Die EU-Datenschutzreform in 120 Minuten

Ähnliche Dokumente
Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Datenschutz- Grundverordnung 2016/679 DS-GVO

Das neue Datenschutzrecht. 19. September 2018

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

Die neue EU-Datenschutzgrundverordnung. Alles neu? oder Nur alter Wein in neuen Schläuchen?

Neues Datenschutzrecht umsetzen Stichtag

Datenschutz-Richtlinie der SenVital

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

DATENSCHUTZ in der Praxis

Neues Datenschutzrecht umsetzen Stichtag

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Datenschutz. nach der EU-Datenschutz-Grundverordnung. Bearbeitet von Von Jochen Schneider

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

Grundlagen des Datenschutzes

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Startschuss DSGVO: Was muss ich wissen?

Datenschutzgrundverordnung. LAST MINUTE DATENSCHUTZ E-BUSINESS DAY, iwelt/ihk, EIBELSTADT AM

REFERENTIN. Die EU-DSGVO was steht drin?

Datenschutz für ÖBUVs. 07. November 2018

Dr. Gregor Scheja. Einführung in das Datenschutzrecht

Checkliste zur Datenschutzgrundverordnung

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

EU-Datenschutz- Grundverordnung

EU-Datenschutz-Grundverordnung: Start

Wesentliche Neuerungen im EU- Datenschutzrecht

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Datenschutzkontrolle und Datenschutzaufsicht nach der DS-GVO

Brennpunkte des Vereinsrechts: Datenschutz. Referentin: Jutta Stock Kreissportbund Wesel e.v., 20. November 2018

Datenschutzrechtliche Analyse des AAI- Verfahrens

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Das neue Datenschutzrecht der EU

EU Datenschutz-Grundverordnung

Datenschutzreform 2018

DATENSCHUTZ DIE WORKSHOP-REIHE

WPK aktuell. Mitgliederinformation

Informationspflichten der GWFF nach 13 und 14 der Datenschutzgrundverordnung (DSGVO)

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Beschäftigtendatenschutz Die neuen Regelungen. Rechtsanwalt Andrés Heyn Hamburg

zum Security Breakfast bei

Die Datenschutz-Grundverordnung (DSGVO)

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

Betrieblicher Datenschutz (Kunden- und Beschäftigten- Daten)

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

- Wa s i s t j e t z t z u t u n? -

Datenschutzerklärung für Bewerbungsverfahren

Datenschutzinformation der SPECTRO Analytical Instruments GmbH nach Art. 13, 14 und 21 DSGVO

Die Datenschutzgrundverordnung

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

Die Europäische Datenschutz- Grundverordnung. Schulung am

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Impulsvortrag zur Datenschutz-Grundverordnung

Übermittlung an Drittländer

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Datenschutzreform 2018

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Deutsches Forschungsnetz

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

DATENSCHUTZHINWEISE nach DS-GVO

Datenschutz 2.0 Was birgt die Zukunft?

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Konzerndatenschutz und DSGVO Bürokratie oder Chance?

Herzlich willkommen! Datenschutz- Grundverordnung Gewerbeverein Alfter. Köln, 26. Juni Rechtsberatung. Steuerberatung. Luther.

Die Informationspflichten der Verantwortlichen

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Datenschutz und Werbung. WKÖ Datenschutz im Fokus, 12. Oktober 2017 RA Dr. Lukas Feiler, SSCP, CIPP/E

Gemeinsam erfolgreich. Voraussetzungen zulässiger Datenverarbeitung Erlaubnistatbestände der DSGVO Alexander von Chrzanowski Nürnberg

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

I. Name und Anschrift der Verantwortlichen sowie des Datenschutzbeauftragen

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

EU-Datenschutz- Grundverordnung

EU-Datenschutz-Grundverordnung (DSGVO) und die damit verbundenem Privatsphäre im Internet Kreativität und Technik Andrea Hornik und Fabian Richter

Datenschutz-Grundverordnung Alles neu? Ein Überblick über die Datenschutz-Grundverordnung

Transkript:

Olswang Session Die EU-Datenschutzreform in 120 Minuten

Die EU-Datenschutzreform in 120 Minuten AGENDA I. Stand des Gesetzgebungsverfahrens; Inhaltsverzeichnis II. Übergangsregelungen; Fortgeltung altes Recht III. Einwilligung und Rechtfertigungsgründe IV. One-Stop Shop V. Datenschutzbeauftragter, Stellverterter VI. Rechte der Betroffenen VII. Auftragsdatenverarbeiter VIII. Internationale Datenübermittlungen IX. Governance X. Beschäftigtendatenschutz und andere Ausnahmen XI. GDPR Readiness Plan XII. FAQ und Diskussion 2

Stand des Gesetzgebungsverfahrens Januar März 2016 Juli 2016 Juli 2018 Heute: GDPR EU Doc 15039/15 https://www.janalbrecht.eu/fileadmin/materi al/dokumente/gdpr_consolidated_libevote-2015-12-17.pdf 2. Februar 2016: Meeting Art 29 zu Intl. Data Transfers Übersetzung der Sprachversionen Januar Juli 2016 Annahme der DGVO durch EP und Rat (März 2016) xx Juli 2016 : Veröffentlichung der DGVO im Official Journal xx Juli 2016 + 20 Tage: DGVO tritt in Kraft ( enter into force ) xx Juli 2018 + 20 Tage GDPR gilt ( shall apply ) 3

Inhaltsverzeichnis 4

Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich (1) Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich personenbezogene Daten BDSG, LDSG, etc. Anwendungsbereich (sachlich) Übergangsregelungen DGVO, BDSG (?) LDSG (?) Ab wann gilt welches Gesetz? 5

https://upload.wikimedia.org/wikipedia/commons/ 6/62/EU_member_states_2014.PNG Die EU-Datenschutzreform in 120 Minuten Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich (2) Die DGVO findet Anwendung, wenn Art. 3 Abs. 1 Art. 3 Abs. 2 Art. 3 Abs. 2 die verantwortliche Stelle oder der Auftragsdatenverarbeiter in der EU niedergelassen ist. Ort der Datenverarbeitung ist nicht relevant. 6 Verantwortliche Stelle / Auftragsdatenverarbeiter die verantwortliche Stelle oder der Auftragsdatenverarbeiter nicht in der EU niedergelassen ist; der Betroffene in der EU ist; und ihm Waren/Dienstleistungen angeboten werden. Betroffene die verantwortliche Stelle oder der Auftragsdatenverarbeiter nicht in der EU niedergelassen ist; der Betroffene in der EU ist; und sein Verhalten in der EU überwacht wird. Datenverarbeitung

Einwilligung und Rechtfertigungsgründe (1) Rechtfertigung Grundsatz (Art. 6 Abs. 1) Verbot mit Erlaubnisvorbehalt Rechtfertigungsgründe (Art. 6 Abs. 1) Einwilligung Vertragsdurchführung, Antrag des Betroffenen Erfüllung von Rechtspflichten Öffentliches Interesse, hoheitliche Gewalt Wahrung lebenswichtiger Interessen des Betroffenen oder Dritte berechtigtes Interesse P: Listenprivileg, Werbung, Arbeitnehmerdatenschutz Direkterhebung? Kein Vorrang der Direkterhebung P: Öffentliche Quellen? Lediglich Hinweispflichten (Art. 14a) Zweckbindung (Art. 5 Abs. 1 b) grundsätzlich nur zweckgebundene Verarbeitung Zweckänderung darf ursprünglichem Zweck nicht zuwiderlaufen (Art. 6 Abs. 3a) 7

Einwilligung und Rechtfertigungsgründe (2) Rechtfertigung (Fortsetzung) Besondere Arten personenbezogene Daten (Art. 9 Abs. 1) Verarbeitung grundsätzlich unzulässig Rechtfertigung (Art. 9 Abs. 2) Erforderlich für Beschäftigung und Soziales Daten von Mitgliedern und nahestehende Personen von gemeinnützigen Vereinen, Religionsgemeinschaften, etc. Wahrung lebenswichtiger Interessen des Betroffenen oder Dritter Gerichtliche Anordnung diverse gesundheitliche, medizinische Gründe Straftaen und Verurteilungen, Sicherungsmaßnahmen (Art. 9a) Grundsätzlich unzulässig Ausnahme: Verarbeitung unter behördliche Aufsicht oder nach nationalem Rech Anpassungen erforderlich? Wenig Bedarf, bei Datenverarbeitung gestützt auf 28 Abs. 1 Nr. 1 und Nr. 2 BDSG 32 BDSG (Beschäftigtendatenschutz) Erhöhter Bedarf, bei Datenverarbeitung gestützt auf 28 Abs. 1 Nr. 3 BDSG (Daten aus öffentlichen Quellen 28 Abs. 3 BDSG (Listenprivileg) 8

Einwilligung und Rechtfertigungsgründe (3) Einwilligung Definition (Art. 4 Abs. 8) freiwillig bestimmt informiert eindeutige Willensbekundung Erklärung, eindeutige Handlung P: Opt-out, alte Einwilligungen, Asset Deal? Anforderungen (Art. 7) Nachweispflicht der verantwortlichen Stelle (Abs. 1) Gemeinsam mit anderen schriftlichen Erklärungen (Abs. 2) leicht zugänglich verständlich, einfache Sprache P: Bei Verstoß ist die Einwilligung unverbindlich (not binding) unterscheidbar von anderen Erklärungen Widerrufsrecht und Hinweispflicht (Abs. 3) Allgemeine Informationspflichten Art. 14 und 14a Besondere Anforderungen an Freiwilligkeit (Abs. 4) Einwilligung Voraussetzung für Vertragsschluss oder Inanspruchnahme einer Leistung? Einwilligung notwendig? 9

Einwilligung und Rechtfertigungsgründe (4) Einwilligung (Fortsetzung) Einwilligungen von Kindern (Art. 8) Kinder unter 16 Jahren (Abs. 1) Einwilligung oder Zustimmung durch Erziehungsberechtigten Senkung des Alters auf 13 Jahre möglich Nachprüfung durch verantwortliche Stelle (Abs. 1a) P: Zumutbar; vorhandene Technologie? Zumutbare Anstrengungen Berücksichtigung der vorhandenen Technologie Besondere Arten von PD (Art. 9) Weitere Einwilligungstatbestände Einwilligung möglich (Abs. 2) Profiling Art. 20 Abs. 1a Verbot durch nationales Recht möglich Datenübermittlung in Drittländer Art. 44 Abs. 1a Anpassungen erforderlich? Wenig Bedarf Einwilligung genügt auch 7 Abs. 2 Nr. 3 UWG Erhöhter Bedarf Opt-Out, insbesondere AGB Fehlende/unvollständige Information gem. Art. 14 Einwilligungen von Kindern 10

Einwilligung und Rechtfertigungsgründe (5) Und jetzt? Data mapping Identifizierung der Datenverarbeitung im Unternehmen Feststellen, auf welcher Grundlage Daten verarbeitet werden Prüfen, ob die rechtliche Grundlage auch unter der DGVO gilt (s.o.) Ja keine Änderung notwendig Nein Änderung des Vertrags, Einholung neue Einwilligung 11

One-Stop Shop (1) Art. 51a II Prinzip der zentralen Anlaufstelle Zuständigkeit allein DPA am Ort der Hauptniederlassung Art. 4 Nr. 13 Definition Hauptniederlassung Beschwerde nicht zwangsläufig am Ort der Hauptniederlassung Kooperation EDPB zwischen Hauptaufsichtsbehörde und nat. DPAs Entscheidung durch EDPB bei abweichenden Ansichten zwischen Hauptaufsichtsbehörde und nat. DPAs 12

One-Stop Shop (2) rein nat. Fall Gerichtl. Überprüfung Entscheidung durch nat. DPA (nat.) Gericht im Mitgliedsstaat Grenzüberschr. Fall Kooperation DPAs Gemeinsame Entscheidung der DPAs bei unterschiedl. Ansichten der DPAs: EDPB Gerichtl. Überprüfung bei Übereinstimmung der DPAs: nat. Anwendung vor (nat.) Gericht im Mitgliedsstaat Entscheidung des EDPB: EuGH 13

Datenschutzbeauftragter, Stellvertreter Erfordernis (Art. 35) Stellvertreter (Art. 25) Anforderungen (Art.35 ) Abweichungen Add Datenschutzbeauftragter Art. 35 ff Beauftragung (Art. 35) Stellung (Art.36) Pflichten (Art. 37) Add Stellvertreter Art. 25 14

Datenschutzbeauftragter, Stellvertreter TO DOs zur Vorbereitung (Auswahl) Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss; Alte bzw. bestehende Verträge überprüfen und Ergänzungsbedarf feststellen; Prüfen, ob das Erfordernis eines Stellvertreters besteht. 15

Rechte der Betroffenen (1) Datenverlust (Art. 31) Einwilligung (Art. 7) Minderjährige (f. Internetdienste) (Art. 8) Profiling (Art. 20) besondere Arten personenbezogener Daten (Art. 9) Widerspruchsrecht (Art. 19) Betroffener 123 Daten zu Strafverfahren (Art. 9 a) Datenportabilität (Art. 18) Berichtigung, Löschung, Right to be forgotten (Art. 16 f) Auskunft (Art. 12 (2), 15) Transparenz / Information (Art 12, 14 ff) 16

Rechte der Betroffenen (2) TO DOs zur Vorbereitung (Auswahl) Aktualisierung der Datenschutzerklärungen / Infos Interne Prozesse zur Umsetzung - Info (Direkterhebung / indirekte Erhebung) - Auskunft - Widerspruch - Löschung / Right to be forgotten - Datenportabilität - Data Breach Response Plan 17

Auftragsdatenverarbeiter (1) Grundsätzliches Haftung (Art.77) Anforderungen (Art.26) Stellvertreter (Art.25) Datenschutzbe auftragter (Art.35) Add Auftragsdatenverarbeiter Auftragsverhältnis (Art. 26) Unterauftragsverarbeitung (Art.26) Pflichten/ Aufgaben (Art. 26 ff.) 18

Auftragsdatenverarbeiter (2) Pflichten/Aufgaben Eigene Verantwortung für Sicherheit der Verarbeitung zu sorgen (Art. 30). Mitwirkung an Zertifizierungen (Art.26 (II) lit.h). Ausbau der technisch-organisatorischen Maßnahmen (Art.30). Fiktion als verantwortliche Stelle (Art.26 (IV)). Regelmäßige Überprüfung der Maßnahmen auf ihre Effizienz und ggf. Anpassungen. Grundsatz der Datensparsamkeit, präventive Maßnahmen ergreifen (z.b. privacy by design/ by default) (Art.23). Weisungsgebundenheit kraft Gesetz (Art.27), Dokumentation der Weisungen (Art.26 (II) lit.a) und DV-Vorgängen (Art.28 IIa). Unterstützung der verantwortlichen Stelle z.b. bei der Umsetzung der Betroffenenrechte (Art.26 (II) lit.e,f). Meldepflicht ggü. der verantwortlichen Stelle im Falle von Datenangriffen (Art.31 (II)). Voraussetzungen für Unterauftragsverarbeitung (Art.26 (Ia)(Iia)). Ernennung eines Datenschutzbeauftragten (Art.35) und Stellvertreters (Art. 25), wenn erforderlich. Kooperation mit der Aufsichtsbehörde. Eigene und direkte Haftung (Art.77). Direkter Adressat von Bußgeldern (Art.79). Informationspflicht ggü. verantwortlicher Stelle, wenn Verarbeitung gg. datenschutzrtl. Vorschriften verstößt (Art. 26 (II) lit.h). Rückgabe und Löschung der Daten nach Auftragsende (Art.26 (II) lit.g). 19

Auftragsdatenverarbeiter (3) TO DOs zur Vorbereitung (Auswahl) Alte bzw. bestehende Verträge überprüfen; Überprüfen, ob das Erfordernis eines Datenschutzbeauftragten besteht; Überprüfen, ob das Erfordernis der Bestellung eines Stellvertreters besteht; Verantwortlichkeiten klären im Hinblick auf bestehende haftungsrechtliche Fragen. 20

International Data Transfers (1) EU/EWR Angemessenes Datenschutzniveau Data Transfer Vehicles: Standardverträge (Komm), BCR, Safe Harbor (4000 US) NEU GDPR: Codes of Conduct (Art. 38), Standardverträge (Behörde) Akzeptierte Drittstaaten, z.b. Schweiz, Kanda, Israel, Argentinien NEU GDPR: Mal-schnell-einpaar-Daten -Ausnahme (Art. 44 1h) Rest der Welt z.b. USA, China, Australien, Indien Kein angemessenes DS-Niveau Ausnahmen (z.b.): Vertragserfüllung, Einwilligung, Verteidigung von Rechtsansprüchen, etc. 21

Governance (1) Data Protection Impact Assessment bei hohem Risiko für Betroffene (Art. 33) Einhaltung von Codes of Conducts (Art. 38) oder Zertifizierungsmechanismen (Art. 39), um Compliance nachzuweisen (Art. 22 (2 b)) Datenschutzrichtlinien, um Compliance-TOMs zu implementieren (Art. 22 (2a) Data Security Risk Assessment (Art. 30 (1 d)) Verfahrensverzeichnis (Art. 28) 22

Governance (2) TO DOs zur Vorbereitung (Auswahl) Entwurf Datenschutzrichtlinien / Verfahrensverzeichnisse; Prüfung Einhaltung von Codes of Conducts / Zertifizierungsmechanismen; Verfahren für Data Protection Impact Assessment. 23

Beschäftigtendatenschutz und andere Ausnahmen Art. 82 Einwilligung Einzige Vorschrift zum Beschäftigten-DS; lediglich Öffnungsklausel Nutzung von Daten für Durchführung eines Arbeitsverhältnisses zulässig Grundsatz der Zweckbindung Grundsatz der Datensparsamkeit Grundsatz der Datenrichtigkeit und -aktualität Bes. sensible Daten Informationspflichten Art. 9: Grds. Verbot der Verarbeitung, aber Rückausnahme für das Arbeitsleben Art. 12 ff. Profilerstellung, Art. 20 Arbeitnehmer muss nicht hinnehmen, dass Arbeitsleistung analysiert wird 24

GDPR Readiness Plan! Einen Plan haben.und Bussgelder vermeiden 25

FRAGEN!? Dr. Andreas Splittgerber Partner / CIPP/E +49 89 206 02 8404 Andreas.Splittgerber@olswang.com München +49 89 206 028 400 Brüssel +32 2 647 4772 London +44 20 7067 3000 Madrid +34 91 187 1920 Thames Valley +44 20 7071 7300 Singapur +65 6720 8278 Paris +33 17 091 8720 Olswang: Changing Business.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback