Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Ähnliche Dokumente
DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Videoüberwachung in der EU-DS-GVO. Dr. Stefan Brink LfDI Baden-Württemberg

Betriebliche Organisation des Datenschutzes

Grundlagen des Datenschutzes

Die neue Grundverordnung des europäischen Datenschutzes

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

BvD. Management-Summary. Überblick in 10 Schritten

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

DFN Deutsches Forschungsnetz

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Paal/Pauly Datenschutz-Grundverordnung

Datenschutz und Cloud

EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

Jahrestagung GRUR 2013

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Auftragsdatenverarbeitung unter der DSGVO

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

EU-DatenschutzGrundverordnung. in der Praxis

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Big Data Was ist erlaubt - wo liegen die Grenzen?

Vorschlag der Bundesregierung

Quo vadis, Datenschutz?

Datenschutzgestaltung durch Technik Eine Kurzeinführung

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Berlin, 7. Dezember Inhaltsverzeichnis

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit?

Juristische Fragestellungen im Kontext von IoT - Gesellschaft für Informatik, Köln 11. Mai Dr. Jürgen Hartung

Datenschutz-Grundverordnung

Stellung und Aufgaben der Aufsichtsbehörden nach der DS-GVO und EuGH-Rechtsprechung

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

Stärken und. Schwächen Analyse der EU-DSGVO aus Sicht des EU-Bürgers. eine qualitative Inhaltsanalyse. Esther Jobst, Eva-Maria Meyr, Christian Vellmer

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Vereinbarung über die Auftragsdatenverarbeitung

Datenschutz-Grundverordnung (DSGVO): Überblick

DATEN- SCHUTZ DATENSCHUTZRICHTLINIEN

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Grundlagen des Datenschutzes

Datenschutzreform & Online-Handel. Dr. Michael Reinle, LL.M. Zürich Bühlmann Rechtsanwälte AG

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Werbung und Online Marketing was ändert sich mit der DSGVO?

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Synopse Teil I: BDSG EU DSGVO

Die EU-Datenschutz-Grundverordnung Anforderungen an die Wirtschaft 4.0

1 Einleitung: Das künftige Datenschutzrecht nach Geltung der Datenschutz-Grundverordnung (Roßnagel)... 49

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Stellungnahme. des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht

Techniken der Ausspähung bedrohte Privatheit

BfDI Info 6. Datenschutz-Grundverordnung. Info

Die EU-Datenschutzreform in 120 Minuten

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

Workshops. Inhalt: Rechtlicher Rahmen Datenschutzkommission Datenverarbeitungsregister Privacy by Design Technische Umsetzungsmöglichkeiten

Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen?

Schweizerisches Bundesverwaltungsrecht

Einzelfallentscheide und Profiling.

Datenschutzrecht im Digitalen Binnenmarkt. 16. Salzburger Telekom-Forum 27. August 2015

EU-Datenschutzrecht. Vorlesung am Felix Bieker, LL.M.Eur

Datenschutzrechtliche Anforderungen an soziale Netzwerke

HEUKING KÜHN LÜER WOJTEK Datenschutz Europa Was kommt auf die Schweiz zu?

Datenschutz Grundverordnung

Creditreform Compliance Services GmbH. Unsere Leistungen im Datenschutz.

21. MÄRZ Gesetz zur Regelung der Installation und des Einsatzes von Überwachungskameras

Schweizerisches Bundesverwaltungsrecht

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Datenübermittlung ins Ausland

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Vorwort... Hinweis Das neue neue EU-Datenschutzregime... Abkürzungsverzeichnis...

europäische datenschutz-grundverordnung

Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT- Sicherheit, Geschäftsmodelle und den Datenschutz

EU-Datenschutz- Grundverordnung

Neues Gesetz: Russische Daten sollen in Russland bleiben

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Berlin, 7. Dezember 2016

BDSG - Interpretation

Privacy Conference Datenschutzverordnung & Privacy Shield

Auftragsdatenverarbeitung

GDD-Praxishilfe DS-GVO II

Datenschutz in der Marktund Sozialforschung

Enforcement, einschliesslich Erfahrungen im Umgang mit EU- Datenschutzbehörden am Beispiel Deutschland.

Klaus Krohmann. Entwicklungen in der Datenschutz-Gesetzgebung Seite 1. März 2017

Datenschutz Aufsichtsstelle über den Datenschutz der Stadt Burgdorf. Datenschutz Bericht vom der Geschäftsprüfungskommission

Datenschutz in Schulen

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Transkript:

Die EU Datenschutzgrundverordnung Was gilt es zu beachten? IT-Expo vom 5. April 2017 Referentin: Maria Winkler

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 2

Einführung Die EU Datenschutzgrundverordnung (DSGVO) wurde im April 2016 verabschiedet und ersetzt die nationalen Datenschutzgesetze und somit auch die EU- Datenschutzrichtlinie in der EU. Die Umsetzung muss bis Mai 2018 erfolgen. 3

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 4

Personendaten (sachlicher Anwendungsbereich) 5

Begriffliches Verantwortliche: Personen welche sowohl über die Zwecke als auch die Mittel der Verarbeitung von personenbezogenen Daten entscheiden Auftragsverarbeiter: Personen die im Auftrag des Verantwortlichen solche Daten verarbeiten 6

Persönlicher Anwendungsbereich Ein Schweizer Unternehmen ist nach dem sogenannten Marktortprinzip erfasst, wenn: es in der EU Dienstleistungen oder Produkte anbietet und dabei Personendaten von EU-Bürgern bearbeitet; es das Verhalten von Betroffenen aus der EU beobachtet, soweit die Datenverarbeitung damit im Zusammenhang steht; es Daten einer EU-Niederlassung bei sich im Auftrag bearbeitet. Ein Schweizer Unternehmen ist nicht erfasst, wenn: es von Personen aus der Schweiz Daten in der Schweiz bearbeitet; es zwar Daten von Kunden aus der EU bearbeitet, ihnen die Produkte und Dienstleistungen jedoch nur in der Schweiz anbietet. 7

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 8

Verarbeitung von Personendaten In der EU wird für jede Verarbeitung von Personendaten ein Rechtfertigungsgrund gefordert (Verbot mit Erlaubnisvorbehalt). Mindestens eine der nachfolgenden Bedingungen muss erfüllt sein: Einwilligung Erforderlich für die Vertragserfüllung Erforderlich für die Erfüllung einer rechtlichen Verpflichtung Schutz lebenswichtiger Interessen Wahrnehmung einer Aufgabe im öffentlichen Interesse Wahrung der berechtigten Interessen 9

Anforderungen an die Einwilligung Einwilligung: Freiwillig Für konkrete Fälle Nach Information über Zweck der Verarbeitung Unmissverständlich Ausdrücklich Nachweisbar Hinweis auf Widerrufsrecht 10

Auftragsverarbeiter (Art. 28 DSGVO) Bei einer Verarbeitung im Auftrag eines Verantwortlichen muss die Geeignetheit des Auftragsverarbeiters vorab geprüft werden. Es dürfen nur Auftragsverarbeiter eingesetzt werden, die hinreichende Garantien dafür bieten, dass geeignete technische und auch organisatorische Massnahmen für einen ausreichenden Datenschutz getroffen werden. Genehmigte Verhaltensregeln (Art. 40 DSGVO) oder Zertifizierungen (Art. 42 DSGVO) können solche Garantien belegen. Für die Verarbeitung durch einen Auftragsverarbeiter muss mit ihm ein Vertrag über die weisungsgebundene Tätigkeit abgeschlossen werden. 11

Datentransfer ins Ausland Zulässig sind Datentransfers an Drittländer, welche ein angemessenes datenschutzrechtliches Schutzniveau haben. Die Schweiz verfügt gemäss dem Angemessenheitsbeschluss der EU über einen angemessenen Datenschutz. Zurzeit wird das Datenschutzgesetz revidiert. Durch vertragliche Garantien oder Binding Corporate Rules ist ein Datentransfer in unsichere Drittländer trotzdem möglich. Neu können auch Codes of Conduct genehmigt oder Zertifikate ausgestellt werden. 12

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 13

Vertreter in der EU Schweizer Unternehmen, die unter die DSGVO fallen, müssen schriftlich einen Vertreter in der EU bezeichnen, der den Aufsichtsbehörden und den betroffenen Personen als Anlaufstelle für sämtliche Fragen im Zusammenhang mit der Gewährleistung der DSGVO dient. Der Vertreter muss in einem der Mitgliedsstaaten niedergelassen sein, in dem die betroffenen Personen, deren Daten bearbeitet werden, sich befinden. Es ist unklar, welche Funktion der Vertreter genau hat ( Briefkasten oder Verantwortlicher ). 14

Aufsichtsbehörden Schweizer Unternehmen, die unter die DSGVO fallen, unterstehen einer doppelten Datenschutzaufsicht: dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB); den zuständigen Aufsichtsbehörden der EU. Das Konzept der federführenden Aufsichtsbehörde gilt für Nicht-EU-Staaten nicht (One-Stop-Shop). Allerdings ist umstritten, ob ein Tätigwerden einer EU- Aufsichtsbehörde in der Schweiz nach Schweizer Recht zulässig ist (Territorialprinzip). 15

Datenschutzbeauftragter Private Unternehmen (Verantwortliche und Auftragsverarbeiter) müssen einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit: eine umfangreiche regelmässige und systematische Überwachung von Betroffenen erforderlich machen; in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Art. 9 und Art. 10 DSGVO). Der Datenschutzbeauftragte muss über das erforderliche Fachwissen verfügen. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden. 16

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 17

Betroffenenrechte Recht auf Löschung der Daten ( Vergessenwerden ) Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Recht, nicht einer ausschliesslich auf automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden Auskunftsrecht Informationsrechte bei der Erhebung von personenbezogenen Daten 18

Recht auf Löschung (1) (Art 17 DSGVO) Voraussetzungen bei deren Vorliegen eine Löschung verlangt wird: der Zweck für die Datenverarbeitung ist weggefallen (lit. a); die Einwilligung wird widerrufen (lit. b); es wird Widerspruch von der betroffenen Person eingelegt (lit. c); die Daten wurden unrechtmässig verarbeitet (lit. d); zur Erfüllung einer rechtlichen Verpflichtung ist die Löschung nötig (lit. e); die Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben (lit. f). 19

Recht auf Löschung (2) (Art 17 DSGVO) Google Spain Entscheidung Mario Costeja Gonzales reichte Beschwerde bei der spanischen Datenschutzaufsichtsbehörde ein, da Google zu seinem Namen Suchtreffer mit Links auf Tageszeitungsartikel anzeigte. Die Artikel zeigten auf, dass das Grundstück von Gonzales aufgrund seiner Schulden versteigert wurde. Die spanische Datenschutzaufsichtsbehörde verlangte von Google die Löschung der Suchtreffer. Google erhob ihrerseits Klage, weshalb der Fall an den EuGH ging. Der EuGH entschied, dass wenn die Betroffeneninteressen diejenigen der Öffentlichkeit am Zugang der Information überwiegen, eine Löschung der Suchergebnisse möglich sein muss ( digitaler Radiergummi ). 20

Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Betroffene dürfen verlangen, dass die personenbezogenen Daten, welche mithilfe automatisierten Verfahren verarbeitet werden, direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Dies gilt, wenn die Betroffenen in die Verarbeitung der personenbezogenen Daten eingewilligt haben oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. 21

Widerspruchsrecht (Art. 21 DSGVO) Betroffene dürfen trotz rechtmässiger Verarbeitung Widerspruch einlegen, wenn die Verarbeitung ihrer personenbezogenen Daten: für die Wahrnehmung einer Aufgabe, im öffentlichen Interesse liegt; oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist. 22

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 23

Verarbeitungsverzeichnisse (Art. 30 DSGVO) Verantwortliche und Auftragsverarbeiter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Wesentliche Angaben über die Verarbeitung müssen gemacht werden z.b.: Zweck der Verarbeitung Kategorie der Daten Kategorie der Betroffenen und der Empfänger Das Verzeichnis ist nicht öffentlich zugänglich. Verstösse dagegen werden mit Geldbussen bestraft. 24

Data Breach Notifications Bei Verstössen gegen Massnahmen zur Datensicherheit muss dies verzeichnet und der Datenschutzbehörde gemeldet werden. Bei einem voraussichtlich hohen Risiko von Auswirkungen für die persönlichen Freiheiten und Rechte der Betroffenen müssen zusätzlich die Betroffenen informiert werden. Unternehmen müssen Prozesse vorsehen um die Data Breaches zu erfassen und zu melden. 25

Datenschutz-Folgenabschätzung (Art. 35 DSGVO) Mit der Datenschutz-Folgenabschätzung sollen Risiken eingeschätzt und vermindert werden. Eine Datenschutz-Folgenabschätzung muss durchgeführt werden, wenn die Verarbeitungsvorgänge ein hohes Risiko darstellt für die persönlichen Rechte und Freiheiten der Betroffenen (z.b. weitreichende Überwachung von öffentlichen Bereichen). Ergibt die Datenschutz-Folgenabschätzung, dass die geplante Datenverarbeitung ein hohes Risiko mit sich bringt, trifft den Verantwortlichen diesbezüglich eine Informationspflicht gegenüber der Aufsichtsbehörde. 26

Privacy by Design und by Default (Art. 25 DSGVO) Privacy by Design Die Verantwortlichen müssen sicherstellen, dass geeignete technische und organisatorische Massnahmen getroffen werden um die Datenschutzgrundsätze umzusetzen (z.b. Datenminimierung oder Zugriffsberechtigungen). Privacy by Default Durch Voreinstellungen muss sichergestellt werden, dass nur die für einen bestimmten Zweck erforderlichen personenbezogenen Daten verarbeitet werden (z.b. Social Media auf nicht öffentlich einstellen). 27

Agenda Einführung Anwendungsbereich Verarbeitung von Personendaten Aufsicht Betroffenenrechte Weitere Pflichten Rechtsschutz & Strafbestimmungen 28

Rechtsbehelfe Jede betroffene Person hat das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie glaubt, dass eine Verarbeitung der sie betreffenden Daten gegen die DSGVO verstösst (Art. 77 DSGVO). Jede natürliche oder juristische Person hat das Recht auf einen wirksamen gerichtlichen Rechtsbehelf (Art. 78, 79 DSGVO): gegen eine Aufsichtsbehörde gegen Verantwortliche oder Auftragsverarbeiter Ist einer Person wegen eines Verstosses gegen die DSGVO ein Schaden entstanden, kann sie Schadenersatz geltend machen. 29

Sanktionen Geldbussen sind bis zu EUR 20 Mio. oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes möglich. 30

Was tun? 31

Vielen Dank für Ihre Aufmerksamkeit! Maria Winkler IT & Law Consulting GmbH Grafenaustrasse 5 6300 Zug Tel. +41 41 711 74 08 Fax +41 41 711 74 07 maria.winkler@itandlaw.ch www.itandlaw.ch 32

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback