Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen?

Ähnliche Dokumente
EU Datenschutz-Grundverordnung TYPO3 Meetup München. Dr. Thomas Jansen

Übermittlung an Drittländer

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Das neue Datenschutzrecht - Neue Anforderungen für Unternehmen

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

zum Security Breakfast bei

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

GDPR und das deutsche Datenschutzrecht

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Wie schreibe ich ein Datenschutzgesetz?

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Datenschutzkontrolle und Datenschutzaufsicht nach der DS-GVO

Checkliste zur Datenschutzgrundverordnung

Neuerungen im Datenschutzrecht mit Was bringen sie?

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Harter Brexit und PrivacyShield Neues zur Übermittlung in Drittstaaten

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

DATENSCHUTZ in der Praxis

Kurzüberblick und Zeitplan

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

Neues Datenschutzrecht umsetzen Stichtag

Neues Datenschutzrecht umsetzen Stichtag

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Startschuss DSGVO: Was muss ich wissen?

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz. nach der EU-Datenschutz-Grundverordnung. Bearbeitet von Von Jochen Schneider

EU-Datenschutz- Grundverordnung

Deutsches Forschungsnetz


Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Das neue Datenschutzrecht der EU

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

- Wa s i s t j e t z t z u t u n? -

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Datenschutz im Bewerbungsverfahren Möglichkeiten und Grenzen moderner Personalbeschaffung

Safe Harbor. #medialawcamp E-Commerce und E-Payment. Berlin, 27. November 2015

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

DATENSCHUTZHINWEISE nach DS-GVO

Datenschutz- Grundverordnung 2016/679 DS-GVO

EU-DatenschutzGrundverordnung. in der Praxis

Die Informationspflichten der Verantwortlichen

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

REFERENTIN. Die EU-DSGVO was steht drin?

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Die EU Datenschutz-Grundverordnung - Anpassungsbedarf für Unternehmen

Inhaltsverzeichnis XIII. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG

EU Datenschutz-Grundverordnung

A-s Informationspflicht gegenüber Kunden

Die Datenschutzgrundverordnung

Die Europäische Datenschutz- Grundverordnung. Schulung am

Datenschutzinformationen für Kunden und Interessenten der ML Gruppe

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

Die neue EU-Datenschutzgrundverordnung. Alles neu? oder Nur alter Wein in neuen Schläuchen?

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

Herr Andreas Fischer

Informationspflichten der GWFF nach 13 und 14 der Datenschutzgrundverordnung (DSGVO)

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

Die Datenschutzgrundverordnung

TRANSATLANTISCHER DATENVERKEHR UNTER DEM EU-US PRIVACY SHIELD

DSGVO FACTSHEET STAND: MAI 2018

BvD. Management-Summary. Überblick in 10 Schritten

Wer ist für die Datenverarbeitung verantwortlich und wer ist Ihr Datenschutzbeauftragter?

DATENSCHUTZ DIE WORKSHOP-REIHE

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Die neue EU-Datenschutz- Grundverordnung

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Das neue Datenschutzrecht. 19. September 2018

Die Datenschutz-Grundverordnung (DSGVO)

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Das neue europäische Datenschutzrecht Eckpfeiler einer Datenschutz-Compliance im Zeitalter der EU-DSGVO, des BDSG-E und des EU-/US-Privacy Shield

Die neue Datenschutzgrundverordnung

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Betrieblicher Datenschutz (Kunden- und Beschäftigten- Daten)

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Transkript:

Berlin Düsseldorf Frankfurt/Main Hamburg München 0 Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen? Congress@it-sa Der sichere Hafen für Ihre Unternehmens IT Dr. Oliver Hornung, Rechtsanwalt und Partner Benjamin Spies, Rechtsanwalt und Partner SKW Schwarz Rechtsanwälte Nürnberg, 18. und 20. Oktober 2016

Berlin Düsseldorf Frankfurt/Main Hamburg München 1 1 2 3 Einführung EU-DSGVO Instrumente des internationalen Datentransfers nach dem BDSG Instrumente des internationalen Datentransfers nach der EU-DSGVO 4 EU-US Privacy Shield 5 Handlungsempfehlungen

Berlin Düsseldorf Frankfurt/Main Hamburg München 2 1 Einführung EU-DSGVO

Berlin Düsseldorf Frankfurt/Main Hamburg München 3 Entwicklungsgeschichte und aktueller Stand Januar 2012 Gesetzesvorschlag der EU-Kommission 2012-2015 Über 4000 Änderungsanträge der beratenden Ausschüsse Juli 2015 April 2016 Juni 2016 25. Mai 2018 Trilog (Europäisches Parlament, Europäischer Kommission, Europäischer Rat) Veröffentlichung der finalen Textfassung; 14. April 2016 Europäisches Parlament beschließt EU-DSGVO Inkrafttreten der EU-DSGVO Anwendbares Recht in allen 28 Mitgliedstaaten, wirkt direkt und unmittelbar, 288 Abs. 2 Satz 2 AEUV

Berlin Düsseldorf Frankfurt/Main Hamburg München 4 Hintergrund Problem "Datenschutz-Flickenteppich": Ungleiche Datenschutzniveaus in der EU durch unterschiedliche Umsetzung der DSRL 95/46/EG Lösung Einführung der EU-DSGVO Europaweit verbindlicher Rechtsakt der EU In den Regelungsbereichen, in denen die Verordnung vorrangig ist, wird das BDSG verdrängt; nationale Regelungen können nur gelten, wenn die EU-DSGVO Öffnungsklauseln vorsieht, dann sind Ausführungsgesetze zulässig, z.b. im Beschäftigtendatenschutz; einen ersten Entwurf zu einem Ausführungsgesetz gibt es bereits, datiert vom 5. August 2016

Berlin Düsseldorf Frankfurt/Main Hamburg München 5 Ziele des Verordnungsgebers Europaweit einheitlicher und hoher Datenschutzstandard Gleiche Wettbewerbsbedingungen auf der Basis hoher Datenschutzstandards Schutz der natürlichen Person bei der Verarbeitung personenbezogener Daten Gewährleistung des freien Datenverkehrs, insbesondere Erhebung des Rechts auf Datenschutz zu einem europäischen Grundrecht, wie dies in Deutschland bereits seit 1983 anerkannt ist Unterbindung der Weitergabe personenbezogener Daten aus der EU an Strafverfolgungsbehörden und Nachrichtendienste von Drittstaaten Pflicht zur Bestellung eines Datenschutzbeauftragten für alle Unternehmen, die innerhalb eines Jahres Daten von mehr als 5.000 Betroffen verarbeiten

Berlin Düsseldorf Frankfurt/Main Hamburg München 6 Zentrale Kernpunkte - Überblick Recht auf Vergessenwerden und Datenportabilität Informierte Einwilligung als Eckpfeiler Informationsrechte und Transparenz Zukunftstaugliche Definitionen Harte Sanktionen Privacy by Design & Privacy by Default Weniger Bürokratie Einheitliche Rechtsdurchsetzung Ein fester Ansprechpartner für ganz Europa Datenübermittlung an Drittstaaten

Berlin Düsseldorf Frankfurt/Main Hamburg München 7 Überblick über die Vorschriften der EU-DSGVO Kapitel 10 / 11: Delegierte Rechtsakte, Schlussbestimmungen Kapitel 1: Allgemeine Bestimmungen Kapitel 2: Grundsätze Kapitel 9: Vorschriften für besondere Verarbeitungen Struktur der EU-DSGVO Kapitel 3: Betroffenenrechte Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe Kapitel 4: Verantwortlicher und Auftragsverarbeiter Kapitel 6 / 7: Aufsichtsbehörden Kapitel 5: Übermittlungen in Drittländer

Berlin Düsseldorf Frankfurt/Main Hamburg München 8 Zentrale Neuerungen 1/11 Erweiterte internationale Anwendbarkeit (Art. 3) Anwendung auf jede Datenverarbeitung im Zusammenhang mit Produkten und Dienstleistungen für EU-Bürger, unabhängig vom Sitz des Unternehmens bzw. der Nutzung technischer Mittel in der EU und unabhängig von einer Zahlungspflicht Beispiele: Shop mit Angeboten für EU-Bürger; Website mit Registrierungsmöglichkeit für EU-Bürger; Website mit Informationen speziell für EU- Bürger Anwendung bei Überwachung des Verhaltens von Bürgern, soweit dies in der EU stattfindet (einschließlich deren Internetaktivität) Beispiele: Webanalyse auf Websites für EU-Bürger; Profiling (z. B. für personalisierte Werbung) von EU-Bürgern Anwendung auf Auftragsdatenverarbeiter mit Sitz in der EU auch bei Nicht-EU- Auftraggeber (bisher nur eingeschränkte Prüfpflicht)

Berlin Düsseldorf Frankfurt/Main Hamburg München 9 Zentrale Neuerungen 2/11 Verarbeitungsvoraussetzungen Erhöhte Anforderungen an Einwilligung Betroffener in Datenverarbeitung (Art. 7) Einwilligung jederzeit widerruflich Bei Kopplung an Vertrag kann Einwilligung unwirksam sein Zentrale Erlaubnisnorm: Interessenabwägung (Art. 6 I f): "die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich um ein Kind handelt." Strengere Zweckbindung (Art. 6 IV) Neuer Zweck muss mit ursprünglichem "kompatibel" sein

Berlin Düsseldorf Frankfurt/Main Hamburg München 10 Zentrale Neuerungen 3/11 Verarbeitungsvoraussetzungen Strenge Anforderungen für "qualifiziertes Profiling" (Art. 22) Keine Unterwerfung einer auf ausschließlich automatisierter Verarbeitung einschl. Profiling beruhenden Entscheidung Bspw. für Bonitätsscoring oder Profiling zur Betrugserkennung Gilt voraussichtlich nicht für werbliches Profiling (personalisierte Werbung) Auftragsdatenverarbeitung Erhöhte Pflichten (Art. 28) Haftungsregeln des Auftragsdatenverarbeiters unmittelbar gegenüber Betroffenen (Art. 82)

Berlin Düsseldorf Frankfurt/Main Hamburg München 11 Zentrale Neuerungen 4/11 Nutzerfreundlichkeit Erweiterte Transparenz- und Informationspflichten der Anbieter ggü. Nutzern (Art. 12-14) Information mittels klarer, verständlicher Sprache und Symbole Einführung eines "Rechts auf Löschung" (Art. 17) Anspruch auf Löschung von Daten Bei Veröffentlichung muss verantwortliche Stelle auch Dritte, die Daten übernommen haben, informieren Ausnahmen unter Aspekten der freien Meinungsäußerung/Informationsfreiheit Recht auf Datenübertragbarkeit (Art. 20) Allgemeines Widerspruchsrecht gegen Datenverarbeitung und Profiling (Art. 21)

Berlin Düsseldorf Frankfurt/Main Hamburg München 12 Zentrale Neuerungen 5/11 Nutzerfreundlichkeit Privacy by Design (Datenschutz durch Technik) und Privacy by Default (datenschutzfreundliche Voreinstellungen) (Art. 25) Minderjährige: Zustimmungserfordernis der Eltern für Verträge über "Dienste der Informationsgesellschaft" (Art. 8) Bspw. für Eröffnung eines "Social-Media"-Kontos Altersgrenze flexibel zwischen 13 und 16 (Öffnungsklausel)

Berlin Düsseldorf Frankfurt/Main Hamburg München 13 Zentrale Neuerungen 6/11 Technisch-organisatorischer Datenschutz Detaillierte Regelungen zu Datensicherheit (Art. 32) Umfassende Meldepflichten bei Datensicherheitspannen gegenüber Behörden und Betroffenen, Meldefrist Behörde 72 h (Art. 33 und 34) Bei Datenverarbeitung "insbesondere bei Verwendung neuer Technologien" mit "hohem Risiko für die persönlichen Rechte und Freiheiten" muss Datenschutz- Folgenabschätzung durchgeführt werden (Art. 35) Beispiele: Scoring, Profiling, Videoüberwachung Bei verbleibenden Risiken: Pflicht zur Konsultation der Datenschutzbehörde (Art. 36) Pflicht der Unternehmen, Datenschutzbeauftragte zu benennen nur, wenn Datenverarbeitung die Kerntätigkeit ist (Art. 37 ff.), sonst nur, wenn Unionsrecht oder Recht des Mitgliedstaates dies erfordert

Berlin Düsseldorf Frankfurt/Main Hamburg München 14 Zentrale Neuerungen 7/11 Ko-Regulierung und Zertifizierung Verbände können Verhaltensregelungen zur Präzisierung der EU-DSGVO (Art. 40) ausarbeiten z. B. zu berechtigtem Interesse, Betroffenenrechten, Unterrichtung und Schutz von Kindern, Datentransfers in Drittstaaten, Meldepflichten Verhaltensregelungen müssen von zuständiger Behörde genehmigt werden Bei Bedeutung für mehrere EU-Staaten findet behördenseitig Koordinierung statt (über sog. Kohärenzverfahren, Art. 66 ff.) Kommission kann Verhaltensregelungen für allgemeingültig erklären Überprüfung durch Behörden und durch akkreditierte Stellen Unternehmen können sich zertifizieren lassen (Art. 42) Zertifizierungen werden von zuständiger Aufsichtsbehörde oder von akkreditierter Zertifizierungsstelle erteilt

Berlin Düsseldorf Frankfurt/Main Hamburg München 15 Zentrale Neuerungen 8/11 Sanktionen Bußgelder für den Fall der Nichteinhaltung durch Unternehmen (bis zu 10 bzw. 20 Mio. EUR oder 2 bzw. 4 % des Jahresumsatzes im Konzern) (Art. 83) Verstöße gegen Zertifizierungen bzw. anerkannte Verhaltensregelungen wirken straferhöhend, Beachtung wirkt strafmildernd Sanktionen stehen nicht im Ermessen der Behörde Mitgliedstaaten können eigene Sanktionen bestimmen (Art. 84) Verantwortliche Stellen und Auftragsdatenverarbeiter haften ggü. Betroffenen auf Schadensersatz für materielle und immaterielle Schäden infolge der Verletzung der DS- GVO (Art. 82)

Berlin Düsseldorf Frankfurt/Main Hamburg München 16 Zentrale Neuerungen 9/11 Sanktionen Beispiele bis zu 10 Mio. / 2 %: Verstoß gegen Vorgaben zur Einwilligung Minderjähriger Verstoß gegen "Privacy by Design" bzw. "Privacy by Default" (NEU!) Ungenügender AV-Vertrag bzw. ungenügende Prüfung TOMs des Verarbeiters Kein Verfahrensverzeichnis Ungenügende Datensicherheit (NEU!) Verstoß gegen Meldepflichten bei Datensicherheitspannen Ungenügende DS-Folgenabschätzung bzw. Konsultation (NEU!) Verstoß gegen Regelungen zu Stellung des DSB / Aufgaben des DSB (NEU!)

Berlin Düsseldorf Frankfurt/Main Hamburg München 17 Zentrale Neuerungen 10/11 Sanktionen Beispiele bis zu 20 Mio. / 4 %: Verstoß gegen Datenschutzprinzipien (Zweckbindung, Transparenz) (als selbstständiger Verstoß teilweise NEU!) Verarbeitung ohne hinreichende Erlaubnisnorm Verstoß gegen Vorgaben für Einwilligung (als selbstständiger Verstoß NEU!) Verstoß gegen Vorgaben zur Verarbeitung besonderer Arten von Daten (als selbstständiger Verstoß NEU!) Verstoß gegen Informationspflichten Verstoß gegen Betroffenenrechte, Recht auf Datenübertragung bzw. Löschung (NEU!) Verstoß gegen Widerspruchsrecht Verstoß gegen Profiling-Vorgaben (als selbstständiger Verstoß NEU!) Verstoß gegen Regelungen zu internat. Datentransfers (als selbstständiger Verstoß NEU!) Verstoß gegen nationale Datenschutzbestimmungen (z. B. ArbN-Datenschutzrecht)

Berlin Düsseldorf Frankfurt/Main Hamburg München 18 Zentrale Neuerungen 11/11 Durchsetzung Durchsetzung federführend durch zuständige nationale Datenschutzbehörden ("lead authority"- Modell bzw. "one-stop-shop") (Art. 51) Aber: Verbraucher können sich bei jeder Behörde beschweren Ggf. Zusammenarbeit verschiedener nationaler Behörden erforderlich Komplexes Abstimmungsverfahren u.a. mittels Europäischem Datenschutzausschuss (EDPB) Verbandsklagerecht (Art. 80) Mit Öffnungsklausel zu näherer Ausgestaltung in den Mitgliedsstaaten War Voraussetzung für geändertes Unterlassungsklagengesetz (UKlaG)

Berlin Düsseldorf Frankfurt/Main Hamburg München 19 2 Instrumente des internationalen Datentransfers nach dem BDSG

Berlin Düsseldorf Frankfurt/Main Hamburg München 20 Der internationale Datentransfer Innerhalb der EU/EWR Keine Besonderheiten: zulässig bei gesetzlichem Erlaubnistatbestand, Einwilligung oder Auftragsdatenverarbeitung (ADV) in Drittstaaten Stufe 1 Stufe 2 Rechtsgrundlage: gesetzlicher Erlaubnistatbestand o. Einwilligung Beachte: Gem. DS-Behörden auch bei ADV Rechtsgrundlage erforderlich, da Empfänger "Dritter" i.s.d. BDSG (Umkehrschluss 3 Abs. 8 S. 3 BDSG) (umstritten) Angemessenes Datenschutzniveau, 4b Abs. 3 BDSG Gesetzliche Erlaubnistatbestände, 4c Abs. 1 S. 1 Nr. 1-6 BDSG Ergreifen zusätzlicher Maßnahmen, 4c Abs. 2 BDSG Sonderfall USA: EU-US Privacy Shield

Berlin Düsseldorf Frankfurt/Main Hamburg München 21 Stufe 2: "Angemessenes Datenschutzniveau" Entscheidung der Kommission z.b. CH, Kanada, Argentinien, Israel, Uruguay EU-US Privacy Shield Individueller Vertrag Nur mit Genehmigung der Behörde Angemessenes Datenschutzniveau Standardvertragsklauseln der Kommission (SCC) Für USA in der Kritik seit Safe Harbor-Urteil des EuGH Binding Corporate Rules (BCR) Rechtlich verbindliche Implementierung von Unternehmensregelunge n zum Umgang mit personenbezogenen Daten im Konzern Nur mit Genehmigung der Behörde(n) Für USA in der Kritik seit Safe Harbor-Urteil des EuGH

Berlin Düsseldorf Frankfurt/Main Hamburg München 22 3 Instrumente des internationalen Datentransfers nach der EU-DSGVO

Berlin Düsseldorf Frankfurt/Main Hamburg München 23 Instrumente des internationalen Datentransfers 1/3 Datenübermittlung an Drittstaaten, Kapitel V EU-DSGVO Die nach der DSRL bestehenden Möglichkeiten der Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen werden beibehalten: Instrument des Angemessenheitsbeschlusses durch die Kommission (Art. 45) Verwendung von EU-Standardvertragsklauseln der Kommission (Art. 46 II lit. c) Verwendung und Freigabe verbindlicher unternehmensinterner Vorschriften durch die zuständige Aufsichtsbehörde (Art. 47 I, BCR) die Genehmigung individueller Vereinbarungen durch die zuständige Aufsichtsbehörde (Art. 46 II lit. d)

Berlin Düsseldorf Frankfurt/Main Hamburg München 24 Instrumente des internationalen Datentransfers 2/3 1. Instrument des Angemessenheitsbeschlusses durch die Kommission (Art. 45) NEU: Explizite Festlegung, dass nicht nur ein Drittland als Ganzes, sondern auch ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands Gegenstand eines Angemessenheitsbeschlusses sein können. NEU: Regelmäßigen Überprüfung der Angemessenheitsbeschlüsse einer durch die EU-Kommission (Erwägungsgrund 106) 2. Verwendung von EU-Standardvertragsklauseln der Kommission (Art. 46 II lit. c) NEU: Einsetzung der EU-Standardvertragsklauseln ohne vorherige Genehmigung der jeweils zuständigen nationalen Datenschutzbehörde 3. Verwendung und Freigabe verbindlicher unternehmensinterner Vorschriften durch die zuständige Aufsichtsbehörde (Art. 47 I, BCR) NEU: Die Anforderungen an verbindliche unternehmensinterne Datenschutzvorschriften werden konkreter und klarer geregelt

Berlin Düsseldorf Frankfurt/Main Hamburg München 25 Instrumente des internationalen Datentransfers 3/3 4. NEU: Möglichkeit des Einsatzes von genehmigten Verhaltensregeln (Art. 40) und genehmigten Zertifizierungsmechanismen (Art. 42) 5. NEU: Eine Übermittlung an ein Drittland oder eine internationale Organisation darf auch dann erfolgen, wenn die Wahrung zwingender berechtigter Interessen des Datenverarbeiters diese erforderlich machen (Art 49 I lit. h), wenn die Übermittlung nicht wiederholt erfolgt, sie nur eine begrenzte Zahl von betroffenen Personen betrifft, die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.

Berlin Düsseldorf Frankfurt/Main Hamburg München 26 Fazit: Licht und Schatten Einheitliche Regelungen EU-weit Geltung für alle Unternehmen, die in der EU tätig werden Viele unklare/auslegungs-bedürftige Begriffe bei drastischen Sanktionen Stärkerer Schutz für Rechte der Betroffenen Aber viele, z.t. unklare Öffnungsklauseln Aber Sanktionierung von Drittstaatenunternehmen faktisch weiterhin schwierig Aber Ko-Regulierung durch verbindliche Verhaltensregelungen sowie Zertifizierung möglich Hoher bürokratischer Aufwand Bisherige Datenschutzbehörde bleibt federführend zuständig

Berlin Düsseldorf Frankfurt/Main Hamburg München 27 4 EU-US Privacy Shield

Berlin Düsseldorf Frankfurt/Main Hamburg München 28 EU-US Privacy Shield - Überblick Abkommen zwischen der Europäischen Union und den USA als Nachfolger für das vom EuGH für ungültig erklärte Safe-Harbor Abkommen; in Kraft getreten am 12. Juli 2016 US-Unternehmen können sich seit dem 1. August 2016 eine Bescheinigung vom US- Handelsministerium ausstellen lassen, die den Datenaustausch zwischen Unternehmen der EU und dem US-Unternehmen erlaubt, ohne dass es einer weiteren Rechtsgrundlage bedarf (wie ggf. Binding Corporate Rules oder EU- Standardvertragsklauseln). Als Voraussetzung ist die Einhaltung strenger Auflagen erforderlich und nachzuweisen. EU-US Privacy Shield gewährleistet "angemessenes Datenschutzniveau" i.s.d. 4b Abs. 2 BDSG Jährliche Re-Zertifizierung erforderlich Aktuelle Übersicht über zertifizierte Unternehmen abrufbar unter: https://www.privacyshield.gov/list

Berlin Düsseldorf Frankfurt/Main Hamburg München 29 EU-US Privacy Shield - Grundsätze 1/2 Strenge Auflagen für US-Unternehmen Regelmäßige Überprüfung der Unternehmen auf Einhaltung der Regeln durch das US- Handelsministerium Sanktionen sowie Streichung von der Privacy Shield Liste im Falle der Nichteinhaltung Umfangreiche Schutzmaßnahmen und Transparenzpflichten bei Zugriff auf Daten durch US Behörden Schriftliche Zusicherung der USA, dass Zugriffe von Behörden auf personenbezogene Daten klaren Beschränkungen, Schutzmaßnahmen und Aufsichtsmechanismen unterliegen Bestätigung der US-Behörden, dass keine willkürliche oder Massenüberwachung erfolgt Ombudsstelle im US-Außenministerium als Anlaufstelle für EU-Bürger mit Rechtsschutzbegehren, unabhängig von den Nachrichtendiensten

Berlin Düsseldorf Frankfurt/Main Hamburg München 30 EU-US Privacy Shield - Grundsätze 2/2 Schutz der Rechte des Betroffenen Unternehmen müssen innerhalb von 45 Tagen auf Beschwerden reagieren Kostenloses Verfahren der alternativen Streitbeilegung Zusammenarbeit der Datenschutzbehörde mit dem US-Handelsministerium und der US-Bundeshandelskommission, um Lösungen für Beschwerden von EU-Bürgern sicherzustellen Ultima ratio: Schiedsverfahren, um eine durchsetzbare Entscheidung zu garantieren Jährliche Überprüfung Durch EU-Kommission und US-Handelsministerium Jährlicher Datenschutzgipfel mit Nichtregierungsorganisationen und Interessenvertreten von Entwicklungen im Bereich des US-Datenschutzrechts und dessen Auswirkungen auf EU-Bürger Öffentlicher Bericht der EU-Kommission an das EU-Parlament und den Rat

Berlin Düsseldorf Frankfurt/Main Hamburg München 31 EU-US Privacy Shield - Kritik und Risiken Kritik Form des EU-US Privacy Shield Abkommens: Kein verbindlicher Vertrag, lediglich Ansammlung von Briefen und Stellungnahmen Keine Offenlegungspflicht bei Eingriffen durch US-Behörden Kritische Beurteilung der Art. 29 Datenschutzgruppe, da anlasslose Überwachung durch US-Behörden nicht ausdrücklich ausgeschlossen wird Risiko US-Wahlkampfergebnis als Risiko für das EU-US Privacy Shield Abkommen

Berlin Düsseldorf Frankfurt/Main Hamburg München 32 Handlungsempfehlung für Datenübermittlung in die USA 1. Versuch, EU-Standardvertragsklauseln oder ggf. Binding Corporate Rules mit dem US-Unternehmen zu unterzeichnen 2. Falls nicht möglich, Datenübermittlung auch zulässig, wenn das US-Unternehmen durch das US-Handelsministerium nach den Regeln des EU-US Privacy Shield Abkommens zertifiziert worden ist 3. Wurden weder EU-Standardvertragsklauseln (ggf. Binding Corporate Rules) unterzeichnet, noch das US-Unternehmen nach den Regelungen des EU-US Privacy Shield Abkommens zertifiziert, ist eine Datenübermittlung an Unternehmen in den USA unzulässig

Berlin Düsseldorf Frankfurt/Main Hamburg München 33 5 Handlungsempfehlungen

Berlin Düsseldorf Frankfurt/Main Hamburg München 34 Was müssen verantwortliche Stellen jetzt tun? 1/5 Verarbeitungsvoraussetzungen prüfen Übersicht über alle Verarbeitungsvorgänge erstellen (Grundlage: aktuelles Verfahrensverzeichnis) Prüfen, ob Vorgaben des "Privacy by Design" (Datensparsamkeit) und "Privacy by Default" (datenschutzfreundliche Voreinstellungen) umgesetzt sind Prüfen, ob bisherige Erlaubnistatbestände ausreichen Insbesondere Zweckänderungen problematisch unter der DS-GVO Reichweite von Einwilligungen prüfen und ggf. auf Interessabwägung umstellen Kopplungen (Einwilligung als Voraussetzung für Vertragsschluss) prüfen und ggf. ersetzen durch Einwilligung ohne Kopplung oder Interessenabwägung

Berlin Düsseldorf Frankfurt/Main Hamburg München 35 Was müssen verantwortliche Stellen jetzt tun? 2/5 Informationspflichten prüfen und umsetzen In Verträgen, Online-Datenschutzbestimmungen und im Zusammenhang mit Einwilligungen Formatvorgaben beachten Zeitpunkt der Informationspflichten prüfen und beachten Auch versteckte Informationspflichten beachten (z. B. Pflicht zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten) Betroffenenrechte Standardisiertes Auskunftsverfahren nach DS-GVO schaffen Prüfen, ob und wie "Recht auf Löschung" umgesetzt werden kann Standardisierte Verfahren zur Löschung / Berichtigung v. Daten entwickeln Online "technischen" Widerspruch ermöglichen

Berlin Düsseldorf Frankfurt/Main Hamburg München 36 Was müssen verantwortliche Stellen jetzt tun? 3/5 Technische und organisatorische Maßnahmen ("TOMs") Risikobewertung zur Ermittlung der benötigten TOMs Ausführliche Dokumentation der Risikobewertung (Nachweispflicht!) Ggf. Erwerb von Zertifizierung, sobald vorhanden bzw. Verpflichtung auf verbindliche Verhaltensregelungen Verlagerung der Pflicht zur Führung des Verfahrensverzeichnisses vom Datenschutzbeauftragten auf die Geschäftsleitung Datensicherheitspannen Einführung standardisierter Prozesse zur Identifizierung und Eskalation Festlegung von Ansprechpartnern und Erreichbarkeit (Notfallmanagement) zwingend erforderlich wg. kurzer Meldefrist (72 h)

Berlin Düsseldorf Frankfurt/Main Hamburg München 37 Was müssen verantwortliche Stellen jetzt tun? 4/5 Datenschutz-Folgenabschätzung Einführung standardisierter Prozesse zur Folgenabschätzung bei allen neuen Prozessen Ggf. Konsultation mit zuständiger Behörde Auftragsdatenverarbeitung Neues Muster entwickeln für Einschaltung von Auftragsdatenverarbeitern ("Standard- ADV") TOMs des Verarbeiters sorgfältig prüfen und dokumentieren, ggf. Zertifizierung verlangen Internationale Datentransfers Klare Vorgaben treffen für Transfers in Drittstaaten C2C und C2P-Transfers (Checkliste) C2P-Transfers: EU-Standardvertragsklauseln einbeziehen in Standard-ADV

Berlin Düsseldorf Frankfurt/Main Hamburg München 38 Was müssen verantwortliche Stellen jetzt tun? 5/5 Zertifizierungen Sobald vorhanden: Anbieter sichten und ggf. Zertifizierung erwerben "One stop-shop"-mechanismus Bei Niederlassungen/Tochtergesellschaften in verschiedenen EU-Staaten kann es von Vorteil sein, federführende Aufsichtsbehörde zu haben ("lead authority") Prüfung, welche Behörde sich dafür eignet Ggf. entsprechende Verlagerung von Geschäftsprozessen (unter Beachtung etwaiger anderer Auswirkungen, z. B. steuerlicher Art) Ko-Regulierung Ggf. Kontaktaufnahme zum zuständigen Branchenverband zur Anregung Durchführung bzw. Beteiligung an Ko-Regulierung Ggf. später: Selbstverpflichtung auf Ko-Regulierung der eigenen Branche

Berlin Düsseldorf Frankfurt/Main Hamburg München 39 Prozessschritte zur Einführung und Umsetzung der EU-DSGVO (1) Aufstellen eines Projektteams Festlegung von Projektzielen Ressourcen- und Budgetplanung Risikoanalyse EU-DSGVO Bestandsaufnahme vorhandener Datenschutzprozesse GAP-Analyse zwischen IST- und SOLL-Zustand

Berlin Düsseldorf Frankfurt/Main Hamburg München 40 Prozessschritte zur Einführung und Umsetzung der EU-DSGVO (2) Einbindung Datenschutzbeauftragter in sämtlichen Projektphasen Datenschutzkommunikation im Unternehmen Schulungen zum Datenschutz Frühzeitige Kommunikation mit dem Betriebsrat Prüfung und Neuverhandlung von Betriebsvereinbarungen Planung einzelner in der EU-DSGVO vorausgesetzter Prozesse

Berlin Düsseldorf Frankfurt/Main Hamburg München 41 Vielen Dank für Ihre Aufmerksamkeit! Dr. Oliver Hornung Rechtsanwalt Partner T +49 69 63 000 1-65 F +49 69 63 000 1-11 E o.hornung@skwschwarz.de Benjamin Spies Rechtsanwalt Partner T +49 89 28640-126 F +49 89 28094-32 E b.spies@skwschwarz.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback