Die Datenschutzgrundverordnung

Transkript

1 Die Datenschutzgrundverordnung Überblick und Auswirkungen auf die Vertragsbeziehungen IaaS Christine Legner-Koch, Rechtsanwältin DFN-Verein

2 Externe Cloud-Dienste Vertragsbeziehungen und Datenschutz 2 Teilnahme Vergabeverfahren 1 Rahmenvereinbarung 3 Dienstvereinbarung Cloud Service Provider 4 Einzelaufträge* * = Einzelaufträgen (Call-off-Agreement, Abrufvereinbarung) Teilnehmereinrichtung DFN-Workshop: Externe Dienste in der DFN-Cloud 2

3 Rahmenvereinbarung Die zwischen Géant und den Cloud Service Providern geschlossenen Vertragsbeziehung: Rahmenvereinbarungen sollen ergänzt werden, damit ausdrücklich sichergestellt werden kann, dass die Bestimmungen der DS-GVO beachtet werden. Géant Rahmenvereinbarung Cloud Service Provider Die Abstimmung über den vertraglichen Wortlaut findet derzeit statt.

4 Geltung der Datenschutzgrundverordnung Die DS-GVO ist seit in Kraft. Geltung: Gelten wird sie aber erst ab dem innerhalb der Europäischen Union. Die Mitgliedstaaten der EU hatten und haben daher ausreichend Zeit erhalten, Bedingungen und Regelungen anzupassen Externe Dienste in der DFN-Cloud 4

5 DS-GVO = Verordnung Die DS-GVO ist eine Verordnung, die allgemeine Geltung hat. Die DS-GVO ist als Verordnung in allen Teilen der europäischen Union gültig und gilt unmittelbar, vorrangig vor nationalem Recht. Im Gegensatz zu einer Richtlinie ist sie nicht durch den deutschen Gesetzgeber in nationales Recht umzuwandeln. Richtlinie Verordnung Externe Dienste in der DFN-Cloud 5

6 Anpassung des deutschen Datenschutzrechts Bestehende Regelungen des deutschen Datenschutzrechts sind anzupassen. Das BDSG ist anzupassen. Die Landesdatenschutzgesetze sind anzupassen. Spezialgesetze sind anzupassen. BDSG TMG TKG LDSG NRW Wenn keine Anpassung erfolgt, gilt vorrangig die DS-GVO und verdrängt grundsätzlich alle anderen Normen zum Schutz personenbezogener Daten. Neue Datenschutzgesetze: BDSG n.f Externe Dienste in der DFN-Cloud 6

7 Datenschutz- Anpassungs- und Umsetzungsgesetz Am wurde durch den Bundestag das Datenschutz- Anpassungs- und Umsetzungsgesetz als Entwurf angenommen. Am hat der Bundesrat diesem zugestimmt. Im Kern enthält dieses Gesetz den Entwurf eines neuen BDSG. Datenschutz- Anpassungs- und Umsetzungsgesetz BDSG n.f Externe Dienste in der DFN-Cloud 7

8 Bundesdatenschutzgesetz n.f. Das BDSG n.f. wird ab gelten. Das neue BDSG gilt auf Bundesebene. Es gilt für alle öffentlichen Stellen des Bundes und für Stellen, die nichtöffentliche Stellen sind und die für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten zuständig sind. BDSG n.f alle öffentlichen Einrichtungen des Bundes, Vereine, Unternehmen Externe Dienste in der DFN-Cloud 8

9 Landesdatenschutzgesetze Hochschulen und Universitäten sind Einrichtungen der Länder. Daher gelten für sie die Landesdatenschutzgesetze. Erste Entwürfe der Landesdatenschutzgesetze liegen jetzt vor. Landesdatenschutzgesetze Externe Dienste in der DFN-Cloud 9

10 Verbot mit Erlaubnisvorbehalt Dieser Grundsatz ist bereits im geltenden Bundesdatenschutzgesetz enthalten. Jetzt: 4 BDSG Es beinhaltet ein grundsätzliches Verbot mit personenbezogenen Daten umzugehen. Dieser Grundsatz wird weiter gelten. Der Umgang mit personenbezogenen Daten darf nur erfolgen, wenn jemand dazu legitimiert ist. 25. Mai 2018: Art. 6 Abs. 1 DS-GVO Externe Dienste in der DFN-Cloud 10

11 Öffnungsklauseln Die DS-GVO sieht vor, dass durch mitgliedstaatliches Recht Sonderregeln geschaffen werden können. Öffnungsklauseln sind Vorschriften in der DS- GVO, die den Mitgliedstaaten Spielraum für eigene Regelungen zugestehen. Dabei sind auch Abweichungen und Ausnahmen und strengere Vorschriften möglich. Es können dadurch im neuen BDSG Regelungen geschaffen werden, die aufgrund sogenannter Öffnungsklauseln spezifischere Bestimmungen beinhalten als in der DS-GVO vorgesehen.

12 Öffnungsklauseln Zahlreiche Öffnungsklauseln führen dazu, dass die nationalen Gesetzgeber tätig werden müssen. Beispielsweise: Art. 86 DS-GVO-> Regelung über die Verarbeitung und den Zugang der Öffentlichkeit zu amtlichen Dokumenten. Gemäß dem Recht der Mitgliedsstaaten kann Offenlegung erfolgen Externe Dienste in der DFN-Cloud 12

13 Verzeichnis von Verarbeitungstätigkeiten 4d, 4e BDSG -> Verfahrensverzeichnis, von der verantwortlichen Stelle zu führen 25. Mai 2018: Art. 30 DSGVO -> Verzeichnis von Verarbeitungstätigkeiten, von der verantwortlichen Stelle zu führen 70 Datenschutz- Anpassungs- und Umsetzungsgesetz -> Verzeichnis von Verarbeitungstätigkeiten, von der verantwortlichen Stelle zu führen Externe Dienste in der DFN-Cloud 13

14 Verzeichnis von Verarbeitungstätigkeiten bisher Verfahrensverzeichnis von der verantwortlichen Stelle zu führen Landesbeauftrage für Datenschutz und Informationsfreiheit Nordrhein- Westfalen informiert hierzu, dass die bisher geregelten Meldepflichten entfallen und das öffentlich von jedermann einsehbare Verzeichnis bei der Aufsichtsbehörde nicht mehr fortgeführt wird Externe Dienste in der DFN-Cloud 14

15 Verfahrensverzeichnis 4d, 4e BDSG, für jedermann einsehbar Folgende Angaben waren zu machen: Name oder Firma der verantwortlichen Stelle Inhaber, Vorstände, Geschäftsführer Anschrift Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung Beschreibung der betroffenen Personengruppe und der Daten oder Datenkategorien Empfänger oder Empfängerkategorien Regelfristen für die Löschung der Daten Geplante Datenübermittlung in Drittstaaten allgemeine Beschreibung für Angemessenheitsprüfung. Verzeichnis von Verarbeitungstätigkeiten Art. 30 DS-GVO: gilt nicht unter 250 Mitarbeiter, Ausnahme Risikoeinschätzung der Aufsichtsbehörde zur Verfügung zu stellen Verzeichnis muss enthalten: Name, Kontaktdaten der Verantwortlichen die Zwecke der Verarbeitung Beschreibung der Kategorien der verarbeiteten Daten, der betroffenen Personen und der Empfänger der Daten ggf. Übermittlung von personenbezogenen Daten an ein Drittland vorgesehenen Fristen der Löschung und die Beschreibung der vorgesehenen technischen und organisatorischen Sicherheitsmaßnahmen Externe Dienste in der DFN-Cloud 15

16 Datenschutzfolgeabschätzung Art. 35 DS-GVO enthält ein neues Instrument: die Datenschutzfolgeabschätzung. Notwendig, wenn durch die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Hinweis, dass diese insbesondere erforderlich ist bei der Verwendung neuer Technologien. Aufsichtsbehörde erstellt eine Liste über Verarbeitungsvorgänge, für die die Datenschutzfolgeabschätzung durchzuführen ist. Folgeabschätzung muss gem. Art. 35 Abs. 7 DS-GVO zumindest eine Beschreibung der Datenverarbeitung und der Zwecke, der Verhältnismäßigkeit und der Risiken, einschließlich der getroffenen Abhilfemaßnahmen enthalten. Ob eine Datenschutzfolgeabschätzung durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge. Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine Datenschutzfolgeabschätzung durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine Datenschutzfolgeabschätzung nicht zwingend erforderlich Externe Dienste in der DFN-Cloud 16

17 Externe Cloud-Dienste Vertragsbeziehungen und Datenschutz 2 Teilnahme Vergabeverfahren 1 Rahmenvereinbarung 3 Dienstvereinbarung Cloud Service Provider 4 Einzelaufträge* * = Einzelaufträgen (Call-off-Agreement, Abrufvereinbarung) Teilnehmereinrichtung DFN-Workshop: Externe Dienste in der DFN-Cloud 17

18 Rahmenvereinbarung Die dargestellten Neuerungen und Grundsätze sollen durch die geplante Ergänzung in der Rahmenvereinbarung besonders berücksichtigt werden. Géant hat eine Task-Force gegründet, um die Umsetzung der Vorgaben der DS-GVO zwischen den verschiedenen NRENs auszutauschen. Die Ergebnisse sind in die Ergänzungsvereinbarung eingeflossen. Task-Force Externe Dienste in der DFN-Cloud 18

19 Rahmenvereinbarung Bereits unterzeichnete Rahmenvereinbarungen: Zukünftig abzuschließende Rahmenvereinbarungen: Durch die Ergänzungsvereinbarung wird die Einhaltung der Vorgaben der DS-GVO gewährleistet. Die Einhaltung der Regelungen der DS-GVO wird in zukünftig zu unterzeichnende Rahmenvereinbarungen aufgenommen Externe Dienste in der DFN-Cloud 19

20 ???? Vielen Dank für Ihre Aufmerksamkeit Externe Dienste in der DFN-Cloud 20