EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft



Ähnliche Dokumente
DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO)

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

DATENSCHUTZ IN DER FORSCHUNG

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Drei Fragen zum Datenschutz im. Nico Reiners

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Verordnung zur Änderung medizinprodukterechtlicher Vorschriften vom 16. Februar 2007

Nutzung dieser Internetseite

Datenschutz und Schule

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

Datenschutz in der Unternehmenspraxis

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht

Der Schutz von Patientendaten

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Abschnitt 1 Anwendungsbereich und Allgemeine Anforderungen an die Konformitätsbewertung 1 Anwendungsbereich

Das digitale Klassenund Notizbuch

Gesamtkonzept für den Datenschutz in der Europäischen Union Mitteilung der Kommission vom 04. November KOM (2010) 609

Workshop 4: Europäische Datenschutzgrundverordnung - Konsequenzen für die Informationsverarbeitung im deutschen Gesundheitswesen

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Einführung in die Datenerfassung und in den Datenschutz

ARTIKEL-29-DATENSCHUTZGRUPPE

Dr. Eva Souhrada-Kirchmayer. 27. Mai Status Quo

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Konzepte der Selbstkontrolle der Industrie

Gesetz zum Schutz der Berufsbezeichnungen "Ingenieurin" und "Ingenieur" (Ingenieurgesetz - IngG)

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Häufig gestellte Fragen zum Thema Migration

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Secorvo. Partner und Unterstützer

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

Berlin, den Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D Berlin

Rückverfolgbarkeit von Lebensmitteln Erfahrungen aus den Ländern

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

IMI datenschutzgerecht nutzen!

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Kolloqium Wer ist Koch, wer ist Kellner? Brüssel, 19. Oktober Constantin Fabricius Referent im Geschäftsbereich Europäische Union

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Die beiden Seiten der Medaille beim -Marketing

Cloud Computing - und Datenschutz

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

EUROPÄISCHE UNION DAS EUROPÄISCHE PARLAMENT

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

DIGITALE PRIVATSPHAERE

Änderung des IFRS 2 Anteilsbasierte Vergütung

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

Gründe für ein Verfahrensverzeichnis

EEWärmeG. Welche Auswirkungen hat das EEWärmeG auf Planung und Betrieb von Logistikzentren

Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Datenschutzbeauftragte

Baustellenverordnung. Verordnung über Sicherheit und Gesundheitsschutz auf Baustellen. Bestell-Nr.: BaustellV Gültig ab 1.

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz und -Sicherheit. Gesetzeskonformer. Datenschutz schützt nicht nur Ihre Gäste, sondern auch Sie.

Öffentliches Verfahrensverzeichnis der. ProfitBricks GmbH

Widerrufsbelehrung. Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Managementsysteme und Arbeitssicherheit


Amtsblatt der Europäischen Union L 151/49 KOMMISSION

312a Allgemeine Pflichten und Grundsätze bei Verbraucherverträgen; Grenzen der Vereinbarung von Entgelten

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Rechtliche Neuerungen. Informationspflichten und Widerrufsrecht bei Architekten- und Planungsverträgen mit Verbrauchern

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Profiling im Lichte der Datenschutz-Grundverordnung

Datenschutz der große Bruder der IT-Sicherheit

Leitlinien. über die bei Sanierungsplänen zugrunde zu legende Bandbreite an Szenarien EBA/GL/2014/ Juli 2014

Statuten in leichter Sprache

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Elternzeit Was ist das?

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Einführung in die Datenerfassung und in den Datenschutz

Rechtliche Aspekte der IT-Security.

Arbeitsübereinkommen zur Ausstellung einer Europäischen Technischen Bewertung (ETA) für., zur Verwendung als.

(EuGVVO) 5. Innerhalb des Insolvenzverfahrens werden nicht alle

Informationen zum Begleiteten Fahren ab 17

Vorschlag für RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Aufenthaltsgenehmigung in Spanien für Ausländer

Dipl.-Ing. Herbert Schmolke, VdS Schadenverhütung

Transkript:

Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Seite 2 Inhalt: Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Seite 1

Seite 3 Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Unterschiedliches Datenschutzrecht in der EU Unterschiedliche Umsetzung europäischer Richtlinien in nationales Recht Nationale eigenständige und unabhängige Datenschutzaufsichtsbehörden Nationale Sonderregelungen (z.b. in Deutschland zu Werbung, Adresshandel, Scoring) Seite 2

Europäischen Kommission: Zielsetzung der Reform Betroffene erhalten mehr Kontrolle über ihre Daten Globale Standards für Datenschutz werden gesetzt Datenschutzregeln passend für den digitalen Binnenmarkt Harmonisiert (EUR 2,3 Milliarden Einsparungen durch Vereinheitlichung unterschiedlicher Datenschutzregeln) Vereinfacht (EUR 130 Millionen Einsparung durch Abschaffung von Meldepflichten) Kein forum-shopping (Datenverarbeitung in Mitgliedsstaat mit weniger strengem Datenschutzrecht) One-stop-shop (eine zuständige Aufsichtsbehörde für Unternehmen in der Europäischen Union) Effiziente Kooperation der Datenschutzaufsichtsbehörden Mehr Konsistenz der Anwendung des Datenschutzrechts Wirkung einer EU-Datenschutz- Grundverordnung Europäische Verordnungen sind direkt anwendbares Recht Grds. Vollharmonisierung Nationales Datenschutzrecht wird ersetzt Öffnungsklauseln für nationalen Gesetzgeber in best. Bereichen Anwendung zwei Jahre nach Veröffentlichung im Amtsblatt TMG LDSG SGB X Seite 3

Verbleibendes uneinheitliches Datenschutzrecht in der EU Nationale Umsetzungen der eprivacy Richtlinie Spezielle Bereiche nationalen Umsetzungsspielraums Öffentlicher Bereich (Art. 1 Rat) Betroffenenrechte (Artikel 21) -> auch Ausnahmen Presse (Artikel 80) -> auch Ausnahmen Gesundheit (Artikel 81) Arbeitnehmerdatenschutz (Artikel 82) Forschung (Artikel 83) Berufsgeheimnisse (Artikel 84) Kirchen (Artikel 85) Seite 8 Interpretation/Auslegung der Gesetze Gefestigte Interpretations- bzw. Auslegungshilfen: Rechtsprechung Stellungnahmen/Orientierungshilfen der Aufsichtsbehörden (einschl. Konferenz der Datenschutzbeauftragten bzw. Düsseldorfer Kreis) Kommentierungen aus der Literatur Artikel-29-Datenschutzgruppe Keine gefestigte Interpretations- bzw. Auslegungshilfen: EuGH-Rechtsprechung bezieht sich auf Richtlinie 95/46/EG Stellungnahmen/Orientierungshilfen des Europäischen Datenschutzausschusses müssen erst noch formuliert werden Kommentierungen aus der Literatur existieren noch nicht Unternehmen werden sich anfangs einer großen Rechtsunsicherheit bei der Auslegung der stellen müssen. Eine Unterschiedliche Auslegungspraxis in den Mitgliedstaaten muss durch den Europäischen Datenschutzausschuss nivelliert werden. Seite 4

Seite 9 Wegfall von Spezialtatbeständen zur Rechtmäßigkeit der Verarbeitung 28 Abs. 3 Nutzung personenbezogener Daten zu Werbezwecken 32 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses 28a Datenübermittlung an Auskunfteien 28b Scoring [ ] Art. 6 f) - Werbung ist an der Erforderlichkeit zur Wahrung berechtigten Interessen des für die Verarbeitung Verantwortlichen zu messen Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung oder spezielle Regelung in den Mitgliedstaaten (Öffnungsklausel) Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung Art. 6 (Allgemeine) Rechtmäßigkeit der Verarbeitung [ ] Die allgemeineren und gleichzeitig flexibleren Regelungen in der gehen zu Lasten der Rechtssicherheit des Rechtsanwenders. Seite 10 Zweckänderung von Datenverarbeitungen 28 Abs. 2 Nr. 1 Zulässigkeit der Zweckänderung Art. 6 Abs. 4 S. 2 (nur Rat): Zweckänderungen für den Verantwortlichen oder einen Dritten sind zulässig im Rahmen einer Interessenabwägung Vielfach stehen Zwecke der Datenverarbeitung bei der Datenerhebung nicht konkret fest (z.b. Werbung, Übermittlung an Dritte (Auskunfteien, Forderungsverkauf) aber auch Big-Data-Anwendungen). Wenn diese Weiterverarbeitungen im regulären Geschäftsprozess nur möglich sind, ist hierüber bei der Datenerhebung umfänglich präventiv zu informieren; ansonsten Unzulässigkeit Seite 5

Seite 11 Neue Informationspflichten 4 Abs. 3 : Identität der verantwortlichen Stelle, Zweckbestimmung, Empfänger 28 Abs. 4 S. 2 : Widerrufsrecht Art. 14, so u.a.: Identität der verantwortlichen Stelle Datenschutzbeauftragter Verfolgte berechtigte Interessen (vgl. Art. 6 f)) Dauer der Datenspeicherung (KOM und Parlament) Neue Information im Falle der Zweckänderung bei der Weiterverarbeitung (Rat) Alle sonstigen Informationen nach Treu und Glauben (KOM und Parlament) [ ] Wenn Einwilligungserklärungen den Betroffenen schon oftmals überfordern, wie helfen dann die vielen neuen Informationspflichten? Seite 12 Neue Dokumentationspflichten 4e : Anforderungen für die Inhalte an das Verfahrensverzeichnis 4d Abs. 5 : Vorabkontrolle 11 : Dokumentation der Prüfung der Einhaltung von TOMs beim Auftragnehmer Art. 28 : Dokumentation von Verarbeitungsvorgängen der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter Art. 31 Abs. 2 : Dokumentation von Sicherheitsvorfällen Art. 33 Datenschutz-Folgenabschätzung Art. 33a Abs. 4 (Parlament): Dokumentation der Überprüfung der Einhaltung der Datenschutz-Folgenabschätzung spätesten nach zwei Jahren Art. 44 Abs. 6 : Dokumentation geeignet Drittlandsgarantien [ ] Tue Gutes und schreibe es auf: Neue Dokumentationspflichten sorgen für mehr Transparenz, bedingen aber einen hohen bürokratischen Aufwand. Seite 6

Seite 13 Der Datenschutzbeauftragte 4f Abs. 1 : o Bestellpflicht des DSB ab 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind o Bestellpflicht unabhängig von der Beschäftigtenzahl bei Pflicht zur Vorabkontrolle, der geschäftsmäßigen Übermittlung, Markt-und Meinungsforschung Art. 35 : o Bestellflicht bei mehr als 250 Beschäftigten oder bei Kerntätigkeiten, die eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen (KOM) o Bestellpflicht bei Verarbeitungen mit mehr als 5000 Betroffenen in einem durchgängigen 12- Monatszeitraum sowie bei systematischer Beobachtung und der Verarbeitung besonderer Arten personenbezogener Daten (Parlament) o Keine Bestellpflicht (Rat), aber Öffnungsklausel Unternehmen, die die abgesenkten Anforderungen an die Bestellpflicht nutzen, um Personal einzusparen oder den Datenschutz nebenbei zu betreiben, werden mit den neuen gesetzlichen Vorgaben einer überfordert sein. Seite 14 Datenschutz-Folgenabschätzung 4d Abs. 4 : Vorabkontrolle ist durchzuführen bei Daten nach 3 Abs. 9 oder Verarbeitungen, die die Persönlichkeit des Betroffenen, einschl. seiner Fähigkeiten, Leistungen oder seines Verhaltens bewerten Ausnahme: Gesetzliche Verpflichtung oder Erforderlichkeit für Begründung oder Durchführung eines Schuldverhältnisses Zuständig: DSB Keine bestimmten Anforderungen an Verfahren und Dokumentation Art. 33 : Weiter, auch technologieabhängiger Anwendungsbereich der Folgenabschätzung, so u.a. bei: Systematischer und umfassender Auswertung persönlicher Aspekte von natürlichen Personen Verarbeitung besonderer Daten nach Art. 9 EU-DS- GVO Weiträumiger Überwachung öffentlich zugänglicher Bereiche Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten (KOM) Verarbeitung pbdaten von mehr als 5.000 Betroffenen in einem durchgängigen 12- Monatszeitraum (Parlament) [ ] Zuständigkeit: Verantwortlicher für die DV Neuland für den DSB: Wann ist eine Datenschutz-Folgenabschätzung durchzuführen und anhand welcher Parameter? Seite 7

Seite 15 Meldung von Datenschutzverletzungen 42a : Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte Nur bei bestimmten Datenkategorien Nur soweit schwerwiegende Beeinträchtigung (str.) Meldepflicht unverzüglich gegenüber Aufsichtsbehörde Meldepflicht gegenüber Betroffenen ggf. erst, wenn Strafverfolgung nicht mehr gefährdet Art. 31 : Meldepflicht unabhängig von den betroffenen Daten (KOM, Parlament) Meldung innerhalb von 24 Stunden (KOM) bzw. 72 Stunden (Rat) Erfasst jede Datenschutzverletzung (auch innerhalb der verantw. Stelle) Spezifische Vorgaben an den Inhalt der Meldung (z.b. Art der Verletzung, Kategorien und Anzahl von Betroffenen, Zahl der betroffenen Datensätze, Maßnahmen- und Folgebeschreibung) Benachrichtigung der Betroffenen unverzüglich (Parlament) bzw. ohne unangemessene Verzögerung (Kommission) Aufsichtsbehörde kann Betroffene informieren (KOM und Parlament) Schnelles Handeln ist gefordert: Unternehmen müssen interne Kontrollstellen ständig verfügbar halten und adäquat ausstatten bzw. besetzen. Seite 16 Verschärfung der Bußgeldvorschriften 43 : o Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis 50.000 EUR, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu 300.000 geahndet werden o Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen Art. 79 : o Bis zu 1.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes (KOM) o Bis zu 100.000.000 EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes (Parlament) o Bis zu 1.000.000 EUR oder im Fall eines Unternehmens bis zu 2% seines weltweiten Jahresumsatzes (Rat) Datenschutzverstöße können in Extremfällen gerade für kleinere Unternehmen existenzbedrohend sein. Keine eindeutige Klassifizierung im Gesetz mehr: OrganisationsVerstößekönnen mit den denselben Bußgeldsummen belegt werden, wie schwere materielle Datenschutzverstöße. Seite 8

Seite 17 Inkrafttreten und Anwendung der DS-GVO Art. 91 (KOM und Rat): In-Kraft-Treten: 20. Tag nach Veröffentlichung im Amtsblatt der EU Anwendung: 2 Jahre nach Inkrafttreten EwG124 (Rat): Verarbeitungen sind innerhalb von 2 Jahren anzupassen Keine Datenschutz-Folgeabschätzung und vorherige Konsultation der AB für Verarbeitungen, die vor In-Kraft- Treten begonnen haben Keine Erneuerung der Einwilligung erforderlich Seite 18 Folgen für die Wirtschaft anhand ausgewählter Themenkomplexe Schlussfolgerungen Seite 9

Seite 19 Gerade kleinere und mittelständische Unternehmen brauchen Führung: Auslegungshilfen müssen im Falle der Verabschiedung schnellstmöglich entwickelt werden Transparenz der Datenverarbeitung vs. Bürokratie: Formale Anforderungen an Datenverarbeitersteigen Wer soll es machen? Die Unternehmen müssen sich stärker hinsichtlich der personellen Umsetzung gesetzlicher Anforderungen Das gesunde Augenmaß von Aufsichtsbehörden ist mehr gefragt denn je neue Bußgeldsummen in der können existenzbedrohend werden Seite 20 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Seite 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback