Warum die Datenschutzgrundverordnung je de n trifft und wie Sie sich darauf vorbereiten können.

Transkript

1 EU-DSGVO

2 Die EU-DSGVO kommt: Warum die Datenschutzgrundverordnung je de n trifft und wie Sie sich darauf vorbereiten können. Landeskongress Süd, München RA Olaf Dre ße n (igz-rechtsabteilung)

3 Datenschutzgrundverordnung Gesetz Sta n d Übergangszeit EU-Geltung (28 Staaten) Bundesdatenschutzgesetz (BDSG) Unm itte lbare Wirkung Inkrafttreten: Wirksamkeit: ! BDGS gilt we iter Endet

4 DS-GVO Ziele und Grundsätze Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Ab s. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Ab s. 3 DSGVO).

5 DS-GVO Ziele und Grundsätze Es gelten weiterhin die alten Grundsätze des Datenschutzrechts! - Marktortprinzip - Recht auf Vergessenwerden - Recht auf Datenübertragbarkeit - Bestellung Datenschutzbeauftragter - Datenschutzfolgeabschätzung - Zweckbindung

6 DS-GVO Art. 2 Abs. 1 DSGVO Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

7 DS-GVO Art. 3 DSGVO Der räumliche Anwendungsbereich der DSGVO e rgibt sich also grundsätzlich be i de r Verarbeitung personenbezogenen Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO).

8 DS-GVO Rechtsgrundlagen Personenbezogene Daten: Umfasst alle Informationen Ide ntifizie rte ode r ide ntifizie rbare natürliche Person Identifizierbar durch Kennung, Standort, Me rkm alkom bination

9 DS-GVO Personenbezogene Daten Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist we it gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch d ie IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Pe rson le diglich irge ndwie zuge ordne t und dam it e in Personenbezug hergestellt werden kann.

10 DS-GVO Personenbezogene Daten Erheben Verarbeiten Nutzen Beschaffung von Daten über natürliche Personen be im Betroffenen oder be i Dritten Alle Abläufe m it personenbezogenen Daten: - Einste llung - Fortbildung - Personaleinsatzplanung - Leistungsbewertung - Speichern - Verändern - Übe rmitteln - Sperren - Löschen der Daten ist jede Verwendung personenbezogener Daten außerhalb der Verarbeitung

11 DS-GVO Grundsatz (Erlaubnisvorbehalt) Datenverarbeitung ist verboten! Erlaubnistatbestände Ausnahme: Gesetzliche Erlaubnis - Einwilligung - Vertragserfüllung - Rechtliche Verpflichtung - Lebenswichtige Interessen - Neue Zwecke

12 DS-GVO Einwilligung Ausdrückliche Einwilligung bei Verarbeitung besonders se nsible r personenbezogener Daten. - rasiche, ethnische Herkunft - Politische Me inung - Re ligiöse, we ltanschauliche Übe rze ugung - Gewerkschaftszugehörigkeit - Genetische, biometrische Daten - Gesundheitsdaten Schriftform dringend empfohlen Nachwe isbarke it Verständlich (Sprache) Erklärung Arbeitsvertrag Notwe ndigke it - Sexuelle Orientierung

13 Datenschutzgrundverordnung Rechte des Betroffenen einer Datenverarbeitung Informationsrecht Auskunfts- und Widerspruchsrecht Recht auf Berichtigung, Löschung und Einschränkung Recht auf Datenübertragbarkeit

14 Datenschutzgrundverordnung Auftragsdatenverarbeitung Ausgelagerte Callcenter Marketingaktionen durch externe Agenturen Dienstleisterverträge zur Datenträgerentsorgung Externe Lohn- bzw. Gehaltsabrechnung Ausgelagerte Rechenzentren (Server, Clouds, )

15 Datenschutzgrundverordnung Informationsrecht I Nach Art. 13 DSGVO sofort bei Erhebung der Daten beim Betroffenen, z. B. bei Bestellung eines Newsletter Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters) Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zweck und Rechtgrundlage der Verarbeitung Berechtigte Interessen (bei Verarbeitung nach Ar t. 6 DSGVO) Empfänger bzw. Kategorien von Empfängern Übermittlung in Drittland oder an internationale Organisation Dauer der Speicherung Information über eine mögliche Zweckänderung der Datenverarbeitung

16 Datenschutzgrundverordnung Informationsrecht II Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit Bestehen eines Rechts auf Widerspruch der Einwilligung Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling Information über eine mögliche Zweckänderung der Datenverarbeitung

17 Datenschutzgrundverordnung Informationsrecht III Wann besteht keine Informationspflicht nach Art. 14 DSGVO? Wenn der Betroffene bereits über die Informationen verfügt Wenn die Mitteilung sich als unmöglich erweist bzw. unverhältnismäßigen Aufwand erfordert Wenn die Verarbeitung aufgrund einer EU- oder nationalen Rechtsgrundlage ausdrücklich geregelt ist Bei geheimhaltungspflichtigen Daten (z. B. bei Berufsgeheimnissen)

18 Datenschutzgrundverordnung Recht auf Berichtigung und Löschung Recht auf Berichtigung nach Art. 16 DSGVO? Es gibt den Betroffenen die Möglichkeit, die Vervollständigung seiner personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen. Wann müssen Daten nach Art. 17 DSGVO gelöscht werden (Recht auf Vergessenwerden)? Wenn die Speicherung der Daten nicht mehr notwendig ist (z. B. Kündigung des Arbeitsverhältnisses) Wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat Wenn die Daten unrechtmäßig verarbeitet wurden Wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

19 Datenschutzgrundverordnung Recht auf Berichtigung und Löschung Wann findet das Recht auf Vergessenwerden keine Anwendung? Wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen Wenn die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung die nt (Arbe itsve rhältnisse ) Wenn das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt Wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen e rforde rlich ist

20 Bußgelder Geldbußen von bis zu ,- Euro oder 4% Jahresumsatz Verstoß gegen die Meldepflicht. Verstoß gegen eine Anordnung der zuständigen Aufsichtsbehörde. Fehlende, verspätete oder nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten sofern eine Verpflichtung durch das BDSG besteht. Fehlende Protokollierung bei automatisierten Verfahren des Datenabrufs. Fehlende Widerrufsbelehrung bei einer werblichen Ansprache Verstoß gegen die Zweckbindung bei übermittelten Daten. Verstoß gegen die Dokumentationspflichten bei Datenübermittlung zu Geschäftszwecken. Ausbleibende, verspätete, unvollständige oder falsche Auskunft gegenüber einem Betroffenen. Erfassung personenbezogener Daten gegen den Willen des Betroffenen.

21 DS-GVO Beschäftigtendatenschutz / Handlungshinweise Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten, bzw. Daten in oder in Zusammenhang mit einem Beschäftigungsverhältnis Einwilligung durch Arbe itsve rtrag Erfüllung des Arbeitsvertrags ist Zweckbindung Es gelten die allgemeinen Grundsätze zur Datenverarbeitung / - schutz Achtung: sensible Daten Führungszeugnis, Gewe rkschaft Gesundheitsdaten Löschung / Dokumentation Löschung bei Zweckerreichung

22 Olaf Dreßen igz-rechtsreferat igz-bundesgeschäftsstelle Albersloher Weg Münster Phone: Fax: www: Vielen Dank für Ihre Aufmerksamkeit