Datenschutz im Unternehmen - unter Berücksichtigung aktueller gerichtlicher Entscheidungen und gesellschaftlicher Entwicklungen - Dr ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
•Datenschutz im Unternehmen – unter Berücksichtigung aktueller gerichtlicher Entscheidungen und gesellschaftlicher Entwicklungen Dr. Claus-Dieter Ulmer, Senior Vice President, Konzernbeauftragter für den Datenschutz der Deutschen Telekom Gruppe
Datenschutz im Unternehmen
Datenschutz im Unternehmen: Wesentliche Elemente
Organisation, Verantwortlichkeiten
Strategie - Mission
Richtlinien, Anforderungen und Prozesse
Beratung
Kontrollen
Kommunikationsmaßnahmen & Schulungen
…
Dr. Claus-Dieter Ulmer 3
Organisation bei der
Deutschen Telekom
Employees,
Communication
& Awareness
Consumer,
Strategy &
Products &
Steering
Partnering
▪ Group Privacy - Mitarbeiter: 53 Dr. Claus-Dieter Ulmer
Global Data Privacy
Dezentraler Officer
▪ internationale Data Protection Datenschutz SVP Group Privacy
Business,
Officers (DPOs): 98 Koordinatoren & Services &
Internat. DPOs Infrastructure
▪ Datenschutzkoordinatoren: 113 Umsetzung:
Brückenköpfe
Privacy Audits &
Standards
Verantwortlichkeiten im Datenschutz
Datenschutzbeauftragter Verantwortliche Stelle
▪ Vorgabe- und Kontrollfunktion ▪ Compliance-Verantwortung
▪ Regelungen zur Erfüllung der Aufgaben des ▪ Daten-Verantwortung
DSB ▪ Funktionen, die die Umsetzung der
▪ Organisation des DSB selbst und der gesetzlichen Vorgaben sicherstellen
Funktionen, die ihn in der Ordnungsfunktion ▪ Funktionen, die mit dem DSB als
unterstützen (z.B. DSB´s in Beratungsinstanz zusammenarbeiten
Tochtergesellschaften, DS-Koordinatoren) ▪ Einbindung des DSB
▪ Regelungen zur Compliance-konformen
Verarbeitung von Daten
iterativer Prozess
5
Zentrale Prozesse:
Beispiel Datenschutzfolgenabschätzung
Privacy-Security-Assessment (PSA)
Idee Machbarkeit Design Implementierung Betrieb
Kategorisierung Freigabe Focus-Checks
Kategorisierung der A-Projekt: Beratung , Realitätschecks, Security Testing Das System erfüllt
Sicherheits- und die Datenschutz- und
Datenschutzrelevanz B-Projekt: Self-Assessment, Stichprobenkontrolle Sicherheitsanforder-
ungen
C-Projekt : unkritisch, Stichprobenkontrolle
Ziele:
▪ Integration von Sicherheit und Datenschutz in Produkt- und Systementwicklung • Portallösung
▪ Projektkategorisierung: Fokussierung wertvoller Ressourcen auf die größten Risiken • Agile Lösung
• Exporte zu anderen
▪ Privacy/Security by Design – bedarfsgerechte Beratung prozessbegleitend Anwendungen, wie
▪ Standardisierte Anforderungskataloge stellen komplexe Sachverhalte bedarfsgerecht der Fachseite Verfahrensverzeichnis
zur Verfügung
Dr. Claus-Dieter Ulmer 6
Zentrale Prozesse:
Beispiel Datenschutzkontrollen
Bei der Entwicklung KONZERN- ANLASS- RISIKOBASIERTE
IM PSA*-VERFAHREN DATENSCHUTZAUDIT KONTROLLEN KONTROLLEN
▪ Vorabkontrollen von ▪ Konzernweite Über- ▪ Bei Hinweisen auf ▪ KontrollenADVs
von
Systemen und prüfung des potentielle Vorfälle einzelnen Systemen
Datenschutz-
Organisationen Niveaus und Organisationen
*Datenschutz-Folgenabschätzung
(Privacy-Security-Assessment)
Dr. Claus-Dieter Ulmer 7
Risikobasierte Auditplanung
Jährlich Risikobasiert Systematisch & Formalisiert
Informationserhebung und Erst- 1. 2. Sortierung und Validierung
bewertung (Jan. – Sept.) Jahreszyklus (Sept.)
Beschluss und Kommunikation 4. 3. Einholung zusätzlicher Expertise
(Dez. - Jan.) (Okt.-Nov.)
Dr. Claus-Dieter Ulmer 8
Zentrale Prozesse:
Beispiel Incidentmanagement
Vorfallprüfung Verletzung des Schutzes personenbezogener Daten?
Risikoeintritt für die Rechte und Freiheiten natürlicher Personen?
Risikoprüfung
Meldung innerhalb von 72 h an die zuständige Aufsichtsbehörde mit dem
Fristgerechte
Sachverhalt (soweit schon aufgeklärt, ggf. nachreichen), Information des
Meldung Betroffenen
Dokumentation des Vorgangs (auch wenn die Vorfallprüfung eine
Dokumentation Nichtmeldung ergibt), so dass die Einhaltung des Art. 33 überprüft werden
kann.
Dr. Claus-Dieter Ulmer 9
Bußgeld / Incident-Management
450.000 € Bußgeld:
Twitter hatte es versäumt, die irische
Datenschutzbehörde DPC (Data
Protection Commission) innerhalb der
vorgeschriebenen Frist von 72 Stunden
über einen Incident zu informieren.
DPC kritisierte vor allem Versäumnisse
beim Melden wie auch Erklären der
Umstände des Fehlers.Datenschutz im Unternehmen: Zahlen, Daten & Fakten
ANFRAGEN AN “DATENSCHUTZ@TELEKOM.DE”
Posteingang
40.000
37.000
35.000
Datenschutz@telekom.de 30.000
28.000 29.000
25.000
≈ 20.000
15.000
10.000
5.000
0 2018 2019 2020
1 2 3
Dr. Claus-Dieter Ulmer 12AUSKUNFTSRECHT (ART. 15)
3.500 2018 and 2019
TOTAL ACCESS REQUESTS IN
4.300
2019
3.500
2018 2019
Access requests
Dr. Claus-Dieter Ulmer 13Regelmäßiger Newsletter „Group Privacy informiert“
▪ über 82.000 Leser
“Group Privacy informiert”
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
WhatsApp Schrems II Kundendaten Neue GPR-Seite
Klicks Artikel nach 1 Tag (Mails+Intranet)
14
Klicks Artikel nach 2 Monaten (Mails+Intranet)VERPFLICHTUNGSSCHULUNG „DATENSCHUTZ“ (2019)
200.000 Mitarbeiter weltweit wurden geschult ( 2019)
Neu! Auch als
App im App-
Store verfügbar
Dr. Claus-Dieter Ulmer 15Konzerndatenschutzaudit 2020
25.000 72 %
wurden eingeladen Teilnahmequote Awardwert
89 %
(+ 8 % zu 2018)
Das alle zwei Jahre stattfindende Konzerndatenschutzaudit (KDSA) ist ein
wichtiger Indikator des allgemeinen Datenschutzniveaus im Konzern. Die
Online-Umfrage fand im September statt.
Dabei werden die Wahrnehmung des Datenschutzes, die Aufklärung über den
82 %
Datenschutz und das Handeln nach Datenschutzgrundsätzen gemessen. (+ 16 % zu 2018)
Dr. Claus-Dieter Ulmer 16Datenschutz im Unternehmen: Blick auf aktuelle Gesetzesentwicklungen
E-Privacy Verordnung: Eine unendliche Geschichte?
E-Privacy Richtlinie
Anpassung von Cookie Richtlinie
TKG 2004, TMG 2007 ergänzt E-Privacy Richtlinie ePrivacy Verordnung? ePrivacy Verordnung?
Anpassung TMG 09 Entwurf von EU KOM. & Parlament
Nur nationales Recht Inkrafttreten / Anwendbarkeit
In D: FAG, IUKDG, TKG,
TDDSG, TMG dt. Ratspräsidentschaft
endete am 31.12.2020
01.01.21 Portugal
…
Dr. Claus-Dieter Ulmer 18Sachstand zur e-Privacy Verordnung
Gesetzgebungsverfahren
Europäisches europäischer
Parlament Ministerrat
▪ Das Europäisches ▪ Eine Einigung im Ministerrat steht weiterhin aus. Die ist aber die
Parlament hat im Oktober Voraussetzung für den Beginn der Trilog-Verhandlungen
2017 einen ▪ Portugal hat am 01.01.2021 die Ratspräsidentschaft von Deutschland
überarbeiteten Entwurf übernommen.
beschlossen, der ▪ Portugal hat bereits am 05.01.2021 einen neuen Textvorschlag
eigentlich gleichzeitig mit vorgelegt. Darin wurde u.a. die Möglichkeit zur kompatiblen
der DSGVO in Kraft treten Weiterverarbeitung von Metadaten wieder aufgenommen.
sollte.
Dr. Claus-Dieter Ulmer 19positionen zur e-Privacy Verordnung
Weiterverarbeitung Gleiche Regelungen für Angemessene
von Metadaten – wie in die gleiche Art von Umsetzungsfrist
der DSGVO Daten
Regelungsanpassung zur Gleiche Regeln für Daten mit Implementierungsfrist für die
Weiterverarbeitung von vergleichbarer Kritikalität: Präzise Umsetzung in den Unternehmen.
Kommunikationsmetadaten an die Standortdaten, die via GPS von Apps
DSGVO, damit die Weiterverarbeitung genutzt werden, sind weniger strikt
von Metadaten auch ohne Einwilligung reguliert als die nicht so präzisen
möglich ist, wenn u.a. pseudonyme Standortdaten, die Mobilfunkbetreiber von
Daten genutzt werden. ihren Funkmasten bekommen. Daher
sollte auch für Betreiber elektronischer
Kommunikationsdienste die flexibleren
Regeln der DSGVO gelten. 20Telekommunikations- und Teledienste-
Datenschutzgesetz (TTDSG)
Referentenentwurf
des Bundesministeriums für Wirtschaft und Energie
Rechtsklarheit
Das Nebeneinander von DSGVO, TMG und TKG führt zu Rechtsunsicherheiten bei
Verbrauchern, die Telemedien und elektronischen Kommunikationsdienste nutzen, bei
Anbietern von diesen Diensten und bei den Aufsichtsbehörden. Der vorliegende
Gesetzentwurf soll für Rechtsklarheit sorgen.
Zusammenführung
Die Datenschutz-Bestimmungen des TMG und des TKG, einschließlich der Bestimmungen
zum Schutz des Fernmeldegeheimnisses, sollen aufgehoben und in einem neuen Gesetz
zusammengeführt werden. Dabei sollen zugleich die erforderlichen Anpassungen an die
DSGVO erfolgen.
Dr. Claus-Dieter Ulmer 21... Cookies im TTDSG § 9 Einwilligung bei Endeinrichtungen (1) Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat. (2) Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind, 1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird, 2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder 3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. 22
Datenschutz im Unternehmen: Blick auf aktuelle Urteile und Entwicklungen
Cookies ./. Planet 49 – EuGH und BGH
EuGH-Urteil in Sachen „Planet 49“ GmbH ./.
BGH-Urteil in Sachen „Planet 49“ GmbH ./.
Bundesverband der Verbraucherverbände
Bundesverband der Verbraucherverbände:
(10/2019):
▪ „Mit seinem heutigen Urteil entscheidet der Gerichtshof,
dass die für die Speicherung und den Abruf von Cookies auf
dem Gerät des Besuchers einer Website erforderliche „§ 15 Abs. 3 S. 1 TMG ist mit Blick auf Art 5 Abs.
Einwilligung durch ein voreingestelltes Ankreuzkästchen, das 3 Satz 1 der Richtlinie 2002/58/EG in der durch
der Nutzer zur Verweigerung seiner Einwilligung abwählen Art 2 Nr. 5 der Richtlinie 2009/136/EG
muss, nicht wirksam erteilt wird.“ geänderten Fassung dahin richtlinienkonform
auszulegen, dass für den Einsatz von Cookies
▪ „Der Gerichtshof stellt klar, dass die Einwilligung für den
konkreten Fall erteilt werden muss.“
zur Erstellung von Nutzungsprofilen für Zwecke
der Werbung oder Marktforschung die
▪ „Der Gerichtshof stellt ferner klar, dass der Diensteanbieter Einwilligung des Nutzers erforderlich ist.“
gegenüber dem Nutzer hinsichtlich der Cookies u.a. Angaben
zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen
muss.“
Dr. Claus-Dieter Ulmer 24Cookies - Beispiele
25
Dr. Claus-Dieter UlmerCookies - Beispiele
26
Dr. Claus-Dieter UlmerBußgelder zu Cookies in Frankreich
100 Millionen € 35 Millionen €
CNIL bemängelt, dass auf den französischen Websiten von Goolge und amazon
Werbecookies gesetzt wurden bevor die Nutzer explizit ihre Zustimmung erteilt hatten.
Beide Anbieter wurden den Anforderungen an die Abgabe einer informierten
Einwilligung nicht gerecht.
Durch die Begründung ihrer Entscheidung über die E-Privacy Richtlinie umging die CNIL
das „One Stop Shop-Prinzip“ der DSGVO und damit die Zuständigkeit der in der Kritik
stehenden irischen Datenschutzbehörde.
Dr. Claus-Dieter Ulmer 27Drittstaatentransfer - von Schrems I zu Schrems II
Max Schrems gegen Facebook
Die Datenschutz-Grundverordnung* verbietet es „Schrems I“ – Safe Harbour
grundsätzlich, personenbezogene Daten aus der EU in
Drittstaaten zu übertragen, deren Datenschutz kein 2000 – EU Kommission beschließt Safe Harbour Abkommen.
dem EU-Recht gleichwertiges Schutzniveau aufweist.
2013 – Max Schrems greift Safe Harbour Urteil an.
Eine Übermittlung personenbezogener Daten an ein Drittland darf
2015 – EuGH hebt den Safe Harbour Angemessenheitsbeschluss auf.
vorgenommen werden, wenn…
▪ ein Angemessenheitsbeschluss der Kommission für „Schrems II“ – Privacy Shield & Standardvertragsklauseln
das Drittland vorliegt (z. B. Japan, Schweiz, Israel oder
„Privacy Shield“ ) oder 2016 – EU Kommission erachtet das „Privacy Shield“ als angemessen
▪ Geeignete Garantien sichergestellt werden
(z. B. EU-Standardvertragsklauseln) oder 2016 – Max Schrems greift Standardvertragsklauseln an.
▪ Verbindliche Interne Datenschutzvorschriften
vorliegen (z. B. Telekom Binding Corporate Rules 2020 – EuGH hebt den Beschluss zum „Privacy Shield“ Abkommen auf
Privacy)
*vorher: Datenschutzrichtlinie 95/46/EG
Dr. Claus-Dieter Ulmer 28Drittstaatentransfer – das Schrems II Urteil des EuGH
Details
EuGH-Urteil:
Übermittlung in die USA auf Basis des Privacy Shields ist rechtswidrig,
Übermittlungen in Drittländer auf Basis Standardvertragsklauseln müssen überprüft werden.
Was hat der EuGH konkret beanstandet?
Bei der Übermittlung von personenbezogenen Daten in die USA mithilfe des Privacy
Shields wird den Betroffenen der Europäischen Union kein gleichwertiges
Schutzniveau eingeräumt, weil
▪ die Überwachung durch US-Sicherheitsbehörden nicht auf das zwingend
erforderliche Maß beschränkt ist (Unverhältnismäßigkeit des Eingriffs),
▪ keine ausreichenden Kontrollinstanzen aufgebaut wurden und
▪ kein ausreichender Rechtschutz für Europäer gegeben ist
Dr. Claus-Dieter Ulmer 29Regulatorische Entwicklungen nach „Schrems II“
▪ Entwurfsveröffentlichung des EDPB mit Empfehlungen zum weiteren Umgang mit „Schrems II und Aufruf
zur Stellungnahme bis zum 21.12.
▪ Endgültige Versionen der Empfehlungen werden für Ende Jan. oder Anfang Feb. 2021 erwartet.
Aus dem Inhalt:
▪ Vertragliche und organisatorische Maßnahmen reichen allein nicht aus, um den Zugriff von Behörden
(Beispiel USA - Zugriff von Geheimdiensten) zu verhindern
▪ Technische Maßnahmen wie Verschlüsselung sind erforderlich
▪ Das gilt für Daten aller Kritikalitätsstufen. Kein risikobasierter Ansatz, wie er sonst in der DSGVO
vorgesehen ist
▪ Dies gilt für Rechenzentren in der EU auch dann, wenn der Support aus den USA erfolgt (Remote
Access).
▪ Nach derzeitigem Evaluierungsstand gibt es keine ausreichenden, zusätzlichen technischen
Schutzmaßnahmen, die den Zugriff auf Daten unmöglich oder unwirksam machen. Dies betrifft fast alle
Dienste aller Anbieter.
Dr. Claus-Dieter Ulmer 30Auswirkungen von „Schrems II“
Anhand von Stakeholdern
Wirtschaft/
EU Kommission
Unternehmen
▪ Vorgaben umsetzen ▪ Angemessenheitsbeschlüsse &
▪ Eigene Lösung entwickeln Standardvertrags-klauseln
▪ In der EU und in Drittländern Internationaler entwickeln/bereitstellen
Datenverkehr
Politik Aufsichtsbehörden
▪ Gesetzliche Rahmen- ▪ Urteil konkretisieren
bedingungen anpassen ▪ Vorgaben durchsetzen
Dr. Claus-Dieter Ulmer 31Datenschutz im Unternehmen: Blick auf aktuelle gesellschaftliche Entwicklungen
BREXIT
▪ Austritt des Vereinigten Königreichs am 31.01.2020 aus der EU
▪ Einigung auf ein Handels- und Zusammenarbeitsabkommen
Auswirkungen für den Datenschutz:
▪ Übermittlungen pbD* von der EU in das Vereinigte Königreich werden für
eine Übergangsphase von 4 Monaten nicht als „Übermittlung in ein Drittland“
betrachtet (Verlängerungsoption um 2 Monate).
▪ Die Übergangsregelung endet, wenn die EU-Kommission eine
„Adäquanzentscheidung“ für das Vereinigte Königreich getroffen hat,
spätestens jedoch nach Ablauf von 6 Monaten.
▪ Durch eine Adäquanzentscheidung könnten dann pbD zwischen den
Parteien übermittelt werden. Zusätzliche Standardvertragsklauseln wären
nicht notwendig.
▪ Ohne eine Adäquanzentscheidung nach Fristende sind Standard-
Vertragsklauseln oder BCRP** erforderlich.
* personenbezogene Daten
** Binding Corporate Rules Privacy“
BeiGAIA-X geht es um die
Schaffung eines starken euro-
päischen Daten-Ökosystems.
Sowohl Unternehmen als auch
Institutionen des öffentlichen
Sektors können Daten nutzen und
gleichzeitig Gewissheit über ihre
Datenhoheit haben. Sie können
“
kontrollieren, mit wem sie Daten
austauschen und zu welchem
Zweck.GAIA-X - the European Solution
Die Europäische Antwort auf die Globale Ressourcen-Verteilung?
Marktanteile Cloud nach Umsatz Quelle: Statista
Herausforderungen
▪ Investitionen & Vertrauen
▪ Europäische Steuerung
▪ Gleiche Chancen entwickeln
▪ Offenheit für alle EU Privacy
Standards: „Auditor“, CISPE*,
EU Cloud Code of Conduct,
* Cloud Infrastructure Services Providers in Europe
Dr. Claus-Dieter Ulmer 35CORONA-WARN-APP
Dr. Claus-Dieter Ulmer
36UMSETZUNG DER CORONA-WARN-APP“
Umsetzungsanteile von DTAG & SAP als
Auftragnehmer: Weitere Stakeholder:
▪ Entwicklung der Lösung aus Apps (iOS / Android), Backend Server
Komponenten, Kommunikations- und Netzwerkdiensten, Sicherheits-
und Datenschutzkonzept
▪ Umsetzung aufbauend auf Apple/Google API
▪ Digitaler Verifikationsprozess (z.B. Integration des Laborprozesses) ▪ Übergreifende • Einreichen der App
▪ Technische Übergabe der App an das RKI Steuerung • Pandemiekontrolle →
▪ Übergreifende Eingangsgrößen für
▪ Hosting und Betrieb, inkl. Laborserver Kommunikation Risikobewertung
▪ Umsetzung der technischen Support-Hotline ▪ PR Kampagne
▪ Nicht-technische Support-Hotline Bundesministerium für Gesundheit und RKI sind Auftraggeber
und verantwortliche Stelle im Sinne der Datenschutz-
“Community” Grundverordnung
DP-3T u.a.
Bluetooth Proximitäts Messung ▪ Konzepte /Feedback Labore
und Qualitätsbewertung ▪ Open Source Code
Die wesentlichen Grundlagen der Lösung sind Open Source gestellt und ▪ Durchführung von Tests
werden/wurden von verschiedenen Experten öffentlich diskutiert und Ergebnisübermittlung
Dr. Claus-Dieter Ulmer 37CORONA-WARN-APP@DATENSCHUTZ
▪ Genauigkeit:
Digitales Erkennen von Kontakten Add picture
▪ Hohe Privatsphäre, minimale Daten:
Keine persönlichen Angaben erforderlich, pseudonymisierte ID´s
▪ Verifikation:
Missbrauch von falschen Positivmeldungen erschwert Aktuelle Diskussion:
▪ Schnelligkeit, maximale Effizienz:
Automatisierter Abgleich der Kontakte bei positivem Befund um Datenschutz vs.
Gesundheit?
Infektionsketten schnell zu unterbrechen
▪ EU-weiter Rollout gestartet
Dr. Claus-Dieter Ulmer 38Künstliche Intelligenz (KI)
Brauchen wir das?
KI Anwendungsbereiche bei der Telekom
Bild einfügen
▪ Hallo Magenta – der
Smart Speaker
▪ Wartungsvorhersagen
für Fahrräder
▪ Tests mit APP Advisor,
Legal Tech, Privacy
Guard, DRC Concierge
▪ MyShake App
▪ „Tinka“
Dr. Claus-Dieter Ulmer ▪ „Connect App“ 40DT AG Datenschutzanforderungen in KI-Projekten
Die vier Bereiche
▪ PSA-Verfahren*, insbesondere ▪ Transparenz über Kriterien
mit Definition der Zweck- und die Gewichtung von
bestimmung und Prüfung der KI-Entscheidungen.
rechtskonformen Nutzung
aller Daten(quellen).
▪ Kontrolle durch Überwachung ▪ Information für Kunden und
der KI-Entscheidungen u.a. auf Beschäftigte über
Einhaltung der definierten Verwendung von KI-Systemen
Zweckbestimmung. sowie Möglichkeit der
Wahrnehmung von
Betroffenenrechten.
Auf Grundlage der im Konzern Deutsche Telekom bereits etablierten Vorgaben und Richtlinien (z.B. zu Big Data und IoT – Schichtenmodell,
Anonymisierung, Anti-Diskriminierung)
Dr. Claus-Dieter Ulmer 41
* Privacy-Security-AssessmentAI-Ansätze auch bei den United Nations
The UN Special Rapporteur on the Right to Privacy
Im Juli 2015 hat der Menschrechtsrat der Vereinten Nationen Prof. Joseph (Joe) Cannataci,
Professor an den Universitäten von Malta (Information Policy and Governance) und Groningen
(Chair in European Information Policy and Technology Law) zum Special Rapporteur berufen.
Seine Aufgabe ist es:
“(a ) To gather relevant information, including on international and national frameworks, national
practices and experience, to study trends, developments and challenges in relation to the right to
privacy and to make recommendations to ensure its promotion and protection, including in
connection with the challenges arising from new technologies; …”
Um Entwicklungen und Trends im Unternehmensumfeld aufzunehmen und daraus mögliche
Empfehlungen abzuleiten wurde die Taskforce for the Right to Privacy in Corporations gegründet
und Mitglieder eingeladen. Prof. Joseph Cannataci
Die Taskforce kümmert sich um datenschutzrechtliche Belange im Unternehmenskontext und
versucht – wo möglich – einen einheitlichen Angang zu definieren.
Dr. Claus-Dieter Ulmer 42Entwurf von „AI“- Recommendations
Hintergrund:
▪ Ausgangspunkt ist die Allgemeine
Erklärung der Menschenrechte vom 10. Schaffen wir es, weltweit verständliche und verwendbare
Dezember 1948 (Resolution der Empfehlungen zu entwickeln?
Generalversammlung 217 A (III)
▪ Basis ist damit nicht regionales Recht
▪ Etablierte und bewährte Datenschutz-
Grundsätze, insbesondere aus der
Europäischen Union (DSGVO), sind
Grundlage der Betrachtung
▪ Eine Arbeitsgruppe der Taskforce hat sich
der Entwicklung des Entwurfs
angenommen (Bestehend aus Elizabeth
Coombs, UN SRP; Patrick Curry, BBFA; Jörg
Thomas, Huawei; CD Ulmer, DT AG)
Dr. Claus-Dieter Ulmer 43Datenschutz im Unternehmen: Neue Rechtsfolgen …
Bußgeldentwicklung
italia
35,3 Mio. € 10,4 Mio. € 12,25 Mio. € 9,55 Mio. €
Bußgeld wegen Bußgeld wurde verhängt Bußgeld wurde verhängt Bußgeld wegen einem
Datenschutzverstößen im wegen unrechtmäßiger wegen unerwünschten mangelhaften
Servicecenter in Nürnberg Videoüberwachung der Werbeanrufen ohne Authentifizierungs-
aufgrund von Mitarbeiter. Es bestand wirksame Einwilligung in verfahren mit Namen und
umfangreicher Erhebung kein konkreter Anlass, einer Vielzahl von Fällen. Geburtsdatum. Dagegen
und Speicherung privater sondern Teils wurden Callcenter wehrte sich 1&1 mit Erfolg.
Lebensumständen von Generalverdacht. Auch ohne Autorisierung tätig. Das LG Bonn minderte das
Mitarbeitern. Kunden wurden erfasst. . Bußgeld auf 900.000 €.
Dr. Claus-Dieter Ulmer 45Bußgeldkonzept Ob die deutschen Ausichtsbehörden an ihrem Bußgeldkonzept festhalten werden, bleibt abzuwarten …
Vielen Dank!
telekom.com/datenschutz
datenschutz@telekom.deSie können auch lesen
