SlideShare ist ein Scribd-Unternehmen logo

1. Jahr DSGVO - Anregungen zur Evaluation

Stephan Schmidt
Stephan Schmidt

Foliensatz zum Vortrag im Rahmen der Anhörung zur DSGVO Evaluation bei der IHK Stuttgart am 28.06.2019

Recht
1 von 8
Downloaden Sie, um offline zu lesen
1 Jahr DSGVO – Praxiserfahrungen und Evaluation Stephan Schmidt | Fachanwalt für IT-Recht / Datenschutzbeauftragter / CIPP-E Stuttgart | 28. Juni 2019
Belastung für (kleinere) Unternehmen • den Verantwortlichen treffen fast 70 Pflichten, die mehr oder weniger unabhängig von der Größe des Unternehmens sind • der risikobasierte Ansatz der DSGVO wird damit in weiten Teilen der Regelungen praktisch aufgegeben • Umsetzung ist mit hohen Kosten verbunden – insbesondere auch, weil viele Vorgaben unklar und auslegungsbedürftig sind • praktische Anleitungen zur Handhabung der Regelungen fehlen • Wünschenswert wären europaweit einheitliche Regelungen zum Beschäftigtendatenschutz © RA Stephan Schmidt | TCI Rechtsanwälte 2019 2
Informationspflichten Mehrebenen-Ansatz und Medienbruch • es muss über 14 einzelne „Punkte“ „leicht zugänglich“ informiert werden – und das gilt nur dann, wenn man alle Betroffenenrechte als einen Punkt zählt und die Daten direkt beim Betroffen erhoben werden • Datenschutzerklärungen von Webseiten (bei Schriftart Arial und Schriftgröße 12) • IHK Stuttgart – 16 Seiten (34.022 Zeichen) • LfDI Baden-Württemberg – 32 Seiten (48.575 Zeichen) (umfasst aber nicht nur die Webseite) • Google – 32 Seiten (51.282 Zeichen) • Bild.de – 40 Seiten (122.819 Zeichen) • Wünschenswert wäre Klarstellung, dass Mehrebenen-Ansatz und Medienbruch zulässig sind • Gemäß Art. 12 Abs. 7 DSGVO können die gebotenen Informationen mit standardisierten Bildsymbolen kombiniert werden • Wünschenswert wäre Klarstellung, dass „kombiniert“ in Art 12 DSGVO in den Fällen „ersetzen“ meint, in denen ein Ersetzen möglich ist © RA Stephan Schmidt | TCI Rechtsanwälte 2019 3
Informationspflichten Fehlende Ausnahmen • Art. 13 DSGVO ist insgesamt nicht ausgewogen • extensiv ausgelegte Informationspflichten führen zu einer Verletzung anderer Grundrechte der Grundrechtecharta der EU • Zweifel, ob die in den §§ 32 und 33 BDSG vorgesehenen Beschränkungen der Informationspflichten nach Art. 23 DSGVO zulässig sind • Wünschenswert wären (weitere) ausdrückliche Ausnahmeregelungen, z.B.: • für die Datenverarbeitung zu privilegierten Zwecken • zugunsten Unternehmen, deren Datenverarbeitung nicht Zweck der Geschäftstätigkeit ist • zugunsten der Geheimhaltungsinteressen des Verantwortlichen und • bei Unverhältnismäßigkeit • Art. 14 DSGVO schränkt Datenverarbeitung bei öffentlich zugänglichen Quellen unverhältnismäßig ein („chilling effect“) © RA Stephan Schmidt | TCI Rechtsanwälte 2019 4
Informationspflichten Angabe von Empfängern • Nach dem Wortlaut von Art. 13 Abs. 1 lit. e) DSGVO sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern“ anzugeben • Regelung wird von h.M. dahingehend verstanden, dass konkreter Empfänger zu benennen ist, wenn dieser bei der Datenerhebung bereits absehbar ist • Problem für „Whitelabel-Lösungen“ bei der Auftragsverarbeitung • Anbieter/Auftragsverarbeiter ist Empfänger von Daten und daher zu benennen • Kunde wird auf Zulieferer/Auftragsverarbeiter hingewiesen und eine wirtschaftsfreundliche Lösung dadurch erschwert / unmöglich gemacht • der Betroffene ist ausreichend durch das Auskunftsrecht geschützt • Wünschenswert wäre Klarstellung, dass selbst dann eine Angabe einer Kategorie von Empfängern ausreichend ist, wenn der Verantwortliche den/die Empfänger konkret kennt © RA Stephan Schmidt | TCI Rechtsanwälte 2019 5
Auftragsverarbeitung • DSGVO erstreckt Vorgaben für Auftragsverarbeitungen auf die Mehrzahl internationaler Auftragsverarbeitungen mit EU-Bezug • daher in der Praxis oft Auftragsverarbeitung + Standardvertragsklauseln • wobei Muster nach Art. 46 Abs. 2 lit. d DSGVO immer noch fehlen • unklar, wie mit Widersprüchen umgegangen werden soll • Anforderungen sind für Cloud Computing Anbieter kaum umzusetzen • zweifelhaft, ob den Anforderungen aus Art. 28 DSGVO künftig im Wege von Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungen (Art. 42 DSGVO) entsprochen werden kann • die Folge ist das Risiko für Anbieter und Modelle, dass Verarbeitung als fehlerhafte Auftragsverarbeitung im Fall unerkannter Funktionsübertragung qualifiziert wird (Bußgeldrisiko) • führt zu einer parallelen Verantwortlichkeit, die nach Maßgabe von Art. 26 DSGVO zu behandeln wäre © RA Stephan Schmidt | TCI Rechtsanwälte 2019 6
Gemeinsame Verantwortlichkeit • Betrifft viele Geschäftsmodelle in der digitalen Ökonomie, bei denen Unternehmen kooperieren und über Onlineplattformen Informationen austauschen • bereits in der Datenschutzrichtlinie aus dem Jahr 1995 angelegt • erheblicher Unterschied im Detailierungsgrad zu Art. 28 DSGVO nicht zu erklären • Nichtabschluss einer den Anforderungen des Art. 26 DSGVO genügenden Vereinbarung zwischen den gemeinsam Verantwortlichen ist mit einem erheblichen Bußgeld bedroht • Wünschenswert wäre eine dem Art. 28 DSGVO im Detailgrad vergleichbare Regelung, die für Verantwortliche mehr Sicherheit bringt © RA Stephan Schmidt | TCI Rechtsanwälte 2019 7
Vielen Dank! © RA Stephan Schmidt | TCI Rechtsanwälte 2019 8 Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht Datenschutzbeauftragter | CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt

Empfohlen

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingStephan Schmidt
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzStephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieStephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 

Empfohlen

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingStephan Schmidt
 
Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzDeutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz
Deutscher Anwaltstag 2020 - DSGVO und BeschäftigtendatenschutzStephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieStephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & RechtStephan Schmidt
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenStephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im ComputerstrafrechtStephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Stephan Schmidt
 

Weitere ähnliche Inhalte

Mehr von Stephan Schmidt

Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenStephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im ComputerstrafrechtStephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Stephan Schmidt
 

Mehr von Stephan Schmidt (6)

Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
 

1. Jahr DSGVO - Anregungen zur Evaluation

  • 1. 1 Jahr DSGVO – Praxiserfahrungen und Evaluation Stephan Schmidt | Fachanwalt für IT-Recht / Datenschutzbeauftragter / CIPP-E Stuttgart | 28. Juni 2019
  • 2. Belastung für (kleinere) Unternehmen • den Verantwortlichen treffen fast 70 Pflichten, die mehr oder weniger unabhängig von der Größe des Unternehmens sind • der risikobasierte Ansatz der DSGVO wird damit in weiten Teilen der Regelungen praktisch aufgegeben • Umsetzung ist mit hohen Kosten verbunden – insbesondere auch, weil viele Vorgaben unklar und auslegungsbedürftig sind • praktische Anleitungen zur Handhabung der Regelungen fehlen • Wünschenswert wären europaweit einheitliche Regelungen zum Beschäftigtendatenschutz © RA Stephan Schmidt | TCI Rechtsanwälte 2019 2
  • 3. Informationspflichten Mehrebenen-Ansatz und Medienbruch • es muss über 14 einzelne „Punkte“ „leicht zugänglich“ informiert werden – und das gilt nur dann, wenn man alle Betroffenenrechte als einen Punkt zählt und die Daten direkt beim Betroffen erhoben werden • Datenschutzerklärungen von Webseiten (bei Schriftart Arial und Schriftgröße 12) • IHK Stuttgart – 16 Seiten (34.022 Zeichen) • LfDI Baden-Württemberg – 32 Seiten (48.575 Zeichen) (umfasst aber nicht nur die Webseite) • Google – 32 Seiten (51.282 Zeichen) • Bild.de – 40 Seiten (122.819 Zeichen) • Wünschenswert wäre Klarstellung, dass Mehrebenen-Ansatz und Medienbruch zulässig sind • Gemäß Art. 12 Abs. 7 DSGVO können die gebotenen Informationen mit standardisierten Bildsymbolen kombiniert werden • Wünschenswert wäre Klarstellung, dass „kombiniert“ in Art 12 DSGVO in den Fällen „ersetzen“ meint, in denen ein Ersetzen möglich ist © RA Stephan Schmidt | TCI Rechtsanwälte 2019 3
  • 4. Informationspflichten Fehlende Ausnahmen • Art. 13 DSGVO ist insgesamt nicht ausgewogen • extensiv ausgelegte Informationspflichten führen zu einer Verletzung anderer Grundrechte der Grundrechtecharta der EU • Zweifel, ob die in den §§ 32 und 33 BDSG vorgesehenen Beschränkungen der Informationspflichten nach Art. 23 DSGVO zulässig sind • Wünschenswert wären (weitere) ausdrückliche Ausnahmeregelungen, z.B.: • für die Datenverarbeitung zu privilegierten Zwecken • zugunsten Unternehmen, deren Datenverarbeitung nicht Zweck der Geschäftstätigkeit ist • zugunsten der Geheimhaltungsinteressen des Verantwortlichen und • bei Unverhältnismäßigkeit • Art. 14 DSGVO schränkt Datenverarbeitung bei öffentlich zugänglichen Quellen unverhältnismäßig ein („chilling effect“) © RA Stephan Schmidt | TCI Rechtsanwälte 2019 4
  • 5. Informationspflichten Angabe von Empfängern • Nach dem Wortlaut von Art. 13 Abs. 1 lit. e) DSGVO sind „gegebenenfalls die Empfänger oder Kategorien von Empfängern“ anzugeben • Regelung wird von h.M. dahingehend verstanden, dass konkreter Empfänger zu benennen ist, wenn dieser bei der Datenerhebung bereits absehbar ist • Problem für „Whitelabel-Lösungen“ bei der Auftragsverarbeitung • Anbieter/Auftragsverarbeiter ist Empfänger von Daten und daher zu benennen • Kunde wird auf Zulieferer/Auftragsverarbeiter hingewiesen und eine wirtschaftsfreundliche Lösung dadurch erschwert / unmöglich gemacht • der Betroffene ist ausreichend durch das Auskunftsrecht geschützt • Wünschenswert wäre Klarstellung, dass selbst dann eine Angabe einer Kategorie von Empfängern ausreichend ist, wenn der Verantwortliche den/die Empfänger konkret kennt © RA Stephan Schmidt | TCI Rechtsanwälte 2019 5
  • 6. Auftragsverarbeitung • DSGVO erstreckt Vorgaben für Auftragsverarbeitungen auf die Mehrzahl internationaler Auftragsverarbeitungen mit EU-Bezug • daher in der Praxis oft Auftragsverarbeitung + Standardvertragsklauseln • wobei Muster nach Art. 46 Abs. 2 lit. d DSGVO immer noch fehlen • unklar, wie mit Widersprüchen umgegangen werden soll • Anforderungen sind für Cloud Computing Anbieter kaum umzusetzen • zweifelhaft, ob den Anforderungen aus Art. 28 DSGVO künftig im Wege von Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungen (Art. 42 DSGVO) entsprochen werden kann • die Folge ist das Risiko für Anbieter und Modelle, dass Verarbeitung als fehlerhafte Auftragsverarbeitung im Fall unerkannter Funktionsübertragung qualifiziert wird (Bußgeldrisiko) • führt zu einer parallelen Verantwortlichkeit, die nach Maßgabe von Art. 26 DSGVO zu behandeln wäre © RA Stephan Schmidt | TCI Rechtsanwälte 2019 6
  • 7. Gemeinsame Verantwortlichkeit • Betrifft viele Geschäftsmodelle in der digitalen Ökonomie, bei denen Unternehmen kooperieren und über Onlineplattformen Informationen austauschen • bereits in der Datenschutzrichtlinie aus dem Jahr 1995 angelegt • erheblicher Unterschied im Detailierungsgrad zu Art. 28 DSGVO nicht zu erklären • Nichtabschluss einer den Anforderungen des Art. 26 DSGVO genügenden Vereinbarung zwischen den gemeinsam Verantwortlichen ist mit einem erheblichen Bußgeld bedroht • Wünschenswert wäre eine dem Art. 28 DSGVO im Detailgrad vergleichbare Regelung, die für Verantwortliche mehr Sicherheit bringt © RA Stephan Schmidt | TCI Rechtsanwälte 2019 7
  • 8. Vielen Dank! © RA Stephan Schmidt | TCI Rechtsanwälte 2019 8 Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht Datenschutzbeauftragter | CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 Telefax: +49 - (0) 6131 - 302 90 466 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt