Anforderungen der EUDSGVO - Europäische Datenschutzgrundverordnung Stand: 02. März 2018
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Anforderungen der EUDSGVO Europäische Datenschutzgrundverordnung Stand: 02. März 2018 User Group „Schaden-Management“
Inhaltsverzeichnis 1. Allgemeines - Themenabgrenzung Seite 3 2. Kernaspekte der EUDSGVO Seite 9 3. Umzusetzende Maßnahmen Seite 12 4. Sanktionsrahmen Seite 31 Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 2
1. Allgemeines - Themenabgrenzung Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 3
1. Allgemeines - Themenabgrenzung
Informationen zu ERGO Direkt Versicherungen
Versichern heißt verstehen
1984 Errichtung von Quelle + Partner Lebens- und Sachversicherung
1989 Neue Firmierung: Quelle Versicherungen
2002 Verkauf der Quelle Versicherungen an die ERGO Versicherungsgruppe AG
2002 Umfirmierung in KarstadtQuelle Versicherungen
2005 3,0 Millionen Kunden, gebuchte Bruttobeiträge über 870 Millionen Euro
2007 3,5 Millionen Kunden, über eine Milliarde gebuchte Bruttobeiträge
2008 übernimmt die ERGO Versicherungsgruppe AG (heute ERGO Group AG) die
restlichen Anteile von KarstadtQuelle Versicherungen
2010 Umfirmierung in ERGO Direkt Versicherungen
2016 Etablierung als Kompetenz-Zentrum Online von ERGO in Deutschland
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 41. Allgemeines - Themenabgrenzung Gültigkeit der GVO Verabschiedung der EUDSGVO in der EU-Kommission und im EU-Parlament erfolgte im Mai 2016, Gültigkeit der GVO ab dem 25.05.2018 Die Umsetzung der Maßnahmen aus der GVO muss bis zum 25. Mai 2018 erfolgt sein, da ab diesem Zeitpunkt das „alte“ BDSG keine Gültigkeit mehr besitzt Ziel war eine Vereinheitlichung des europäischen Datenschutzrechts in weiten Teilen, um ein gleichbleibendes Datenschutz-Niveau für die Zukunft gewährleisten zu können Die GVO hat Gültigkeit für alle Unternehmen und deren Niederlassungen sowohl im öffentlichen als auch nicht-öffentlichen Bereich innerhalb der europäischen Union, die personenbezogene Daten verarbeiten Die GVO wird verschiedentlich inhaltlich durch das neue BDSG ergänzt, diesbezüglich sind besondere Verweise bei den betroffenen Artikeln mit aufgenommen worden Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 5
1. Allgemeines - Themenabgrenzung Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 6
1. Allgemeines - Themenabgrenzung Es werden ausschließlich die Artikel der EUDSGVO und des BDSG-neu betrachtet. Die Auslegung der verschiedenen Artikel erfolgt auf Grundlage des Gesetzestextes der EUDSGVO und den dazugehörigen Erwägungsgründen https://dsgvo-gesetz.de/ (sehr gute Informationen zu den Artikeln und den dazugehörigen Erwägungsgründen) Informationen wurden u.a. aus „Datenschutz-Compliance nach der DS-GVO“; Kranig, Sachs, Gierschmann; Bundesanzeiger Verlag GmbH 2017 entnommen. Im Vortrag eingebrachte Umsetzungsvorschläge oder Vorgehensweisen sind nicht als abschließend zu betrachten, sondern zeigen eine Möglichkeit des Vorgehens auf. Die Darstellung des Vorgehens ist als „Denkanstoß“ zu bewerten. In Abhängigkeit des jeweiligen Unternehmens können weitere Umsetzungserfordernisse notwendig sein. Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 7
1. Allgemeines - Themenabgrenzung Die neuen EUDSGVO tritt am 25.05.2018 in Kraft. Das bisherige Bundesdatenschutzgesetz (BDSG) entfällt und wird ebenfalls zum 25.05.2018 durch das BDSG-neu ersetzt. Alle bestehenden Prozesse zur Verarbeitung personenbezogener Daten müssen bis zum 25.05.2018 an die Anforderungen der EUDSGVO angepasst werden. Davon sind alle Prozesse, in denen personenbezogene Daten (persbezDat) verarbeitet werden, betroffen: alle vertrieblichen Prozesse Antragsprozesse Bestandsprozesse Schaden- und Leistungsprozesse Einwilligungen … Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 8
2. Kernaspekte der EUDSGVO Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 9
2. Kernaspekte der EUDSGVO Beibehaltung und Weiterentwicklung bereits geltender Datenschutzanforderungen wie beispielsweise Verbot mit Erlaubnisvorbehalt, Anforderungen an eine Einwilli- gung, Transparenz, … Betroffenenrechte mit zum Teil neuen Anforderungen wie Schutz von Minderjährigen, Recht auf „Vergessenwerden“, Datenübertragbarkeit, … Erweiterung der technisch/organisatorischen Maßnahmen z.B. Löschkonzept, Regelungen durch Technikgestaltung, datenschutzfreundliche Voreinstellungen, … Alle Datenschutzpannen sind binnen 72 Stunden der Datenschutzaufsichts- behörde zu melden Erhöhte Informations-, Melde- und Dokumentationspflichten, Strategien zur Wahrung der Betroffenenrechte, Datenschutz-Folgenabschätzung, … Erhöhte Sanktionsmöglichkeiten Geldbußen bis zu 20 Mio. Euro Prinzip der verantwortlichen Stelle bleibt erhalten: Umsetzungsverantwortung liegt bei den Fachbereichen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 10
2. Kernaspekte der EUDSGVO Nachfolgende Aspekte bedürfen einer genaueren Betrachtung und entsprechender Anpassung: Rechtmäßigkeit der Verarbeitung (Art. 6) Bedingungen für die Einwilligung (Art. 7) Transparente Informationen und Kommunikation für die Ausübung der Rechte der betroffenen Personen (Art. 12) Informationspflichten bei der Erhebung von personenbezogenen Daten direkt bzw. nicht direkt beim Betroffenen(Art. 13, Art. 14) Auskunftsrecht des Betroffenen (Art. 15) Recht auf Löschung (Art. 17) Recht auf Einschränkung der Verarbeitung (Art. 18) Mitteilungspflicht bei Berichtigung, Sperrung bzw. Löschung (Art. 19) Recht auf Datenübertragbarkeit (Art. 20) Widerspruchsrecht (Art. 21) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22) Auftragsverarbeiter (Art. 28) Verzeichnis von Verarbeitungstätigkeiten (Art. 30) Sicherheit der Verarbeitung (Art. 32) Datenschutz-Folgenabschätzung (Art. 35) Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 11
3. Umzusetzende Maßnahmen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 12
3. Umzusetzende Maßnahmen Artikel 6 - Rechtmäßigkeit der Verarbeitung Beschreibung/Umsetzungshinweise Grundsätzlich (Abs. 1a-e) gilt: Einwilligung muss vorliegen, Vertrag oder vorvertragliche Maßnahmen bestehen, Erfüllung rechtlicher Verpflichtungen, Verarbeitung ist aufgrund lebenswichtiger Interessen des Betroffenen erforderlich, Verarbeitung liegt im öffentlichen Interesse Berechtigtes Interesse (Abs. 1f) Dokumentation des berechtigten Interesses erforderlich (Dokumentation, welche Verarbeitungen mit der Rechtsgrundlage „berechtigtes Interesse“ durchgeführt werden (Bsp.: Betrugserkennung, Direktwerbung) Verarbeitung zu einem anderen Zweck (Weiterverarbeitung, Abs. 4) Neuer Zweck muss mit dem ursprünglichen vereinbar (kompatibel) sein (Identifikation von Sachverhalten, in denen Daten mit neuem Zweck weiterverarbeitet werden (Bsp. Test, Rückversicherung, statistische Zwecke, Direktwerbung…)) Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 13
3. Umzusetzende Maßnahmen Artikel 7 - Bedingungen für die Einwilligung Beschreibung/Umsetzungshinweise Nachweispflicht Dokumentation bei elektronischer oder mündlicher Einwilligung ist erforderlich (Einwilligungen vermeiden, Bestehende Einwilligungstexte hinsichtlich Transparenz und Freiwilligkeit überprüfen) Schriftliche Einwilligung verständliche, klare und einfache Sprache, Freiwilligkeit Widerrufsbelehrung und Informationspflichten bei Einholung Betroffene Person kann Einwilligung jederzeit für die Zukunft widerrufen (Prozess für die Verarbeitung von Widersprüchen muss vorhanden sein) Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 14
3. Umzusetzende Maßnahmen Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Beschreibung/Umsetzungshinweise Informationen an den Betroffenen (gem. Art. 15-22 GVO) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (grds. unentgeltlich) Überprüfung aller Texte und Dokumente mit Informationen und Hinweisen zum Datenschutz in allen Geschäftsvorfällen Informationen an Kinder müssen die Verständlichkeit, Transparenz in besonderem Maße erfüllen prüfen, wann und welche Informationen an Personen unter 18 Jahren gehen Anträge schriftlich ggf. auch elektronisch (z. B. bei elektronischer Anfrage); mündlich unter bestimmten Voraussetzungen Auch der Aufbau einer Website ist von den o.g. Transparenzerfordernissen betroffen, wenn diese für die Öffentlichkeit bestimmt (Werbung im Internet) Informationen müssen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung gestellt werden. Verlängerung um weitere zwei Monate mit Begründung und Information des Betroffenen möglich klären, wie Betroffenen sicher identifiziert werden können, um ggf. mündlich Informationen zu erteilen, wie können die vorgegebenen Fristen gewahrt werden Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 15
3. Umzusetzende Maßnahmen
Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen
Daten bei der betroffenen Person
Beschreibung/Umsetzungshinweise
Neue oder zusätzliche Informationen zum Zeitpunkt der ersten Datenerhebung prüfen, in welchen
Prozessen Daten erhoben werden, alle identifizierten Verarbeitungsprozesse überprüfen, ob alle
aufgeführten Informationen transparent dargestellt werden
Kontaktdaten Verantwortlicher und Kontaktdaten des Datenschutzbeauftragten aufführen
Zwecke und Rechtsgrundlage der Verarbeitung aufführen, Verarbeitung für einen anderen Zweck oder
spätere Zweckänderung nur mit vorheriger umfassender Information des Betroffenen
Beruht die Verarbeitung auf berechtigten Interessen, sind diese dem Betroffenen zu nennen
Empfänger oder Kategorien von Empfängern
Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu übermitteln und
Angaben über das Datenschutzniveau im Drittland
Geplante Dauer der Speicherung oder Kriterien für die Festlegung dieser Dauer
Bestehende Betroffenenrechte aufführen
Erforderlichkeit der Daten für die geplante Verarbeitung
Bei einer automatisierten Entscheidungsfindung (incl. Profiling) sind aussagekräftige Informationen
über die involvierte Logik zu geben
Kundeninformation des GDV
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 163. Umzusetzende Maßnahmen Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Beschreibung/Umsetzungshinweise Werden die Daten nicht direkt bei der betroffenen Person erhoben, sondern bei Dritten, so ist die betroffene Person darüber zu informieren alle Informationen gemäß Artikel 13. Neue oder zusätzliche Informationen bei Datenerhebung Quelle der Daten ist zu benennen, grundsätzlich prüfen, in welchen Prozessen werden Daten nicht beim Betroffenen erhoben Der Verantwortliche erteilt die Informationen Innerhalb eines Monats, spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person oder Offenlegung an einen anderen Empfänger Ausnahmen zur Informationspflicht Betroffener hat die Informationen bereits, unverhältnismäßig hoher Aufwand, Geheimhaltungspflichten Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 17
3. Umzusetzende Maßnahmen Artikel 15 - Auskunftsrecht der betroffenen Person Beschreibung/Umsetzungshinweise Bisherige Informationen Verarbeitungszwecke, Kategorien der verarbeiteten persbezDat, Herkunft der Daten, Empfänger, Übermittlung Neue oder zusätzliche Informationen bei Auskunftsersuchen Information über alle Empfänger oder Kategorien von Empfängern, denen personenbezogene Daten offengelegt wurden, Dauer der Speicherung, Hinweis auf die Betroffenenrechte, Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die involvierte Logik, Kopie der Daten zur Verfügung stellen, Beschwerderecht bei Aufsichtsbehörde Auskunftspflichtig ist der Verantwortliche klären, wer im Unternehmen den Auskunftsprozess verantwortet, Auskunftsbriefe anpassen, ggf. ein- oder zweistufiges Auskunftsverfahren Fristvorgaben sind zu beachten sofern möglich, sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu den personenbezogenen Daten ermöglichen würde Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 18
3. Umzusetzende Maßnahmen Artikel 16 - Recht auf Berichtigung Beschreibung/Umsetzungshinweise Unverzügliche Berichtigung unrichtiger persbezDat, Vervollständigung unvollständiger persbezDat ggf. mit ergänzender Erklärung seitens des Betroffenen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 19
3. Umzusetzende Maßnahmen Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“) Beschreibung/Umsetzungshinweise Sperren weiterhin notwendig zur Umsetzung der Datenminimierung explizites Sperrkonzept für Kundendaten, Versicherungsverträge, Geschädigte, etc.. Ein Löschen war bisher nicht notwendig, wenn es nur unter sehr hohen Aufwänden und Kosten realisierbar gewesen wäre „Recht auf Vergessenwerden“ im Netz beinhaltet auch, dass Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, dass alle Links zu diesen personenbezogenen Daten zu löschen sind Recht auf Löschung bedeutet, dass alle personenbezogenen Daten, deren Zweckbindung erloschen sind, ein Widerruf der Verarbeitung vorliegt, Daten, die unrechtmäßig erhoben wurden, unwiederbringlich aus den Systemen zu entfernen sind, so dass kein weiterer Aufruf der Daten bzw. Nutzung mehr möglich ist Löschkonzept für alle Anwendungen und Systeme ist zu erstellen, Löschkonzept Personaldaten, Verantwortliche für Themen der Digitalisierung müssen Löschkonzepte erstellen (Unternehmensblog, Social Media Unternehmenssites, Likes, Vermittler-Website), weiterer Bedarf an Löschkonzepten zu identifizieren (individuelle Datenhaltung) Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 20
3. Umzusetzende Maßnahmen Artikel 18 - Recht auf Einschränkung der Verarbeitung Beschreibung/Umsetzungshinweise Die Einschränkung der Verarbeitung erfolgt immer auf Anforderung durch die betroffene Person, wenn die Richtigkeit der Daten bestritten wird, wenn die Verarbeitung unrechtmäßig ist, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, bei Widerspruch gegen die Verarbeitung Verarbeitung nur mit Einwilligung zulässig bzw. Betroffener ist zu informieren, bevor die Einschränkung aufgehoben wird Prozesse anpassen Einrichten von Kennzeichen im Bestand, Sperre für Nutzer, veröffentlichte Daten sind von den Websites zu entfernen, bei automatisierten Dateisystemen soll die Einschränkung durch techn. Mittel erfolgen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 21
3. Umzusetzende Maßnahmen Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Beschreibung/Umsetzungshinweise Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt für jeden Prozess wird eine Liste der Empfänger von personenbezogenen Daten benötigt (s. Artikel 17), die Prozesse sind anzupassen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 22
3. Umzusetzende Maßnahmen Artikel 20 - Recht auf Datenübertragbarkeit Beschreibung/Umsetzungshinweise Die betroffene Person hat das Recht, die von ihr zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten ggf. Übermittlung an andere Verantwortliche (gilt für Daten, die auf eine Einwilligung beruhen bzw. zur Erfüllung eines Vertrages erforderlich sind) Soweit technisch machbar, sollen die Daten von einem Verantwortlichen zum anderen übermittelt werden ein neuer, ggf. manueller Prozess ist einzurichten Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 23
3. Umzusetzende Maßnahmen Artikel 21 - Widerspruchsrecht Beschreibung/Umsetzungshinweise Betroffene Person kann Widerspruch gegen die Verarbeitung einlegen, die sich aus ihrer besonderen Situation ergeben (Einzelfälle, bereits ein Recht aus dem Code of Conduct Datenschutz) es bestehen Informationspflichten zum Widerspruchsrecht (grundsätzlich in der Kundeninformation hinweisen), zusätzliche Information zum Widerspruchsrecht bei der Datenerhebung Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 24
3. Umzusetzende Maßnahmen Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling Beschreibung/Umsetzungshinweise Automatisierte Entscheidungen mit wirtschaftlichen oder rechtlichen Folgen für den Betroffenen bedürfen immer eine Ansprechbarkeit eines Mitarbeiters, insbesondere im online-Bereich Dokumentation aller Automatisierten Entscheidungen mit rechtlicher Wirkung für eine betroffene Person, Verarbeitung besonderer Kategorien persbezDat nur bei gesetzlicher Grundlage oder Einwilligung Der Betroffene hat das Recht auf Darlegung des eigenen Standpunkts, auf Anfechtung der automatisiert getroffenen Entscheidung Für Minderjährige gelten besondere Schutzanforderungen kein Profiling und automatisierte Prozesse bei Kindern (vor allem im Marketing) Jederzeitiges und unentgeltliches Widerspruchsrecht gegen Direktwerbung, explizit auch bei Verwendung von Profiling Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 25
3. Umzusetzende Maßnahmen
Artikel 25 – Datenschutz durch Technikgestaltung und durch daten-
schutzfreundliche Voreinstellung
Beschreibung/Umsetzungshinweise
Unter Berücksichtigung des Stands der Technik, der Kosten, Zweck der Verarbeitung sowie der Risikoein-
trittswahrscheinlichkeiten für die Rechte und Freiheiten natürlicher Personen sind geeignete technische /
organisatorische Maßnahmen zu treffen
privacy by design „Datenschutz durch Technikgestaltung“ Datenschutz lässt sich am besten
einhalten, wenn schon zu Beginn einer Datenverarbeitung der Schutz personenbezogener Daten i.S.d.
DSGVO durch das berücksichtigen technischer und auch organisatorischer Maßnahmen (TOMs) im
Entwicklungsstadium frühzeitig gewährleistet wird.
privacy by default „Datenschutz durch datenschutzfreundliche Voreinstellungen“ bedeutet, dass
bereitzustellende Anwendungen bereits durch die Anwendungsentwickler (intern/extern)
datenschutzfreundlich auszugestalten sind selbst wenn der Nutzer keine datenschutzrechtlichen
Einstellungen vornimmt, sollte ein datenschutzrechtlicher Basisschutz bestehen.
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 263. Umzusetzende Maßnahmen Artikel 28 - Auftragsverarbeiter Beschreibung/Umsetzungshinweise „Auftragsverarbeiter“ können natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen sein, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten Auftragsver- arbeiter müssen hinreichend Garantien bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit den Anforderungen der Verordnung erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet Überprüfung aller ADV-Verträge, Prüfen, ob die Auftragsverarbeiter die Anforderungen des Art. 32 EUDSGVO „Sicherheit der Verarbeitung“ einhalten, Anpassung der Musterverträge es muss Datenschutzkonformität bei der Auftragsverarbeitung bestehen, die durch den Einsatz geeigneter technischer/organisatorischer Maßnahmen zu gewährleisten ist Unterbeauftragungen nur mit expliziter Genehmigung des Auftraggebers, Verarbeitung nur auf Grundlage eines Vertrages, Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen Auftragsverarbeiter wird bei Verstoß gegen die Verordnung Verantwortlicher Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 27
3. Umzusetzende Maßnahmen Artikel 28 - Auftragsverarbeiter Beschreibung/Umsetzungshinweise Nachfolgende Sachverhalt müssen mindestens vertraglich bei einer Auftragsverarbeitung geregelt sein: vertragliche Grundlage muss geschaffen werden, aus der Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen sowie die Rechte und Pflichten hervorgehen schriftliche Weisung zur Umsetzung der Verarbeitung muss erteilt werden Verpflichtung der eingesetzten Mitarbeiter muss erfolgen Daten müssen gem. Art. 32 GVO nach dem neusten Stand der Technik geschützt werden Verpflichtung auf Wahrnehmung der Kundenrechte (Transparenz schaffen, Informationspflichten gegenüber dem Betroffenen, Recht auf Berichtigung und Löschung, Widerspruchsrechte) Unterstützung des Verantwortlichen (Auftraggeber) bei der Einhaltung der Vorgaben der §§ 32-36 GVO (Sicherheit der Verarbeitung, Meldung von Datenpannen sowie Meldungen an den Betroffenen, Datenschutz-Folgenabschätzung, ggf. Konsultation der Aufsicht) Löschung oder Rückgabe der personenbezogenen Daten Information des Auftraggebers, wenn Verstoß gesehen wird bei Unterbeauftragung haftet der erste Auftragsverarbeiter gegenüber dem Auftraggeber Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 28
3. Umzusetzende Maßnahmen
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
Beschreibung/Umsetzungshinweise
Die Verpflichtung zur Führung von Verzeichnissen von Verarbeitungstätigkeiten Ergänzungen inhaltlicher
Art (Formatanpassung) der bisherigen Verfahrensverzeichnisse werden notwendig ( = bereits im heutigen
Verfahrensverzeichnis vorhanden)
Verantwortlicher gemäß Art. 30 Abs. 1 a) ist …
Datenschutzbeauftragter ist … ×
Angaben zum Zweck der Datenverarbeitung gemäß Art. 30 Abs. 1 b) EU DSGVO
Kategorien von betroffenen Personen und Kategorien personenbezogener Daten gemäß Art. 30 Abs. 1
c) EU DSGVO
Kategorien von Empfängern gemäß Art. 30 Abs. 1 d) EU DSGVO
Übermittlung an ein Drittland gemäß Art. 30 Abs. 1 e) EU DSGVO
Fristen für die Löschung der Daten gemäß Art. 30 Abs. 1 f) EU DSGVO
Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 30 Abs. 1 g) i. V.
m. Art. 32 Abs. 1 EU DSGVO
Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 EU DSGVO
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 293. Umzusetzende Maßnahmen
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
Beschreibung/Umsetzungshinweise
Art der Datenverarbeitung
Datenaustausch mit dem HIS ×
Verarbeitung der Daten bei einem Dienstleister / Auftragsverarbeiter ×
Ersteller dieser Beschreibung der Verarbeitungstätigkeit ×
Risikobewertung ×
Die Verarbeitung hat ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge
aufgrund ×
Systematische Beschreibung der geplanten Verarbeitungsvorgänge ×
Zwecke der Verarbeitung
Rat des DSB wurde eingeholt ×
Folgeabschätzung ×
Abstimmung mit betroffenen Personen / Standpunkt der betroffenen Person bzw. des Vertreters wurde
eingeholt ×
Vorherige Konsultation mit der Aufsichtsbehörde gemäß Art. 36 EU DSGVO wurde durchgeführt ×
Technische Risikobewertung – Risikomatrix ×
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 304. Sanktionsrahmen Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 31
4. Sanktionsrahmen
Massive Verschärfung des Sanktionsrahmens (Art. 83 Abs. 3-4) bei nicht
erfolgter oder mangelhafter Umsetzung können nachfolgende Sanktionen verhängt werden:
Bis 10 Mio. Euro oder bis 2% des Bis 20 Mio. Euro oder bis 4% des Bis 20 Mio. Euro oder bis 4% des
weltweiten Vorjahresumsatzes weltweiten Vorjahresumsatzes weltweiten Vorjahresumsatzes
je nachdem was höher ausfällt!
Verstöße gegen Regelungen zu z.B. Verstöße gegen Regelungen zu z.B. Verstöße gegen Regelungen zu z.B.
• Auftragsverarbeitung (Art. 28) • Grundsätze (Art. 5) • Verstöße gegen Anordnungen der
Aufsichtsbehörde (Art. 58 Abs. 2)
• Schutzmaßnahmen (Art. 32) • Rechtmäßigkeit (Art. 6)
• Verzeichnis der Verarbeitungstätig- • Einwilligung (Art. 7)
keiten (Art. 30)
• Rechte Betroffener (Art. 12 – 22)
• Datenschutz-Folgenabschätzung
(Art. 35) • Zusammenarbeit mit der Aufsichts-
behörde (Art. 31)
•…
• Drittlandsübermittlung (Art. 44 – 46)
•…
Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 32Vielen Dank für Ihre Aufmerksamkeit! Malte Kaspar Datenschutzbeauftragter Tel 0911 / 148 – 1614 malte-michael.kaspar@ergodirekt.de Malte Kaspar DSB | Anforderungen der EUDSGVO – Europäische Datenschutzgrundverordnung | 02.03.2018 33
Sie können auch lesen
