Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Die zentralen Pflichten von Verantwortlichen

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Die zentralen Pflichten von Verantwortlichen

  1. 1. Rev. Stand 3.0 9. März 2021, 10.00 – 11.30 Uhr Webinar Die zentralen Pflichten der Verantwortlichen Inhaltlicher Stand: 01.03.2021 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 3
  4. 4. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 4
  5. 5. Rev. Stand 3.0 Einführung 5 Dokumentation Risikoanalyse IT-Sicherheit Datenschutz- Folgenabschätzung Bereitstellung von Informationen Meldepflicht bei Datenpannen ggf. Benennung eines DSB Privacy by design / by default … Die zentralen Pflichten von Verantwortlichen im Überblick
  6. 6. Rev. Stand 3.0 Einführung 6 Warum eigentlich? Art. 5 Abs. 2 / Art. 24 Abs. 1 S. 1: Rechenschaftspflicht („Beweislastumkehr“)
  7. 7. Rev. Stand 3.0 Einführung 7  Grundsätze Privacy by default (datenschutzfreundliche Voreinstellungen) und Privacy by design (datenschutzfreundliche Technikgestaltung) zu berücksichtigen  Maßnahmen u.a.:  Verarbeitung personenbezogener Daten minimieren  personenbezogene Daten so schnell wie möglich pseudonymisieren  Transparenz herstellen  dem Betroffenen ermöglichen, die Verarbeitung seiner Daten zu überwachen  Sicherheitsfunktionen schaffen bzw. verbessern Art. 25 Abs. 1,2 ErwGr 78
  8. 8. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 8
  9. 9. Rev. Stand 3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  auch keine Vorgaben bzgl. der Detailtiefe  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Abs. 1, 2 Dokumentationspflichten 9
  10. 10. Rev. Stand 3.0 Dokumentationspflichten 10 VVT / Verantwortlicher Namen + Kontaktdaten des Verantwortlichen ggf. gemeinsam Verantwortlicher ggf. Vertreter ggf. Namen + Kontaktdaten des DSB Zwecke der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Empfänger ggf. Daten-übermittlung an Drittland Löschfristen allg. Beschreibung der TOMs
  11. 11. Rev. Stand 3.0 Dokumentationspflichten 11 VVT / Auftragsverarbeiter Namen + Kontaktdaten des Auftragsverarbeiters Namen + Kontaktdaten jedes Verantwortlichen, in dessen Auftrag gehandelt wird ggf. Vertreter ggf. Name + Kontaktdaten des DSB Kategorien von Verarbeitungen ggf. Datenübermittlung an Drittland allg. Beschreibung der TOMs
  12. 12. Rev. Stand 3.0  TOMs (Art. 32 Abs. 1)  „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“  z.B. durch  Pseudonymisierung  Verschlüsselung  Vertraulichkeit  Integrität  Verfügbarkeit  Belastbarkeit  Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Dokumentationspflichten 12
  13. 13. Rev. Stand 3.0  Umsetzung der TOMs unter Berücksichtigung von…  Stand der Technik  Kosten der Implementierung  Art der Datenverarbeitung  Umfang der Datenverarbeitung  Umstände der Datenverarbeitung  Zwecke der Datenverarbeitung  Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Dokumentationspflichten 13
  14. 14. Rev. Stand 3.0 Dokumentationspflichten 14  Stand der Technik?  „Somit kann der Stand der Technik als die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, bezeichnet werden.“  -> marktreife Technik, die am meisten Sicherheit bietet TeleTrusT Handreichung zum „Stand der Technik“ (2019)
  15. 15. Rev. Stand 3.0 Dokumentationspflichten 15 „3-Stufen-Theorie“ Stand der Wissenschaft Stand der Technik allg. anerkannten Regeln der Technik
  16. 16. Rev. Stand 3.0  Art. 32 Abs. 2  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung […] verbunden sind.“ Dokumentationspflichten 16
  17. 17. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 17
  18. 18. Rev. Stand 3.0 Risikobewertung 18 Natur Hochwasser, Erdbeben, Blitzschlag, Feuer etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
  19. 19. Rev. Stand 3.0 Risikobewertung 19 Eintritts- wahrschein -lichkeit einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
  20. 20. Rev. Stand 3.0 Risikobewertung 20 Legende: - grün: alles ok - gelb: zu erledigen - rot: ASAP handeln!
  21. 21. Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (1/2)  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen Risikobewertung 21
  22. 22. Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (2/2)  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel Risikobewertung 22
  23. 23. Rev. Stand 3.0 Risikobewertung 23 Quelle: Pixabay Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
  24. 24. Rev. Stand 3.0 Risikobewertung 24 PLAN (Risikobeurteilung & Planung TOMs) DO (Umsetzung der TOMs) CHECK (Risikobewertung) ACT (ggf. Anpassung der TOMs) Plan (planen) Do (handeln) Check (prüfen) Act (anpassen) -> Einsatz eines ISMS?
  25. 25. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 25
  26. 26. Rev. Stand 3.0 Art. 37 Abs. 7 2. HS: „Der Verantwortliche […] veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. “ DSB-Meldung 26 „neue“ Pflicht:
  27. 27. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 27
  28. 28. Rev. Stand 3.0  Typische Datenpannen:  Hack eines Servers  Virus im int. Netzwerk  Verschlüsselungstrojaner (z.B. durch „Fake-Bewerbung“)  Verlust eines Schriftstücks, Aktenordners…  Diebstahl eines ext. Datenträgers  Diebstahl eines Laptops, Tablets, Handys…  Versenden eines Briefs / Bescheides an falschen Empfänger  ggf. E-Mail an mehrere Empfänger, die in „cc“ gesetzt sind (und z.B. nicht in „bcc“) Meldung von Datenpannen 28
  29. 29. Rev. Stand 3.0  Meldepflicht ggü. Aufsichtsbehörde (Art. 33 Abs. 1, 2)  bei Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche dies der zuständigen Aufsichtsbehörde  Verantwortlicher muss Verletzungen einschl. aller im Zusammenhang damit stehenden Fakten, deren Auswirkungen & ergriffenen Abhilfemaßnahmen dokumentieren  Auftragsverarbeiter müssen Verletzung unverzüglich an Verantwortlichen melden Meldung von Datenpannen 29
  30. 30. Rev. Stand 3.0  Ausnahme von der Meldepflicht ggü. Aufsichtsbehörde  die Verletzung führt vorauss. nicht zu einem Risiko für Rechte & Freiheiten natürlicher Personen (z.B. bei Verlust verschlüsselter Daten)  Voraussetzung: Risikoanalyse durch verantwortliche Stelle  Accountability-Prinzip: Verantwortlicher ist nachweispflichtig dafür, dass kein Risiko besteht Meldung von Datenpannen 30
  31. 31. Rev. Stand 3.0  ErwGr 85: potentielle Schäden: physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile Meldung von Datenpannen 31
  32. 32. Rev. Stand 3.0  Mindest-Inhalt der Meldung an Aufsichtsbehörde (Art. 33 Abs. 3)  Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien & ungefähren Zahl der Betroffenen, der betroffenen Datenkategorien & der ungefähren Zahl der betroffenen Datensätze  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 32
  33. 33. Rev. Stand 3.0  Frist für Meldung an Aufsichtsbehörde (Art. 33 Abs. 1, 4)  unverzüglich, möglichst binnen 72 Std.  bei Verspätung muss Verzögerung begründet werden  wenn und soweit Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann Verantwortlicher diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen Meldung von Datenpannen 33
  34. 34. Rev. Stand 3.0  Meldepflicht ggü. Betroffenen (Art. 34 Abs. 1, 2)  hat Verletzung des Schutzes personenbezogener Daten vorauss. hohes Risiko für die persönlichen Rechte & Freiheiten natürlicher Personen zur Folge, so benachrichtigt Verantwortlicher die Betroffenen  Frist: unverzüglich  Form: in klarer & einfacher Sprache Meldung von Datenpannen 34
  35. 35. Rev. Stand 3.0  Ausnahmen der Meldepflicht ggü. Betroffenen (Art. 34 Abs. 3)  Verantwortlicher hat geeignete TOMs getroffen & diese wurden auf die von der Verletzung betroffenen Daten angewandt (insbesondere z.B. durch Verschlüsselung)  Verantwortlicher hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht  Meldung wäre mit unverhältnismäßigem Aufwand verbunden (dann muss stattdessen öffentliche Bekanntmachung o.ä. Maßnahme erfolgen) Meldung von Datenpannen 35
  36. 36. Rev. Stand 3.0  Mindest-Inhalt der Meldung an Betroffene (Art. 34 Abs. 2)  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 36
  37. 37. Rev. Stand 3.0 Meldung von Datenpannen 37 Datenpanne Risiko Meldung an Behörde binnen 72 Std. Begründung bei evtl. Verspätung hohes Risiko Meldung an Betroffene unverzüglich klare & einfache Sprache
  38. 38. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 38
  39. 39. Rev. Stand 3.0  Datenschutz-Folgenabschätzung (Art. 35 Abs. 1)  hohes Risiko durch Datenverarbeitung?  insbesondere bei Verwendung von (für den Verantwortlichen) neuen Technologien  Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten DSFA 39
  40. 40. Rev. Stand 3.0  Prüfung DSFA-Pflicht  Verarbeitungstätigkeit auf Positivliste der DSK bzw. der zuständigen Aufsichtsbehörde (Art. 35 Abs. 4)?  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1? insbesondere durch…  Verwendung neuer Technologien  Art, Umfang, Umstände & Zwecke der Verarbeitung DSFA 40
  41. 41. Rev. Stand 3.0  Beispiele von Verarbeitungstätigkeiten auf DSK-Positivliste (Art. 35 Abs. 4)?  Verarbeitung biometrischer / genetischer Daten (z.B. im Krankenhaus)  umfangreiche Verarbeitung von Daten, die Sozial-, Berufs- oder besonderem Amtsgeheimnis unterliegen (z.B. durch große Anwaltssozietät)  umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen (z.B. GPS-Ortung von Firmenfahrzeugen)  Zusammenführung von Daten aus versch. Quellen und Weiterverarbeitung zu anderen Zwecken (z.B. Betrugs-Frühwarnsysteme)  umfangreiche Verarbeitung von Daten zur Bewertung des Verhaltens von Beschäftigten (z.B. Geolokalisierung von Außendienstmitarbeitern)  Erstellung umfangreicher Profile über persönliche Interessen (z.B. Dating-Portal)  Zusammenführung und Analyse von Daten aus versch. Quellen (z.B. Big-Data- Analyse)  Einsatz von KI (z.B. Chatbot im Kundenservice)  automatisierte Auswertung von Video- / Ton-Aufnahmen (z.B. Telefonaten)  … DSFA 41
  42. 42. Rev. Stand 3.0  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 oder  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche DSFA 42
  43. 43. Rev. Stand 3.0  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen DSFA 43
  44. 44. Rev. Stand 3.0 DSFA 44 DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online-Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus Sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
  45. 45. Rev. Stand 3.0  Mindest-Inhalt der DSFA (Art. 35 Abs. 7)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird (die Rechte & berechtigten Interessen der Betroffenen sind dabei zu berücksichtigen) DSFA 45
  46. 46. Rev. Stand 3.0 DSFA 46

×