Die Betroffenenrechte

Größe: px

Ab Seite anzeigen:

Download "Die Betroffenenrechte"

Victoria Böhm
vor 5 Jahren
Abrufe

1 Modul 4 Die Betroffenenrechte 1 Ergänzung: DSGVO KAPITEL III - Rechte der betroffenen Person Abschnitt 1 - Transparenz und Modalitäten Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte betroffenen Person Abschnitt 2 - Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Artikel 15 - Auskunftsrecht der betroffenen Person Abschnitt 3 - Berichtigung und Löschung Artikel 16 - Recht auf Berichtigung Artikel 17 - Recht auf Löschung ( Recht auf Vergessenwerden ) Artikel 18 - Recht auf Einschränkung der Verarbeitung Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Artikel 20 - Recht auf Datenübertragbarkeit Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall Artikel 21 - Widerspruchsrecht Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Abschnitt 5 - Beschränkungen Artikel 23 - Beschränkungen 2 1

2 Modul 5 Die Auftragsverarbeitung & Gemeinsame Verantwortliche 3 Ergänzung: Nicht im Script! Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

3 Ergänzung: Nicht im Script! Liste mit AV-Verträgen: 100+ Hoster, Newsletter-Tools etc. im Überblick 5 Modul 7 Das Datenschutz-Managementsystem (DSMS) 6 3

4 Ergänzung: Nicht im Script! Die Rechenschaftspflicht (Accountability) nach der DSGVO 7 Ergänzung: Nicht im Script! Die Rechenschaftspflicht (Accountability) nach der DSGVO Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ); Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 8 4

5 Ergänzung: Nicht im Script! Die Rechenschaftspflicht (Accountability) nach der DSGVO Die in Art. 5 Abs. 2 genannte Rechenschaftspflicht bezieht sich hierbei auf alle Anforderungen, die die DSGVO an die rechtmäßige Verarbeitung von personenbezogenen Daten stellt. Als bestes Beispiel hierzu die Datenschutzfolgeabschätzung nach Artikel 35, 36 DSGVO zu nennen. Nach dieser Vorschrift muss derjenige, der personenbezogene Daten verarbeitet, bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse möglicher Folgen einer Verletzung erstellen. Soweit er hierbei Risiken erkannt hat, muss er diesbezügliche Sicherheitsvorkehrungen, Maßnahmen und Verfahren implementieren, die einen Datenschutzverstoß möglichst verhindern sollen. 9 Ergänzung: Nicht im Script! Die Rechenschaftspflicht (Accountability) nach der DSGVO Klare Vorgaben, wie die Nachweispflicht umzusetzen ist, macht die DS-GVO nicht. Die Formulierung in Art. 24 legt jedoch nahe, das eine Art Datenschutz- Managementsystem (DSMS) zu implementieren ist! Die Frage ist nun, wie kann dies umgesetzt werden? Nun die Frage an alle Teilnehmer, welchen Vorschlag hierzu haben Sie? Wie könnte ein solches Datenschutz-Managementsystem (DSMS) aufgebaut werden? 10 5

6 Ergänzung: Nicht im Script! Beispiel: Aufbau Datenschutzmanagement_DSGVO Die Rechenschaftspflicht (Accountability) nach der DSGVO Dokumentation der Tätigkeiten des Datenschutzbeauftragten + Datenschutzmanagementsystem (Beispiel) DSB_AKTIVITAETEN + 110_Besprechungen + 120_ PRUEFUNGEN + 210_Checklisten + 220_ _IT_UNTERNEHMENSPROZESSE + 310_Verzeichnis_der_Verarbeitungstätigkeiten + 320_ ALLGEMEIN + 410_Organigramm + 420_ PERSONALWESEN_BETRIEBSRAT + 510_Betriebsanweisungen + 520_ KUNDEN_INTERESSENTEN + 610_Kunden_Interessentendaten + 620_ ONLINEMEDIEN + 710_Website + 720_ GESETZLICHE_PRUEFFUNGEN + 810_Antiterrorliste + 820_ PERSON_DSB + 910_Bestellurkunde + 920_ Modul 8 Basisdokumente und Basisprozesse 12 6

7 Basisdokumente und Basisprozesse: Verarbeitungsverzeichnisse Verarbeitungsverzeichnisse 13 Ergänzung: Nicht im Script! Muster zum Verarbeitungsverzeichnis für verantwortliche Stellen: Hinweise zum Verzeichnis von Verarbeitungstätigkeiten: Muster zum Verarbeitungsverzeichnis für Auftragsverarbeiter:

8 Ergänzung: Nicht im Script! Handreichungen / Beispiele für kleine Unternehmen und Vereine zum Thema: Verzeichnis aller Verarbeitungstätigkeiten Verein Kfz-Werkstatt Handwerksbetrieb Steuerberater Arztpraxis WEG-Verwaltung Produktionsbetrieb Genossenschaftsbank Online-Shop Bäckerei Beherbergungsbetrieb Einzelhändler 15 Ergänzung zur Datenschutz-Folgenabschätzung (3) Die folgenden Behörden haben bereits Listen veröffentlicht! 16 8

9 Modul 9 Der Beschäftigtendatenschutz 17 Absage Aufbewahrungsdauer der Bewerbungsunterlagen nach Absage?. Elektronische Bewerbung: Löschen (Achtung: Nicht archivieren, Mail-Archiv, 15 Abs. 5 AGG nach 6 Monaten) 18 9

10 Personalakte Inhalt, Form, Führung der Personalakte Keine ausdrückliche Rechtsgrundlage zur Führung der Personalakte. Für Beamte: 106 BBG Arbeitnehmer: 83 BetrVG Achtung: lediglich das Einsichtsrecht ist hier geregelt!.. 19 Verpflichtung auf das Datengeheimnis, Art. 5 Abs. 2 EU-DSGVO Datengeheimnis Keine klaren Vorgaben zum Datengeheimnis wie bisher verfahren!? Siehe: Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO! Beschäftigte sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis? zu verpflichten - Arbeitsvertragsunterlagen! Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) 20 10

11 Sicherheitsüberprüfung von Mitarbeitern Screening, Sicherheitsüberprüfung, etc. Screening anhand von Terrorismuslisten. (Achtung: Info an Mitarbeiter, Einwilligung!) 21 Hinweis: Nicht im Script! ACHTUNG: Strafbarkeit des AG bei Verstößen gegen das Fernmeldegeheimnis denkbar Löschung oder Zustellungsverzögerung, 206 Abs. 2 Nr. 2 StGB Ausspähen von Daten, 202a StGB Verletzung des Post- und Fernmeldegeheimnisses, 206 Abs. 1 StGB 303a StGB, Löschung, Unterdrückung von Daten (SPAM) Weitere Probleme: Archivierung aufgrund gesetzlicher Aufbewahrungsfristen von geschäftlicher Kommunikation nicht möglich, da diese private Kommunikation beinhaltet Folge: Entweder Verstoß gegen die Aufbewahrungspflicht oder Strafbarkeit 22 11

12 Hinweis: Nicht im Script! Archivierung von s bei erlaubter Privatnutzung Archivierung von s bei erlaubter Privatnutzung Besonderheiten bzgl. E- Mails an Betriebsrat, Datenschutzbeauftragten und Betriebsarzt Tätigkeitsbericht 2011/12 Bayerisches Landesamt für Datenschutzaufsicht, Seite 63 Wenn in einem Unternehmen die private -Nutzung erlaubt wird, muss für eine Archivierung der s, soweit keine Trennung in dienstliche und private Mails möglich ist, eine Einwilligung der Mitarbeiter eingeholt werden. Die Archivierung von s, die an den Betriebsarzt, den Betriebsrat oder den Datenschutzbeauftragten gerichtet sind, muss in einer Weise erfolgen, dass sie dem Zugriff des Arbeitgebers entzogen bleiben!! 23 Videoüberwachung im Beschäftigungsverhältnis 24 12

DSGVO BDSG-NEU Hinweis- Informationspflicht Video Art. 13 DSGVO Informationspflicht bei Erhebung der Daten Dokument 25 Videoüberwachung im Beschäftigungsverhältnis Zugehörige Artikel aus der DSGVO!

13 DSGVO BDSG-NEU Hinweis- Informationspflicht Video Art. 13 DSGVO Informationspflicht bei Erhebung der Daten Dokument 25 Videoüberwachung im Beschäftigungsverhältnis Zugehörige Artikel aus der DSGVO! Art. 6 Rechtmäßigkeit der Verarbeitung Art. 13 Informationspflicht bei Erhebung der Daten Art. 14 Informationspflicht wenn die Personenbezogenen Daten nicht beim Betroffenen erhoben wurden. Art. 17 Recht auf Löschung Zugehörige Erwägungsgrund 91 aus der DSGVO! Erforderlichkeit einer Datenschutz- Folgenabschätzung (DSFA) Art. 35 DSGVO 26 13

14 27 Die datenschutzkonforme Website Die datenschutzkonforme Website Autoren: RA Markus Säugling, MAGELLAN Rechtsanwälte RA Björn Riedinger, MAGELLAN Rechtsanwälte 28 14

15 Ergänzung: TIP: Erstellung eines Datenschutzhinweises z.b. unter Erstellung eines Datenschutzhinweises im Internet suchen: Datenschutzgenerator Prüfung welche Anwendungen auf der Webseite im Hintergrund laufen unter 29 TIP: Nicht im Script! 200+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!) Website-Checkliste 12 nützliche Datenschutz-Plugins, um WordPress DSGVO-sicher zu machen

Ergänzung: Nicht im Script! e-privacy Verordnung- Ausblick Quelle: https://www.bvdw.org/themen/recht/eprivacy-verordnung/ 31 Informationspflichten nach Art. 12 ff.

16 Ergänzung: Nicht im Script! e-privacy Verordnung- Ausblick Quelle: 31 Informationspflichten nach Art. 12 ff. EU-DSGVO Datenschutzerklärung Vorsicht: Unlauteres Handeln, 4 Nr. 11 UWG Marktverhaltensregel, wegen fehlerhafter oder falscher Datenschutzerklärung. Seit 2015 ist es der 3a UWG! 32 16

Ähnliche Dokumente

Startschuss DSGVO: Was muss ich wissen?

Startschuss DSGVO: Was muss ich wissen? : Was muss ich wissen? Die wichtigsten Neuerungen auf einen Blick Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein 1. Was ist Datenschutz? Überblick 2. Die Datenschutz- Grundverordnung