Die Datenschutz - Grundverordnung - Was ändert sich für öffentliche Stellen? Maria Wilhelm, Referentin der Stabsstelle Europa

Ähnliche Dokumente
- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Betriebliche Organisation des Datenschutzes

BvD. Management-Summary. Überblick in 10 Schritten

Die neue Grundverordnung des europäischen Datenschutzes

Quo vadis, Datenschutz?

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Vorschlag der Bundesregierung

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Mobile Apps für die Gesundheitsbranche und Datenschutz

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutz in Schulen

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

EU-DatenschutzGrundverordnung. in der Praxis

Vereinbarung über den elektronischen Datenaustausch (EDI)

Datenschutz-Grundverordnung

Datenschutz im Verein

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Datenschutz und IT-Sicherheit an der UniBi

Auftragsdatenverarbeitung

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Einzelfallentscheide und Profiling.

Probleme der EU-Datenschutz- Grundverordnung aus österreichischer Sicht

Grundlagen des Datenschutzes

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Paal/Pauly Datenschutz-Grundverordnung

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

ecall europäischer Notruf bitte warten? Martin Grzebellus

Privacy Conference Datenschutzverordnung & Privacy Shield

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Einführung in die Datenerfassung und in den Datenschutz

Datenschutz muss nicht trocken sein

(Text von Bedeutung für den EWR)

EU-Datenschutzreform: Neue Pflichten für Kunden und Datacenter-Provider

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Das neue Datenschutzgesetz Konsequenzen für den betrieblichen Datenschutz

Compliance-Management-Systeme. Dr. Hady Fink, Greenlight Consulting Compliance Circle München,

Nach der Safe-Harbor Entscheidung des EuGH. Datenschutz- und Rechtsschutzvorgaben im Polizei- und Sicherheitsbereich in den USA und der EU

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Brüssel, den 26. Juli 2011 (verbundene Fälle und )

Da müssen wir rein. Was Unternehmen in sozialen Netzwerken beachten müssen

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Winfried Rau Tankstellen Consulting

Gründe für ein Verfahrensverzeichnis

Gesetz zur Änderung des Bremischen Datenschutzgesetzes

Vertragsanlage zur Auftragsdatenverarbeitung

12a HmbDSG - Unterrichtung bei der Erhebung

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Dokument Nr. 4.1/ Stand:

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

Der betriebliche DSB nach dem Entwurf der EU-Datenschutz- Grundverordnung - Ein Vergleich mit dem BDSG -

Datenschutz im Web

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

AMTLICHE BEKANNTMACHUNG

Verfahren zur Umsetzung der Triebfahrzeugführerscheinverordnung (TfV) - Anerkennung von Ärzten und Psychologen -

DE 098/2008. IT- Sicherheitsleitlinie

1. Ihre Teilnahme 1.1. Mit Ihrer Teilnahme können Sie bei Ihrem Einkauf von Waren bei Sport bittl Umsatz sammeln.

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Am 15. Oktober 2010 forderte der EDSB beim DSB zusätzliche Informationen an. Die Antworten wurden am 5. November 2010 übermittelt.

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

1 Rechtliche und steuerrechtliche Betrachtung Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Ihre externen Datenschutzbeauftragten

Cloud Services. Cloud Computing im Unternehmen Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten

Code of Conduct Compliance. Verhaltensrichtlinien für die Vöhringer GmbH & Co. KG. und. ihre Kunden, Lieferanten und Geschäftspartner

Datenschutz-Vereinbarung

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß 291g Absatz 4 SGB V. zwischen

Verhaltenskodex. für Gesellschaften der Firmengruppe Liebherr und deren Mitarbeiterinnen und Mitarbeiter

BESCHLUSS DER KOMMISSION. vom zur Einsetzung der Gruppe europäischer Regulierungsstellen für audiovisuelle Mediendienste

Privacy by Design und die Freiheit der Kommunikation: Braucht es eine Neuvermessung des Verhältnisses von Datenschutz und Meinungsfreiheit?

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

Auswirkungen der EU DSGVO auf Schweizer Unternehmen

Umweltschutz. Qualität. Arbeitssicherheit

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

EU-Datenschutz-Grundverordnung

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Grundlagen Datenschutz

Transkript:

Die Datenschutz - Grundverordnung - Was ändert sich für öffentliche Stellen? Maria Wilhelm, Referentin der Stabsstelle Europa

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf uns zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf uns zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Datenschutz heute

Datenschutz heute 27 Aufsichtsbehörden in der EU und zusätzlich (mind.) 18 Aufsichtsbehörden in Deutschland

Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) und JI-Richtlinie 2016/680 verkündet im Amtsblatt der Europäischen Union Vom 4. Mai 2016

Datenschutz morgen

Datenschutz morgen Rechtsnatur: Verordnung (Art. 288 AEUV)

Datenschutz morgen Europäischer Datenschutzausschuss 1) der unabhängigen Datenschutzaufsichtsbehörden

Datenschutz morgen Art. 29 Gruppe Working Papers Datenschutz- Ausschuss Leitlinien (konsensuale Arbeitsgemeinschaft der europ. Datenschutzbehörden) (institutionalisiertes Gremium der europ. Datenschutzbehörden) Empfehlung Orientierung

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 12

Anforderungen an die Datenverarbeitung Rechtmäßigkeit, Transparenz, Zweckbindung Datenminimierung Datenrichtigkeit Speicherbegrenzung Sicherheit der Verarbeitung. 13

Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 14

Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten Wie wir prüfen: (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime haben!! Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) ( Beweislastumkehr ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] Zeigen Sie mal, was Sie getan (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 15

Anforderungen an die Datenverarbeitung Was bedeutet der Grundsatz der Rechenschaftspflicht? Die Rechenschaftspflicht wird wesentlich Einfluss auf die Datenschutzorganisation öffentlicher Stellen nehmen Es ist abzusehen, dass gerade der Grad an Transparenz ein häufiger Streitpunkt zwischen Betroffenem und verantwortlicher Stelle werden kann Was bedeutet dies für die öffentliche Stelle? Die öffentliche Stelle muss künftig dafür Sorge tragen, dass jederzeit für den Betroffenen transparent nachgewiesen werden kann, dass dessen Daten auf rechtmäßige Art und Weise verarbeitet wurden bzw. werden. 16

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 17

Anforderungen an die Datenverarbeitung Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; ( ) c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; ( ) 18

Eine Verarbeitung kann erfolgen.. zur Erfüllung einer rechtlichen Verpflichtung der öffentlichen Stelle (Art. 6 UAbs. 1 lit. c) zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Erwg. 45; Art. 6 UAbs. 1 lit. e) auf Basis der Regelungsbefugnis der Öffnungsklausel des Art. 6 Abs. 2, 3 Verarbeitung besonderer Kategorien von pb Daten nur bei erheblichen öffentlichen Interesse (Art. 9 Abs. 2 lit. g) 19

Strengere Kontrollen bei der Verarbeitung Öffentliche Stellen können Daten nicht auf Basis eines berechtigten Interesses verarbeiten (Erwg. 47, 48; Art. 6 UAbs. 2) Engere Voraussetzungen der Einwilligung (Erwg. 32, 42, 43; Art. 6 UAbs. 1 lit. a) Einwilligung ist unwirksam, wenn die betroffene Person keine echte/ freie Wahlmöglichkeit hat Bei deutlichen Ungleichgewicht wird Unfreiwilligkeit unterstellt Verarbeitung sollte daher auf andere gesetzliche Gründe gestützt werden als die Einwilligung 20

Auswirkungen für den öffentlichen Bereich? Wenn eine Verarbeitung derzeit auf berechtigte Interessen gestützt wird, müssen andere rechtliche Gründe gefunden werden, um pb Daten rechtmäßig zu verarbeiten Alt-Einwilligungen müssen kritisch überprüft werden, ob sie auch unter der Datenschutz-Grundverordnung wirksam bleiben oder nach Maßgabe des neuen Rechts nochmals einzuholen sind Verarbeitung auf Basis einer Einwilligung sollte nur ausnahmsweise erfolgen, stützen Sie wenn möglich die DV auf eine gesetzlich normierte Grundlage 21

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 22

Behördlicher Datenschutzbeauftragter Art. 37 ff. DS-GVO Benennung eines DSB (Art. 37 DS- GVO) Stellung des DSB (Art. 38 DS- GVO) Aufgaben des DSB (Art. 39 DS- GVO) Der ideale DSB 23

Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Ordnungsgemäße und frühzeitige Einbindung Bereitstellung erforderlicher Ressourcen Weisungsfreiheit Keine Benachteiligung 24

Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Unmittelbarer Berichtsweg zur höchsten Führungsebene Anrufungsrecht der Betroffenen Zusammenarbeit mit der Aufsichtsbehörde 25

Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Geheimhaltung, Vertraulichkeit, Zeugnisverweigerungsrecht (Art. 38 Abs. 5 DS-GVO) Kein Interessenskonflikt 26

Aufgaben und Pflichten des DSB, Art. 39 DS-GVO Unterrichtung und Beratung Überwachung und Einhaltung der DS- GVO Sensibilisierung und Schulung DS-Folgenabschätzung Zusammenarbeit mit der Aufsichtsbehörde Weitere Aufgaben 27

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 28

Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung ( Recht auf Vergessenwerden ), Art. 17 Recht auf Widerspruch, Art. 21 Recht auf nicht automatisierte Entscheidung, Art. 22 Recht auf Widerruf einer Einwilligung Recht auf Einschränkung der Verarbeitung, Art. 18 Recht auf Datenübertragbarkeit, Art. 20 29

Rechte der betroffenen Person - Auswirkungen für den öffentlichen Bereich? - Es muss sichergestellt sein, dass den Anforderungen der Art. 12 ff. DS-GVO entsprochen wird. - Gerade die verteilte Datenhaltung wird eine bessere Strukturierung erfordern, um dem Auskunftsanspruch gerecht werden zu können. - Im Rahmen der Internationalisierung (unterschiedliche Sprachen und Zielgruppen) wird zu klären sein, was als verständliche und einfache Form für den Betroffenen angesehen wird. - Die öffentliche Stelle muss vorbereitet sein, um jederzeit alle relevanten Daten eines Betroffenen auf dessen Wunsch hin zu übermitteln. Bei der Entwicklung von Systemen, Software, Apps, etc. muss dieser Aspekt als Anforderung zwingend berücksichtigt werden. - Ggf. sind Prozesse neu aufzusetzen bzw. zu effektivieren! 30

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 31

Datenschutzerklärungen - müssen transparent, eindeutig, leicht zugänglich sein (Art. 5 DS- GVO) - müssen in einer für die betroffene Person verständlichen Sprache abgefasst sein - Weitergehende Informationspflichten, z.b. - Kontaktinformationen des behördlichen DSB - Speicherdauer der personenbezogenen Daten - rechtliche Grundlage auf die die rechtmäßige Verarbeitung gestützt wird Datenschutzerklärungen sind entsprechend zu ergänzen bzw. neu abzufassen, um den neuen Anforderungen zu entsprechen 32

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 33

Auftragsverarbeitung Neues in der DS-GVO Verantwortliche dürfen nur Auftragsverarbeiter einsetzen, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung bieten Nachweis für diese Qualifikation über Zertifizierungen (Art. 42 DS-GVO) oder anerkannte Verhaltenskodizes (Art. 40 DS-GVO) (Mit)Verantwortlichkeit des Auftragsverarbeiters Zahlreiche neue Pflichten des Auftragsverarbeiters Weisungsunterworfenheit des Auftragsverarbeiters 34

Auftragsverarbeitung Auswirkungen für den öffentlichen Bereich? Umstellung/Anpassung der Bestandsverträge Welche Verträge sind genau betroffen? Verträge anschließend nach Priorität kategorisieren Handlungsmöglichkeiten: Novation aufgrund von Veränderungen bei bestimmten Klauseln, Kündigung des Vertrags bis dahin oder Vertrag bestehen lassen, weil keine Anpassungen erforderlich sind Berücksichtigung der zukünftigen Gesetzeslage bereits heute bei Neu-Verträgen 35

Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 36

Umgang mit Datenschutzverletzungen Art. 33 Abs. 1 DS-GVO: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche. 37

Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. 38

Umgang mit Datenschutzverletzungen Beispiele für Meldepflichten: Hacking Verlust Diebstahl Softwarefehler Schadcode Fehlentsorgung, -versand Vernichtung Sonstiges 39

Grundlegende Neuerungen Risikobasierter Ansatz Kein numerus clausus meldepflichtiger Daten (zuvor Begrenzung auf Risikodaten) Kein Vorrang von angemessenen Maßnahmen zur Sicherung der Daten Kein Vorrang der Sicherstellung der Strafverfolgung Keine Information der Öffentlichkeit durch Anzeigen (2 x ½ Seite + bundesweit) in Tageszeitungen 40

Prozessorientierter Ansatz! Umgang mit Datenschutzverletzungen Plan: Identifizierung einer Datenschutzverletzung, Festlegung des Meldewegs, Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Check: Feuerwehrübung Act Do Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check 41

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Takeaway: Was kann / soll man heute schon tun? Die anstehenden Änderungen identifizieren Team bilden, das das Projekt DSGVO angeht (nicht nur der Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Schulung vorbereiten Feuerwehrübungen durchführen 43

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Was machen wir Aufsichtsbehörden heute und morgen? Heute Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam 45

Was machen wir Aufsichtsbehörden heute und morgen? Heute Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam Morgen Einheitliches Recht in Europa mit Leitlinien als Vollzugshilfe Verpflichtung zur Kohärenz incl. verbindlicher Mehrheitsentscheidung Koordinierte Prüfungen verbessern Wahrnehmung Zertifizierung und Code of Conduct schaffen Rechtssicherheit Sanktionen sollen erfolgen 46

Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

Und nun? Die DS-GVO ist ein Großprojekt für den Datenschutz Die DS-GVO verlangt ein umfassendes Datenschutzmanagement mithilfe entsprechender Organisation Sie werden Zeit benötigen, um Prozesse zu schaffen oder anzupassen (spätestens bis zum 25.5.2018) Einige Fragen, die Sie sich stellen sollten 48

Machen Sie eine Bestandsaufnahme aller Verarbeitungsvorgänge in Ihrem Haus: Welche Daten verarbeiten (erheben, speichern, übermitteln, ) Sie und was sind die dabei bestehenden potentiellen Risiken? Können Prozesse so ausgestalten werden, dass diese Risiken minimiert werden? Könnte Anonymisierung genutzt werden, um aus dem Anwendungsbereich der DS-GVO zu kommen?

Verfahren zur Sicherstellung des Datenschutzmanagements Prozessorientierter Ansatz! Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung Check 50

Können Sie zeigen, dass Sie compliant mit den neuen Vorschriften sind? Können Sie zeigen, dass Sie der accountability des Art. 5 Abs. 2 DS-GVO entsprechen? Können Sie die Fristen bei der Anzeige von Datenschutzverletzungen einhalten? Müssen zusätzliche Maßnahmen ergriffen werden, um sicherzustellen, dass Ihre Verarbeitungen klar dokumentiert sind?

Exkurs: Verarbeitungsverzeichnis 52

Exkurs: Verarbeitungsverzeichnis Inhalt des Verzeichnisses Wer ist in der Pflicht? Verantwortlicher oder der Auftragsverarbeiter! = Leiter dieser Stellen Behördlicher DSB Der Verantwortliche ist in einer Bringschuld ggü. dem behördlichen DSB (und nicht umgekehrt!) 53

Exkurs: Verarbeitungsverzeichnis Inhalt des Verzeichnisses Inhalt des Verzeichnisses für Verantwortliche, Art. 30 Abs. 1 DS-GVO Inhalt des Verzeichnisses für Auftragsverarbeiter, Art. 30 Abs. 2 DS-GVO Wichtige Praxishilfe: DSK-Papier Nr. 1! (abrufbar auf unserer Homepage: https://www.badenwuerttemberg.datenschutz.de/) 54

Stellen Sie den betroffenen Personen ausreichend Informationen zur Verfügung? Die DS-GVO erweitert Hinweis- und Informationspflichten ggü. den betroffenen Personen. Erfüllen Ihre Datenschutzerklärungen, Formulare, u.ä. diese neuen Voraussetzungen? Wenn Sie Daten auf Basis von Einwilligungserklärungen verarbeiten: Erfüllen sie die höheren Einwilligungs- Standards der DS-GVO?

Exkurs: Transparenzpflichten Art. 13 Informationspflicht bei Direkterhebung Art. 14 Informationspflicht bei Dritterhebung Art. 19 Mitteilungspflichten bzgl. DV Art. 33 Meldepflicht Datenpanne Art. 34 Benachrichtigungspflicht gegenüber Betroffenen Art. 36 Konsultationspflicht nach PIA

Art. 13 Abs. 1 und Art. 14 Abs. 1: Basisinhalte der Informationspflicht (Name) und Kontaktdaten des Verantwortlichen + ggf. Vertreter Kontaktdaten des Datenschutzbeauftragten Rechtsgrundlage der Verarbeitung Zwecke der Verarbeitung berechtigte Interessen nach Art. 6 Abs. 1 f (nicht bei Behörden!) Empfänger und Kategorien von Empfänger Absicht Drittlandtransfer + Garantien Art. 13 Abs. 2 und Art. 14 Abs. 2: Exkurs: Transparenzpflichten Information bei Datenerhebung Infos um ein faires, transparentes Verarbeitung zu gewährleisten

Exkurs: Anpassung von Alt-Einwilligungen Prüfen Sie alle Einwilligungsformulare auf die Vereinbarkeit mit den Vorgaben der DS-GVO! Achten Sie auf eine rechtzeitige und verständliche Information der betroffenen Personen! Die Information muss hinreichend klar über die geplante Verarbeitung unterrichten und umfasst auch die Belehrung über das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Dokumentieren Sie sachgerecht (Rechenschaftspflicht)! 58

Können Sie die neuen Betroffenenrechten umsetzen? Sie sollten Ihre Datenschutzmanagement (DMS) daraufhin prüfen, ob diese den zusätzlichen Anforderungen entsprechen Können Sie Auskunftsersuchen oder Löschungsanträgen der betroffenen Personen entsprechen? Was ist mit dem Recht auf Datenportabilität?

Unsere Empfehlungen Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan sonst werden Sie verplant 60

Checkliste zur Vorbereitung auf die DSGVO Bestellen Sie ggf. einen behördlichen Datenschutzbeauftragten und binden Sie diesen ein! Etablieren Sie eine Datenschutz-Folgenabschätzung als Prozess; Art. 35! Gestalten Sie Prozesse für Meldepflichten bei Datenpannen, zur Sicherung der Betroffenenrechte und Informationspflichten etc.; Art. 12 ff. DSGVO! Dokumentieren Sie alle Prozesse; Art. 5 Abs. 2! Passen Sie alte ADV-Verträge an; Art. 28! Überprüfen Sie das Verfahrensverzeichnis; Art. 30! Für Auftragsverarbeiter: Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten; Art. 30 Abs. 2! Stellen Sie einen Schulungsplan auf; Art. 39 Abs. 1 lit. b! Dokumentieren und bewerten Sie TOMs, legen Sie Verantwortlichkeiten fest; Art. 32! Prüfen Sie die Wirksamkeit der TOMs (z.b. durch Penetrationstests) und planen Sie ein wirksames Informationssicherheitsmanagement; Art. 32 Abs. 1 lit. d! Planen Sie ggf. technische Umsetzung der Betroffenenrechte - Auskunft, Datenübertragbarkeit etc.; z.b. Art. 20 (Formulare und Einwilligungen überprüfen; Art. 7)! 61

Wichtige Praxishilfen DSK-Papiere Guidelines der Artikel-29-Gruppe Zum Begriff des Datenschutzmanagements https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundsch utzkataloge/inhalt/_content/m/m02/m02501.html 62

Und zu Guter letzt (schamlose Werbung in eigener Sache)... Wenn Sie Zweifel haben, scheuen Sie nicht davor zurück, uns als Aufsichtbehörde um Hilfe zu fragen Wir halten Sie bezüglich aktueller Entwicklungen auf dem Laufenden und geben Ratschläge bei der Umsetzung der DS-GVO- Normen in Ihrem Haus

Vielen Dank für Ihre Aufmerksamkeit! www.baden-wuerttemberg.datenschutz.de/ 64

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback