Herzlich Willkommen zum Seminar EU-Datenschutz-Grundverordnung

Transkript

1 Herzlich Willkommen zum Seminar EU-Datenschutz-Grundverordnung Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler. Geprüfter und anerkannter EDV Sachverständiger, Schiedsgutachter, zertifizierter externer Datenschutzbeauftragter, ISO/IEC TÜV SÜD Foundation zertifiziert und PECB zertifizierter ISMS Lead-Auditor. Best Practice Training. 1

2 Zusammenfassend Datenschutz-Historie Quellangabe: 2

3 Rechtsgrundlagen und Meilensteine im Datenschutz Die Würde des Menschen ist unantastbar (GG Art. 1 Abs. 1) Allgemeine Erklärung der Menschenrechte (UNO ) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit (GG Art. 2 Abs. 1) Das Grundrecht auf informationelle Selbstbestimmung (BVerfG, 1983) Europäische Datenschutzrichtlinie 95/46/EG (1995) Charta der Grundrechte (2000) Bundesdatenschutzgesetz (Novelle III von 2009) Die EU-Datenschutz-Grundverordnung (2016) 3

4 Vertrag zur Gründung der Europäischen Wirtschaftsgemeinschaft EWG-Vertrag vom 25. März 1957 (248 Artikel) SEINE MAJESTÄT DER KÖNIG DER BELGIER, DER PRÄSIDENT DER BUNDESREPUBLIK DEUTSCHLAND (HERRN DR. KONRAD ADENAUER, BUNDESKANZLER), DER PRÄSIDENT DER FRANZÖSISCHEN REPUBLIK, DER PRÄSIDENT DER ITALIENISCHEN REPUBLIK, IHRE KÖNIGLICHE HOHEIT DIE GROßHERZOGIN VON LUXEMBURG, IHRE MAJESTÄT DIE KÖNIGIN DER NIEDERLANDE HABEN BESCHLOSSEN, EINE EUROPÄISCHE WIRTSCHAFTSGEMEINSCHAFT ZU GRÜNDEN. IN DEM FESTEN WILLEN, DIE GRUNDLAGEN FÜR EINEN IMMER ENGEREN ZUSAMMENSCHLUß DER EUROPÄISCHEN VÖLKER ZU SCHAFFEN, ENTSCHLOSSEN, DURCH GEMEINSAMES HANDELN DEN WIRTSCHAFTLICHEN UND SOZIALEN FORTSCHRITT IHRER LÄNDER ZU SICHERN, INDEM SIE DIE EUROPA TRENNENDEN SCHRANKEN BESEITIGEN, IN DEM VORSATZ, DIE STETIGE BESSERUNG DER LEBENS- UND BESCHÄFTIGUNGSBEDINGUNGEN IHRER VÖLKER ALS WESENTLICHES ZIEL ANZUSTREBEN ARTIKEL 4 1. Die der Gemeinschaft zugewiesenen Aufgaben werden durch folgende Organe wahrgenommen: 1 eine VERSAMMLUNG, 2 einen RAT, 3 eine KOMMISSION, 4 einen GERICHTSHOF. 4

5 Verträge und Historik zur Entwicklung der Europäischen Union EWG-Vertrag 1957 (Römische Verträge) V. von Maastricht 1992 V. von Amsterdam 1997 V. von Nizza 2000 V. von Lissabon 2009 Im Jahr 1992 wurde das Ende der EWG mit dem "Vertrag von Maastricht" beschlossen ist somit das Gründungsjahr der Europäischen Union. Vertrag von Nizza und die Charta der Grundrechte der Europäischen Union Rechtskraft erlangte diese zur Eröffnung der Regierungskonferenz von Nizza am 7. Dezember 2000 erstmals feierlich proklamierte Charta der Grundrechte. Vertrag von Lissabon (2009) Mit dem Vertrag von Maastricht wurde der EWG-Vertrag in Vertrag zur Gründung der Europäischen Gemeinschaft (EG-Vertrag) umbenannt. Seinen heutigen Namen erhielt er Vertrag über die Europäische Union (EUV) und der AEUV mit Inkrafttreten des Vertrags von Lissabon am 1. Dezember Die Umbenennung ist darauf zurückzuführen, dass mit dem Vertrag von Lissabon die Europäische Gemeinschaft aufgelöst und all ihre Funktionen von der EU übernommen wurden. Die Grundrechtscharta wird mit dem Vertrag von Lissabon verbindlicher Teil des Primärrechts der EU. 5 Rechtsquelle und

6 Das Regierungssystem der Europäischen Union - die sieben Organe 1 Bestimmung der allgemeinen politischen Zielvorstellungen und Prioritäten der EU. 2 Fördert die allgemeinen Interessen der EU durch Vorschläge für neue europäische Rechtsvorschriften und deren Durchsetzung. 3 Europäischer Rat Staats- und Regierungschefs der Mitgliedsstaaten Europäischer Kommission Exekutivorgan der EU Rat der EU (Ministerrat) Pro Mitgliedsstaat ein Minister Im Rat kommen Minister aus allen EU-Ländern zusammen, um Rechtsvorschriften zu diskutieren, zu ändern und anzunehmen. 5 Kontrolle der ordnungsgemäßen Erhebung und Verwendung der EU-Mittel. 6 Europäischer Rechnungshof Prüft den Haushalt der EU Europäischer Gerichtshof Jeder EU-Mitgliedsstaat ist mit einem Richter vertreten Der EuGH gewährleistet, dass EU-Recht in allen EU-Mitgliedsländern auf die gleiche Weise angewendet wird und sorgt dafür, dass Länder und EU-Instit. das EU-Recht einh. 7 Europäische Zentralbank (EZB) Preisstabilität und gestaltet der Währungspolitik Verwaltung des Euro, Gewährleistung der Preisstabilität und Umsetzung der Wirtschafts- und Währungspolitik der EU. 4 Europäisches Parlament Vertritt die EU-Bürgerinnen und Bürgern Das Europäisches Parlament wird alle fünf Jahre von den EU-Bürgerinnen und Bürgern direkt gewählt und ist an Gesetzgebung beteiligt. 6

7 Rechtsakte mit allgemeiner Geltung (Verordnungen und Richtlinien) Europäischer Rat Strategische Vorgaben Europäischer Kommission Entwirft neue Rechtsvorschriften anhand der Vorgaben des Rates Trilog-Verhandlungen Mitbestimmung Vorschläge der Kommission Mitbestimmung Europäisches Parlament Rat der EU (Ministerrat) Neue Rechtsvorschriften müssen sowohl vom Europäischen Parlament wie auch vom Rat der EU angenommen werden. Triloge sind informelle Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission mit dem Ziel, frühes Einvernehmen zu EU-Gesetzen zu erreichen. 7

8 Die EU-DSGVO wurde am 4. Mai 2016 im EU-Amtsblatt veröffentlicht Damit tritt sie 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am für Betroffene, juristische Personen und Behörden anwendbar. Bringen wir etwas Licht in die Dunkelheit oder besser gesagt: In die Verordnung Solange die EU-DSGVO noch keine endgültige Gültigkeit hat, erst ab dem 25. Mai 2018, ist das BDSG III von 2009 weiterhin unsere Datenschutzrechtliche-Grundlage. Die Regelungen der EU-DSGVO haben zum heutigen Tage noch keinerlei rechtsverbindliche Bedeutung. Die EU-Datenschutz-Grundverordnung mit ihren 99 Artikeln und 173 Erwägungsgründen (260 Seiten) ist deutlich umfangreicher als das Bundesdatenschutzgesetz (BDSG). Zudem richtet die EU-DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszugestalten (Öffnungsklauseln) bzw. gibt ihm die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Ab dem 25. Mai 2018 gelten dann jedoch ausschließlich die Regelungen der EU-DSGVO. Die bisher maßgeblichen Vorschriften des BDSG sind dann Geschichte. Hierbei ist jedoch zu beachten ob ein neues BDSG IV mit nationalem Regelungscharakter kommen wird und die BDSG Novelle III ablöst. Diese Gesetzgebungsverfahren finden ebenfalls in der laufenden Übergangszeit statt. Unsere Empfehlung. Nehmen Sie das BDSG III in welcher die Richtlinie 95/46/EG integriert wurde und schauen Sie nach Abweichungen in der EU-DSGVO. Sie müssen das Rad nicht neu erfinden! Setzen Sie dann die ergänzenden Anforderungen (was haben wir und was muss ergänzt werden?) in Ihre Geschäftsprozesse um. Eine Ergänzungsanalyse ist auf alle wesentlichen Änderungen anzuwenden. 8

9 Zeittafel - Was passiert noch, Öffnungsklauseln und Umsetzungsfristen Auf nationaler deutscher Ebene müssen die vorhandenen gesetzlichen Regelungen (vor allem das BDSG Novelle III von 2009) noch an die DSGVO angepasst werden (Öffnungsklauseln ). 24. Mai 2016 Die DSGVO ist in Kraft. Damit kann der nationale Gesetzgeber die Vorgaben der DSGVO zum Erlass ergänzender nationaler Regelungen Öffnungsklauseln (etwa für ein neues BDSG IV ) nutzen. 4. Quart Bis Herbst 2016 sind die neuen Gesetzentwürfe für die ergänzenden nationalen Regelungen zu erwarten. Derzeit befinden sich diese in der Ausarbeitungsphase. 1. Quart Der Bundestag und Bundesrat berät die Gesetzentwürfe für die nationalen Regelungen, zu erwarten im Frühjahr Quart Ablauf der Legislaturperiode und automatischer Verfall von noch nicht verabschiedeten Gesetzentwürfen (z.b. für ein sog. neues BDSG IV - Diskontinuitätsprinzip ). Neuer Bundestag und Bundesrat kann neue Gesetzesinitiative zur Verabschiedung starten. 24. Mai 2018 Bis 24. Mai Anwendbarkeit des geltenden BDSG (entweder BDSG Novelle III oder neues BDSG IV, noch keine Anwendbarkeit der DSGVO für juristische Personen, Behörden oder für Betroffene. 25. Mai 2018 Anwendbarkeit der DSGVO und Anwendbarkeit des neuen BDSG IV (insofern verabschiedet). Die BDSG Novelle III von 2009, ist nicht mehr anwendbar. 9

10 Was erwartet uns als Datenschutzbeauftragte? Die neuen Herausforderung bestehen einerseits darin, sich mit dem Regelungswerk der EU- DSGVO vertraut zu machen, andererseits den individuellen Anpassungsbedarf zu eruieren und dabei die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht aus den Augen zu verlieren. Anpassungsbedarf an die DSGVO, gibt es z.b. in folgenden Bereichen: Umgang mit Beschäftigtendaten Öffnungsklausel (Art. 5) Bedingungen für die Einwilligung (Art. 7) Informationspflichten und Rechten der betroffenen Person (Art. 12 bis 23) Privacy by design and privacy by default -proactive not reactive (Art. 25) Auftragsverarbeitung (Art. 28) Dokumentationspflichten - Verzeichnis der Verarbeitungstätigkeiten (Art. 30) TOM - Sicherheit der Verarbeitung (Art. 32) Datenschutz-Folgenabschätzung - privacy impact assessment (Art. 35) Stellung und Bestellung des Datenschutzbeauftragten (Art. 37 bis 39) Beachtung der Norm ISO/IEC 27001(IT-Sicherheit) evtl. Organisation von Audits... Vorhandene Datenschutzprozesse müssen auf Konformität geprüft werden und es ist dafür Sorge zu tragen, dass sie ab dem 25. Mai 2018 den neuen DSGVO Anforderungen gerecht werden. Neue Datenschutzprozesse sollten bis einschließlich 24. Mai 2018 mit den verbindlichen Anforderungen des geltenden BDSG in Einklang gebracht werden. Weder Sie als DSB, noch der Verantwortliche sollte es riskieren, die neuen EU- Datenschutzvorschriften zu ignorieren. Dies würde dazu führen, dass Sie im erheblichem Maße gegen Compliance-Vorgaben (Regelkonformität, Einhaltung von Gesetzen und Richtlinien) verstoßen. Die hohen Bußgelder von den Aufsichtsbehörden - Artikel 83 Abs. 1, sind hierbei nicht zu vernachlässigen - Bis 20 Mio. (verhältnismäßig und abschreckend). 10

11 Zusammenfassende - Übung Welches ist das Gründungsjahr der Europäischen Union? Was bedeuten die Begriffe: Primärrecht, Sekundärrecht? Was ist Unterschied zwischen einer EU-Richtlinie und einer EU-Verordnung? Was ist unter einer Öffnungsklausel zu verstehen? Welche EU-Richtlinie, Charta und nationales Datenschutzgesetz sind in die DSGVO integriert worden? Wieviel EG und Artikel beinhaltet die DSGVO? Was passiert automatisch bei Ablauf einer Legislaturperiode? Ab wann ist die DSGVO anwendbar und was passiert dann mit dem BDSG Novelle III? 11

12 Datenschutz-Grundverordnung VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) - Angenommen vom Rat am 8. April ZIELSETZUNG Erwägungsgrund 11 der Datenschutz-Grundverordnung (DSGVO) (11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie - in den Mitgliedstaaten - gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung. (12) Artikel 16 Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen. 12

13 Die EU-Datenschutz-Grundverordnung, angelehnt an die Richtlinie 95/46/EG, Charta der Grundrechte und dem deutschen Datenschutz-Recht. 173 Erwägungsgründe und 99 Artikel. BDSG Novelle III (2009) Richtlinie 95/46/EG (1995) Charta der Grundrechte (2000) Informationelle Selbstbestimmung (1983) Transparenz, Datensparsamkeit, Auskunftsrechte, Korrektur- und Löschrechte Auftragsdaten- Verarbeitung 13

14 Die Systematik (Aufbau) - Der EU-Datenschutz-Grundverordnung Erwägungsgründe S Artikel 1 99 Kapitel I: ALLGEMEINE BESTIMMUNGEN Artikel 1 Gegenstand und Ziele S. 108 Artikel 2 Sachlicher Anwendungsbereich S. 108 Artikel 3 Räumlicher Anwendungsbereich S. 110 Artikel 4 Begriffsbestimmungen S. 111 Kapitel II: GRUNDSÄTZE Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten S. 117 Artikel 6 Rechtmäßigkeit der Verarbeitung S. 118 Artikel 7 Bedingungen für die Einwilligung S. 122 Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft S. 123 Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten S. 124 Artikel 10 Verarbeitung von pbd über strafrechtliche Verurteilungen und Straftaten S. 127 Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist S. 128 Kapitel III: RECHTE DER BETROFFENEN PERSON Artikel 12 Transparente Inform., Kommunikation und Modalitäten für die Ausübung der Rechte der betroff. S. 129 Artikel 13 Informationspflicht bei Erhebung von pbd bei der betroffenen Person S. 131 Artikel 14 Informationspflicht, wenn die pbd nicht bei der betroffenen Person erhoben wurden S. 134 Artikel 15 Auskunftsrecht der betroffenen Person S. 138 Artikel 16 Recht auf Berichtigung S. 140 Artikel 17 Recht auf Löschung ("Recht auf Vergessenwerden") S. 140 Artikel 18 Recht auf Einschränkung der Verarbeitung S. 142 Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung pbd oder der S. 143 Artikel 20 Recht auf Datenübertragbarkeit S. 144 Artikel 21 Widerspruchsrecht S. 145 Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling S. 146 Artikel 23 Beschränkungen S

15 Die Systematik (Aufbau) - Der EU-Datenschutz-Grundverordnung Kapitel IV: VERANTWORTLICHER UND AUFTRAGSVERARBEITER Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen S. 150 Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen S. 151 Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche S. 152 Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern S. 152 Artikel 28 Auftragsverarbeiter S. 154 Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters S. 157 Artikel 30 Verzeichnis von Verarbeitungstätigkeiten S. 158 Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde S. 160 Artikel 32 Sicherheit der Verarbeitung S. 160 Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde S. 162 Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes pbd betroffenen Person S. 163 Artikel 35 Datenschutz-Folgenabschätzung S. 164 Artikel 36 Vorherige Konsultation S. 168 Artikel 37 Benennung eines Datenschutzbeauftragte S. 170 Artikel 38 Stellung des Datenschutzbeauftragten S. 171 Artikel 39 Aufgaben des Datenschutzbeauftragte S. 173 Artikel 40 Verhaltensregeln S. 174 Artikel 41 Überwachung der genehmigten Verhaltensregeln S. 178 Artikel 42 Zertifizierung S. 180 Artikel 43 Zertifizierungsstelle S. 182 KAPITEL V ÜBERMITTLUNG PBD AN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN Artikel 44 Allgemeine Grundsätze der Datenübermittlung S. 185 Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses S. 186 Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien S. 189 Artikel 47 Verbindliche interne Datenschutzvorschriften S. 191 Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung S. 195 Artikel 49 Ausnahmen für bestimmte Fälle S. 195 Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten S

16 Die Systematik (Aufbau) - Der EU-Datenschutz-Grundverordnung KAPITEL VI UNABHÄNGIGE AUFSICHTSBEHÖRDEN Artikel 51 Aufsichtsbehörde S. 199 Artikel 52 Unabhängigkeit S. 200 Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde S. 201 Artikel 54 Errichtung der Aufsichtsbehörde S. 202 Artikel 55 Zuständigkeit S. 203 Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde S. 204 Artikel 57 Aufgaben S. 205 Artikel 58 Befugnisse S. 209 Artikel 59 Tätigkeitsbericht S. 213 KAPITEL VII ZUSAMMENARBEIT UND KOHÄRENZ Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen S. 213 Artikel 61 Gegenseitige Amtshilfe S. 216 Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden S. 218 Artikel 63 Kohärenzverfahren S. 221 Artikel 64 Stellungnahme Ausschusses S. 221 Artikel 65 Streitbeilegung durch den Ausschuss S. 224 Artikel 66 Dringlichkeitsverfahren S. 226 Artikel 67 Informationsaustausch S. 227 Artikel 68 Europäischer Datenschutzausschuss S. 228 Artikel 69 Unabhängigkeit S. 229 Artikel 70 Aufgaben des Ausschusses S. 229 Artikel 71 Berichterstattung S. 234 Artikel 72 Verfahrensweise S. 235 Artikel 73 Vorsitz S. 235 Artikel 74 Aufgaben des Vorsitzes S. 236 Artikel 75 Sekretariat S. 236 Artikel 76 Vertraulichkeit S

17 Die Systematik (Aufbau) - Der EU-Datenschutz-Grundverordnung KAPITEL VIII RECHTSBEHELFE, HAFTUNG UND SANKTIONEN Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde S. 238 Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde S. 239 Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter S. 240 Artikel 80 Vertretung von betroffenen Personen S. 241 Artikel 81 Aussetzung des Verfahrens S. 242 Artikel 82 Haftung und Recht auf Schadenersatz S. 242 Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen S. 244 Artikel 84 Sanktionen S. 248 KAPITEL IX VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit S. 249 Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten S. 250 Artikel 87 Verarbeitung der nationalen Kennziffer S. 250 Artikel 88 Datenverarbeitung im Beschäftigungskontext S. 251 Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken S. 252 Artikel 90 Geheimhaltungspflichten S. 253 Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gem S. 254 KAPITEL X DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKT Artikel 92 Ausübung der Befugnisübertragung S. 255 Artikel 93 Ausschussverfahren S. 256 Artikel 94 Aufhebung der Richtlinie 95/46/EG S. 257 Artikel 95 Verhältnis zur Richtlinie 2002/58/EG S. 257 Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften S. 258 Artikel 97 Berichte der Kommission S. 258 Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz S. 259 Artikel 99 Inkrafttreten und Anwendung S

18 Erwägungsgrund (Whereas) 1 (1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden Charta ) Charta der Grundrechte der Europäischen Union, proklamiert am 7. Dezember 2000 Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. sowie Artikel 16 Absatz 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) Art. 16 (ex-artikel 286 EGV) (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. 18

19 4a Einwilligung Welche Voraussetzungen stellt das BDSG an eine gültige Einwilligungserklärung? Einwilligung muss auf freier Entscheidung beruhen, also ohne Zwang gemäß ( 4a Abs. 1 Satz 1 i.v.m. 28 Abs. 3b) Kopplungsverbot! Es ist auf den Zweck der Verarbeitung hinzuweisen. ( 4a Abs. 1 Satz 2). Es ist auf die Folgen der Verweigerung der Einwilligung hinzuweisen. ( 4a Abs. 1 Satz 2). Einwilligung muss schriftlich erfolgen gemäß ( 4a Abs. 1 Satz 3). Bei nichtöffentlichen Stellen i.v.m. ( 28 Abs. 3a und i.v.m. 13 Abs. 2 TMG). Erklärung, ist im Erscheinungsbild hervorzuheben. Einwilligung muss gut erkennbar sein ( 4a Abs. 1 Satz 4 i.v.m. 28 Abs. 3a). Werden besondere Arten personenbezogener Daten ( 3 Abs. 9) erhoben, verarbeitet oder genutzt muss dies ausdrücklich erklärt werden ( 4a Abs. 3). Ausnahme zu Punkt 6 im Bereich der wissenschaftlichen Forschung gemäß (GG Art. 5 Abs. 3) i.v.m. ( 4a Abs. 2 Satz 1 und 4a Abs. 2 Satz 2). 19

20 RECHTE DER BETROFFENEN PERSON Welche Rechte hat der Betroffene? Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person S. 129 Artikel 13 Informationspflicht bei Erhebung von pbd bei der betroffenen Person S. 131 Artikel 14 Informationspflicht, wenn die pbd nicht bei der betroffenen Person erhoben wurden S. 134 Artikel 15 Auskunftsrecht der betroffenen Person S. 138 Artikel 16 Recht auf Berichtigung S. 140 Artikel 17 Recht auf Löschung ("Recht auf Vergessen werden") S. 140 Artikel 18 Recht auf Einschränkung der Verarbeitung S. 142 Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung pbd oder der Einschränkung der Verarbeitung S. 143 Artikel 20 Recht auf Datenübertragbarkeit S. 144 Artikel 21 Widerspruchsrecht S. 145 Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling S. 146 Artikel 23 Beschränkungen 6a Automatisierte Einzelentscheidung BDSG (1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, 20

21 Artikel 15 - DSGVO - Auskunftsrecht der betroffenen Person Welche Informationen fallen unter das Auskunftsrecht nach Art. 15 EU-DSGVO? Zwecke der Datenverarbeitung Kategorien der Daten Empfänger oder Kategorien von Empfängern Dauer der Speicherung Recht auf Berichtigung, Löschung und Widerspruch Beschwerderecht bei einer Aufsichtsbehörde Herkunft der Daten (wenn nicht bei Betroffenen erhoben) Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling Übermittlung in Drittland oder an internationale Organisation Welche Auflagen sind in den Art neu hinzugekommen? 21

22 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten BDSG Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2( 2 Abs ) fest, dass bei ihr gespeicherte besondere Arten personenbezogener Daten gemäß 3 Abs. 9 BDSG Daten, die einem Daten über strafbare personenbezogene Berufsgeheimnis Handlungen oder Ordnungs- Daten zu Bank- oder unterliegen gemäß 203 widrigkeiten oder über StGB einen solchen Verdacht Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (Häcker, Diebstahl ) und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen? Schwerwiegende Beeinträchtigungen z.b. durch illegale Kontoabbuchungen(Kto.-Nr., BLZ, od. IBAN, BIC oder Skimming ) Erpressbarkeit(Kontostand: > ), Bloßstellung oder Rufschädigung etc. Schutzstufenkategorie D oder E? Besteht ein Risiko: Materieller oder immaterieller Schäden oder ein Risiko auf Identitätsdiebstahl(Online-Geschäfte)? Unrechtmäßige Kenntniserlangung durch Dritte? J Drohen schwerwiegende Beeinträchtigungen? J N Sind die Daten gemäß 3 Abs. 6 anonymisiert? N J J Sind die Daten gemäß 3 Abs. 6a pseudonymisiert und oder verschlüsselt? N N Keine Meldepflicht! Meldepflicht ist Fall abhängig, LfD kontaktieren! Ort der Referenztabelle? Art der Verschlüsselung? N Meldepflicht! angemessene Maßnahmen zur Sicherung der Daten ergriffen - JA Benachrichtigung der Betroffenen Keine Meldepflicht! Keine Meldepflicht! 22

23 4g BDSG - Aufgaben des DSB 4g Abs. 1 S. 1 BDSG 1 4g Abs. 2 S. 1 BDSG 4 Hinwirken: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Führen der Verfahrensübersicht -Verfahrensverzeichnisse gemäß 4e Satz 1 Nr. 1 bis 8 welche automatisiert pbd verarbeiten - Transparenz. 4g Abs. 1 S. 4 Nr. 1 BDSG Überwachen: Er hat insb. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe pbd verarbeitet werden sollen, zu überwachen. 2 4g Abs. 2 S. 2 i.v.m. 4e S. 1 Nr. 1 bis 8 Verfügbarkeit der Übersicht für jedermann öffentliches Verfahrensverzeichnis Jedermannverzeichnis. 5 4g Abs. 1 S. 4 Nr. 2 BDSG Vertraut machen - Schulung der Mitarbeiter mit den Vorschriften dieses Gesetzes(BDSG) und anderen Vorschriften des Datenschutzes. 3 4f Abs. 1 Satz 6, i.v.m 4d Abs. 5 und i.v.m. 3 Abs. 9 Durchführung von Vorabkontrollen - Bestehen besondere Risiken für die Betroffenen? 6 23

24 Urheberrechte - Bildernachweis Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: EU-Datenschutz-Grundverordnung dienen, wurden erworben bei Fotolia.com Quellangaben: isches_parlament_verabschiedet_eu- Datenschutzreform_-_UPDATE_23_05_2016/ DSGVO_Ueberblick-Homepage.pdf 24