Die DSGVO. Bangemachen gilt nicht! aber wissen Sie denn genau, was Sie da tun? Up!date // event 3. April 2018, München

Ähnliche Dokumente
Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Die Europäische Datenschutz- Grundverordnung. Schulung am

ALLES AUS? NEUES DATENSCHUTZRECHT 2018 UND ONLINE-MARKETING. Dr. Martin Schirmbacher HÄRTING Rechtsanwälte SEO Campixx 2018, 2.3.

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

EU-Datenschutz- Grundverordnung

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

EU-Datenschutz- Grundverordnung

Das Wichtigste zur neuen Datenschutz-Grundverordnung

DATENSCHUTZ in der Praxis

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Dr. Thomas Schweiger, LLM (Duke) :05 Folie 1

Warum sich Schweizer um die DSGVO kümmern sollten

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Videoüberwachung in der EU-DS-GVO. Dr. Stefan Brink LfDI Baden-Württemberg

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

- Wa s i s t j e t z t z u t u n? -

Datenschutzreform 2018

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

Die Informationspflichten der Verantwortlichen

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Datenschutz Grundverordnung (DSGVO) DATENSCHUTZ IST KEIN LUXUS, SONDERN PFLICHT

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

So machen Sie sich und Ihre Website fit für die neue DSGVO!

DATENSCHUTZ DIE WORKSHOP-REIHE

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) Stand:

DATENSCHUTZGRUNDVERORDNUNG

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Die neue EU-Datenschutzgrundverordnung. Alles neu? oder Nur alter Wein in neuen Schläuchen?

Die neue EU-Datenschutzgrundverordnung (DS-GVO)

Deutsches Forschungsnetz

REFERENTIN. Die EU-DSGVO was steht drin?

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

D_09d Musterschulungsunterlage zum Datenschutz

Die neue Grundverordnung des europäischen Datenschutzes

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Datenschutzreform 2018

Neue Kommunikation und Datenschutz (erster Input)

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

SEMINAR Datenschutz-Grundverordnung

NEWSLETTER EU-DATENSCHUTZ-GRUNDVERORDNUNG NEWSLETTER NR. 8

EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO)

EU-Datenschutz-Grundverordnung Infobrief-Nr. 8 Betroffenenrechte

BvD. Management-Summary. Überblick in 10 Schritten

EU-Datenschutzgrundverordnung: Kurzüberblick über die Herausforderungen und Lösungsansätze

Datenschutz-Grundverordnung im Automobilbereich

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

u. a. Geprüfter Datenschutz, Geprüftes Online-Portal

Die Key Facts zur neuen Datenschutz-Grundverordnung

Datenschutzgrundverordnung DSGVO

EU-Datenschutz-Grundverordnung

I. Einleitung. Werbeakquisition, Abound Vertriebsdaten, Datengewinnung im Web und bei Aktionen. Dr. Dominic Broy. Juristischer Referent des EMR

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Newsletter EU-Datenschutz-Grundverordnung (Merkblatt Nr. 8)

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Datenschutz-Grundverordnung. DS-GVO What?

Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte

Die Umsetzung der EU Datenschutz-Grundverordnung im Unternehmen. Dr. Carlo Piltz Reusch Rechtsanwälte, Berlin

der Betroffenenrechte

DATENSCHUTZ. in der Praxis

Konkordanztabelle: Vorentwurf DSG / Reform des Europarats / Reform der Europäischen Union

Technologiescouting. EU Datenschutz Grundverordnung (EU DSGVO)

Datenschutz und Werbung. WKÖ Datenschutz im Fokus, 12. Oktober 2017 RA Dr. Lukas Feiler, SSCP, CIPP/E

Einwilligungserklärung zur Zusendung von Informationsmaterial direkter Kontakt mit Interessenten (z.b. Messestand, Formular)

Datenschutzkontrolle und Datenschutzaufsicht nach der DS-GVO

Stand: August Newsletter EU-Datenschutz-Grundverordnung Nr. 8. Betroffenenrechte

Newsletter EU-Datenschutz-Grundverordnung Nr. 8

Grundlagen des Datenschutzes

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

Datenschutzgrundverordnung

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Datenschutzhinweise. Die nachfolgenden Datenschutzhinweise geben einen Überblick über die Erhebung und Verarbeitung Ihrer Daten.

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Art. 12 DSGVO Transparente Information

Datenschutzreform 2018

Transkript:

Die DSGVO aber wissen Sie denn genau, was Sie da tun? Up!date // event 3. April 2018, München

Gliederung 1. DSGVO allgemein 2. Zulässige Datenverarbeitung 3. Pflichten des Verantwortlichen 4. Anwendung der DSGVO (Beispiele) 5. Handlungsbedarf 6. Ausblick (E-Privacy-Verordnung) 2

1. DSGVO allgemein 1.1 Inkrafttreten DSGVO Datenschutz-Grundverordnung (EU-Verordnung) am 25.5.2016 in Kraft getreten, seitdem Übergangsphase 99 Artikel, 173 Erwägungsgründe Öffnungsklauseln = Gestaltungsspielraum für den nationalen Gesetzgeber Unmittelbare Geltung ab 25.5.2018 Ablösung nationaler Regelungen aus BDSG, TMG und TKG BDSG-neu Unsicherheitsfaktor für Anwender: eprivacy-verordnung Angleichung der Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation 3

1. DSGVO allgemein 1.2 Räumlicher Geltungsbereich Verarbeitung personenbezogener Daten, im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters mit Niederlassung in der Union NEU! von betroffenen Personen in EU, durch einen nicht in EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn Datenverarbeitung im Zusammenhang damit steht diesen Personen in EU Waren oder Dienstleistungen anzubieten das Verhalten dieser Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. 4

1. DSGVO allgemein 1.3 Gegenstand des Datenschutzes PERSONENBEZOGENE DATEN (Art. 4 Nr. 1 DSGVO) alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen; Person ist identifizierbar, wenn direkte oder indirekte Identifizerung möglich ist, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 5

1. DSGVO allgemein 1.3 Gegenstand des Datenschutzes PERSONENBEZOGENE DATEN (Art. 4 Nr. 1 DSGVO) Durch Verordnung nun eindeutig bestimmt: Online Kennungen / Online Identifier haben Personenbezug! Cookie-IDs, User-IDs, IP-Adressen, Mac-Adressen, etc. die Endgeräte, Softwareanwendungen und Protokolle liefern! Auch pseudonymisierte Daten sind personenbezogene Daten, wenn sie durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten! 6

2. Zulässige Datenverarbeitung 2.1 Grundprinzip des Datenschutzrechts Grds. Recht auf informelle Selbstbestimmung vgl. Art. 2 Abs. 1 i.v.m. Art. 1 Abs.1 GG VERBOT MIT ERLAUBNISVORBEHALT Katalog der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO Verarbeitung im Bereich insbes. zulässig, wenn Einwilligung des Betroffenen oder Durchführung eines Vertrages oder vorvertraglicher Maßnahmen auf Anfrage des Betroffenen oder Wahrung berechtigter Interessen des Unternehmens und Interessen oder Grundrechte des Betroffenen dem nicht entgegenstehen. 7

2. Zulässige Datenverarbeitung 2.2 Einwilligung Wirksame Einwilligung erfordert eine eindeutige Bestätigungshandlung. Keine bloße Verfügbarkeit eines Opt-Out-Verfahrens! Ausdrücklich, wenn besondere Arten personenbezogener Daten oder Drittländertransfer ihre Widerrufbarkeit. eine Information über Zweck und Umfang der Verarbeitung und den Verantwortlichen Freiwilligkeit. nicht im Rahmen eines Koppelgeschäftes Datenhingabe ist nicht Voraussetzung für eine Leistung, insbes. nicht für ansonsten unentgeltlichen Internetdienst 8

2. Zulässige Datenverarbeitung 2.3 Erlaubnisvorbehalt Online-Marketing-Klausel, Art. 6 Abs. 1 f. DSGVO Einwilligung erfolgt freiwillig, und nach Vorabinformationen, Datenschutzinformationen, Widerrufsbelehrung, Zweckbindung Berechtigtes Interesse des Verantwortlichen: jedes legale auch wirtschaftliche Interesse, geeignetes Interesse richtet sich nach Verarbeitungszweck z.b. Direktmarketing / Onlinewerbezwecke Kein Überwiegen der Interessen der Betroffenen Maßgeblich: vernünftigen Erwartungen der betroffenen Person" (-) z.b. wenn personenbezogene Daten verarbeitet werden, obwohl betroffene Person vernünftigerweise nicht mit weiterer Verarbeitung rechnen muss. 9

2. Zulässige Datenverarbeitung 2.4 Widerrufs- und Widerspruchsrecht Widerrufsrecht bei Einwilligung, Art. 7 Abs. 3 DSGVO Widerspruchsrecht bei berechtigten Interessen, Art. 21 Abs. 1 DSGVO Ausdrücklich Widerspruchsrecht bei Direktwerbung und damit in Zusammenhang stehendem Profiling, Art. 21 Abs. 2 und 3 DSGVO Begründung für Widerspruch nicht notwendig, da Weiterverarbeitung nicht vorgesehen -> stets Opt-out-Möglichkeit für den Nutzer bei Direktmarketing Zudem Recht zur Beschränkung der Verarbeitung gem. Art. 18 DSGVO 10

2. Zulässige Datenverarbeitung 2.4 Widerrufs- und Widerspruchsrecht Für das Widerspruchsrecht gelten besondere Informations- und Hinweispflichten Art. 21 Abs. 4 DSGVO: Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte (Widerspruchs-) Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. Information außerhalb der Datenschutzerklärung oder mindestens hervorgehoben fett, farbig, umrandet 11

2. Zulässige Datenverarbeitung 2.4 Art und Weise der Verarbeitung Grundprinzipien des Datenverarbeitung Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Datenvermeidung und Datensparsamkeit Verarbeitung personenbezogener Daten muss dem Zweck angemessen und sachlich relevant sein, sowie auf notwendiges Maß beschränkt sein. Zweckbindung Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. 12

2. Zulässige Datenverarbeitung 2.5 Art und Weise der Verarbeitung Transparenz Erkennbarkeit für den Betroffenen, dass ihn betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden Angabe von Umfang, in dem die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Informationen und Mitteilungen zur Verarbeitung in leicht zugänglicher und verständlicher Form Identität des Verantwortlichen und Zwecke der Verarbeitung Recht des Betroffenen, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden. 13

2. Zulässige Datenverarbeitung 2.6 Betroffenenrechte Mindestinhalt der Datenschutzinformation an den Betroffenen: Proaktive Benachrichtigungen Kontaktdaten des Verantwortlichen Verarbeitungszwecke und Rechtsgrundlagen - Ggf. die berechtigten Interessen an einer Datenverarbeitung Auskunftsrecht Auskunft über Art der Daten, Empfänger der Daten, evtl. Herkunft der Daten Angabe zur Dauer der Speicherung Hinweis des Betroffenen auf Recht Berichtigung / Vervollständigung Recht zur Löschung Recht auf Vergessenwerden, wenn die Daten öffentlich gemacht wurden Möglichkeit zur Einschränkung der Verarbeitung Recht auf Datenübertragung Widerrufsrecht / Widerspruchsrecht 14

3. Pflichten des Verantwortlichen 3.1 TOM Technische und organisatorischer Maßnahmen (TOM) Privacy by Design / Privacy by Default Sicherstellung, dass nur personenbezogene Daten verarbeitet werden, die erforderlich sind. Pseudonymisierung Zugriffsbeschränkungen Wer darf sehen? Wer darf bearbeiten? Kunden-/Patienten-/Mandanten-Daten Mitarbeiterdaten Bewerberdaten Sicherstellung der Wiederherstellbarkeit bei Datenverlust 15

3. Pflichten des Verantwortlichen 3.1 TOM Technische und organisatorischer Maßnahmen Auftragsverarbeitung Auftragsverarbeiter muss hinreichend Garantie dafür bieten, dass geeignete TOM so durchgeführt werden, dass Verarbeitung im Einklang mit DSGVO und Schutz der Rechte der betroffenen Person gewährleistet ist. Auftraggeber ist zu sorgfältiger Auswahl des Auftragsverarbeiters und laufender Überprüfung der Eignung verpflichtet. Einhaltung der Verpflichtungen des Auftragsverarbeiters kann durch Einhaltung genehmigter Verhaltensregeln (Code of Conduct) oder durch eine Zertifizierung nachgewiesen werden. (Art. 28 Abs. 5 DSGVO). 16

3. Pflichten des Verantwortlichen 3.2 Pflicht zur Meldung Meldung über Datenschutzverletzungen Verletzungen des Schutzes personenbezogener Daten sind möglichst innerhalb 72 Stunden an zuständige Aufsichtsbehörde melden (Art. 33 Abs. 1 DSGVO) Benachrichtigung an den Betroffenen Ausnahme lediglich, wenn Verletzung nicht zu Risiko für persönliche Rechte und Freiheiten des Betroffenen führt. Risiko kann z.b. durch eine geeignete Verschlüsselung personenbezogener Daten ausgeschlossen werden; dann keine Möglichkeit zur Kenntnisnahme der Daten durch Dritte. Kommt es bei Auftragsverarbeiter zu Datenschutzverstoß, muss dieser seinen Auftraggeber informieren. 17

3. Pflichten des Verantwortlichen 3.3 Pflicht zur Folgeabschätzung Datenschutz-Folgeabschätzungen muss bereits vorab erfolgen wenn hohes Risiko, Konsultation Datenschutzaufsichtsbehörde erforderlich wenn voraussichtlich ein hohes Risiko für persönliche Rechte und Freiheiten z.b. im Fall von Profiling, Verarbeitung besonders sensibler Daten (Krankenakten o.ä.) oder umfangreicher Videoüberwachung 18

3. Pflichten des Verantwortlichen 3.4 Konsequenzen der DSGVO Umkehrung der Beweislast für die Einhaltung der Datenschutzgesetze Pflicht zum Führen und Vorlage von Verfahrensverzeichnissen Umfassende Rechenschaftspflichten Verschärfte Pflicht zur Meldung von Datenschutzverstößen Sanktionen Ausweitung des Bußgeldrahmens (Art. 83 DSGVO) Bußgelder bis zu 4% des Jahresumsatzes Bis zu 20 Mio. EUR 19

4. Anwendung der DSGVO 4.1 Beispiel: Tracking Personenbezug: im Zweifel immer gegeben auch bei Psydonomisierung, Kürzung-/Maskierung der IP-Adresse Erforderlich: Konkretes Assessment von Notwendigkeit und beidseitigem Interessen für jede Trackingmethode Schutz der Daten erforderlich (TOM) Anpassung der Datenschutzerklärung Umsetzung von Opt-out-Möglichkeit Zusätzliche Einwilligung nur bei Freiwilligkeit = echte Wahlmöglichkeit Umsetzung in Cookie-Bar mit Weiternutzung als Zustimmung durch schlüssiges Handeln 20

4. Anwendung der DSGVO 4.1 Beispiel: E-Mail Marketing Double-Opt-in Interessent trägt seine Email-Adresse in Formular zur Anforderung eines Newsletters o.ä. ein und schickt Anfrage ab System übersendet an diese Adresse Bestätigung mit der Bitte um erneute Bestätigung Einwilligung in die Werbung per E-Mail enthält weiterhin Einwilligung in die Verarbeitung der Daten zu Werbezwecken Aber ergänzend erforderlich: Belehrung über Identität des Verantwortlichen Angaben zu den Zwecken, denen die Datenverarbeitung dient Recht auf Widerruf der Einwilligung Allgemeine Informationspflichten, Art. 13 DSGVO 21

5. Handlungsbedarf 5.1 Erforderliche Prozesse Gibt es Prozesse zur Ermittlung von Datenschutzverletzungen, die zu einem schnellen Ergebnis führen (z.b. zur Data Loss Prevention (DLP))? um personenbezogene Daten aufzuspüren und zu klassifizieren? um personenbezogene Daten fristgerecht zu löschen? um die Daten betroffener Personen, Datenquellen und Verarbeitungszwecken zuzuordnen? zur Bearbeitung der Anfragen Betroffener? zur fristgerechten Meldung von Datenschutzverletzungen? Gibt es ein Verzeichnis der Verarbeitungstätigkeiten? 22

5. Handlungsbedarf 5.2 Projekt DSGVO Bestandsaufnahme Bereits vorhandene Prozesse? Welche Daten? Wer erfasst und verarbeitet? Geeignete Auftragsverarbeiter? Rechtsgrundlage prüfen! Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ( Privacy-by-Design" und Privacy-by-Default") umsetzen Verträge checken (Nötige Änderungen oder Ergänzungen?) Datenschutzfolgeabschätzung implementieren Prozesse aufsetzen / anpassen, Verantwortung verteilen Melde- und Konsultationspflichten organisieren Betroffenenrechte und Informationspflichten umsetzen Dokumentation organisieren 23

6. Ausblick 6.1 eprivacy-verordnung eprivacy-vo folgt eprivacy-richtlinie Ziel: umfassender Schutz der Privatsphäre sowie Vertraulichkeit der Kommunikation bei Nutzung elektronischer Kommunikationsmitteln Inkrafttreten gleichzeitig mit DGSVO zum 25.05.2018 noch ungewiss Bereits jetzt z.b.: Setzen von Cookies nur bei Einwilligung statt lediglich Möglichkeit des Widerspruchs Zu erwartende Änderungen durch eprivacy-vo Anwendbarkeit der Verordnung auf internetbasierte Kommunikationsdienste (OTT-Dienste wie WhatsApp, Skype, Web-E-Mailanbieter) Klare Regelung des Online- und Offline-Tracking sowie Stärkung der Nutzerrechte (z.b. weitergehender Einwilligungsvorbehalt) Ausweitung der Datenschutzbehörden bei Sanktionen und Verwaltungsanordnungen in Anlehnung an die DSGVO 24

Vielen Dank für Ihre Aufmerksamkeit! 25

Martin Erlewein Rechtsanwalt, Steuerberater, Fachanwalt für Steuerrecht Alte Poststr. 28b 42555 Velbert Telefon: +49 (0) 2052 8352343 Mobil:: +49 (0) 176 85614332 E-Mail: info@kanzlei-erlewein.de Internet: www.kanzlei-erlewein.de 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback