Der Entwurf für eine EU-Datenschutz-Grundverordnung Aktuelle Entwicklungen

Ähnliche Dokumente
Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Antrag gemäß Art. 17 DSGVO auf Löschung Request for Erasure (Article 17 GDPR)

Antrag gemäß Art. 16 DSGVO auf Berichtigung Request for the Right to Rectification (Article 16 GDPR)

Datenschutz-Informationen. Data Protection Information. für Interessenten der Robotron Datenbank-Software GmbH

Big Data Analytics. Fifth Munich Data Protection Day, March 23, Dr. Stefan Krätschmer, Data Privacy Officer, Europe, IBM

Angaben zum Vertreter des Verantwortlichen / Name und Kontaktdaten natürliche/juristische

Chapter I General provisions. Kapitel I Allgemeine Bestimmungen [Erwägungsgründe 1 37] Article 1 Subject-matter and objectives

Datenschutzinformation für Bewerber

Inklusion als (Menschen-)Recht?! Input bei der Netzwerkversammlung des Bundesforums Familie 19. September 2014

Beschwerde an die Datenschutzbehörde Complaint to the Austrian Data Protection Authority (Art , 21, 22 DSGVO / GDPR)

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Die Europäische Datenschutz- Grundverordnung. Schulung am

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Chapter I General provisions. Kapitel I Allgemeine Bestimmungen [Erwägungsgründe 1 37] Article 1 Subject-matter and objectives

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Ratder EuropäischenUnion Brüssel,den3.November2014 (OR.de,en)

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Big Data und europäisches Datenschutzrecht 4. Februar 2015 Seite 1

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Marktüberwachung in Europa: Aktuelle Entwicklung. Änderungen der maßgeblichen RL und deren Konsequenz

Information on Data Protection according to the General Data Protection Regulation (GDPR)

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Erfüllung rechtlicher Verpflichtungen (z. B. wegen handels- oder steuerrechtlicher Vorgaben) auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO.

Datenschutzerklärung für Bewerbungen

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Information über die Verarbeitung personenbezogener Daten (Artikel 13, 14 DS-GVO)

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

Privacy Policy, ENG. In this data protection declaration, we use, inter alia, the following terms:

Rechte der betroffenen Person

Level 2 German, 2013

DATENSCHUTZERKLÄRUNG. Bremer Bereederungsgesellschaft mbh & Co. KG (BBG)

Notice pursuant to article 93 section 2 BörseG (Austrian Stock Exchange Act)


Verantwortliche Stelle für die Erhebung und Verarbeitung personenbezogener Daten von Kunden und Ansprechpartnern bei Kunden ist die:

Datenschutzerklärung zu Bewerbungen der

1. Name und Kontaktdaten der datenverarbeitenden Stelle und des Datenschutzbeauftragten

Deutsche Übersetzung. Sonderausgabe zum europäischen Datenschutztag am 28. Januar 2016

Übungen im Transnationalen Recht

nach dem Dokument des Rates 5455/16 vom

Finance Research Graz Data Services (FiRe Graz DS) Formal Obligation (German version see below)

Datenschutzerklärung der Kanzlei Dr. Dimitrow GbR zu Bewerbungen

PVU Energienetze GmbH, Feldstraße 27a, Perleberg, Tel.: 03876/ , Fax: 03876/ ,

Information zur Verarbeitung Ihrer Bewerberdaten

Level 1 German, 2014

Beteiligungsmeldung gem 91 ff BörseG

Inhaltsverzeichnis Table of Contents

Datenschutzhinweise. Unser Umgang mit Ihren Daten und Ihre Rechte

Patentrelevante Aspekte der GPLv2/LGPLv2

Informationen zur Verarbeitung Ihrer personenbezogenen Daten

1. Wer ist für die Verarbeitung meiner personenbezogenen Daten verantwortlich und an wen kann ich mich bei Fragen wenden?

Datenschutzerklärung für Bewerber

Information Datenschutz für sonstige betroffene Personen. der Stadtwerke Rhede GmbH -Netzbetreiber-

Combined financial statements as of December 31, 2017

Zahlungsdienstleister, Versanddienstleister, Hostinganbieter, ggf. Warenwirtschaftssystem, ggf. Lieferanten (Dropshipping).

Registration of residence at Citizens Office (Bürgerbüro)

Datenschutzerklärung für Bewerber

der Ottmar Buchberger GmbH zu Bewerbungen


A. Privacy statement according to the GDPR

Datenschutzkontrolle und Datenschutzaufsicht nach der DS-GVO

digital film technology privacy policy

DATENSCHUTZGRUNDVERORDNUNG

Kundeninformation zur Verarbeitung personenbezogener Daten

Datenschutzerklärung der Firma Bell Flavors & Fragrances zu Bewerbungen

DATENSCHUTZERKLÄRUNG DER PPM GMBH ZU BEWERBUNGEN

Datenschutzinformationen für Bewerber/innen

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

DATENSCHUTZERKLÄRUNG DER SPRINGER MASCHINENFABRIK GMBH ZU BEWERBUNGEN

Datenschutzinformation der SPECTRO Analytical Instruments GmbH nach Art. 13, 14 und 21 DSGVO

Datenschutz- Grundverordnung 2016/679 DS-GVO

SAMPLE EXAMINATION BOOKLET

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Datenschutzerklärung für Bewerbungsverfahren

DATENSCHUTZERKLÄRUNG der Firma Chugai Pharma Germany GmbH zu Bewerbungen

EIFELER METALL- UND ZINKWERKE AG

Datenschutzerklärung der Lindenbaum GmbH

ALL1688PC. Benutzerhandbuch. Passiver Powerline Verbindung (Home Plug Gerät) Phasenkoppler (Hutschienen Version)

Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch die TAKRAF GmbH

Ein Stern in dunkler Nacht Die schoensten Weihnachtsgeschichten. Click here if your download doesn"t start automatically

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Datenschutzinformation nach Art. 13 DS-GVO

Information zur Erhebung personenbezogener Daten nach der DSGVO. für Geschäftspartner / Lieferanten

Einwilligungserklärung eines Erziehungsberechtigten bei minderjährigen. Bewerberinnen und Bewerbern


Information nach Artikel 13, 14, 21 DSGVO. Datenschutzhinweise

Beteiligungsmeldung gem 91 ff BörseG

Datenschutzinformation an Dritte nach Artikel 13, 14 und 21 der Datenschutzgrundverordnung

Transkript:

Deutsche Inkasso-Akademie Workshop Datenschutz Wiesbaden, 18.11.2013 Der Entwurf für eine EU-Datenschutz-Grundverordnung Aktuelle Entwicklungen RA Prof. Dr. Ralf B. Abel 1

Hintergrund: Gesamtrevision des DS-Rechts in Europa Ziele Kommission will bisherige europäische DS-Richtlinie ersetzen: einheitliche(re) Handhabung innerhalb der EU Anpassung an technologischen Fortschritt besseres Datenschutzniveau 2

Hintergrund: Gesamtrevision des DS-Rechts in Europa Vereinheitlichung - Mittel: Europäische Verordnung = unmittelbar geltendes Recht in allen Mitgliedsstaaten - Keine nationale Umsetzung mehr! 3

Gesetzestechnik Auswirkung einer EU-Verordnung auf deutsches Recht Grundsatz: Anwendungsvorrang des EU-Rechts EU-Verordnung Deutsches Recht 4

Gesetzestechnik Auswirkung auf das Datenschutzrecht EU-DS- Grundverordnung BDSG KWG TKG SGB... 5

Gesamtrevision des Datenschutzes in Europa Umsetzungsprozess Kommissionsentwurf vorgelegt am 25. Januar 2012 Stellungnahme EP (LIBE-Ausschuß) 21. Oktober 2013 Stellungnahme des Rats (noch unklar 2015 Gesamtpaket?) Abstimmung EP - Rat Kommission (Trialog) (2014?) Neuwahl EP 2014 Inkrafttreten (2015... )??? 6

Inhaltliche Regelungen 7

Sanktionen Article 79 - LIBE 2a. To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions: a) a warning in writing in cases of first and non-intentional noncompliance; b) regular periodic data protection audits; c) a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater. 2b. If the controller or the processor is in possession of a valid "European Data Protection Seal" ( ), a fine pursuant to paragraph 2a(c) shall only be imposed in cases of intentional or negligent incompliance. 8

Sanktionen Article 79 - LIBE Administrative Sanktionen der Aufsichtsbehörden: mindestens a) Schriftliche Verwarnung (erstes Vorkommnis + fehlende Absicht) b) Periodisch zu wiederholende planmäßigeaudits; c) Bußgeld bis zu 100.000.000 EUR oder bis zu 5% des weltweiten Jahresumsatzes, je nachdem was größer ist 2b. Bei Verleihung eines "European Data Protection Seal" ( ), Geldbuße nur bei Vorsatz oder Fahrlässigkeit 9

Article 4 - LIBE Umfassende Definition personenbezogener Daten (2) 'personal data' means any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person; (2a) 'pseudonymous data' means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure nonattribution; 10

Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) Artikel 6 - Kommissionsentwurf Rechtmäßigkeit der Verarbeitung 1. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung... gegeben f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen... 11

Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) Article 6 Lawfulness of processing 1. Processing of personal data shall be lawful only if and to the extent that at least one of the following applies: (f) processing is necessary for the purposes of the legitimate interests pursued by the a controller or in case of disclosure, by the third party to whom the data is disclosed, and which meet the reasonable expectations of the data subject based on his or her relationship with the controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data. 12

Article 6 - Recital Rechtsgrundlagen für die Verarbeitung - Verbotsprinzip (Art. 6) (39a) Provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, the prevention or limitation of damages on the side of the data controller should be presumed as carried out for the legitimate interest of the data controller or in case of disclosure, by the third party to whom the data is disclosed, and as meeting the reasonable expectations of the data subject based on his or her relationship with the controller. The same principle also applies to the enforcement of legal claims against a data subject, such as debt collection or civil damages and remedies. 13

Rechtsgrundlagen für die Verarbeitung: Einwilligung - Einwilligung ist vorrangig - geringere formale Voraussetzungen als BDSG aber: - keine Einwilligung bei erheblichem Ungleichgewicht 14

Einwilligung (1) - weniger als / ähnlich BDSG Artikel 7 - Kommissionsentwurf 1. Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat. 2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich erkennbar von dem anderen Sachverhalt getrennt werden. 3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. 15

Einwilligung (2) - enger als BDSG Artikel 7 4. Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht. 16

Einwilligung Fassung LIBE-Ausschuss Artikel 7 4. Consent shall be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the processing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b). 17

Rechtsgrundlagen für die Verarbeitung: Gesetzliche Grundlage - Gesetzliche Grundlage nicht explizit erwähnt aber: - abschließende Zulässigkeitsvoraussetzungen in Art. 6, 5 und anderen Vorschriften 18

Einschränkungen für die Verwendung von Daten - Grundsatz (Art. 5 a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden 19

Einschränkungen für die Verwendung von Daten - Zweckbindungsregelungen (Art. 5 b) Personal data must shall be: 5(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes (purpose limitation) 20

Einschränkungen für die Verwendung von Daten - Zweckbindungsregelungen (Art. 5 c) Personenbezogene Daten müssen dem Zweck angemessen sachlich relevant auf das für die Zwecke notwendige Mindestmaß beschränkt sein Sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können 21

Einschränkungen für die Verwendung von Daten - Zweckänderung (Art. 6 Abs. 4 - LIBE) Ist der Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten erhoben wurden, nicht vereinbar, muss auf die Verarbeitung mindestens einer der in Absatz 1 Buchstaben a bis e genannten Gründe zutreffen. Dies gilt insbesondere bei Änderungen von Geschäftsund allgemeinen Vertragsbedingungen. 22

Einschränkungen für die Verwendung von Daten - Widerspruchsrecht (Art.19 - LIBE) aus Gründen, die sich aus der besonderen Situation des Betroffenen ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten gem. Artikel 6 Abs. 1 Buchstaben d, e und f, sofern der für die Verarbeitung Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die gegenüber den Interessen/Grundrechten/Grundfreiheiten des Betroffenen überwiegen. 23

Einschränkungen für die Verwendung von Daten - Widerspruchsrecht (Art.19 - LIBE) 2. Where the processing of personal data is processed for direct marketing purposes is based on points (d), (e) and (f) of Article 6(1), the data subject shall have at any time and without any further justification, the right to object free of charge in general or for any particular purpose to the processing of their personal data for such marketing. This right shall be explicitly offered to the data subject in an intelligible manner and shall be clearly distinguishable from other information. 24

Ansprüche auf Löschung (ex Recht, vergessen zu werden ) - Engere Löschungspflichten beim Verarbeiter als im BDSG, Art. 17 - Löschungspflicht bei Widerspruch faktisch ex tunc - Anweisung zur Löschung an Dritte - Verpflichtung zur Einführung von Löschungsroutinen 25

Ansprüche auf Löschung ( Recht, vergessen zu werden ) Löschroutinen (Art. 5 (e) - LIBE) Personal data shall be: (e) kept in a form which permits direct or indirect identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the data will be processed solely for historical, statistical or scientific research or for archive purposes ( ) and if a periodic review is carried out to assess the necessity to continue the storage, and if appropriate technical and organizational measures are put in place to limit access to the data only for these purposes (storage minimisation); 26

Umfassende Definition personenbezogener Daten - Uferlose Anwendbarkeit der GVO - Faktisch keine Anonymisierung möglich/ Pseudonymisierung kaum umsetzbar Konsequenz: Wegfall von Strukturdaten (Marketing, Analyse, Bonitätsprüfung, Erkenntnisgewinn, z.b. bei Planung, im Versicherungswesen, hinsichtlich Compliance-Anforderungen etc.) 27

Einschränkungen für die Verwendung von Daten - Einschränkung des Profiling (Art. 20) Grundsatz: Eine natürliche Person hat das Recht, nicht einer auf einer rein automatisierten Verarbeitung von Daten basierenden Maßnahme unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse beziehungsweise Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht. 28

Article 20 - Profiling - LIBE 1. Without prejudice to the provisions in Article 6 every natural person shall have the right to object to profiling in accordance with Article 19. The data subject shall be informed about the right to object to profiling in a highly visible manner. 5. Profiling which leads to measures producing legal effects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject shall not be based solely or predominantly on automated processing and shall include human assessment, including an explanation of the decision reached after such an assessment. The suitable measures to safeguard the data subject's legitimate interests shall include the right to obtain human assessment and an explanation of the decision reached after such assessment. 29

Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 30

Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) Sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge eine Bewertung der Risiken geplante Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden. 31

Bewertungs- und Genehmigungspflicht Vorabbewertung (Data Impact Assessment - Art. 33) - LIBE Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. 32

Bewertungs- und Genehmigungspflicht Vorabbewertung (Compliance Review - Art. 33a) - LIBE - Überprüfungspflicht spätestens alle 2 Jahre - Dokumentationspflicht 33

Bewertungs- und Genehmigungspflicht Genehmigungspflicht - Art. 34 - LIBE Zurateziehung der Aufsichtsbehörde oder des bdsb (Art. 34 Abs. 2), wenn - hohe konkrete Risiken festgestellt werden - die Aufsichtsbehörde/ der bdsb es für erforderlich hält Verbotsmöglichkeit durch Aufsichtsbehörde (Art. 34 Abs. 3, 46)! Einzelheiten zu konkreten Risiken durch Kommission 34

Datenschutzbeauftragter Datenschutzbeauftragter (Art. 35-37) - Bestellungspflicht (nur noch) - ab 5000 Betroffene pro Jahr - bei besonders sensiblen Verarbeitungen - Begrenzungsmöglichkeit der Bestellung auf - vier Jahre / Mitarbeiter oder - zwei Jahre / Externer (Art. 35 Abs.7) 35

Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Ralf B. Abel Rechtsanwalt Externer Datenschutzbeauftragter Verbandsbeauftragter für den Datenschutz beim Bundesverband Deutscher Inkasso-Unternehmen Akkreditierter Sachverständiger (Recht) beim ULD Kiel ehem. Lehrstuhl für Öffentliches Recht, Informations- und Datenschutzrecht Fakultät Wirtschaftsrecht - FH Schmalkalden (em.) Kanzlei Prof. Abel Oktaviostr. 129, 22043 Hamburg prof.abel(at)t-online.de 36

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback