Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Ähnliche Dokumente
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Die neue Grundverordnung des europäischen Datenschutzes

BvD. Management-Summary. Überblick in 10 Schritten

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Auftragsdatenverarbeitung

Videoüberwachung in der EU-DS-GVO. Dr. Stefan Brink LfDI Baden-Württemberg

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Quo vadis, Datenschutz?

EU-DatenschutzGrundverordnung. in der Praxis

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Rechtlicher Rahmen für Lernplattformen

Datenschutz muss nicht trocken sein

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Vertragsanlage zur Auftragsdatenverarbeitung

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Formular Meldung nach 4d BDSG

DFN Deutsches Forschungsnetz

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Cloud-Zertifizierung aus Sicht des Datenschutzes

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

1 Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung

Vertrag zur Verarbeitung von Daten im Auftrag

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Vertrag zur Auftragsdatenverarbeitung

Vorschlag der Bundesregierung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenverarbeitung im Auftrag

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Im Rahmen des Vertragsverhältnisses erhebt, verarbeitet und nutzt der Auftragnehmer folgende Arten von Daten:

Stellungnahme. des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Vertrag über Auftragsdatenverarbeitung

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Inhalt. Die EU-Datenschutz- Grundverordnung Smarter oder nicht? 28. April 2016 Vertretung des Saarlandes beim Bund in Berlin

für die Übersendung des Referentenentwurfs und die Möglichkeit zur Stellungnahme bedanken

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Herniamed gemeinnützige GmbH Neue Bergstr Berlin Geschäftsführer: Prof. Dr. med. Ferdinand Köckerling

Datenschutz in der Anwaltskanzlei

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

Gesetzliche Grundlagen des Datenschutzes

GDD-Praxishilfe DS-GVO II

Zertifizierte Auftragsdatenverarbeitung

1 Einleitung: Das künftige Datenschutzrecht nach Geltung der Datenschutz-Grundverordnung (Roßnagel)... 49

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2. Hanno Wagner

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Die neue EU Datenschutzverordnung

Vertrag zur Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Stephan Hansen-Oest Rechtsanwalt. Stand: erstellt von: Sachverständiger für IT-Produkte (rechtlich)

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Cloud und Datenschutz

Workshop 5: Zukunft des betrieblichen Datenschutzes

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Datenschutz-Grundverordnung

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz in Schulen

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Artikel 12 VO (EG) Nr. 883/2004

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Vereinbarung zur Auftragsdatenverarbeitung. MHP Solution Group

Änderung vom. Der Schweizerische Bundesrat verordnet: Die Berg- und Alp-Verordnung vom 25. Mai wird wie folgt geändert:

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Muster zur Ausschreibung

Datenschutzrechtliche Probleme beim Outsourcing Inaugural-Dissertation

Auftragsdatenverarbeitung Verpflichtungserklärung Los 1

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Datenschutzaudit. Einhaltung gesetzlicher. Datenschutz. Copyright DQS GmbH. DQS GmbH

Datenschutz. RA Dr. Lukas Feiler, SSCP, CIPP/E. Marketing und Vertrieb, MSc WS

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Berlin, 7. Dezember 2016

Datenschutz in der Marktund Sozialforschung

Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT- Sicherheit, Geschäftsmodelle und den Datenschutz

Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND BEHÖRDEN

Grundlagen des Datenschutzes

Transkript:

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Referent Munker Privacy Consulting GmbH Pähler Str. 5a 82399 Raisting www.munker.info Dirk Munker Dipl. Staatswissenschaftler (Univ.) Datenschutz-Auditor (TÜV) Mehr als 12 Jahre Erfahrung im Datenschutz, darunter u.a.: Medizinischer Datenschutz Datenschutz im Personalwesen Datenschutz bei Finanzdienstleistern Behördlicher Datenschutz 2

Chronologie Datenschutz in Deutschland 30.09.1970 1. Hessisches Datenschutzgesetz 01.02.1977 1. Bundesdatenschutzgesetz (in Kraft ab 1978). 14.04.2016 Beschluss der EU-Datenschutz-Grundverordnung (EU-Parlament) 25.05.2016 In-Kraft-Treten der EU-Datenschutz-Grundverordnung (DS-GVO) 25.05.2018 EU-weite Geltung der DSGVO 25.05.2018 BDSG neu 25.05.2018 HDSG neu?? E-Privacy-Verordnung (bislang nur Entwurf EU-Kommission!) 3

EU-Datenschutz-Grundverordnung Erwägungsgründe u. a. Stärkung und Präzisierung der Rechte der betroffenen Personen, Verschärfung der Auflagen, gleiche Befugnisse der Mitgliedstaaten, gleiche Sanktionen im Falle der Verletzung der DS-GVO. Vorrang einer EU-Verordnung vor nationalem Recht Eine EU-Verordnung hat grds. Anwendungsvorrang vor jedem nationalen Gesetz, Sofern in VO vorgesehen, dann nationale Regelungen möglich. Ausgestaltungspflicht durch nationalen Gesetzgeber, sofern durch VO angeordnet. 4

EU-Datenschutz-Grundverordnung regelt das Recht auf Schutz persönlicher Daten als Grundrecht innerhalb der EU vereinheitlicht weitgehend die derzeit bestehenden 28 nationalen Gesetze innerhalb der EU erhöht die Sanktionen bei Vergehen drastisch (bis zu 20 Mio. bzw. 4 % des weltweiten Umsatzes), Öffnungsklausel für öffentliche Stellen 5

EU-Datenschutz-Grundverordnung wird über die Aufsichtsbehörde voraussichtlich wesentlich strenger exekutiert als das bisher der Fall war beinhaltet eine Meldepflicht (innerhalb von 72 Stunden an die Aufsichtsbehörde) und eine Beweislastumkehr setzt wesentlich mehr an Dokumentation voraus als das BDSG tritt am 25. Mai 2018 EU-weit in Kraft 6

EU-Datenschutz-Grundverordnung Datenschutz zwischen 2 Stühlen: BDSG-alt und HDSG-alt bis 24.05.2018 DS-GVO, und BDSG-neu ab 25.05.2018, HDSG-neu ab? 7

Besonderheiten DS-GVO direkt für hessische Behörden anwendbar. Anwendungsbereich des HDSG wird kleiner als bisher. Vermutlich keine Regelung zur Auftragsverarbeitung im Rahmen der Umsetzung der DS-GVO. Aktuell (u. a. heute) wird das HDSG überarbeitet und an die neue Rechtslage angepasst. Anwendung der Richtlinie (EU) 2016/680 (Polizei, Justizvollzug und Allgemeine Ordnungsbehörden)? 8

Grundsätze der DSGVO Art. 5 DSGVO, Abs. 1 (Grundsätze für die Verarbeitung personenbezogener Daten): Rechtmäßigkeit Verarbeitung nach Treu und Glauben Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität Vertraulichkeit 9

Rechenschaftspflicht Art. 5 Abs. 2 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten ): Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht). 10

Datenschutz + datenschutzfreundliche Voreinstellungen EW 78 und Art. 25 DS-GVO: Interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Datenminimierung hinsichtlich Menge der erhobenen personenbezogenen Daten Umfang ihrer Verarbeitung Speicherfrist Zugänglichkeit 11

Datenschutzfreundliche Voreinstellungen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen), Absatz 3: Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. -> Datenschutzzertifikat? ISO 27001?? 12

Technische und organisatorische Maßnahmen Art. 32 DSGVO (Sicherheit der Verarbeitung): Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 13

Technische und organisatorische Maßnahmen nach DS-GVO 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) 2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO) 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Trennungskontrolle Pseudonymisierung Weitergabekontrolle Eingabekontrolle Verfügbarkeitskontrolle Rasche Wiederherstellbarkeit 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO) Datenschutz-Management Incident-Response-Management Datenschutzfreundliche Voreinstellungen Auftragskontrolle 14

Technische und organisatorische Maßnahmen nach DS-GVO Artikel 32 Sicherheit der Verarbeitung (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. 15

Technische und organisatorische Maßnahmen nach DS-GVO 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO) 2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO) 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Trennungskontrolle Pseudonymisierung Weitergabekontrolle Eingabekontrolle Verfügbarkeitskontrolle Rasche Wiederherstellbarkeit 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO) Datenschutz-Management Incident-Response-Management Datenschutzfreundliche Voreinstellungen Auftragskontrolle 16

Datenverarbeitung im Auftrag -> Auftragsverarbeitung Auftragsdatenverarbeitung im BDSG-alt, Weisungsabhängig! Auftraggeber haftet dem Dateneigentümer (Betroffenen) gegenüber! Funktionsübertragung, wenn der Auftragnehmer nicht nur Daten verarbeitende Hilfsfunktionen weisungsabhängig erfüllt, sondern die übergebenen Daten zu Erfüllung weiterer eigener Aufgaben oder Funktonen benötigt. Damit handelt es sich um eine Übermittlung an Dritte und die Haftung gegenüber dem Dateneigentümer geht an den Funktionsnehmer über! Ist die herkömmliche Abgrenzung zur Funktionsübertragung jetzt obsolet? Bei Verstoß des Auftragnehmers gegen die DS-GVO oder andere datenschutzrechtliche Regelungen -> Mithaftung! 17

Beispiele für Datenverarbeitung im Auftrag Rechenzentren, Copyshops. Externe Dienstleister EDV und TK mit Remote-Zugriff (Server, Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege, Wartung TK-Anlagen etc.). Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker, Multifunktionsgeräte, Scanner, Kopiergeräte, etc.). Entsorger (IT / TK) und Entsorger Papier. Internet-Service-Provider (Internet und E-Mail-Dienste). 18

Verarbeitung personenbezogener Daten im Auftrag nach 4 HDSG-alt Sorgfältige Auswahl der Auftragnehmer. Weisung. Hinweispflicht des Auftragnehmers bei Verstößen gegen HDSG oder andere Gesetze. Detaillierte Regelungen der Auftragsverhältnisse (schriftlich!). Gegenstand und Umfang Technische und organisatorische Maßnahmen nach 10 HDSG Regelungen der Unterauftragsverhältnisse. Kontrolle durch den Hessischen Datenschutzbeauftragten (AN außerhalb Geltungsbereich HDSG). Gilt auch für Wartungsarbeiten und vergleichbare Hilfstätigkeiten. 19

Auftragsverarbeitung nach Art. 28 DS-GVO Sorgfältige Auswahl der Auftragnehmer. Hinreichende Garantien! Kriterien für die Auswahl der Auftragnehmer: geeignete technische und organisatorische Maßnahmen. Detaillierte Regelungen der Unterauftragsverhältnisse. Einsatz und Wechsel von Subunternehmen nur mit schriftlicher Genehmigung. Detaillierte Regelungen der Auftragsverhältnisse (schriftlich oder elektronisch). 20

Detaillierte Regelungen der Auftragsverhältnisse Weisung des Verantwortlichen. Verpflichtung der Mitarbeiter zur Vertraulichkeit. Maßnahmen nach Art. 32 (Sicherheit der Verarbeitung, TOMs). Regelungen zu Subdienstleistern. Unterstützung des Auftraggebers bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person. 21

Detaillierte Regelungen der Auftragsverhältnisse Unterstützung des Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten: Meldung von Datenschutzpannen, Benachrichtigung der Betroffenen, Datenschutz-Folgenabschätzung. Löschung oder Rückgabe von Daten nach Beendigung. Unterstützung des Verantwortlichen bei Überprüfungen einschließlich Inspektionen. Unverzügliche Information, falls eine Weisung des Verantwortlichen gegen die DS-GVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. 22

Kontrolle der Auftragsverhältnisse Kontrolle der Unterauftragnehmer (z. B. durch den DSB). Zertifizierung? Genehmigte Verhaltensregel? Grundsätzlich wird eine jährliche Kontrolle empfohlen! Notwendigkeit von Vor-Ort-Audits? 23

203 Strafgesetzbuch - Neue Rechtliche Situation 960. Sitzung des Bundesrats am 22. September 2017: Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen : 203 c) Abs. 3 wird wie folgt geändert: Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2 genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken. Lösung: Verpflichtung der Dienstleister auf die Verschwiegenheit nach 203 StGB! (Subunternehmer nicht vergessen!) 24

Auftragskontrolle bei Berufsgeheimnisträgern Sämtliche Auftragsverarbeiter und Subunternehmen sind als Mitwirkende auf 203 Strafgesetzbuch zu verpflichten! Verpflichtung nach Verpflichtungsgesetz weiterhin erforderlich? Bei Berufsgeheimnisträgern wird die jährliche Kontrolle der Auftragsverarbeiter dringend empfohlen! 25

Zusammenfassung Wechsel von Subunternehmer nur mit Genehmigung. Elektronische Form des Vertrages zur Auftragsverarbeitung möglich. Verpflichtung nach 203 StGB bzw. Verpflichtungsgesetz beachten! Nachweis der Garantien: Zertifikate oder genehmigte Verhaltensregeln, ggf. auch Audits vor Ort. Regelmäßige (jährliche) Kontrolle der Auftragsverarbeiter. 26

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback