Post on 10-Aug-2019
Grundlagen des Datenschutzrechts Donau-Universität Krems
Universitätslehrgang Marketing und Vertrieb MSc/MBA, 29.11.2017
RA Dr. Lukas Feiler, SSCP CIPP/E
Themen
1 Einführung in das europäische Datenschutzrecht 3
2 Grundsätze der zulässigen Datenverarbeitung 14
3 Betroffenenrechte 18
4 Besondere Pflichten nach der DSGVO
• Bestellung eines Datenschutzbeauftragten
• Verzeichnis der Verarbeitungstätigkeiten
• Privacy Impact Assessments
• Privacy by Design & Default
• Datensicherheit & Data Breach Notification
• Outsourcing & Übermittlungen in Drittländer
27
5 Datenschutz und Werbung
• Direktmarketing
• Profiling
• Cookies
• Marktforschung
41
6 Rechtsdurchsetzung 58
7 Umsetzung der DSGVO in 12 Schritten 64
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutz als Grundrecht
4
Europäische Menschenrechtskonvention
Schützt Privatsphäre (Artikel 8)
EU Grundrechtscharta
Schützt das Grundrecht auf Datenschutz (Artikel 8)
Österreich: § 1 Datenschutzgesetz 2000
USA
4. Verfassungszusatz: Schutz vor unreasonable searches & seizures; gilt aber nur wenn “reasonable expectation of privacy” (Katz v. United States, 389 U.S. 347 (1967)) secrecy paradigm
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Hintergrund zur DSGVO
5
EU-Datenschutzrichtlinie von 1995:
Nicht direkt anwendbar 28 unterschiedliche nationale Datenschutzgesetze der damit verbundene Verwaltungsaufwand kostet Unternehmen ca. EUR 2,3 Mrd. pro Jahr
Datenschutzrechtliche Meldungen in fast allen EU-Mitgliedstaaten kosten Unternehmen ca. EUR 130 Mio. pro Jahr
EU-Datenschutz-Grundverordnung:
Eine einheitliche und unmittelbar anwendbare Datenschutz-Rechtsvorschrift, die die meisten umständlichen Verwaltungsanforderungen abschafft
Internalisierung von Compliance-Aufgaben
Entstehungsgeschichte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Rechtsetzungsprozess
6
Der Rechtsetzungsprozess dauerte lange und war komplex
Fast 4000 Änderungen wurden von Mitgliedern des EP eingebracht
Die Abstimmung des EP wurde zweimal vertagt
Zeitlicher Ablauf
Januar 2012: Die Kommission bringt einen ersten Vorschlag ein
März 2014: EP nimmt den Entwurf in einer Plenarabstimmung (1. Lesung) an
Juni 2014: Der Rat verabschiedet eine gemeinsame Position zu einigen Aspekten
15. Dezember 2016: Politische Einigung im Trilog
25. Mai 2018: DSGVO tritt in Geltung
Entstehungsgeschichte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Wozu Datenschutz-Compliance?
7
Bisher:
In Österreich: Datenschutzgesetz 2000 (DSG 2000)
Ab 25. Mai 2018: Datenschutz-Grundverordnung der EU (DSGVO)
Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des gesamten, weltweit erzielten Jahresumsatzes
Haftung der Geschäftsleitung
Für Verwaltungsstrafen haften Mitglieder der Geschäftsleitung grds solidarisch mit der Gesellschaft
Haftung gegenüber der Gesellschaft aus Dienstvertrag
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Welche Datenverarbeitungen sind erfasst?
8
Jede Verarbeitung personenbezogener Daten ist erfasst
Verarbeiten: jede Handhabung personenbezogener Daten (auch das Gespeichert-Halten)
Personenbezogene Daten: Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen
DSG 2000: natürliche und juristische Personen
DSGVO: nur natürliche Personen
Anwendungsbereich
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Die Rollenverteilung der DSGVO
9
Betroffene
Person
Für die Verarbeitung
Verantwortlicher
Hat ein Interesse
am Schutz seiner
personenbez.
Daten
Entscheidet
über Daten-
Verarbeitung
Auftrags-
verarbeiter
verarbeitet Daten auf
Anweisung des
Verantwortlichen
Übermittlung
Sub-Auftrags-
verarbeiter
Übermittlung
verarbeitet Daten
auf Anweisung
Anderer Verantwortlicher
Übermittlung
Entscheidet eigenständig
über Verarbeitung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Wo gilt die Datenschutz-Grundverordnung?
10
DSGVO gilt für Verantwortliche/Auftragsverarbeiter
mit Sitz in der EU bzw EWR;
ohne Sitz in der EU/EWR aber mit einer Niederlassung in der EU/EWR, wenn Verarbeitung im Rahmen der Tätigkeiten der Niederlassung;
ohne Sitz in der EU, aber
Waren oder Dienstleistungen werden in der EU/EWR angeboten
Verhalten von Betroffenen in der EU/EWR wird beobachtet
Anwendungsbereich
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Einheitliche Rechtsvorschrift mit Ausnahmen
11
Unmittelbare Anwendbarkeit der DSGVO
Kein Fortbestehen der nationalen Datenschutzgesetze nach dem 25. Mai 2018
Prinzip der einheitlichen Auslegung
Außerhalb des Anwendungsbereichs der DSGVO
Spielraum des nationalen Gesetzgebers
69 Öffnungsklauseln
Europäische Kommission kann „delegierte Rechtsakte“ erlassen
Vorschlag der Kommission: 26 Kompetenzen
EP-Abstimmung: 10 Kompetenzen
Endgültige Vereinbarung: 2 Kompetenzen
Verhältnis zu nationalem Recht
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Öffnungsklauseln für nationale Gesetzgeber
12
DSGVO überlässt viele Fragen den nationalen Gesetzgebern (u.a.):
Alter für eine wirksame Einwilligung eines Kindes: 16, 15, 14 oder 13?
Wann ist wirksame Einwilligung in Verarbeitung sensibler Daten ausgeschlossen?
Verarbeitung von strafrechtlich relevanten Daten möglich?
Ausnahmen vom Profiling-Verbot?
Unterliegen Betroffenenrechte zusätzlichen Beschränkungen?
Muss ein Datenschutzbeauftragter bestellt werden?
Können Behörden Geldbußen auferlegt werden?
Können Datenschutz-NGOs im Namen der betroffenen Personen Schadenersatz fordern? Können sie selbst eine einstweilige Verfügung erwirken?
Verhältnis zu nationalem Recht
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Rechtsdurchsetzung durch nationale Behörden
13
Durchsetzung durch die nationalen Aufsichtsbehörden
Europäische Kommission hat keine Durchsetzungsbefugnis
Europäischer Datenschutzausschuss
Ersetzt Artikel-29-Datenschutzgruppe
Nur zuständig für Streitigkeiten zwischen Aufsichtsbehörden
Verhältnis zu nationalem Recht
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Grundsätze der Datenverarbeitung
15
Rechtmäßigkeit (Rechtsgrundlage für Verarbeitung erforderlich)
Treu und Glauben
Transparenz
Zweckfestlegung
Zweckbindung
Richtigkeit
Datenminimierung
Speicherbegrenzung
Sicherheit
Rechenschaftspflicht
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutzrechtliche Rechtsgrundlagen
16
1. Einwilligung der betroffenen Person (informierte und freiwillige Zustimmung)
2. Erforderlichkeit für die Erfüllung des mit betroffener Person geschlossenen Vertrages
3. Gesetzliche Verpflichtung des Verantwortlichen
4. Lebenswichtige Interessen der betroffenen Person
5. Erforderlichkeit für Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt
6. Überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten
Rechtmäßigkeit der Datenverarbeitung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Rechtsgrundlage bei sensiblen Daten
17
Als sensible Daten gelten: Daten aus denen
rassische und ethnische Herkunft,
politische Meinungen,
religiöse oder weltanschauliche Überzeugungen oder
Gewerkschaftszugehörigkeit hervorgeht
und
genetische und biometrische Daten zur Identifizierung einer natürlichen Person
Gesundheitsdaten sowie Daten zum Sexualleben
überwiegendes berechtigtes Interesse ist nicht ausreichend
Einwilligung muss ausdrücklich erfolgen
Rechtmäßigkeit der Datenverarbeitung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Grundlagen der Betroffenenrechte
19
Berechtigter: Eine identifizierte oder identifizierbare natürliche Person, auf die sich Informationen beziehen (Art 4 Nr. 1 DSGVO)
Verpflichteter: Der Verantwortliche: jene natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet
Gegenstand: Personenbezogene Daten – Informationen, die sich auf Betroffenen beziehen
Fristen: Beantwortung aller Betroffenenanfragen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Antrags – um zwei Monate verlängerbar bei komplexen Fällen (Art 12 Abs 3 DSGVO)
Unentgeltlichkeit: Entgelt kann nur bei offenkundig unbegründeten oder exzessiven (wiederholten) Anträgen gefordert werden (Art 12 Abs 5 DSGVO)
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Recht auf Transparenz - Datenschutzmitteilung
20
Die Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)
1. die Identität des Verantwortlichen
2. den Datenschutzbeauftragten
3. die Verarbeitungszwecke
4. die rechtliche Grundlage der Verarbeitung
5. die Empfänger
6. die internationalen Datenübermittlungen
7. die Dauer der Datenspeicherung
Zeitpunkt der Information: spätestens bei Datenerhebung; wenn nicht bei Betroffenen erhoben, binnen 1 Monat ab Erhebung
8. das überwiegende berechtigte Interesse (sofern als Rechtsgrundlage genutzt)
9. Betroffenenrechte
10. Möglichkeit, die Einwilligung zu widerrufen
11. Bestehen eines Beschwerderechts
12. Bei Profiling: Entscheidungslogik
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Das Recht auf Auskunft – Art 15 DSGVO
21
Betroffener hat das Recht zu erhalten
Bestätigung, ob seine Daten verarbeitet werden
Kopie der verarbeiteten Daten (wenn Antrag elektronisch, dann in elektronischer Form)
wesentlichen Teil der Informationen, die in Datenschutzmitteilung enthalten sein müssen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Berichtigung & Vergessenwerden
22
Recht auf Berichtigung – Art 16 DSGVO
unrichtige personenbezogene Daten sind zu berichtigen
Abhängig vom Verarbeitungszweck kann der Betroffene die Vervollständigung unvollständiger Daten (z.B. ergänzende Erklärung) verlangen
Recht auf Vergessenwerden (= Recht auf Löschung) – Art 17 DSGVO
Rechtsgrundlage weggefallen (z.B. Widerruf einer Einwilligung oder Speicherbegrenzung)
Berechtigter Widerspruch
grds unverzüglich, außer noch nicht möglich aus „wirtschaftlichen oder technischen Gründen“ (§ 4 Abs 2 DSG idF DSG 2018)
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Einschränkung der Verarbeitung – Art 18 DSGVO
23
Daten müssen von regulärer Verarbeitung ausgenommen werden
Recht des Betroffenen auf Einschränkung der Verarbeitung wenn:
die Richtigkeit der Daten von betroffener Person bestritten wird – für Dauer der Überprüfung der Richtigkeit
die Verarbeitung unrechtmäßig ist, die betroffene Person jedoch eine Löschung ablehnt
der Verantwortliche die Daten nicht länger benötigt; aber die betroffene Person benötigt diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
die betroffene Person Widerspruch eingelegt hat – bis über diesen entschieden wurde
die Löschung aus „wirtschaftlichen oder technischen Gründen“ noch nicht möglich ist (§ 4 Abs 2 DSG idF DSG 2018)
Neue Betroffenenrechte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenübertragbarkeit
24
Recht auf Datenübertragbarkeit (Art 20 DSGVO)
Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar
gilt nur gegenüber Verantwortlichen
gilt nur, wenn Daten vom Betroffenen bereitgestellt wurden
gilt nur, wenn Verarbeitung mit Einwilligung oder zur Vertragserfüllung
Neue Betroffenenrechte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Widerspruch – Art 21 DSGVO
25
Der Betroffene kann der Datenverarbeitung widersprechen ( Löschungspflicht), wenn
Überwiegendes berechtigtes Interesse als Rechtsgrundlage aber im konkreten Fall nicht gegeben (Beweislast bei Verantwortlichem)
Daten werden zu Zwecken der Direktwerbung verarbeitet
Daten werden zu Forschungszwecken oder statistischen Zwecken v erarbeitet
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Automatisierte Entscheidungen – Art 22 DSGVO
26
Verbot von
automatisierten Entscheidung im Einzelfall und
Profiling, dh automatisierte Bewertung oder Vorhersage persönlicher Aspekte des Betroffenen (z.B. wirtschaftliche Lage, Gesundheit, Interessen oder Verhalten)
sofern rechtliche Wirkungen für Betroffenen oder ähnlich beeinträchtigt
Ausnahmsweise zulässig, wenn
für Abschluss/Erfüllung eines Vertrages mit Betroffenen notwendig (keine sensiblen Daten),
gesetzliche Ermächtigung od.
ausdrückliche Einwilligung
Betroffener hat Recht auf Eingreifen einer Person seitens des Verantwortlichen, auf Darlegung seines Standpunkts und Anfechtung der Entscheidung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Bestellung eines Datenschutzbeauftragten
28
DSG 2000: Keine Regelungen
Mit der DSGVO verpflichtend, wenn
Verarbeitung durch Behörde oder öffentliche Stelle
oder
risikoreiche Datenverarbeitung ist Kerntätigkeit
Kerntätigkeit des Unternehmens ist umfangreiche regelmäßige und systematische Überwachung von Betroffenen
Kerntätigkeit des Unternehmens ist die umfangreichen Verarbeitung sensibler oder strafrechtlich relevanter Daten
oder
nach nationalem Recht vorgeschrieben (nicht in Österreich)
Der Datenschutzbeauftragte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Persönliche Voraussetzungen
29
Persönliche Voraussetzungen
berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts
kann, muss aber nicht Arbeitnehmer des Verantwortlichen sein
es darf kein Interessenskonflikt vorliegen
Bestellung eines externen Datenschutzbeauftragten ist möglich
Der Datenschutzbeauftragte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Stellung im Unternehmen
30
weisungsfrei
genießt Kündigungsschutz
unmittelbare Berichterstattung an die höchste Managementebene
Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen
muss über alle notwendigen Ressourcen verfügen
hat Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen
Anlaufstelle für betroffene Personen
Verschwiegenheitsverpflichtung
Grds keine Haftung nach der DSGVO
Der Datenschutzbeauftragte
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Verzeichnis der Verarbeitungstätigkeiten
31
Dokumentationspflichten bisher:
Österreich: grds keine Deutschland: Führung eines Verfahrensverzeichnisses
DSGVO: Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“
auf Anfrage der Aufsichtsbehörde bereitzustellen keine Pflicht, Verzeichnis betroffenen Personen zur Verfügung zu stellen
Mindestinhalt des Verzeichnisses nach DSGVO:
Name und Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten Verarbeitungszwecke, Kategorien betroffener Personen, personenbezogener Daten und
Empfänger Informationen zu Datenübermittlungen in Drittländer Speicherdauer Datensicherheitsmaßnahmen
Dokumentationspflichten
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Privacy Impact Assessments
32
Privacy Impact Assessment verpflichtend, wenn voraussichtlich ein hohes Risiko für Betroffene durch Datenverarbeitung besteht, insbesondere bei
Profiling;
umfangreicher Verarbeitung sensibler oder strafrechtlich relevanter Daten;
systematischer, umfangreicher Überwachung öffentlicher Bereiche
Inhalt des Privacy Impact Assessments
Beschreibung der Verarbeitungsvorgänge und Zwecke
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Beschreibung allfälliger Abhilfemaßnahmen
Risikobewertung (niedrig/mittel/hoch) unter Berücksichtigung der Abhilfemaßnahmen
Dokumentationspflichten
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
DSGVO reduziert „Meldepflichten“
33
Keine allgemeine Meldepflicht
Aber vorherige Konsultation der Aufsichtsbehörde
wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung mit einem hohen Risiko verbunden ist, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
ist die Aufsichtsbehörde der Auffassung, dass der Verantwortliche das Risiko nicht ausreichend eingedämmt hat, unterbreitet sie innerhalb von acht Wochen entsprechende Empfehlungen.
Dokumentationspflichten
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Privacy by Design & Privacy by Default
34
Privacy by Design (Datenschutz durch Technik)
technische Maßnahmen zur Umsetzung der Datenschutzgrundsätze
z.B. Minimierung von Art und Umfang der Daten und Pseudonymisierung der Daten
Privacy by Default (Datenschutz durch datenschutzrechtliche Voreinstellungen)
personenbezogene Daten sollten durch Voreinstellungen nicht ohne Eingreifen der betroffenen Person veröffentlicht werden
Relevanz für Softwarehersteller?
Datenschutz-Compliance-Maßnahmen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Vertraulichkeit, Verfügbarkeit, Integrität
35
Daten sind zu schützen vor
Verlust der Vertraulichkeit
Verlust der Verfügbarkeit
Verlust der Integrität
Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung
des Stands der Technik,
der Implementierungskosten,
der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und
der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Datensicherheitspflichten
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Sicherheitsmaßnahmen
36
Angemessene Maßnahmen umfassen laut DSGVO insb.:
Pseudonymisierung und Verschlüsselung;
die Fähigkeit, die Sicherheit der Systeme sicherzustellen;
die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities;
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits
Technische Standards ausreichend?
z.B. „Critical Security Controls für Effective Cyber Defense“ des Center for Internet Security (CIS) oder ISO/IEC 27001
Datensicherheitspflichten
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Typen von Sicherheitsmaßnahmen
37
Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen
Nach der Wirkungsweise: präventive, detektive, reaktive oder absreckende Maßnahmen
Datensicherheitspflichten
Beispiele Technisch Organisatorisch Physisch
Präventiv Firewall 4-Augen-Prinzip Stahltür
Detektiv Intrusion
Detection System
Verpflichtender Log
Review
Brandmelder
Reaktiv (Backup &)
Restore
Incident Response
Policy
Feueralarm
Abschreckend Warnmeldung Disziplinarordnung Hund
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Meldung von Datensicherheitsverstößen
38
auch Pflicht zur „Data Breach Notification“
Eine Verletzung des Schutzes personenbezogener Daten muss der Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden gemeldet werden
Pflicht zur Notifikation gegenüber betroffenen Personen nur, wenn das bestehende Risiko hoch ist
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Outsourcing an Auftragsverarbeiter
39
Verantwortlicher kann sich zur Datenverarbeitung eines Auftragsverarbeiters bedienen
Auftragsverarbeiter muss ausreichende Gewähr für rechtmäßige und sichere Datenverwendung bieten
Auftragsverarbeitervereinbarung muss Pflichten des Auftragsverarbeiters festlegen:
Verarbeitung nur auf dokumentierte Weisungen des Verantwortlichen;
Vertraulichkeit von zur Verarbeitung befugter Personen gewährleisten;
muss notwendige Sicherheitsmaßnahmen umsetzen;
nach Abschluss der Leistungserbringung personenbezogene Daten löschen/zurückgeben;
Einsatz von Sub-Auftragsverarbeitern nur mit Genehmigung des Verantwortlichen;
Duldung und Unterstützung von Audits;
stellt dem Verantwortlichen sämtliche Informationen zum Nachweis der Einhaltung zur
Verfügung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Internationale Datenübermittlungen
40
Unproblematisch bei Empfängern
in der EU oder dem EWR;
in einem Drittland mit adäquatem Datenschutzniveau
z.B. Kanada, Schweiz
U.S.-Privacy-Shield: angemessener Datenschutz, wenn sich der Empfänger nach Privacy Shield selbst-zertifiziert hat
Wenn in Drittland kein adäquates Datenschutzniveau
grundsätzlich „Standardvertragsklauseln“ erforderlich
DSG 2000: genehmigungspflichtig
DSGVO: keine Genehmigung erforderlich
Ausnahme: Einwilligung der Betroffenen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutz & Werbung – Topics
42
1) Direktmarketing
2) Profiling
3) Cookies
4) Marktforschung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Einwilligung erforderlich?
44
Zwei Rechtsgrundlagen kommen in Betracht
Einwilligung (Art 6 Abs 1 lit a DSGVO; jederzeit widerruflich)
Überwiegende berechtigte Interessen des Verantwortlichen (Art 6 Abs 1 lit f DSGVO)
„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (ErwGr 47 lt. Satz)
Wenn keine Einwilligung (Opt-In) erforderlich, gilt unbedingtes Widerspruchsrecht (Opt-Out)
Der Betroffene kann jederzeit der Verarbeitung seiner Daten zu Zwecken des Direktmarketings widersprechen (Art 21 Abs 2 DSGVO)
Widerspruchsrecht ist kostenlos (Art 12 Abs 5 DSGVO)
Frist für Verantwortlichen: unverzüglich, max. 1 Monat (Art 12 Abs 3 DSGVO)
Der Widerspruch kann grds auch elektronisch erfolgen (Art 12 Abs 2 DSGVO)
Direktmarketing
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Fälle der notwendigen Einwilligung – Opt-In
45
Telefonwerbung
Einwilligung immer erforderlich (§ 107 Abs 1 TKG 2003)
E-Mail-Werbung an Nicht-Kunden
Einwilligung immer erforderlich (§ 107 Abs 2 TKG 2003)
Direktwerbung unter Verwendung sensibler Daten
überwiegendes berechtigtes Interesse scheidet aus (Art 9 Abs 2 DSGVO)
es kommt nur eine ausdrückliche Einwilligung in Betracht
Datenverarbeitung mit besonders hoher Eingriffsintensität – z.B. manche Arten des Profiling
Direktmarketing
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Ohne Einwilligung – Opt-Out
46
Postalische Werbung
Adressverlage und Direktmarketingunternehmen haben allgemeines Opt-Out durch Eintragung in Robinsonliste der WKÖ zu beachten (§ 151 Abs 9 GewO)
E-Mail-Werbung gegenüber Kunden (§ 107 Abs 3 TKG 2003)
bestehende oder ehemalige Kunden
Opt-Out-Möglichkeit muss bei Erhebung und in jeder E-Mail gewährt werden
Werbung nur für eigene ähnliche Produkte oder Dienstleistungen
Allgemeines Opt-Out durch Eintragung in ECG-Liste zu beachten
pseudonyme personenbezogene Werbung online
Wenn Identität des Betroffenen nur sehr schwer feststellbar (z.B. nur IP-Adresse bekannt)
Direktmarketing
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Neue Grenzen für die elektronische Einwilligung
47
Schlüssige oder ausdrückliche Zustimmung
Checkbox darf nicht per Default angehakt sein
Zustimmung durch AGB?
in verständlicher und leicht zugänglicher Form
in klarer und einfacher Sprache
von anderen Regelungsgegenständen der AGB klar zu unterscheiden
Herausforderung Einwilligung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Einwilligung von Personen unter 14 Jahren
48
Einwilligung von Minderjährigen für Online-Dienste grds erst gültig ab 14 Jahren
< 14 Jahre: Zustimmung der Erziehungsberechtigten erforderlich
Verantwortlicher muss „angemessene Anstrengungen unter Berücksichtigung der vorhandenen Technologie“ unternehmen
Praktische Umsetzung
Angebot nicht auf Unter-14-Jährige ausrichten
Registrierung nur zulassen, wenn Geburtsdatum angegeben
Herausforderung Einwilligung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Einwilligung & Koppelungsverbot
49
Viele „Gratis“-Angebote im Internet setzen Zustimmung zur Datenerhebung voraus (z.B. Gewinnspiel)
Zustimmung nur gültig, wenn sie „frei“ ist
Grds nicht „frei“, wenn
die Durchführung eines Vertrages von Zustimmung zur Datenverarbeitung abhängig gemacht wird und
die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist
Stehen datenbasierte Geschäftsmodelle auf dem Spiel?
Die Einwilligung kann für die Vertragserfüllung (wirtschaftlich) notwendig sein
Alternativ anbieten:
keine Gebühr + datenschutzrechtliche Einwilligung oder
angemessene Gebühr
Herausforderung Einwilligung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Was ist Profiling?
51
Bewertung oder Vorhersage persönlicher Aspekte von Betroffenen, wie (Art 4 Nr. 4 DSGVO)
Arbeitsleistung,
wirtschaftliche Lage,
Gesundheit,
persönliche Vorlieben,
Interessen,
Zuverlässigkeit,
Verhalten,
Aufenthaltsort oder Ortswechsel
Profiling
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Setzt Profiling eine Einwilligung voraus?
52
Profiling zu internen Zwecken
überwiegendes berechtigtes Interesse als Rechtsgrundlage; Widerspruch (Opt-Out) nur selten möglich (z.B. bei Kindern; vgl Art 6 Abs 1 lit f DSGVO)
Profiling zu Zwecken des Direktmarketings (Art 21 Abs 2 DSGVO)
grds überwiegendes berechtigtes Interesse als Rechtsgrundlage; Opt-Out immer möglich
Profiling mit erhöhter Eingriffsintensität
z.B. bei Preisdifferenzierung oder bei sensiblen Daten
nur mit (ausdrücklicher) Einwilligung
Profiling mit rechtlichen Folgen für Betroffene oder ähnlich schwerer Beeinträchtigung (Art 22)
ausdrückliche Einwilligung (sofern nicht für Vertragsabschluss od. -erfüllung erforderlich)
Recht des Betroffenen auf Darlegung des Standpunkts & Anfechtung der Entscheidung
Pflicht zur Information über verwendete Logik und Auswirkungen der Entscheidung
Profiling
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Das Einwilligungserfordernis bei Cookies
54
Auslesen von Daten des Endgeräts des Nutzers grds nur mit Einwilligung (§ 96 Abs 3 TKG 2003)
Ausnahme funktionale Cookies
Keine Einwilligung nötig, wenn Cookie zur Erbringung des ausdrücklich gewünschten Dienstes technisch notwendig
Praktische Einholung der Einwilligung
Information über verwendete Cookies (Cookie Policy; z.B. im Impressum)
Nutzer willigt ein durch Handhabung der Browser-Einstellungen ein (EBRV 1389 BlgNR XXIV. GP 25)
„Lösung“ Device Fingerprinting?
Cookies
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Marktforschung ohne Einwilligung?
56
Marktforschung
Echte Marktforschung
wissenschaftlich-methodisches
Vorgehen
Ziel ist statistische Aussage, keine
Aussage über Einzelperson
überwiegendes berechtigtes
Interesse • Einwilligungserfordernis würde
Sample auf bereits bekannte
Nutzer beschränken
Opt-Out nur im Einzelfall
Push Polling
ist versteckte Direktwerbung
kein überwiegendes berechtigtes
Interesse
nur mit Einwilligung zulässig
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG 57
Eine Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)
1. die Identität des Verantwortlichen
2. den Datenschutzbeauftragten
3. die Verarbeitungszwecke
4. die rechtliche Grundlage der Verarbeitung
5. die Empfänger
6. die internationalen Datenübermittlungen
7. die Dauer der Datenspeicherung
Zeitpunkt der Information: spätestens bei Datenerhebung bei Betroffenen
Erfüllung der Informationspflicht durch Verweis auf Datenschutzerklärung auf der Website?
8. das überwiegende berechtigte Interesse (sofern als Rechtsgrundlage genutzt)
9. Betroffenenrechte
10. Möglichkeit, die Einwilligung zu widerrufen
11. Bestehen eines Beschwerderechts
12. Bei Profiling: Entscheidungslogik
Sonderproblem Informationspflichten per Telefon Marktforschung
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Zuständigkeit der nationalen Behörden
59
Die Durchsetzungsbefugnis liegt bei den nationalen Aufsichtsbehörden
Welche Aufsichtsbehörde ist zuständig?
Kein echter One-Stop-Shop (Verfahren der Zusammenarbeit und Kohärenz) für Konzerne
Allgemein gilt: jede Aufsichtsbehörde ist im Hoheitsgebiet ihres Mitgliedstaats zuständig
Rechtsdurchsetzung & Strafen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Fehlendes Kollisionsrecht
60
Das nationale Recht welches Mitgliedstaats ist anwendbar?
DSGVO enthält (bis auf eine Ausnahme) keine Regelungen zu Gesetzeskonflikten in Bezug auf Öffnungsklauseln
Das Recht des Landes, in dem der für die Verarbeitung Verantwortliche niedergelassen ist?
Das Recht des Landes, in dem die betroffene Person ihren Wohnsitz hat?
Das Recht des Landes, in dem die Daten verarbeitet werden?
Wendet jede Aufsichtsbehörde ihre eigenen Rechtsvorschriften an?
Das Recht welches Mitgliedstaats wenden die Gerichte an?
Wird die Beschwerde einer betroffenen Person abgewiesen, entscheidet die Aufsichtsbehörde, bei der die Beschwerde eingelegt wurde; wird der Beschwerde stattgegeben, entscheidet die federführende Aufsichtsbehörde kollisions- und zuständigkeitsrechtliches Paradox
Rechtsdurchsetzung & Strafen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Befugnisse der Aufsichtsbehörden
61
Untersuchungsbefugnisse
Abhilfebefugnisse
Warnungen über voraussichtliche Verstöße gegen Verordnung erteilen
Verwarnungen bei Verstößen gegen Verordnung erteilen
Einhaltung anordnen und Verarbeitungsverbote/-einschränkungen verhängen
Genehmigungsbefugnisse
Rechtsdurchsetzung & Strafen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Verhängung und Bemessung von Geldstrafen
62
Strafrahmen nach DSGVO: bis zu 20 Millionen Euro oder vier Prozent des weltweiten, jährlichen Umsatzes des Unternehmens
Unionskartellrechtlicher Unternehmensbegriff
Bemessung der Strafe: weltweiter Umsatz des gesamten Konzerns maßgeblich
Strafe kann auch über Konzernmutter verhängt werden
Mitverantwortung der Konzernobergesellschaft, wenn Tochtergesellschaft Verhalten nicht autonom bestimmt
widerlegliche Vermutung bei 100%-igen Tochtergesellschaften (EuGH C-107/82 – AEG)
Rechtsdurchsetzung & Strafen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Private Rechtsdurchsetzung
63
Betroffene Person kann klagen,
wo sie ihren Wohnsitz hat;
wo der Verantwortliche/Auftragsverarbeiter eine Niederlassung hat
Mögliche Ansprüche:
Betroffenenrechte (Auskunft, Löschung, …)
Materieller und immaterieller Schadenersatz
Rechtsdurchsetzung durch NGOs:
NGOs können im Namen von Betroffenen klagen
Schadenersatzansprüche nur, wenn nach nationalem Recht zugelassen (nach welchem?)
Betroffenenrechte unabhängig von Auftrag eines Betroffenen einklagen (je nach Gerichtsstand)
Rechtsdurchsetzung & Strafen
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Unterstützung aus dem Management sichern
65
DSGVO-Umsetzung erfordert
• Personalressourcen
• Budget
• (unternehmens-)politische Unterstützung
Motivation des Managements?
• persönliche Haftung (im Regress) für Verstöße
• negative PR und Verlust der Mangementposition
Schritt 1
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutzbeauftragten/Manager ernennen
66
Schritt 2
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Ersten Überblick verschaffen
67
Welche Arten von IT-Systemen nutzt das Unternehmen?
• Mitarbeiterdaten: Lohnbuchhaltung, E-Mail-System, Telefonsystem, Personalinformationssystem, …
• Kundendaten: Rechnungswesen, CRM-System, Lohnbuchhaltung, …
• Lieferantendaten: Rechnungswesen, …
Wie sieht die gesellschaftsrechtliche Struktur des Unternehmens aus?
• Welche Gesellschaften/Niederlassungen in welchen Ländern?
• Beteiligungsstrukturen?
Welche Geschäftssparten hat das Unternehmen?
• B2B und/oder B2C
Schritt 3
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Ziele des Datenschutzmanagements definieren
68
Konzernweite Datenschutzstrategie vs. dezentraler Ansatz
• Für welche Gesellschaften ist die Datenschutzstrategie verbindlich?
Aus personenbezogenen Daten einen wirtschaftlicher Wert gewinnen?
• Defensive vs. offensive Datenschutzstrategie
100% Compliance oder pragmatischer Compliance-Ansatz?
• Betriebswirtschaftliche vs. politische Risiken
Wer ist wofür zuständig?
• Rollen und Verantwortlichkeiten definieren
Schritt 4
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
IT-Tools für Datenschutz-Management auswählen
69
Richtige Werkzeuge erleichtern die Arbeit – MS Office-Vorlagen vs. Online-Tools:
• Verzeichnis der Verarbeitungstätigkeiten
• Privacy Impact Assessments
• Verzeichnis der Sicherheitsverletzungen
Schritt 5
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Infos über Datenverarbeitungsprozesse erheben
70
Für jede Verarbeitungstätigkeit zu klären:
• Wer ist der Verantwortliche?
• Welche Datenkategorien werden verarbeitet?
• Zu welchen Zwecken erfolgt die Verarbeitung?
• Werden Auftragsverarbeiter eingesetzt? (Welche? Wo? Vertragsgrundlage?)
• Werden Daten an andere Verantwortliche übermittelt? (Welche? An wen? Zu welchen Zwecken? Wohin? Vertragsgrundlage?)
• Verarbeitung auf Grundlage einer Einwilligung? (Kopie der Einwilligungserklärung?)
• Kopie der Datenschutzmitteilung (sofern vorhanden)
• Datensicherheitsmaßnahmen
Vorbedingung für VZ der Verarbeitungstätigkeiten (Schritt 7) und Prüfung der Rechtsmäßigkeit (Schritt 8)
Schritt 6
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Verzeichnis der Verarbeitungstätigkeiten erstellen
71
Informationen aus Schritt 6 mit Tools aus Schritt 5 erfassen
Ausnahme von der Pflicht zur Führung eines Verzeichnisses
• weniger als 250 Mitarbeiter und
• Verarbeitung birgt keine Risiken für Betroffene und
• Verarbeitung erfolgt nur gelegentlich und
• Verarbeitung umfasst keine sensiblen oder strafrechtlich relevanten Daten.
Schritt 7
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Rechtmäßigkeit der Verarbeitungstätigen prüfen
72
Für jede Verarbeitungstätigkeit
• Rechtsgrundlage für Datenverarbeitung identifizieren
• ggfls. wirksame Zustimmungserklärungen entwerfen
• Datenschutzmitteilungen korrekt gestalten
• Auftragsdatenverarbeitungsvereinbarungen mit Dienstleistern abschließen
• Wo erforderlich Standardvertragsklauseln für internationale Datenübermittlungen vereinbaren
Schritt 8
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Privacy Impact Assessments durchführen
73
Für jede Verarbeitungstätigkeit
• Prüfen, ob prima facie ein hohes Risiko für Betroffene gegeben ist (z.B. sensible Daten, Profiling oder „schwarze Liste“ der Datenschutzbehörde)
• Grds kein hohes Risiko, „wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt“ (Erwägungsgrund 91 DSGVO)
• Nur wenn prima facie hohes Risiko gegeben ist: Privacy Impact Assessment durchführen
• Wenn PIA ein hohes Risiko ergibt: Konsultation mit der Datenschutzbehörde
Schritt 9
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutzrelevante Unternehmensrichtlinien
74
Datenschutzrelevante Unternehmensrichtlinien erstellen
• Richtlinie zum Umgang mit personenbezogenen Daten
• Richtlinie zur Informationssicherheit
• Richtlinie zur Reaktion auf Zwischenfälle
• Richtlinie zur Nutzung der Unternehmens-IT
• BYOD-Richtlinie
• …
Schritt 10
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Konzept für Info-Maßnahmen und Schulungen
75
Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen
• Wen wie oft schulen?
• Kreatives Awareness-Raising
• Compliance am Papier vs. tatsächliche Compliance
Schritt 11
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datenschutz im täglichen Betrieb aufrechterhalten
76
DSGVO-Umsetzung kontinuierliche Compliance-Maßnahmen:
• Audits durchführen
• Schulungen abhalten
• Auf Zwischenfälle reagieren
• Anfragen von Betroffenen bearbeiten
• Neue Verarbeitungstätigkeiten erfassen
• An das Management berichten
Schritt 12
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Übersicht
77
Schritte 1 bis 12
1) Unterstützung aus dem Management sichern
2) Datenschutzbeauftragten/Manager ernennen
3) Ersten Überblick verschaffen
4) Ziele des Datenschutzmanagements definieren
5) IT-Tools für das Datenschutz-Management auswählen
6) Informationen über Datenverarbeitungsprozesse erheben
7) Verzeichnis der Verarbeitungstätigkeiten erstellen
8) Rechtmäßigkeit der Verarbeitungstätigen prüfen
9) Datenschutz-Folgeabschätzungen durchführen
10) Datenschutzrelevante Unternehmensrichtlinien erstellen
11) Konzept für Informationsmaßnahmen & Schulungen
12) Datenschutz im täglichen Betrieb aufrechterhalten
www.bakermckenzie.com
Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein
nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker &
McKenzie Rechtsanwaltsgesellschaft mbH, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend,
bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied
von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker &
McKenzie International.
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Dr. Lukas Feiler, SSCP CIPP/E
Senior Associate
Leiter des Teams für IT-Recht in Wien
Schottenring 25
1010 Vienna
T: +43 1 24 250
lukas.feiler@bakermckenzie.com
Lukas Feiler ist Co-Autor des ersten österreichischen Kommentars zur DSGVO sowie des ersten Buchs zur
Umsetzung der DSGVO in der österreichischen Praxis und begleitet Unternehmen auf www.digitalwave.at bei der
digitalen Transformation