Klaus Krohmann. Entwicklungen in der Datenschutz-Gesetzgebung Seite 1. März 2017

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Klaus Krohmann. Entwicklungen in der Datenschutz-Gesetzgebung Seite 1. März 2017"

Transkript

1 NEUESTE ENTWICKLUNGEN IN DER DATENSCHUTZ-GESETZGEBUNG (INSB. SCHWEIZER DSG UND EU-DATENSCHUTZ-GRUNDVERORDNUNG) UND KONSEQUENZEN FÜR UNTERNEHMEN IN DER SCHWEIZ Klaus Krohmann Seite 1

2 ÜBERSICHT - INHALT Reform des EU-Datenschutzes Was ist wirklich neu? Geltungsbereich Wichtige Begriffe Grundsätze Ausgewählte Rechte und Pflichten Haftung und Sanktionen Fragen und Diskussion Seite 2

3 EU-DATENSCHUTZRICHTLINE / DSG 1994 Die EU-Datenschutzrichtlinie wurde Jahre 1995 erlassen. Im gleichen Jahr Siemens S3 mit SMS 66MHz Prozessor und 80 MB Festplatten Windows 95 Seite 3

4 ENTWICKLUNG DER DATENMENGEN Auf YouToube werden pro Minute 400 Stunden Videomaterial hochgeladen 205 Milliarden Mails werden pro Tag versendet Wikipedia enthält 5.35 Millionen Artikel Pro Minute kommen 217 neue Internetteilnehmer hinzu Bis 2020 werden 50 Milliarden Geräte mit dem Internet verbunden sein Seite 4

5 REFORM DES EU-DATENSCHUTZES Hintergrund der Reform Ziel der Reform Derzeit erlassen die 28 Mitgliedstaaten ihre eigenen Gesetze anhand der Datenschutzrichtlinien von 1995 (Richtlinie 95/46/EG). Als Resultat herrscht ein ungleiches Datenschutzniveau und die Durchsetzung ist begrenzt. Ziel der Reform durch die Datenschutz-Grundverordnung sind hohe Datenschutzstandards, die einheitlich in der ganzen EU gelten sollen und dem Internetzeitalter angemessen sind. Entwicklung (vereinfacht dargestellt) Vorschlag Gesetzesentwurf der EU- Kommission Intensive Lobbyarbeit Änderungsanträge Lesung vor EU-Parlament, Resultat: abgeänderte Version Gemeinsame Position zwischen EU-Rat und EU-Parlament gefunden Verabschiedung durch EU- Parlament und dem EU- Rat 2-jährige Übergangsperiode Inkrafttreten und direkte Anwendbarkeit 2012 März 2014 Sommer April Mai 2018 Seite 5

6 Was ist neu? Seite 6

7 NEUERUNGEN DER DSGVO Direkte Verbindlichkeit für die ganze EU Gleiche Gesetzesnormen für alle direkt anwendbar; jedoch mit Möglichkeit für länderspezifische Öffnungsnormen Strengere Bussgelder bis 4% des Jahresumsatzes des ganzen Konzerns! Dokumentationspflichten Insbesondere aus neuen Prinzipien der «Accountability» und «Privacy by design» Meldepflicht von Verletzungen «Incident Reporting» innerhalb von 72 Stunden Seite 7

8 UND DAS AUCH NOCH: Recht auf «Vergessenwerden» Vorschiften und zur Pflicht zur Löschung Recht auf Datenherausgabe Erweiterte Kompetenzen der Aufsichtsbehörden Beschränkte Pflicht für Einsetzung eines betrieblichen Datenschutzverantwortlichen Abschaffung formalistischer Meldepflichten Abschaffung des Schutzes von Daten juristischen Personen (für Österreich) Seite 8

9 WAS PLANT DIE SCHWEIZ? Neu Bussgelder bis zu CHF Dokumentationspflichten Insbesondere bei der Datenschutz-Folgeabschätzung Meldepflicht von Verletzungen Unbefugte Datenbearbeitung muss unverzüglich gemeldet werden Recht auf Löschung Erweiterte Kompetenzen der Aufsichtsbehörden Kein expliziter betrieblicher Datenschutzverantwortlicher Andere Meldepflichten Abschaffung des Schutzes von Daten juristischen Personen Seite 9

10 Anwendungsbereich Seite 10

11 RÄUMLICHER ANWENDUNGSBEREICH Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit eines Verantwortlichen mit Niederlassung in der EU eines Auftragsverarbeiters mit Niederlassung in der EU und zwar unabhängig davon, ob die Verarbeitung in der EU oder nicht stattfindet. Seite 11

12 EXTRATERRITORIALER ANWENDUNGSBEREICH Geltung auch für datenverarbeitende Stellen ausserhalb der EU: Anbieten von Waren oder Dienstleistungen an Personen in der EU (natürliche Personen, keine Zahlung erforderlich) Beobachtung des Verhaltens von Personen in der EU Bearbeiten von personenbezogener Daten von Personen in der EU im Auftrag Niederlassung in der EU keine Voraussetzung Beispiele Schweizer Firma bearbeitet im Auftrag einer Firma in der EU Daten (z.b. Headquater in der Schweiz speichert HR Daten einer Tochtergesellschaft in der EU) Internetangebote an EU-Bürger (Verarbeitung von personenbezogenen Daten von EU-Bürgern in CH) Schweizer Firma beobachtet Internetaktivitäten einer Person in der EU mit Hilfe von Datenverarbeitungstechniken zum Zwecke des Profilings (z.b. Auswertung des Einkaufverhaltens einer in der EU wohnhaften Personen) Seite 12

13 Wichtige Begriffe Seite 13

14 VERARBEITUNG ist jeder - mit oder ohne Hilfe automatisierter Verfahren - ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, die Anpassung oder Veränderung, die Offenlegung durch Übermittlung, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Verwendung, das Auslesen, das Abfragen, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Seite 14

15 PERSONENBEZOGENE DATEN sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (in der Verordnung «betroffene Person«[Data Subject] genannt) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Seite 15

16 BESONDERE KATEGORIEN [SPECIAL CATEGORIES] Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Nationales Recht kann weitere Kategorien definieren Seite 16

17 RECHTMÄSSIGKEIT DER BEARBEITUNG VON PERSONENDATEN (VEREINFACHT) «normale» Personendaten Personendaten dürfen nur rechtmässig bearbeitet werden, d.h.: Einwilligung vorhanden Zur Abwicklung eines Vertrags oder vorvertragliche Abklärungen Zur Erfüllung rechtlicher Verpflichtungen Um lebenswichtige Interessen einer natürlichen Person zu schützen Für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt Zur Wahrung berechtigter Interessen Besondere Kategorien von Personendaten Die Verarbeitung Besonderer Kategorien personenbezogener Daten ist verboten, ausser: Ausdrückliche Einwilligung Erforderlich, um Rechte aus Arbeitsrecht und soziale Sicherheit wahrzunehmen Zum Schutz lebenswichtiger Interessen, wenn die Person keine Einwilligung geben kann Verarbeitung auf Grundlage ausreichender Garantien einer gemeinnützigen Organisation unter Beachtung weiterer Bestimmungen Von der betroffenen Person selbst öffentlich gemachte Daten Zur Ausübung von Rechtsansprüchen vor Gericht Aufgrund des Rechts eines Mitgliedstaats, öffentlichen Interesses und weiteren ähnlichen Gründen unter genauerer Umschreibung Seite 17

18 BESONDERS SCHÜTZENSWERTE PERSONENDATEN Besonders schützenswerte Personendaten: die rassische und ethnische Herkunft politische Meinungen religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit genetischen Daten, biometrischen Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten über die Intimsphäre Daten über verwaltungs- oder strafrechtliche Verfolgungen und Sanktionen Daten über Massnahmen der sozialen Hilfe Annahme einer Persönlichkeitsverletzung, wenn besonders schützenswerte Personendaten Dritten weiter gegeben werden Seite 18

19 PROFILING jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Seite 19

20 PSEUDONYMISIERUNG Ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Seite 20

21 Grundsätze Seite 21

22 9 GRUNDSÄTZE Rechtmässigkeit Speicherbegrenzung Rechenschaftspflicht Treu & Glauben Integrität und Vertraulichkeit Grundsätze des Datenschutzes Transparenz Datenminimierung Zweckbindung Richtigkeit Seite 22

23 9 GRUNDSÄTZE Rechtmässigkeit Einwilligung Treu & Glauben Integrität und Vertraulichkeit Sicherheit von Personendaten Grundsätze des Datenschutzes Transparenz / Erkennbarkeit Datenminimierung / Verhältnismässigkeit Speicherbegrenzung Zweckbindung Richtigkeit Seite 23

24 EXKURS: EINWILLIGUNG der betroffenen Person (Ausnahme Kinder) freiwillig für den bestimmten Fall in informierter Weise unmissverständlich abgegebene Einverständnis zur Verarbeitung Muss nachweisbar sein Ausdrücklich beim Datentransfer in Drittländer Insb. bei elektronischen Erklärungen: knapp und klar ohne Unterbruch des Dienstes Kann widerrufen werden (mit Wirkung für die Zukunft) Seite 24

25 EXKURS: EINWILLIGUNG der betroffenen Person (Ausnahme Kinder) freiwillig für den bestimmten Fall in informierter Weise unmissverständlich abgegebene (eindeutig) Einverständnis zur Verarbeitung Seite 25

26 PRIVACY BY DESIGN / PRIVACY BY DEFAULT Privacy by Design bedeutet Datenschutzprobleme schon bei der Entwicklung neuer Technologien feststellen und prüfen und den Datenschutz von vorneherein in die Gesamtkonzeption einbeziehen anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturprogramme beheben. Präoperative Beurteilung Beheben von Sicherheitslücken: Einbau des Datenschutzes in die Grundstruktur eines System Nutzung höchster Sicherheitsstandards von Anfang an Stetige Dokumentation der Technologien und Kalkulation der Sicherheitsrisiken Datenschutzfreundliche Voreinstellungen (z.b. Opt-in) Privacy by Default: Kompletter Schutz von Personendaten ohne Konfiguration Benachrichtigung der betroffenen Personen Koppelungsverbot (verhindert, dass Dienste durch Datensubjekte nur mit überschiessender Datensammlung genutzt werden können). Rechtlicher Rahmen: Notwendigkeit: Rechtfertigung der Bearbeitung der Personendaten durch einen spezifischen Zweck Sparsamkeit: Kein Sammeln auf Vorrat Löschfristen: Automatische Löschung von Personendaten und Verifizierung ihrer Aktualität Need-to know Prinzip: Kenntnis nur bei Bedarf Seite 26

27 Ausgewählte Rechte und Pflichten Seite 27

28 DOKUMENTATIONSPFLICHT DES VERANTWORTLICHEN Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. Seite 28

29 DOKUMENTATIONSPFLICHT DES VERANTWORTLICHEN Der Verantwortliche und der Auftragsbearbeiter sind weiter zu Folgenden verpflichtet: a. Sie dokumentieren ihre Datenverarbeitung b. [ Informationspflichten über Verarbeitung] Seite 29

30 ACTION POINT DOKUMENTATIONSPFLICHT Es sind die Datenverarbeitungen mit personenbezogenen Daten zu dokumentieren Die Datenverarbeitungen mittels einer Risikoabschätzung zu bewerten Die Risikoabschätzung ist zu dokumentieren Basierend auf der Risikoabschätzung sind adäquate technische und organisatorische Massnahmen zu treffen Die Hauptkriterien und wichtigsten Überlegungen für die Entscheidung sind zu dokumentieren Die korrekte Implementierung ist zu überprüfen Die Aktualität der Risikoabschätzung ist regelmässig zu überprüfen und allenfalls ist diese nachzuführen Die getroffenen Massnahmen werden regelmässig überprüft und ebenfalls bei Bedarf aktualisiert Seite 30

31 ACTON POINT - VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten mit folgenden Angaben: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personendaten Kategorien von Empfängern Dokumentierung geeigneter Garantien bei Übermittlung in ein Drittland Fristen für die Löschung der Datenkategorien Allgemeine Beschreibung der technischen und organisatorischen Massnahmen Seite 31

32 DATENSCHUTZ FOLGEABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Dies ist insbesondere nötigt bei: automatisierte Verarbeitung, inkl. Profiling besondere Kategorien personenbezogener Daten systematische Überwachung öffentlich zugänglicher Bereiche Seite 32

33 DATENSCHUTZ FOLGEABSCHÄTZUNG [PIA / PRIVACY IMPACT ASSESSMENT] Führt die vorgesehene Datenbearbeitung voraussichtlich zu einem erhöhtem Risiko für die Persönlichkeit oder die Grundechte der betroffenen Person, so muss der Verantwortliche oder der Auftragsbearbeiter vorgängig eine Datenschutz-Folgeabschätzung durchführen. Seite 33

34 ACTION POINT FOLGEABSCHÄTZUNG [PIA] De Facto ist bei jeder neuen Applikation und/oder jedem neuen Prozess zu dokumentieren, ob eine Datenschutz-Folgeabschätzung nötig ist. Dazu ist zu fragen: Werden Personendaten bearbeitet? Werden spezielle Kategorien von Personendaten bearbeitet? Werden die Personendaten automatisiert verarbeitet? Werden öffentlich zugängliche Bereiche systematisch überwacht? Wird durch die Bearbeitung der Personendaten das Risiko der betroffenen Person (wesentlich) erhöht? Falls mindestens eine der Fragen mit «Ja» beantwortet wird, muss entschieden werden ob eine Datenschutz-Folgeabschätzung durchgeführt werden soll. Wird entschieden davon abzusehen, ist der Entscheid kurz zu begründen. Werden die Fragen mit «Nein» beantwortet, ist auch dies zu dokumentieren. Seite 34

35 AUSKUNFTS-, HERAUSGABE- UND LÖSCH- BEGEHREN [SUBJECT ACCESS REQUEST] Recht auf Auskunft und Recht auf Datenübertragbarkeit Das Datensubjekt hat das Recht, von dem für die Verarbeitung Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob: Personenbezogene Daten verarbeitet werden oder nicht, und in verständlicher Sprache abgefasste Informationen bezüglich Datentransfer, gesammelten Kategorien, die Dauer etc. Werden personenbezogene Daten elektronisch verarbeitet, hat das Datensubjekt das Recht, eine Kopie der zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Recht auf Berichtigung und Löschung («Recht auf Vergessenwerden») Die betroffene Person kann vom Verantwortlichen die unverzügliche Löschung von sie betreffenden Daten verlangen, wenn einer der nachfolgenden Gründe vorliegt: Sie die Einwilligung widerruft und keine anderen Rechtfertigungsgründe vorliegen Bei gerechtfertigten Widersprüchen gegen die Verarbeitung Bei unrechtmässiger Verarbeitung Die Löschung rechtlich erforderlich ist Bei Diensten der Informationsgesellschaft für Kinder Die Löschung kann nicht verlangt werden, wenn die Verarbeitung für die freie Meinungsäusserung und Information nötig ist, rechtliche Pflicht ist, oder andern spezifisch erwähnten Gründen des öffentlichen Interesses oder zur Durchsetzung von Rechtsansprüchen. Seite 35

36 ACTION POINT - PROZEDUR BEI AUSKUNFT- BZW. LÖSCHUNGSANTRAG (BEISPIEL) Erhalt eine Begehrens (allgemeine Prüfung) 1 Weiterleitung an den (internen) Datenschutzverantwortlichen 2 Vorprüfung durch den (internen) Datenschutzverantwortlichen 3 Kontaktaufnahme mit dem Datensubjekt, Überprüfung der Identität und Einholen von weiteren Informationen oder Ablehnung der Anfrage sofern die gesetzlichen Anforderungen nicht erfüllt sind. Mögliche Ablehnungsgründe: Ablehnung ist mit anwendbarem Recht vereinbar Anfrage ist nicht dem Europäischen Datenschutzrecht unterstellt Entgegenstehende Geschäftsinteressen oder öffentliche Interessen Herkunft der Personendaten ist ausserhalb von Europa und die Auskunft erfordert ausserordentlichen Aufwand Auskunft über gespeicherte Personendaten a b Der (interne) Datenschutzverantwortliche durchsucht sämtliche System und Materialien nach Personendaten des Datensubjekts. Die Ergebnisse sind in einem gängigen und lesbaren Format zur Verfügung zu stellen. Die Informationen werden dem Datensubjekt mit einem Begleitschreiben als Antwort auf die Anfrage zugestellt. Kann die Informationen nicht oder nur mit grossem Aufwand aus dem System extrahiert werden, wird dem Datensubjekt kurzfristig Zugang zum entsprechenden System verschafft. Löschungsbegehren/Änderungsbegehren/Einstellung der Datenbearbeitung a b c Löschungsbegehren sind durch den (internen) Datenschutzverantwortlichen detailliert zu prüfen. Sofern dem Löschungsantrag zugestimmt werden kann, hat der (interne) Datenschutzverantwortliche die Löschung in die Wege zu leiten. Bei einem Änderungsantrag prüft der (interne) Datenschutzverantwortliche die bestehenden Informationen und fügt allfällige Änderungen ein. Bei einem Antrag über die Einstellung der Datenverarbeitung hat der der (interne) Datenschutzverantwortliche die Freiheitsrechte des Datensubjekts gegenüber dem Rechtsfertigungsgrund zu Bearbeitung der Daten abzuwägen. Sofern die Bearbeitung aufgrund einer gesetzlichen Bestimmung notwendig ist, wird der Antrag abgelehnt. Seite 36

37 ACTION POINT - MELDUNG VON VERLETZUNGEN [INCIDENT RESPONSE] Grundlagen Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden (CH: unverzüglich). Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten. Im Anschluss: Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung an die Aufsichtsbehörde unverzüglich das Datensubjekt, sofern der Schutz der personenbezogenen Daten, die Privatsphäre oder die Rechte des Datensubjektes durch eine Verletzung beeinträchtigt werden. CH: Information des Datensubjekts, wenn für es für dieses erforderlich ist oder der Beauftragte dies verlangt Inhalt der Benachrichtigung Die Benachrichtigung enthält mindestens: Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Datensubjekte, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze; Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners; eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; gegebenenfalls eine Beschreibung der vorgeschlagenen oder ergriffenen Massnahmen. Seite 37

38 ACTION POINT - VORBEREITUNGS- HANDLUNGEN FÜR MELDUNGEN Handlungen Inventar sämtlicher Systeme mit welchen personenbezogene Daten bearbeitet werden Klassifikation der Daten nach Sensibilität Kenntnis der Speicherorte von personenbezogenen Daten (gruppenintern inclusive extern) Identifizieren von Risikobereichen wie z.b. frei zugängliche Firmennetzwerke; portable elektronische Geräte (Laptop, Mobiltelefon, Harddisk) Regelmässige Durchführung von Schulungen der Arbeitnehmer zur Sensibilisierung (inklusive zur Verfügung stellen einer Ansprechperson) Erstellen einer Richtlinie zur Handhabung von Verletzungen Definieren der Verantwortlichen und Kompetenzen Zuteilung von Ressourcen Interner Informationsablauf [Breach response procedure] Kommunikationsprozess Sofortmassnahmen (Wiederherstellung des vorherigen Zustandes) Seite 38

39 ACTION POINT - CHECKLISTE BEI VORLIEGEN EINER VERLETZUNG (BEISPIEL) Mögliche Prüfungshandlungen /zu eruierende Informationen 1 Welche Daten und welche Datenkategorien sind betroffen? 2 Vorprüfung durch den (internen) Datenschutzverantwortlichen 3 Bei Datendiebstahl oder Verlust: Wurden die Daten gesichert z.b. verschlüsselt? 4 Was ist mit den Daten vorgefallen? Wurden die Daten gestohlen oder verloren? Ersteres setzt das Datensubjekt einem erheblich höheren Missbrauchsrisiko aus und erfordert entsprechend erhöhte Aufmerksamkeit. 5 Welche Informationen können aus den Daten durch einen Dritten über das Datensubjekt gelesen werden? Sind die Informationen über das Datensubjekt kritisch bzw. führt deren Veröffentlichung zu einer starken Persönlichkeitsverletzung? 6 Wie viele Datensubjekte sind betroffen? (muss nicht der entscheidende Faktor sein) 7 Wer sind die betroffenen Datensubjekte? Kunde, Arbeitnehmer, Zulieferer? Sofern es sich um externe Parteien handelt, besteht eine erhöhtes Risiko an Konsequenzen. 8 Welche Konsequenzen hat der Datenverlust für das Datensubjekt? Gefahr für Leib und Leben, Reputation, finanzieller Verlust? 9 Sind weiterreichende Konsequenzen zu befürchten (nicht nur für das Datensubjekt)? Öffentliche Gesundheit / Sicherheit? Seite 39

40 Haftung und Sanktionen Seite 40

41 HAFTUNG UND SANKTIONEN Haftung Jede Person, der wegen eines Verstosses gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen (Controller) oder gegen den Auftragsverarbeiter (Processor). Sanktionen Bei Verstößen gegen bestimmte Bestimmungen werden Geldbussen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Seite 41

42 SANKTIONEN (BEISPIELE) Mit Busse bis zu Franken werden private Personen bestraft, die ihre Melde- und Auskunftspflichten verletzten (Informationspflicht bei der Beschaffung, Informations- und Anhörungspflichten bei einer automatisierten Verarbeitung, Auskunftspflicht, Ergebnisse PIA, Bekanntgabe ins Ausland, falsche Angaben in Untersuchungen, Unterlassung von Meldung von Verletzungen) Ihre Sorgfaltspflichten verletzen (Unerlaubte Bekanntgabe ins Ausland, ungenügender Vertrag mit Auftragsbearbeiter, ungenügende IT Sicherheit, Nichtvornahme eines PIA, Dokumentation der Datenbearbeitung) Teilweise ist die Strafe nur auf Antrag auszusprechen. Wer fahrlässig handelt, wird mit einer Busse von höchstens Franken bestraft. Seite 42

43 Fragen und Diskussion Seite 43

44 KONTAKTDATEN KLAUS KROHMANN BDO AG Fabrikstrasse 50 CH-8031 Zürich Tel Mobile Seite 44

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt

Mehr

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird Datenverarbeitung für Werbezwecke zulässig? Werbung im Tätigkeitsbereich Keine Verletzung Schutzwürdiger Interessen des Kunden

Mehr

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu? Arnd Böken EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu? Workshop, SAS Institute GmbH, 9. Februar 2017 EU-Datenschutz Grundverordnung 1. Übersicht über EU DSGVO 2. Accountability

Mehr

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? - EU Datenschutz-Grundverordnung (DSGVO) - Welche Auswirkungen hat die neue Verordnung für den Mittelstand? - PALLAS SECURITY-BREAKFAST Köln, den 15. November 2016 Harald Eul HEC GmbH 50321 Brühl Tel 02232

Mehr

Mobile Apps für die Gesundheitsbranche und Datenschutz

Mobile Apps für die Gesundheitsbranche und Datenschutz Mobile Apps für die Gesundheitsbranche und Datenschutz Schutz vor Daten soll ein Grundrecht werden Grundrecht auf informationelles Selbstbestimmungsrecht mit der Folge der Beweislastumkehr. Unternehmen

Mehr

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG DR. MARKUS FRANK LL.M. RECHTSANWALT A-1070 Wien, Neustiftgasse 3/5, Tel +43/1/523 44 02, Fax -10, office@frank-law.at Verordnung (EU) 2016/679 des Europäischen Parlaments

Mehr

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016 Vorstellung Alexander Jung Diplom-Jurist (Univ.) Senior Consultant Datenschutz

Mehr

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response») Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response») simsa Provider Day 2016 Zürich, 8. Juni 2016 Dr. Thomas Steiner, LL.M. (Berkeley)

Mehr

Stärken und. Schwächen Analyse der EU-DSGVO aus Sicht des EU-Bürgers. eine qualitative Inhaltsanalyse. Esther Jobst, Eva-Maria Meyr, Christian Vellmer

Stärken und. Schwächen Analyse der EU-DSGVO aus Sicht des EU-Bürgers. eine qualitative Inhaltsanalyse. Esther Jobst, Eva-Maria Meyr, Christian Vellmer Stärken und Esther Jobst, Eva-Maria Meyr, Christian Vellmer Schwächen Analyse der EU-DSGVO aus Sicht des EU-Bürgers eine qualitative Inhaltsanalyse 81% der Europäer glauben, dass sie nicht über die vollständige

Mehr

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin Die EU-Datenschutz- Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin Prof. Dr. Mark D. Cole Wissenschaftlicher Direktor Institut für Europäisches Medienrecht (EMR) Inhalt

Mehr

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M. Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M. 12. Mai 2016 Paradigmenwechsel (1) 1. Datenschutz bisher kompliziert für Unternehmen viel

Mehr

Recht auf Datenschutz

Recht auf Datenschutz 116. Amtsärztliche Fortbildungsveranstaltung 17. Juni 2011 Doris Hattenberger 1 Datenschutz = Schutz der Privatsphäre 2 Kritische Austauschbeziehung Effizienz versus Privatsphäre Das Datenschutzrecht vermittelt

Mehr

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu? Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu? Sebastian Harrand, Vorstand Tercenum AG und DDIV-Datenschutzbeauftragter,

Mehr

Die neue Grundverordnung des europäischen Datenschutzes

Die neue Grundverordnung des europäischen Datenschutzes Die neue Grundverordnung des europäischen Datenschutzes Was kommt auf die Unternehmen und deren IT-Verantwortliche zu? NIK - Nürnberg, 08. November 2016 Ulrich Neef in Zusammenarbeit mit ODN - INTERNET

Mehr

Datenschutz-Grundverordnung

Datenschutz-Grundverordnung Datenschutz-Grundverordnung Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien

Mehr

Quo vadis, Datenschutz?

Quo vadis, Datenschutz? Quo vadis, Datenschutz? EU-Datenschutz-Grundverordnung Tim Hoffmann Roadshow Cybercrime 23. November 2016 IHK zu Bochum Unternehmensgruppe Quo vadis, Datenschutz? // Dipl.-Kfm. Tim Hoffmann 2 Dienstleistungen

Mehr

Betriebliche Organisation des Datenschutzes

Betriebliche Organisation des Datenschutzes Betriebliche Organisation des Datenschutzes Die EU-Datenschutzgrundverordnung: Fragen und Antworten zur praktischen Umsetzung Hamburg, 26. April 2016 Philipp Kramer Rechtsanwalt, Gliss & Kramer, Hamburg

Mehr

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal Modul 3, 13. Oktober 2016 Webinar@Weblaw: DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal Massnahmen zur Datensicherheit, Meldepflicht im Zusammenhang mit Data Breaches,

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2009: BDSG (1) 1.1 BDSG-Rechtsgrundlagen für Aktiengesellschaften Aufgabe: Welche Abschnitte aus dem BDSG sind für Aktiengesellschaften relevant?

Mehr

BvD. Management-Summary. Überblick in 10 Schritten

BvD. Management-Summary. Überblick in 10 Schritten www.bvdnet.de BvD Management-Summary Überblick in 10 Schritten Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v. Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener

Mehr

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? DuD 06 8. Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? Berlin, 4.06.06 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor

Mehr

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin) Gesetz vom 8. Mai 2008 Inkrafttreten:... zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin) Der Grosse Rat des

Mehr

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU Peter Burgstaller Rechtsanwalt, Linz Professor for IT and IP Law University of Applied Science Upper Austria Verschränkung von Daten und Informationssicherheit

Mehr

Datenschutz in der Volksschule

Datenschutz in der Volksschule Datenschutz in der Volksschule SGV-Forum 18. November 2010 lic.iur. RA Franziska Gschwend, Inhalt Einleitung Begriffe Grundsätze des Datenschutzes Zulässigkeit der Datenbearbeitung und -bekanntgabe Rechte

Mehr

DFN Deutsches Forschungsnetz

DFN Deutsches Forschungsnetz Recht und Datenschutzverordnung als Folge der EU- Bestimmungen Ass. Jur. Susanne Thinius, LL.M. Dipl.-Jur. Florian Klein Institut für Informations-, Telekommunikations- und Medienrecht, Lehrstuhl Prof.

Mehr

Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit?

Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit? Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit? nikolaus.forgo@iri.uni-hannover.de @nikolausf Wien, 21. 10. 2016

Mehr

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern? EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern? DB Mobility Logistics AG Konzerndatenschutz Karen Sokoll, LLM 20.04.2013 Agenda 1. Überblick: Ziel & Stand des Gesetzgebungsverfahrens

Mehr

Datenschutz im E-Commerce

Datenschutz im E-Commerce Prof. Dr. Rolf H. Weber Datenschutz im E-Commerce Direkterhebungen: Datenbeschaffung bei der betroffenen Person selbst mündliche oder schriftliche Befragung eigene Wahrnehmung schriftliche oder elektronische

Mehr

I. ALLGEMEINE BESTIMMUNGEN. Art. 1 Nutzungspflicht. Art. 2 Gegenstand. Art. 3 Zugriffsberechtigung. Art. 4 Legitimationsmerkmale. Vom Regl.

I. ALLGEMEINE BESTIMMUNGEN. Art. 1 Nutzungspflicht. Art. 2 Gegenstand. Art. 3 Zugriffsberechtigung. Art. 4 Legitimationsmerkmale. Vom Regl. Richtlinie Meldeplattform RLRMP Richtlinie betr. die Nutzung der elektronischen Meldeplattform für Meldepflichten gemäss Art. 9 Regelmeldepflichtenrichtlinie (Richtlinie Meldeplattform RLRMP, RLMR) Vom

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Auswirkungen der EU DSGVO auf Schweizer Unternehmen Auswirkungen der EU DSGVO auf Schweizer Unternehmen Nicole Beranek Zanon, RA lic. iur., Exec. MBA HSG 2 AGENDA 1. Ausgangslage in der Schweiz 2. Räumlicher Geltungsbereich der EU-DSGVO 3. Übersicht über

Mehr

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER Bei ihrer Geschäftstätigkeit erheben Dassault Systèmes und seine Tochtergesellschaften (in ihrer Gesamtheit als 3DS bezeichnet) personenbezogene

Mehr

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

19-21 Zweiter Unterabschnitt Rechte des Betroffenen TK Lexikon Arbeitsrecht Bundesdatenschutzgesetz 19-21 Zweiter Unterabschnitt Rechte des Betroffenen 19 Auskunft an den Betroffenen HI23101 HI23102 (1) 1 Dem Betroffenen ist auf Antrag Auskunft zu erteilen

Mehr

21. MÄRZ Gesetz zur Regelung der Installation und des Einsatzes von Überwachungskameras

21. MÄRZ Gesetz zur Regelung der Installation und des Einsatzes von Überwachungskameras 21. MÄRZ 2007 - Gesetz zur Regelung der Installation und des Einsatzes von Überwachungskameras (deutsche Übersetzung: Belgisches Staatsblatt vom 20. November 2007) Diese deutsche Übersetzung ist von der

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und snapaddy GmbH Juliuspromenade 3 DE 97070 Würzburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

Verordnung zum Bundesgesetz über den Datenschutz

Verordnung zum Bundesgesetz über den Datenschutz Verordnung zum Bundesgesetz über den Datenschutz (VDSG) Änderung vom 28. September 2007 Der Schweizerische Bundesrat verordnet: I Die Verordnung vom 14. Juni 1993 1 zum Bundesgesetz über den Datenschutz

Mehr

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, der Schutz von persönlichen Daten wird immer wichtiger. Ohne großen Aufwand ist es möglich,

Mehr

DIGITALE PRIVATSPHAERE

DIGITALE PRIVATSPHAERE DIGITALE PRIVATSPHAERE WISSEN Die enorme Ausbreitung des Internets über die letzten beiden Jahrzehnte stellt uns vor neue Herausforderungen im Hinblick auf Menschenrechte, insbesondere der Abwägung zwischen

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein

Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein Anlage 1 zum Antrag Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein A. Persönliche Stammdaten der / des Betroffenen...... Name,

Mehr

Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern

Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern Die Reform des europäischen Datenschutzrechtes - Implikationen für das Gesundheitswesen - 3. Februar 2015, Bern forumsante.ch 2015 RAin

Mehr

Datenschutz. RA Dr. Lukas Feiler, SSCP, CIPP/E. Marketing und Vertrieb, MSc WS

Datenschutz. RA Dr. Lukas Feiler, SSCP, CIPP/E. Marketing und Vertrieb, MSc WS Datenschutz RA Dr. Lukas Feiler, SSCP, CIPP/E Marketing und Vertrieb, MSc WS16 16.11.2016 TOPICS Wozu Datenschutz-Compliance? Welche Datenverarbeitungen sind erfasst? Zulässigkeit der Datenverarbeitung

Mehr

EU-DatenschutzGrundverordnung. in der Praxis

EU-DatenschutzGrundverordnung. in der Praxis EU-DatenschutzGrundverordnung in der Praxis 2016 Hogan Lovells Einleitung Diese Einführung in die EU-Datenschutz- Grundverordnung (DSGVO) beschreibt die wichtigsten Auswirkungen des EU-weiten neuen Datenschutzrechts.

Mehr

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutzgestaltung durch Technik Eine Kurzeinführung Agenda Fachkundig beraten Datenschutzgestaltung durch Technik Eine Kurzeinführung Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht it-sa, Nürnberg, den 20.10.2016 Rödl & Partner 06.12.2012

Mehr

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis... Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis... V VI VII XVII Teil 1: Kommentierung BDSG Einleitung... 1 Erster Abschnitt Allgemeine und gemeinsame

Mehr

Einzelfallentscheide und Profiling.

Einzelfallentscheide und Profiling. Modul 2, 26. September 2016 Webinar@Weblaw: DSGVO Bearbeitung von Personendaten, Einwilligungserklärung, Einzelfallentscheide. Nicolas Passadelis Einzelfallentscheide und Profiling. Inhaltsverzeichnis.

Mehr

Cloud und Datenschutz

Cloud und Datenschutz Cloud und Datenschutz Cloudspeicher und Datenschutz bei der Stammorganisation Jens Hoffmann Inhalt Datenschutz Rechtsgrundlagen Personenbezogene Daten Besondere Arten personenbezogener Daten Cloudspeicher

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E) Zwei-Stufen-Modell 1. Stufe: Umsetzung der EG-Datenschutzrichtlinie und Ergänzung durch einige innovative Neuregelungen Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Datenschutz-Audit

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

AGB Newsletter. (Stand: )

AGB Newsletter. (Stand: ) AGB Newsletter Allgemeine Geschäftsbedingungen für die Inanspruchnahme der Angebote des BBE-Newsletters, der BBE Europa-Nachrichten, des SONDER-INFOLETTERs, des INFOLETTERs. (Stand: 16.12.2016) 1. Geltungsbereich

Mehr

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG). Datenschutzerklärung Geltungsbereich Diese Datenschutzerklärung klärt Nutzer über die Art, den Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten durch den verantwortlichen Anbieter

Mehr

vom 26. Februar 1991 (Stand 1. August 2013)

vom 26. Februar 1991 (Stand 1. August 2013) Nr. 8b Verordnung zum Datenschutzgesetz vom 6. Februar 99 (Stand. August 0) Der Regierungsrat des Kantons Luzern, gestützt auf die Absatz c, 7 Absatz, 0 Absatz, a Absatz und 0 des Datenschutzgesetzes vom.

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Walldürn GmbH

Mehr

Transparenter Staat oder transparenter Bürger?

Transparenter Staat oder transparenter Bürger? Transparenter Staat oder transparenter Bürger? Sommertagung SGVW Bern, 18. Juni 2015 Dr. iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich Überblick 2 Transparenz im Datenschutz beim Öffentlichkeitsprinzip

Mehr

Datenschutz im Verein

Datenschutz im Verein Qualifix-Themenfeld: Recht Datenschutz im Verein Guten Tag! Ich wünsche Ihnen einen angenehmen Seminarverlauf. 1 Was bedeutet Datenschutz? Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten!

Mehr

4d Meldepflicht. 6 Unabdingbare Rechte des Betroffenen. 6a Automatisierte Einzelentscheidung

4d Meldepflicht. 6 Unabdingbare Rechte des Betroffenen. 6a Automatisierte Einzelentscheidung 4d Meldepflicht (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens neun Personen mit der Erhebung,

Mehr

Datenschutz in der Marktund Sozialforschung

Datenschutz in der Marktund Sozialforschung ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.v. Datenschutz in der Marktund Sozialforschung Erich Wiegand BVM Regionalgruppe Rhein-Main 10. Oktober 2005 Datenschutz in der Markt- und

Mehr

Jahrestagung GRUR 2013

Jahrestagung GRUR 2013 Jahrestagung GRUR 2013 Datenschutz in Zeiten des Web 2.0 dem Untergang geweiht oder auf dem Weg zum Immaterialgüterrecht? Prof. Dr. Andreas Wiebe, LL.M. Georg-August-Universität Göttingen Lehrstuhl für

Mehr

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz www.dids.de

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz www.dids.de Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. www.dids.de Agenda 06.04.2016 I. Organisatorisches II. Literaturempfehlung III. Grundlagen 1. Historisches zum Datenschutzrecht

Mehr

Werbung und Online Marketing was ändert sich mit der DSGVO?

Werbung und Online Marketing was ändert sich mit der DSGVO? Werbung und Online Marketing was ändert sich mit der DSGVO? Datenschutztag 2016, Köln 20.September 2016 Kathrin Schürmann, Rechtsanwältin 1 Werbung und Online Marketing ellagrin, fotolia.de 2 EU-DSGVO

Mehr

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher 2016 Deutscher Bundestag Seite 2 Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher Aktenzeichen: Abschluss der

Mehr

22. Dezember 2014 Genehmigt am vom Aufsichtsrat der eni spa, in seiner Eigenschaft als Prüfungsausschuss gemäß SOA-Richtlinien.

22. Dezember 2014 Genehmigt am vom Aufsichtsrat der eni spa, in seiner Eigenschaft als Prüfungsausschuss gemäß SOA-Richtlinien. Antikorruption Information gemäß Art. 13 des italienischen Gesetzesdekrets 196/2003 für die Verarbeitung von personenbezogenen Daten in Verbindung mit Meldungen 22. Dezember 2014 Genehmigt am 19.11.2014

Mehr

Verhaltenskodex. für Gesellschaften der Firmengruppe Liebherr und deren Mitarbeiterinnen und Mitarbeiter

Verhaltenskodex. für Gesellschaften der Firmengruppe Liebherr und deren Mitarbeiterinnen und Mitarbeiter Verhaltenskodex für Gesellschaften der Firmengruppe Liebherr und deren Mitarbeiterinnen und Mitarbeiter Inhaltsverzeichnis I. Gegenstand und Geltungsbereich 4 II. Beachtung des geltenden Rechts 5 III.

Mehr

1 Gewinnspiel. 2 Teilnehmer

1 Gewinnspiel. 2 Teilnehmer Allgemeine Gewinnspielbedingungen energis GmbH Wir machen Wind fürs Saarland. Und Du? / Datenschutz Die energis GmbH bietet zum Weltrekord-Versuch Wir machen Wind fürs Saarland. Und Du? ein Gewinnspiel

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

DATENSCHUTZ LEITFADEN FÜR NUTZER

DATENSCHUTZ LEITFADEN FÜR NUTZER DATENSCHUTZ LEITFADEN FÜR NUTZER DE Inhalt Einleitung 5 Normen für den Datenschutz: Fortschritte im Europäischen Parlament 7 Datenschutz: Die Akteure 8 Datenschutz: Hintergrundinformationen 9 Inwieweit

Mehr

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT Vortrag auf der Böckler Konferenz für Aufsichtsräte 2016 Prof. Dr. Peter Wedde Berlin, 1. Juli 2016 Worum wird es gehen? I. Warum Safe Harbor? Und warum Datenschutz?

Mehr

Workshop Datenschutz - ERFA-Kreis

Workshop Datenschutz - ERFA-Kreis Workshop Datenschutz - ERFA-Kreis Tagesseminar Ihre Ansprechpartnerin der Paritätischen Akademie Süd: Julia Kienzle-Schwarz Telefon 07961 / 959 881 E-Mail kienzle-schwarz@akademiesued.org Website www.akademiesued.org

Mehr

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN KOMAX AG Gültig ab 1. November 2015 GESCHÄFTS- BEDINGUNGEN INHALTSVERZEICHNIS 1 Geltungsbereich und Zweck 3 2 Datenerhebung 3 3 Zweck der Datenerhebung und 3 Verwendung

Mehr

Cookie Cookie Name Zweck Ablaufzeitpunkt

Cookie Cookie Name Zweck Ablaufzeitpunkt Datenschutz Online-Datenschutzprinzipien der BASF BASF freut sich über Ihren Besuch auf unserer Website und Ihr Interesse an unserem Unternehmen. Das Thema Datenschutz hat bei BASF höchste Priorität. Daher

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO 1 7. M ä r z 2 0 1 6, K ö l n ADV Grundlage moderner DV 2 ADV Grundlage moderner DV Auftragsdatenverarbeitung (ADV) = Verarbeitung (personenbezogener)

Mehr

(Text von Bedeutung für den EWR)

(Text von Bedeutung für den EWR) 30.6.2016 L 173/47 DURCHFÜHRUNGSVERORDNUNG (EU) 2016/1055 R KOMMISSION vom 29. Juni 2016 zur Festlegung technischer Durchführungsstandards hinsichtlich der technischen Mittel für die angemessene Bekanntgabe

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Mittagsinfo zum Thema

Mittagsinfo zum Thema Mittagsinfo zum Thema Datenschutz und Datensicherheit in Non-Profit Profit-Organisationen 6. September 2007 Folie 1 Agenda I. Überblick über Datenschutzgesetzgebung und die Datenschutzaufsichtstellen II.

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN für Dienstleistungen der Firma Iris Weinmann Consulting. Mittelstadtstr Rottweil Steuernummer DE

ALLGEMEINE GESCHÄFTSBEDINGUNGEN für Dienstleistungen der Firma Iris Weinmann Consulting. Mittelstadtstr Rottweil Steuernummer DE ALLGEMEINE GESCHÄFTSBEDINGUNGEN für Dienstleistungen der Firma Mittelstadtstr. 58 78628 Rottweil Steuernummer DE293001430 Stand: 17.03.2014 1 Geltungsbereich 1.1 Die nachstehenden allgemeinen Geschäftsbedingungen

Mehr

Die (ersten) Schritte zur Compliance. Rainer Sternecker

Die (ersten) Schritte zur Compliance. Rainer Sternecker Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai

Mehr

Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer

Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer Der Senat der Hochschule Emden/Leer hat in seiner Sitzung am 02.12.2014 die nachstehende Fassung der Richtlinie

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Datenschutzerklärung:

Datenschutzerklärung: Datenschutzerklärung: Datenschutz Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen

Mehr

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein 31.05.2016, Berlin Roter

Mehr

Schweigepflicht in sozialen Einrichtungen

Schweigepflicht in sozialen Einrichtungen Aufgaben einer WfbM in sozialen Einrichtungen In Werkstätten sollen behinderte Menschen die Möglichkeit erhalten, ihre Teilnahme am Arbeitsleben zu verbessern. Sie sollen persönlich und beruflich qualifiziert

Mehr

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Google Street View Ticken Schweizer Uhren anders? Erhebung, Bearbeiten und Verwendung von Personendaten Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Übersicht. Einführung. Google Street View ( GSV

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Geheimhaltungsvereinbarung

Geheimhaltungsvereinbarung Geheimhaltungsvereinbarung zwischen ZF Friedrichshafen AG, Graf-von-Soden-Platz 1, 88046 Friedrichshafen, Deutschland und - nachfolgend ZF genannt - - nachfolgend genannt - Seite 2 von 5 Präambel ZF ist

Mehr

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015 Datenschutzrecht im Digitalen Binnenmarkt 16. Salzburger Telekom-Forum 27. August 2015 Datenschutz in der EU Aktuelle Rechtsgrundlagen: - Art 8 GRC: Jede Person hat das Recht auf Schutz der sie betreffenden

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v. Sehr geehrte(r) Herr/Frau, aufgrund Ihrer ehrenamtlichen/beruflichen Aufgabenstellung/Tätigkeit bei dem Nordrhein- Westfälischer Ruder-Verband e.v. werden Sie hiermit auf das Datengeheimnis nach 5 des

Mehr

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG - EIN ÜBERBLICK - 1 Grundsätzliches zur Datenschutzgrundverordnung Die EU Datenschutz- Grundverordnung Überblick über wesentliche Inhalte Überblick zur Datenschutzorganisation

Mehr

VORLESUNG DATENSCHUTZRECHT

VORLESUNG DATENSCHUTZRECHT VORLESUNG DATENSCHUTZRECHT Fakultät Informatik TU Dresden Sommersemester 2012 Rechtsanwalt Daniel Schöneich Grobgliederung 0. Organisatorisches 1. Datenschutzrecht Grundlagen 2. Arbeitnehmer/Beschäftigtendatenschutz

Mehr

Datenschutz Aufsichtsstelle über den Datenschutz der Stadt Burgdorf. Datenschutz Bericht vom der Geschäftsprüfungskommission

Datenschutz Aufsichtsstelle über den Datenschutz der Stadt Burgdorf. Datenschutz Bericht vom der Geschäftsprüfungskommission Datenschutz 2014 Aufsichtsstelle über den Datenschutz der Stadt Burgdorf Datenschutz 2014 Bericht vom 26.11.2014 der Geschäftsprüfungskommission Zur Datenschutzaufsicht in der Stadt Burgdorf Gemäss Art.

Mehr

DATENSCHUTZ IN DER FORSCHUNG

DATENSCHUTZ IN DER FORSCHUNG DATENSCHUTZ IN DER FORSCHUNG PERSONENBEZUG, ZWECKÄNDERUNG UND -ANPASSUNG, GESUNDHEITSDATEN, GENETISCHE DATEN Dr. Jens Schwanke KAIROS GMBH BOCHUM/BERLIN, conhit-satellitenveranstaltung, Berlin, 18.04.2016

Mehr

Entschließungsantrag

Entschließungsantrag 500/A(E) XXII. GP - Entschließungsantrag 1 von 6 500/A(E) XXII. GP Eingebracht am 26.01.2005 Entschließungsantrag der Abgeordneten Mag. Maier und GenossInnen betreffend umgehende Erlassung von Regelungen

Mehr

Checkliste: Liegt ein Fall des 42a BDSG vor?

Checkliste: Liegt ein Fall des 42a BDSG vor? Checkliste: Liegt ein Fall des 42a BDSG vor? Weit hinten im BDSG versteckt findet man die Regelung des 42a BDSG, der verantwortliche Stellen unter bestimmten Voraussetzungen dazu verpflichtet, im Falle

Mehr

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator Recht im Internet der Dinge Datenschutz und IT-Sicherheit 07.10.2015 Dr. Thomas Lapp, Frankfurt Rechtsanwalt Privatsphäre und Datenschutz Datenschutz dient dem Schutz der Persönlichkeitsrechte und würde

Mehr

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens (Übermittlungsverordnung Verwaltungsverfahren, ÜbVV) vom Der Schweizerische Bundesrat, gestützt auf die Artikel 11b

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 2. Übung im SoSe 2009: BDSG (2) & Kundendatenschutz (1) 2.1 Schema zu 28 BDSG Aufgabe: Erstellen Sie ein Schema zu 28 BDSG, aus der hervorgeht, wann eine Datenerhebung,

Mehr

Typologie der behandelten Daten und Zweck der Behandlung.

Typologie der behandelten Daten und Zweck der Behandlung. PRIVACY RECHTLICHE INFORMATIONEN UND PRIVACY Auf dieser Seite werden die Modalitäten der Verwaltung der Website bezüglich der Verarbeitung personenbezogener Daten der Benutzer, die sie konsultieren und

Mehr