Die DSGVO ab 25. Mai 2018 - Grundsätzliche Regelungen und Handlungsbedarf - IHK für Rheinhessen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die DSGVO ab 25. Mai 2018 –
Grundsätzliche Regelungen und
Handlungsbedarf
Rechtsquellen • 1. International (https://dsgvo-gesetz.de/art-1-dsgvo/) • Verordnung (EU) 2016/679 oder kurz DSGVO (Datenschutzgrundverordnung) • Erwägungsgründe • 2. National (https://dsgvo-gesetz.de/bdsg-neu/) • BDSG(Bundesdatenschutzgesetz)
DSGVO - Grundbegriffe
Art. 4 Nr. 1 „personenbezogene Daten“
• „..alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen..“
• z.B. Namen, Anschriften, Kontodaten von Kunden,
Mitarbeitern Bestellhistorien oder auch schon eine Email-
Adresse
! • auch „Kennung“ reicht für Personenbezug
• Autokennzeichen, Steuernummer, Cookie oder
IP-Adresse genügt
DSGVO - Grundbegriffe
Art. 4 Nr. 2 „Verarbeitung“
• jeder „..mit oder ohne Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede solche Vorgangsreihe im
Zusammenhang mit personenbezogenen Daten..“
• Also: Erheben, Erfassen, Organisation, Ordnen, Speicherung,
Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung,
Offenlegung durch Übermittlung, Verbreitung oder eine andere
Form der Bereitstellung, Abgleich oder die Verknüpfung, die
Einschränkung, Löschen oder Vernichtung
!• Neu: auch Erhebung und Nutzung von Daten erfasst
DSGVO - Grundbegriffe Weitere Definitionen • In Art. 4 DSGVO weitere Definitionen, insbesondere für spezielle Verarbeitungsvorgänge(„Profiling, Pseudonymisierung“) sowie bestimmte Personen(„Verantwortlicher, Auftragsverarbeiter, Empfänger etc.“, s.u.)
BDSG - Grundbegriffe
• Im BDSG-neu gelten die Grundbegriffe aus der DSGVO, ergänzend
werden die „Stellen“ definiert, § 2 BDSG, die mit Datenverarbeitung in
Kontakt kommen.
• Zentral hier: § 2 Abs. 4 BDSG, die Nichtöffentlichen Stellen:
„natürliche und juristische Personen, Gesellschaften und andere
! Personenvereinigungen des privaten Rechts“, also jeder
Unternehmer und jedes Unternehmen!
• Daneben öffentliche StellenDSGVO - Voraussetzungen
Es gilt das Verbotsprinzip (§ 4 I BDSG)
Datenverarbeitung ist grundsätzlich
verboten
Regelungen in Art. 5-11 DSGVOWesentlich: Art. 6 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn:
• „die betroffene Person hat ihre Einwilligung zu der
Verarbeitung…. für einen oder mehrere bestimmte
Zwecke gegeben“
• „die Verarbeitung ist für die Erfüllung eines
Vertrags…..erforderlich…“
• „…zur Erfüllung einer rechtlichen Verpflichtung
erforderlich…“DSGVO - Voraussetzungen
• „…erforderlich, um lebenswichtige Interessen der betroffenen
Person oder einer anderen natürlichen Person zu schützen…“
• „…für die Wahrnehmung einer Aufgabe erforderlich, die im
öffentlichen Interesse liegt …“
• „…zur Wahrung der berechtigten Interessen…erforderlich, sofern
nicht die Interessen…der betroffenen Person,….überwiegen…“DSGVO - Voraussetzungen
• Beruht die Verarbeitung auf einer
Art. 7 DSGVO Einwilligung, muss der Verantwortliche
nachweisen können, dass die betroffene
Einwilligung: Person in die Verarbeitung ihrer
personenbezogenen Daten eingewilligt
Nachweispflicht hat.DSGVO - Voraussetzungen
• Erfolgt die Einwilligung der betroffenen Person
durch eine schriftliche Erklärung, die noch andere
Art. 7 DSGVO Sachverhalte betrifft, so muss das Ersuchen um
Einwilligung in verständlicher und leicht
Einwilligung: zugänglicher Form in einer klaren und einfachen
Sprache so erfolgen, dass es von den anderen
Voraussetzungen Sachverhalten klar zu unterscheiden ist. Teile der
Erklärung sind dann nicht verbindlich, wenn sie
einen Verstoß gegen diese Verordnung darstellen.DSGVO - Voraussetzungen
• Die betroffene Person hat das Recht, ihre
Einwilligung jederzeit zu widerrufen. Durch den
Art. 7 DSGVO Widerruf der Einwilligung wird die
Rechtmäßigkeit der aufgrund der Einwilligung bis
Einwilligung: zum Widerruf erfolgten Verarbeitung nicht
berührt. Die betroffene Person wird vor Abgabe
Widerruf der Einwilligung hiervon in Kenntnis gesetzt. Der
Widerruf der Einwilligung muss so einfach wie die
Erteilung der Einwilligung sein.DSGVO - Voraussetzungen
• Bei der Beurteilung, ob die Einwilligung freiwillig
erteilt wurde, muss dem Umstand in
Art. 7 DSGVO größtmöglichem Umfang Rechnung getragen
werden, ob unter anderem die Erfüllung eines
Einwilligung: Vertrags, einschließlich der Erbringung einer
Dienstleistung, von der Einwilligung zu einer
Erforderlichkeit Verarbeitung von personenbezogenen Daten
abhängig ist, die für die Erfüllung des Vertrags
nicht erforderlich sind.DSGVO - Voraussetzungen
• Alternativ: Zur Erfüllung des Vertrages
unbedingt erforderlich
• Name
Art. 7 DSGVO • Rechnungsadresse
Einwilligung • Lieferanschrift
• Beispiele: Kaufvertrag, Reparaturannahme,
Gehaltszahlungen an Mitarbeiter etc..DSGVO - Voraussetzungen
• Hier Verbotsprinzip beachten:
Art. 7 DSGVO • ändert sich der Zweck, muss der neue Zweck
zwingend von einer Einwilligung oder einer
Einwilligung gesetzlichen Norm eigenständig gedeckt sein.
• Bezieht sich auf jeden einzelnen
Zweckänderung Verarbeitungsschritt
• Generelle Einwilligung nicht möglichDSGVO – Rechte „Betroffener“
Art. 12 – 23 DSGVO
Transparenz Auskunft(Art.15)
Berichtigung, Einschränkung der
Verarbeitung, Datenübertragbarkeit Widerspruch
Sperrung LöschungDSGVO – Rechte „Betroffener“
Art. 15 ff. DSGVO
Beachte: Der Verantwortliche muss den Betroffenen im
Rahmen der allgemeinen Informationspflicht auch auf die
Betroffenenrechte hinweisen
• Keine Form für Geltendmachung vorgeschrieben, per Mail oder
Anforderungen mündlich zulässig
• Kann erleichtert werden durch Bereitstellen von elektronischen
FormularenDSGVO – Rechte „Betroffener“
Transparenz, • Umfangreiche Bereitstellung von Informationen durch den Verantwortlichen
• Macht Betroffener seine Rechte geltend, muss unverzüglich, spätestens
jedoch binnen eines Monats ab Antrag der betroffenen Person gehandelt
Art. 12 iVm. Art. 15 werden
DSGVO • Information auch über Zeitverzögerung der Bereitstellung und Gründe
hierfür
Informationen in Art. • Name/Kontaktdaten des Verantwortlichen
13 • Ggf. Name und Kontakt des Datenschutzbeauftragten
• Zweck der Verarbeitung
(Erhebung bei • Ggf. (Dritt-)Empfänger
• Speicherdauer
betroffener Person)DSGVO – Rechte „Betroffener“
Aufklärung in • Über Auskunftsrecht
Art. 13 • Über Rechtsgrundlage der
(Erhebung bei Verarbeitung(Einwilligung/Erforderlichkeit)
betroffener • Bestehen eines Beschwerderechts bei
Aufsichtsbehörde
Person)DSGVO – Rechte „Betroffener“
Zusätzliche
Informationen • Analog Informationen gem.
bei Verarbeitung Art. 13
gem. Art. 14 • Erteilung binnen eines Monats
(nicht bei ab Erlangung, spätestens bei
betroffener Kontakt zur betroffenen Person
Person erhoben)DSGVO – Rechte „Betroffener“
• Jederzeit Auskunft über
Auskunftsrecht, • „ob“ der Verarbeitung
Art. 15 • Zweck, Art der Daten, Empfänger, Speicherdauer,
• Bestehen von Löschungs- und Beschwerderechten
Recht auf
Berichtigung, • Jederzeitige Korrektur
Art. 16DSGVO – Rechte „Betroffener“
Recht auf Löschung, • Wenn:
• Nicht mehr notwendig
Art. 17 • Einwilligung widerrufen
• Widerspruch gegen Verarbeitung sofern keine vorrangig berechtigten Gründe
Recht auf • Wenn:
Einschränkung der • Richtigkeit bestritten ->Einschränkung bis Überprüfung
• Verarbeitung unrechtmäßig, aber Löschung nicht verlangt
Verarbeitung, Art. • Nicht länger benötigt, aber Geltendmachung von Ansprüchen des Betroffenen
• Bei Widerspruch berechtigte Gründe geprüft werden
18DSGVO – Rechte „Betroffener“
• Betroffener kann jederzeit
verlangen, die
Recht auf personenbezogenen Daten in
Datenübertragbarkeit
Art. 18 strukturierter, gängiger und
maschinenlesbarer Form zu
erhaltenDSGVO – Rechte „Betroffener“ Reaktion auf Geltendmachung der Rechte Unverzüglich, spätestens innerhalb eines Monats reagieren (Frist kann unter Angabe von Gründen um 2 Monate verlängert werden) Wenn Identität des Betroffenen unklar, kann Ausweiskopie oder anderer Nachweis angefordert werden Auskunft muss unentgeltlich erfolgen Kein Weigerungsrecht des Verantwortlichen Wenn Antrag abgelehnt wird, muss Ablehnung mit Rechtsbehelfsbelehrung versehen werden
DSGVO – Pflichten des Verantwortlichen Regelung zentral in Art. 24 – 27 • Insbesondere Informationspflichten gem. Art. 13 und 14 • Zum Zeitpunkt der Erhebung (Direkterhebung Art. 13) • Innerhalb eines Monats nach Erlangung (Dritterhebung, Art. 14) • Folgen von Verstößen(Art. 83) • Geldbuße bis zu 20 Mio. €/ 4 % des weltweit erzielten Jahresumsatzes • Nachweis für ordnungsgemäße Information bei Verantwortlichem • Führung eines Verarbeitungsverzeichnisses • TOM(technische und organisatorische Maßnahmen) zur Verarbeitung gem. DSGVO • Ggf. Benennung eines Datenschutzbeauftragen
DSGVO- Auftragsdatenverarbeitung Regelungen zur Auftragsdatenverarbeitung in Art. 28 ff. • Insbesondere klare und transparente Informationserteilung • Klare Vertragssituation zwischen Verantwortlichem und Auftragnehmer • Eigenes Verarbeitungsverzeichnis, Art. 30 • ggf. eigener Datenschutzbeauftragter
DSGVO - Verarbeitungsverzeichnis
Art. 30 DSGVO
Verzeichnis aller Verarbeitungstätigkeiten
• Namen des Verantwortlichen/Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten
• Kategorien von Empfängern
• Fristen der Löschung
• Art. 30 Abs. 5
Chancen:
• Beschreibung sämtlicher Datenverarbeitungsprozesse im Unternehmen lässt besseres Controlling und somit
Prozessoptimierung zu
• Informationspflichten aus Verzeichnis abzuleitenVerarbeitungsverzeichnis Art. 30 DS-GVO
12.04.2018
28Hinweise zum
Verarbeitungsverzeichnis Art. 30 DS-GVO
https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/verzeichnis-
von-verarbeitungstaetigkeiten/
12.04.2018
29DSGVO - Datenschutzbeauftragter Bestellung • Potentiell durch Verantwortlichen und Auftragsdatenverarbeiter • Es sollte kein Interessenkonflikt bestehen (Datenschutzbeauftragter nicht Inhaber oder Geschäftsführung) • Folge: Sonderkündigungsschutz zwar nicht nach DSGVO, aber nach BDSG-neu
DSGVO - Datenschutzbeauftragter
Kerntätigkeit ist Durchführung von Verarbeitungsvorgängen
• Datenverarbeitung kann untrennbarer Bestandteil sein, z.B. wenn Mitarbeiter- oder Kundendaten gespeichert werden
• Bsp.: Anwaltskanzlei, Sicherheitsunternehmen, Werbung, Risikobewertung, Marketing, Überwachung
Immer, wenn sensible Daten verarbeitet werden (Vorabkontrolle über generelle Zulässigkeit
notwendig)
Wenn über 9 Personen personenbezogene Daten automatisiert verarbeiten (BDSG-neu)
Weniger als 20 mit nicht-automatisierter Datenverarbeitung zu tun haben (BDSG-neu)
Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten
Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert werdenDSGVO – Datenschutzbeauftragter Freiwillige Benennung möglich (dann allerdings kein Kündigungsschutz) • Vertragliche Fixierung der Aufgaben und der Position Falls keine Benennung erfolgt ist eine Dokumentation der Prüfung sinnvoll Berufliche Qualifikation -> Fachwissen zur DSGVO/Sensitivität der Daten, Fähigkeit zur Erfüllung der Aufgaben
DSGVO - Datenschutzbeauftragter Stellung • Frühzeitige Einbeziehung in datenschutzrechtliche Fragen • Bereitstellung von Ressourcen, Zugang zu Daten, Fortbildungsmöglichkeit • Weisungsfrei und unabhängig bei Bearbeitung von Beschwerden etc. • Unmittelbarer Zugang zur Managementebene
DSGVO - Datenschutzbeauftragter Aufgaben: • Bericht an Management • Anlaufstelle für Beschwerden betroffener Personen • Verpflichtung zur Vertraulichkeit • Zeugnisverweigerungsrecht/Beschlagnahmeverbot • Führen des Verzeichnisses über Verarbeitungstätigkeiten • Unterrichtung und Beratung des Verantwortlichen • Schulung der Beschäftigten • Datenschutz - Folgenabschätzung • Nicht: Festlegung der Zwecke und Mittel der Datenverarbeitung
DSGVO - Datenschutzbeauftragter Verstöße • Nichtbenennung • Unzureichende Unterstützung • Benachteiligung Folgen • Geldbußen bis zu 10 Mio. €/2 % des Jahresumsatzes
DSGVO - Datenschutzbeauftragter Handlungsbedarf: •Prüfung der Voraussetzung für Bestellung •Aufklärung über Aufgaben, Rechte, Pflichten, am Besten schriftlich •Erarbeitung von Standards die DSB einbinden
DSGVO - Sicherheit Anforderung Art. 5 • Datenminimierung • Speicherbegrenzung(Dauer) • Rechenschaftspflichten Art. 32 DSGVO • Integrität, Vertraulichkeit, Verfügbarkeit • Risikobewertung • Verschlüsselung • Datenschutzmanagement www.bsi.de ->IT-Grundschutz Kompendium
DSGVO Risikoanalyse/Sicherheitskonzept Risikoanalyse/Sicherheitskonzept • TOMs erforderlich um Sicherheit(Wahrung der Rechte) zu gewährleisten • Richtet sich nach dem voraussichtlichen Risiko der Rechtsverletzung • Daher: Risikoanalyse anhand des Verarbeitungsverzeichnisses • Sodann: Entwicklung Sicherheitskonzept zur Verhinderung der Rechtsverletzung • Aufstellung typischer Szenarien (Verarbeitungsverzeichnis) • Qualifizierung gefährdender Tätigkeiten • Vorhalten geeigneter Maßnahmen
Beispiel:
Beispiel:
Beispiel:
Beispiel:
Referenztabelle OPS 1.1.4 Schutz vor Schadprogrammen
Art. 83 Bußgelder bei Defiziten bei der
Sicherheit der Verarbeitung
Art. 32 Sicherheit der VerarbeitungUmsetzung Art. 32 Sicherheit der Verarbeitung
BDSG heute
Was mache
Verarbeitungsverzeichnis ich?
Was betrifft
Risikoanalyse DSFA
mich?
Welche
Sicherheitskonzept Maßnahmen
treffe ich?
Wie
Datenschutzmanagement organisiere
ich das?
DS-GVO 25.5.18Danke für Ihre Aufmerksamkeit!
Sie können auch lesen
