Grundsätze der DSGVO im Hinblick auf sciebo. Dr. Dominik Rudolph, WWU Münster

Ähnliche Dokumente
Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Die Europäische Datenschutz- Grundverordnung. Schulung am

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

MUSTER- Einwilligungserklärung für Interviews

Impulsvortrag zur Datenschutz-Grundverordnung

Die Datenschutzgrundverordnung

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

DSGVO EU-Datenschutzgrundverordnung (in Kraft ab )

DATENSCHUTZINFORMATION FÜR BETROFFENE STAND: MAI 2018

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Welche Pflichten treffen die datenverarbeitenden Stellen?

Die Datenschutzerklärung soll einfach lesbar und verständlich sein. Hierfür erläutern wir nachfolgend verwendete Begriffsbestimmungen.

Das neue Datenschutzrecht. 19. September 2018

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

EU-Datenschutz- Grundverordnung

INFORMATIONEN ZUM UMGANG MIT IHREN DATEN ALS LIEFERANT / NACHUNTERNEHMER

Die Datenschutz-Grundverordnung (DSGVO)

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

ANLAGE./2 (Muster-) Datenschutzerklärung 1

Startschuss DSGVO: Was muss ich wissen?

1. Datenschutzerklärung

Wer ist für die Datenverarbeitung verantwortlich und wer ist Ihr Datenschutzbeauftragter?

DSGVO FACTSHEET STAND: MAI 2018

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Datenschutz. Die DSGVO und was sie von uns will

I. Name und Anschrift der Verantwortlichen sowie des Datenschutzbeauftragen

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Deutsches Forschungsnetz

Handakte. Dr. Roland Müller-Jena. Rechtsanwalt. Angaben des Auftraggebers

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

So machen Sie sich und Ihre Website fit für die neue DSGVO!

Datenschutzerklärung

Hinweise zur Datenverarbeitung

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

Inhaltsverzeichnis. Datenschutzerklärung... 2 Datenschutzerklärung HTML-Quellcode / 7

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Technische Herausforderungen

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

NEWSLETTER EU-DATENSCHUTZ-GRUNDVERORDNUNG NEWSLETTER NR. 8

Personenbezogene Daten

Datenschutzerklärung für Dienstleister und Lieferanten

EU-Datenschutz-Grundverordnung Infobrief-Nr. 8 Betroffenenrechte

Antrag auf freiwillige Leistungen aus dem Projekt Kleine Hilfen für Alleinstehende, Senioren und alleinerziehende Frauen und Männer der Stadt Augsburg

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Datenschutzerklärung für Bewerber

Datenschutzerklärung Bewerbungsmanagement

Information für den Umgang mit Bewerberdaten

Datenschutzerklärung und Informationen gemäß Art. 13 DS-GVO

Inhaltsverzeichnis. Datenschutzerklärung... 2 Datenschutzerklärung als HTML-Quellcode / 6

Wie muss ich mit meinen Daten umgehen? Datenschutz in der Praxis für EPU und KMU

DSGVO-Webinar. Mit Johannes Schrader, Stefan Wolfarth, Reidar Janssen & Jan Meyer.

Datenschutz für ÖBUVs. 07. November 2018

Wir erheben keine weiteren personenbezogenen Daten von Ihnen, wenn Sie uns diese nicht mit Ihrer Zustimmung zur Verfügung stellen.

Pflichtinformation gemäß Art. 12 ff DSGVO

3. Verarbeitungszwecke und Rechtsgrundlagen (Art. 13/14 Abs. 1 c) DSGVO) 4. Berechtigte Interessen (Art. 13 Abs. 1 d)/14 Abs.

Datenschutz und Datenübertragbarkeit

Newsletter EU-Datenschutz-Grundverordnung (Merkblatt Nr. 8)

Datenschutzinformation zur Erfüllung der Transparenzpflichten und Einwilligungserklärung nach der DSGVO

DSGVO. Kundeninformation zum Datenschutz. >>>

Datenschutzgrundverordnung

Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte

WPK aktuell. Mitgliederinformation

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

- Wa s i s t j e t z t z u t u n? -

INFORMATIONEN ZUM DATENSCHUTZ

INFORMATIONEN ZUM UMGANG MIT IHREN DATEN ALS BEWERBER. Eine Pflicht aus der Datenschutz-Grundverordnung gemäß Artikel 13, 14 DSGVO.

Newsletter EU-Datenschutz-Grundverordnung Nr. 8

Stand: August Newsletter EU-Datenschutz-Grundverordnung Nr. 8. Betroffenenrechte

Informationen zur Verarbeitung personenbezogener Daten von Geschäftspartnern

Datenschutzerklärung Ihre Daten sind bei uns sicher

Römheld & Mölle Eisengießerei GmbH

der Betroffenenrechte

Datenschutzerklärung. 1. Datenschutz auf einen Blick. Allgemeine Hinweise. Datenerfassung auf unserer Website

Energieversorgung Klettgau-Rheintal GmbH & Co. KG

Datenschutzerklärung für Lieferanten und Dienstleister

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Information gemäß Art. 13 und 14 der Datenschutz-Grundverordnung für die Durchführung von Wahlen. Vorwort


Transkript:

Grundsätze der DSGVO im Hinblick auf sciebo Dr. Dominik Rudolph, WWU Münster

Grundsätzliches Tritt am 25. Mai 2018 unmittelbar in Kraft, kann nicht durch nationale Gesetze abgemildert werden Orientiert sich stark am bisherigen deutschen Datenschutzrecht personenbezogene Daten [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; (Art. 4) Keine Bußgelder bei Verstößen für Behörden und öffentliche Einrichtungen ( 43 Abs. 2 BDSG 2018); wohl aber Schadensersatz und Haftung gegenüber Endnutzern 2

Wesentliche Änderungen durch die DSGVO Stärkung der Rechte des Endnutzers auf Information, Zugang und Löschung Grundsatz von datenschutzfreundlichen Voreinstellungen ( Privacy by default ) und Datenschutz durch Technik ( Privacy by design ) (Art. 25) Übermittlung der Daten an den Endnutzer oder einen anderen Anbieter auf Antrag (Datenportabilität) Pflicht zur Meldung von Verstößen an Behörde und Betroffene Neue Regelung zu Verantwortlichkeiten bei Auftragsdatenverarbeitung (u.a. gemeinsame Verantwortlichkeit, Auftragnehmer nun auch gegenüber Endnutzer verantwortlich) Datenschutzfolgeabschätzung als Vorab-Risikobewertung 3

Mögliche Grundlagen der Datenverarbeitung Art. 6 Einwilligung des Nutzers (Opt-in), möglichst schriftlich (Art. 6 (1a)) Erfüllung eines Vertrages (Art. 6 (1b)) Berechtigtes Interesse (d.h. zur Erfüllung des Geschäftszweckes erforderlich) (Art. 6 (4a-e)) Gesetzliche Vorgabe (Art. 6 (1c) 4

Informationspflichten Die Nutzern müssen aktiv über folgendes informiert werden (z.b. in AGB) (Art. 13-14): Kontaktdaten des Verantwortlichen und die des Datenschutzbeauftragten Zweck der Datenverarbeitung Kategorien der verarbeiteten Daten Die Rechtsgrundlagen zur Verarbeitung der Daten Aufbewahrungsfristen Potentielle Empfänger der Daten Ob Daten außerhalb der EU übermittelt werden 5

Informationspflichten Hinweis auf Rechte: Recht auf eine Kopie der Daten (Art. 15 (3)) Beschwerderecht bei Datenschutzbehörde (Art. 13 (2d)) Recht zum Zurückziehen der Einwilligung (Widerruf) (Art. 7 (3) und Art. 21) oder zur Löschung der Daten (Art. 17) 6

Recht auf Auskunft Nutzer haben das Recht, auf Antrag zu erfahren, welche Daten über sie verarbeitet werden (Art. 15) und zwar: Ob personenbezogene Daten verarbeitet werden oder nicht Warum die Daten verarbeitet werden (Zweck) Welche Daten verarbeitet werden (Kategorien) Wie die Daten verarbeitet werden (z.b. Speicherung, Dauer, Weitergabe) Ihnen muss eine Kopie ihrer gespeicherten personenbezogenen Daten übermittelt werden Sie müssen keinen Grund angeben 7

Recht auf Datenlöschung/ Vergessenwerden Nutzer haben das Recht, die Löschung ihrer Daten zu verlangen (Art. 17), außer (Art. 17 (3)): Gesetzliche Aufbewahrungspflichten stehen entgegen Daten sind zum Recht auf freie Meinungsäußerung wichtig (für uns nicht relevant) Öffentliches Interesse wiegt schwerer (z.b. wiss. Forschung; für uns eher nicht relevant) Keine Pflicht zur Löschung, wenn Daten angemessen anonymisiert wurden Hinweis in Datenschutzvereinbarung, Workflow zur weitgehend automatischen Datenlöschung etablieren 8

Recht auf Datenübertragbarkeit Nutzer haben das Recht, die sie betreffenden personenbezogenen Daten, die sie bereitgestellt haben, in einem strukturierten, maschinenlesbaren Format zu erhalten (z. B. XML, JSON, CSV usw.). PDF ist nicht ausreichend. (Art. 20) Hinweis in Datenschutzvereinbarung, Workflow zur Übermittlung der Datenpakete einrichten 9

Antragsweg zur Rechteausübung Nutzer müssen auf elektronischem Wege Anträge zur Ausübung ihrer Rechte (Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit usw.) stellen können. Diese müssen binnen eines Monats, spätestens binnen 3 Monaten bearbeitet werden (Art. 12 (3)) Der Antragsteller muss seine Identität auf Anfrage bestätigen können (Art. 12 (2) und (6)) Abweisung nur mit Angabe von Gründen und Hinweis auf Beschwerdemöglichkeit bei der Datenschutzbehörde und Einlegung eines gerichtlichen Rechtsbehelfs (Art. 12 (4)) Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger Wiederholung, exzessiven Anfragen kann die Bearbeitung verweigert werden (Art. 12 (5)) Verweis auf Kontaktformular in Datenschutzhinweis einbauen. Standardantworten für Standartanfragen, Abweisung und Bearbeitungsstatus erstellen. Prüfen, wie Identität geprüft wird 10

Aufbewahrungsfristen Aufbewahrung so kurz wie möglich, (Art. 5 (1e)) ( Speicherbegrenzung), jedoch keine konkrete Frist in der DSGVO Pflicht zur regelmäßigen Aktualisierung von Daten (Art. 5 (1d) Es müssen selbst Fristen zur Aufbewahrung und ggf. Aktualisierung von Daten festgelegt werden (Art. 24) 11

Umfang der gespeicherten Daten Die Datenerhebung muss dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ) (Art. 5 (1c) Entscheidung über das notwendige Maß liegt beim Verantwortlichen für den Dienst (Art. 5 (2) ( Rechenschaftspflicht ) 12

Vom Anbieter zu prüfende Punkte Risikofolgeabschätzung erstellen Informationspflichten: Hinweistexte anpassen, auf Rechte hinweisen Rechte der Nutzer: Antragsweg, Workflows zur Löschung und Datenübertragung etablieren Umfang der Datenspeicherung: welche Daten werden verarbeitet? Aufbewahrungsfristen: wie lang ist die Speicherung erforderlich? Klärung der Verantwortlichkeiten bei Auftragsverarbeitung 13

Maßnahmenplan Welche personenbezogene Daten werden verarbeitet? (insbes. Metadaten) Überprüfen von AGB, Datenschutzerklärungen, Impressum, laufenden Verträgen, Website- Einstellungen, etc. Was sind die Zwecke der Datenverarbeitungen? Was ist die Rechtsgrundlage der Datenverarbeitung? Liegt eine Einwilligung vor? Wie werden die Informationspflichten (nach der DSGVO) erfüllt? Wie werden die Betroffenenrechte (nach der DSGVO) erfüllt? Welche Datensicherheitsmaßnahmen sind vorhanden? Welche Vorkehrungen gegen Datenschutzverletzungen existieren Wie ist privacy by design/privacy by default implementiert? 14

Konkrete Maßnahmen bei sciebo Erarbeitung von DSGVO-konformen Schriftstücken (Nutzungsbedingungen, Impressum, Verträge) durch Juristen des Institut für Informations-, Telekommunikations- und Medienrecht der WWU Ausarbeitung neuer Vertragskonstrukte für die Beziehung zu Endnutzern sowie zwischen den Teilnehmerhochschulen: Plan: die WWU Münster wird Anbieter gegenüber dem Endnutzer, gemeinsame Verantwortlichkeit durch Verträge mit einzelnen Hochschulen geregelt Nutzer stimmen direkt mit der Registrierung bestimmten Funktionen (z.b. Auffindbarkeit) zu Konsortialteilnehmer sind gemeinsam Verantwortliche im Sinne des Datenschutzes im Hinblick auf Metadaten WWU ist Auftragsverarbeiter aus Sicht des Endkunden für die hochgeladenen Inhaltsdaten Welche Daten in sciebo gespeichert werden, bleibt dem Endnutzer überlassen 15

Zusammenfassung der relevanten Stellen aus der DSGVO Art. 6: Erlaubnistatbestände für Datenverarbeitung (insbesondere wichtig für die Weiterleitung der Bestandsdaten über die Nutzer von der Heimathochschule an den Cloudanbieter) Art. 12-23: Informationspflichten und Auskunftsrechte des Betroffenen Art. 24: Pflichten des Verantwortlichen Art: 25: Privacy by default und by design Art. 26: Relevante Pflichten bei gemeinsamer Verantwortlichkeit Art. 28: Regelungen zur Auftragsdatenverarbeitung (mindestens im Verhältnis zum Endnutzer relevant, ggf. auch im Auftrag einer anderen Hochschule) 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback