DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Ähnliche Dokumente
Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz Folgenabschätzung (DSFA)

Ein neues Instrument aus der DS-GVO

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Datenschutz- Folgenabschätzung

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Datenschutz-Folgenabschätzung

L 127/2 Amtsblatt der Europäischen Union

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

EU-Datenschutz- Grundverordnung

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Datenschutz-Folgenabschätzung

DATENSCHUTZ in der Praxis

Kurzüberblick und Zeitplan

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

EU Datenschutz-Grundverordnung. Datenschutz-Folgenabschätzung Privacy Impact Assessment

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Datenschutzgrundverordnung

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Privacy by design / by default Anforderungskriterien aus Kundensicht

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Checkliste zur Datenschutzgrundverordnung


Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

BVD-Verbandstage 2018 Datenschutzbeauftragte unter der DS-GVO. Berlin, 26. April 2018, Katja Horlbeck (Der Hessische Datenschutzbeauftragte)

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutz- Grundverordnung 2016/679 DS-GVO

Das neue Kirchliche Datenschutzgesetz (KDG)

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die Datenschutzgrundverordnung

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Datenschutz-Folgenabschätzung gem. DSGVO

Umsetzung der DSGVO Handlungsbedarf aus technisch-organisatorischer Sicht

Keine Angst vor der Datenschutz- Folgenabschätzung

Personenbezogene Daten

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Von der Ersterhebung bis zur Einführung eines Datenschutz Management Systems.

KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

Schwartmann/Jaspers/Thüsing/Kugelmann DS-GVO/BDSG. Heidelberger Kommentar. Arbeitshilfe zur Berichtigung der Datenschutz-Grundverordnung

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Das Wichtigste zur neuen Datenschutz-Grundverordnung

(Text von Bedeutung für den EWR)

Verzeichnis der Verarbeitungstätigkeiten

Übermittlung an Drittländer

Politik zum Schutz der Privatsphäre

it-recht kanzlei münchen

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

99 Tage bis zur DSGVO Umsetzungsprojekt oder Notversorgung

EU-Datenschutz-Grundverordnung: Start

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

- Wa s i s t j e t z t z u t u n? -

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Rechte der betroffenen Person

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

BESCHLÜSSE. (Text von Bedeutung für den EWR)

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Leitfaden. Der Bayerische Landesbeauftragte für den Datenschutz. Bayerisches Landesamt für Datenschutzaufsicht. und

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

An die Kirchengemeinden und die Kirchenkreise in der EKBO

Digitalforensische Maßnahmen des OLAF Informationsbroschüre

Datenschutz im Bewerbungsverfahren Möglichkeiten und Grenzen moderner Personalbeschaffung

IT-Sicherheit und die Datenschutzgrundverordnung

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

KI Impuls Privacy und Datenschutz

Die Europäische Datenschutz- Grundverordnung. Schulung am

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

DATENSCHUTZ DIE WORKSHOP-REIHE

A-s Informationspflicht gegenüber Kunden

Datenschutzinformation für Bewerber

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

Neue Meldepflichten bei Datenschutzverstößen

Vorschlag für einen BESCHLUSS DES RATES

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Transkript:

DSFA Datenschutz-Folgenabschätzung Diskussionsvorlage 6. DialogCamp, München 17. 2. 2017

Anforderungen an eine DSFA Überlegungen/Fragen Folgen Artikel 35 Absatz 1 DS-GVO Riskante Datenverarbeitung Risikobegriff: nicht in DS-GVO definiert objektive Kriterien (EW 76) Kein hohes Risiko => keine DSFA -> allgemeines PIA Art. 24, 25, 32) PIA oder DPIA? Hohes Risiko => zusätzlich zur PIA: DSFA (= DPIA) Artikel 35 Absatz 3 DS-GVO Muss- DSFA-Fälle DSFA nur wenn Bewertung der Person auf automat. Verarbeitung (inkl. Profiling) gründet keine DSFA bei Patienten- und Mandatendaten, wenn die Verarbeitung durch den Arzt oder Rechtsanwalt erfolgt reines Profiling unterliegt nicht der DSFA Was muss bei Großkanzleien/-praxen berücksichtigt werden? Artikel 35 Absatz 4-6 DS-GVO Positiv-/Negativ -Liste der Aufsichtsbehörden Was fällt alles unter optoelektronische Vorrichtung?? Pflicht der Aufsichtsbehörde Negativ-Liste = keine DSFA Positiv-Liste = DSFA erforderlich bei cross border Verarbeitung oder Überwachung => Pflicht zum Kohärenzverfahren DSFA immer durchführen, auch wenn keine Liste erstellt wurde oder Verarbeitung auf der Negativ-Liste steht?

Anforderungen an eine DSFA Überlegungen/Fragen Folgen Artikel 35 Absatz 7 DS-GVO Mindestprüfelemente 35 Absatz 9 DS-GVO Einbeziehung betroffener Personen Artikel 36 Absatz 2 DS-GVO Konsultationsverfahren Bekannt aus der Vorabkontrolle Kombination aus Art. 5 Abs. 1 a-f und Art. 35 Abs. 7 Beispiel Profiling: ivm Art. 22 Abs. 3 und EW 71 Pflicht bei automatisierter Entscheidung inkl. Profiling ist die betroffenen Person einzubeziehen Was konkret prüft die Aufsichtsbehörde? Gilt Schweigen der Aufsicht als Genehmigung? Könnte Überforderung der Aufsichtsbehörde sicherheitshalber zu Verbot der Verarbeitung führen ( Verantwortlicher geht ja selbst von hohem Risiko aus ) Risikoanalyse/-bewertung Können die identifizierten Risiken mit Garantien oder Sicherheitsvorkehrungen beherrscht werden? Abhilfemaßnahmen Sicherheitskonzept Dokumentation der erbrachten Abhilfemaßnahmen Ausnahme vom Profiling ist die Regel (Art. 22 Abs. 3 lit a-c) z.b. Vertragsabschluss, allerdings: Betroffene muss das Recht auf Einwirkung auf die Entscheidung haben In allen anderen Fällen: kann das Einholen der Standpunkte der betroffenen Personen eine risikominimierende Maßnahme darstellen

Weg ist das Ziel! Risiko für Betroffene Privacy-by-design Profiling Das Problem ist die Lösung: DSFA Verhaltens-regeln Positiv-/ Negativliste Big Data Neue Technologien Internet of Things

Artikel 35 Absatz 1 Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Artikel 35 Absatz 2 Der Verantwortliche holt bei der Durchführung einer Datenschutz- Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

Artikel 35 Absatz 3 Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 4/5 (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss

Artikel 35 Absatz 6 Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten

Artikel 35 Absatz 7 Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Artikel 35 Absatz 8 Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

Artikel 35 Absatz 9 Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

Artikel 35 Absatz 10 Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

Artikel 35 Absatz 11 Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz- Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Artikel 36 Absatz 2 Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen (.) entsprechende schriftliche Empfehlungen ( ). Diese Frist kann ( ) um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet ( ) über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags ( ). Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback