4 DS-RL: Niederlassungsprinzip- effektive Ausübung einer Tätigkeit mit fester
Einrichtung- Niederlassung im Staatsgebiet- Zuständigkeit aufgrund internationalen
öffentlichen Rechts- Rückgriff auf automatisierte/nicht
automatisierte Mittel im Hoheitsgebiet- Außerhalb der EU Anwendung der nationalen
Bestimmungen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Welches Recht ist anzuwenden?§ 3 DSG österreichisches Recht ist
anzuwenden: Datenverwendung im Inland; auch bei
ausländischem Auftraggeber, falls Sitz in Nicht- EU-Staat
Datenverwendung in einem anderen EU-Staat für österreichische Haupt- oder Zweigniederlassung eines Auftraggebers
österreichisches Recht ist nicht anzuwenden:
Datenverwendung im Inland für Auftraggeber in einem anderen EU-Staat
reine Durchleitung durch Ö
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Welches Recht ist anzuwenden ?
K 121.187/0008-DSK/2006: bei nachträglichem Umzug eines Adressverlages in einen anderen Staat keine Zuständigkeit der DSK mehr.
K 121.001/0009-DSK/2005: Sonderreglungen im Bereich des Schengener Übereinkommens: datenschutzrechtliche Rechtsbehelfe sitzunabhängig vor jeder Datenschutzbehörde eines EU-Staats nach nationalem Recht möglich.
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Case Studies Datenschutz
1. ORF/Einkommensdaten2. Safe-Harbour3. SWIFT4. Internationaler Datenverkehr -
Standardvertragsklauseln 5. SMS-Dienst über Steuerdaten als
journalistische Berichterstattung?
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
ORF/Übermittlung von Einkommensdaten (VfGH KR 1/00,
28.11.2003) §8 Bezügebegrenzungsgesetz sah Übermittlung von
Bezügen von ORF-Mitarbeitern an Rechnungshof und Parlament sowie Veröffentlichung vor
Antrag an VfGH aufgrund unmittelbarer Anwendbarkeit der EU-Datenschutz-RL hinsichtlich der Zulässigkeit von Verarbeitungen
Eingriffe laut EuGH nur „angemessen“ und „notwendig“ zulässig
Zweck des effizienten Einsatzes von Budgetmitteln rechtfertigt keine personenbezogene Veröffentlichung von Einkommen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Safe Harbour
Entscheidung der EU-Kommission Wann dürfen Daten aus einem EU-
Mitgliedsstaat an eine US-Organisation übermittelt werden ?
Grundsätze des „sicheren Hafens“, Organisation muss sich gegenüber US-Handelsministerium zur Einhaltung verpflichten.
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Datenschutzproblem SWIFT I
Society for Worldwide Interbank Financial Telecommunication: internationale Genossenschaft der Kreditinstitute, Standardisierung des internationalen Zahlungsverkehrs, Verwendung auch für Standardüberweisungen in der EU
Sitz in Belgien, EU-Recht anwendbar Rechenzentrum in den USA Übermittlung an US-Behörden seit 2001
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Datenschutzproblem SWIFT II
Bekanntwerden der Datenübermittlung an US-Behörden 2006
Entscheidung K 121.245/0009-DSK 2007: fehlende Rechtsschutzmöglichkeiten durch mangelnde EU-weite Zusammenarbeit
2008 Einigung EU-USA: „Safe-Harbour“-Status für SWIFT- Rechenzentrum
2009: Abkommen EU-USA soll Zugriff auf europäische Überweisungsdaten sichern
Februar 2010: EU-Parlament verweigert Ratifizierung Billigung des Abkommens Juli 2010 Nachgiebigkeit der EU gefährdet Interessen Betroffener Neues Rechenzentrum Schweiz
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Internationaler Datenverkehr
genehmigungsfreie/genehmigungspflichtige Überlassung: §§ 12, 13 DSG 2000
Vorgaben der EU-Datenschutzrichtlinie sind zu beachten; Sarbanes- Oxley Act in Widerspruch zu EU-Recht
Problem der Datenübermittlung im Konzernverhältnis Beispiel „whistle-blowing- Daten“ ( DSK K 178.274/0010-DSK/2008, 05.12.2008; K600.074/0002-DVR/2010, 20.1.2010)
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Genehmigungsfreier Datenverkehr( §§ 12, 13 DSG 2000)
Übermittlung/Überlassung EU-Staaten, Staaten mit angemessenem Drittschutz (Schweiz, Kanada, Argentinien, „Safe Harbour“ USA, Kanalinseln)
„besondere Dringlichkeit“/lebenswichtiges Interesse
Daten im Inland zulässigerweise veröffentlicht
„Indirekt personenbezogene Daten“ Private/publizistische Zwecke
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Genehmigungsfreier Datenverkehr( §§ 12, 13 DSG 2000)
Zustimmung des Betroffenen Vertragserfüllung im Interesse des
Betroffenen Rechtsdurchsetzung bei rechtmäßiger
Ermittlung Österreichische Dienststelle im Ausland Bundesheer, Sicherheitsbehörden Standard/Musterverordnung ausdrückliche gesetzliche Vorschrift
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Genehmigungspflicht
Jeder nicht genehmigungsfreie Datenverkehr Genehmigung der DSK ist im Einzelfall zu
erteilen vertragliche Sicherstellung wurde verlangt -
seit DSG-Novelle reicht einseitige Zusicherung
EU-Standardvertragsklauseln sind zu berücksichtigen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
EU-Standardvertragsklausel
n Entscheidung der Kommission 2 Versionen optional + Standardvertrag
für Dienstleister wesentlicher Inhalt:
Pflichten für Exporteur/Importeur Drittbegünstigtenklausel: Betroffener
erwirbt Rechte aus Vereinbarung Haftungsklauseln: Exporteur haftet für
Importeur Gerichtsstand und anwendbares Recht:
kann Betroffener aussuchen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Praxisfälle Problem mangelnden Schutzes Betroffener :
DSK K178.234/0008-DSK/2007 Keine Genehmigung bei rechtswidriger
Ermittlung: DSK K178.180/0009-DSK/2005 Keine Genehmigung bei Vorbehalt von
Vertragsänderungen: DSK K178.194/0007-DSK/2005
Keine Genehmigung erforderlich, wenn keine Daten aus Datenanwendungen: DSK K178.074/13-DSK/00
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Steuerdaten-SMS als privilegierter Journalismus? (EuGH C-73/07,
16.12.2008)
Veröffentlichung von persönlichen Steuerdaten und Verbreitung per SMS in Finnland
Vorabentscheidungsverfahren EuGH sieht privilegierten
Jouranlismus Steuerdatenöffentlichkeit in
Skandinavien
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
signifikante Unterschiede zwischen
EU-Staaten Kontrollstellen/Nationale Behörden Registrierung/Bewilligung von
Datenverarbeitungen Sanktionen Verarbeitung sensibler Daten Umsetzung
Verarbeitungsgrundsätze
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Art. 28 Kontrollstelle Kontrollstelle „völlige Unabhängigkeit“, EuGH
C‑518/07, 9.3.2010, Unabhängigkeit der deutschen Landesdatenschutzbehörden
Untersuchungsbefugnisse, Einwirkungsbefugnisse, Klagerecht
Zugang für jede Person Berichtspflicht
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Umsetzung des Art. 28
Einheitliche Behörde vs. Föderalisierung/sachliche Aufteilung
Kompetenzen Bestellung/Organisation der
Behörde Bestelldauer und Art der Mitglieder Finanzielle Ausstattung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Einheitliche Behörde vs. Aufsplitterung
Deutschland föderalisiert: eigene Datenschutzbehörde für jedes Bundesland
Finnland: 2-Stufen-System; data protection ombudsman / data protection board
Üblicherweise eine Behörde: allerdings große Unterschiede hinsichtlich Kompetenzen, Bestellung, Zuständigkeitsbereich
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Art. 18 Datenschutz-RLPflicht zur Meldung bei der
Kontrollstelle Die Mitgliedstaaten sehen eine Meldung
durch den für die Verarbeitung Verantwortlichen bei der Kontrollstelle vor, bevor eine Verarbeitung zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird.
Ausnahmemöglichkeiten: Festlegung von Verarbeitungskategorien, bei
denen die Beeinträchtigung „unwahrscheinlich“ ist.
Bestellung eines Datenschutzbeauftragten („data protection officer“)
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Registrierung/Bewilligung von Datenverarbeitungen
Registrierung als Ausnahme: It Selbstregulierung-“data protection
officer“: H, D, SP, Polen, F Registrierung prinzipiell
verpflichtend vorgesehen: alle restlichen EU-Staaten; allerdings breite Ausnahmeregeln
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Art. 24 Sanktionen
Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Vergleich Strafandrohungen
0
100.000
200.000
300.000
400.000
500.000
600.000
700.000
800.000
900.000
1.000.000
LIT
AU
EN
ES
TL
AN
D
LE
TT
LA
ND
ZY
PE
RN
NIE
DE
RL
AN
DE
RU
MÄ
NIE
N
Öst
erre
ich
BE
LG
IEN
PO
RT
UG
AL
GR
IEC
HE
NL
AN
D
MA
LT
A
BU
LG
AR
IEN
UN
GA
RN
IRL
AN
D
LU
XE
MB
UR
G
PO
LE
N
SL
OW
AK
EI
FR
AN
KR
EIC
H
SL
OW
EN
IEN
TS
CH
EC
H.
RE
PU
BL
IK
SP
AN
IEN
SC
HW
ED
EN
DÄ
NE
MA
RK
Deu
tsch
lan
d
FIN
NL
AN
D
GR
OS
SB
RIT
AN
IEN
ITA
LIE
N
0
1
2
3
4
5
6
7
8
9
10
EUR
Jahre
(c) ARGE DATEN 2011
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Vergleich Geldstrafen angedroht - exekutiert
0
100.000
200.000
300.000
400.000
500.000
600.000
700.000
800.000
900.000
1.000.000
LIT
AU
EN
ES
TL
AN
D
LE
TT
LA
ND
ZY
PE
RN
NIE
DE
RL
AN
DE
RU
MÄ
NIE
N
Öst
erre
ich
BE
LG
IEN
PO
RT
UG
AL
GR
IEC
HE
NL
AN
D
MA
LT
A
BU
LG
AR
IEN
UN
GA
RN
IRL
AN
D
LU
XE
MB
UR
G
PO
LE
N
SL
OW
AK
EI
FR
AN
KR
EIC
H
SL
OW
EN
IEN
TS
CH
EC
H.
RE
PU
BL
IK
SP
AN
IEN
SC
HW
ED
EN
DÄ
NE
MA
RK
Deu
tsch
lan
d
FIN
NL
AN
D
GR
OS
SB
RIT
AN
IEN
ITA
LIE
N
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
100.000
[EUR] [EUR]
(c) ARGE DATEN 2011
Deutsche Bahn: 1,116 Mio. EuroZeppelin (Spanien: 1 Mio Euro
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Case Studies Sanktionen Bueraeu X (2004): NL,
Informationsdienstleisterbeschafft Daten auf illegalem Wege; 240 Stunden gemeinnützige Arbeit, 1 Jahr bedingte Haftstrafe
Zeppelin (2004): Spanien, Produktionsfirma von „Big Brother“, mangelnde Datensicherheit; Geldstrafe von rd. 1.000.000,- Euro
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Case Studies Sanktionen Transfer Kundendaten im
Konzerverhältnis(2007): DK, Euro 6.500,- Zeitungen übermitteln gegenseitig Kundendaten
Übermittlung von Gesundheitsdaten (2006): GR, Euro 50.000,-; private Krankenversicherung hat ohne Zustimmung oder Information Gesundheitsdaten von Versicherten erhoben.Strafe erging an Spital und Krankenversicherung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Case Studies Sanktionen Telefonica (2005):
Spanien; gesetzwidrige, konzerninterne Datenübermittlung für Direktmarketing; Euro 420.708,- Geldstrafe
Greek tapping case (2004 - 2007):Griechenland; Abhörskandal von Politikern und Prominenten bei Vodafone; Einsatz eines TrojanerprogrammsEuro 76,000.000,- Strafe für VodafoneEuro 7,360.000,- Strafe für Ericson
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Case Studies Sanktionen
CY: Euro 9.000,- für verbotene elektronische Direktwerbung
CZ: Euro 70.000,- Gesundheitsdaten in Hof gefunden D: Deutsche Bahn AG erhält Strafe von Euro
1,123.503,- für „Mitarbeiterprofiling“ D: Lidl erhält Strafe für Mitarbeiterüberwachung in
Höhe von 1,462.000,- D: EUR 200.000,- für HASPA für Weitergabe von
Kundendaten an externe Finanzberater D: “Christstollenskandal” – 1000 Euro Strafe D: “Abwehr” unerbetenen Werbeanrufes mit Pfeife:
800 Euro
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Art. 8 DS-RL / sensible Daten
Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.
zahlreiche Ausnahmebestimmungen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Umsetzung sensible Daten
Mindestinhalt EU-weit einheitlich geregelt
Manche Staaten fügen Inhalte hinzu Gr: Sozialhilfe Gr: Vereinsmitgliedschaften Gr, Frankreich, NL, P: Schulden, Finanz Tschechien: biometrische/genetische Daten
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Umsetzung Verarbeitungsgrundsätze
sensible Daten
Strenge Zweckbindung: F, Cz, U
Großzügige Ausnahmen: It, Ö, GB
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Nationale Rechtsordnungen im Vergleich
Ungarn Tschechien Slowakei Italien Frankreich Großbritannien Schweiz
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Grundlagen Ungarn DPA aus 1992: Act on the protection of
personal data and disclosure of public information.
Parliamentary Commissioner for Data Protection and Freedom of Information: Plan zu Ersatz durch “nationale Datenschutzagentur”- Vertragsverletzungsverfahren wegen Unabhängigkeit
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht Ungarn Grundsätzlich verpflichtende Registrierung
mit Nummer Mindestinhalt 30 Tage vor Beginn bzw. 8 Tage vor
Änderungen Meldefrist Preliminary review (optionale
Vorabüberprüfung) Ausnahmeregeln: v.a. Verarbeitungen, die
ausschließlich Kunden- und Mitarbeiterdaten betreffen, kirchliche Gemeinschaften, Parteien, wissenschaftliche Forschung ohne personenbezogene Veröffentlichung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Ungarn Informationspflicht grundsätzlich Zustimmungserfordernis für
Datenverwendung Schrifterfordernis der Zustimmung nur
bei sensiblen Daten Sanktionen: Strafrahmen 12 - 43.200,- Euro Recht zur öffentlichen Bekanntgabe
(Prangerfunktion) Datenskandal vor Parlamentswahl 2010 Datenskandal Universität
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Überblick Tschechien
Office for Personal Data Protection Anforderungen an Mitgliederbestellung:
Präsident und Inspektoren benötigen Universitätsabschluss, strikte Unvereinbarkeitsbestimmungen (keine Mitgliedschaft in politischer Partei)
Act on Personal Data Protection 2000 Zivilorganisation Iuridicum remdium,
organisiert „Big Brother Award“
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht Tschechien
Anmeldeverpflichtung mit Ausnahmen:Keine Meldung bei Erfüllung gesetzlicher Verpflichtungen durch den Verarbeiter
Möglichkeit zur inhaltlichen Überprüfung
Meldefrist 30 Tage Registrierungszertifikat auf Wunsch
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Tschechien
Informationspflicht
Zustimmungserfordernis bei sensiblen Daten/Ausnahmen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Sanktionen Tschechien Wirtschaftstreibende: 180.000,- Euro, bei
sensiblen Daten 360.000,- Euro Natürliche Personen: 36.000,- Euro, bei
sensiblen Daten 180.000,- Euro Natürliche Person als Angestellter:
Höchststrafe 3.600,- Euro Reale Situation: meist einige 100,- Euro Baugenossenschaft bekam höchste Strafe
von 20.000,- Euro: Daten von Kunden wurden auf Homepage veröffentlicht.
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Grundlagen Slowakei Act on Protection of Personal Data 2002
Office for Protection of Personal DataPräsident: Mindestalter 35; 10 Jahre
Erfahrung; Inspektor: Mindestalter 30; 3 Jahre Erfahrung Keine Mitgliedschaft bei politischer Partei Erfahrung in IT muss gegeben sein
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht Slowakei Allgemeines Registrierungsschema Spezielles Registrierungsschema:
Übermittlung in Staaten ohne Schutzniveau
DNA-DatenKeine Zustimmung des Betroffenen und
Verarbeitung zugunsten des Auftraggebers Bei speziellem Schema ist Bewilligung
abzuwarten (Vorabkontrolle)
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Slowakei Informationspflicht Verarbeitung sensibler Daten
grundsätzlich verboten Ausnahme bei Zustimmung; Zustimmung
hat jedenfalls schriftlich zu erfolgen
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Sanktionen Slowakei Höchststrafe Euro 3.000,- für
gesetzwidrige Datenverarbeitung Höchststrafe Euro 15.000,- bei
Verstoß gegen Löschungsverpflichtung
Höchste bisher verhängte Strafe : Euro 6.000,- gegen Stadt Kosice, die Durchsuchung verhinderte
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Grundlagen Italien
Data Protection Code 2003 Garante per la peotezione die dati
personale (Garante) Skandal um Online-Steuerdaten Datenskandal Telecom Italia
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht Italien Keine grundsätzliche
Anmeldepflicht: Anmeldung ist Ausnahme!!
Ausnahmen: genetische und biometrische Daten; Gesundheitsdaten zu kommerziellen
Zwecken; sensible Daten zu kommerziellen
Zwecken
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Einwilligung Italien
grundsätzlich ja, mündlich, bei sensiblen Daten schriftlich
Ausnahmen: Datenverarbeiter erfüllt gesetzliche
Verpflichtung Datenverarbeiter erfüllt vertragliche
Verpflichtung mit dem Betroffenen „überwiegende Interessen“ des
Verarbeiters
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Übersicht Frankreich
French Data Protection Act 1978, angepasst 2004
CNIL überwacht privaten und öffentlichen Sektor (Commission nationale de l'informatique et des libertés )
Jahresbericht, starke öffentliche Wahrnehmung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht Frankreich
Anmeldung prinzipiell verpflichtend Bewilligungspflicht bei sensiblen
Daten, Datentransfer in Staaten ohne Schutzniveau; biometrische Daten
Data protection officer: System der Selbstregulierung
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Sanktionen Frankreich Aufsteigendes Modell Verwarnung Formelle Beanstandung Beendigung verfügen Höchststrafe Erstverletzung: Euro 150.000,- Höchststrafe weitere Verletzung: Euro
300.000,- Credit Lyonnaise erhielt Strafe von Euro
45.000,- Datenskandal um Radarwarngeräte
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Grundlagen Großbritannien
Data Protection Act 1998 Durch Judikatur beschränkter Begriff
geschützter Daten (Fall Durant) “personal or familiy life, business or professional capacity” (widerspricht EU-Recht)
The Information Commissioner Öffentliche “Sexualstraftäterdatei” Skandal um verschwundene Daten-CDs PSN-Hack: 300.000,00 Euro Strafe für
Sony
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Meldepflicht GB
Anmeldung ja
Keine Bestätigung/Bewilligung nötig
Keine Anmeldung für Personalverwaltung nötig
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Grundlagen Schweiz
Datenschutzgesetz 1992, Teilrevision 2007, in Kraft seit 1.1.2008 / Umsetzung der EU-Datenschutz-RL
Swiss Federal Data Protection Commissioner
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Schweiz Informationspflicht war früher nicht
explizit festgelegt, erst durch die Revision 2008 erfolgt
Meldepflicht war nur bei sensiblen Daten, Personalprofilen oder Weitergabe an Dritte vorgesehen, nunmehr Registrierungspflicht erweitert
MMag. Michael Krenn, Kanzlei Simonfay und Salburg
Resumee Bemühen um ein einheitlichs
Datenschutzniveau in Europa Rechtsordnungen in Europa nach wie
vor zersplittert Geringes Datenschutzniveau in Nicht-
EU-Staaten gefährdet Rechte Betroffener auch innerhalb der EU: „Export“ von Grundrechten oder Vereinheitlichung auf niedriges Niveau ?