Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

EU-Datenschutzgrundverordnung (DSGVO)

3.762 Aufrufe

Veröffentlicht am

EU-Datenschutzgrundverordnung (DSGVO): darauf sollten Sie als Unternehmer achten - eine Einführung in den Bereich Datenschutz und die DSGVO

Veröffentlicht in: Recht
  • Als Erste(r) kommentieren

EU-Datenschutzgrundverordnung (DSGVO)

  1. 1. „EU-Datenschutzgrundverordnung (DSGVO) - darauf sollten Sie als Unternehmer achten “ Eröffnungsveranstaltung der Netable Akademie Frechen, 07.09.2017
  2. 2. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  3. 3. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  4. 4. 1. Einführung / Überblick Grundlagen DSGVO Compliance Privacy by design Privacy by default Accountability Recht auf Vergessenwerden One-Stop- Shop sicherheits- basierter Ansatz DSGVO GDPR
  5. 5. 1. Einführung / Überblick Grundlagen DSGVO  bislang war Datenschutzrecht nationale Angelegenheit  jeder EU-Staat mit eigenem Datenschutzrecht  basierend u.a. auf der EU-Datenschutz-Richtlinie oder auch der sog. Cookie-Richtlinie  Wunsch nach Harmonisierung des Datenschutzrechts auf EU- Ebene
  6. 6. 1. Einführung / Überblick Grundlagen DSGVO  Folge: EU-Datenschutzgrundverordnung (DSGVO) (engl.: General Data Protection Regulation, GDPR)  zusätzl.: E-Privacy-Verordnung für E-Commerce-Sektor  ergänzend in Dt.: Datenschutz-Anpassungs- und – Umsetzungsgesetz EU (DSAnpUG-EU), kurz: BDSG-neu  außerdem: dt. IT-Sicherheitsgesetz (seit dem 25.05.2015!)
  7. 7. 1. Einführung / Überblick Grundlagen DSGVO  weitere Datenschutzregelungen:  IT-Sicherheitsgesetz (seit dem 25.05.2015)  BSI-Gesetz  BSI-Kritis-Verordnung (BSI-KritisV)  BKA-Gesetz, MAD-Gesetz, BND-Gesetz  eIDAS-Verordnung  Gesetz zur Förderung des elektronischen Identitätsnachweises  zukünftig: z.B. Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte  branchenspezifische, spezialgesetzliche Regelungen, u.a. Transplantationsgesetz (TPG)  etc. etc. etc.
  8. 8. 1. Einführung / Überblick Grundlagen DSGVO  einschlägig bei Auftragsdatenverarbeitung (Outsourcing):  u.a. für Cloud-Dienste mit Servern außerhalb EU / EWR  Zertifikat gem. EU-US-Privacy-Shield (ehem. Safe-Harbor- Regelung)  EU-Standardvertragsklauseln  Binding Corporate Rules (BCR)
  9. 9. 1. Einführung / Überblick Grundlagen DSGVO  Informationssicherheit Standards & Regelung u.a.:  ISO 27000 / 27001 / 27002 / 27003  IT-Grundschutz (BSI)  Cobit  ITIL  IDW PS 330  plus branchenspezifische Standards…
  10. 10. 1. Einführung / Überblick Grundlagen DSGVO  DSGVO & E-Privacy-VO ab 25. Mai 2018 verbindlich  für alle Unternehmen, die personenbezogene Daten verarbeiten (von Mitarbeitern, Kunden, Dienstleistern…)  die in der EU sitzen  Verträge mitVerbrauchern in der EU abschließen
  11. 11. 1. Einführung / Überblick Grundlagen DSGVO  DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel  plus 173 Erwägungsgründe  je nach Auslegung 60-80 Öffnungsklauseln (Gestaltungsspielraum für nationale Gesetzgeber, z.B. für spezielle Erlaubnistatbestände,Verarbeitung von Beschäftigtendaten oderVorgaben für Auftragsverarbeiter)
  12. 12. 1. Einführung / Überblick Grundlagen DSGVO  Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten Ansatz“ (Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei der konkretenVerarbeitung?)  Accountability-Prinzip, d.h. Unternehmen müssen nachweisen können, dass sie datenschutzkonform arbeiten  umfangreiche Dokumentationspflichten  usw.
  13. 13. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  14. 14. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  „personenbezogenen Daten“ als zentraler Begriff des Datenschutzrechts  gem. DSGVO sehr weitreichend  nur reine Unternehmensdaten nicht erfasst (z.B. Bilanzen, Konstruktionspläne o.ä.)
  15. 15. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  personenbezogene Daten:  alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (der sog. „Betroffene“).  2 Definitionen: „personenbezogene Daten“ & „Betroffener“
  16. 16. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt anhand von bestimmten Merkmalen identifiziert werden kann, die Ausdruck der  physischen,  physiologischen,  genetischen,  psychischen,  wirtschaftlichen,  kulturellen oder  sozialen  Identität dieser Person sind
  17. 17. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  Dabei geht es insbesondere um die Möglichkeit der Zuordnung zu einer Kennung, wie  einem Namen,  einer Kennnummer,  Standortdaten,  einer Online-Kennung oder  einem sonstigen besonderen Merkmal
  18. 18. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  3 versch. Auffassungen  absolut (wenn irgendwer Betroffenen identifizieren kann)  relativ (wenn verantwortliche Stelle Betroffenen mit vernünftigerweise bereitstehenden Mitteln identifizieren kann)  vermittelnd (wenn Identifizierung auch durch Dritte möglich, aber nicht von jedem und nicht mit allen Mitteln)  in DSGVO wohl die vermittelnde Ansicht maßgeblich
  19. 19. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  Beispiele:  persönliche Daten (Name, Anschrift, Kontaktdaten etc.)  Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)  biometrische Daten (Fingerabdruck, DNA-Probe etc.)  Foto (erkennbare Darstellung einer Person)  Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)  IP-Adressen (statisch & dynamisch)  …
  20. 20. 2. Personenbezogene Daten zentraler Begriff des Datenschutzrechts  besondere Kategorien personenbezogener Daten:  rassische und ethnische Herkunft  politische Meinungen  religiöse oder weltanschauliche Überzeugungen  Gewerkschaftszugehörigkeit  genetische Daten  biometrischen Daten  Gesundheitsdaten  Daten zum Sexualleben bzw. sexuellen Orientierung
  21. 21. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  22. 22. 3. Datenverarbeitung zentralerVorgang im Datenschutzrecht  Verarbeitung von Daten:  jeder mit oder ohne Hilfe automatisierterVerfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten  sehr weitgehender Begriff, egal ob es sich um normale oder besondere personenbezogene Daten handelt
  23. 23. 3. Datenverarbeitung zentralerVorgang im Datenschutzrecht  Beispiele (I.):  Erheben  Erfassen  Organisieren  Ordnen  Speichern  Anpassen bzw.Verändern  Auslesen  Abfragen
  24. 24. 3. Datenverarbeitung zentralerVorgang im Datenschutzrecht  Beispiele (II.):  Verwenden  Abgleichen  Verknüpfen  Einschränken  Löschen  Vernichten  Offenlegen durch Übermittlung,Verbreitung oder andere Form der Bereitstellung
  25. 25. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  26. 26. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Verbot mit Erlaubnisvorbehalt:  JedeVerarbeitung personenbezogener Daten ist grdsl. unzulässig, sofern keine Ausnahme vorliegt.  Ausnahmen:  Einwilligung des Betroffenen  gesetzlicher Ausnahmetatbestand  Interessenabwägung
  27. 27. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Zweckbindung:  Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarendenWeise weiterverarbeitet werden.  Ausnahmen bestehen für die Weiterverarbeitung für  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche oder historische Forschungszwecke  statistische Zwecke
  28. 28. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Rechtmäßigkeit:  Transparenz-Grundsatz  Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  29. 29. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Datenminimierung:  Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für den Zweck derVerarbeitung notwendige Maß beschränkt sein.
  30. 30. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Richtigkeit:  Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.  Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
  31. 31. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Speicherbegrenzung:  Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Zweck derVerarbeitung erforderlich ist.  ausnahmsweise längere Speicherung mittels geeigneter technischer und organisatorischer Maßnahmen ausschließlich für  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche und historische Forschungszwecke  statistische Zwecke
  32. 32. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Integrität bzw. derVertraulichkeit:  Personenbezogene Daten müssen in einerWeise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.  mittels geeigneter technischer und organisatorischer Maßnahmen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtemVerlust, Zerstörung oder Schädigung
  33. 33. 4. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Datensicherheit:  Ziele: Vertraulichkeit, Integrität &Verfügbarkeit der Daten  Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.  unter Berücksichtigung  des Stands derTechnik,  der Kosten sowie  der Art, des Umfangs, der Umstände und der Zwecke derVerarbeitung
  34. 34. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  35. 35. 5. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht  Rechte betroffener Personen:  Auskunft  Widerspruch  Widerruf einer erteilten Einwilligung  Berichtigung  Einschränkung derVerarbeitung  Mitteilung (z.B. bei Berichtigung oder Löschung von Daten)  Recht auf Datenübertragbarkeit (Datenportabilität)  Sperrung  Löschung (Recht aufVergessenwerden)
  36. 36. 5. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht  neu: Recht aufVergessenwerden (z.B. Möglichkeit, ggü. Google Löschung eines Links zu beantragen)  ebenfalls neu: Datenportabilität (z.B. Möglichkeit, seine Daten von einem sozialen Netzwerk zu einem anderen „mitzunehmen“)
  37. 37. 5. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht  Auskunftsrecht umfasst:  Zwecke der Datenverarbeitung  erfasste Daten-Kategorien  Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch offengelegt werden  geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer  Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf Einschränkung derVerarbeitung  Bestehen des Widerspruchsrechts gegen dieVerarbeitung  Bestehen des Beschwerderechts bei einer Aufsichtsbehörde  alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst erhoben werden  ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
  38. 38. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  39. 39. 6. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  zentrale Pflichten der verantwortlichen Stelle:  Durchführung von Audits  Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit  Implementierung von Prozessen zur Sicherstellung der Compliance  Dokumentation von Datenverarbeitungsvorgängen  Risikoanalyse über Folgen der Datenverarbeitung  geeignete technische und organisatorische Maßnahmen (TOM)  Durchführung von Datenschutz-Folgenabschätzungen  Bereitstellung von Informationen ( z.B. Datenschutzerklärung aufWebsite)  ggf. Bestellung eines Datenschutzbeauftragten  „Privacy by design“  „Privacy by default“
  40. 40. 6. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  „Privacy by design“:  Pflicht zur datenschutzfreundlichen Technikgestaltung  bei allen neuen Produkten zu berücksichtigen  schon im Zuge der Produktplanung  auch im Rahmen des Verarbeitungsvorgangs  nach Stand derTechnik  mit Blick u.a. auf die Kosten
  41. 41. 6. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  „Privacy by default“:  Pflicht zur datenschutzfreundlichen Voreinstellung  Einstellungen müssen so voreingestellt werden, dass möglichst wenig personenbezogene Daten erfasst werden  Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern  Beispiel: Verbot der sog. „pre-ticked boxes“, etwa beim E-Mail- Marketing (gilt bereits)
  42. 42. Inhalt / Übersicht 1. Einführung / Überblick 2.Personenbezogene Daten 3. Datenverarbeitung 4.Prinzipien 5.Rechte der Betroffenen 6.Pflichten von Unternehmen 7. Verstöße & Sanktionen
  43. 43. 7.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  Ordnungswidrigkeiten  leichteVerstöße (Art. 83 Abs. 4 DSGVO)  schwereVerstöße (Art. 83 Abs. 5 DSGVO)  Straftaten (Art. 84 DSGVO), Öffnungsklausel für nationales Recht
  44. 44. 7.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  leichte Ordnungswidrigkeiten (Art. 83 Abs. 4 DSGVO) u.a.:  Verstoß gegen Anonymisierungsgebot des Art. 11 DSGVO  Verstoß gegen Pflichten als verantwortliche Stelle  Verstoß gegen Pflichten als Auftragsverarbeiter  Verstoß gegen Zertifizierungsvorschriften
  45. 45. 7.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  schwere Ordnungswidrigkeiten (Art. 83 Abs. 5 DSGVO) u.a.:  Verstoß gegen Grundsätze der Datenverarbeitung  Verstoß gegen Rechtmäßigkeitsgebot  Verarbeitung ohne Einwilligung trotz entsprechender Pflicht  unzulässigeVerarbeitung besonderer Kategorien personenbezogener Daten  Verstoß gegen Betroffenenrechte
  46. 46. 7.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  Ordnungswidrigkeiten  leichteVerstöße: Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten Jahresumsatzes  schwereVerstöße: Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten Jahresumsatzes  Straftaten? (nationaleVorschriften)
  47. 47. Rechtsanwalt Michael Rohrlich Heinestr. 9 52146Würselen Tel.: 02405 – 1408040 Fax: 02405 – 1408041 Mobil: 0177 – 5554462 E-Mail: info@ra-rohrlich.de WWW: ra-rohrlich.de Facebook: facebook.com/ra.rohrlich Twitter: twitter.com/MichaelRohrlich Xing: xing.com/profile/Michael_Rohrlich LinkedIn: linkedin.com/in/michael-rohrlich- 3577b3109 Internet: www.ra-rohrlich.de www.rechtssicher.info

×