Das neue Datenschutzrecht 19. September 2018
seit 25. Mai 2018: Die DSGVO gilt für alle Unternehmen mit Sitz in der EU, die personenbezogene Daten von natürlichen Personen verarbeiten ebenfalls neu: BDSG immer zusammen mit der DSGVO zu lesen Anwendungsvorrang der DSGVO Das neue Datenschutzrecht 2
Was sind personenbezogene Daten? = Informationen, die sich auf identifizierte oder identifizierbare Personen beziehen. Beispiele: Name, Adresse Telefonnummer, E-Mail-Adresse Geburtsdatum Fotos IP-Adresse, Standortdaten Das neue Datenschutzrecht 3
Was bedeutet Verarbeitung? = das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Das neue Datenschutzrecht 4
Grundsätze der DSGVO Verbot mit Erlaubnisvorbehalt Personenbezogene Daten: Vertrag/ Einwilligung/ rechtliche Verpflichtung / Interessenabwägung: Art. 6 Abs. 1 DSGVO Besonders sensible Daten: ausdrückliche Einwilligung, Art. 9 Abs. 2 DSGVO Das neue Datenschutzrecht 5
Grundsätze der DSGVO Rechtmäßigkeit/Richtigkeit Transparenz (!) Zweckbindung (!) Datenminimierung Speicherbegrenzung Das neue Datenschutzrecht 6
Grundsätze der DSGVO Integrität und Vertraulichkeit (!) Sichere Verschlüsselungen Verschlüsselung nach aktuellem Stand der Technik: https://www.bsi.bund.de Rechenschaftspflichten (!) Das neue Datenschutzrecht 7
Datenschutzerklärung / Informationspflichten (Transparenz) Jeder Unternehmer hat umfangreiche Informationspflichten vor jeder Datenerhebung = Datenschutzerklärung Informiert werden müssen: Kunden, Mitarbeiter, Lieferanten, Bewerber, etc. Datenschutzerklärung auf Webseite (max. zwei Klicks)/E-Mail-Signatur Das neue Datenschutzrecht 8
Beispiel IHK Saarland Das neue Datenschutzrecht 9
Inhalt der Datenschutzerklärung I. Name und Anschrift des Verantwortlichen und ggf. des Vertreters II. Name und Anschrift des Datenschutzbeauftragten Das neue Datenschutzrecht 10
Das neue Datenschutzrecht 11
Inhalt der Datenschutzerklärung III. Allgemeines zur Datenverarbeitung 1. Rechtsgrundlage für die Verarbeitung Vertrag/Einwilligung/rechtliche Verpflichtung/ Interessenabwägung: Art. 6 Abs. 1 DSGVO 2. Umfang der Verarbeitung personenbezogener Daten und Zweck 3. Speicherdauer und Datenlöschung Dauer der Speicherung / Kriterien für die Festlegung der Dauer: gesetzliche Aufbewahrungsfristen, Löschkonzept Das neue Datenschutzrecht 12
Das neue Datenschutzrecht 13
Das neue Datenschutzrecht 14
Inhalt der Datenschutzerklärung IV. Empfänger der Daten V. Übermittlung an Drittstaaten Das neue Datenschutzrecht 15
Inhalt der Datenschutzerklärung VI. Erstellung von Protokolldateien 1. Beschreibung und Umfang der Datenverarbeitung 2. Angabe der Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO 3. Zweck der Datenverarbeitung, berechtigtes Interesse 4. Dauer der Speicherung/Löschung 5. Widerspruchs- und Beseitigungsmöglichkeit Das neue Datenschutzrecht 16
Das neue Datenschutzrecht 17
Inhalt der Datenschutzerklärung VII.Verwendung von Cookies wie zuvor 1.- 5. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Das neue Datenschutzrecht 18
Das neue Datenschutzrecht 19
Inhalt der Datenschutzerklärung VIII. Newsletter wie zuvor 1.- 5. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Hinweis auf Widerrufsrecht Double-Opt-In-Verfahren verwenden! Das neue Datenschutzrecht 20
Das neue Datenschutzrecht 21
Inhalt der Datenschutzerklärung IX. Kontaktformular wie zuvor 1.- 5. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO oder Art. 6 Abs. 1 lit. b DSGVO, sowie Art. 6 Abs. 1 lit. f DSGVO Das neue Datenschutzrecht 22
Das neue Datenschutzrecht 23
Inhalt der Datenschutzerklärung X. Analyse-Tools XI. Social Plugins XII. Bezahldienste Das neue Datenschutzrecht 24
Inhalt der Datenschutzerklärung XI. Rechte der Betroffenen 1. Auskunftsrecht 2. Recht auf Berichtigung 3. Recht auf Einschränkung der Verarbeitung (!) 4. Recht auf Löschung 5. Recht auf Datenübertragbarkeit (!) 6. Widerspruchsrecht (!) 7. Recht auf Beschwerde bei der Aufsichtsbehörde (!) Das neue Datenschutzrecht 25
Das neue Datenschutzrecht 26
Facebook und Datenschutz Facebook-Fanpages Urteil des EuGH: Unternehmer mitverantwortlich für Datenschutz Unternehmen muss über Datenschutz informieren Link auf Homepage Problem: Welche Daten verarbeitet Facebook? Das neue Datenschutzrecht 27
Was ist noch zu erledigen? Aufbau eines Datenschutz-Management- Systems Was: Welche Daten unterfallen dem Datenschutz-Management? Welche Daten müssen geschützt werden? Erstellung von Verfahrensverzeichnissen Wer ist wofür zuständig? Zuständigkeiten, Berechtigungen, Zugangsberechtigungen, Verpflichtungserklärung 20.09.2018 Das neue Datenschutzrecht kommt! 28
Muster Verpflichtungserklärung Kennzahl 2158 20.09.2018 Das neue Datenschutzrecht kommt! 29
Was ist noch zu erledigen? Wie laufen die künftigen Prozesse ab? (Einwilligungen, Betroffenenrechte, Datenpannen, Sicherungsmaßnahmen, usw.) Sensibilisierung/ Schulung, Richtlinien Wie lange werden Daten aufbewahrt? Archivierungsfristen, Löschkonzept 20.09.2018 Das neue Datenschutzrecht kommt! 30
Betrieblicher Datenschutzbeauftragter 1. Bestellpflicht mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt Datenschutz-Folgenabschätzung 2. Datenschutz bleibt Chefsache! Das neue Datenschutzrecht 31
Betrieblicher Datenschutzbeauftragter Aufgaben: Unterrichtung des Verantwortlichen Unterstützung des Verantwortlichen Überwachung und Einhaltung der Datenschutzbestimmungen Ansprechpartner für Mitarbeiter und Betroffene Das neue Datenschutzrecht 32
Kennzahl: 662 Das neue Datenschutzrecht 33
Weiterführende Informationen www.saarland.ihk.de Kennzahl 2158 Das neue Datenschutzrecht 34
Ihre Ansprechpartnerinnen: Kim Pleines Tel: 0681 95 20 640 kim.pleines@saarland.ihk.de Heike Cloß Tel: 0681 95 20 600 heike.closs@saarland.ihk.de Das neue Datenschutzrecht 35