Neuer europäischer Datenschutz: Was gilt es zu beachten? Bremen Oktober 2017

Größe: px
Ab Seite anzeigen:

Download "Neuer europäischer Datenschutz: Was gilt es zu beachten? Bremen Oktober 2017"

Transkript

1 Neuer europäischer Datenschutz: Was gilt es zu beachten? Bremen Oktober 2017

2 Datenschutz-Compliance nach der DSGVO KPMG Law Oktober 2017

3 Agenda I Einführung II Erweiterte Compliance-Pflichten der DSGVO III Weitere wesentliche Neuerungen der DSGVO 3

4 Einführung

5 Grundlagen des Europäischen Datenschutzes Recht jeder Person auf die Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz Art. 16 I Vertrag über die Arbeitsweise der Europäischen Union Art. 8 Europäische Menschenrechtskonvention Art. 8 I und II Grundrechtscharta Gewährleistungsziele der DSGVO: Verfügbarkeit Integrität Vertraulichkeit Transparenz Nichtverkettbarkeit Intervenierbarkeit Recht jeder Person auf den Schutz der sie betreffenden personenbezogenen Daten Recht jeder Person auf den Schutz der sie betreffenden Daten Verarbeitung nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der Betroffenen oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage 5

6 Einführung: Entwicklung des Datenschutzrechtes 24. Oktober 1995 Richtlinie 95/46/EG (EG-Datenschutzrichtlinie) 12. Juli 2002 Richtlinie 2002/58/EG 14. April 2016 Verabschiedung Datenschutzgrundverordnung (DSGVO) durch das Europäische Parlament 25. Mai 2018 Inkrafttreten der DSGVO unmittelbare Geltung in den Mitgliedstaaten ohne Übergangsfrist DSGVO gilt vorrangig zu nationalem Recht daneben gelten nationale Regelungen nur, soweit Bestimmungen der DSGVO nicht entgegenstehen 6

7 Einführung: Umsetzung der DSGVO in Deutschland Bei der DSGVO handelt es sich zwar um unmittelbar geltendes Recht in den Mitgliedstaaten. Aber: die DSGVO enthält eine Vielzahl sog. Öffnungsklauseln, von denen einige als Regelungsauftrag zwingend einer Umsetzung bedürfen und andere den Mitgliedstaaten optionale Handlungsspielräume eröffnen (letztere überwiegen). Je nach Zählweise bestehen bis zu 60 Öffnungsklauseln. Dies gilt auch für die Verarbeitung von Gesundheitsdaten, genetischen und biometrischen Daten. Gesetzentwurf der Bundesregierung vom des Datenschutz-Anpassungsund Umsetzungsgesetzes EU (DSAnpUG-EU) vollständige Ablösung des bisherigen BDSG durch ein neues BDSG teilweise Aufrechterhaltung bisheriger Regelungen. Empfehlungen der Ausschüsse des Bundesrates für eine Stellungnahme zum DSAnpUG-EU vom mit zahlreichen Prüfbitten und Änderungsvorschlägen. 7

8 Sanktionsrahmen Sanktionsmechanismen nach BDSG Sanktionsmechanismen nach DSGVO bis zu 300 TEUR bis zu 10 Mio. EUR oder 2% weltweiten Jahresumsatz Compliance allgemein bis zu 20 Mio. EUR oder 4% weltweiten Jahresumsatz Verstoß Betroffenenrechte Erweiterung der Verantwortlichkeit auf Auftragsverarbeiter. 8

9 Erweiterte Compliance- Pflichten

10 Verbotstatbestand mit Erlaubnisvorbehalt Datenverarbeitung unzulässig Grundsatz: Was nicht ausdrücklich erlaubt ist, ist verboten. Gesetzl. Privilegierung Datenverarbeitung zulässig Einwilligung Personenbezogene Daten? Anwendungsbereich DSGVO eröffnet? In der Praxis bedeutet dies: Im Zweifel weite Auslegung des Schutzbereichs und enge Auslegung von Erlaubnistatbeständen der DSGVO oder bereichsspezifischer Regelungen. 10

11 Datenvermeidung und Datenminimierung Beschränkung durch Zweckbestimmung Privacy by Design Privacy by Default Datenminimierung Beschränkung durch Ermessensabwägung Erweiterte Betroffenenrechte Recht auf Löschung Recht auf Vergessenwerden Speicherbegrenzung 11

12 Zweckbindung der Datenverarbeitung Personenbezogene Daten dürfen nur für (im Vorhinein) festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden. Künftig wird eine zweckändernde Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 4 DSGVO, außer sie beruht auf einer Einwilligung oder einer zum Schutz wichtiger öffentlicher Ziele dienenden Rechtsvorschrift, nur möglich sein, wenn sie mit dem ursprünglichen Zweck der Erhebung vereinbar ist. Die Vereinbarkeit mit dem ursprünglichen Zweck ist festzustellen anhand der Verbindung zwischen dem alten und dem beabsichtigten neuen Zweck, dem Zusammenhang der Erhebung der personenbezogenen Daten, der Art der personenbezogenen Daten, insbesondere mit Blick auf besondere Kategorien von Daten nach Art. 9 Abs. 1, 10 DSGVO, den möglichen Folgen der Weiterverarbeitung für die Betroffenen und den vorhandenen Garantien zur Gewährleistung des Datenschutzes einschließlich Verschlüsselung und Bereit Pseudonymisierung. Betroffene sind über die Zweckänderung vorab zu informieren. 12

13 Privacy by Design und Privacy by Default Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO): Pflicht zum Treffen geeigneter technischer und organisatorischer Maßnahmen, um Datenschutzgrundsätze wie die Datenminimierung umzusetzen und den Anforderungen der DSGVO zu genügen und die Rechte der Betroffenen zu schützen zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung und zum Zeitpunkt der eigentlichen Verarbeitung. Bereits bei Programmierung, Erstellung und Konzeption von Hardwarekomponenten, DV-Systemen oder Prozessen sind technische Vorkehrungen zur Einhaltung der DSGVO zu treffen. 13

14 Privacy by Design und Privacy by Default Datenschutz durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO): Pflicht, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass durch Voreinstellungen personenbezogene Daten nur verarbeitet werden, wenn dies für die Erreichung eines bestimmten Zwecks erforderlich ist Grundsätzlich soll der Nutzer selbst keine Einstellungen mehr vornehmen müssen, um unter den gegebenen Umständen einen optimalen Schutz seiner Daten zu erreichen. Sicherstellung, dass Daten nicht ohne Eingreifen einer Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Pflichten treffen in erster Linie den Verantwortlichen und nicht die Hersteller von IT- Produkten/ IT-Lösungen. Bereits bei Beschaffung sind entsprechende vertragliche Garantien erforderlich, wenn Hersteller mit in die Verantwortung genommen werden soll. 14

15 Rechenschaftspflicht (Accountability) Jeder Verantwortliche hat gemäß Art. 5 Abs. 2 DSGVO die Einhaltung der Grundsätze der Datenverarbeitung zu gewährleisten und muss deren Einhaltung (stets) nachweisen können. Verarbeitungsverzeichnisse IT-Sicherheitskonzepte Datenschutz- Folgeabschätzungen Datenschutzkonzepte Datenschutzrichtlinien Dokumentation datenschutzrechtlicher Verträge und Einwilligungen Schulungen Datenschutz-Managementsystem 15

16 Rechenschaftspflicht (Accountability) Gemäß Art. 30 DSGVO sind Unternehmen verpflichtet, Verzeichnisse der Verarbeitungstätigkeiten zu führen. Verfahrensverzeichnis Zur Ermittlung des weiteren Prüfbedarfs werden Unternehmen etwaige Risiken für Betroffenenrechte identifizieren müssen. Risikobewertung Bestehen hohe Risiken für die Rechte und Freiheiten der Betroffenen ist gemäß Art. 35 DSGVO ein umfassendes Risk-Assessment durchzuführen. Datenschutz- Folgenabschätzung Unter bestimmten Voraussetzungen ist gemäß Art. 36 DSGVO die zuständige Aufsichtsbehörde einzuschalten. Konsultationspflicht 16

17 Verzeichnis der Verarbeitungstätigkeiten Pflichtangaben: Namen und Kontaktdaten des Verantwortlichen und ggf. gemeinsam mit ihm Verantwortlichen, des Vertreters sowie des etwaigen Datenschutzbeauftragten; die Zwecke der Verarbeitung; Beschreibung der Kategorien betroffener Personen und personenbezogener Daten; die Kategorien von Empfängern, einschließlich Empfängern in Drittländern oder internationalen Organisationen; ggf. Übermittlungen an ein Drittland oder internationale Organisationen unter Angabe des Drittlands oder der internationalen Organisation und ggf. Garantien; die vorgesehenen Fristen für die Löschung von Datenkategorien; allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Konsultationspflicht 17

18 Verzeichnis der Verarbeitungstätigkeiten Kreis der Verpflichteten: keine Pflicht zur Führung des Verzeichnisses für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern, sofern die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien (Art. 9 Abs. 1 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten einschließt. Wird nur eine dieser Voraussetzungen nicht erfüllt, gilt die Ausnahme nicht mehr. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Verpflichtung besteht zukünftig auch für eine Vielzahl bisher befreiter Unternehmen. Konsultationspflicht 18

19 Risikobewertung Sicherheit der Verarbeitung gemäß Art. 32 DSGVO Pflicht, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko für die Betroffenen angemessenes Schutzniveau zu gewährleisten Schutzniveau muss ausgehend von den Risiken der Verarbeitung und der Art der zu schützenden Daten angemessen sein. Faktoren der Verhältnismäßigkeitsprüfung sind Stand der Technik und Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere des Risikos für Rechte und Freiheiten der Betroffenen. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Konsultationspflicht 19

20 Datenschutz-Folgenabschätzung Pflicht, bei Verarbeitungsformen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchzuführen, insbesondere bei einer systematischen und umfassenden Auswertung persönlicher Aspekte durch automatisierte Verarbeitung wie Profiling, wenn diese zu Entscheidungen mit rechtlichen oder vergleichbar beeinträchtigenden Folgen für die Betroffenen führt, Verarbeitung besonderer Kategorien von Daten (Art. 9 Abs. 1 DSGVO) in großem Umfang, systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche, von der Aufsichtsbehörde öffentlich benannten Verarbeitungsvorgängen. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Konsultationspflicht 20

21 Datenschutz-Folgenabschätzung Mindestinhalt der Datenschutz-Folgenabschätzung: Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke, ggf. einschließlich der verfolgten berechtigten Interessen, Bewertung Notwendigkeit und Verhältnismäßigkeit mit Blick auf den verfolgten Zweck, Bewertung der Risiken für die Betroffenen und zur Bewältigung der Risiken geplante Abwehrmaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der Daten und Nachweis der Einhaltung der DSGVO. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Ggf. Einholung Stellungnahme der Betroffenen. Konsultationspflicht 21

22 Konsultationspflicht Pflicht zur Konsultation der Aufsichtsbehörde vor der Verarbeitung, wenn Datenschutz-Folgenabschätzung ein hohes Risiko für die Betroffenen zur Folge hat und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Erforderlich ist, dass überhaupt keine Maßnahmen zur Risikoverringerung getroffen werden. Konsultationsersuchen muss die in Art. 36 Abs. 4 DSGVO genannten Angaben enthalten. Aufsichtsbehörde soll innerhalb von acht Wochen schriftliche Empfehlungen aussprechen; die Frist kann um sechs Wochen verlängert werden. Aufsichtsbehörde kann auch von sämtlichen Befugnissen, einschließlich der Untersagung der Verarbeitung Gebrauch machen. Verzeichnis der Verarbeitungstätigkeiten Risikobewertung Datenschutz- Folgenabschätzung Konsultationspflicht 22

23 Meldepflichten Meldepflichten bei Datenschutzverletzungen gemäß Art. 33 DSGVO: Pflicht, Datenschutzverletzungen der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden zu melden. Meldung muss jedenfalls die in Art. 33 Abs. 3 DSGVO aufgeführten Informationen enthalten. Soweit nicht anders möglich, können Pflichtinformationen auch schrittweise zur Verfügung gestellt werden (keine Verzögerung bei nicht vollständigen Informationen). Keine Meldepflicht, wenn Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Pflicht zur Dokumentation aller Datenschutzverletzungen, einschließlich der mit dem Ereignis zusammenhängenden Umstände und ergriffenen Abhilfemaßnahmen. Dokumentation auch der nicht meldepflichtigen Datenschutzverletzungen. 23

24 Meldepflichten Benachrichtigungspflichten bei Datenschutzverletzungen gemäß Art. 34 DSGVO: Pflicht, zur unverzüglichen Benachrichtigung der Betroffenen, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht. Benachrichtigung muss jedenfalls die in Art. 34 Abs. 2 DSGVO genannten Inhalte umfassen. Sie hat in klarer und einfacher Sprache zu erfolgen (ggf. auch kindgerecht). Benachrichtigung soll in Absprache mit der Aufsichtsbehörde und nach von ihr oder anderen Behörden wie Strafverfolgungsbehörden erteilten Weisungen erfolgen (Erwägungsgrund 86 Satz 3). Sie ist nicht erforderlich, wenn geeignete Sicherheitsvorkehrungen einen Zugriff Dritter ausschließen, nachträgliche Maßnahmen dafür sorgen, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht, ein unverhältnismäßiger Aufwand die öffentliche Bekanntmachung erlaubt. 24

25 Weitere wesentliche Neuerungen

26 Konzernprivileg Auch die DSGVO enthält kein ausdrückliches Konzernprivileg. Art. 6 Abs. 1 lit. f) DSGVO erlaubt die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen den Schutz der Daten überwiegen. Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung von Kunden- oder Beschäftigtendaten, zu übermitteln (Erwägungsgrund 48 Satz 1 DSGVO). Es muss sich um eine Unternehmensgruppe im Sinne des Art. 4 Nr. 19 DSGVO handeln: Gruppe bestehend aus einem herrschenden und von diesem abhängigen Unternehmen. Nicht privilegiert sind mithin sog. Gleichordnungskonzerne. 26

27 Auftrags(daten)verarbeitung Auftragsverarbeiter ist nicht Dritter (Art. 4 Nr. 10 DSGVO). Derzeit ist streitig, ob eine Übermittlung von Daten an den Auftragsverarbeiter erfolgt. Übermittlung wird bejaht Übermittlung wird abgelehnt Anforderungen der Art. 5, 6 DSGVO müssen erfüllt sein Berechtigte Interessen des Verantwortlichen können die Auftragsverarbeitung rechtfertigen (Art. 6 lit. f) DSGVO). Es bedarf keiner zusätzlichen Anforderungen, wenn die strengen Vorgaben des Art. 28 DSGVO eingehalten werden. Verarbeitung besonderer Daten kann aber nur gemäß Art. 9 Abs. 2 DSGVO erfolgen. 27

28 Auftrags(daten)verarbeitung Verantwortlichkeit des Auftraggebers Es darf nur mit Auftragsverarbeitern zusammengearbeitet werden, die hinreichende Garantien dafür bieten, dass sie mittels geeigneter technischer und organisatorischer Maßnahmen einen ausreichenden Datenschutz gewährleisten können. Auswahlkriterien sind insb. Fachwissen, Zuverlässigkeit und Ressourcen des Auftragsverarbeiters. Garantien können auch durch gemäß Art. 40 DSGVO genehmigte Verhaltensregeln oder durch Zertifizierungen gemäß Art. 42 DSGVO belegt werden. Die Auswahlentscheidung ist zu dokumentieren. 28

29 Auftrags(daten)verarbeitung Vertrag über die Auftragsverarbeitung Über die Auftragsverarbeitung muss schriftlich ein Vertrag geschlossen werden, was auch in elektronischer Form möglich ist. Der Vertrag muss jedenfalls Regelungen zu den in Art. 28 Abs. 3 DSGVO aufgeführten Mindestinhalten treffen, die über die des 11 Abs. 2 BDSG noch hinausgehen (bspw. zur Einschaltung von Unterauftragnehmern). Die Kommission und die Aufsichtsbehörden können Standardvertragsklauseln für die Auftragsverarbeitung festlegen. Bestandsverträge sollten daraufhin überprüft werden, ob sie den Anforderungen der DSGVO genügen. 29

30 Auftrags(daten)verarbeitung Einschaltung von Unterauftragnehmern Verbot der Einschaltung von Unterauftragnehmern ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen. Im Fall einer allgemeinen Genehmigung besteht Pflicht des Auftragsverarbeiters, Verantwortlichen über jede beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragnehmern zu informieren. Pflicht, dem Unterauftragnehmer durch Vertrag dieselben Pflichten aufzuerlegen, die für den Auftragsdatenverarbeiter gegenüber dem Verantwortlichen vertraglich festgelegt wurden (insb. bezüglich der technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes nach der DSGVO). Haftung des Auftragsverarbeiters für Pflichtverletzungen des Unterauftragnehmers. 30

31 Auftrags(daten)verarbeitung Verantwortlichkeit des Auftragsverarbeiters Er muss ggf. gemäß Art. 27 DSGVO einen Vertreter bestellen. Er ist gemäß Art. 30 Abs. 2 DSGVO zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten verpflichtet. Er muss gemäß Art. 31 DSGVO mit den Aufsichtsbehörden zusammenarbeiten. Er ist zu technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes gemäß Art. 32 DSGVO verpflichtet. Ihn trifft gemäß Art. 37 DSGVO die Pflicht zur Bestellung eines Datenschutzbeauftragten. Bestimmt er unter Verstoß gegen DSGVO die Zwecke und Mittel der Verarbeitung, ist er in Bezug auf diese Verarbeitung selbst (weiterer) Verantwortlicher (Art. 28 Abs. 10 DSGVO). Er muss künftig unverzüglich eine ihm bekanntgewordene Verletzung des Datenschutzes dem Verantwortlichen melden. 31

32 Datenportabilität Betroffene haben das Recht, sie betreffende Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Betroffene haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Der Betroffene kann erwirken, dass seine Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden, soweit dies technisch möglich ist. Voraussetzung für dieses Recht ist, dass die Verarbeitung auf einer Einwilligung (auch gemäß Art. 9 Abs. 2 lit. a) DSGVO) oder einem Vertrag (vgl. Behandlungsvertrag) beruht und mithilfe eines automatisierten Verfahrens erfolgt. Das Recht auf Datenübertragbarkeit darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art. 20 Abs. 4 DSGVO). Folglich besteht kein Recht, wenn beispielsweise eine Übertragung nur zusammen mit den personenbezogenen Daten Dritter möglich wäre und/oder durch die Übertragung Betriebs- oder Geschäftsgeheimnisse offengelegt oder Urheberrechte verletzt würden. 32

33 Einwilligung Allgemeine Voraussetzungen Gemäß Art. 4 Nr. 11 DSGVO muss die Einwilligung des Betroffenen freiwillig und für den bestimmten Fall, in informierter Weise und unmissverständlich, in Gestalt einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt werden. Es muss eine unmissverständliche Erklärung oder sonstige eindeutige bestätigende Handlung vorliegen. Dies ist nicht erfüllt bei: Stillschweigen, bereits angekreuzten Kästchen oder Untätigkeit der betroffenen Person (vgl. Erwägungsgrund 32 DSGVO). Opt-out-Lösungen begegnen künftig auch datenschutzrechtlichen Bedenken (streitig). Jedenfalls bis zu einer anderslautenden Rechtsprechung sollten in der Praxis nur Opt-in-Lösungen gewählt werden. 33

34 Einwilligung Weitere Anforderungen an eine wirksame Einwilligung Der Verantwortliche muss das Vorliegen einer wirksamen Einwilligung nachweisen können (mündliche Einwilligungen kaum praktikabel). Wird die Einwilligung schriftlich zusammen mit der Abgabe anderer Erklärungen erteilt, muss die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass sie von anderen Erklärungen klar unterschieden werden kann. Wie bisher sollte die Einwilligung drucktechnisch hervorgehoben werden. Die Erklärung sollte den Begriff Einwilligung in der Überschrift und im Text verwenden. Bei der Ausgestaltung der Erklärung ist auch sonst auf eine klare und einfache Sprache zu achten (Verwendung von Alltagssprache). 34

35 Einwilligung Weitere Anforderungen an eine wirksame Einwilligung Die Einwilligung muss jederzeit widerrufbar sein. Hierüber ist der Betroffene vor Abgabe der Erklärung zu informieren. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein. Eine bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig, worüber ebenfalls vor Abgabe der Erklärung zu informieren ist (nur bestehende Einwilligungen, die diese Information schon enthalten, können weiter genutzt werden). Die Einwilligung unterliegt einem Koppelungsverbot. Sie gilt im Zweifel als nicht freiwillig erteilt, wenn die Erfüllung eines Vertrages von einer Einwilligung in Verarbeitungsvorgänge abhängig gemacht wird, die zur Vertragserfüllung nicht erforderlich sind. Freiwilligkeit ist nur gegeben, wenn der Betroffene eine echte oder freie Wahl hat und deshalb in der Lage ist, sie zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden; auf zumutbare Ausweichmöglichkeiten kommt es nicht an. 35

36 Einwilligung Besonderheiten für elektronisch abgegebene Erklärungen Gemäß Erwägungsgrund 32 Satz 2 DSGVO kann die Einwilligung auch durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft erklärt werden. Damit dürften auch Browsereinstellungen genügen, die von dem Betroffenen gewählt werden können (beachte auch hier: Opt-in). Die Aufforderung zur Abgabe einer Einwilligung muss gemäß Erwägungsgrund 32 Satz 6 DSGVO in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung abgegeben wird, erfolgen. Unklar bleibt, wann eine unnötige Unterbrechung des betreffenden Dienstes vorliegt. Vermieden werden soll wohl eine sehr umständliche Menüführung. 36

37 Einwilligung Wirksamkeitshindernisse Keine wirksame Einwilligung bei klarem Ungleichgewicht zwischen Betroffenem und Verantwortlichen. In den Fällen, in denen zwischen dem Betroffenen und dem Verantwortlichen ein klares Ungleichgewicht besteht (insbesondere bei Behörden) und es deshalb in Anbetracht aller Umstände im speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde, soll diese keine Rechtsgrundlage sein (Erwägungsgrund 41 Satz 1 DSGVO). Umstritten ist, ob im Verhältnis zwischen Verbraucher und Unternehmen im Massengeschäft stets ein solches Ungleichgewicht anzunehmen ist. Das Erfordernis eines klaren Ungleichgewichts und das Abstellen auf die Umstände im speziellen Fall sprechen jedenfalls dann, wenn der Verbraucher seinen Bedarf anders befriedigen kann, gegen ein Ungleichgewicht (aber Koppelungsverbot). 37

38 Ihre Ansprechpartner Dr. Konstantin von Busekist Partner Leiter Compliance Governance & Organisation T kvonbusekist@kpmg-law.com Maik Ringel Manager T mringel@kpmg-law.com Jan-Dierk Schaal, LL.M. Senior Manager T jschaal@kpmg-law.com Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

39 Effiziente Umsetzung der DSGVO KPMG AG 39

40 Fit für die EU-Datenschutz-Grundverordnung? Verfügt Ihr Unternehmen über ein ganzheitliches Datenschutzkonzept im Sinne eines Mangement-Systems? Konkret wie weist das Management die Einhaltung der DSGVO nach? Ist zweifelsfrei geklärt, wann eine Datenschutz-Folgenabschätzung inklusive einer Konsultation der Aufsichtsbehörde durchzuführen ist? Sind Zuständigkeiten und Prozesse implementiert, die sicherstellen, dass Informations- und Transparenzpflichten erfüllt und Fristen eingehalten werden? Genügen die bisher genutzten Prozesse zur Einholung einer Einwilligung des Betroffenen den gestiegenen Anforderungen der DSGVO? Hat Ihr Unternehmen auf Basis der Öffnungsklauseln (bspw. im Beschäftigtendatenschutz) erlassene nationale Vorschriften im Blick? Berücksichtigt Ihr Unternehmen die Grundsätze Privacy by Design und Privacy by Default durch die Implementierung entsprechender technischer und organisatorischer Maßnahmen? Verfügt Ihr Unternehmen über ein geeignetes Löschkonzept personenbezogener Daten, insbesondere auch über Prozesse zur Information Dritter, denen die Daten offengelegt wurden, über das Löschbegehren? Entsprechen Verträge mit Auftragsverarbeitern den Vorgaben der DSGVO? Wie handhabt Ihr Unternehmen internationale Datentransfers, insbesondere welche Maßnahmen werden genutzt und entsprechen diese der DSGVO? Ist Ihr Unternehmen im Falle eines Datenschutzverstoßes umfassend reaktionsfähig und kann die 72-Stunden-Meldepflicht einhalten? 40

41 Effiziente Umsetzung der DSGVO KPMG-Datenschutz-Management Framework und DSGVO Mapping der DSGVO-Anforderungen zum KPMG-Framework DSGVO Artikel 27 Verantwortlichkeiten von Vertretern nicht in d. EU 37 Benennung eines Datenschutzbeauftragten 38 Stellung des Datenschutzbeauftragten 39 Aufgabendes Datenschutzbeauftragten DSGVO Artikel 30 Verzeichnis von Verarbeitungstätigkeiten DSGVO Artikel 32 Sicherheit der Verarbeitung 35 Datenschutz-Folgenabschätzung 36 Vorherige Konsultation DSGVO Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde Governance & Operating Model Inventory/ Data Mapping Risk & Controls Regulatory Management 24 All Verantwortung des für die Verarbeitung Verantwortlichen Processes, Procedures & Technology Security for Privacy DSGVO Artikel 11 Verarbeitung, für die eine Identifizierung nicht erforderlich ist Auskunftsrechts, Berichtigung, Löschung, Einschränkung der Verarbeitung 19 Mitteilungspflicht für Berichtigung, Löschung, Einschränkung der Verarbeitung 21 Recht auf Datenübertragbarkeit 22 Automatisierte Entscheidungen im Einzelfall einschließlich Prüfung 25 Datenschutz durch Technikgestaltung 35 Datenschutz-Folgenabschätzung 36 Vorherige Konsultation 44 Allgemeine Grundsätze der Datenübermittlung 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses DSGVO 46 Datenübermittlung Artikel vorbehaltlich geeigneter Garantien Datenschutz Ausnahmen für durch bestimmte Technikgestaltung Fälle 32 Sicherheit der Verarbeitung DSGVO Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten (pd) 6 Rechtmäßigkeit der Verarbeitung 7 Bedingungen für die Einwilligung 8 Bedingungen für die Einwilligung eines Kindes 9 Verarbeitung besonderer Kategorien von pd 10 Informationen über strafrechtliche Verurteilungen und Straftaten 12 Transparente Information, Kommunikation und Modalitäten 13/4 Informationspflichten an den Betroffenen 20 Recht auf Datenübertragbarkeit 21 Widerspruchsrecht 22 Automatisierte Entscheidungen im Einzelfall einschließlich Prüfung DSGVO Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen Information Lifecycle Management Policies Hinweis: Nachfolgend sind die Artikel der DSGVO aufgelistet, die nicht im Rahmen des KPMG Datenschutzmanagement-Frameworks behandelt werden, da sie sich u.a. auf die Zuständigkeiten der Aufsichtsbehörde beziehen. Diese Artikel beziehen sich im Wesentlichen nicht auf Prozesse, die von einer Organisation erwartet werden: 1. Gegenstand und Ziele 2. Sachlicher Anwendungsbereich 3. Räumlicher Anwendungsbereich 4. Begriffsbestimmungen Aufsichtsbehörden 47. Verbindliche interne Datenschutzvorschriften 48. Nach dem Unionsrecht nicht zulässige Übermittlung Aufsichtsbehörden, Datenschutzausschuss und andere Gremien Third Party Oversight Training & Awareness Monitoring Incident Management DSGVO Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche 28 Auftragsverarbeiter 29 Verarbeitung unter der Aufsicht des Verantwortlichen DSGVO Artikel 39 Aufgaben des Datenschutzbeauftragten DSGVO Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen DSGVO Artikel 33 Meldung von Verletzungen des Schutzes an die Aufsichtsbehörde 34 Benachrichtigung d. von einer Verletzung d. Schutzes betroffenen Personen 41

42 Die einzelnen Projektschritte der Betroffenheitsanalyse Im Detail: Betroffenheitsanalyse Implementierung Betroffenheitsanalyse Detailkonzeption 1. Schritt 2. Schritt 3. Schritt 4. Schritt Dokumentenreview, z.b. Workshops Auswertung der Workshops Berichterstattung Verzeichnis der Verarbeitungen Datenschutzrichtlinien Muster für ADV Verträge Muster für Einwilligungserklärungen Muster für Kundeninformationen WS 1: Datenschutz, Compliance, Recht, Revision, HR WS 2: IT WS 3: Vertreter der Segmente operatives Geschäft Darstellung der Handlungsfelder in Ampellogik Priorisierung der Handlungsfelder Berichterstattung zu den identifizierten Handlungsfeldern Empfehlungen für die Konzeptionsphase Ergebnispräsentation 42

43 Durchführung der Betroffenheitsanalyse Betroffenheitsanalyse Vorgehensweise zur Betroffenheitsanalyse Einsichtnahme in datenschutzrelevante Dokumente und Durchführung von Workshops Kursorische Einsichtnahme in datenschutzrelevante Dokumente zur Durchführung der Workshops: Verzeichnis der Verarbeitungen Datenschutzrichtlinien Verträge zur Auftragsdatenverarbeitung Muster für Arbeitsverträge Muster für Einwilligungserklärungen Konzernbetriebsvereinbarungen Muster für Kundeninformationen Durchführung von Workshops mit Vertretern der Funktionen: Datenschutz, Compliance, Recht, Revision, HR und IT Durchführung von Workshops mit den Vertreten der Segmente operatives Geschäft Die Workshops dienen der Identifizierung der relevanten datenschutzrechtlichen Handlungsfelder und Verfahren/Anwendungen sowie der im Rahmen des Dokumentenreviews gewonnenen Verständnisses der derzeitigen Datenschutzorganisation im Unternehmen 43

44 Durchführung der Betroffenheitsanalyse Arbeitsergebnisse Erstellung eines Anforderungskataloges Konzeption eines normativen Anforderungskataloges, der die relevanten Änderungen der DSGVO enthält (Excel) Workshops insbesondere die folgenden Bereiche: - Datenschutz-Governance/Accountability - Verarbeitungsverzeichnis - Datenschutz-Folgenabschätzung - Einwilligungserklärungen (einschließlich Minderjähriger) - Betroffenenrechte - Löschpflichten und Aufbewahrungsrechte - Scoring und Profiling - Auftragsverarbeitung - Drittstaatenübermittlung - Datenübermittlung an Auskunfteien - Notifikation von Datenschutzverstößen Arbeitsergebnis zur Betroffenheitsanalyse Auswertung der Workshops und Berichterstattung Darstellung der Handlungsfelder in Ampellogik (Excel) Identifikation und Priorisierung der relevanten Handlungsfelder zur Umsetzung der DSGVO Berichterstattung zu den identifizierten Handlungsfeldern (PowerPoint) Empfehlungen für die Konzeptionsphase Ergebnispräsentation der identifizierten Handlungsfelder und Empfehlungen zum Vorgehen im Rahmen der Konzeptionsphase (PowerPoint) 44

45 Die einzelnen Projektschritte der Detail-konzeption Im Detail: Detailkonzeption Arbeitsplan zum Detailkonzeption Ausarbeitung einer Detailkonzeption Überleitung der identifizierten und priorisierten relevanten Handlungsfelder in eine Masterplan Darstellung der Aufgaben (Task), Verantwortlichkeiten und Planungsprämissen Arbeitspakete und Zielbilder zur Darstellung der Kerndatenschutzprozesse Arbeitsergebnis zur Betroffenheitsanalyse KPMG DSGVO Tool Handlungsfeld Einwilligung Arbeitspakete & zugehörige Tasks Planungsprämissen Aufwände Umsetzung AP Verantwortlichkeiten - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verantwortlichkeiten Task 1 Verankerung der Durchführungsverantwortung für die - Abstimmung zwischen dem zentralen Datenschutzteam und den Handlungsfeld Erfassung aller (bereits) Verarbeitungsverzeichnis verwendeten Einwilligungen Datenschutzkoordinatoren in den Fachbereichen - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten Arbeitspakete & zugehörige Tasks Planungsprämissen - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verankerung AP Verantwortlichkeiten der Durchführungsvereinbarung für die rechtliche Task 2 Verantwortlichkeiten Prüfung (bereits) verwendeter Einwilligungen auf ihre Verankerung der Durchführungsverantwortung für die Erfassung - Abstimmung von - Erstellung zwischen einer dem Aufgabenbeschreibung zentralen Datenschutzteam für das zentrale und Dokument Recht zu den Verantwortlichkeiten Vereinbarkeit mit den Anforderungen Verarbeitungen im der Verarbeitungsverzeichnis DSGVO der MANDANT als - Abstimmung zwischen dem zentralen Datenschutzteam und den Datenschutzkoordinatoren in Task 1 - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten Verantwortlicher und im Verarbeitungsverzeichnis der MANDANT als den Fachbereichen Auftragsverarbeiter - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verantwortlichkeiten Verankerung der Verantwortung für die Überprüfung Verantwortlichkeiten der Verankerung der Durchführungsverantwortung für die - Abstimmung zwischen dem zentralen Datenschutzteam und den Datenschutzkoordinatoren in Task 3 Task 2 Vollständigkeit des Verarbeitungsverzeichnisses durch - Abstimmung die zwischen dem zentralen Datenschutzteam und den Identifizierung aller Betroffenen, deren Einwilligung nicht den den Fachbereichen Fachbereiche Datenschutzkoordinatoren - Abstimmung der in Aufgabenbeschreibung den Fachbereichenmit dem Datenschutzbeauftragten Anforderungen der DSGVO entspricht - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten AP Fachliche Vorgaben - Bestimmung des Zuschnitts von Verarbeitungen - Definition der Pflichtangeben pro Verarbeitung sowie darüber hinausgehender sinnvoller - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Angaben (z. B. Rechtsgrundlage) Erstellung eines Fachkonzepts zu den Verarbeitungen Verantwortlichkeiten und den Verankerung Task 1 der Durchführungsverantwortung für die - Definition eines Vorgehens zur vollständigen Erfassung der Verarbeitungen Pflichtangaben - Abstimmung - Abstimmung zwischen des dem Vorgehens zentralen zur Datenschutzteam Erfassung der Verarbeitungen und den zwischen dem zentralen Task 4 Anpassung (bereits) verwendeter Einwilligungen nach einem Datenschutzkoordinatoren Datenschutzteam in und den Fachbereichen Datenschutzkoordinatoren zu schaffenden Muster für Einwilligungen - Abstimmung des Fachkonzepts mit dem Datenschutzbeauftragten - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten - Aufforderung an die Datenschutzkoordinatoren in den Fachbereichen zur Meldung aller datenschutzrelevanten Systeme und Anwendungen Erstellung einer vollständigen Übersicht zu allen Task 2 - Erstellung einer - Identifizierung Aufgabenbeschreibung der relevanten Systeme für das und zentrale Anwendungen Dokument durch die zu Fachbereiche datenschutzrelevanten Systemen und Anwendungen den Verantwortlichkeiten - Meldung der relevanten Systeme und Anwendungen durch die Fachbereiche Verankerung der Durchführungsverantwortung für die - Konsolidierung der Meldungen in einem zentralen Dokument - Abstimmung zwischen dem zentralen Datenschutzteam und den Task 5 Einholung DSVGO-konformer Einwilligungen bei Betroffenen, AP Prozesse Datenschutzkoordinatoren in den Fachbereichen deren Einwilligung nicht den Anforderungen der DSGVO entspricht - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten - Erstellung einer Prozessbeschreibung unter Berücksichtigung der verankerten Prozessuale Verankerung der Erfassung von Verarbeitungen im Verantwortlichkeiten Task 1 Verarbeitungsverzeichnis der MANDANT als Verantwortlicher und im - Abstimmung der Prozessbeschreibung zwischen dem zentralen Datenschutzteam, tbd - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verarbeitungsverzeichnis der MANDANT als Auftragsverarbeiter (Prozessaufnahme) sowie den Datenschutzkoordinatoren Verantwortlichkeiten - Abstimmung der Prozessbeschreibung mit dem Datenschutzbeauftragten Verankerung der Durchführungsverantwortung für die - Abstimmung zwischen dem zentralen Datenschutzteam, dem Bereich Recht und Task 6 Erstellung von neuen Einwilligungen nach einer zu erstellenden - Erstellung einer Prozessbeschreibung unter Berücksichtigung der verankerten den Datenschutzkoordinatoren Verantwortlichkeiten in den Fachbereichen Mustervorlage Prozessuale Verankerung der Überprüfung der Vollständigkeit Task 2 - Abstimmung - Abstimmung der Aufgabenbeschreibung der Prozessbeschreibung mit dem zwischen Datenschutzbeauftragten dem zentralen Datenschutzteam, tbd des Verarbeitungsverzeichnisses (Prozessaufnahme) und den Fachbereichen - Abstimmung der Prozessbeschreibung mit dem Datenschutzbeauftragten AP - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verankerung Dokumentation der Durchführungsverantwortung für die Verantwortlichkeiten Sicherstellung, dass für die Verarbeitung personenbezogener - Abstimmung zwischen dem zentralen Datenschutzteam und den Task 7 - Einholung von Angeboten für ein Tool bzw. eine technische Lösung für das Daten eine erforderliche Einwilligung erstellt und verwendet Datenschutzkoordinatoren Verarbeitungsverzeichnis in den Fachbereichen wird Auswahl eines Tools bzw. einer technischen Lösung für - Abstimmung ein - Interne der Aufgabenbeschreibung Abstimmung bzgl. des Tools mit bzw. dem der Datenschutzbeauftragten technischen Lösung für das Task 1 Verarbeitungsverzeichnis Verarbeitungsverzeichnis - Abstimmung zwischen dem zentralen Datenschutzteam, den Datenschutzkoordinatoren, dem - Erstellung einer Datenschutzbeauftragten, Aufgabenbeschreibung dem Bereich für das Procurement zentrale sowie Dokument weiterer zu Stakeholder den Verantwortlichkeiten Verankerung der Durchführungsverantwortung für die rechtliche - Einholung von Angeboten für ein Erfassungstool bzw. eine technische Lösung für die Erfassung - Abstimmung zwischen dem zentralen Datenschutzteam, dem Bereich Recht und Task 8 Überprüfung von neuen Einwilligungen bei Abweichungen von aller Verarbeitungen Auswahl eines Erfassungstools bzw. einer technischen Lösung zur Task 2 den Datenschutzkoordinatoren - Interne Abstimmung bzgl. in den des Fachbereichen Tools bzw. der technischen Lösung für das Erfassungstool der Mustervorlage initialen Erfassung aller Verarbeitungen - Abstimmung - Abstimmung der Aufgabenbeschreibung zwischen dem zentralen mit Datenschutzteam, dem Datenschutzbeauftragten den Datenschutzkoordinatoren, dem Datenschutzbeauftragten, dem Bereich Procurement sowie weitrer Stakeholder AP Initiale Erstellung Verarbeitungsverzeichnis Schulung der relevanten Mitarbeiter der Fachbereiche - Erstellung von Schulungsunterlagen für den Umgang mit dem Erfassungstool ("train the trainer") Task 1 hinsichtlich des Umgangs mit dem Erfassungstool (via Web-Ex) - Durchführung der Schulungen bzgl. des Erfassungstools ("train the trainer") Task 2 - Vollständige Ermittlung sämtlicher Verarbeitungen innerhalb eines Fachbereichs - Zusammentragen der erforderlichen Angaben und Konsolidierung dieser Angaben in den Eingabemasken des Erfassungstools - Übermittlung der ausgefüllten Eingabemasken an das zentrale Datenschutzteam Aufnahme aller Verarbeitungen durch die Fachbereiche mittels des ausgewählten Erfassungstools - Annahme: 250 Verarbeitungen - pro Verarbeitung im Durchschnitt 5 Stunden für die Identifikation von Verarbeitungen und Beantwortung von Pflichtangaben -> 250*5 Stunden =1250 Std.= 156 PT 45

46 Die einzelnen Projektschritte der Implementierung Im Detail: Implementierung Arbeitsplan zum Implementierung Master-Projektplan zur Vorbereitung der Implementierungsphase Verabschiedung der Konzeption eines Master-Projektplans (Excel) Arbeitspakete und Zielbilder zur Implementierung relevanter DSGVO Vorgaben Durchführung eines Workshops zur Planung des weiteren Projektverlaufs und Monitorings Abschlusspräsentation in Form einer zusammenfassenden Management-Präsentation (PowerPoint) Master- Projektplan zur Vorbereitung der Implementierungsphase KPMG erstellt auf Basis der entwickelten Arbeitspakete und Zielbilder einen Master-Projektplan zur Implementierung der relevanten DSGVO- Vorgaben. Der Master-Projektplan stellt die umzusetzenden Konzepte dar. Daneben erarbeitet KPMG in Zusammenarbeit mit der Vertretern des Unternehmens im Rahmen eines Sparring-Ansatzes die zur Umsetzung der identifizierten Maßnahmen erforderliche Anzahl an Ressourcen sowie das erforderliche Budget. Es wird ein Workshop mit zu benennenden Teilnehmern durchgeführt, in dem gemeinsam der weitere Projektverlauf geplant wird. Handlungsfeld Verarbeitungsverzeichnis Arbeitsergebnis Konzeption eines Master- Projektplans (Excel) Durchführung eines Workshops zur Planung des weiteren Projektverlaufs Abschlusspräsentation in Form einer zusammenfassenden Management-Präsentation (PowerPoint) Arbeitspakete & zugehörige Tasks AP Verantwortlichkeiten Planungsprämissen Task 1 Verankerung der Durchführungsverantwortung für die Erfassung von Verarbeitungen im Verarbeitungsverzeichnis der MANDANT als Verantwortlicher und im Verarbeitungsverzeichnis der MANDANT als Auftragsverarbeiter - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verantwortlichkeiten - Abstimmung zwischen dem zentralen Datenschutzteam und den Datenschutzkoordinatoren in den Fachbereichen - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten Task 2 Verankerung der Verantwortung für die Überprüfung der Vollständigkeit des Verarbeitungsverzeichnisses durch die Fachbereiche - Erstellung einer Aufgabenbeschreibung für das zentrale Dokument zu den Verantwortlichkeiten - Abstimmung zwischen dem zentralen Datenschutzteam und den Datenschutzkoordinatoren in den Fachbereichen - Abstimmung der Aufgabenbeschreibung mit dem Datenschutzbeauftragten 46

47 Ihre Ansprechpartner Barbara Scheben Rechtsanwältin Partner, Forensic T M bscheben@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft THE SQUAIRE Am Flughafen Frankfurt Niels Litzka Rechtsanwalt Senior Manager, Forensic T M NLitzka@kpmg.com Ulf Lipske Wirtschaftsprüfer, Steuerberater Director, Governance & Assurance T M ulipske@kpmg.com Oliver Schnell CIA, CRMA Senior Manager, Governance & Assurance T M oschnell@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft THE SQUAIRE Am Flughafen Frankfurt KPMG AG Wirtschaftsprüfungsgesellschaft Am Weser-Terminal Bremen KPMG AG Wirtschaftsprüfungsgesellschaft Ludwig-Erhard-Straße Hamburg Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

BvD. Management-Summary. Überblick in 10 Schritten

BvD. Management-Summary. Überblick in 10 Schritten www.bvdnet.de BvD Management-Summary Überblick in 10 Schritten Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v. Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener

Mehr

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG DR. MARKUS FRANK LL.M. RECHTSANWALT A-1070 Wien, Neustiftgasse 3/5, Tel +43/1/523 44 02, Fax -10, office@frank-law.at Verordnung (EU) 2016/679 des Europäischen Parlaments

Mehr

Die neue Grundverordnung des europäischen Datenschutzes

Die neue Grundverordnung des europäischen Datenschutzes Die neue Grundverordnung des europäischen Datenschutzes Was kommt auf die Unternehmen und deren IT-Verantwortliche zu? NIK - Nürnberg, 08. November 2016 Ulrich Neef in Zusammenarbeit mit ODN - INTERNET

Mehr

Quo vadis, Datenschutz?

Quo vadis, Datenschutz? Quo vadis, Datenschutz? EU-Datenschutz-Grundverordnung Tim Hoffmann Roadshow Cybercrime 23. November 2016 IHK zu Bochum Unternehmensgruppe Quo vadis, Datenschutz? // Dipl.-Kfm. Tim Hoffmann 2 Dienstleistungen

Mehr

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? - EU Datenschutz-Grundverordnung (DSGVO) - Welche Auswirkungen hat die neue Verordnung für den Mittelstand? - PALLAS SECURITY-BREAKFAST Köln, den 15. November 2016 Harald Eul HEC GmbH 50321 Brühl Tel 02232

Mehr

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? DuD 06 8. Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? Berlin, 4.06.06 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor

Mehr

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016 Vorstellung Alexander Jung Diplom-Jurist (Univ.) Senior Consultant Datenschutz

Mehr

EU-DatenschutzGrundverordnung. in der Praxis

EU-DatenschutzGrundverordnung. in der Praxis EU-DatenschutzGrundverordnung in der Praxis 2016 Hogan Lovells Einleitung Diese Einführung in die EU-Datenschutz- Grundverordnung (DSGVO) beschreibt die wichtigsten Auswirkungen des EU-weiten neuen Datenschutzrechts.

Mehr

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern? EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern? DB Mobility Logistics AG Konzerndatenschutz Karen Sokoll, LLM 20.04.2013 Agenda 1. Überblick: Ziel & Stand des Gesetzgebungsverfahrens

Mehr

Betriebliche Organisation des Datenschutzes

Betriebliche Organisation des Datenschutzes Betriebliche Organisation des Datenschutzes Die EU-Datenschutzgrundverordnung: Fragen und Antworten zur praktischen Umsetzung Hamburg, 26. April 2016 Philipp Kramer Rechtsanwalt, Gliss & Kramer, Hamburg

Mehr

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal Modul 3, 13. Oktober 2016 Webinar@Weblaw: DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal Massnahmen zur Datensicherheit, Meldepflicht im Zusammenhang mit Data Breaches,

Mehr

Datenschutz-Grundverordnung

Datenschutz-Grundverordnung Datenschutz-Grundverordnung Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien

Mehr

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Inhaltsübersicht. Bibliografische Informationen  digitalisiert durch Inhaltsübersicht Literaturverzeichnis 1 KaDitel: Einleitung 1 2. Kapitel: Outsourcing und Datenschutz 3 2.1 Begriff und Bedeutung des Outsourcings von Datenverarbeitung 3 2.2 Beispiele für Formen des DV-

Mehr

Vorschlag der Bundesregierung

Vorschlag der Bundesregierung Vorschlag der Bundesregierung für eine neue Fassung von Artikel 38 (Verhaltensregeln) und für einen neuen Artikel 38a (Einrichtungen der Freiwilligen Selbstkontrolle) der Datenschutz-Grundverordnung (Entwurf)

Mehr

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU Peter Burgstaller Rechtsanwalt, Linz Professor for IT and IP Law University of Applied Science Upper Austria Verschränkung von Daten und Informationssicherheit

Mehr

Datenschutz in Schulen

Datenschutz in Schulen Datenschutz in Schulen von Markus Kohlstädt Dienstag, 11. Juni 2013 Wir integrieren Innovationen 11.06.2013 2013 krz Minden-Ravensberg/Lippe 1 Agenda Einführung Datenschutzbeauftragte/r der Schule Sicherheitskonzept

Mehr

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG - EIN ÜBERBLICK - 1 Grundsätzliches zur Datenschutzgrundverordnung Die EU Datenschutz- Grundverordnung Überblick über wesentliche Inhalte Überblick zur Datenschutzorganisation

Mehr

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutzgestaltung durch Technik Eine Kurzeinführung Agenda Fachkundig beraten Datenschutzgestaltung durch Technik Eine Kurzeinführung Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht it-sa, Nürnberg, den 20.10.2016 Rödl & Partner 06.12.2012

Mehr

Datenschutz muss nicht trocken sein

Datenschutz muss nicht trocken sein Datenschutz muss nicht trocken sein Dr. Martin Grentzer & Carsten Knoop 16. Juni 2016 Datenschutz muss nicht trocken sein aconso AG 16. Juni 2016 1 www.aconso.com Ihre Referenten Dr. Martin Grentzer Vorstand

Mehr

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz www.dids.de

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz www.dids.de Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. www.dids.de Agenda 06.04.2016 I. Organisatorisches II. Literaturempfehlung III. Grundlagen 1. Historisches zum Datenschutzrecht

Mehr

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz Folie 1 Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz Diplom-Informatiker Werner Hülsmann - Datenschutzsachverständiger - Münchener Str. 101 / Geb.

Mehr

Paal/Pauly Datenschutz-Grundverordnung

Paal/Pauly Datenschutz-Grundverordnung Paal/Pauly Datenschutz-Grundverordnung Beck sche Kompakt-Kommentare Datenschutz- Grundverordnung Herausgegeben von Prof. Dr. Boris P. Paal, M.Jur. (Oxford) Direktor des Instituts für Medien- und Informationsrecht

Mehr

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response») Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response») simsa Provider Day 2016 Zürich, 8. Juni 2016 Dr. Thomas Steiner, LL.M. (Berkeley)

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und snapaddy GmbH Juliuspromenade 3 DE 97070 Würzburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

Berlin, 7. Dezember Inhaltsverzeichnis

Berlin, 7. Dezember Inhaltsverzeichnis Digitale Gesellschaft e. V. Singerstraße 109 10179 Berlin +49 30 97894230 info@digitalegesellschaft.de www.digitalegesellschaft.de @digiges Berlin, 7. Dezember 2016 Stellungnahme des Digitale Gesellschaft

Mehr

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA? EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA? RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund Übermittlung personenbezogener Daten

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 2. Übung im SoSe 2009: BDSG (2) & Kundendatenschutz (1) 2.1 Schema zu 28 BDSG Aufgabe: Erstellen Sie ein Schema zu 28 BDSG, aus der hervorgeht, wann eine Datenerhebung,

Mehr

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher 2016 Deutscher Bundestag Seite 2 Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher Aktenzeichen: Abschluss der

Mehr

Datenschutz und IT-Sicherheit an der UniBi

Datenschutz und IT-Sicherheit an der UniBi Datenschutz und IT-Sicherheit an der UniBi 1. Dezember 2009 Ines Meyer Michael Sundermeyer Datenschutz Datenschutz hat Verfassungsrang Recht auf informationelle Selbstbestimmung Datenschutzgesetz Nordrhein-Westfalen

Mehr

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein 31.05.2016, Berlin Roter

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung Inhaltsverzeichnis Präambel 1 1 Definitionen 1 2 Anwendungsbereich und Verantwortlichkeit 1 3 Pflichten des Auftragnehmers 2 4 Pflichten des Auftraggebers 3 5 Anfragen Betroffener

Mehr

Datenschutz in der Marktund Sozialforschung

Datenschutz in der Marktund Sozialforschung ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.v. Datenschutz in der Marktund Sozialforschung Erich Wiegand BVM Regionalgruppe Rhein-Main 10. Oktober 2005 Datenschutz in der Markt- und

Mehr

(Text von Bedeutung für den EWR)

(Text von Bedeutung für den EWR) 30.6.2016 L 173/47 DURCHFÜHRUNGSVERORDNUNG (EU) 2016/1055 R KOMMISSION vom 29. Juni 2016 zur Festlegung technischer Durchführungsstandards hinsichtlich der technischen Mittel für die angemessene Bekanntgabe

Mehr

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, der Schutz von persönlichen Daten wird immer wichtiger. Ohne großen Aufwand ist es möglich,

Mehr

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten Vom steuerlichen Kontrollsystem zum Tax Performance Management System Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten Anforderungen Risiko Tax Compliance? Unternehmen sind

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Walldürn GmbH

Mehr

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec. Teil 1: Neues Obligationenrecht Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec. HSG Überblick Neue gesetzliche Bestimmungen Mögliche Auslegung

Mehr

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz... EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 ERSTERTEIL DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE... 5 1. Datenschutz... 5 2. Personenbezogene Daten...5 3. Unternehmen

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) Merkblatt Datenschutzbeauftragter (TÜV ) Personenzertifizierung Große Bahnstraße 31 22525 Hamburg

Mehr

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO 8. Hessischer kommunaler Datenschutztag 12. Oktober 2016 Dr. Jost Onstein Referent im Bundesministerium des Innern I. Die Datenschutz-Grundverordnung ein

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten) Zwischen.., vertreten

Mehr

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN Datenschutz von A-Z 2011 Ausgabe 2011 2011. Taschenbuch. 272 S. Paperback ISBN 978 3 648 01726 5 Wirtschaft > Spezielle Betriebswirtschaft > Personalwirtschaft, Lohnwesen, Mitbestimmung Zu Inhaltsverzeichnis

Mehr

Datenschutz-Grundverordnung (DSGVO): Überblick

Datenschutz-Grundverordnung (DSGVO): Überblick Datenschutz-Grundverordnung (DSGVO): Überblick Stand: 23. Mai 2016 Bezug: VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung

Mehr

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis... Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis... V VI VII XVII Teil 1: Kommentierung BDSG Einleitung... 1 Erster Abschnitt Allgemeine und gemeinsame

Mehr

Berliner Beauftragter für Datenschutz und Informationsfreiheit

Berliner Beauftragter für Datenschutz und Informationsfreiheit Berliner Beauftragter für Datenschutz und Informationsfreiheit Dr. Alexander Dix Berliner Beauftragter für Datenschutz und Informationsfreiheit An der Urania 4 10, 10787 Berlin Europäische Kommission Generaldirektion

Mehr

Vertragsanlage zur Auftragsdatenverarbeitung

Vertragsanlage zur Auftragsdatenverarbeitung Vertragsanlage zur Auftragsdatenverarbeitung zwischen der dna Gesellschaft für IT Services, Hamburg - nachstehend Auftraggeber genannt - und dem / der... - nachstehend Auftragnehmer genannt - 1. Gegenstand

Mehr

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung 27. September 2016 Rechtsanwalt Boris Reibach Agenda I. Warum Datenschutz? II. Auftragsdatenverarbeitung III. Ausblick

Mehr

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Auswirkungen der EU DSGVO auf Schweizer Unternehmen Auswirkungen der EU DSGVO auf Schweizer Unternehmen Nicole Beranek Zanon, RA lic. iur., Exec. MBA HSG 2 AGENDA 1. Ausgangslage in der Schweiz 2. Räumlicher Geltungsbereich der EU-DSGVO 3. Übersicht über

Mehr

EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung Sonderrundbrief Januar 2016 Sehr geehrte Damen und Herren, am 15. Dezember 2015 haben sich der Berichterstatter des Europäischen Parlaments der deutsche Europaabgeordnete Jan Philipp Albrecht und die luxemburgische

Mehr

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis Weitere Informationen unter www.otto-schmidt.de Einfach hier klicken und online versandkostenfrei direkt beim Verlag bestellen. Leseprobe zu Härting Datenschutz Grundverordnung Das neue Datenschutzrecht

Mehr

EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider

EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider 360 dclounge meets CeBIT Dr. Christoph Ritzer 17. März 2016 Agenda Stand, Verfahrensablauf und Zeitplan Was ändert sich? Zusammenfassung

Mehr

Ihre externen Datenschutzbeauftragten

Ihre externen Datenschutzbeauftragten netvocat Externer Datenschutz und Seminare Ihre externen Datenschutzbeauftragten WANN benötigen Sie einen Datenschutzbeauftragten (DSB) nach 4f Bundesdatenschutzgesetz (BDSG)? In Ihrem Unternehmen sind

Mehr

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG - EIN ÜBERBLICK - OTFRIED BÜTTNER, LL.M. GDD stellvertretender ERFA-Kreisleiter Mülheim an der Ruhr/Essen/Oberhausen IHK Gesprächsforum Datenschutz migosens GmbH 1 Die

Mehr

Die neue EU Datenschutzverordnung

Die neue EU Datenschutzverordnung Die neue EU Datenschutzverordnung Konsequenzen für die IT der Unternehmen Aleksander Widera Stefan Oehrli BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN

Mehr

Dokument Nr. 4.1/ Stand:

Dokument Nr. 4.1/ Stand: Dokument Nr. 4.1/ 2015-07-14 Stand: 14.07.2015 Vorschläge zur Anpassung der Ersten Allgemeinen Verwaltungsvorschrift zum Bundes Immissionsschutzgesetz (Technische Anleitung zur Reinhaltung der Luft TA

Mehr

Der Nationale Normenkontrollrat hat den Regelungsentwurf geprüft.

Der Nationale Normenkontrollrat hat den Regelungsentwurf geprüft. Berlin, 5. Juli 2016 Stellungnahme des Nationalen Normenkontrollrates gem. 6 Abs. 1 NKRG: Entwurf eines Gesetzes zur Umsetzung der Richtlinie 2014/55/EU über die elektronische Rechnungsstellung im öffentlichen

Mehr

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E) Zwei-Stufen-Modell 1. Stufe: Umsetzung der EG-Datenschutzrichtlinie und Ergänzung durch einige innovative Neuregelungen Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Datenschutz-Audit

Mehr

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen Da müssen wir rein Was Unternehmen in sozialen Netzwerken beachten müssen Henry Krasemann Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Die 7 Säulen des ULD Prüfung Beratung Schulung inkl.

Mehr

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel Gliederung A. Einführung I. Konzept der Vorlesung 1. Darstellung 2. Ziel II. Was ist Datenschutzrecht? 1. Beispiel 2. Ansatzpunkt: Schutz des Persönlichkeitsrechts 3. Datensicherung 4. Datenschutzrechtliches

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2) und der IT-Sicherheit Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2) 3.1 Virenschutz & TKG 100 Abs. 1 TKG, da virenverseuchte Mails zur Störung von Kommunikationsanlagen

Mehr

Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen?

Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen? Berlin Düsseldorf Frankfurt/Main Hamburg München 0 Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen? Congress@it-sa Der sichere Hafen für Ihre Unternehmens IT Dr. Oliver Hornung,

Mehr

Zeitgemäßer Datenschutz in der datengetriebenen Wirtschaft Effektive Umsetzung der EU-Datenschutz- Grundverordnung (DSGVO) Risk

Zeitgemäßer Datenschutz in der datengetriebenen Wirtschaft Effektive Umsetzung der EU-Datenschutz- Grundverordnung (DSGVO) Risk Zeitgemäßer Datenschutz in der datengetriebenen Wirtschaft Effektive Umsetzung der EU-Datenschutz- Grundverordnung (DSGVO) Risk Mit dem Übergang in das Informationszeitalter und der rasanten Entwicklung

Mehr

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin) Gesetz vom 8. Mai 2008 Inkrafttreten:... zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin) Der Grosse Rat des

Mehr

Am 15. Oktober 2010 forderte der EDSB beim DSB zusätzliche Informationen an. Die Antworten wurden am 5. November 2010 übermittelt.

Am 15. Oktober 2010 forderte der EDSB beim DSB zusätzliche Informationen an. Die Antworten wurden am 5. November 2010 übermittelt. Stellungnahme zur Meldung des Datenschutzbeauftragten der Europäischen Beobachtungsstelle für Drogen und Drogensucht für eine Vorabkontrolle hinsichtlich der Verfahren zur öffentlichen Auftragsvergabe

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Synopse Teil I: BDSG EU DSGVO

Synopse Teil I: BDSG EU DSGVO Synopse Teil I: BDSG EU DSGVO 1 Abs. 1 Zweck Art. 1 Nein 1 Abs. 2 2 Persönlicher Anwendungsbereich Teils entfallen Art. 2 Abs. 2 c) EG 18 Zum Teil Grundsätzlich keine Trennung zwischen öffentlichen und

Mehr

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung Daniel Mezzadra Agenda Studie zur Auftragsdatenverarbeitung I Zielsetzung der Studie II Fragenkatalog

Mehr

Ansätze für datenschutzkonformes Retina-Scanning

Ansätze für datenschutzkonformes Retina-Scanning Ansätze für datenschutzkonformes Retina-Scanning Friederike Schellhas-Mende, Ass. iur. Forschungsgruppe Compliance, ZAR KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in

Mehr

Datenschutz im Verein

Datenschutz im Verein Qualifix-Themenfeld: Recht Datenschutz im Verein Guten Tag! Ich wünsche Ihnen einen angenehmen Seminarverlauf. 1 Was bedeutet Datenschutz? Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten!

Mehr

Neues Gesetz: Russische Daten sollen in Russland bleiben

Neues Gesetz: Russische Daten sollen in Russland bleiben https://klardenker.kpmg.de/neues-gesetz-russische-daten-sollen-in-russland-bleiben/ Neues Gesetz: Russische Daten sollen in Russland bleiben KEYFACTS - Personenbezogene Daten russischer Staatsbürger nur

Mehr

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung Ulrich Weinbrenner (Leiter der Projektgruppe Datenschutz im Bundesministerium des Innern) Gliederung 1. Bedeutung der DS-GVO

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Datenschutz und Cloud

Datenschutz und Cloud Datenschutz und Cloud Lokalsystemworkshop 20.09.2016 im hbz Michael Nelißen 20.09.2016 www.hbz-nrw.de nelissen@hbz-nrw.de 1 Urteil zu Safe Harbor EuGH Urteil (C-362/14) v. 6.10.15 Fall: Beschwerde eines

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

Datenschutz Hilfe oder Hemmnis beim Kinderschutz

Datenschutz Hilfe oder Hemmnis beim Kinderschutz Datenschutz Hilfe oder Hemmnis beim Kinderschutz Gila Schindler, Referentin für Kinder- und Jugendhilferecht Bundesministerium für Familie, Senioren, Frauen und Jugend Überblick Stand der aktuellen Diskussion:

Mehr

Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht

Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht 7.4.2016 Dr. Kunnert, Bundeskanzleramt-Verfassungsdienst Dr. Kunnert - Vortrag Karl -Renner -Institut - 7.4.2016 1 Thema Private

Mehr

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung Definition Definitionen Auftragsdatenverarbeitung (ADV) ist die Verarbeitung von personenbezogenen Daten durch einen Dritten

Mehr

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU Pragmatischer Umgang mit den wandelnden Anforderungen in KMU EU-Datenschutz-Grundverordnung, Safe Harbor und das IT-Sicherheitsgesetz Tim Hoffmann 20. April 2016 Bochum IT-Trends Sicherheit Referent Tim

Mehr

Reglement zur Videoüberwachung der Gemeinde Dorf. vom 2. Dezember 2014

Reglement zur Videoüberwachung der Gemeinde Dorf. vom 2. Dezember 2014 Reglement zur Videoüberwachung der Gemeinde Dorf vom 2. Dezember 2014 In Kraft seit 1. Januar 2015 Reglement zur Videoüberwachung: Inhaltsverzeichnis Seite I. Allgemeine Bestimmungen 3 Art. 1 Gesetzliche

Mehr

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts Digitale Transformation alte und neue Anforderungen des Datenschutzrechts 28.Oktober 2015 München, 1. März 2016 1 AGENDA (1) Verantwortlichkeiten und vertragsrechtliche Aspekte bei der Nutzung der EU/DE

Mehr

Viertes Gesetz. zur Änderung des Energieeinsparungsgesetzes 1. Vom 4. Juli Artikel 1. Änderung des. Energieeinsparungsgesetzes

Viertes Gesetz. zur Änderung des Energieeinsparungsgesetzes 1. Vom 4. Juli Artikel 1. Änderung des. Energieeinsparungsgesetzes Haftungsausschluss: Bei den im Internetangebot Info-Portal Energieeinsparung des Bundesinstituts für Bau-, Stadt und Raumforschung enthaltenen Verordnungs- und Gesetzestexten handelt es sich um unverbindliche

Mehr

Einzelfallentscheide und Profiling.

Einzelfallentscheide und Profiling. Modul 2, 26. September 2016 Webinar@Weblaw: DSGVO Bearbeitung von Personendaten, Einwilligungserklärung, Einzelfallentscheide. Nicolas Passadelis Einzelfallentscheide und Profiling. Inhaltsverzeichnis.

Mehr

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung Dr. Britta A. Mester Carl von Ossietzky Universität Oldenburg Folie 1 Dr. Britta A. Mester/AK-Recht Rückblick EU-DSGVO 2012: Entwurf

Mehr

ELGA Der elektronische lebensbegleitende

ELGA Der elektronische lebensbegleitende ELGA Der elektronische lebensbegleitende Gesundheitsakt eine datenschutzrechtliche Analyse Waltraut Kotschy Rechtsgrundlagen Gesundheitsdaten sind sensible Daten, die unter besonderem Verwendungsschutz

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten

Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten Dr. Bernd Schütze Frühjahrstagung KHiT, Leipzig, 07. April 2016 Dr. Bernd Schütze Studium > Studium Informatik (FH-Dortmund) > Studium

Mehr

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Der Kanzler Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Seite 1 von 9 Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Erstmalige Beschreibung eines automatisierten

Mehr

europäische datenschutz-grundverordnung

europäische datenschutz-grundverordnung europäische datenschutz-grundverordnung interpretationsbedarfe für unternehmen und erste lösungen Berlin, den Dr. Claus-Dieter Ulmer, SVP, Global Data Privacy Officer Herausforderungen der digitalen zukunft

Mehr

Datenschutz BO Nr. A PfReg. F 1.1g

Datenschutz BO Nr. A PfReg. F 1.1g BO Nr. A 2728 02.12.2009 PfReg. F 1.1g Ausführungsvorschrift zur Anordnung über den kirchlichen Datenschutz (KDO) 2003 zur Gewährleistung des Schutzes personenbezogener Daten bei der Durchführung von Fundraisingmaßnahmen

Mehr

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Seite 2 Inhalt: Folgen

Mehr

Datenschutz-Folgenabschätzung gem. DSGVO

Datenschutz-Folgenabschätzung gem. DSGVO Aus der Vorabkontrolle wird die Folgenabschätzung Datenschutz-Folgenabschätzung gem. DSGVO Folie 1 Reinhard M. Novak Zur Person des Vortragenden Von 1991 bis 2001 IT Manager bei AT&T und Lucent Technologies

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Bearbeitungsgrundsätze: Personendaten, Datensparsamkeit, Privacy by Design und Privacy by Default bei eigenen Produkten und Dienstleistungen.

Bearbeitungsgrundsätze: Personendaten, Datensparsamkeit, Privacy by Design und Privacy by Default bei eigenen Produkten und Dienstleistungen. Modul 1, 13. September 2016 Webinar@Weblaw: DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. Nicolas Passadelis Bearbeitungsgrundsätze: Personendaten, Datensparsamkeit, Privacy by

Mehr

Bundesdatenschutzgesetz

Bundesdatenschutzgesetz Wolfgang Däubler Thomas Klebe Peter Wedde Thilo Weichert Bundesdatenschutzgesetz Kompaktkommentar zum BDSG 5., vollständig neu bearbeitete Auflage BUND VERLAG Inhaltsverzeichnis Vorwort '......... 5 Abkürzungsverzeichnis

Mehr

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen BvD Symposium 22. Oktober 2015 Ulrich Weinbrenner Leiter der PG Datenschutz im BMI Der Reformprozess Bedeutung der Reform Wer entscheidet

Mehr

Juristische Fragestellungen im Kontext von IoT - Gesellschaft für Informatik, Köln 11. Mai Dr. Jürgen Hartung

Juristische Fragestellungen im Kontext von IoT - Gesellschaft für Informatik, Köln 11. Mai Dr. Jürgen Hartung Juristische Fragestellungen im Kontext von IoT - Gesellschaft für Informatik, Köln 11. Mai 2016 Dr. Jürgen Hartung Das IoT bringt uns Juristen vor allem Fragen 2 Wer hört denn im IoT noch so mit? Der Datenschutz

Mehr

Datenschutz International

Datenschutz International Harald Eul/Petra Eul Datenschutz International Praxisleitfaden zur Übermittlung von Kunden-, Mitarbeiter- und Lieferantendaten 1. Auflage 2011 DATAKONTEXT Vorwort 5 Verzeichnis der Checklisten/Arbeitshilfen/Übersichten

Mehr

Die Kombination von Medizinprodukten. SystemCheck

Die Kombination von Medizinprodukten. SystemCheck Die Kombination von Medizinprodukten SystemCheck Fachtagung der FKT 12.06.2008 Untertitel Die Prüfung und Bewertung von medizinischen elektrischen Systemen mit rechtssicherer Dokumentation zum Schutz von

Mehr

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - KoPers 3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers" Datenschutz, Schutz vor Leistungs- und Verhaltenskontrolle

Mehr

Mobile Apps für die Gesundheitsbranche und Datenschutz

Mobile Apps für die Gesundheitsbranche und Datenschutz Mobile Apps für die Gesundheitsbranche und Datenschutz Schutz vor Daten soll ein Grundrecht werden Grundrecht auf informationelles Selbstbestimmungsrecht mit der Folge der Beweislastumkehr. Unternehmen

Mehr