KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

Ähnliche Dokumente
Betriebliche Organisation des Datenschutzes

Datenschutz muss nicht trocken sein

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Datenschutz in der ambulanten Pflege

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Videoüberwachung in öffentlichen Verkehrsmitteln

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Vertragsanlage zur Auftragsdatenverarbeitung

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Verantwortung im Arbeitsschutz Verantwortung im Arbeitsschutz. Inhalt. 1. Rechtspflichten

Vorschlag der Bundesregierung

Know-how-Schutz in Zeiten moderner Wirtschaftsspionage

Am 15. Oktober 2010 forderte der EDSB beim DSB zusätzliche Informationen an. Die Antworten wurden am 5. November 2010 übermittelt.

Auftragsdatenverarbeitung

Der Diözesandatenschutzbeauftragte

Bayerisches Landesamt für Datenschutzaufsicht

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

1 Gewinnspiel. 2 Teilnehmer

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

DE 098/2008. IT- Sicherheitsleitlinie

Information ChCC Ergebnis der AG. Rechtliche Checkliste. zum Einsatz von Cloud Computing

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

12. Fachtag IV / IT des BeB - Datenschutz Fragestellungen aus dem tatsächlichen IT-Leben

Geschäftsstelle für Mitarbeitervertreter (KODA/MAV) Erzdiözese Freiburg

Dokument Nr. 4.1/ Stand:

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

BGV A 3 * Elektrische Anlagen und Betriebsmittel vom 1. April 1979, in der Fassung vom 1. Januar BG-Vorschrift. Unfallverhütungsvorschrift HVBG

Wettbewerb Zeig uns Deine Heimat! über die Website

Verantwortung und Haftung des Koordinators insbesondere unter dem Aspekt der Regressnahme

Anlage 3. Antrag zur Anerkennung von Praxisnetzen nach 87b Abs. 4 SGB V

Sie haben etwas Einmaliges zu vergeben: Ihr Vertrauen

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Newsletter. Juni. Datenschutz & Datenschutzkomformes Unternehmen

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutz im Verein

Winfried Rau Tankstellen Consulting

- Datenschutz im Unternehmen -

Neues Gesetz: Russische Daten sollen in Russland bleiben

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

Allgemeine Geschäftsbedingungen (AGB)

Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG)

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Alarmierungsrichtlinie. Richtlinie

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Ausführungsbestimmungen der Zentralschweizer BVG- und Stiftungsaufsicht (ZBSA) über die berufliche Vorsorge

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Biologische Arbeitsstoffe. Matthias Schillo, Fachkraft für Arbeitssicherheit

Gewinnabführungsvertrag

Datenschutzerklärung Autoren-Campus der Schule des Schreibens in der Hamburger Akademie für Fernstudien

die unter der Aufsicht des Bundes stehen (Art. 61 Abs. 2 BVG).

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Datenschutz im Pfarrbüro

ENNA Selbst- und Fremdgefährdung. Wolfgang Jansen, MA, Dipl. Pflegewissenschaftler

Die neue Gefahrstoffverordnung

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Datenschutz als Chance begreifen

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Vereinbarung Auftrag gemäß 11 BDSG

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Datenschutz in der Anwaltskanzlei

Die Kombination von Medizinprodukten. SystemCheck

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Auf schriftliche Anfrage werden wir Sie gern über die zu Ihrer Person gespeicherten Daten informieren.

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Inhalt. 1 Einführung 1.1 Zielsetzung und Aufbau der Vorschriftensammlung Adressatenkreis Quellenverzeichnis 13

Datenschutz in der Unternehmenspraxis

Kanton Zug Ausführungsbestimmungen der Zentralschweizer BVGund Stiftungsaufsicht (ZBSA) über die berufliche Vorsorge

Tag des Datenschutzes

G e m e i n d e v e r o r d n u n g

Unfälle und Zwischenfälle im Biologischen Labor

Datenschutz und IT-Sicherheit an der UniBi

Satzung über die Benutzung von öffentlichen Grünanlagen, städtischen Spiel- und Fußballplätzen sowie Freizeitanlagen

Datenschutz-Grundverordnung

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Informationssicherheit

EINWOHNERGEMEINDE HILTERFINGEN. Datenschutzreglement

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Rahmenvereinbarung 1 für Qualitätssicherungsvereinbarungen gemäß 135 Abs. 2 SGB V

WEISUNGEN ÜBER DIE INFORMATION DER ÖFFENTLICHKEIT, DEN DATENSCHUTZ UND DIE ARCHIVIERUNG IN DER GEMEINDE NATERS

Rechtliche Grundlagen der Datensicherung

Dienstvereinbarung über den Einsatz elektronischer Terminkalender

Öffentliches Verfahrensverzeichnis der Vater Unternehmensgruppe nach 4e Bundesdatenschutzgesetz (BDSG)

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein. Erhöhung des Datenschutzniveaus zugunsten der Verbraucher. Projektnummer: 04HS052

Hessisches Sozialministerium. Information für Gaststätten. Hessisches Nichtraucherschutzgesetz (HessNRSG)

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Transkript:

KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG DG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG G KDG KDG KDG KDG KDG KDG KDG DG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG K G KDG KDG KDG KDG KDG KDG KDG KDG-Praxishilfe 10 DG KDG KDG KDG KDG KDG KDG KDG Umgang mit Datenpannen KDG KDG KDG KDG KDG KDG KDG K nach dem neuen Gesetz über den Kirchlichen Datenschutz (KDG) KDG KDG KDG KDG KDG KDG KDG G KDG KDG KDG KDG KDG KDG KDG Stand 11/2017 KDG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG K G KDG KDG KDG KDG KDG KDG KDG

Inhalt Praxishilfe 10 Umgang mit Datenpannen nach dem Kirchlichen Datenschutzgesetz (KDG) Seite Es ist schnell passiert...... 3 Neue Meldepflicht eigentlich nicht neu... 3 Meldepflicht jetzt auch im kirchlichen Bereich... 3 Ist jeder Vorfall meldepflichtig?... 4 Wie schnell muss die Meldung erfolgen?... 5 Gilt die Informationspflicht auch für Auftragsverarbeiter?... 5 Was soll schon passieren, wenn ich keine Meldung mache und die Betroffenen nicht informiere?... 5 Weitere Informationen... 6 Herausgegeben von der So erreichen Sie uns: Katholisches Datenschutzzentrum (KdöR) Brackeler Hellweg 144 44309 Dortmund Tel. 0231 / 13 89 85 0 Fax 0231 / 13 89 85 22 E-Mail: info@kdsz.de www.katholisches-datenschutzzentrum.de Autor dieser Praxishilfe: Der Diözesandatenschutzbeauftragte für die nordrhein-westfälischen (Erz-)Bistümer Diese Praxishilfe der der Katholischen Kirche Deutschlands dient als erste Orientierung, wie nach Auffassung der Diözesandatenschutzbeauftragten das neue Gesetz über den kirchlichen Datenschutz (KDG) im praktischen Vollzug angewendet werden sollte. Sie kann noch keine verbindliche Auslegung bieten, sondern stellt die gegenwärtige Interpretation der neuen Vorschriften durch die Diözesandatenschutzbeauftragten dar. Revision 0.1 / 08.12.2017

Umgang mit Datenpannen nach dem Kirchlichen Datenschutzgesetz (KDG) Es ist schnell passiert... Der Verlust von personenbezogenen Daten oder die unberechtigte Kenntnisnahme dieser Daten durch Unbefugte können jede Einrichtung und jeden Verantwortlichen treffen. Wie schnell ist eine Datei an den falschen Mail-Adressaten geschickt, die Patientenausdrucke in den (einfachen) Papiermüll geworfen oder Daten in einer Papierakte oder am Bildschirm von Unbefugten eingesehen. Auch bei Angriffen auf die technische Infrastruktur der Einrichtung können personenbezogene Daten von Servern abgezogen werden. Neue Meldepflicht eigentlich nicht neu Im Bundesdatenschutzgesetz (BDSG) gibt es eine Meldepflicht für Datenpannen schon seit einigen Jahren im 42a BDSG. Diese Vorschrift sah aber relativ hohe Hürden vor, bevor eine Meldepflicht der Datenpanne eintrat. Außerdem wurde diese Vorschrift nicht in die Anordnung über den kirchlichen Datenschutz (KDO) übernommen. Meldepflicht jetzt auch im kirchlichen Bereich Die neue Datenschutzgrundverordnung sieht in den Artikeln 33 und 34 (DS-GVO) jetzt eine Meldepflicht mit niedrigeren Voraussetzungen für die Meldung vor. Diese Regelung findet sich im neuen Gesetz über den kirchlichen Datenschutz (KDG) auch in den 33 und 34 wieder. Dabei sieht die Regelung in 33 Abs. 1 KDG vor, dass die Meldung an die Datenschutz- aufsicht immer zu erfolgen hat, wenn die Verletzung des Schutzes personenbezogener Daten eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt. Hingegen hat eine Information der Betroffenen über die Verletzung des Schutzes personenbezogener Daten nach 34 Abs. 1 KDG nur zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Diese Abwägung kann für verschiedene Betroffene durchaus unterschiedliche Ergebnisse haben. 33 Abs. 1 KDG: Der Verantwortliche meldet der Datenschutzaufsicht unverzüglich die Verletzung des Schutzes personenbezogener Daten, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt. [ ] Praxishilfen KDG Stand 11/2017 Seite 03

Die Information muss in einfacher und klarer Sprache abgefasst sein und bestimmte, in 34 Abs. 2 KDG näher genannte Inhalte enthalten. Der Verantwortliche hat die Verletzung der personenbezogenen Daten einschließlich der damit zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Maßnahmen zu dokumentieren (siehe 33 Abs. 5 KDG). Diese Dokumentation muss der Datenschutzaufsicht die Überprüfung der Einhaltung der Vorgaben des 33 KDG ermöglichen. 34 Abs. 1 KDG: Hat die Verletzung des Schutzes personenbezogener Daten voraus-sichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. Ist jeder Vorfall meldepflichtig? Das Gesetz geht davon aus, dass jede Verletzung gegenüber der Aufsicht meldepflichtig ist, die eine Gefahr für die Rechte und Freiheiten der betroffenen Personen darstellt. Das Gesetz unterscheidet dabei nicht zwischen Einzelfall und massenhaftem Datenverlust, nicht zwischen fahrlässiger oder vorsätzlicher Verletzung, nicht zwischen dem Verlust normaler oder besonderer personenbezogener Daten. Praxishilfen KDG Damit diese Verpflichtung für die Einrichtungen auch erfüllbar bleibt, werden die Aufsichtsbehörden sich hier noch abstimmen und Hilfestellungen zur Risikobewertung und der Meldepflicht erarbeiten. Gegenüber den Betroffenen kann die Informationspflicht gemäß 34 Abs. 3 KDG entfallen, wenn der Verantwortliche geeignete Maßnahmen ergriffen hat oder ergreift, die eine Gefährdung der Rechte und Freiheiten der Betroffenen wirksam verhindern. Die Wirksamkeit dieser Maßnahmen wird im konkreten Fall zu bewerten sein. Sofern die Einzelinformation der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, kann auch eine öffentliche 34 Abs. 3 KDG: Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen getroffen und auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b) der Verantwortliche hat durch nachträglich getroffene Maßnahmen sichergestellt, dass die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 nicht mehr gefährdet sind; [...] Seite 04 Stand: 11/2017

Bekanntmachung oder eine ähnliche, gleich wirksame Maßnahme gemäß 34 Abs. 3 Buchst. c) KDG erforderlich sein. Wie schnell muss die Meldung erfolgen? Die Meldung an die Datenschutzaufsicht muss gemäß 33 Abs. 1 KDG innerhalb von 72 Stunden erfolgen. Nur in begründeten Ausnahmefällen kann diese Frist überschritten 33 Abs. 3 KDG: Die Meldung gemäß Absatz 1 enthält insbesondere folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des betrieblichen Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. werden. Die Meldung hat die aus 33 Abs. 3 KDG ersichtlichen umfassenden Angaben zu enthalten. Sofern die Informationen nach 33 Abs. 3 KDG nicht schon alle mit der Meldung bereitgestellt werden können, sind diese unverzüglich nachzureichen ( 33 Abs. 4 KDG). Gilt die Informationspflicht auch für Auftragsverarbeiter? Der Auftragsverarbeiter, dem eine Verletzung des Schutzes personenbezogener Daten bekannt wird, hat dies gemäß 33 Abs. 2 KDG unverzüglich dem Verantwortlichen zu melden. Was soll schon passieren, wenn ich keine Meldung mache und die Betroffenen nicht informiere? Kommt der Verantwortliche der eigentlich notwendigen Information an die Betroffenen nicht nach, so kann die Datenschutzaufsicht verlangen, dass die Information nachgeholt wird (vgl. 34 Abs. 4 KDG). Ebenso kann die Datenschutzaufsicht feststellen, dass einer der Gründe des 34 Abs. 3 KDG vorliegt und eine Meldung nicht notwendig ist (vgl. 34 Abs. 4 KDG). Das Unterlassen einer gemäß 33 KDG notwendigen Meldung an die Datenschutzaufsicht Praxishilfen KDG Stand: 11/2017 Seite 05

oder einer gemäß 34 KDG notwendigen Information der Betroffenen könnte mit einem Bußgeld nach 51 KDG geahndet werden. Außerdem könnte der Verantwortliche gemäß 50 KDG für Schäden der Betroffenen haf- ten oder Schadensersatzpflichtig werden, wenn durch die unterlassene Information ein Schaden beim Betroffenen entsteht oder vergrößert wird. Weitere Informationen Die Diözesandatenschutzbeauftragten werden bis zum Inkrafttreten des neuen KDG noch weitere Informationen zu Voraussetzungen und Umfang der Melde- und Informationspflicht herausgeben. Bei Fragen können Sie sich gerne an Ihre zuständige Datenschutzaufsicht wenden. Praxishilfen KDG Seite 06 Stand: 11/2017

Weitere Praxishilfen: 01 Wichtige Schritte bis zum In-Kraft-Treten des KDG 02 Der betriebliche Datenschutzbeauftragte nach dem KDG 03 Verantwortlichkeiten nach dem KDG 04 Auftragsverarbeitung nach dem KDG 05 Verzeichnis der Verarbeitungstätigkeiten nach dem KDG 06 Betroffenenrechte nach dem KDG 07 Transparenz- und Dokumentationspflichten nach dem KDG 08 Datenübermittlung in Drittländer 09 Befugnisse und Sanktionsmöglichkeiten der Aufsicht nach dem KDG 11 Datenschutzfolgeabschätzung nach dem KDG 12 Neue Anforderungen an die IT-Sicherheit nach dem KDG 13 Datenschutzorganisation und -managementsysteme nach dem KDG 14 Der Rechtsweg nach der KDSGO 15 Technischer Datenschutz nach dem KDG 16 Begriffe im neuen KDG 17 Rechtmäßigkeit der Verarbeitung/Einwilligung 18 Nutzung der Daten für Werbezwecke

Diese Schriftenreihe wird gemeinsam herausgegeben von Diözesandatenschutzbeauftragter für die norddeutschen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die ostdeutschen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die nordrhein-westfälischen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die bayerischen (Erz-)Diözesen Gemeinsame Datenschutzstelle der (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback