Neuerungen in der DSGVO Impuls-Vortrag Frankfurt am Main, 16.08.2017 paydirekt GmbH O F F E N TLP: GREEN 1
Inhalt 1 Vorstellung 2 Grundsätze 3 Geltungsbereich 4 Betroffenenrechte 5 Fazit 2
Zur Person Chief Information Security Officer (CISO) bei paydirekt GmbH vormals Berater für IT-Security und Datenschutz Wirtschaftsinformatiker ISACA Certified Information Security Manager (CISM) ISACA Certified Information Systems Auditor (CISA) 3
Die paydirekt paydirekt ist als branchenweite Kooperation das Online-Bezahlverfahren der deutschen Banken und Sparkassen Hohe Vertrauenswürdigkeit, da Angebot der Hausbank oder -Sparkasse Rechtssicherheit durch Standort in Deutschland Kundenindividuelle Daten bleiben in Deutschland es gelten die strengen deutschen Datenschutzgesetze Unter der Kontrolle der deutschen Finanzaufsicht Bekannte 2-Faktor-Authentifikation Einfacher Login Transparenz über paydirekt-transaktionen z.b. durch verständliche Übersichten und Alert-Funktion für Käufer Einfache Händleranbindung durch hohe Kompatibilität zu heutigen Marktinfrastrukturen Potenzieller Zugang zu über 50 Mio. onlinebankfähigen Girokonten und damit neue Umsatzchancen für Händler Einziges direkt mit dem Girokonto verknüpftes Online- Bezahlverfahren ohne zwischengeschaltete Drittanbieter S I C H E R E I N F A C H D I R E K T 4
Unsere Argumente für Käufer SICHER hohe Vertrauenswürdigkeit, da Bezahlverfahren der eigenen Bank oder Sparkasse hohe Sicherheit durch Nutzung sicherer Infrastrukturen strengster Datenschutz mit Servern von paydirekt in Deutschland Anonymität der Kunden bleibt gewahrt EINFACH hoher Komfort durch z.b. Nutzername und Passwort reichen zur Erstanmeldung und späteren Legitimation die Bezahlung beim Online-Shopping erfolgt dann mit nur 2 Klicks Girokonto-Auszug, Benachrichtigungsfunktionen und Transaktionsjournal ermöglichen Transparenz über Zahlungsprozess DIREKT direkt über eigenes Girokonto ohne zwischengeschaltete Drittanbieter Käuferschutz bei Nicht-Lieferung sowie Dispute Resolution Prozess 5
Inhalt 1 Vorstellung 2 Grundsätze 3 Geltungsbereich 4 Betroffenenrechte 5 Fazit 6
Die Zeit läuft EU-Datenschutzrichtlinie 95/46/EG entfällt Novellierung des aktuellen Bundesdatenschutzgesetzes (BDSG) Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) 24.05.1949 13.10.1970 01.01.1978 23.11.1995 25.05.2018 7
Ziele der DSGVO Schutz der personenbezogenen Daten Vereinheitlichung des Datenschutzniveaus in der EU Schaffen von Rahmenbedingungen für außereuropäische Unternehmen, die am europäischen Markt teilnehmen Verbot mit Erlaubnisvorbehalt 8
Weitere Eigenschaften der Verordnung Über 40 Öffnungsklauseln für die Mitgliedsländer teilweise verpflichtende Nutzung / teilweise Wahlfreiheit Abweichungen und Verschärfungen sind erlaubt Wiederholungsverbot Öffnungsklauseln müssen in Einklang mit der DSGVO stehen Kritik hierzu bereits vorhanden (BDSG vs. DSGVO) 9
Grundsätze der DSGVO (Art. 5) Grundsätze für die Verarbeitung von personenbezogenen Daten Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht 10
Inhalt 1 Vorstellung 2 Grundsätze 3 Geltungsbereich 4 Betroffenenrechte 5 Fazit 11
Geltungsbereiche der DSGVO (Art. 2) Sachlicher Anwendungsbereich ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten nichtautomatisierte Verarbeitung bei Verwendung eines Dateisystems Ausnahmen von der DSGVO Außerhalb des Anwendungsbereichs des Unionsrechts Ausübung von persönlichen oder familiären Tätigkeiten durch natürliche Personen Auswärtiges Handeln, Sicherheitspolitik von Mitgliedsstaaten Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten und Strafvollstreckung 12
Geltungsbereiche der DSGVO (Art. 3) 1/2 Räumlicher Anwendungsbereich Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (Art. 3 Abs. 1) und auch für einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht. (Abs. 2) ( )betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten ( ) ( ) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. 13
Geltungsbereiche der DSGVO (Art. 3) 2/2 Räumlicher Anwendungsbereich und auch für (3) einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. von der DSGVO ausgenommen wären damit Unternehmen aus einem Staat, bei denen keine diplomatische Vertretung eines EU- Mitgliedstaates vorhanden ist, wie z. B. Republik Bergkarabach Republik Somaliland Transnistrien 14
Rechtmäßigkeit der Verarbeitung Einwilligung des Betroffenen vorhanden Vorerfüllung oder Erfüllung eines Vertrages (Anfrage des Betroffenen vorhanden) Rechtliche Verpflichtung des Verantwortlichen Es sind lebenswichtige Interessen der Betroffenen oder einer anderen natürlichen Person zu schützen Wahrnehmung eines öffentlichen Interesses oder in Ausübung öffentlicher Gewalt Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen des Betroffenen überwiegen Öffnungsklauseln möglich 15
Art. 8 Einwilligung bei Minderjährigen (1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Der Verantwortliche muss die Einwilligung der Eltern prüfen. 16
Verbot der Verarbeitung ethnische Herkunft politische Meinungen religiöse oder weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit genetische Daten biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person Gesundheitsdaten Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person 17
Beispiel: Ausnahmen des Verbots (Art. 9 Abs. 2) Ausdrückliche Einwilligung des Betroffenen Ausübung der erwachsenen Rechte aus der sozialen Sicherheit, Sozialschutz und Arbeitsrechte von Betroffenen und Verantwortlichen zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben Verarbeitung erfolgt auf der Grundlage geeigneter Garantien Bezug auf Daten, die der Betroffene offensichtlich öffentlich gemacht hat Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Gesundheitsvorsorge Öffentliches Interesse (z. B. Schutz vor Gesundheitsgefahren, Gewährleistung hoher Qualitäts - und Sicherheitsstandards bei der Gesundheitsversorgung u. ä.) 18
Geheimhaltungspflicht (Art. 9 Abs. 3) Verarbeitung von Gesundheitsdaten zur Gesundheitsvorsorge Arbeitsmedizin für die Beurteilung der Arbeitsfähigkeit des Beschäftigten für die medizinische Diagnostik die Versorgung oder Behandlung im Gesundheitsoder Sozialbereich Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich ist erlaubt, wenn folgende Bedingungen erfüllt sind Verarbeitung durch Fachpersonal oder unter dessen Verantwortung Berufsgeheimnis oder Geheimhaltungspflicht liegt vor 19
Inhalt 1 Vorstellung 2 Grundsätze 3 Geltungsbereich 4 Betroffenenrechte 5 Fazit 20
Betroffenenrechte (Art. 12 bis Art. 23) Auskunftsrecht der betroffenen Person (Art. 15) Recht auf Berichtigung (Art. 16) Recht auf Löschung ( Recht auf Vergessenwerden ) (Art. 17) Recht auf Einschränkung der Verarbeitung (Art. 18) Mittteilungspflicht bei Löschung oder Berichtigung (Art. 19) Recht auf Datenübertragbarkeit (Art. 20) Widerspruchsrecht (Art. 21) 21
Beispiel: Recht auf Vergessenwerden Unverzügliche Löschung, wenn Daten sind nicht mehr notwendig Widerruf der Einwilligung Widerspruch gegen die Verarbeitung und keine anderen Gründe zur Verarbeitung Unrechtmäßige Verarbeitung Rechtliche Verpflichtung 22
Inhalt 1 Vorstellung 2 Grundsätze 3 Geltungsbereich 4 Betroffenenrechte 5 Fazit 23
Persönliches Fazit DSGVO ist notwendige Erneuerung veralteter Datenschutzgesetze bürokratisches Monster teilweise von fragwürdiger Durchsetzbarkeit für freiberufliche Spezialisten ein Glücksfall für Datenschutzbeauftragte kein sicherer Hafen Arbeit für viele Juristen und Gerichte 24
Danke für Ihre Aufmerksamkeit! Neuerungen in der DSGVO Christopher Ruppricht christopher.ruppricht@paydirekt.de 25