iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Größe: px

Ab Seite anzeigen:

Download "iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H."

Marcus Burgstaller
vor 6 Jahren
Abrufe

1 iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H. Lauer

www.iubenda.com business@iubenda.com Mehr als 35.

2 Mehr als Kunden in über 100 Ländern nutzen unsere Software-Lösungen und direkte Unterstützung für rechtskonforme Online-Präsenzen

3 AGENDA Die DSGVO iubenda live Demo Fragen und Antworten zur Live-Demo und iubendas Lösungen Mini-workshop: Registrierung einer kostenlosen iubenda-lizenz

4 DSGVO Datenschutzgrundverordnung

ansässig sind, die personenbezogene Daten von Personen in der EU sammeln

5 WARUM IST DIE DSGVO FÜR SCHWEIZERISCHE UNTERNEHMEN RELEVANT? Die DSGVO ist von natürlichen oder juristischen Personen, egal wo sie ansässig sind, die personenbezogene Daten von Personen in der EU sammeln oder verarbeiten, anzuwenden. Das können (potentielle) Kunden, Lieferanten oder andere Individuen sein.

6 AKTUELLE RECHTSLAGE In Deutschland: Beteiligte Stellen Betroffener, Verantwortliche Stelle, Auftragsdatenverarbeiter Grundlage für die Datenverarbeitung Verbot mit Erlaubnisvorbehalt: Soweit kein Gesetz die Datenverarbeitung erlaubt, können Daten nur mit Einwilligung des Betroffenen verarbeitet werden. Besonderheiten im Online-Kontext: Datenschutzerklärung und Hinweis auf den Einsatz von Cookies nach 13 TMG In der Schweiz: Entwurf des Bundesrats zur Anpassung des DSG liegt vor, in Bearbeitung.

7 Die DATENSCHUTZGRUNDVERORDNUNG (DSGVO) Die DSGVO (VO 2016/679/EU) und das BDSG n. F. Warum eine Verordnung? Was wird aus dem BDSG und TMG? in Kraft ab dem 25. Mai 2018 Räumlicher Anwendungsbereich immer wenn der Verantwortliche innerhalb der EU niedergelassen ist in Bezug auf die Verarbeitung personenbezogener Daten von Betroffenen, die sich innerhalb der EU befinden wenn Waren oder Dienstleistungen EU Bürgern angeboten werden wenn das Verhalten betroffener Personen beobachtet wird, soweit Ihr Verhalten in der EU erfolgt

8 GRUNDLAGEN FÜR DIE VERARBEITUNG NACH DSGVO weiterhin Verbot mit Erlaubnisvorbehalt" Erlaubnistatbestände in Art. 6 aufgeführt. Die praktisch wichtigsten: Einwilligung Vorbereitung oder Durchführung eines Vertrages Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen

9 Die EINWILLIGUNG freiwillig, eindeutig, informiert, unmissverständlich für den konkreten Fall (Kopplungsverbot) aktives Handeln erforderlich (kein opt-out Prinzip) jederzeit widerruflich nachweisbar (Art. 7) besondere Anforderungen an die Einwilligung Minderjähriger

10 RECHT AUF DATENÜBERTRAGBARKEIT (PORTABILITÄT) Sofern personenbezogene Daten automatisiert und auf Grundlage einer Einwilligung oder eines Vertrages verarbeitet werden, hat die betroffene Person das Recht: die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln darauf, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

11 RECHT AUF LÖSCHUNG ( VERGESSENWERDEN ) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, u. a. wenn: die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind die Einwilligung in die Verarbeitung widerrufen wird der Betroffene der Verarbeitung widerspricht Daten unrechtmäßig verarbeitet wurden Grenzen (u. a.): Recht auf freie Meinungsäußerung und Informationen Daten sind notwendig zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt aus Gründen des öffentlichen Interesses

12 GRUNDSÄTZE Rechenschaftspflicht Privacy by design, privacy by default Datenschutzfolgeabschätzung Verarbeitungsverzeichnis

13 DATENSCHUTZFOLGEABSCHÄTZUNG (DSFA) Wann muss sie durchgeführt werden? Eine DSFA ist immer durchzuführen, wenn die geplante Datenverarbeitung, insb. unter Einsatz neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Auf jeden Fall, wenn: die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vorgesehen ist sensible Daten umfangreich verarbeitet werden bei umfangreicher Überwachung öffentlich zugänglicher Bereiche

14 DATENSCHUTZFOLGEABSCHÄTZUNG (DSFA) Inhalt und Einbeziehung der DSA Sofern sich aus der DSFA ergibt, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss die Datenschutzaufsicht (DSA) benachrichtigt werden Die DSA prüft die DSFA, erlässt ggf. Anordnungen bzw. schränkt die geplante Verarbeitung teilweise oder vollständig ein Bevor die DSA grünes Licht gibt, darf die Verarbeitung nicht durchgeführt werden

15 VERARBEITUNGSVERZEICHNIS (VV) Im VV werden sämtliche Datenverarbeitungsprozesse der Verantwortlichen beschrieben und festgehalten. Insbesondere muss folgendes erwähnt werden: welche Daten werden verarbeitet? zu welchen Zwecken werden sie verarbeitet? wer hat Zugriff auf die Daten? werden Daten ins nicht-eu Ausland übermittelt? wie ist die Speicherdauer geregelt? welche technischen und organisatorischen Maßnahmen werden ergriffen?

16 VERARBEITUNGSVERZEICHNIS (VV) Die (bußgeldbewehrte!) Pflicht zur Führung eines VV gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung: birgt ein Risiko für die Rechte und Freiheiten der Betroffenen oder die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung sensibler Daten (einschließlich Daten zur strafrechtlichen Verurteilungen)

17 DER DATENSCHUTZBEAUFTRAGTE (DSB) Der DSB kann eine natürliche oder juristische Person sein und kann sowohl innerhalb des Unternehmens eingebunden sein (angestellt), als auch extern tätig sein (Dienstvertrag). Wann muss er bestellt werden? Immer wenn der Verantwortliche eine öffentliche Stelle ist Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen vorsehen Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung sensibler Daten liegt (einschließlich Daten zu strafrechtlichen Verurteilungen)

18 DER DATENSCHUTZBEAUFTRAGTE (DSB) Achtung! In Deutschland muss ein DSB zusätzlich nach BDSG (n. F.) in folgenden Fällen bestellt werden: wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind wenn eine Verarbeitung vorgenommen wird, die einer DSFA unterliegt wenn personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

19 DER DATENSCHUTZBEAUFTRAGTE (DSB) Weitere Details Der DSB ist keine geschützte Berufsbezeichnung kann prinzipiell mit anderen unternehmensinternen (oder -externen) Aufgaben in Personalunion koexistieren (Grenze: Interessenkonflikt) ist stets weisungunsabhängig und finanziell eigenständig (eigenes Budget) berät die Geschäftsführung und überwacht die Umsetzung der datenschutzrechtlichen Vorschriften

20 MELDUNG VON VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN ( DATA BREACH ) Innerhalb von 72 Stunden ab Kenntnis des Data Breaches muss der Verantwortliche dies der DSA melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte natürlicher Personen führt. Inhalte der Meldepflicht: eine Beschreibung des Data Breaches und die Anzahl der Betroffenen Kontaktdaten des DSB (falls vorhanden) eine Beschreibung der möglichen Folgen des Data Breaches eine Beschreibung der Maßnahmen, die ergriffen wurden und werden, um die Folgen einzudämmen

21 MELDUNG VON VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN ( DATA BREACH ) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die Betroffenen unverzüglich von der Verletzung. Wann darf von einer Benachrichtigung abgesehen werden? der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, um die Folgen der Verletzung einzudämmen solche Maßnahmen sind geeignet, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen auszuschließen die Meldung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.

22 MELDUNG VON VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN ( DATA BREACH ) Wichtiger Hinweis: Die Benachrichtigung der Betroffenen kann jederzeit durch die DSA angeordnet werden.

23 BUSSGELDER Bis zu einem Höchstmaß von 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

24 - business@iubenda.com Ein Auswahl unserer Kunden:

Ähnliche Dokumente

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG DR. MARKUS FRANK LL.M. RECHTSANWALT A-1070 Wien, Neustiftgasse 3/5, Tel +43/1/523 44 02, Fax -10, office@frank-law.at Verordnung (EU) 2016/679 des Europäischen Parlaments