Datenschutz durch Technik;

Transkript

1 Datenschutz durch Technik; neue Anforderungen der DS-GVO (privacy by design, privacy by default), Zertifizierung, Datenpannen Andreas Sachs, Dipl.Inform.(Univ.)

2 Agenda Recht auf Vergessen / Löschen Datenschutzmanagement Privacy by Design/Default Datenschutzfolgeabschätzung Zertifizierungen Code of Conduct 2

3 Symposium München Recht auf Vergessen "Wenn es irgendetwas gibt, was man nicht über Sie wissen sollte, dann sollten Sie es vielleicht gar nicht erst tun.

4 Symposium München Recht auf Vergessen Artikel 17 Recht auf Löschung ( Recht auf Vergessenwerden ) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: Nicht mehr notwendig (für Zweck) Einwilligung wird widerrufen Betroffener widerspricht Löschung nach Recht des Mitgliedsstaates notwendig (Öffnungsklausel)

5 Symposium München Recht auf Vergessen Geht das überhaupt? archive.org Offizieller Stand am Ebenfalls abgerufen am (Stand der Webseite 01. Oktober 2011)

6 Symposium München Recht auf Vergessen Beispiel 1: Löschen das bei Diensteabieter Lösche! Lösche in Datenbank Eine Löschung in der Datenbank erfolgt meist nur durch Entfernen der Zuordnungen. Mit der Zeit: Fragmente sind wirksam gelöscht. Funktioniert in der Praxis (Solange Festplatten nicht bei ebay verkauft werden)

7 Symposium München Recht auf Vergessen Beispiel 2: Löschen bei Google Lösche! Eine Löschung in der Datenbank erfolgt nicht. Statt dessen macht Google die Suchergebnisse nicht mehr zugänglich. Funktioniert in der Praxis, da die meisten Bürger das Internet über Google erkunden (Problem:Geolokalität) Originaldaten bleiben erhalten Entferne Suchindex (wenn überhaupt) Google Robot

8 Symposium München Recht auf Vergessen Wie sieht das nun konkret aus? Artikel 17 Recht auf Löschung ( Recht auf Vergessenwerden ) (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Löschung bei Diensteanbietern in Europa machbar (wenn auch aufwändig) Löschung bei Diensteanbietern außerhalb Europas wird sehr, sehr schwierig (und damit unverhältnismäßig teuer?)

9 II Symposium München Löschkonzept: Wichtig Was muss man als DSB im Auge behalten? Nach Artikel 24 der EU-DSGVO besteht das Verzeichnis von Verarbeitungstätigkeiten (= Verfahrensverzeichnis) insbesondere auch aus 1 h): wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Kategorien personenbezogener Daten Das bedeutet, dass der DSB sich auch gezielt Gedanken um ein solides Löschkonzept machen muss, dass auch transparent und verständlich nachprüfbar ist und selbstverständlich im Bedarfsfall auch tatsächlich effektiv zum Einsatz kommt.

10 Symposium München Sperren Wie sieht es mit Sperren von Daten aus? Erwägungsgrund 47: Insbesondere sollte statt der Löschung personenbezogener Daten die Verarbeitung eingeschränkt werden, wenn in einem konkreten Fall berechtigter Grund zu der Annahme besteht, dass eine Löschung die berechtigten Interessen der betroffenen Person beeinträchtigen könnte. In einem solchen Fall sollten Daten mit Einschränkungsmarkierung nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand. Methoden zur Einschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte Daten, beispielsweise zu Archivierungszwecken, auf ein anderes Verarbeitungssystem übertragen oder gesperrt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel erfolgen. [ ]

11 III Compliance mit DSM-Systeme Wie kommt der Datenschutz bzw. die gesetzlichen Vorschriften in den Unternehmensalltag hinein? Leider noch viel zu häufig: Externer DSB, der fast nie im Unternehmen ist / Interner DSB mit zu wenig Zeit Verfahrensverzeichnis, dass (auf viel Papier) mittels Copy&Paste erzeugt wurde Geschäftsleitung interessiert der Datenschutz nicht wirklich Der Datenschutzbeauftragte ist Einzelkämpfer; Unternehmens-IT interessiert sich für den (technischen) Datenschutz nicht Aber auch: Datenschutzbeauftragter ist Mahner und Bedenkenträger Aber auch: Aufsichtsbehörden prüfen viel zu wenig (vor Ort)

12 III Compliance mit DSM-Systeme Kleiner Satz mit großer Wirkung: Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten) (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

13 III Compliance mit DSM-Systeme Was muss eingehalten und nachgewiesen werden? Artikel 5 Abs. 1: Transparenz der Verarbeitung für den Betroffenen Zweckbindung der Verarbeitung Grundsatz der Datenminimierung Richtigkeit der personenbezogenen Daten Löschen und Sperren von Daten Schutz vor unbefugten Zugriffen/Änderungen

14 III Compliance mit DSM-Systeme Bitte den Nachweis der Einhaltung erbringen: Dokumentation Wirksamkeit Zertifikate Verhaltensregeln Verstöße gegen die Nachweispflicht sind bußgeldbewährt: Max. 4% des Umsatzes oder 20 Mio. Aufsichtsbehörde

15 III Compliance mit DSM-Systeme Ein Managementsystem zielt auf die formale Organisation eines Unternehmens. Ein Datenschutzmanagementsystem (DSMS) stellt eine Methodik dar, die Datenschutzanforderungen wirksam und belegbar innerhalb eines Unternehmens umzusetzen Die EU-DSGVO legt nicht das wie fest, wie die Rechenschaftspflicht erreicht werden soll,

16 III Compliance mit DSM-Systeme Internationaler Datentransfer Datenschutzkonforme Verarbeitung Rechenschafts pflicht Datenschutzkonforme Technik Datenschutzkonforme Sicherheit Datenschutzkonforme Auftragsdatenverarbeitung Datenschutzfolgeabschätzung

17 III Datenschutzfreundliche Technologien Datenschutzfreundliche Technologien Auch privacy enhancing technologies (PET)genannt PETS sollen das Risiko von Datenschutzverletzungen verringern Paradigma: Datenminimierung Paradigma: Geben Betroffenen Kontrolle über seine Daten Manche IT-Sicherheitsmaßnahmen sind PETs: Verschlüsselung, RBAC, Autorisierungsverfahren -> Helfen, eine unnötige Datenverarbeitung zu unterbinden

18 III Privacy by Design: Was sagt die EU-DSGVO Artikel 25 (Datenschutz durch Technikgestaltung) (1) trifft der Verantwortliche geeignete technische und organisatorische, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Gilt auch bei Binding Corporate Rules (BCRs) Gilt auch bei Auftragsdatenverarbeitung Damit kann man arbeiten (versuchen): Durch Technik soll die EU-DSGVO so umgesetzt werden, dass die Rechte der Betroffenen geschützt werden

19 III Privacy by Design: Beispiel Standortdaten Bewegungsprofile können (bei entsprechendem Informationsgehalt) ein personenbezogenes Datum sein. Diese sagen z.b. aus: Wo ich wohne Wo ich arbeite Wo und wie häufig ich Bier trinken gehe In welchen Hotels ich übernachte (und wer immer dann auch dort übernachtet) Zu welchem Arzt ich gehe

20 III Privacy by Design: Beispiel Standortdaten Letzte 2 Nachkommastellen kürzen ( ) ( ) ( ) ( ) ( )

21 III Privacy by Design: Beispiel Standortdaten Umgang mit verwaschenen Standortdaten: 1. Ungenaue Daten reichen aus: Beispiel: Dating-App sucht potentielle Partner im Umkreis von 50 Kilometer 2. Ungenaue Daten reichen nicht aus: Lokale genaue Verarbeitung auf App. Beispiel: Die verwaschenen Daten liefern z.b. Kartenmaterial von Geldautomaten im Raster

22 III Privacy by Default: Was sagt die EU-DSGVO Artikel 25 (Datenschutz durch datenschutzfreundliche Voreinstellungen) (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

23 III Privacy by Default: Was sagt die EU-DSGVO Artikel 25 (Datenschutz durch datenschutzfreundliche Voreinstellungen) Adressiert die Privatsphäreneinstellungen bei z.b. Facebook Gilt auch bei Binding Corporate Rules (BCRs) Gilt auch bei Auftragsdatenverarbeitung Wichtige Fragen, die es zu klären gilt: Wer entscheidet über die Erforderlichkeit? Wie sieht es bei dem Abschluss eines Nutzungsvertrages als Rechtsgrundlage aus?

24 III Privacy by Default: Sieht Facebook bald so aus?

25 III Datenschutz-Folgenabschätzung Artikel 35 :Datenschutz-Folgenabschätzung (1) Verarbeitung, insbesondere bei Verwendung neuer Technologien voraussichtlich ein hohes Risiko für die Rechte und Freiheiten so führt der Verantwortliche vorab eine Abschätzung der Folgen durch. (2) Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragte ein. (3) Erforderlich insbesondere in folgenden Fällen: systematische und umfassende Bewertung persönlicher Aspekte einschließlich Profiling, die Rechtswirkung entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

26 III Datenschutz-Folgenabschätzung Artikel 35 :Datenschutz-Folgenabschätzung (5) Die Aufsichtsbehörde erstellt eine Liste, für die eine Datenschutz-Folgenabschätzung erforderlich ist und veröffentlicht diese. (6) Die Aufsichtsbehörde kann eine Liste veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

27 III Datenschutz-Folgenabschätzung Artikel 35 :Datenschutz-Folgenabschätzung Inhalt einer Folgeabschätzung: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge eine systematische Beschreibung des Zwecke der Verarbeitung, gegebenenfalls der berechtigten Interessen des Verantwortlichen; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; eine Bewertung der Risiken die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen Verfahren, durch die der Schutz sichergestellt der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird

28 III Datenschutz-Folgenabschätzung Artikel 35 :Datenschutz-Folgenabschätzung Die Einhaltung einer genehmigten Verhaltensregel (Code of Conduct) ist bei den Auswirkungen gebührend zu berücksichtigen Verantwortliche Stelle soll ggf. Standpunkte der Interessenvertreter der Betroffene einholen

29 III Datenschutz-Folgenabschätzung Datenschutz-Folgeabschätzung durchgeführt und nun? Artikel 36 : Vorherige Konsultation Ergebnis: hohes Risiko (sollten keine Maßnahmen getroffen werden) Die Aufsichtsbehörde konsultieren. Ergebnis Aufsichtsbehörde: Maßnahmen ausreichend -> Fertig Ergebnis Aufsichtsbehörde: Maßnahmen nicht ausreichend -> Aufsichtsbehörde teilt innerhalb einer Frist (8+6 Wochen) mit, wie es gehen soll Aufsichtsbehörde bekommt für die Prüfung: Zweck und Mittel der Verarbeitung Maßnahmen und Garantien Ggf. Kontaktdaten des Datenschutzbeauftragten Die Datenschutz-Folgeabschätzung Alle weiteren geforderten Informationen

30 III Datenschutz-Folgenabschätzung Frage: Wie sieht denn nun eine Datenschutz-Folgeabschätzung konkret aus? EU-DSGVO: Gibt hierzu keine Anhaltspunkte Einige bisherige ( halboffizielle ) Methoden und Dokumente: ISO/IEC Privacy Impact Assessment ANFORDERUNGEN AN PRIVACY IMPACT ASSESSMENTS AUS SICHT DER SBEHÖRDEN (2013). Privacy and Data Protection Impact Assessment Framework for RFID Applications (EU-Komission 2011). Interessant zum stöbern: Privacy Impact Assessment Guideline for RFID Applications (BSI 2011). White-Paper DATENSCHUTZ-FOLGEABSCHÄTZUNG (2016)

31 III Datenschutz-Folgenabschätzung Eine mögliche Methodik (Basierend auf dem bisherigen Dokument der Aufsichtsbehörden) Fokus auf Betroffenenrechte Fokus nicht (nur) auf Abwehr von kriminellen Bedrohungen (z.b. Hacker), sondern auch auf die Folgen einer Datenverarbeitung für das Persönlichkeitsrechte Methodik: Standard-Datenschutz-Modell Gewährleistungsziele: Datensparsamkeit Zweckbindung Intervenierbarkeit Transparenz Revisionsfähigkeit Vertraulichkeit Verfügbarkeit Integrität

32 III Datenschutz-Folgenabschätzung Eine mögliche Methodik (Basierend auf dem bisherigen Dokument der Aufsichtsbehörden) Methodik: Standard-Datenschutz-Modell Darstellung der Verarbeitung auf: Unternehmensprozesse Daten Systeme und Geräte Handelnde Personen und Beteiligte Betroffene Verantwortliche Stelle Dienstleister Dritte Risikoquellen( Angreifermodell ) Dritte Unbefugt handelnde Mitarbeiter Das Unternehmen an sich

33 III Datenschutz-Folgenabschätzung Eine mögliche Methodik Struktur einer Datenschutz-Folgeabschätzung Bericht: Methodik + Zweck der Untersuchung Prüfgegenstand Ergebnisse Beurteilung der Ergebnisse + Begründung Risikoermittlung Eine Risikoermittlung muss auch die rechtlichen Aspekte beinhalten Risikobewertung mit Fokus auf Betroffenenrechte Dienstleister Dritte Maßnahmen Maßnahmen anhand der Gewährleistungsziele des SDM ermitteln Restrisiken bewerten Mehr zum SDM unter

34 IV Stellung von Zertifikaten in der EU-DSGVO Anwendungsfall 1: Nachweis gegenüber der Aufsichtsbehörde II Aufsichtsbehörde Kontrolle nach 38 BDSG bzw. Artikel 57 DSGVO Zertifikat Schutzmaßnahmen gegen Hacking? TOMs bei ADV-Verträgen? Löschkonzepte? Wir sind sicher! Juni, 2016 Kein Problem. Wir sind zertifiziert.

35 IV Stellung von Zertifikaten in der EU-DSGVO Anwendungsfall 2: Nachweis gegenüber dem Kunden??? Wem II vertraue ich meine Daten an? Produkt A: Kein Problem. Wir sind zertifiziert. Zertifikat Wir sind sicher! Juni, 2016 Produkt B: Vertrau uns, denn Datenschutz ist uns wichtig

36 IV Stellung von Zertifikaten in der EU-DSGVO Anwendungsfall 3: Nachweis für Compliance II Geschäftsleitung Datenschutzbeauftragter IT-Sicherheitsbeauftragter Fachabteilungen IT-Abteilung Compliance- Abteilung Beratung und Koordination

37 IV Stellung von Zertifikaten in der EU-DSGVO Zertifikate dienen zur verschiedenen Nachweisen II Erfüllung der Pflichten Fokus auch auf KMU Zertifikat Transparenz gegenüber Betroffenem Sind genehmigt

38 IV Zertifizierung der datenschutzkonformen Verarbeitung Zwischenstand: Zertifizierung Ein genehmigtes Zertifikat eignet sich zum: Nachweis der eigenen datenschutzkonformen Datenverarbeitung Nachweis der Informationssicherheit Nachweis der Grundsätze Datenschutz durch Technik Nachweis der TOMs bei Nutzung von Cloud-Diensten Nachweis der Transparenz der eignen Produkte gegenüber dem Betroffenen

39 IV Zertifizierung der datenschutzkonformen Verarbeitung Wer legt die Rahmenbedingungen für Zertifizierungen fest? Artikel 42: Zertifizierungen (1) Sollen fördern: Mitgliedsstaaten Aufsichtsbehörden Europäischer Datenschutzausschuss Europäische Kommission

40 IV Vergabe von Zertifikaten Aufsichtsbehörde erteilt Akkreditierte Zertifizierungsstelle erteilt

41 IV Nach welchen Kriterien wird zertifiziert? Zuständige Aufsichtsbehörde Sehr kluge Person Unterrichtung (Art. 43 Abs.1) Billigt (Art. 58 Abs. 3) Billigt (Art. 63) Akkreditierte Zertifizierungsstelle Datenschutzausschuss

42 IV Nach welchen Kriterien wird konkret zertifiziert? Kriterien und Anforderungen durch Delegierte Rechtsakte der Kommission (EG 166) Aufsichtsbehörde? Zertifizierungskriterien billigen (Art. 57 Abs. 1) Kriterien für die Akkreditierung einer Stelle (Art. 57 Abs. 1) Zertifizierungsstellen ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen Konkrete Anforderungen an Kriterien sind nicht enthalten (Maximal Technikneutral)

43 IV Nach welchen Kriterien wird konkret zertifiziert? Herausforderung:? Welche technischen und organisatorischen Maßnahmen müssen bei der Zertifizierung eine sehr großen Cloud-Anwendung überprüft werden? Zuständige Aufsichtsbehörde

44 IV Nach welchen Kriterien wird konkret zertifiziert? Kriterien und Anforderungen durch Delegierte Rechtsakte der Kommission (EG 166) Aufsichtsbehörde? Zertifizierungskriterien billigen (Art. 57 Abs. 1) Kriterien für die Akkreditierung einer Stelle (Art. 57 Abs. 1) Zertifizierungsstellen ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen Konkrete Anforderungen an Kriterien sind nicht enthalten (Maximal Technikneutral)

45 IV Nach welchen Kriterien wird konkret zertifiziert? Herausforderung:? Welche technischen und organisatorischen Maßnahmen müssen bei der Zertifizierung eine sehr großen Cloud-Anwendung überprüft werden? Zuständige Aufsichtsbehörde

46 IV CODE of Conduct Code of Conduct Laut EU-DSGVO: Verhaltensregeln II Artikel 40: Verhaltensregeln (1) Diese sollen gefördert werden durch Mitgliedsstaaten Aufsichtsbehörden CODE of Conduct Europäischer Datenschutzausschuss Europäische Kommission

47 IV Code of Conduct Artikel 41: Überwachung der genehmigten Verhaltensregeln Überwachung der genehmigten Verhaltensregeln (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. (2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden [ ] Wie sieht das in der Praxis aus?

48 IV Code of Conduct: Welche Akteure sind beteiligt? II Akkreditierte Stelle Ausarbeiten CODE of Conduct Verbände Andere Vereinigungen Prüfen Genehmigen Zuständige Aufsichtsbehörde Verantwortliche Stellen Akkreditierung

49 IV CODE of Conduct Inhalt des Code of Conducts (Auszug) Artikel 40 Abs. 2: II a) faire und transparente Verarbeitung; b) berechtigten Interessen des Verantwortlichen c) Erhebung personenbezogener Daten; d) Pseudonymisierung e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; h) Maßnahmen zu Datenschutzkonforme Datenverarbeitung Datenschutz durch Technik Informationssicherheit i) Meldung von Datenpannen

50 IV CODE of Conduct Anwendungsbereich des Code of Conducts Ähnliches Werkzeug wie bei einer Zertifizierung. II Faktoren bei Artikel / EG Art.24: Datenschutzkonforme Datenverarbeitung Art. 28: Auftragsdatenverarbeitung Art. 32: Informationssicherheit Art. 35: Datenschutzfolgeabschätzung Art. 46 Drittlandtransfer Code of Conduct Zertifizieru ng

51 III Umgang mit Datenpannen: Stand heute Informationspflicht nach 42a BDSG bei Besonderen Arten personenbezogener Daten Personenbezogener Daten von Berufsgeheimnisträgern Personenbezogene Daten die sich auf Straftaten / Ordnungswidrigkeiten beziehen Bank- und Kreditkartendaten Heute Meldepflichtig: Bestands-/Nutzungsdaten ( 15a TMG) Eingrenzung auf sehr sensible Daten Feststellung, dass schwerwiegende Beeinträchtigungen Betroffene müssen unverzüglich drohen informiert werden zusätzlich: es drohen schwerwiegende Beeinträchtigungen

52 III Umgang mit Datenpannen: Stand EU-DSGVO Zukünftig Meldepflichtig: Jeder Befall mit Malware Jeder Verlust eines USB-Sticks (sofern unverschlüsselt) Jeder Verlust eines Smartphones (sofern kein Remote-Wipe) Jeder Hacking-Vorfall Jeder Diebstahl Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde meldet der Verantwortliche zuständigen Aufsichtsbehörde, es sei denn, voraussichtlich nicht zu einem Risiko führt. Der Verantwortliche dokumentiert einschließlich Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

53 IV Zum Schluss noch kurz: Technische Verstöße sind zukünftig bußgeldbewährt Bei Bei Verstößen Verstößen gegen werden die folgenden Geldbußen Bestimmungen von bis zu werden im Einklang mit Absatz 2a EUR oder im Fall eines Unternehmens von bis zu Geldbußen 2 % seines von gesamten bis zu weltweit erzielten Jahresumsatzes 10 verhängt EUR oder im Fall eines Unternehmens von bis zu 2 % die Pflichten der Verantwortlichen und der seines Auftragsverarbeiter gesamten weltweit gemäß erzielten den Artikeln Jahresumsatzes 8, 11, 25 des bis vorangegangenen 39, Geschäftsjahrs verhängthe 42 und 43 obligations of the controller and the processor pursuant to Articles 8, 10, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 39 and 39a;

54 IV Vielen Dank für Ihre Aufmerksamkeit