Neue EU- Datenschutzbestimmungen ab 2018.

Transkript

1 1

2 Neue EU- Datenschutzbestimmungen ab Frankfurt Oder, 31. Mai 2018 Dr. Carlo Piltz Reusch Rechtsanwälte, Berlin 2

3 Überblick zur DSGVO. 3

4 Überblick DSGVO. Wirkung der DSGVO. Art. 288 Abs. 2 AEUV: Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Art. 99 Abs. 2: Sie gilt seit dem 25. Mai Abschließend? Nein. Viele Öffnungsklauseln und Spezifizierungsmöglichkeiten für Mitgliedstaaten (neues BDSG). Bedeutung in der Praxis? Im Zweifel gilt die DSGVO (so insb. die deutschen Aufsichtsbehörden) (Anwendungsvorrang europäischen Rechts). 4

5 DSGVO: Rechtsnatur und Wirkung. Rechtsnatur: Verordnung. Anwendungsvorrang des europäischen Rechts gegenüber nationalem Recht. Neues BDSG kann nur in jenen Bereichen Anwendung finden, die durch die DSGVO eröffnet sind (Öffnungsklauseln, Regelungsaufträge). Bedeutet für streitige Fragen: am Ende entscheidet der EuGH. 5

6 Anwendungsbereich. 6

7 Anwendungsbereich - sachlich. Sachlicher Anwendungsbereich. Art. 2 Abs. 1: Ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Weiterhin gilt diese auch für nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Art. 4 Nr. 1: Personenbezogene Daten. Schlüsselbegriff für Anwendbarkeit. Aber: DSGVO gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und für die Verarbeitung personenbezogener Daten von verstorbenen Personen. (Aber: Öffnungsklausel für Mitgliedstaaten). 7

8 Anwendungsbereich - sachlich. Sachlicher Anwendungsbereich. DSGVO nicht auf anonymisierte Daten (Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen) anwendbar, ErwG 26. Problem: keine Definition. Begriff Personenbezug : weit zu verstehen. ErwG 26: ( ) es sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, ( ). 8

9 Anwendungsbereich - sachlich. Sachlicher Anwendungsbereich. Pseudonymisierung : Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. DSGVO bleibt anwendbar! Zum Teil positive Berücksichtigung, etwa bei zweckändernder Datenverarbeitung. 9

10 Anwendungsbereich - räumlich. Wie bisher. Art. 3 Abs. 1. Sitzlandprinzip. DSGVO ist auf Verarbeitung personenbezogener Daten anwendbar, soweit diese Verarbeitung (Art. 3 Abs. 1) im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt. Neu: Einführung des sogenannten Marktortprinzips. Art. 3 Abs. 2. Situation: Keine Niederlassung in der Europäischen Union. Unter zwei Voraussetzungen findet die DSGVO Anwendung. - Angebot von Waren oder Dienstleistungen. - Beobachtung des Verhaltens von Personen in der Union. 10

11 Grundsatz: Erlaubnistatbestand. 11

12 Erlaubnistatbestand. Art. 6 Abs. 1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Einwilligung des Betroffenen. Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. 12

13 Rechenschaftspflicht. 13

14 Rechenschaftspflicht. Art. 5 Abs. 2. Verantwortlicher ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss ihre Einhaltung auch Dritten gegenüber, insbesondere den Aufsichtsbehörden, nachweisen können. Rechenschaftspflicht ist in der Praxis eine Dokumentations- und Nachweispflicht. Und: Verantwortlicher ist beweisbelastet. Art. 24 Abs. 1. Einsatz von technischen und organisatorischen Maßnahmen, um und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Folge: Dokumentation der DSGVO-Compliance ist entscheidend! Dies kann sich auch bei Verstößen und möglichen Bußgeldern auswirken. 14

15 Rechenschaftspflicht. Art. 24 Abs. 1. Einsatz von technischen und organisatorischen Maßnahmen, um und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Bedeutet: Compliance-System zur Einhaltung der Vorgaben der DSGVO erforderlich ( Datenschutzmanagementsystem ). Risiko: Organisationspflichtverletzung durch Leitung der datenverarbeitenden Stelle. 15

16 Datenschutzgrundsätze. Die Datenschutzgrundätze. Art. 5 Abs. 1 lit. a): Rechtmäßigkeit. Also: Erlaubnistatbestand für jede Verarbeitung erforderlich. Art. 5 Abs. 1 lit. b): Zweckbindung & -bestimmung. Zweck muss zum Zeitpunkt der Erhebung feststehen. Art. 5 Abs. 1 lit. c): Datenminimierung. Verarbeitung ist auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken. Art. 5 Abs. 1 lit. d): Richtigkeit. Sachlich richtig und erforderlichenfalls auf dem neuesten Stand. 16

17 Datenschutzgrundsätze. Art. 5 Abs. 1 lit. e): Speicherbegrenzung. Identifizierende Speicherung nur so lange, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist. Art. 5 Abs. 1 lit. f): Integrität und Vertraulichkeit. Angemessene Sicherheit der personenbezogenen Daten gewährleisten (technische und organisatorische Maßnahmen). 17

18 Auftragsverarbeitung. 18

19 Auftragsverarbeitung. Art. 4. Nr. 8. Auftragsverarbeiter. Natürliche oder juristische Person die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für eine Auftragsdatenverarbeitung kommen insbesondere folgende Aufgaben infrage: Wartung von Hardware Beschaffung, Installation und Betreuung der Bürokommunikation (User-Help-Desk) Bereitstellung von Backup-Systemen Abwicklung einzelner DV-Arbeiten (z.b. Programmierarbeiten, Datenpflege, Erledigung von Massenarbeiten wie Mailingaktionen, Erhebung und Auswertung von Daten) Transport von Informationen und Datenträgern Lagerung, Archivierung und Verfilmung von Unterlagen 19

20 Auftragsverarbeitung. Pflichten hinsichtlich des Auftragsverhältnisses (Vertrag). Existenz des Vertrages wird verlangt (Art. 28 Abs. 3). Inhalt wird vom Gesetz vorgegeben (Gegenstand und die Dauer der Verarbeitung sowie Art und Zweck der Verarbeitung und auch die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen). Formerfordernis: schriftlich oder elektronisches Format. Weitere Auftragsverarbeiter nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen. 20

21 Anforderungen an die Auftragsverarbeitung. Art. 28 Abs. 1: Anforderungen an den Auftragsverarbeiter. Muss hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Art. 28 Abs. 3: Die Verarbeitung durch einen Auftragsverarbeiter erfolgt entweder auf der Grundlage eines Vertrags oder nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. Compliance: Verstoß gegen Art. 28 kann mit einem Bußgeld bis zu 10 Mio. EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden (Art. 83 Abs. 4 lit. a)). 21

22 Anforderungen an die Auftragsverarbeitung. Auftragsverarbeitung. Art. 28. Anforderungen an den Vertrag (Abs. 3): Vorliegen wird verlangt. Ist aber nicht konstitutiv für die Auftragsverarbeitung. Gegenstand und Dauer der Verarbeitung. Art und Zweck der Verarbeitung. Kategorien betroffener Personen. Pflichten und Rechte des Verantwortlichen. Grundsätzlich: Dokumentationspflicht des Auftragsverarbeiters. Verarbeitung nur auf der Grundlage dokumentierter Weisungen. 22

23 Transparenz- und Informationspflichten. 23

24 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Systematik. Art. 12 stellt die Grundsätze und Formalitäten für alle Informationspflichten auf. Art. 13: Situation der Direkterhebung. Art. 14: Situation der Erhebung bei Dritten. 24

25 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erteilen. Schriftlich oder auch elektronisch. In der Praxis: Datenschutzerklärungen auf Webseiten und in Apps weiterhin möglich. Im Vergleich zum BDSG / TMG: Erweiterte Informationspflichten in den Art. 13 und 14. Bedeutet: Anpassung aktuell eingesetzter Datenschutzerklärungen. 25

26 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Direkterhebung, Art. 13 Abs. 1 (neue Informationspflichten): Kontaktdaten des Datenschutzbeauftragten. Berechtigtes Interesse ist konkret zu nennen (im Fall der Verarbeitung nach Art. 6 Abs. 1 lit. f)). Rechtsgrundlage der Verarbeitung. Absicht der Datenübermittlung in Drittstaaten plus eingesetzte Maßnahme für das angemessene Schutzniveau. 26

27 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Erhebung bei Dritten, Art. 14. Abs. 1 (neue Informationspflichten): Kontaktdaten des Datenschutzbeauftragten. Absicht der Datenübermittlung in Drittstaaten plus eingesetzte Maßnahme für das angemessene Schutzniveau. 27

28 Betroffenenrechte. 28

29 Rechte der Betroffenen. Die Rechte der betroffenen Person sind: Recht auf Unterrichtung. Recht auf Zugang zu personenbezogenen Daten. Recht auf Berichtigung. Recht auf Löschung personenbezogener Daten, einschließlich des "Rechts auf Vergessenwerden". Recht auf Einschränkung der Verarbeitung. Recht auf Datenübertragbarkeit. Widerspruchsrecht. Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruht. 29

30 Rechte der Betroffenen. Art. 12 Abs. 2: Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte. Grundsatz: Frist von einem Monat für Erfüllung der Anfragen (Art. 12 Abs. 3); ausnahmsweise Verlängerung um zwei Monate. Bedeutet: intern Prozesse zur Pflichtenerfüllung vorsehen (Informationen sammeln und z. B. elektronisch Auskunft erteilen). Ziel der DSGVO: Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen (ErwG 11). 30

31 Verzeichnis von Verarbeitungstätigkeiten. 31

32 Verzeichnis von Verarbeitungstätigkeiten. Art. 30: Sowohl der Verantwortliche als auch der Auftragsverarbeiter müssen ein Verzeichnis führen. Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Der Aufsichtsbehörde ist das Verzeichnis auf Anfrage zur Verfügung zustellen. 32

33 Verzeichnis von Verarbeitungstätigkeiten. Ausnahme für KMUs. Weniger als 250 Mitarbeiter. Aber: Rückausnahme. Verarbeitung birgt ein Risiko für Betroffene. Verarbeitung von besonderen Kategorien personenbezogener Daten. Verarbeitung erfolgt nicht nur gelegentlich. 33

34 Verzeichnis von Verarbeitungstätigkeiten. Verzeichnis des Verantwortlichen, Art. 30 Abs. 1. Namen und die Kontaktdaten des Verantwortlichen. Namen und die Kontaktdaten des Datenschutzbeauftragten. Zwecke der Verarbeitung. Beschreibung der Kategorien betroffener Personen. Beschreibung der Kategorien personenbezogener Daten. Kategorien von Empfängern. Wenn möglich, vorgesehene Löschfristen. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. 34

35 Verzeichnis von Verarbeitungstätigkeiten. Verzeichnis des Auftragsverarbeiters, Art. 30 Abs. 2. Namen und die Kontaktdaten des Auftragsverarbeiters. Namen und die Kontaktdaten jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist. Namen und die Kontaktdaten des Datenschutzbeauftragten. Kategorien von Verarbeitungen. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. 35

36 Sanktionen. 36

37 Sanktionen. Art. 82: Haftung auf Schadenersatz. Sowohl ein Recht auf Ersatz sämtlicher immaterieller als auch materieller Schäden. Adressat der Haftungspflicht nach Art. 82 Abs. 1 ist sowohl der Verantwortliche als auch der Auftragsverarbeiter. Abs. 3: Exkulpationsmöglichkeit. Erforderlich ist der Nachweis, dass der Verantwortliche oder Auftragsverarbeiter in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Gemeinsame Schadensersatzhaftung von mehreren Verantwortlichen oder Auftragsverarbeitern ist möglich (Art. 82 Abs. 4). 37

