Die neue EU-DSGVO. Carmen De la Cruz Böhringer, RA lic. iur., de la cruz beranek Rechtsanwälte AG

Ähnliche Dokumente
Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Die Europäische Datenschutz- Grundverordnung. Schulung am

Kurzüberblick und Zeitplan

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

DATENSCHUTZ in der Praxis

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Neues Datenschutzrecht umsetzen Stichtag

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

EU-Datenschutz- Grundverordnung

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Verzeichnis der Verarbeitungstätigkeiten

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Neues Datenschutzrecht umsetzen Stichtag

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

Datenschutz- Grundverordnung 2016/679 DS-GVO

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Checkliste zur Datenschutzgrundverordnung

Neue Meldepflichten bei Datenschutzverstößen


Datenschutzerklärung

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

Deutsches Forschungsnetz

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

DATENSCHUTZ-GRUNDVERORDNUNG ERSTE ERFAHRUNGEN UND URTEILE

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Welche Pflichten treffen die datenverarbeitenden Stellen?

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Die DSGVO aus Schweizer Sicht

DATENSCHUTZHINWEISE nach DS-GVO

Wissenschaftliche Dienste. Sachstand. Sanktionen bei Datenmissbrauch Deutscher Bundestag WD /18

Die Datenschutzgrundverordnung

Datenschutzrecht - Schauen Sie genau hin! Michael Tschudin / Claudia Keller

Datenschutz-Richtlinie der SenVital

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

Datenschutz. Die DSGVO und was sie von uns will

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

REFERENTIN. Die EU-DSGVO was steht drin?

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

Personenbezogene Daten

Rechte der betroffenen Person

Die Datenschutz-Grundverordnung (DSGVO)

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Warum sich Schweizer um die DSGVO kümmern sollten

Die Ernennung eines Datenschutzbeauftragten

DSGVO und DSG-Revision

DSGVO und DSG-Revision

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Übermittlung an Drittländer

zum Security Breakfast bei

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Datenschutz und Datenübertragbarkeit

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Kontrolle des betrieblichen Datenschutzes nach der Datenschutzgrundverordnung

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die Informationspflichten der Verantwortlichen

Die neue Datenschutzgrundverordnung

Datenschutzerklärung

Datenschutzerklärung

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Inhaltsverzeichnis XIII. Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

DSGVO FACTSHEET STAND: MAI 2018

Datenschutz 2.0 Was birgt die Zukunft?

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

Transkript:

Die neue EU-DSGVO Carmen De la Cruz Böhringer, RA lic. iur., 22.11.2016

2 Bedeutung der neuen EU- DSGVO

3 Warum die neue EU-DSGVO für Unternehmen en wichtig ist: beachtliche Bussen möglich Anwendung auch ausserhalb EU Bestimmungsrechte der Betroffenen Meldepflichten bei Verletzungen Datenübermittlung an Drittländer Datenschutzbeauftragter Jugendschutz

4 Agenda

5 Agenda Räumlicher Anwendungsbereich Einwilligung des Kunden Organisatorische und technische Massnahmen Meldepflichten bei Datenschutzverletzungen Betriebsinterner Datenschutzbeauftragter Datenschutz-Folgenabschätzung Übermittlung von Daten an Drittländer Bussen Jugendschutzbestimmungen

6 Räumlicher Anwendungsbereich

7 Räumlicher Anwendungsbereich (1) Bisherige Rechtslage: Datenschutz-Richtlinie 95/46/EG Territorialitätsprinzip: Nur Bearbeitung der Daten auf dem Gebiet der EU Bearbeitung der Daten auf Mitteln, welche in der EU gelegen sind

8 Räumlicher Anwendungsbereich (2) Neue Rechtslage (Art. 3 EU-DSGVO): Betroffene Bearbeiter mit Sitz / Niederlassung in der EU In der EU erfolgtes Verhalten Auswirkungsprinzip: Betroffene (Wohn)Sitz in der EU Auch Datenverarbeitungen ausserhalb der EU Keine Standortgebundenheit der Bearbeitung Herkunft der Daten unerheblich Territorialitätsprinzip Anwendbarkeit von öffentlichem Recht nur auf schweizerische Sachverhalte

9 Einwilligung des Kunden

10 Einwilligung: Übersicht Grundprinzipien Übersicht über die neuen Grundprinzipien bezüglich Einwilligung:

11 Neukonzeption der ausdrücklichen Einwilligung Notwendigkeit der ausdrücklichen Einwilligung der betroffenen Person «Opt-in» Einwilligung (EU-DSGVO 6 (a)) Einwilligung nur bei entsprechender Erklärung Erklärender hat Tragweite der Einwilligung erkannt Auswirkungen im Bereich des Internets Bsp. Cookies: ausdrückliche Einwilligung durch Pop-up-Felder Ausgeschlossen sind stillschweigende Annahme Stillschweigendes Einverständnis Standardmässig angekreuzte Kästchen Extensive Datenschutzerklärung gemäss AGB

12 Nachweis / Widerruf der Einwilligung Anforderungen an Widerruf (Art. 7 EU-DSGVO): Herabsetzung der Anforderungen Begründungsloser Widerruf Jederzeitiger Nachweis Einfache Gestaltung

13 Recht auf «Vergessenwerden» Art. 17 EU-DSGVO hält folgende Rahmenpunkte fest: Statuierung eines expliziten Rechts auf Löschung Verhältnis zum Recht auf Widerruf Ausführung der Löschvorgänge Verwendung umfassender Protokolllösungen

14 Recht auf Datenübertragbarkeit Recht auf Erhalt der personenbezogenen Daten Strukturiertes, gängiges und maschinenlesbares Format Möglichkeit der Übermittlung an anderen Verantwortlichen

15 Folgen für Unternehmen Einwilligung: Prozess, Detaillierungsgrad, Zweckänderungen auch in elektronischer Form möglich Einführung effektiver Prozesse für die Umsetzung des Widerrufs Vorsicht bei der Gestaltung von Webseiten, Apps und digitalen Diensten Genaue Dokumentation der personenbezogenen Daten Art der Daten Herkunft Weitergabe Überprüfung des Löschverfahrens

16 Organisatorische und technische Massnahmen

17 Organisatorische Massnahmen (1) Statuierung einer allgemeinen Pflicht zur Implementierung von technischen und organisatorischen Massnahmen Umsetzung mit der Pflicht zum Nachweis der vorgeschriebenen Implementierung Sicherstellung der durch Verordnung vorgeschriebenen Verarbeitung Überprüfung und Aktualisierung von Massnahmen

18 Technische Massnahmen: Im Allgemeinen Allgemeine Massnahmen (Art. 32 EU-DSGVO) Technische Massnahmen und Wahl der Mittel Datenbearbeitungsprozesse nach Stand der Technik Beispiele: Pseudonymisierung Sicherstellung der Vertraulichkeit Datenwiederherstellung Verfahren zur regelmässigen Überprüfung Besondere Beachtung sensibler Daten Ausnahmetatbestand Definition Verschärfung risikobasierter Einstufung Folgen

19 Technische Massnahmen: Verzeichnisse (1) A. Besonderheiten bei der Erstellung von Verzeichnissen (Art. 30 EU-DSGVO) Unternehmensleitung für Verfahrensverzeichnisse verantwortlich Auftragsverarbeiter ebenfalls zur Führung von Verfahrensverzeichnissen verpflichtet Beschränktes Einsichtsrecht

20 Technische Massnahmen: Verzeichnisse (2) B. Inhalt der Verzeichnisse => Beispiele Name des Verantwortlichen Zwecke der Verarbeitung Betroffene Personen und personenbezogene Daten Empfänger Übermittlungen von Daten an Drittland

21 Technische Massnahmen: Verzeichnisse (3) C. «Logfiles» Erstellen eines Protokollierungsmechanismus («Logfiles») Orientierung an Ausführungen im Leitfaden des EDÖB Beispiele: Erstellung von Katalogen mit umschriebenen Kriterien Anpassung der Aufbewahrungsdauer der Logfiles Inhalt und Aufbewahrungsdauer der Logfiles stehen in einem Verhältnis zu den Daten und den vorgenommenen Bearbeitungen

22 Meldepflichten bei Datenschutzverletzungen

23 Meldepflichten (1) A. Meldepflicht an Aufsichtsbehörde (Art. 33 EU-DSGVO) Meldefrist von max. 72 Stunden Angabe von Gründen bei Nichteinhaltung der 72-Stunden-Frist Ausführliche Beschreibung des Datenschutzverstosses inkl. Einschätzung der Auswirkungen Umfassende Dokumentation der Verletzungen

24 Meldepflichten (2) B. Meldepflicht an Betroffene (Art. 34 EU-DSGVO) Grundsatz: unverzügliche Benachrichtigung des Betroffenen wenn Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat Ausnahmen: Treffen von technischen/organisatorische Sicherheitsvorkehrungen Hohes Risiko besteht nicht mehr unverhältnismässig hoher Aufwand

25 Folgen für die Unternehmen Überprüfung der internen Berichterstattung Identifikation von potentiellen Datenschutzverstössen sicherstellen Umgang mit Datenschutzverstössen

26 Betriebsinterner Datenschutzbeauftragter

27 Datenschutzbeauftragter Ernennung des Datenschutzbeauftragten durch Verantwortliche Zwingende Ernennung des Datenschutzbeauftragten: Unternehmen führt regelmässige und systematische Überwachung von betroffenen Personen aus umfangreiche Verarbeitung besonderer («sensiblen») Kategorien von Daten erforderlich Zusätzliche Auflagen durch nationales Recht möglich

28 Datenschutzbeauftragter (3) Beispiele von Aufgaben des Datenschutzbeauftragten Unterstützung ihrer Kollegen Prüfung der Vereinbarkeit der Firmenpolitik mit der DSG-VO Ratschläge geben betreffend Datenschutz- Folgenabschätzungen Kontakt mit Aufsichtsbehörden Datenschutzbeauftragter in direktem Kontakt mit Management 1 Datenschutzbeauftragter bei einer Gruppe von Unternehmen

29 Folgen für Unternehmen Beauftragter soll Auftrag ohne Weisungsgebundenheit ausführen können (Unterstellung unter den VR?) Kontrollaufgaben und arbeitsrechtliche Konsequenzen Ernennung von Datenschutzbeauftragten aus arbeitsrechtlicher Sicht? Publikation der Kontaktdaten und Mitteilung an Aufsichtsbehörde

30 Datenschutz- Folgenabschätzung

31 Datenschutz-Folgenabschätzung (1) Identifizierung und Minimierung von non-compliance Risiken Datenschutz-Folgenabschätzung in der Schweiz Durchführung der Folgenabschätzung vor Hochrisiko- Verarbeitungsaktivität Hochrisiko-Fälle mit Folgenabschätzung zwingend wenn: Form der Verarbeitung verursacht wahrscheinlich ein hohes Risiko, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke

32 Datenschutz-Folgenabschätzung (2) Neue Technologien: Beispiele o Systematische Bewertung aufgrund automatisierter Verarbeitung o Umfangreiche Verarbeitung besonderer Datenkategorien o Weiträumige Überwachung öffentlich zugänglicher Bereiche

33 Datenschutz-Folgenabschätzung (3) Veröffentlichung von Einzelheiten und Leitlinien bzgl. Hochrisiko-Fälle Minimalvorgaben in der neuen EU-DSG-VO: Beschreibung der Verarbeitungsaktivitäten und deren Zweck Beurteilung der Notwendigkeit und der Verhältnismässigkeit der Verarbeitung, die Risiken und die ergriffenen Massnahmen zur Risikominimierung, vor allem Vorsichts- und Sicherheitsmassnahmen, die dem Schutz der persönlichen Daten dienen und den Vorgaben in der DSG-VO entsprechen Meinung des Datenschutzbeauftragten bezüglich Folgenabschätzung wichtig Aufsichtsbehörde muss im Hochrisikofall in Kenntnis gesetzt werden

34 Datenaustausch / Übermittlung von Daten an Drittländer

35 Übermittlung von Daten an Drittländer (1) Bedingungen für den erlaubten Datentransfer 1. Angemessenes Schutzniveau für den Drittstaat Beurteilung der Angemessenheit: Kriterien (Auswahl) Rechtsstaatlichkeit, Menschenrechte und Grundrechte im Drittstaat Vollzug des Datenschutzrechts im Drittstaat Zugriff von Behörden auf personenbezogene Daten Rechtsprechung der Gerichte des Drittstaates

36 Übermittlung von Daten an Drittländer (2) 2. Datentransfer erfolgt auf Grundlage von Standardvertragsklauseln Standardvertragsklauseln geeignete Garantien von Kommission gemäss Prüfverfahren erlassen werden von Aufsichtsbehörde angenommenen Standarddatenschutzklauseln 3. Einzelgenehmigung des Datentransfers 4. Einwilligung der Betroffenen Vorgängige Information Aufklärung von Risiken

37 Übermittlung von Daten an Drittländer (3) 5. Datentransfer erfolgt auf der Grundlage von Binding Corporate Rules BCRs: Sicherstellung eines angemessenen Vertragsniveaus Praktische Relevanz im Bereich des Outsourcing und des Cloud Computing Inhalt der Binding Corporate Rules: Beispiele Definition des Geltungsbereichs Aufbau und Umsetzung eines Sicherheitskonzepts zum Schutz von pers. Daten Datenschutzschulung von Mitarbeitern

38 Bussen

39 Verwaltungsrechtliche Sanktionen (1) Katalog von Verstössen in EU-DSGVO grösser als im schweizerischen adsg Neue Rechte von betroffenen Personen Neue Pflichten für Bearbeiter Weitere verwaltungsrechtliche bzw. strafrechtliche Sanktionen durch Mitgliedstaaten möglich Beachtung von ne bis in idem

40 Verwaltungsrechtliche Sanktionen (2) Art. 79 Abs. 3 EU-DSGVO (a) Verstoss gegen die Pflichten als Verarbeiter Art. 8, 10, 23-39a Art. 8: Verarbeitung personenbezogener Daten eines Kindes Art. 10: Verarbeitung ohne dass die betroffene Person bestimmt werden kann Art. 23-39a: Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter (aa) Verstoss gegen Pflicht als Zertifizierungsstelle 39-39a (ab) Verstoss gegen die Pflicht als Überwachungsstelle Art. 38a Art. 79 Abs. 3a EU-DSGVO (a) Grundsätze der Verarbeitung und der Einwilligung Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten Art. 6: Rechtmäßigkeit der Verarbeitung Art. 7: Einwilligung Art. 9: Verarbeitung personenbezogener Kategorien von personenbezogenen Daten (b) Rechte der betroffenen Personen Art. 12-20: Kapitel III Rechte der betroffenen Person (ba) bei der Übermittlung personenbezogener Daten an ein Drittland oder internatl. Organisation Art. 40-44: Kapitel V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (bb) Verpflichtungen gemäss der durch den Mitgliedstaat, gemäss Kapitel IX, verabschiedete Gesetze (c) Nichteinhaltung einer Anordnung oder Beschränkung der Verarbeitung oder Aussetzung durch die Aufsichtsbehörde oder Verweigerung des Zugangs Art. 53 Abs. 1b Art. 53 Abs. 1

41 Verhängung von Geldbussen (1) Ordnungswidrigkeitstatbestände (Art. 83 EU-DSGVO) Wirksame und verhältnismässige Wirkung von Geldbussen Würdigung der Umstände des Einzelfalles Höhe der Geldbussen: EUR 10 Mio. bzw. EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 2 % bzw. 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs Durchsetzbarkeit gegen Schweizer in EU Vollstreckbarkeit in Schweiz?

42 Verhängung von Geldbussen (2) Kriterien (Auswahl) für Bussenverhängung Art, Schwere und Dauer des Verstosses Art und die Reichweite sowie der Zweck der jeweiligen Datenverarbeitung Zahl der von dem Verstoss Betroffenen Ausmass des für den Betroffenen entstandenen Schadens Vorsätzliche / fahrlässige Begehung des Verstosses

43 Tom Bayer Fotolia.com

Thank you for your attention! delacruz@delacruzberanek.com

45 Junge Kunden

46 Jugendschutzbestimmungen (1) A. Tragweite/Bedeutung der Bestimmungen Jugendschutzbestimmungen neu in der EU-DSG-VO Kinder/Jugendliche: «schutzbedürftiger natürlicher Personen» Keine Angaben bzgl. Alter des Kindes/Jugendlichen Zustimmung der Eltern wenn Online-Dienste Kindern zur Verfügung gestellt werden Beachtung des Alters

47 Jugendschutzbestimmungen (2) B. Zustimmung der Eltern: Konstellationen Falls Kind/Jugendlicher das 16. Lebensjahr vollendet hat: Verarbeitung der personenbezogenen Daten des Kindes rechtmässig Falls Kind/Jugendlicher das 16. Lebensjahr noch nicht vollendet hat: Verarbeitung von personenbezogenen Daten nur rechtmässig, sofern Einwilligung durch den Träger der elterlichen Verantwortung für das Kind Zustimmung durch Träger der elterlichen Verantwortung

48 Jugendschutzbestimmungen (3) C. Kinder-/jugendgerechte Benachrichtigungen Verständliche und leicht zugängliche Form klare und einfache Sprache Tragweite der Schutzbedürftigkeit von Kindern/Jugendlichen Kinder und Jugendliche müssen die Informationen verstehen können

49 Folgen für Unternehmen Anwendbarkeit nationaler Regeln überprüfen Anwendbarkeit nationaler Regeln auf Vertragsschlussmechanismen Offline-Datenverarbeitung Vermittlung klarer, verständlicher Informationen in kind- bzw. jugendgerechter Art und Weise Standesregeln des Unternehmens

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback