SlideShare ist ein Scribd-Unternehmen logo

Datenschutz-Folgenabschätzung

M
Michael Rohrlich

Praxis-Webinar zur Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO

Recht
1 von 43
Die Datenschutz-Folgenabschätzung: Das unbekannte Wesen DSFA NACH ART. 35 DSGVO
©2022 Privacy Xperts Datenschutz-Folgenabschätzung Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
Agenda: 1. Einführung 2. Schwellwertanalyse 3. Risikoeinstufung 4. Durchführung der DSFA 5. Praxistipps ©2022 Privacy Xperts Datenschutz-Folgenabschätzung
Einführung ©2021 Privacy Xperts
©2022 Privacy Xperts Einführung DSFA …muss das sein?!
©2022 Privacy Xperts Einführung Art. 5 Abs. 1 lit. f) DSGVO  „Personenbezogene Daten müssen […] f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
©2022 Privacy Xperts Einführung Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ Art. 4 Nr. 12 DSGVO  „‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
©2022 Privacy Xperts Einführung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Art. 35 Abs. 1 DSGVO  „[…] insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […]“ hohes Risiko für die Betroffenen, nicht für den Verantwortlichen
©2022 Privacy Xperts Einführung Risikobewertung / Schwellwertanalyse Prüfung DSFA-Pflicht ggf. Durchführung der DSFA ggf. Konsultation der Aufsichtsbehörde ggf. weitere Schritte
Schwellwertanalyse ©2021 Privacy Xperts
©2022 Privacy Xperts Schwellwertanalyse Natur Hochwasser, Erdbeben, Feuer, Blitzschlag, etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
©2022 Privacy Xperts Schwellwertanalyse Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
©2022 Privacy Xperts Schwellwertanalyse Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“ ErwGr. 76 DSGVO  „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
©2022 Privacy Xperts Schwellwertanalyse Eintritts- wahrschein- lichkeit einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
©2022 Privacy Xperts Schwellwertanalyse Vernachlässigbar Eingeschränkt Signifikant Maximal Vernachlässigbar 1 2 3 4 Eingeschränkt 2 4 6 8 Signifikant 3 6 9 12 Maximal 4 8 12 16 Legende: - grün: alles ok - gelb: ggf. handeln - rot: ASAP handeln!
©2022 Privacy Xperts Schwellwertanalyse Beispiel: Verlust des beruflichen Smartphones
 ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [1/2]  Diskriminierung  Identitätsdiebstahl oder -betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen ©2022 Privacy Xperts Schwellwertanalyse
 ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [2/2]  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel ©2022 Privacy Xperts Schwellwertanalyse
 ErwGr. 85 DSGVO – potentielle Schäden  physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile ©2022 Privacy Xperts Schwellwertanalyse
Risikoeinstufung ©2021 Privacy Xperts
©2022 Privacy Xperts Risikoeinstufung hohes Risiko (normales) Risiko niedriges Risiko
©2022 Privacy Xperts Risikoeinstufung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
©2022 Privacy Xperts Risikoeinstufung Checkliste DSFA keine Ausnahme (Art. 35 Abs. 5, 10)? Verarbeitung auf Positivliste (Art. 35 Abs. 4)? Regelbeispiel i.S.v. Art. 35 Abs. 3? hohes Risiko gem. Leitlinien der Art.-29-Gruppe (wp248)? sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1?
©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 5 DSGVO?  „Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.“  Bsp. Whitelist Österreich • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung • Personalverwaltung • Mitgliederverwaltung • Kundenbetreuung und Marketing für eigene Zwecke • Sach- und Inventarverwaltung • Register, Evidenzen, Bücher • Zugriffsverwaltung für EDV-Systeme • …
©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 10 DSGVO?  „Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz- Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
©2022 Privacy Xperts Risikoeinstufung Bsp. Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO  Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke  große Anwaltssozietät / große Arztpraxis  Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren  Fraud-Prevention-Systeme  Scoring durch Auskunfteien, Banken oder Versicherungen  Betrieb von Bewertungsportalen  Inkassodienstleistungen – Factoring  Geolokalisierung von Beschäftigten  Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden  Kundensupport mittels künstlicher Intelligenz  Telefongespräch-Auswertung mittels Algorithmen  Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO  Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
©2022 Privacy Xperts Risikoeinstufung Regelbeispiel i.S.v. Art. 35 Abs. 3 DSGVO  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 DSGVO  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
©2022 Privacy Xperts Risikoeinstufung hohes Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248)  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen
©2022 Privacy Xperts Risikoeinstufung DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online- Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
©2022 Privacy Xperts Risikoeinstufung sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1 DSGVO  insbesondere… • bei Verwendung neuer Technologien (z.B. KI) • aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
Durchführung der DSFA ©2021 Privacy Xperts
©2022 Privacy Xperts Durchführung der DSFA  frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO)  „Der Verantwortliche holt bei der Durchführung einer Datenschutz- Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
©2022 Privacy Xperts Durchführung der DSFA  Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO)  „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“
©2022 Privacy Xperts Durchführung der DSFA  Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird
©2022 Privacy Xperts Durchführung der DSFA  Checkliste  Anlass der Durchführung der DSFA  Zweck der Datenverarbeitung  Rechtsgrundlage der Datenverarbeitung  Beschreibung der Datenverarbeitung  Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung  Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen  Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos  Testbetrieb  Change-Management  Ergebnis  Wiedervorlage
©2022 Privacy Xperts Durchführung der DSFA  PDCA-Zyklus (Art. 35 Abs. 11 DSGVO)  „Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.“
©2022 Privacy Xperts Durchführung der DSFA  Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)?  ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen  die Zwecke und die Mittel der beabsichtigten Verarbeitung  die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien  ggf. die Kontaktdaten des DSB  die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO  alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
Praxistipps ©2021 Privacy Xperts
https://www.cnil.fr/en/privacy- impact-assessment-pia ©2022 Privacy Xperts Praxistipps
©2022 Privacy Xperts Praxistipps  Praxistipps / Hilfestellungen  BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC 29134  Datenschutzzentrum: Durchführung einer DSFA gem. Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“- Verfahrens  GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem)  BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht  Forum Privatheit: Whitepaper DSFA  GDD: Praxishilfe XIV  Fraunhofer Institut: Handbuch zur DSFA (kostenfrei)  DSK: Kurzpapier Nr. 5  Corona Warn App: Bericht zur DSFA
©2021 Privacy Xperts Datenschutz-Folgenabschätzung (DSFA) Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Wie sind Ihre Erfahrungen beim Umgang mit der DSFA in der Praxis?

Empfohlen

Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?comspace GmbH & Co. KG
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitinPuncto GmbH
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Agostino Pedone
 

Empfohlen

Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?comspace GmbH & Co. KG
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitinPuncto GmbH
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101Agostino Pedone
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
I crimini informatici
I crimini informaticiI crimini informatici
I crimini informaticiGiovanni Fiorino
 
La Firma Digitale
La Firma DigitaleLa Firma Digitale
La Firma DigitaleAntongiulio Bua
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica GalliIl rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica GalliPrimariaLSantucci
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
E Commerce Apresentacao Final
E Commerce Apresentacao FinalE Commerce Apresentacao Final
E Commerce Apresentacao FinalNuno Mestre
 
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )Marco Garcia
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018Simone Chiarelli
 
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....Simone Aliprandi
 
HR in agilen Umgebungen
HR in agilen UmgebungenHR in agilen Umgebungen
HR in agilen UmgebungenFrank Edelkraut
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Cyber risk
Cyber riskCyber risk
Cyber riskAndré Wohlert
 

Weitere ähnliche Inhalte

Was ist angesagt?

BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD DescomplicadaMaicon Alvim
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica GalliIl rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica GalliPrimariaLSantucci
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
E Commerce Apresentacao Final
E Commerce Apresentacao FinalE Commerce Apresentacao Final
E Commerce Apresentacao FinalNuno Mestre
 
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )Marco Garcia
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018Simone Chiarelli
 
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....Simone Aliprandi
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 

Was ist angesagt? (20)

BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
I crimini informatici
I crimini informaticiI crimini informatici
I crimini informatici
 
La Firma Digitale
La Firma DigitaleLa Firma Digitale
La Firma Digitale
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 
LGPD Descomplicada
LGPD DescomplicadaLGPD Descomplicada
LGPD Descomplicada
 
Artesoftware Explicando LGPD
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPD
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica GalliIl rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica Galli
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
E Commerce Apresentacao Final
E Commerce Apresentacao FinalE Commerce Apresentacao Final
E Commerce Apresentacao Final
 
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
 
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
 
HR in agilen Umgebungen
HR in agilen UmgebungenHR in agilen Umgebungen
HR in agilen Umgebungen
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 

Ähnlich wie Datenschutz-Folgenabschätzung

Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 DatenschutzPatrick Nadler
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Bernd Fuhlert
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...&Data Training
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Alexander Talmon LL.M.
 

Ähnlich wie Datenschutz-Folgenabschätzung (10)

Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 Datenschutz
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 

Mehr von Michael Rohrlich (20)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 

Datenschutz-Folgenabschätzung

  • 2. ©2022 Privacy Xperts Datenschutz-Folgenabschätzung Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
  • 3. Agenda: 1. Einführung 2. Schwellwertanalyse 3. Risikoeinstufung 4. Durchführung der DSFA 5. Praxistipps ©2022 Privacy Xperts Datenschutz-Folgenabschätzung
  • 6. ©2022 Privacy Xperts Einführung Art. 5 Abs. 1 lit. f) DSGVO  „Personenbezogene Daten müssen […] f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
  • 7. ©2022 Privacy Xperts Einführung Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
  • 8. ©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
  • 9. ©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ Art. 4 Nr. 12 DSGVO  „‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
  • 10. ©2022 Privacy Xperts Einführung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Art. 35 Abs. 1 DSGVO  „[…] insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […]“ hohes Risiko für die Betroffenen, nicht für den Verantwortlichen
  • 11. ©2022 Privacy Xperts Einführung Risikobewertung / Schwellwertanalyse Prüfung DSFA-Pflicht ggf. Durchführung der DSFA ggf. Konsultation der Aufsichtsbehörde ggf. weitere Schritte
  • 13. ©2022 Privacy Xperts Schwellwertanalyse Natur Hochwasser, Erdbeben, Feuer, Blitzschlag, etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
  • 14. ©2022 Privacy Xperts Schwellwertanalyse Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
  • 15. ©2022 Privacy Xperts Schwellwertanalyse Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“ ErwGr. 76 DSGVO  „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
  • 16. ©2022 Privacy Xperts Schwellwertanalyse Eintritts- wahrschein- lichkeit einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
  • 17. ©2022 Privacy Xperts Schwellwertanalyse Vernachlässigbar Eingeschränkt Signifikant Maximal Vernachlässigbar 1 2 3 4 Eingeschränkt 2 4 6 8 Signifikant 3 6 9 12 Maximal 4 8 12 16 Legende: - grün: alles ok - gelb: ggf. handeln - rot: ASAP handeln!
  • 18. ©2022 Privacy Xperts Schwellwertanalyse Beispiel: Verlust des beruflichen Smartphones
  • 19.  ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [1/2]  Diskriminierung  Identitätsdiebstahl oder -betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen ©2022 Privacy Xperts Schwellwertanalyse
  • 20.  ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [2/2]  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel ©2022 Privacy Xperts Schwellwertanalyse
  • 21.  ErwGr. 85 DSGVO – potentielle Schäden  physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile ©2022 Privacy Xperts Schwellwertanalyse
  • 23. ©2022 Privacy Xperts Risikoeinstufung hohes Risiko (normales) Risiko niedriges Risiko
  • 24. ©2022 Privacy Xperts Risikoeinstufung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
  • 25. ©2022 Privacy Xperts Risikoeinstufung Checkliste DSFA keine Ausnahme (Art. 35 Abs. 5, 10)? Verarbeitung auf Positivliste (Art. 35 Abs. 4)? Regelbeispiel i.S.v. Art. 35 Abs. 3? hohes Risiko gem. Leitlinien der Art.-29-Gruppe (wp248)? sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1?
  • 26. ©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 5 DSGVO?  „Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.“  Bsp. Whitelist Österreich • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung • Personalverwaltung • Mitgliederverwaltung • Kundenbetreuung und Marketing für eigene Zwecke • Sach- und Inventarverwaltung • Register, Evidenzen, Bücher • Zugriffsverwaltung für EDV-Systeme • …
  • 27. ©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 10 DSGVO?  „Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz- Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
  • 28. ©2022 Privacy Xperts Risikoeinstufung Bsp. Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO  Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke  große Anwaltssozietät / große Arztpraxis  Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren  Fraud-Prevention-Systeme  Scoring durch Auskunfteien, Banken oder Versicherungen  Betrieb von Bewertungsportalen  Inkassodienstleistungen – Factoring  Geolokalisierung von Beschäftigten  Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden  Kundensupport mittels künstlicher Intelligenz  Telefongespräch-Auswertung mittels Algorithmen  Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO  Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
  • 29. ©2022 Privacy Xperts Risikoeinstufung Regelbeispiel i.S.v. Art. 35 Abs. 3 DSGVO  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 DSGVO  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
  • 30. ©2022 Privacy Xperts Risikoeinstufung hohes Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248)  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen
  • 31. ©2022 Privacy Xperts Risikoeinstufung DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online- Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
  • 32. ©2022 Privacy Xperts Risikoeinstufung sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1 DSGVO  insbesondere… • bei Verwendung neuer Technologien (z.B. KI) • aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
  • 34. ©2022 Privacy Xperts Durchführung der DSFA  frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO)  „Der Verantwortliche holt bei der Durchführung einer Datenschutz- Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
  • 35. ©2022 Privacy Xperts Durchführung der DSFA  Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO)  „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“
  • 36. ©2022 Privacy Xperts Durchführung der DSFA  Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird
  • 37. ©2022 Privacy Xperts Durchführung der DSFA  Checkliste  Anlass der Durchführung der DSFA  Zweck der Datenverarbeitung  Rechtsgrundlage der Datenverarbeitung  Beschreibung der Datenverarbeitung  Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung  Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen  Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos  Testbetrieb  Change-Management  Ergebnis  Wiedervorlage
  • 38. ©2022 Privacy Xperts Durchführung der DSFA  PDCA-Zyklus (Art. 35 Abs. 11 DSGVO)  „Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.“
  • 39. ©2022 Privacy Xperts Durchführung der DSFA  Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)?  ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen  die Zwecke und die Mittel der beabsichtigten Verarbeitung  die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien  ggf. die Kontaktdaten des DSB  die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO  alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
  • 42. ©2022 Privacy Xperts Praxistipps  Praxistipps / Hilfestellungen  BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC 29134  Datenschutzzentrum: Durchführung einer DSFA gem. Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“- Verfahrens  GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem)  BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht  Forum Privatheit: Whitepaper DSFA  GDD: Praxishilfe XIV  Fraunhofer Institut: Handbuch zur DSFA (kostenfrei)  DSK: Kurzpapier Nr. 5  Corona Warn App: Bericht zur DSFA
  • 43. ©2021 Privacy Xperts Datenschutz-Folgenabschätzung (DSFA) Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Wie sind Ihre Erfahrungen beim Umgang mit der DSFA in der Praxis?