38 Sanktionen. Art. 83: Generelle Vorgaben zu Geldbußen. Art. 83. Art. 83 Abs. 1: Die Verhängung muss in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Art. 83. Abs. 2: Zu berücksichtigende Vorgaben bei der Verhängung von Geldbußen. Bzgl. des ob und wenn ja in welcher konkreten Höhe eine Geldbuße verhängt wird, verfügt die zuständige Aufsichtsbehörde über einen Ermessensspielraum. Art. 83 Abs. 4 6: Verschiedenen Bußgeldtatbestände. 38

39 Sanktionen. Die verschiedenen Bußgeldtatbestände. Art. 83 Abs. 4, 5 und 6. Grundsätzlich: Höhe der Geldbuße wird von einem fixen Maximalbetrag bis zu oder im Fall eines Unternehmens von dem gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs abhängig gemacht. Problem: Unternehmensbegriff. Auf wessen Umsatz ist abzustellen? Unternehmen. Legal definiert in Art. 4 Nr. 18. ErwG 150 S. 3: Begriff Unternehmen im Sinne der Art. 101 und 102 AEUV; kartellrechtlicher Unternehmensbegriff (wirtschaftliche Einheit, die rechtlich aus mehreren natürlichen oder juristischen Personen gebildet werden kann). Unternehmensgruppe. Legal definieret in Art. 4 Nr. 19. BayLDA, LfDI Berlin & Hessen: gesamte Unternehmensgruppe. Zur Risikoeinschätzung kann der Katalog des Art. 83 Abs. 2 genutzt werden, der eine Orientierungshilfe bei der Bußgeldbemessung bietet. 39

40 Das neue BDSG. Insbesondere: Beschäftigtendatenschutz. 40

41 Das neue BDSG. Am im Bundestag und am im Bundesrat beschlossen. Seit dem in Kraft. Zweck: - Anpassung des BDSG an die DSGVO (Ablösung des alten BDSG). - Umsetzung der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. 41

42 Das neue BDSG. Zweck: Ausfüllen der Öffnungsklauseln der DSGVO. Zwei Arten von Öffnungsklauseln: obligatorische und fakultative. Zwar hat DSGVO das Ziel einer Vollharmonisierung. Doch wird dieses Ziel nicht vollumfänglich erreicht. Grund -Verordnung: ergänzungsbedürftig und regelt den Datenschutz nur im Grundsatz abschließend. 42

43 Das neue BDSG. Einige wichtige Regelungen für nichtöffentliche Stellen: 38 BDSG: Datenschutzbeauftragter. Benennung, wie derzeit, verpflichtend, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Verarbeitung betroffen, die einer Datenschutz-Folgenabschätzung (hohes Risiko) unterliegt oder bei Verarbeitung zum Zweck der Markt- und Meinungsforschung. Daneben sind die Voraussetzungen zur Bestellung der DSGVO zu beachten (Art. 37 DSGVO). Verarbeitung durch Behörde oder öffentliche Stelle. Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters: umfangreiche Verarbeitung besonderer Kategorien von Daten. 43

44 Das neue BDSG. 38 BDSG: Datenschutzbeauftragter. Die Abberufung des Datenschutzbeauftragten ist nur in entsprechender Anwendung des 626 BGB zulässig (Kündigungsschutz). Kündigung nur aus wichtigem Grund möglich. Aber: nur wenn Benennung verpflichtend vorgesehen (vgl. 38 Abs. 2 S. 2 BDSG). Keine Formvorschriften für die Benennung. Fachliche Anforderungen des Art. 37 Abs. 5 DSGVO berücksichtigen. berufliche Qualifikation und insbesondere Fachwissen, auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. 44

45 Das neue BDSG. 26 BDSG: Beschäftigtendatenschutz. 26 Abs. 1 BDSG: wie bisher 32 Abs. 1 BDSG a. F. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn erforderlich für: Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung oder Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten. 45

46 Das neue BDSG. 26 BDSG: Beschäftigtendatenschutz. Zudem: zur Aufdeckung von Straftaten, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat und die Verarbeitung zur Aufdeckung erforderlich ist. 46

47 Das neue BDSG. 26 BDSG: Beschäftigtendatenschutz. 26 Abs. 2 BDSG: für die Beurteilung der Freiwilligkeit der Einwilligung ist die bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Beispiel: zusätzliche betriebliche Altersvorsorge. 47

48 Das neue BDSG. 26 BDSG: Beschäftigtendatenschutz. 26 Abs. 4 BDSG: Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. In der Praxis: Betriebsvereinbarungen also weiter als Erlaubnistatbestände möglich. 48

49 Das neue BDSG. 26 BDSG: Beschäftigtendatenschutz. Aber: Anforderungen des Art. 88 Abs. 2 DSGVO sind für Betriebsvereinbarungen zu beachten. Angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person. 49

50 DSGVO-Fahrplan. 50

51 DSGVO-Fahrplan. Ausgangspunkt für die Datenschutz-Compliance kann sehr gut das Verzeichnis der Verarbeitungstätigkeiten sein. Dieses muss nach Art. 30 ohnehin geführt werden. Ausnahme: Pflicht gilt nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien einschließt. 51

52 DSGVO-Fahrplan. Vorteil: für das Verzeichnis der Verarbeitungstätigkeiten muss mit Fragebögen / Auditbögen im Unternehmen geprüft werden, welche Stelle was genau mit welchen Daten macht. Hierauf lässt sich dann weiter aufsetzen. Was muss in das Verzeichnis? Z. B.: die Zwecke der Verarbeitung eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten 52

53 DSGVO-Fahrplan. Erste Stufe: Audit bzw. Ist-Analyse. Welche Daten werden verarbeitet? Warum? Durch wen? Weitergabe an welche Stellen? Übermittlungen in Drittstaaten? Ergebnis: Übersicht der Datenverarbeitungen im Unternehmen. 53

54 DSGVO-Fahrplan. Zweite Stufe: Gap-Analyse. Anforderungen der DSGVO der Ist-Analyse gegenüberstellen. Welche Pflichten sind evtl. bereits erfüllt? Wo gibt es Lücken. Inkl: Priorisierung und juristische Prüfung, wie die Pflichten zu erfüllen sind. 54

55 DSGVO-Fahrplan. Dritte Stufe: Umsetzung. Anpassung bestehender Verarbeitungsvorgänge. Neugestaltung von Verträgen. Änderung der Datenschutzerklärungen. 55

56 DSGVO-Fahrplan. Stets zu beachten: Dokumentations- und Nachweispflicht, Art. 5 Abs. 2 und Art. 24 DSGVO. Im Ergebnis: Sie müssen nachweisen können, dass Sie rechtskonform agieren. Papier, Papier, Papier! 56

57 DSGVO-Fahrplan. Was muss angepasst werden? Beispiel: Datenschutzerklärung erforderlich aufgrund der neuen Informationspflichten in Art Neu: Kontaktdaten des Datenschutzbeauftragten. Rechtsgrundlage für die Verarbeitung. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden. Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu übermitteln. 57

58 DSGVO-Fahrplan. Ohne verantwortliche Personen geht es nicht! Datenschutzbeauftragter oder z. B. Datenschutzkoordinator. Wann ist ein Datenschutzbeauftragter zu bestellen? Art. 37. Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Plus: 38 BDSG. Ab 10 Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. 58

59 DSGVO-Fahrplan. Was kann helfen? Veröffentliche Fragebögen der Datenschutzbehörden. Kurzpapiere der Datenschutzkonferenz. Orientierungshilfen der Art. 29 Datenschutzgruppe. 59

60 Berlin Rosenthaler Straße Hackesche Höfe Berlin T F Saarbrücken Hochstraße Saarbrücken T F info@reuschlaw.de