Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Größe: px

Ab Seite anzeigen:

Download "Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M."

Manuela Hertz
vor 5 Jahren
Abrufe

1 Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

2 Übersicht Rechtsgrundlagen Grundsätze der Datenverarbeitung Wann dürfen Daten verarbeitet werden? Pflichten des Verantwortlichen Betroffenenrechte Rechtsbehelfe, Haftung, Sanktionen Weiterführende Informationen

3 Rechtsgrundlagen Aktuell Datenschutzgesetz 2000 Umsetzung der Richtlinie 95/46/EG Natürliche und juristische Personen Materiengesetze Ab 25. Mai 2018 Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) Datenschutzgesetz DSG Öffnungsklauseln Datenschutzbehörde 3. Hauptstück: Strafverfolgungsbereich (Umsetzung der RL 2016/680) Materiengesetze

4 Grundsätze der Datenverarbeitung Rechtmäßigkeit Verarbeitung nach Treu und Glauben Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht

5 Wann dürfen Daten verarbeitet werden? Einwilligung für einen oder mehrere genau festgelegte Zwecke Erfüllung eines Vertrages Erfüllung einer rechtlichen Verpflichtung* Lebenswichtiges Interesse der betroffenen Person oder eines Dritten Öffentliches Interesse oder Ausübung hoheitlicher Gewalt* Berechtigte Interessen des Verantwortlichen oder eines Dritten *Flexibilisierung: spezifischere Bestimmungen im öffentlichen Sektor Strengere Voraussetzungen für besondere Kategorien personenbezogener Daten

6 Verarbeitungsverzeichnis Datenverarbeitungsregister Registrierungspflicht Ausnahme: Standard- und Musterverordnung Zwingend vor Aufnahme der Verarbeitungstätigkeit DVR-Exportmöglichkeit - sichern! Verarbeitungsverzeichnis Dokumentationspflicht Ausnahmen faktisch nicht existent Aufsichtsbehörde auf Anfrage zur Verfügung stellen

7 Verarbeitungsverzeichnis - Inhalt Verantwortlicher: Allgemeine Informationen zum Verantwortlichen Verarbeitungszwecke Kategorien von betroffenen Personen, Daten und Empfängern Löschungsfristen Übermittlung in Drittländer Wenn möglich: technische und organisatorische Maßnahmen Auftragsverarbeiter: Allgemeine Informationen zum Auftragsverarbeiter und Verantwortlichen Kategorien von Verarbeitungen Übermittlungen in Drittländer Wenn möglich: technische und organisatorische Maßnahmen

8 Datenschutz-Folgenabschätzung systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke Bewertung der Notwendigkeit und Verhältnismäßigkeit Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der betroffenen Personen Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung der Vorgaben

9 Datenschutz-Folgenabschätzung Verpflichtend bei hohem Risiko IMMER: Profiling umfangreiche Verarbeitung besonderer Kategorien von Daten (Sexualleben, Gesundheit, rassische oder ethnische Herkunft ) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche Listen der Datenschutzbehörde (Blacklist/Whitelist) Genehmigte vorabkontrollpflichtige Datenanwendungen, die unverändert weitergeführt werden Bisher gem. Standard- und Musterverordnung nicht meldepflichtig Konsultation der Aufsichtsbehörde

10 Datenschutzbeauftragter Unterrichtung und Beratung des Verantwortlichen und Auftragsverarbeiters über Pflichten Überwachung der Einhaltung der Rechtsvorschriften, Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern Beratung izm Datenschutz-Folgenabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

11 Datenschutzbeauftragter Verpflichtend: Öffentliche Stellen Kerntätigkeit Verarbeitungsvorgänge, die aufgrund Art, Umfang und Zweck eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich machen umfangreiche Verarbeitung besonderer Kategorien von Daten oder von strafrechtlichen Verurteilungen und Straftaten Berufliche Qualifikation, Datenschutz-Fachwissen Intern oder extern? Gemeinsamer Datenschutzbeauftragter Unabhängigkeit, keine Abberufung oder Benachteiligung

12 Weitere Pflichten Privacy by design / Privacy by default Datensicherheitsmaßnahmen Data breach notification Aufsichtsbehörde Betroffene Personen Verhaltensregeln (Verbände, Kammern) Zertifizierung Auslandsdatenübermittlung

13 Betroffenenrechte Informationspflichten durch den Verantwortlichen Auskunftsrecht Recht auf Berichtigung Recht auf Löschung ( Recht auf Vergessenwerden ) Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

14 Rechtsbehelfe, Haftung, Sanktionen Aufsicht: Datenschutzbehörde Bundesverwaltungsgericht Geldbußen bis zu 10 Mio. EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes bis zu 20 Mio. EUR oder im Fall eines Unternehmens bis zu 4% seines weltweiten Jahresumsatzes Ausgenommen: öffentliche Stellen Schadenersatz

15 Weiterführende Informationen Leitfaden der Datenschutzbehörde ( Verarbeitungsverzeichnis: DVR ( Datenschutz-Folgenabschätzung: Blacklist / Whitelist der Datenschutzbehörde (Verordnung; Guidelines der Art. 29-Datenschutzgruppe ( 0) Kammern (Verhaltensregeln) Literatur DSG und DSGVO (+Deutschland)

Ähnliche Dokumente

Kurzüberblick und Zeitplan

Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO) EU-Datenschutz-Grundverordnung (DSGVO) Kurzüberblick und Zeitplan Stand: 14.12.2017 Hinweis: Die