Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Grundlagen der DSGVO

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Grundlagen der DSGVO

  1. 1. „Grundlagen der EU-Datenschutzgrundverordnung (DSGVO)“ Veranstaltung der KHWestfalen-Süd, am 15.02.2018, 16.00 – 19.30 Uhr 1
  2. 2. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 2
  3. 3. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 3
  4. 4. 1. Einführung / Überblick Grundlagen DSGVO Compliance Privacy by design Privacy by default Accountability Recht auf Vergessenwerden One-Stop- Shop sicherheits- basierter Ansatz DSGVO GAP- Analyse 4
  5. 5. 1. Einführung / Überblick Grundlagen DSGVO  Datenschutz = Grundrecht  resultiert aus allg. Persönlichkeitsrecht  verfassungsrechtlich verankert (Art. 1,2 GG + Art. 8 EMRK) und mehrfach insbesondere durch Bundesverfassungsgericht bestätigt (u.a. im sog.Volkszählungsurteil) 5
  6. 6. 1. Einführung / Überblick Grundlagen DSGVO  bislang war Datenschutzrecht nationale Angelegenheit  jeder (EU-) Staat mit eigenem Datenschutzrecht  basierend u.a. auf der EU-Datenschutz-Richtlinie oder auch der sog. Cookie-Richtlinie 6
  7. 7. 1. Einführung / Überblick Grundlagen DSGVO  Wunsch nach Harmonisierung des Datenschutzrechts auf EU-Ebene  Folge: EU-Datenschutzgrundverordnung (DSGVO) (engl.: General Data Protection Regulation, GDPR)  zusätzlich: geplante E-Privacy-Verordnung für E-Commerce-Sektor  ergänzend in Dt.: Datenschutz-Anpassungs- und – Umsetzungsgesetz EU (DSAnpUG-EU) -> BDSG-neu 7
  8. 8. 1. Einführung / Überblick Grundlagen DSGVO  weitere Datenschutzregelungen:  IT-Sicherheitsgesetz  BSI-Gesetz  BSI-Kritis-Verordnung (BSI-KritisV)  BKA-Gesetz, MAD-Gesetz, BND-Gesetz  eIDAS-Verordnung  Gesetz zur Förderung des elektronischen Identitätsnachweises  zukünftig: z.B. Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte  branchenspezifische, spezialgesetzliche Regelungen, u.a. Transplantationsgesetz (TPG)  etc. 8
  9. 9. 1. Einführung / Überblick Grundlagen DSGVO  einschlägig bei Auftragsdatenverarbeitung (Outsourcing):  z.B. für Cloud-Dienste mit Servern außerhalb EU / EWR  Eintrag EU-US-Privacy-Shield (ehem. Safe-Harbor-Regelung)  EU-Standardvertragsklauseln  Binding Corporate Rules (BCR) 9
  10. 10. 1. Einführung / Überblick Grundlagen DSGVO  Informationssicherheit Standards & Regelung u.a.:  ISO 27000 / 27001 / 27002 / 27003  IT-Grundschutz (BSI)  Cobit  VdS 3473 /VdS 10010  versch. branchenspezifische Standards  etc. 10
  11. 11. 1. Einführung / Überblick Grundlagen DSGVO  DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel  plus 173 Erwägungsgründe  je nach Auslegung 60-80 Öffnungsklauseln (Gestaltungsspielraum für nationale Gesetzgeber, z.B. für die Verarbeitung von Beschäftigtendaten oder bzgl.Vorgaben für Auftragsverarbeiter) 11
  12. 12. 1. Einführung / Überblick Grundlagen DSGVO  Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten Ansatz“ (Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei der konkretenVerarbeitung?)  Accountability-Prinzip, d.h. Unternehmen müssen nachweisen können, dass sie datenschutzkonform arbeiten  umfangreiche Dokumentationspflichten  usw. 12
  13. 13. 1. Einführung / Überblick Grundlagen DSGVO 13 ab dem 25. Mai 2018 ohne weitere Übergangsfrist verbindlich: BDSG-neuDSGVO
  14. 14. 1. Einführung / Überblick Grundlagen DSGVO 14 DSGVO gilt grdsl. für alle Unternehmen unabhängig von… Größe Branche Umsatz
  15. 15. 1. Einführung / Überblick Grundlagen DSGVO 15 DSGVO gilt für alle Unternehmen… mit Hauptsitz oder Zweigstelle in einem EU- Staat die ggü. EU- Verbrauchern Waren bzw. Dienstleistungen anbieten die EU- Verbraucher „beobachten“ (z.B. Online- Tracking)
  16. 16. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 16
  17. 17. 2. Begriffe Personenbezogene Daten  „personenbezogenen Daten“ als zentraler Begriff des Datenschutzrechts  gem. DSGVO sehr weitreichend  nur reine Unternehmensdaten nicht erfasst (z.B. Bilanzen, Konstruktionspläne o.ä.) 17
  18. 18. 2. Begriffe Personenbezogene Daten  personenbezogene Daten (Art. 4 Nr. 1 DSGVO):  alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (der sog. „Betroffene“).  2 Definitionen: „personenbezogene Daten“ & „Betroffener“ 18
  19. 19. 2. Begriffe Personenbezogene Daten  Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt anhand von bestimmten Merkmalen identifiziert werden kann, die Ausdruck der  physischen,  physiologischen,  genetischen,  psychischen,  wirtschaftlichen,  kulturellen oder  sozialen  Identität dieser Person sind 19
  20. 20. 2. Begriffe Personenbezogene Daten  Dabei geht es insbesondere um die Möglichkeit der Zuordnung zu einer Kennung, wie  einem Namen,  einer Kennnummer,  Standortdaten,  einer Online-Kennung oder  einem sonstigen besonderen Merkmal 20
  21. 21. 2. Begriffe Personenbezogene Daten  3 versch. Auffassungen  absolut (wenn irgendwer Betroffenen identifizieren kann)  relativ (wenn verantwortliche Stelle Betroffenen mit vernünftigerweise bereitstehenden Mitteln identifizieren kann)  vermittelnd (wenn Identifizierung auch durch Dritte möglich, aber nicht von jedem und nicht mit allen Mitteln)  in DSGVO wohl die vermittelnde Ansicht maßgeblich 21
  22. 22. 2. Begriffe Personenbezogene Daten  Beispiele:  persönliche Daten (Name, Anschrift, Kontaktdaten etc.)  Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)  Kfz-Kennzeichen  Foto (erkennbare Darstellung einer Person)  Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)  IP-Adressen (statisch & dynamisch)  … 22
  23. 23. 2. Begriffe Personenbezogene Daten  besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO):  rassische und ethnische Herkunft  politische Meinungen  religiöse oder weltanschauliche Überzeugungen  Gewerkschaftszugehörigkeit  genetische Daten  biometrischen Daten  Gesundheitsdaten  Daten zum Sexualleben bzw. sexuellen Orientierung 23
  24. 24. 2. Begriffe Datenverarbeitung  Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO):  jeder mit oder ohne Hilfe automatisierterVerfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten  sehr weitgehender Begriff, egal ob es sich um „normale“ oder besondere personenbezogene Daten handelt 24
  25. 25. 2. Begriffe Datenverarbeitung  Datenverarbeitung bedeutet (I.):  Erheben  Erfassen  Organisieren  Ordnen  Speichern  Anpassen bzw.Verändern  Auslesen  Abfragen 25
  26. 26. 2. Begriffe Datenverarbeitung  Datenverarbeitung bedeutet (II.):  Verwenden  Abgleichen  Verknüpfen  Einschränken  Löschen  Vernichten  Offenlegen durch Übermittlung,Verbreitung oder andere Form der Bereitstellung 26
  27. 27. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 27
  28. 28. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht 28 Rechtmäßigkeit Transparenz Treu und Glauben Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht
  29. 29. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Rechtmäßigkeit (Art. 6 Abs. 1 DSGVO):  Verbot mit Erlaubnisvorbehalt  JedeVerarbeitung personenbezogener Daten ist grdsl. unzulässig, sofern keine Ausnahme vorliegt.  Ausnahmen:  Einwilligung des Betroffenen  gesetzlicher Ausnahmetatbestand  Interessenabwägung 29
  30. 30. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  gesetzl. Ausnahmetatbestände (Art. 6 Abs. 1 b) – e) DSGVO):  zur Erfüllung einesVertrages (z.B. Bestellung im Onlineshop)  aufgrund rechtlicherVerpflichtung (z.B. steuerrechtliche Aufbewahrungsfristen)  Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z.B.Verarbeitung von Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen)  Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe / Ausübung öffentlicher Gewalt (z.B. "Knöllchen" vom Ordnungsamt) 30
  31. 31. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Zweckbindung (Art. 5 Abs. 1 b) DSGVO):  Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarendenWeise weiterverarbeitet werden.  Ausnahmen bestehen für die Weiterverarbeitung für  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche oder historische Forschungszwecke  statistische Zwecke 31
  32. 32. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Datenminimierung (Art. 5 Abs. 1 c) DSGVO):  Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für den Zweck derVerarbeitung notwendige Maß beschränkt sein. 32
  33. 33. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Richtigkeit (Art. 5 Abs. 1 d) DSGVO):  Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.  Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. 33
  34. 34. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO):  Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Zweck derVerarbeitung erforderlich ist.  ausnahmsweise längere Speicherung mittels geeigneter technischer und organisatorischer Maßnahmen ausschließlich für  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche und historische Forschungszwecke  statistische Zwecke 34
  35. 35. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Integrität bzw. derVertraulichkeit (Art. 5 Abs. 1 f) DSGVO):  Personenbezogene Daten müssen in einerWeise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.  mittels geeigneter technischer und organisatorischer Maßnahmen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtemVerlust, Zerstörung oder Schädigung 35
  36. 36. 3. Prinzipien zentrale Grundsätze im Datenschutzrecht  Grundsatz der Datensicherheit (Art. 32 DSGVO):  Ziele: Vertraulichkeit, Integrität &Verfügbarkeit der Daten  Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.  unter Berücksichtigung  des Stands derTechnik,  der Kosten sowie  der Art, des Umfangs, der Umstände und der Zwecke derVerarbeitung 36
  37. 37. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 37
  38. 38. 4. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht 38 Auskunft Information Widerruf Widerspruch Einschränkung der Verarbeitung Berichtigung Datenübertragbarkeit Sperrung Löschung
  39. 39. 4. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht  neu: Recht aufVergessenwerden („lex google“), z.B. Möglichkeit, ggü. Suchmaschinen Löschung vonVerlinkungen zu beantragen  ebenfalls neu: Recht auf Datenportabilität („lex facebook“), z.B. Möglichkeit, seine Daten von einem Unternehmen zu einem anderen „mitzunehmen“ bzw. übertragen zu lassen 39
  40. 40. 4. Rechte der Betroffenen zentrale Rechtspositionen im Datenschutzrecht  Auskunftsrecht (Art. 15 DSGVO), auf Antrag Auskunft über:  Zwecke der Datenverarbeitung  erfasste Daten-Kategorien  Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch offengelegt werden  geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer  Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf Einschränkung derVerarbeitung  Bestehen des Widerspruchsrechts gegen dieVerarbeitung  Bestehen des Beschwerderechts bei einer Aufsichtsbehörde  alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst erhoben werden  ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling) 40
  41. 41. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 41
  42. 42. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  zentrale Pflichten der verantwortlichen Stelle:  Durchführung von Audits  Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit  Implementierung von Prozessen zur Sicherstellung der Compliance  Dokumentation von Datenverarbeitungsvorgängen  Risikoanalyse über Folgen der Datenverarbeitung  geeignete technische und organisatorische Maßnahmen (TOM), insbesondere Verschlüsselung,Anonymisierung oder Pseudonymisierung von Daten  Durchführung von Datenschutz-Folgenabschätzungen (bei hohen Risiken für Daten der Betroffenen)  Bereitstellung von Informationen ( z.B. Datenschutzerklärung auf Website)  ggf. Bestellung eines Datenschutzbeauftragten (in Dt. weiterhin „alte“ Regelungen)  „Privacy by design“  „Privacy by default“ 42
  43. 43. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  „Privacy by design“ (Art. 25 Abs. 1 DSGVO):  Pflicht zur datenschutzfreundlichen Technikgestaltung  bei allen neuen Produkten zu berücksichtigen  schon im Zuge der Produktplanung  auch im Rahmen des Verarbeitungsvorgangs  nach Stand derTechnik  mit Blick u.a. auf die Kosten 43
  44. 44. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  „Privacy by default“ (Art. 25 Abs. 2 DSGVO):  Pflicht zur datenschutzfreundlichen Voreinstellung  Einstellungen müssen so voreingestellt werden, dass möglichst wenig personenbezogene Daten erfasst werden  Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern  Beispiel: Verbot der sog. „pre-ticked boxes“, etwa beim E-Mail- Marketing (gilt bereits) 44
  45. 45. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  Benennung eines Datenschutzbeauftragten (Art. 37-39 DSGVO):  Pflicht zur Benennung, bei  öffentlichen Stellen (Behörden, Ausnahme: Gerichte)  Kerntätigkeit = Durchführung vonVerarbeitungsvorgängen, die umfangreiche regelmäßige & systematische Überwachung von Betroffenen zum Gegenstand haben  Kerntätigkeit = umfangreicheVerarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtlicheVerurteilungen / Straftaten 45
  46. 46. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  Benennung eines Datenschutzbeauftragten (§ 38 Abs. 1 BDSG- neu):  Pflicht zur Benennung, bei  Unternehmen, bei denen mind. 10 Personen ständig mit der automatisiertenVerarbeitung personenbezogener Daten befasst sind (automatisiert = z.B. schon bei vorhandenem Firmen-Mail-Account)  bei Datenverarbeitungen, für die eine Pflicht zur Datenschutz- Folgenabschätzung besteht  geschäftsmäßigeVerarbeitung zum Zweck der Übermittlung von Daten (z.B. Adresshandel)  Markt- / Meinungsforschung 46
  47. 47. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  Datenschutz-Folgenabschätzung (Art. 35 DSGVO):  (ehem.Vorabkontrolle)  verpflichtend bei Datenverarbeitungsvorgängen mit hohem Risiko für Betroffene  insbesondere beiVerwendung von (für denVerantwortlichen) neuenTechnologien  Hilfe durch Black- / White-Lists der Aufsichtsbehörden (noch nicht veröffentlicht) 47
  48. 48. 5. Pflichten von Unternehmen zentrale Pflichten im Datenschutzrecht  „hohes Risiko“ insbesondere bei:  systematische & umfassende Bewertung persönlicher Aspekte von Personen auf Basis automatisierter Verarbeitung (z.B. Profiling) mit Rechtswirkung ggü. Betroffenen  umfangreicheVerarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen / Straftaten  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche 48
  49. 49. Inhalt / Übersicht 1. Einführung / Überblick 2.Begriffe 3. Prinzipien 4.Rechte der Betroffenen 5.Pflichten von Unternehmen 6.Verstöße & Sanktionen 49
  50. 50. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  Ordnungswidrigkeiten  leichteVerstöße (Art. 83 Abs. 4 DSGVO)  schwereVerstöße (Art. 83 Abs. 5 DSGVO)  Straftaten (Art. 84 DSGVO), Öffnungsklausel für nationales Recht 50
  51. 51. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  leichte Ordnungswidrigkeiten (Art. 83 Abs. 4 DSGVO) u.a.:  Verstoß gegen Anonymisierungsgebot des Art. 11 DSGVO  Verstoß gegen Pflichten als verantwortliche Stelle  Verstoß gegen Pflichten als Auftragsverarbeiter  Verstoß gegen Zertifizierungsvorschriften 51
  52. 52. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  schwere Ordnungswidrigkeiten (Art. 83 Abs. 5 DSGVO) u.a.:  Verstoß gegen Grundsätze der Datenverarbeitung  Verstoß gegen Rechtmäßigkeitsgebot  Verarbeitung ohne Einwilligung trotz entsprechender Pflicht  unzulässigeVerarbeitung besonderer Kategorien personenbezogener Daten  Verstoß gegen Betroffenenrechte 52
  53. 53. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  Ordnungswidrigkeiten  leichteVerstöße: Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten (Konzern-) Jahresumsatzes*  schwereVerstöße: Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten (Konzern-) Jahresumsatzes*  (* je nachdem, welcher Betrag höher ist!)  Straftaten? (nationaleVorschriften) 53
  54. 54. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  Straftaten gem. BDSG-neu u.a.  unberechtigte, gewerbsmäßige Übermittlung nicht allg. zugänglicher personenbezogener Daten einer großen Anzahl von Personen (§ 42 Abs. 1 BDSG-neu)  unberechtigte Verarbeitung nicht allg. zugänglicher personenbezogener Daten gegen Entgelt (§ 42 Abs. 2 BDSG-neu)  mögliche Sanktionen: Freiheitsstrafe bis zu 2 bzw. 3 Jahre oder Geldstrafe (§ 42 Abs. 1, 2 BDSG-neu) 54
  55. 55. 6.Verstöße & Sanktionen drohende Strafen im Datenschutzrecht  kostenpflichtige Abmahnungen:  durch Mitbewerber (UWG) wegen unlauterenVerhaltens (z.B. Spam-Versand)  durchVerbraucherschutz-Institutionen (UKlaG) wegen Verstoß gegenVerbraucherschutzgesetz (z.B. fehlerhafte oder unterlassene DSGVO-Informationspflichten) 55
  56. 56. noch Fragen… ? 56
  57. 57. Rechtsanwalt Michael Rohrlich Heinestr. 9 52146Würselen Tel.: 02405 – 1408040 Fax: 02405 – 1408041 Mobil: 0177 – 5554462 E-Mail: info@ra-rohrlich.de WWW: ra-rohrlich.de Facebook: facebook.com/ra.rohrlich Twitter: twitter.com/MichaelRohrlich Xing: xing.com/profile/Michael_Rohrlich LinkedIn: linkedin.com/in/michael-rohrlich- 3577b3109 Internet: www.ra-rohrlich.de www.rechtssicher.info 57

×