Die Datenschutz-Grundverordnung ist da was ändert sich?

Ähnliche Dokumente
Datenschutz- Grundverordnung 2016/679 DS-GVO

Kurzüberblick und Zeitplan

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Übermittlung an Drittländer

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Personenbezogene Daten

DATENSCHUTZ in der Praxis

Die Informationspflichten der Verantwortlichen

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

DATENSCHUTZERKLÄRUNG. 1 Allgemeines. 2 Persönliche Daten. 3 Informationen über Cookies. 4 Rechte der betroffenen Person

Datenschutzerklärung ISAN Deutschland Website

Information für den Umgang mit Bewerberdaten

DATENSCHUTZERKLÄRUNG. 1 Allgemeines. 2 Datenverarbeitung zur Vertragserfüllung

Datenschutzerklärung für Dienstleister und Lieferanten

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Welche Pflichten treffen die datenverarbeitenden Stellen?

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Datenschutzerklärung

Datenschutz-Richtlinie der SenVital

Datenschutzerklärung für Bewerbungsverfahren

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

EU-Datenschutz- Grundverordnung

Informationen gemäß Artikel 13 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

EU-Datenschutz-Grundverordnung: Start

Datenschutzinformation der SPECTRO Analytical Instruments GmbH nach Art. 13, 14 und 21 DSGVO

Sehr geehrte Lieferanten und Dienstleister,

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Datenschutzgrundverordnung

Datenschutzhinweise für Versicherungsmakler Informationen nach Artikeln 13, 14 und 21 Datenschutz-Grundverordnung DS-GVO

Die Europäische Datenschutz- Grundverordnung. Schulung am

Datenschutzerklärung für Lieferanten und Dienstleister

Gemäß EU Datenschutz Grundverordnung machen wir Sie hiermit über Ihre Rechte aufmerksam: Sie haben folgende Rechte

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

ANLAGE./2 (Muster-) Datenschutzerklärung 1

Datenschutzinformation zur Erfüllung der Transparenzpflichten und Einwilligungserklärung nach der DSGVO

Information Datenschutz für sonstige betroffene Personen. der Stadtwerke Rhede GmbH -Netzbetreiber-

Datenschutzerklärung für Kunden und Interessenten

Neuerungen im Datenschutzrecht mit Was bringen sie?

DSGVO FACTSHEET STAND: MAI 2018

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

A-s Informationspflicht gegenüber Kunden

Datenschutzerklärung

NEWSLETTER EU-DATENSCHUTZ-GRUNDVERORDNUNG NEWSLETTER NR. 8

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Datenschutzerklärung zu Bewerbungen der

Gesetzlich vertreten durch: Matthias Kellermann (CEO), Michael Wagner (CTO)

1 Informationspflichten gem. Art. 13 DSGVO

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Sehr geehrte Bewerber, Sehr geehrte Mitarbeiter,

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Datenschutzerklärung der Braunschweig Stadtmarketing GmbH

EU-Datenschutz-Grundverordnung Infobrief-Nr. 8 Betroffenenrechte

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Informationen gemäß Artikel 14 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO) Liebe Teilnehmerinnen und Teilnehmer an unseren Gewinnspielen,

Newsletter EU-Datenschutz-Grundverordnung (Merkblatt Nr. 8)

Datenschutzinformation für unsere Mitglieder

Welche personenbezogenen Daten wir sammeln und warum wir sie sammeln

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

PVU Energienetze GmbH, Feldstraße 27a, Perleberg, Tel.: 03876/ , Fax: 03876/ ,

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Information nach Artikel 13, 14, 21 DSGVO. Datenschutzhinweise

Art. 12 DSGVO Transparente Information

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

- Wa s i s t j e t z t z u t u n? -

1. Verantwortlicher Verantwortlicher für die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten im Sinne von Art. 4 Nr.

Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Datenschutzhinweise. Die nachfolgenden Datenschutzhinweise geben einen Überblick über die Erhebung und Verarbeitung Ihrer Daten.

Stand: August Newsletter EU-Datenschutz-Grundverordnung Nr. 8. Betroffenenrechte

Newsletter EU-Datenschutz-Grundverordnung Nr. 8

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

EIFELER METALL- UND ZINKWERKE AG

der Betroffenenrechte

Informationen zum Datenschutz gemäß Artikel 13 DSGVO

DATENSCHUTZERKLÄRUNG. 1 Allgemeines

Information zur Erhebung personenbezogener Daten nach der DSGVO für Geschäftspartner / Lieferanten

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

DATENSCHUTZGRUNDVERORDNUNG

Inhaltsverzeichnis XIII. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG

Datenschutzhinweise der ENTEGA Abwasserreinigung GmbH & Co. KG (Gültig ab )

DATENSCHUTZ DIE WORKSHOP-REIHE

Transkript:

Die Datenschutz-Grundverordnung ist da was ändert sich? Dr. Matthias Scholz, LL.M. Partner, Frankfurt/Main 10. November 2016 Datenschutztagung der GDD Mitglieder von Baker & McKenzie International sind die weltweiten Baker & McKenzie-Anwaltsgesellschaften. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für uns oder ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir unsere Büros und die Kanzleistandorte der Mitglieder von Baker & McKenzie International. 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb

Hintergrund und Zweck

Hintergrund und Zweck (1) 1.) Datenschutz-Richtlinie 95/46/EG von 1995 Grds. nicht direkt anwendbar, sondern durch die 28 EU-Mitgliedstaaten in nationales Recht umgesetzt. Der damit zusammenhängende Verwaltungsaufwand wird auf EUR 2,3 Mrd. jährlich geschätzt Meldepflichten in fast allen EU-Mitgliedstaaten kosten die Unternehmen jährlich geschätzte EUR 130 Mio 2.) Ziel der Datenschutz-Grundverordnung (DSGVO) Ein einheitliches und direkt anwendbares Datenschutzrecht in der ganzen EU, das die meist beschwerlichen Verwaltungsanforderungen und uneinheitliche Anwendung von europäischem Datenschutzrecht aufheben soll Räumlicher Anwendungsbereich: Gleiche Anforderungen an alle Unternehmen, unabhängig von ihrem Sitz innerhalb und außerhalb der EU Aber: Keine Vollharmonisierung durch DSGVO! 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 3

Hintergrund und Zweck (2) 3.) Entwicklung / Gegenwärtiger Stand Kommissionsvorschlag zur DSGVO wurde im Januar 2012 veröffentlicht Europäisches Parlament veröffentlichte Änderungen zum Kommissionsvorschlag am 12. März 2014 Der Rat der Europäischen Union veröffentlichte Änderungsvorschläge zwischen Dezember 2014 und März 2015 Trilog-Verhandlungen (Kommission, Parlament, Rat) bis Dezember 2015 Annahme der DSGVO durch das Parlament und durch die Kommission am 27. April 2016 Veröffentlichung im Amtsblatt der Europäischen Union am 4. Mai 2016 Inkrafttreten 20 Tage nach Veröffentlichung, d.h. am 25. Mai 2016 Zweijährige Übergangsfrist: Geltung der DSGVO ab 25. Mai 2018 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 4

Wesentliche Neuerungen 5

1. Räumlicher Anwendungsbereich Im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU, unabhängig davon, ob die Verarbeitung selbst in der EU erfolgt Verantwortliche oder Auftragsverarbeiter mit Sitz außerhalb der EU, wenn die Datenverarbeitung - dazu dient, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten (unabhängig vom Entgelt) - der Beobachtung des Verhaltens der betroffenen Personen dient, soweit deren Verhalten in der EU erfolgt (Analyse von Vorlieben oder Verhaltensweisen über das Internet) Verantwortliche und Auftragsverarbeiter, die sich nicht in der EU befinden, haben einen Vertreter in der EU schriftlich zu bestellen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb

2. One-Stop-Shop (1) Jeder Mitgliedstaat hat eine Aufsichtsbehörde zu benennen. Wenn mehrere Aufsichtsbehörden bestehen, ist durch den Mitgliedstaat eine Aufsichtsbehörde zu benennen, die den Mitgliedstaat vor dem EDPB vertritt Federführende Aufsichtsbehörde (Lead Authority) für grenzüberschreitende Verarbeitung: Hauptniederlassung (Art. 4 Nr. 16: Ort der Hauptverwaltung oder dort, wo die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung getroffen werden) Jede Aufsichtsbehörde kann bei sich eingereichte Beschwerden annehmen (federführende Aufsichtsbehörde muss informiert werden) Federführende Aufsichtsbehörde kooperiert/berät sich mit betroffenen Aufsichtsbehörden; der Auffassung der betroffenen Aufsichtsbehörden ist weitestgehend Rechnung zu tragen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 7

2. One-Stop-Shop (2) Amtshilfe ggü. anderen Aufsichtsbehörden: Auskunftsanfragen, Aufsichtsmaßnahmen (vorherige Genehmigungen, Kontrollen, Untersuchungen); hat grds. innerhalb eines Monats zu erfolgen Gemeinsame Tätigkeiten/Ermittlungen der Aufsichtsbehörden Das EDPB kann Stellungnahmen abgeben, um die Konsistenz zwischen den Auffassungen der verschiedenen Aufsichtsbehörden sicherzustellen Falls Aufsichtsbehörden dem nicht folgen, kann das EDPB verbindliche Entscheidungen treffen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 8

3. Datenschutzbeauftragter (1) Verantwortliche und Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeiten eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; die Kerntätigkeiten die umfangreiche Verarbeitung besonderer Arten personenbezogener Daten oder Daten über Straftaten betreffen; oder das Recht der EU oder des Mitgliedstaats dies vorsieht. Eine Unternehmensgruppe kann einen Datenschutzbeauftragten ernennen, sofern der Datenschutzbeauftragte von jedem Standort aus leicht erreichbar ist. 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 9

3. Datenschutzbeauftragter (2) Kontaktdaten müssen der Aufsichtsbehörde gemeldet werden Kontaktdaten müssen veröffentlicht werden Aufgaben des Datenschutzbeauftragten gemäß DSGVO: Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten zu Pflichten aus der DSGVO sowie anderer Datenschutzvorschriften der EU oder der Mitgliedstaaten Überwachung der Einhaltung der DSGVO sowie anderer Datenschutzvorschriften der EU oder der Mitgliedstaaten Schulung der Mitarbeiter Beratung im Zusammenhang mit der Datenschutzfolgeabschätzung (Privacy Impact Assessment) und Überwachung der Durchführung Ansprechpartner für die Aufsichtsbehörde(n) 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 10

4. Data Breach Notification Der Verantwortliche hat die zuständige Aufsichtsbehörde nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung über den Data Breach zu informieren, es sei denn, der Data Breach führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von Personen Hat der Data Breach voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, muss der Verantwortliche die betroffene Person unverzüglich von der Verletzung unterrichten (Ausnahmen sind möglich) Verantwortliche müssen alle Data Breaches intern dokumentieren Risiko für die Rechte und Freiheiten von Personen ist in der DSGVO nicht weiter definiert Nach Feststellung eines Data Breaches durch den Auftragsverarbeiter hat er diese dem Verantwortlichen unverzüglich zu melden 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 11

5. Verzeichnis von Verarbeitungstätigkeiten (1) Der Verantwortliche und der Auftragsverarbeiter müssen ein Verzeichnis aller Verarbeitungsaktivitäten führen. Das Verzeichnis muss folgende Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, des Vertreters (soweit einschlägig) sowie eines etwaigen Datenschutzbeauftragten Zwecke der Verarbeitung Beschreibung der Kategorien von betroffenen Personen und der Kategorien der personenbezogenen Daten Kategorien von Empfängern Übermittlungen von Daten in ein Drittland einschließlich der geeigneten Garantien Aufbewahrungsfrist Beschreibung der technischen und organisatorischen Maßnahmen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 12

5. Verzeichnis von Verarbeitungstätigkeiten (2) Die genannten Pflichten gelten nicht, wenn weniger als 250 Mitarbeiter beschäftigt sind, kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung von sensiblen Daten oder von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten erfolgt. 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 13

6. Datenschutzfolgenabschätzung (Privacy Impact Assessment) Wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (insb. bei neuen Technologien) ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, muss der Verantwortliche ein Privacy Impact Assessment (PIA) durchführen. Stellungnahme des Datenschutzbeauftragten ist einzuholen Die Aufsichtsbehörden erstellten eine Liste der Verarbeitungsvorgänge, für die ein PIA durchzuführen ist. PIA hat zumindest Folgendes zu enthalten: Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck Bewertung der Risiken in Bezug für die Rechte und Freiheiten der betroffenen Personen Vorgesehene Maßnahmen im Hinblick auf die Risiken, einschließlich der Garantien, Sicherheitsvorkehrungen und Verfahren 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 14

7. Internationale Datenübermittlungen (1) a) Sämtliche von der Kommission auf der Grundlage von Artikel 25 (6) der Datenschutz-Richtlinie erlassenen Beschlüsse (angemessenes Datenschutzniveau eines Landes = White List Countries; EU-US Privacy Shield) bleiben so lange in Kraft, bis sie von der Kommission durch eine Entscheidung geändert, ersetzt oder aufgehoben werden. b) Sämtliche von einer Aufsichtsbehörde auf Grundlage von Artikel 26 (2) der Datenschutz-Richtlinie erteilten Genehmigungen (Binding Corporate Rules oder Ad-Hoc-Verträge) und von der Kommission auf der Grundlage von Artikel 26 (4) der Datenschutz-Richtlinie erlassenen Beschlüsse (angemessene Sicherheitsvorkehrungen wie EU-Standardverträge) bleiben so lange in Kraft, bis sie von der Kommission durch eine Entscheidung geändert, ersetzt oder aufgehoben werden. 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 15

7. Internationale Datenübermittlungen (2) c) Neue Grundlagen eines Angemessenheitsbeschlusses Kommission kann feststellen, dass ein Drittland bzw. ein Gebiet oder ein oder mehrere spezifische Sektoren dieses Drittlands oder die betreffende internationale Organisation einen angemessenen Schutz bietet Derartige Datenübermittlungen bedürfen keiner besonderen Genehmigung Die Kommission kann, soweit dies erforderlich ist, derartige Beschlüsse widerrufen, ändern oder aussetzen, allerdings ohne Rückwirkung d) Neue geeignete Garantien Binding Corporate Rules Standard Contractual Clauses der Kommission (Prüfverfahren) Prüfverfahren: Ein Gremium von Repräsentanten der Mitgliedsstaaten entscheidet gemeinsam über die Annahme Standard Contractual Clauses der Aufsichtsbehörde mit Genehmigung durch Kommission (Prüfverfahren) Genehmigte Verhaltensregeln (Code of Conducts) Genehmigter Zertifizierungsmechanismus Durch die Aufsichtsbehörde genehmigte Ad-Hoc-Verträge (Kohärenzverfahren erforderlich) 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 16

7. Internationale Datenübermittlungen (3) e) Ausnahmen Ausdrückliche Einwilligung Für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich Zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrages Aus wichtigen Gründen des öffentlichen Interesses notwendig Für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Lebenswichtige Interessen der betroffenen Person Übermittlung erfolgt aus einem Register, das zur Information der Öffentlichkeit oder aller Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 17

7. Internationale Datenübermittlungen (4) e) Ausnahmen Interessensabwägung Wenn es sich um eine einmalige Übermittlung handelt, die eine begrenzte Anzahl von betroffenen Personen betrifft und zur Wahrung zwingender berechtigter Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen und soweit der Verantwortliche alle Umstände beurteilt hat, die bei einer Datenübermittlung eine Rolle spielen und auf der Grundlage dieser Beurteilung geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche hat die Aufsichtsbehörde über die Übermittlung zu unterrichten. Der Verantwortliche hat die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen zu unterrichten. 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 18

8. Datenschutzerklärung / Privacy Statement (1) Inhalt Name und Kontaktdaten des Verantwortlichen sowie ggf. des Vertreters Ggf. Kontaktdaten des Datenschutzbeauftragten Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung Vorrangiges berechtigtes Interesse des Verantwortlichen oder eines Dritten bei Interessenabwägung als Rechtfertigungsgrund Empfänger oder Empfängerkategorien der personenbezogenen Daten Übermittlung in ein Drittland sowie Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses oder Verweis auf Garantien und deren Verfügbarkeit Aufbewahrungsfrist oder Kritierien für Fristfestlegung Vergleich zu deutschem Datenschutzrecht 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 19

8. Datenschutzerklärung / Privacy Statement (2) Inhalt Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) Ggf. Information über das Recht, die Einwilligung jederzeit widerrufen zu können Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Verpflichtung zur Bereitstellung besteht und mögliche Folgen der Nichtbereitstellung Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling Vergleich zu deutschem Datenschutzrecht Falls nicht beim Betroffnen erhoben, zudem: Datenkategorien Quellen, aus denen die personenbezogenen Daten stammen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 20

8. Datenschutzerklärung / Privacy Statement (3) Form Präzise, transparente, verständliche und leicht zugängliche Form sowie klare und einfache Sprache Schriftliche oder elektronische Übermittlung, wobei Bereitstellen auf der Website genügt ggf. in Kombination mit Bildsymbolen wie von Kommission vorgeben Vergleich zu deutschem Datenschutzrecht Zeitpunkt Zum Zeitpunkt der Erhebung der Daten, wenn personenbezogene Daten beim Betroffenen erhoben werden Innerhalb angemessener Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats, wenn personenbezogene Daten nicht beim Betroffenen erhoben werden Mögliche Sanktionen Geldbuße bis 20 mio. EUR oder 4% des weltweit erzielten Jahresumsatzes 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 21

9. Einwilligung (1) Anforderungen Vergleich zu deutschem Datenschutzrecht Freiwillig, d.h. echte oder freie Wahl. Fehlt in der Regel, wenn: zwischen betroffener Person und Verantwortlichem ein klares Ungleichgewicht besteht die Vertragserfüllung trotz fehlender Erforderlichkeit von der Erteilung abhängig gemacht wird Spezifisch, d.h. verschiedene Datenverarbeitungszwecke erfordern separate Einwilligungen Informiert, d.h. zumindest wissen, wer der Verantwortliche ist und zu welchen Zwecken Daten verarbeitet werden Unmissverständlich: in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, z.b. durch Anklicken eines Kästchens (unzureichend: vorangekreuzte Kästchen oder Untätigkeit) Jederzeitige Widerrufsmöglichkeit und Belehrung hierüber vor Abgabe der Einwilligung 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 22

9. Einwilligung (2) Form Elektronische Erklärung ausreichend Nachweisbarkeit der Einwilligung Besondere Anforderungen bei vorformulierter Einwilligungserklärung Vergleich zu deutschem Datenschutzrecht Sonstiges Ggf. ausdrückliche Einwilligung erforderlich, z.b. für die Verarbeitung von sensiblen Daten oder für Profiling Dienste der Informationsgesellschaft für Kinder unter 16: Einwilligung nur rechtmäßig, wenn und insoweit die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird Nach einzelstaatlichem Recht auch für jüngere Kinder möglich, soweit diese nicht unter 13 Jahren sind bereits erteilte Einwilligungen gelten fort, wenn sie den Bedingungen der DSGVO entsprechen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 23

9. Einwilligung (3) Mögliche Sanktionen Geldbuße bis 20 mio. EUR oder 4% des weltweit erzielten Jahresumsatzes Vergleich zu deutschem Datenschutzrecht 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 24

10. Betroffenenrechte (1) Auskunftsrecht Vergleich zu deutschem Datenschutzrecht Inhalt, z.b.: Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger oder Kategorien von Empfängern, inbesondere bei Empfängern in Drittländern Geplante Speicherdauer oder falls nicht möglich Kriterien für Festlegung der Dauer; alle verfügbaren Informationen über die Herkunft der Daten, wenn nicht bei betroffener Person erhoben; Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und bei Übermittlung an ein Drittland, Unterrichtung über geeignete Garantien Form: Kopie der personenbezogenen Daten, d.h. ggf. Auszüge aus Datenbank mit E-Mail- Korrespondenz. Einschränkung: Erhalt der Kopie darf Rechte anderer Personen nicht beeinträchtigen In gängigem elektronischem Format, falls Antrag elektronisch gestellt, z.b. per E-Mail Erste Kopie kostenlos, für weitere Kopien kann angemessenes Entgelt verlangt werden Frist: keine ausdrückliche Regelung, aber 271 BGB? 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 25

10. Betroffenenrechte (2) Recht auf Löschung ( Recht auf Vergessenwerden ) Löschung personenbezogener Daten kann verlangt werden, wenn z.b. nicht mehr notwendig für Zwecke, für die sie erhoben wurden, oder Widerruf der Einwilligung und Fehlen einer anderweitigen Rechtsgrundlage Unverzüglich Wurden die Daten öffentlich gemacht und besteht eine Löschungsverpflichtung, so trifft der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um Verantwortliche darüber zu informieren, dass eine betroffene Person die Löschung aller Links oder von Kopien oder Replikationen verlangt hat Gilt nicht, wenn Verarbeitung erforderlich ist, z.b. zur Ausübung des Rechts auf freie Meinungsäußerung oder zur Erfüllung einer Verpflichtung Mitteilungspflicht gegenüber allen Empfängern, es sei denn, unmöglich oder mit unverhältnismäßigem Aufwand verbunden Vergleich zu deutschem Datenschutzrecht 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 26

10. Betroffenenrechte (3) Recht auf Datenübertragbarkeit Recht auf Erhalt der von einem Betroffenen einer verantwortlichen Stelle zur Verfügung gestellten personenbezogenen Daten in einem üblichen, maschinenlesbaren Format, und Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem sie beretigestellt wurden, zu übermitteln (auch direkt, soweit technisch machbar) Vergleich zu deutschem Datenschutzrecht Voraussetzung: Datenverarbeitung beruht auf Einwilligung oder Vertrag Einschränkung: Keine Beeinträchtigung von Rechten anderer Verbandsklage Art. 80 DSGVO: Betroffene Person kann eine gemeinnützige Vereinigung mit der Wahrnehmung seiner Rechte beauftragen, z.b. Beschwerde bei Aufsichtsbehörde sowie Anspruch auf Schadensersatz 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 27

11. Auftragsverarbeitung Ausweitung der Verantwortung: Auftragsverarbeiter ist auch für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, z.b. für Einhaltung der TOMs, Meldung von Data Breaches, Bestellung eines Datenschutzbeauftragten. Verstöße sind bußgeldbewehrt Der Auftragsverarbeiter ist nicht Dritter (Art. 4 (11)); Aber: Offenlegung durch Übermittlung setzt keine Weitergabe an Dritte voraus keine ausdrückliche Privilegierung mehr aber evtl. Rechtfertigung gemäß Art. 6 Nr. 1 (f) zur Wahrung der berechtigten Interessen des Verantwortlichen Durchführung der Verarbeitung erfolgt auf Grundlage eines Vertrages in dem unter anderem Gegenstand, Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen, die Pflichten und Rechte des Verantwortlichen sowie weitere Anforderungen festgelegt sind (die Kommission und die Aufsichtsbehörde können diesbzgl. Standardvertragsklauseln festlegen) 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 28

12. Befugnisse der Aufsichtsbehörden Verantwortliche, Auftragsverarbeiter und/oder ggf. der Vertreter können angewiesen werden, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind Untersuchungen in Form von Datenschutzüberprüfungen Zugriff auf alle personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte Untersuchungs -befugnisse der Aufsichtsbehörden Abhilfebefugnisse der Aufsichtsbehörden, z.b. Warnungen, dass beabsichtigte Verarbeitungsvorgänge möglicherweise gegen die DSGVO verstoßen Anweisung zur Erfüllung von Rechten der Betroffenen (z.b. Auskunft, Datenportierung, Löschung, Information) Anordnung zur Aussetzung von Datenverarbeitungsprozessen und Datenübermittlungen 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 29

13. Sanktionen (1) Verhängung von Geldbußen Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag werden bestimmte Faktoren berücksichtigt (z.b. Art, Schwere und Dauer des Verstoßes, Zahl der Betroffenen und das Ausmaß des von ihnen erlittenen Schadens, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, getroffene Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, Grad der Verantwortung unter der Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen, etwaige einschlägige frühere Verstöße). - Geringfügige Verstöße: EUR 10 Mio. oder bis zu 2% des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist. - Einwilligungserfordernisse bei Kindern - Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen - Ernennung eines Vertreters und/oder eines Datenschutzbeauftragten - Einsetzen von Auftragsverarbeitern - Interne Aufzeichnung von Verstößen und Datenschutzfolgeabschätzung - Sicherheitsvorkehrungen (TOMs) - Meldungen von Verletzungen des Schutzes personenbezogener Daten 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 30

13. Sanktionen (2) Verhängung von Geldbußen - Schwerwiegende Verstöße: EUR 20 Mio. oder bis zu 4% des gesamten weltweiten Jahresumsatzes des abgelaufenen Finanzjahres, je nachdem, was höher ist. - Einfache Verarbeitungsgrundsätze, wie z.b. Fairness, Rechtmäßigkeit, Transparenz, Datensparsamkeit, Zweckbegrenzung, Gründlichkeit, Aufbewahrungsfristen, Einwilligung, Rechtmäßigkeit der Verarbeitung bei Daten besonderer Datenkategorien - Betroffenenrechte - Internationale Datenübermittlungen - Nichteinhaltung einer Anordnung der Aufsichtsbehörde 2016 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 31

Baker & McKenzie has been global since inception. Being global is part of our DNA. Dr. Matthias Scholz, LL.M. Partner Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb Bethmannstrae 50-54 60311 Frankfurt/Main T: +49 69 2 99 08 203 M: +49 172 70 63 559 matthias.scholz@bakermckenzie.com Baker & McKenzie - Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb ist eine im Partnerschaftsregister des Amtsgerichts Frankfurt/Main unter PR-Nr. 1602 eingetragene Partnerschaftsgesellschaft nach deutschem Recht mit Sitz in Frankfurt/Main. Sie ist assoziiert mit Baker & McKenzie International, einem Verein nach Schweizer Recht. Mitglieder von Baker & McKenzie International sind die weltweiten Baker & McKenzie-Anwaltsgesellschaften. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für uns oder ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir unsere Büros und die Kanzleistandorte der Mitglieder von Baker & McKenzie International. Baker & McKenzie

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback