Datenschutz Die EU-DS-GVO

Ähnliche Dokumente
Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung


Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

zum Security Breakfast bei

Die Europäische Datenschutz- Grundverordnung. Schulung am

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

EU-Datenschutzgrundverordnung. Struktur der Datenschutzaufsicht in Deutschland und Europa; EDSA, Kohärenzverfahren

Startschuss DSGVO: Was muss ich wissen?

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Kurzüberblick und Zeitplan

DATENSCHUTZGRUNDVERORDNUNG

Inhaltsverzeichnis XIII. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG

Datenschutz- Grundverordnung 2016/679 DS-GVO

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

Neuerungen im Datenschutzrecht mit Was bringen sie?

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

- Wa s i s t j e t z t z u t u n? -

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

DSGVO und ihre Auswirkungen

EU-Datenschutz-Grundverordnung: Start

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Datenschutzreform 2018

Datenschutz-Richtlinie der SenVital

Wie schreibe ich ein Datenschutzgesetz?

Deutsches Forschungsnetz

Datenschutz- Grundverordnung Bundesdatenschutzgesetz

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Datenschutzgrundverordnung

Anforderungen des Datenschutzes

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Datenschutz. nach der EU-Datenschutz-Grundverordnung. Bearbeitet von Von Jochen Schneider

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Europäische Grundverordnung zum Datenschutz (DSGVO)

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Betrieblicher Datenschutz (Kunden- und Beschäftigten- Daten)

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

DATENSCHUTZ in der Praxis

Das neue Datenschutzrecht der EU

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

Datenschutzreform 2018

Europäische Datenschutz-Grundverordnung

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

ECDL Datenschutz Syllabus 1.0

EU-Datenschutz- Grundverordnung

u. a. Geprüfter Datenschutz, Geprüftes Online-Portal

BvD. Management-Summary. Überblick in 10 Schritten

- Wa s b e d e u t e t d a s f ü r U n t e r n e h m e n? -

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

Übermittlung an Drittländer

Die Datenschutzgrundverordnung

EU-Datenschutzgrundverordnung Auswirkungen auf die Länder. Auswirkungen auf die Organisationsstrukturen der Datenschutzbehörden

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Datenschutzgrundverordnung DSGVO

Datenschutzgrundverordnung. LAST MINUTE DATENSCHUTZ E-BUSINESS DAY, iwelt/ihk, EIBELSTADT AM

Konkordanztabelle: Vorentwurf DSG / Reform des Europarats / Reform der Europäischen Union

Datenschutz. Die DSGVO und was sie von uns will

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG)

Die Datenschutzgrundverordnung

EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO)

IT-Sicherheit und die Datenschutzgrundverordnung

Rechte der betroffenen Person

Politik zum Schutz der Privatsphäre

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

Datenschutz und Datenübertragbarkeit

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Technische Herausforderungen

Datenschutzgrundverordnung

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Die neue EU-Datenschutz- Grundverordnung

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Transkript:

10. IT-Sicherheitstag 20. September 2016 Datenschutz 4.0 ------ Die EU-DS-GVO Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Motivation

Die aktuelle Lage

Digitale Grundrechte im Schützengraben Data-Warehouse, Datamining, Adresshandel, Scoring RFID-Chips und Bionik die Intelligenz der Technik: ubique computing Smart Metering Internetüberwachung (E-Mail, Cookies, Ortung, GPS etc.) Barcodes.

Grundrechte im Schützengraben Bewegungsprofile (Maut, Handyortung, Gesichtserkennung z.b. an örtlichen Plätzen, Kennzeichenregistrierung, Funkzellenüberwachung, GPS, PRISM ) der Mensch als Datensammlung: Genetik, Gesundheits- Card biometrische Datenbanken (Finger, Iris, Gesicht,) IP-Adress-Erfassung- und Speicherung digitaler Fingerprint von Computern und Smartphones Vorratsdatenspeicherung (nicht nur bei Providern) INDECT-Überwachungs- und Sicherheitssysteme selbst entscheidende Algorithmen..

Risiken für das Grundrecht Privatsphäre zunehmende Kontrolle bzw. Manipulation abnehmende Transparenz Bequemlichkeit Privatsphäre

die Zukunft??

Die Konsequenz

Die aktuelle Lage

Die Europäische Datenschutz-Grundverordnung

Europäische Datenschutz-Grundverordnung VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung DS-GVO)

Ziele der DS-GVO Kontrolle über Daten im Sinne der digitalen Grundrechte globale Standards für Datenschutz Optimierung des modernen digitalen Binnenmarktes - Harmonisierung (EUR 2,3 Milliarden Einsparungen durch Vereinheitlichung unterschiedlicher Datenschutzregeln) - Vereinfachung (EUR 130 Millionen Einsparung durch Abschaffung von Meldepflichten) - kein Forum-Shopping (Datenverarbeitung in Mitgliedsstaat mit weniger strengem Datenschutzrecht) - One-Stop-Shop (eine zuständige Aufsichtsbehörde für Unternehmen in der Europäischen Union) - Kooperationverpflichtung der Datenschutzaufsichtsbehörden - Konsistenz der Anwendung des Datenschutzrechts

Wirkungen der DS-GVO Art. 99: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat. die DS-GVO ist eine Regelung mit unmittelbarer innerstaatlicher Geltung -> sog. Durchgriffswirkung grundsätzliche Vollharmonisierung (tendenziell weniger im öffentlichen Bereich) ersetzt nationales Datenschutzrecht, führt grds. zur Unanwendbarkeit entgegenstehender nationaler Regelungen und zur Überflüssigkeit inhaltlich gleicher Regelungen Öffnungsklauseln für nationalen Gesetzgeber in bestimmten Bereichen daher Richtlinien- Charakter im öffentlichen Bereich Zweijährige Anpassungsphase für Rechtsbereinigung und Folgeänderungen

Anwendbarkeit der DS-GVO alle Datenverarbeiter und Auftragsverarbeiter sowohl öffentliche als auch nicht-öffentliche Stellen automatisierte und nichtautomatisierte Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung innerhalb der EU (s. a. Google Spain./. AEPD EuGH, Urteil v. 13.05.2014, Az. C-131/12) auch Datenverarbeiter in Drittstaaten (Marktort-Prinzip) sofern Betroffene innerhalb der EU ansässig sind den Betroffenen in der EU Waren und Dienstleistungen angeboten werden deren Datenverarbeitung der Beobachtung von Verhalten in der EU dient

Öffnungsklauseln - Überblick Quelle: Veil, CR-online 1. Februar 2016 Onecontinent, onedataprotectionlaw? http://www.cr-online.de/blog/2016/ 02/01/ one-continent-one-data-protection-law/

Öffnungsklauseln ca. 55 60 nationale Öffnungsklauseln: bei Rechtsgrundlagen der Datenverarbeitung für spezifischere nationale Regelungen für Ausnahmen von Betroffenenrechten für andere Fälle DS-GVO Befugnis der Mitgliedstaaten für spezifische und/oder abweichende Regelungen Verpflichtung der Mitgliedstaaten zum Tätigwerden Weitere konkretisierende Maßnahmen

Mitgliedstaatliche Regelungen (Auszug) MÜSSEN Akkreditierung der Zertifizierungsstellen (Art. 43) Regelung der Aufsichtsbehörde Verfahrensregeln für Geldbußen Festlegung von strafrechtlichen Sanktionen (Art. 84) Regelung zu One-Stop-Shop- / Kohärenzverfahren Medienprivileg: Grundrecht auf Datenschutz ist mit der Meinungsund Informationsfreiheit in Einklang zu bringen (Art. 85) Angleichung im besonderem Datenschutzrecht der Kirchen (Art. 91) KÖNNEN spezifischere Anforderungen an die Verarbeitungen (insbes. Art. 6 Abs. 2) Betroffenenrechte im öffentlichen Interesse (Art. 23) Datenschutzbeauftragter (Art. 37) Zugang zu amtlichen Dokumenten (Art. 86) nationale Kennzeichen (Art. 87) Arbeitnehmerdatenschutz (Art. 88) historische, statistische, wissenschaftliche Zwecke (Art. 89) Berufsgeheimnisträger (Art. 90)

Kontrolle und Durchsetzung Nationale Gerichte Auslegung der DS-GVO und nationaler Datenschutz-Vorschriften Vorlage zum EuGH EuGH Auslegung der DS-GVO Kontrolle der Kommissionsentscheidungen Europäischer Datenschutzausschuss Interpretation der DS-GVO Koordination der Zusammenarbeit evtl. Kassation s. Art. 64-67 der EU DS-GVO (verbindliche Beschlüsse) Kommission Überwachung der Umsetzung der DS-GVO Erlass delegierter Rechtsakte Mitgliedsstaaten Ergänzung und Modifikation des Rechtsrahmens Aufsichtsbehörden Überwachung der Umsetzung des Datenschutzes (Zusammenarbeit) evtl. Vorlage zum EuGH

Perspektiven EuGH Kommission Datenschutz-Ausschuss DS- DS-GVO GVO 27 nationale Anpassungsgesetze 28 X nationales 27 X nationales Recht

Aufbau und Inhalt der Datenschutz-Grundverordnung

Aufbau der DS-GVO DS-GVO 173 Erwägungsgründe 99 Artikel Europäische Umsetzung durch Kohärenz und Kommission Durchsetzung durch Bußgeld und Sanktionen zum Vergleich: BDSG 48 Paragrafen DSG M-V 45 Paragrafen Kontrolle durch DSB und Aufsicht Garantien durch Standards und Zertifizierung Organisatorische und technische Absicherung Transparenz Intervention Zulässigkeit

Beteiligte (Vergleich DS-GVO / BDSG) Aufsichtsbehörde BDSG: Aufsichtsbehörde Verantwortlicher (Controller) BDSG: Verantwortliche Stelle Betroffene Person BDSG: Betroffener Dritter/Empfänger BDSG: Dritter/Empfänger Auftragsverarbeiter (Processor) BDSG: Auftragnehmer

Begriffsbestimmungen Artikel 4 DS-GVO: 26 Begriffsbestimmungen von 1) Personenbezogene Daten bis 26) Internationale Organisation Grundsätzlich entsprechen die Definitionen den bisherigen aus der EU-DS-Richtlinie und den daraus im BDSG abgeleiteten Definitionen

Begriffsbestimmungen neue Begriffe in Art. 4 DS-GVO: Verletzung des Schutzes personenbezogener Daten genetische, biometrische, Gesundheitsdaten Unternehmen, Unternehmensgruppe, Hauptniederlassung Vertreter verbindliche unternehmensinterne Datenschutzvorschriften Aufsichtsbehörde, betroffene Aufsichtsbehörde grenzüberschreitende Verarbeitung personenbezogener Daten maßgeblicher und begründeter Einspruch Dienst der Informationsgesellschaft internationale Organisation neue Terminologien und Instrumente Kinder gemeinsam Verantwortliche Datenschutz-Folgenabschätzung Vergessenwerden Einschränkung der Verarbeitung Datenübertragbarkeit Profiling vorherige Konsultation Zertifizierung Kohärenzverfahren

Grundsätze für die Datenverarbeitung Art. 5 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke und Verbot der Weiterverarbeitung in einer mit diesen Zwecken nicht zu vereinbarenden Weise Rechenschaftspflicht (Accountability): Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß sachlich richtige und ggf. aktuellste Daten, Vorsehen von Maßnahmen zur unverzüglichen Löschung oder Berichtigung von unzutreffenden Daten Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist; geeignete TOM zum angemessenen Schutz der Daten insbes. vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung Verantwortung und Nachweispflicht für die Einhaltung der Prinzipien das bedeutet u. a.: Sicherheitskonzept Datenschutzrichtlinie

Prämissen zur Rechtmäßigkeit der Verarbeitung Artikel 6 DS-GVO: Einwilligung Vertrag Durchführung vorvertraglicher Maßnahmen Gesetzliche Verpflichtung (Rechtsgrundlage) Schutz lebenswichtiger Interessen öffentliches Interesse Ausübung hoheitlicher Gewalt Interessensabwägung (nur im privaten Bereich) Zweckänderung nach Abs. 4

Einwilligung Artikel 6 Abs. 1a, 7 und 8 DS-GVO freiwillig informiert konkret unmissverständlich klar kopplungsfrei nachweisbar einfach und verständlich für die Zukunft widerrufbar nicht widersprüchlich zur DS-GVO Art. 8 DS-GVO: Sonderregelung für Kinder: - nationaler Spielraum für Altersgrenzen: zwischen 13 und 16 Jahren in

Zweckbindung Artikel 6 Abs. 4 DS-GVO Zweckänderung ( Weiterverarbeitung ) ist nur zulässig nach Prüfung der Vereinbarkeit mit dem ursprünglichen Zweck, insbes. hinsichtlich: Verbindung der Zwecke Erhebungszusammenhang besonderer Daten (Art. 9/9a) Folgen der Weiterverarbeitung für Betroffene Vorhandensein angemessener Garantien, z. B. Pseudonymisierung, Verschlüsselung Erwägungsgrund 50 DS-GVO Der Maßstab für die Vereinbarkeit sind nach die vernünftigen Erwartungen der betroffenen Person.

Anhaltspunkte für die Vereinbarkeit späterer Verwendungszweck ist bei der ursprünglicher Erhebung bereits impliziert die neue Verwendung ist der absehbar nächste Schritt Vorhersehbarkeit des späteren Verwendungszwecks für den durchschnittlich Betroffenen allgemeine Akzeptanz/Üblichkeit der neuen Verwendung Auswirkungen der späteren Verwendung Ausschluss von Leistungen, Diskriminierung Betroffener Schutzmaßnahmen der verantwortlichen Stelle Anonymisierung, Pseudonymisierung, erhöhte Transparenz

Transparente Verarbeitung Artikel 12 DS-GVO Transparenz und Modalitäten der Verarbeitung durch Information (Art. 13, 14 und 34) Mitteilungen bei der Erhebung - beim Betroffenen - nicht beim Betroffenen (im Sinne von Information, Unterrichtung und Aufklärung) Benachrichtigung bei Datenpannen durch Auskunft (Art. 15) Werden Daten verarbeitet? Details zur Darenverarbeitung Details zur Übermittlung Recht auf Kopien durch Intervention (Art. 16-21) Berichtigung Löschung Recht auf Vergessenwerden Einschränkung der Verarbeitung Datenübertragung Widerspruch

Information bei der Erhebung Erhebung Direkterhebungsgrundsatz fehlt, aber: Erhebung nach Treu und Glauben / transparent beim Betroffenen nicht beim Betroffenen bei Zweckänderung Mitteilung Art. 13 (i. S. V. Unterrichtung und Aufklärung) Ausnahme: wenn und soweit der Betroffene bereits über die Informationen verfügt immer (nach Art. 21): Hinweis auf Widerspruchsrecht bei Direktwerbung Interessensabwägung Profiling Mitteilung Art. 14 (i. S. V. Unterrichtung und Aufklärung) Ausnahme: Kenntnis, unverhältnismäßig, aufgrund von Rechtsregeln, Geheimhaltungspflicht

Information bei Datenpannen Art. 34 Mitteilung unwahrscheinlich (keine Meldepflicht) Verantwortlicher Risiko für die Rechte und Freiheiten hoch unverzüglich Auftragsverarbeiter (jede Datenpanne) Dokumentation (jede Datenpanne) vorhanden innerhalb 72 Std. Aufwand unverhältnismäßig öffentlich Betroffene Aufsicht Art. 33 Meldung Ausnahmen, wenn: tom zum Schutz der Daten getroffen wurden, insbesondere Verschlüsselung durch nachfolgende tom kein hohes Risiko mehr besteht Art der Verletzung DSB oder anderer Ansprechpartner mögliche Folgen der Verletzung ergriffene Maßnahmen Kategorie und Anzahl Betroffene Kategorie und Anzahl Datensätze Folgen der Datenpanne

Auskunftsrecht Auskunft auf Antrag (Art. 15 i.v.m. 12 DS-GVO) Inhalte werden Daten des Anfragenden verarbeitet Zweck der Verarbeitung Datenkategorien Empfänger Speicherdauer Beschwerderecht bei Aufsicht Herkunft bei automatisierter Entscheidung / Profiling: Logik und angestrebte Wirkung der Verarbeitung Unterrichtung über geeignete Garantien beim Drittlandtransfer Recht auf Kopien Mittel/Methode Ausübung des Auskunftsrechts ist zu erleichtern (Art. 12 Abs. 2) ggf. Identitätsfeststellung (Art. 12 Abs. 6) Auskunft erfolgt: ohne unangemessene Verzögerung spätestens innerhalb eines Monats Fristverlängerung um max. 2 Monate unentgeltlich, in Ausnahmen Entgelt auf Basis der Verwaltungskosten schriftlich / andere Form / ggf. elektronisch elektronisch bei elektronischer Antragstellung mündlich nach Identitätsfeststellung

Interventionsrecht Weitere Betroffenenrechte gem. 16 22 DS-GVO Recht auf Berichtigung (Art. 16) Recht auf Löschung / Vergessenwerden (Art. 17) Recht auf Einschränkung der Verarbeitung ehemals Sperren (Art. 18) Mitteilungspflicht des Verantwortlichen gegenüber Empfängern bei Maßnahmen im Sinne des Betroffenen (Art. 19) Recht auf Datenübertragbarkeit / Portabilität (Art. 20) Widerspruchsrecht bei Datenverarbeitungen im öffentlichen Interesse / im Interesse des Verantwortlichen / bei Direktwerbung (Art. 21) Recht auf nicht automatisierte Entscheidung (einschließlich Profiling) (Art. 22)

Das Schutzkonzept der Datenschutz-Grundverordnung

Schutzkonzept der DS-GVO Überwachung durch den Datenschutzbeauftragten (Art. 37 39 DS-GVO) Standards und Zertifizierung (Art. 40 43 DS-GVO) Dokumentation und Nachweise (verschiedene Stellen der DS-GVO) Organisatorische Absicherung (Art. 24 31, 35 36 DS-GVO) Technische Absicherung (Art. 25, 32 DS-GVO) Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

Technische Aspekte der DS-GVO Privacy by Design Privacy by Default Art. 25

Datenschutzorganisation Art. 24 ff Adressat der Regelungen: Verantwortlicher für die Verarbeitung Datenschutzmanagementsystem (nachweisbare Datenschutz-Vorkehrungen) risikobasierter Ansatz Überprüfbarkeit Nachweis durch Zertifizierung möglich weitere Vorgaben zur operativen Datenverarbeitung: Einsatz datenschutzfreundlicher Technologien weitreichende Dokumentationspflichten, u. a. aller Verarbeitungsvorgänge weitreichende Nachweispflichten insbes. nach dem Prinzip der Rechenschaftspflicht [accountability] Datenschutzfolgenabschätzung Konsultationspflicht der Aufsichtsbehörde i. Z. m. der Datenschutzfolgenabschätzung Das Datengeheimnis nach 5 BDSG fehlt!

Datenschutzorganisation Dokumentation und Nachweise Art. 5 Abs.2: Art. 7 Abs.1: Nachweis der Einhaltung der Prinzipien rechtmäßiger Verarbeitung Nachweis der Einwilligungen Art. 24 Abs. 1: Nachweis der Datenschutzorganisation Art. 28: Art. 30: Dokumentation von Weisungen (auch für die Drittlandverarbeitung) Verzeichnis der Verarbeitungstätigkeiten und Auftragsverhältnissen Art. 33 Abs. 2: Dokumentation von Sicherheitsvorfällen Art. 35: Datenschutzfolgeabschätzung Art. 49 Abs. 6: Dokumentation geeigneter Drittlandgarantien Dokumentationspflichten führen zur Transparenz, bedeuten aber mehr Aufwand für die verantwortlichen Stellen

Datenschutzorganisation Optimierung - Aktualisierung der Maßnahmen Act Plan Riskobewertung - Art, Umfang, Umstände der Verarbeitung - Datenschutzrisiken - Eintrittswahrscheinlichkeit Check Do Überwachung - Erfolgskontrolle - Überprüfung der Maßnahmen Umsetzung - geeignete tom - Datenschutzvorkehrungen

Datenschutzbeauftragter Art. 37 bis 39 DS-GVO obligatorisch für: öffentliche Stellen Unternehmen Kerntätigkeit besteht aus Verarbeitungsvorgängen, welche auf Grund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen Verantwortliche / Auftragsverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 10 der DS-GVO in großem Umfang besteht nationale Öffnungsklausel: eine Nachfolgeregelung zu 4f BDSG ist hier zu erwarten freiwillig für: alle übrigen für die Verarbeitung Verantwortlichen

Zusammenarbeit mit Dienstleistern Auftragsdatenverarbeiter gem. 28, 29 DS-GVO die wesentlichen Anforderungen aus dem BDSG bleiben sorgfältige Auswahl (Garantien für geeignete tom) genehmigte Verhaltensregeln (Art. 40) oder genehmigte Zertifizierungsverfahren können als Garantie herangezogen werden Schriftlichkeit ist vorgeschrieben, elektronisches Format zulässig offizielle Vertragsmuster dürfen verwendet werden Unterauftragnehmer nur mit schriftlicher Genehmigung Auftragsverarbeitung im Drittland nur auf Weisung das Bußgeld- und Haftungsrisiko steigt - gesamtschuldnerische Haftung (Erwägungsgrund 146 und Art. 28 Abs. 10)

Verantwortung des Auftragsverarbeiters

internationaler Datenverkehr 2-Stufen-Modell ( 44 50 DS-GVO) Stufe I Voraussetzungen nach Art. 5 ff Grundsätze für die Verarbeitung personenbezogener Daten und weitere Rechtmäßigkeitsvoraussetzungen Stufe II Angemessenheitsbeschluss (Art. 45 DS-GVO) geeignete Garantien (Art. 46 DS-GVO) Rechtshilfeabkommen (Art. 48 DS-GVO) Sonderfälle (Art. 49 DS-GVO) Ausnahmen (Art. 49 Abs. 1 h DS-GVO)

Aufsichtsbehörden

Aufsichtsbehörden (Art. 51 ff DS-GVO) Status/Ausstattung unabhängig weisungsfrei Ernennung sachkundig erfahren qualifiziert im erforderlichem Umfange finanziell, sächlich, strukturell und personell ausgestattet Zuständigkeit, Aufgaben und Befugnisse Territorial oder grenzüberschreitend, wenn federführend Überwachung und Durchsetzung Sensibilisierung/Aufklärung Beratung Kooperation mit anderen Behörden Genehmigungen Standardisierungen

Aufsichtsbehörden weitere Befugnisse (Art. 51 ff DS-GVO) Anweisung Untersuchen Überprüfen Warnen / Verwarnen Beschränken / Verbieten Anordnung Bußgeld Genehmigung Anrufung der Justiz/Klagerecht weitere Befugnisse nach nationalem Recht möglich

One Stop Shop Kohärenz/Kooperation Art. 54a Co-operation Procedure AnyconcernedDPA ofa MS in casesreferredtoin Art. 51a (1) in cases referred toart. 51a (2a) shall inform lead DPA on thismatter Art. 57 (2) and(2c) Opinion ofedpb in cross border cases AnyDPA ofa Member State Issues a draft measure shall refer the matter to Lead Authority Shall submit a draft decision on a measure to ifleaddpa decides to deal with the case Shall submit a draft decision to theleaddpa draft decision will be adopted according to 54a (4a), (4b), (4bb) EDPB Shallissuean opinion on the subject matter within one month by simple majority DPA ofa Member State Article 57 Consistency Mechanism EDPB All concerned DPAs May comment on the draft decision If an concerned DPA expresses a serious and reasoned objection within a period of four weeks Lead DPA doesnot follows the objection Adopts a binding decision adressed to the concerneddpas within one month by a two-third majority or simple majority concerned DPAs shall adopt its final decision on the basis of EDPB decision Lead DPA follows the objection Submits to the concerned DPAs revised draft Revised draft subject to procedure in para.3 within a period oftwo weeks If a concerned DPA has not objected to the draft decision, the lead DPA and the concerned DPAs shall bedeemedto bein agreement with this draft decision Lead DPA shalladopt and notify the decision to the main establishment of the controller (4a) Lead DPA informs concerned DPAs andthe EDPB DPA to whicha complaint has been lodged informs the complainant in caseofdisagreement between DPAs andleaddpa Art. 54a applies. Where complaint is dissmissed or rejected(4b) DPA to which the complaint was lodged shall adopt the decision andnotify itto the ifitdoesnot intendto follow the opinion Art. 57 (2a) applies: AnyDPA concerned, the EDPB or the Commission may communicate thematter totheedpb Shall take utmost account of the opinion of the EDPB complainant D A T E N S C H U T Z U N D I N F O R M A T I O N S F rejection R E of the I complainant H E I T shall inform the controller thereof. where parts ofa complaint are dismissed or rejected(4bb) separate decision shall be adopted Lead DPA adopts the decision for the part concerning controller DPA of complainant adopts the decision for the part concerning dismissal or ifitagreesshall within two weeks adopt a measure

Kohärenz/Kooperation Europäischer Datenschutzausschuss Streitbeilegung (Art. 65) federführende (betroffene) Aufsichtsbehörde Ziele: Konsens Informationsaustausch Amtshilfe (Art. 61) Gemeinsame Maßnahmen (Art. 62) Betroffene Aufsichtsbehörde, Art. 4 Nr. 22 DS-GVO Stellungnahmen zu Maßnahmen der Aufsichtsbehörden (Art. 64) Maßnahmen zur Sicherstellung der einheitlichen Anwendung der DS-GVO (Art. 70) kann auch mittelbar im Wege delegierter Rechtsakte durch die Kommission oder durch Verhaltensregeln erfolgen gemeinsame Maßnahmen (Art. 62) auf Einladung: unterstützende Aufsichtsbehörde (Art. 62)

Durchsetzung

Enforcement (Art. 77 ff DS-GVO) I. Rechtswege Beschwerde bei Aufsichtsbehörden Klage gegen Aufsichtsbehörden Klage gegen Verantwortliche, Auftragsverarbeiter oder gemeinsam Verantwortliche (nationaler Spielraum) II. Vertretung Vertretung durch Verband evtl. Verbandsklagerecht (nationaler Spielraum) III. Sanktionen Schadensersatz (materiell und individuell) Bußgeld Strafe (nationaler Spielraum)

Haftung

Bußgelder

Der Landesbeauftragte für Datenschutz und Informationsfreiheit M-V Werderstraße 74a 19055 Schwerin Telefon: 0385-59494-0 Telefax: 0385-59494-58 E-Mail: info@datenschutz-mv.de Internet: www.datenschutz-mv.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback