Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung) Endspurt Hans-Jürgen Götz
EU-DSGVO I Anspruch Erwägungsgrund 11 der DS-GVO Persönlichkeitsrechte stärken Verschärfung der Auflagen für Verarbeiter Nivellierung in Europa 2
EU-DSGVO I Einordnung in das Rechtesystem Aktuell Verordnung = Unmittelbare Geltung in jedem Ab Mai 2018 EU-Mitgliedsstaat 3
EU-DSGVO I Ab wann? Bereits jetzt in Kraft (25. Mai 2016) Übergangsphase von zwei Jahren TMG SGB X BDSG LDSG 4
EU-DSGVO Auswirkungen EU-Verordnung direkt anwendbar Ersetzt nationales Datenschutzrecht Öffnungsklauseln???? TMG SGB X BDSG LDSG 5
EU-DSGVO Auswirkungen Öffnungsklauseln BDSG_neu und LDSG_neu BDSG_neu LDSG_neu TMG/ePrivacy 6
DS-GVO I Was ändert sich Nichts bleibt beim Alten!?? Sanktionsrahmen Aber: keine Geltung für öffentliche Stellen in Erfüllung ihrer Aufgaben Rechtmäßigkeit der Datenverarbeitung Informationspflichten vor allem an Betroffene Dokumentationspflichten Auftragsdatenverarbeitung Gemeinsame Verarbeitung Technische und organisatorische Maßnahmen Datenschutzfolgeabschätzung (hier nicht behandelt) 7
EU-DSGVO I Sanktionsrahmen Massive Verschärfung des Sanktionsrahmens für Verarbeiter, die am Wettbewerb teilnehmen Verstöße gegen Regelungen Verstöße gegen Regelungen Verstöße gegen Regelungen Verstöße gegen Regelungen Verstöße gegen Regelungen Verstöße gegen Anordnungen der Aufsichtsbehörde Verstöße gegen Regelungen Aufsichtsbehörde der Zweischneidiges Ergebnis: Aufsichtsbehörde wirkt nicht mehr eher beratend, sondern auch repressiv. 8
EU-DSGVO I Rechtmäßigkeitsgrundlagen Verbot mit Erlaubnisvorbehalt bleibt Art. 6 Abs. 1 mit Datenminimierung Transparenz Zweckbindung Einwilligung zwingend überprüfen Berechtigtes Interesse : LfDI: Keine Option für öffentliche Stellen (Vortrag Innenministerium) Stattdessen: Wahrnehmung einer Aufgabe im öffentlichen Interesse 9
EU-DSGVO I Rechte der Betroffenen Worauf haben betroffene Personen Anspruch? Auskunft Widerspruch Löschung Datenübertragung 10
EU-DSGVO I Pflichten des Datenverarbeiters I. Informations- und Meldepflichten II. Rechenschafts- und Nachweispflichten III. Technische und organisatorische Maßnahmen IV. Datenschutzbeauftragte müssen benannt werden V. Ggfs. Datenschutz-Folgenabschätzung 11
EU-DSGVO I Informationspflichten I Auf welche Informationen besteht jetzt ein Anspruch (Datenschutzerklärung) Name des Verantwortlichen Kontaktdaten des/der Datenschutzbeauftragten Zweck der Verarbeitung sowie Rechtsgrundlage Das berechtigte Interesse (Art. 6 Abs. 1), sofern darauf beruhend Hinweis auf Widerspruchsrecht (auch bei Einwilligung) Hinweis auf Löschrecht Absicht der Drittlandübermittlung (Hinweis auf die Grundlage der Zulässigkeit der Drittlandübermittlung) 12
EU-DSGVO I Nachweispflichten Formalisierter Nachweis nötig Jan Tomaschoff, Toonpool Rechenschafts- und Nachweispflicht 13
EU-DSGVO Technische und organisatorische Maßnahmen C I A und Belastbarkeit Verschlüsseln Risikobewertung 14
EU-DSGVO Auftragsverarbeitung Auftragsdatenverarbeitungen überarbeiten: Dokumentations- und Nachweispflicht des Verarbeiters Verzeichnis der Verarbeitungstätigkeiten des Auftragsverarbeiters Weisungsrecht Genehmigungspflicht für Subunternehmer Beschreibung der Technischen und organisatorischen Maßnahmen des Auftragsverarbeiters Dokumentation von Sicherheitsvorfällen Meldepflicht Gemeinsame Haftung 15
EU-DSGVO Meldepflicht bei Datenschutzverstößen Meldepflicht an Aufsicht, Betroffenen und Auftraggeber 72 Stunden Frist einhalten Auslöser der Meldepflicht Verletzung des Schutzes personenbezogener Daten 16
EU-DSGVO Was ist zu tun: Top 5 1. Datenschutzerklärung aktualisieren (http://www.uni-muenster.de/jura.itm/hoeren/itm/wp- content/uploads/musterdatenschutzerk%c3%a4rung-nach-der- DSGVO.docx) 2. Verträge mit Auftragsverarbeitern überarbeiten 3. Verzeichnis der Verfahrenstätigkeiten sowie technische und organisatorische Maßnahmen anpassen 4. Dokumentationspflicht umsetzen 5. Datenschutzbeauftragte benennen und melden 6. Datenschutzleitlinie / Datenschutzhandbuch erstellen Webseite LfDI B.-W. https://www.baden-wuerttemberg.datenschutz.de/ 17
Fazit: Datenschutzrecht bleibt uneinheitlich und unübersichtlich Nationaler (in Deutschland föderaler) Umsetzungsspielraum Vorrang nationaler Gesetze? Allgemeinere und gleichzeitig flexiblere Regelungen in der EU-DSGVO gehen zu Lasten der Rechtssicherheit des Rechtsanwenders. 18
Danke für Ihre Aufmerksamkeit 19