Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

Ähnliche Dokumente
DATENSCHUTZHINWEISE nach DS-GVO

Datenschutzrechtliche Schranken der Informationsweitergabe

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Datenschutz International

Neue EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Information nach Artikel 13, 14, 21 DSGVO. Datenschutzhinweise

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Checkliste zur Datenschutzgrundverordnung

Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO

DATENSCHUTZ in der Praxis

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Datenschutz und Cloud

Harter Brexit und PrivacyShield Neues zur Übermittlung in Drittstaaten

Grenzüberschreitende Datenbearbeitung

Datenschutzinformation für Betroffene

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Die EU Datenschutz-Grundverordnung - Anpassungsbedarf für Unternehmen

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

WPK aktuell. Mitgliederinformation

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Information zur Verarbeitung Ihrer. Beschäftigtendaten. Data Protection thyssenkrupp MillServices & Sytems GmbH May Version: IVB_200618_DE_1.

Datenschutzgrundverordnung DSGVO

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer nationalen Cloud Microsoft Cloud Event

Dokumentation der Verarbeitungstätigkeit

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Die neue EU-Datenschutzgrundverordnung. Alles neu? oder Nur alter Wein in neuen Schläuchen?

Datenschutzrechtliche Analyse des AAI- Verfahrens

Datenschutz- Grundverordnung 2016/679 DS-GVO

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

Vom BDSG zur DSGVO Ein Praxisbeitrag. 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

BDO Austria GmbH und Duy Rechtsanwalt GmbH

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Cloud Computing aus datenschutzrechtlicher Sicht

Das neue Datenschutzrecht. 19. September 2018

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Cloud Computing und Datenschutz

Herr Andreas Fischer

KUNDEN, LIEFERANTEN, GESCHÄFTSPARTNER

Datenschutz und die EU-Datenschutzgrundverordnung

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Information zur Verarbeitung Ihrer Bewerberdaten

Grundsätze der DSGVO im Hinblick auf sciebo. Dr. Dominik Rudolph, WWU Münster

Wer ist verantwortlich für die Datenerhebung und -verarbeitung?

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

HINWEIS ZUM DATENSCHUTZ AUF DER WEBSITE

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO

Informationspflichten der GWFF nach 13 und 14 der Datenschutzgrundverordnung (DSGVO)

DSGVO ante portas: Bin ich bereit für die neuen Regeln des Datenschutzes?

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Inhaltsverzeichnis Datenschutz bei der ACP IT Solutions AG Datenschutzinformationen für Bewerber... 3

Wer ist für die Datenverarbeitung verantwortlich und wer ist Ihr Datenschutzbeauftragter?


Auftragsdatenverarbeitung nach DS-GVO - Stand: 25. Mai

DATENSCHUTZERKLÄRUNG FÜR BEWERBER. 17. Mai 2018 PERSTORP GROUP. In Deutschland Perstorp Chemicals GmbH, Bruchhausener Straße 2, Arnsberg

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Datenschutz. Vortrag

Europäische Datenschutz-Grundverordnung

Zu welchem Zweck verarbeiten wir personenbezogene Daten und auf welcher rechtlichen Grundlage?

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Das EU-US DATENSCHUTZSCHILD F.A.Q. FÜR EUROPÄISCHE UNTERNEHMEN. Verabschiedet am 13. Dezember 2016

Der konzerninterne Austausch personenbezogener Daten

EU-Datenschutz- Grundverordnung

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Die EU-Datenschutz-Grundverordnung

REFERENTIN. Die EU-DSGVO was steht drin?

Datenschutz im Bewerbungsverfahren Möglichkeiten und Grenzen moderner Personalbeschaffung

Cloud Computing: Rechtliche Aspekte

Datenschutz. Die DSGVO und was sie von uns will

Inhaltsverzeichnis. 1 Einleitung... 15

Datenschutzinformation für Betroffene

DATENSCHUTZ BEI M&A TRANSAKTIONEN

Beschäftigtendatenschutz Die neuen Regelungen. Rechtsanwalt Andrés Heyn Hamburg

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Internationaler Datenaustausch unter der DSGVO

1. Verantwortliche Stelle und Kontaktdaten des Datenschutzbeauftragten

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Johannes Landvogt Technologischer Datenschutz / BfDI. 22. Cyber-Sicherheits-Tag 16. Mai 2018 Düsseldorf

Information über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten

Datenschutzerklärung für Kunden und Lieferanten der Röhm GmbH

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Grundlagen des Datenschutzes

Transkript:

Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen Universität des Saarlandes Verena Grentzenberg Counsel/Rechtsanwältin verena.grentzenberg@dlapiper.com

Agenda Praxisbeispiel Rechtliche Rahmenbedingungen Projektdurchführung Exkurs: Datenschutzrechtliche Bewertung des Projekts nach deutschem Recht 2

Praxisbeispiel

Praxisbeispiel Rahmenbedingungen im Unternehmen Mandant ist eine internationale Unternehmensgruppe Lokale Gesellschaften in EU/EWR Asien Nordamerika Russland Lokale Gesellschaften haben größtenteils eigene HR- Abteilungen Unternehmensgruppe hat teilweise Matrixstrukturen 4

Praxisbeispiel - Projektziele Einführung einer zentralen HR-Software zur Verwaltung von Mitarbeiterdaten und Daten von Bewerbern (HR- Daten) Zugriff auf HR-Daten weltweit durch HR-Abteilungen und Management im Rahmen einer Matrixorganisation Umsetzung: Cloud-Lösung eines US-Anbieters (Cloud Inc.) Serverstandorte in den USA, Schweden und Indien 5

Rechtliche Rahmenbedingungen

Rechtliche Rahmenbedingungen - Verantwortlichkeiten Jede lokale Gesellschaft ist im Regelfall verantwortliche Stelle für Daten der eigenen Mitarbeiter (controller) Gesellschaften mit HR-Mitarbeitern und Managern, die auf HR-Daten anderer Arbeitgeber zugreifen, sind im Regelfall verantwortliche Stelle insoweit (controller) Cloud Inc. ist im Regelfall Auftragsverarbeiter (processor) 7

Rechtliche Rahmenbedingungen - Rechtsgrundlagen Übermittlung von Daten ist idr nur auf Basis einer Rechtsgrundlage möglich diese sind zu ermitteln Beispiele für mögliche Rechtsgrundlagen: Arbeitsvertrag Interessenabwägung Einwilligung Betriebsvereinbarung 8

Rechtliche Rahmenbedingungen internationale Aspekte Besonderheiten für Datentransfers in/aus bestimmten Ländern sind zu beachten, z. B. EU: Besondere Anforderungen an Transfers in Drittstaaten (außerhalb EWR) Russland: Datenlokalisations-Gesetz Singapur: Empfänger müssen lokales Recht beachten (sogar processor) In manchen Jurisdiktionen bestehen erhöhte Anforderungen an Cloud-Computing, z.b. Besondere Anforderungen der deutschen Datenschutzbehörden (Orientierungshilfe Cloud Computing) z. B. im Hinblick auf Einschaltung von Subunternehmern 9

Rechtliche Rahmenbedingungen - Risiken Risiken bei Datenschutzverstößen unterscheiden sich erheblich je nach Jurisdiktion Mögliche Folgen: Stopp der Verarbeitung Geldbußen für Unternehmen oder verantwortliche Mitarbeiter Schadensersatz für materielle oder immaterielle Schäden Freiheitsstrafen für verantwortliche Mitarbeiter Reputationsschäden 10

Projektdurchführung

Projektdurchführung die Projektphasen Phase 1: Vorbereitung Phase 2: Rechtliche Bewertung Phase 3: Implementierung 12

Projektdurchführung Phase 1: Vorbereitung Abstimmung mit Mdt. zum Projektumfang z. B. nur Datenschutzrecht oder auch Arbeitsrecht Prüfung für alle Länder oder nur für ausgewählte Länder Nur Beratungs- oder auch Implementierungsleistungen Form der Lieferung von Arbeitsergebnissen Abstimmung zu Rahmenbedingungen Ansprechpartner, Zeitplan, Arbeitssprache, Datenraum Abstimmung zu Vorbedingungen im Unternehmen, z.b. Transfervertrag, Binding Corporate Rules implementiert? Zugriffskonzept vorhanden? 13

Projektdurchführung Phase 2: Rechtliche Bewertung Bewertung zunächst nach Recht einer Kernjurisdiktion (z. B. Deutschland), danach Bewertung international Auswahl zu berücksichtigender Aspekte: Rechtsgrundlagen für Transfers (C2C, C2P)? Hinreichende Zweckbestimmung? Sonderregelungen für sensible Daten? Konzerninterner Transfervertrag ausreichend? Vertragsbedingungen Cloud Inc. ausreichend? Einwilligung der Betroffenen erforderlich? Informationspflichten ggü Betroffenen? Meldung bei Behörden oder sogar Genehmigungspflicht? Einbindung von Datenschutzbeauftragten erforderlich? Zustimmung von arbeitsrechtlichen Gremien (z. B. Betriebsrat) erforderlich? 14

Projektdurchführung Phase 2: Rechtliche Bewertung Konsolidierung der internationalen Bewertungen Lieferung der Ergebnisse an Mdt. im vorher abgestimmten Format Ggf. Erstellung eines Aktionsplans für die Implementierungsphase 15

Projektdurchführung Phase 3: Implementierung Rechtzeitige Einbindung von Datenschutzbeauftragten Betriebsräten Datenschutzbehörden Nachholung fehlender Compliance-Handlungen, z. B. Bestellung Datenschutzbeauftragter Meldungen ggü Behörden Implementierung erforderlicher technischorganisatorischer Maßnahmen (TOMs) Technischer Schutz (z. B. Firewalls, Verschlüsselung) Organisatorischer Schutz (z. B. Beschränkung von Zugriffsrechten, Retention Policy) 16

Projektdurchführung Phase 3: Implementierung Umsetzung erforderlicher Maßnahmen ggü Mitarbeitern, z. B. Datenschutzhinweis Einholung Einwilligung Ggf. vorab Erstellung erforderlicher Übersetzungen Protokollierung der Maßnahmen durch Unternehmen Vorab Klärung von Detailfragen in betroffenen Jurisdiktionen, z. B. Übersetzung erforderlich? Form der Einwilligung (z. B. schriftlich, online) Anforderungen an Protokollierung 17

Projektdurchführung Phase 3: Implementierung Verhandlung/Abschluss von Verträgen Zwischen Konzerngesellschaften Mit Cloud Inc. 18

Datenschutzrechtliche Bewertung des Projekts nach deutschem Recht

Deutsches Datenschutzrecht - Rechtsgrundlagen Transfer zu Cloud Inc. (processor) Keine Rechtsgrundlage erforderlich Aber Vertrag zur Auftragsdatenverarbeitung ( 11 BDSG bzw. Art. 28 DSGVO) Bis zur DSGVO (25. Mai 2018) noch in Schriftform Detaillierte Regelungen der Sicherheitsmaßnahmen gem. Annex zu 9 BDSG in der Praxis über Zertifikate Unter der DSGVO risikobasierter Ansatz Besondere Anforderungen der deutschen Datenschutzbehörden für Cloud Computing Verträge, z. B. Detaillierte Regelungen zu Subunternehmern und Serverstandorten Regelungen zur Vor-Ort-Kontrolle 20

Deutsches Datenschutzrecht - Rechtsgrundlagen Transfer zu anderen Konzernunternehmen (controller) Rechtsgrundlage Arbeitsvertrag? Datenschutzbehörden: Nur wenn konzernweite Beschäftigung bzw. Arbeitsverhältnis im Rahmen einer Matrixstruktur in Vertrag abgebildet oder ggf. bei höherem Management (+/-) Zentralisierung von Funktionen nicht erforderlich zur Erfüllung des Arbeitsvertrages (-) Rechtsgrundlage Einwilligung? Nur wirksam, sofern freiwillig In jedem Fall ungeeignet, da jederzeit widerruflich 21

Deutsches Datenschutzrecht - Rechtsgrundlagen Transfer zu anderen Konzernunternehmen (Forts.) Rechtsgrundlage Interessenabwägung? Grundsätzlich anerkannt Problem: Keine Rechtsgrundlage für besondere Arten von Daten (z. B. Gesundheit, Religion) Wichtige Faktoren für Abwägung: Transparenz, TOMs, vertragliche Vereinbarungen, Garantien des Arbeitgebers Rechtsgrundlage Betriebsvereinbarung? Risikoärmste Variante Nur möglich, wenn Betriebsrat vorhanden 22

Deutsches Datenschutzrecht Transfer in Drittstaaten Transfer in Drittstaaten (außerhalb EWR) Erfordert angemessenes Datenschutzniveau Betrifft Cloud Inc. und andere Gruppenunternehmen Mögliche Instrumente: Angemessenheitsbeschluss der EU-Kommission (z. B. für Schweiz, Kanada) EU-Standardvertragsklauseln Binding Corporate Rules Nur USA: EU-US Privacy Shield 23

Deutsches Datenschutzrecht Sonstiges Aktualisierung des Verfahrensverzeichnisses 24

Fragen?

Vielen Dank Verena Grentzenberg Counsel/Rechtsanwältin verena.grentzenberg@dlapiper.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback