EU-DSGVO. Dirk Benjowsky

Ähnliche Dokumente
Die Datenschutzgrundverordnung

Die Datenschutz-Grundverordnung (DSGVO)

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Checkliste zur Datenschutzgrundverordnung

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

G eleitwort An wen richtet sich dieses Buch? Was bringt die europäische Datenschutz-Grundverordnung?... 20

Datenschutzgrundverordnung DSGVO

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutz- Grundverordnung 2016/679 DS-GVO

So machen Sie sich und Ihre Website fit für die neue DSGVO!

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Startschuss DSGVO: Was muss ich wissen?

Das neue Datenschutzrecht. 19. September 2018

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Informationen gemäß Artikel 13 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

- Wa s i s t j e t z t z u t u n? -

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Die neue Datenschutz-Grundverordnung Auswirkungen auf das Bewerbermanagement

DSGVO welche Probleme haben Stiftungen in der Praxis?

100 Tage DSGVO. Datenschutz in der praktischen Anwendung bei Stiftungen. Workshop am 6. September 2018 Hildesheim

Impulsvortrag zur Datenschutz-Grundverordnung

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die Informationspflichten der Verantwortlichen

Datenschutz Erklärung gem. DSGVO. Diese Regelung ist gültig für die Internetseite Präambel. ATHLETEN CLUB OBERSTEIN 1896 e.v.

Anforderungen des Datenschutzes

Verzeichnis der Verarbeitungstätigkeiten

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

DATENSCHUTZ in der Praxis

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

EU-Datenschutz-Grundverordnung: Start

Die Datenschutzgrundverordnung aus Sicht des Versicherungsmaklers. RA Dr. Roland Weinrauch LL.M. (NYU)

Datenschutz. Die DSGVO und was sie von uns will

EU-Datenschutz- Grundverordnung

Datenschutzrecht im Verein Sind Sie für die neue Datenschutzgrundverordnung gewappnet?

Datenschutz-Grundverordnung. Was kommt auf Sie als Gründer / Unternehmer zu?

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Grundsätze der DSGVO im Hinblick auf sciebo. Dr. Dominik Rudolph, WWU Münster

Datenschutz für ÖBUVs. 07. November 2018

Die Europäische Datenschutz- Grundverordnung. Schulung am

Informationspflichten aus Art. 13 und 14 DS-GVO

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Datenschutz 2.0 Was birgt die Zukunft?

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Informationen gemäß Artikel 14 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Informationen gemäß Artikel 13 Absatz 3 und Absatz 2 DSGVO aufgrund nachträglicher Zweckänderung

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

DATENSCHUTZERKLÄRUNG. 1 Allgemeines

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Gesetzlich vertreten durch: Matthias Kellermann (CEO), Michael Wagner (CTO)

Brennpunkte des Vereinsrechts: Datenschutz. Referentin: Jutta Stock Kreissportbund Wesel e.v., 20. November 2018

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Betrieblicher Datenschutz (Kunden- und Beschäftigten- Daten)

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

DATENSCHUTZ DIE WORKSHOP-REIHE

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

DSGVO Was muss ich als Berater tun?

Information zur Verarbeitung Ihrer Bewerberdaten

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

DSGVO FACTSHEET STAND: MAI 2018

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Kurzüberblick und Zeitplan

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Datenschutzerklärung

DATENSCHUTZINFORMATIONEN. HUGO BOSS Investor Relations Newsletter

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

DSGVO-Webinar. Mit Johannes Schrader, Stefan Wolfarth, Reidar Janssen & Jan Meyer.

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Europäische Datenschutz-Grundverordnung

GTWimmer e.u. Grund und Trinkwassertechnik Sven Michel Wimmer, Brunnenmeisterbetrieb, Mühlbachstraße 51, 4073 Wilhering GISA-Zahl:

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)


I. Wer ist Verantwortlicher für diese Website? Der Verantwortliche im Sinne der Datenschutz-Grundverordnung ist die:

Datenschutzrecht Piotr Voelkel. 05. Sept. 2018

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

DIE DSGVO Das Schreckgespenst?

Die neue Datenschutzgrundverordnung

Datenschutzgrundverordnung wko.at/bstf/datenschutzimtourismus

Datenschutzhinweise für Versicherungsmakler Informationen nach Artikeln 13, 14 und 21 Datenschutz-Grundverordnung DS-GVO

Transkript:

EU-DSGVO Dirk Benjowsky

AGENDA DSGVO Inkrafttreten Checkliste Grundsätze und Rechenschaftspflichten für die Verarbeitung personenbez. Daten Verzeichnis der Verarbeitungstätigkeiten TOM Dienstleisterverträge (Auftragsverarbeiter) Datenschutz-Folgenabschätzung Informationspflichten Vorgehen bei Datenschutzverletzungen (Datenpannen) Internetauftritt Datenübertragbarkeit / Datenkopie Datenschutzbeauftragter 2

EU-DSGVO Inkrafttreten der DSGVO am 25. Mai 2018! Was ist zu tun? 3

Grundsätze und Rechenschaftspflichten für die Verarbeitung pbd Überblick über die verarbeiteten Daten verschaffen, Rechtmäßigkeit der Verarbeitung prüfen Rechtfertigungsgrund, auf dem die Verarbeitung beruht (z.b. Vertragserfüllung, Einwilligung bei Verarbeitung besonderer Kategorien pbd nach Art. 9 DSGVO, berechtigte Interessen, Art. 6 Abs. 1 f DSGVO) Widerspruchsrechte des Betroffenen, Art. 21 Abs. 4 DSGVO (Direktwerbung, Verarbeitung aus berechtigtem Interesse) Transparenz der Verarbeitung / Informationspflichten aus Art. 13 und 14 DSGVO Zweckbindung, Dauer und angemessene Sicherheit der Verarbeitung prüfen Dokumentation der Rechtmäßigkeit der Verarbeitung (Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO erfüllen) 5

Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO Grenze: Stellen mit weniger als 250 Mitarbeiter Ein Verzeichnis über die Verarbeitung von Daten ist aber verpflichtend zu führen, wenn pbd nicht nur gelegentlich verarbeitet werden (regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten bereits ausreichend). Bei der Verarbeitung besonderer Datenkategorien (u.a. Gesundheitsdaten) ist ausnahmslos ein Verarbeitungsverzeichnis zu führen. Verpflichtend auch bei Scoring und Überwachungsmaßnahmen Fazit: Fast jeder muss ein solches Verzeichnis führen! 6

Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO Rechtsfolgen bei Verstoß Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 a DSGVO mit einer (empfindlichen) Geldbuße sanktioniert werden. 7

TOM 8

Dienstleisterverträge (Auftragsverarbeiter) Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Vertrag entweder in elektronischer oder schriftlicher Form erforderlich. Beispiele für Auftragsverarbeitung: - Externe Lohnbuchhaltung - IT-Wartung mit der Möglichkeit oder Notwendigkeit, auf pbd zuzugreifen - Cloud-Betreiber - E-Mail-Konten-Anbieter (GMX, WEB.DE ect.) Keine Auftragsverarbeiter sind hingegen: - Steuerberater (in ihrer Funktion als solche), Rechtsanwälte, Betriebsärzte, Wirtschaftsprüfer, Banken, Postdienste 9

Datenschutz-Folgenabschätzung Eine Datenschutz-Folgenabschätzung ist grundsätzlich nur durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten Betroffener besteht. Aber wann ist das der Fall? Erforderlichkeit prüfen: - Werden Daten zum Zwecke des Profilings oder in Scoringverfahren verarbeitet? - Werden besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO umfangreich verarbeitet (z.b. Gesundheitsdaten)? - Findet die systematische Überwachung im öffentlichen Raum statt? - Werden Daten außerhalb der EU verarbeitet? Die Datenschutzbehörden werden (künftig ) eine Blacklist veröffentlichen, in der Datenverarbeitungsvorgänge benannt werden, für die eine Datenschutz-Folgenabschätzung zwingend erforderlich ist. 10

Informationspflichten (Art. 13 & 14 EU-DSGVO) Erstellung von Informationsblättern für sämtliche Verarbeitungsvorgänge von pbd u.a. hinsichtlich: Kontaktdaten der verantwortlichen Stelle Ggf. Kontaktdaten des Datenschutzbeauftragten Speicherdauer von Daten (muss konkret benannt werden) Zweck der Datenverarbeitung Empfänger der Daten bei Datenweitergabe Rechtsgrundlage der Datenverarbeitung Datenspeicherung in Drittland (Mitteilungspflicht!) Rechte der Betroffenen (Auskunft, Beschwerderecht, Widerruf von Einwilligungen) Angaben zur Verpflichtung über die Bereitstellung von Daten und Rechtsfolgen Wann und wie sind die Informationen zur Verfügung zu stellen? Die Informationen sind zum Zeitpunkt der Erhebung der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form schriftlich, gegebenenfalls elektronisch zu erteilen. 11

Vorgehen bei Datenschutzverletzungen (Datenpannen) 1. Zeitraum oder Zeitpunkt des Vorfalls mit möglichst präziser Zeitangabe 2. Zeitpunkt der Feststellung des Vorfalls 3. Ursache bzw. Ort der Datenpanne 4. Welche Dritten haben Kenntnis erlangt bzw. hatten Möglichkeit zur Kenntnisnahme? 5. Art und Inhalt der betroffenen personenbezogenen Daten 6. Technische und organisatorische Maßnahmen, die die meldepflichtige Stelle ergriffen hat 7. Anzahl der Betroffenen (ggf. Schätzung) 8. Mögliche Folgen bzw. nachteilige Auswirkungen für Betroffene (z. B. finanzieller Schaden) Wann hat eine Meldung zu erfolgen? Besteht für Betroffene ein hohes Risiko besteht insoweit eine Informationspflicht gem. Art. 34 DSGVO gegenüber der Datenschutzbehörde. Die Meldung muss i.d.r. innerhalb von 72 Stunden erfolgen. 12

Internetauftritt Fast alle Website-Betreiber müssen sich auf die neuen, verschärften Regelungen bei Nutzung von Komponenten wie einfachen Kontaktformularen, Analyse-Werkzeugen oder Social-Media Plug-Ins vorbereiten. Außerdem sind die neuen Informationspflichten zu beachten, insbesondere auch Hinweise auf bestehende Widerrufs- und Widerspruchsrechte. Betroffen: Alle Website-Betreiber (mit Ausnahme rein privater Websites), denn zwangsläufig werden die IP-Adressen der Besucher an den Webserver übertragen, was nach der DSGVO regelmäßig als Verarbeitung personenbezogene Daten einzustufen sein dürfte. Strengere Informationspflichten auf der Website Betroffen sind das Kontaktformular, Newsletter, Cookies, Analyse-Tools, Social-Media-Plug- Ins, Hinweise auf Rechte und Ansprüche der Nutzer, was u.a. zur Folge hat, dass die Datenschutzerklärung grundlegend zu überarbeiten ist. 13

Internetauftritt Was ist bei Kontaktformularen künftig zu beachten? - Datenübermittlung nur mit aktuellen Verschlüsselungsverfahren (DSGVO fordert angemessene Sicherheit" der personenbezogenen Daten) - Grundsatz der Datenminimierung bzw. Datensparsamkeit beauchten. (nur solche Daten erheben, die für den jeweiligen Zweck benötigt werden) - Angabe des Zwecks der Datenverarbeitung als Hinweistext im Kontaktformular Newsletter: Es wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben freiwillig sind, muss ersichtlich sein. 14

Internetauftritt Kein E-Mail-Newsletter-Versand ohne wirksame Einwilligung - Verpflichtung, eine explizite Einwilligung des Nutzers einzuholen - Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen - Versender muss darüber informieren, in welchem Umfang, zu welchem Zweck und von wem die personenbezogenen Daten verarbeitet werden Nachweis, dass der Nutzer einer E-Mail-Adresse einen Newsletter auch tatsächlich (selbst) abonniert hat: Versand des Newsletters erst nach Rückfrage bei der angegebenen E-Mail-Adresse und nach Zugang der Bestätigungs-Mail (Double-Opt-In-Prinzip). 15

Internetauftritt Auch Cookies fallen unter die DSGVO - Wiedererkennung der Nutzer durch entsprechende Techniken = pbzg. Daten - Einwilligung (derzeit) nicht zwingend, wenn berechtigte Interessen (z.b. Nutzungskomfort der Website) die Verarbeitung pbzg. Daten rechtfertigen (sonst Einwilligung erforderlich) Erforderlich ist aber nach 15 Abs. 3 Telemediengesetz (TMG), dass der Nutzer über die Verwendung von Cookies zu informieren und darauf hinzuweisen ist, dass er ein Widerspruchsrecht gegen deren Verwendung hat (sog. Opt-Out Verfahren). 16

Internetauftritt Analyse-Tools Hinzuweisen ist auf den Einsatz von Analyse-Tools wie etwa Google Analytics. Die Nutzer sind nicht nur über den Einsatz des Tools in den Datenschutzhinweisen zu informieren, es ist auch ein Widerspruchsrecht einzuräumen. Google Analytics ist so einzustellen, dass erfasste IP-Adressen anonymisiert werden (mittels Google-Erweiterung möglich). Außerdem ist ein Vertrag zur Auftragsverarbeitung mit Google erforderlich. 17

Social-Media-PIug-Ins und DSGVO Internetauftritt Über die Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie andere Analyse- und Tracking-Werkzeuge, Daten mit Hinweisen zum Surfverhalten der Nutzer und können daraus Nutzerprofile erstellen. Es werden auch Daten nicht eingeloggter oder nicht registrierter Webseitenuser erfasst, insbes. die IP-Adresse, so dass der Anwendungsbereich der DSGVO eröffnet sein kann. - Rechtfertigungsgrund berechtigte Interessen aus Art. 6 Abs. 1 f DSGVO? Antwort: Nein. - Rechtfertigungsgrund Einwilligung? Antwort: Ja, aber Umsetzungsaufwand aufgrund Nachweispflichten und Widerrufsrecht - Lösung: 2-Klick-Lösung mit Double-opt-in oder Shariff Lösung 18

Internetauftritt Fazit: Die Aktualisierung des Internetauftritts sollte bis 25. Mai 2018 abgeschlossen sein. Es drohen nicht nur Bußgelder durch die Datenschutzbehörden, sondern auch Abmahnungen, die durch rechtzeitiges Handeln vermieden werden können. 19

Datenübertragbarkeit (Art. 20 EU-DSGVO) Bereitstellung der Daten für Betroffene bei Ausübung ihres Rechts auf Datenübertragbarkeit: Analyse aller Systeme auf die Speicherung von Betroffenendaten (Kundendaten / Mitarbeiterdaten) Je nach Größe des Unternehmens Entwicklung automatisierter Abfragen zur Zusammenstellung der benötigten Daten (andernfalls müssen die Daten manuell zusammengestellt werden) Bereitstellung der Daten für den betroffenen in einem strukturierten, maschinenlesbaren Format Ggf. direkte Übermittlung der Daten an einen neuen Anbieter 20

Datenschutzbeauftragter 38 BDSG-neu: Datenschutzbeauftragter Erforderlich, sobald sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht. Eine Kerntätigkeit ist anzunehmen, wenn die Verarbeitung personenbezogener Daten primärer Geschäftszweck eines Unternehmens ist oder die Erfüllung des primären Geschäftszwecks ohne die Verarbeitung personenbezogener Daten nicht erreicht werden kann und es sich hierbei nicht um herkömmliche Unternehmensaufgaben handelt, die unabhängig vom eigentlichen Geschäftszweck anfallen. 21

Kontakt Dirk Benjowsky Rechtsanwalt Geprüfter Datenschutzbeauftragter der Versicherungswirtschaft (DVA) Externer Datenschutzbeauftragter Ligusterweg 27 76337 Waldbronn 07243 3587469 0170 5348892 datenschutz@anwalt-waldbronn.de 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback