SlideShare ist ein Scribd-Unternehmen logo
1 von 49
Downloaden Sie, um offline zu lesen
17.5.2018 via e-teaching.org
Prof. Dr. iur. Tobias Keber Hochschule der Medien Stuttgart keber@hdm-stuttgart.de
+49 711 8923 2718 Twitter: @datenreiserecht
Webinar
DSGVO – (einige) Veränderungen und
Folgen für den Hochschulbereich.
1
Wer?
•Professur für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien (HdM)
Stuttgart
•Institut für Digitale Ethik (IDE), Hochschule der Medien Stuttgart
•Zuvor: Rechtsanwalt
•Vorsitzender des Wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD)
•Kommentierung Art. 25 DSGVO (erscheint am 25.5.2018) in:
2Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Agenda
• Teil I: Basics
• Überblick Datenschutzrecht
• Europäische Vorgaben: von der Richtlinie zur Verordnung
• DSGVO: Grundlagen, Prinzipien, Neuerungen
• Teil II: Konkrete(re)s
• Privacy by Design und Privacy by Default
• Lernplattformen und Datenportabilität
• Learning Analytics und Folgenabschätzung
• Hochschulkommunikation und Social Media
3Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Vorab
4Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Vorab: don´t panic.
• Don´t panic – we all survived the Y2K-Bug
• Wir müssen arbeitsfähig bleiben (Art. 5 Abs. 3 GG, §§ 2, 3 LHG)
• Datenschutz ist wichtig, aber kein Supergrundrecht
• Aufsichtsbehörden haben Zähne bekommen, aber das bedeutet nicht, das
sie bissig geworden sind (Ronellenfitsch)
• (Weitere) Handreichungen muss und wird es geben
5Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Teil I: Überblick DSGVO
Hintergrund, Rechtscharakter, Grundprinzipien
6Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Überblick Datenschutzrecht - Rechtsquellen
7
Künftig:
ePrivacyVO
Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Hintergrund zur DSGVO - Basisdaten
Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
Kurz: Datenschutz-Grundverordnung (DSGVO)
Geltungsbereich: Europäische Union
Rechtsnatur: Verordnung (unmittelbar geltend) mit Öffnungsklauseln
Zeitliche Abfolge:
2011 20182016
November
Erster Entwurf
der DSGVO
Mai
Veröffentlichung
+ Inkrafttreten
der DSGVO
25. Mai
Verbindliche
Anwendung der
DSGVO
1995
Dezember
Inkrafttreten der
Datenschutz-
Richtlinie
8Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Von der Richtlinie zur Verordnung - Ausgangssituation
• Datenschutz-Richtlinie
95/46: Umsetzung
„bunt“:
• Nationale
Sonderregelungen
bspw. zur Werbung,
Adresshandel, Scoring
• Datenschutz-Richtlinie
95/46
9Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
DSGVO – Ziele/Ideen
EU-weite Stärkung des Datenschutz
Modernisierung des Datenschutzrechts
EU-weite Kooperationen der Aufsichtsbehörden
10Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Verordnung - Rechtscharakter
• DSGVO: allgemeine Regelung mit unmittelbarer Geltung (Verordnungen
müssen nicht wie Richtlinien umgesetzt werden)
• Grundsatz: Vollharmonisierung im nicht-öffentlichen Bereich
• Ersetzt grds. nationales Datenschutzrecht, führt zur Unanwendbarkeit
entgegenstehender nationaler Regelungen
• ABER: Öffnungsklauseln (Richtlinien-Charakter im öffentlichen Bereich)
11Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Überblick über die DSGVO
DSGVO: Übersicht
Zulässigkeit
Garantien durch Standards und Zertifizierung
Technisch/organisatorische Maßnahmen
Kontrolle durch DSB und Aufsicht
Transparenz/Intervention
Durchsetzung durch Bußgeld und Sanktionen
Europäische Umsetzung durch Kohärenz
12Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO
Artikel 1
Gegenstand und Ziele
Artikel 2
Sachlicher Anwendungsbereich
Artikel 5
Grundsätze für die Verarbeitung
Artikel 6
Rechtmäßigkeit der Datenverarbeitung
• Schutz der Grundrechte und
Grundfreiheiten natürlicher Personen
• insbesondere deren Recht auf Schutz
personenbezogener Daten und
• der freie Verkehr personenbezogener
Daten
• Ganz oder teilweise Automatisierte
Verarbeitung personenbezogener Daten
• Nichtautomatisierte Verarbeitung von
personenbezogener Daten
• Rechtmäßigkeit
• Datensparsamkeit
• Zweckbindung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
Erfüllung mind. einer Bedingung:
• Einwilligung
• Erfüllung/Verarbeitung eines Vertrages
• Schutz lebenswichtiger Interessen
DSGVODSGVO
13Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO
DSGVO
Artikel 3
Räumlicher Anwendungsbereich
Artikel 12-21
Rechte der betroffenen Person
Artikel 83
Allgemeine Bedingungen für die
Verhängung von Geldbußen
14Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO – Artikel 3
Räumlicher Anwendungsbereich – „Marktortprinzip“
▪ Die DSGVO ist nicht nur für die in der Europäischen Union niedergelassenen Unternehmen relevant (sog.
Marktortprinzip, Art. 3 Abs. 2).
▪ Voraussetzung ist, dass sich ein Angebot von (unentgeltlichen) Waren oder Dienstleistungen an einen
nationalen Markt in der EU richtet (lit. a), oder eine Datenverarbeitung zur Verhaltensbeobachtung
betroffener Personen in der EU erfolgt (lit. b).
▪ Der Anwendungsbereich erstreckt sich also grds. auch auf außereuropäische Unternehmen, die auf
dem europäischen Markt agieren, selbst wenn Sie keine eigenständige Niederlassung im Gebiet der
europäischen Union unterhalten (z.B. auch Facebook oder Google).
▪ Dadurch sollen gleiche Wettbewerbsbedingungen für alle Unternehmen geschaffen werden, nachdem
das BDSG lediglich „im Inland“ erhobene Daten dem deutschen Datenschutzrecht unterwarf (§ 1 Abs. 5
Satz 2 BDSG) und insoweit Unklarheiten bezgl. dessen Anwendbarkeit entstanden sind.
15Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 4: Definitionen
1. “personenbezogene Daten” alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person (im Folgenden
“betroffene Person”) beziehen; als identifizierbar wird eine natürliche
Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer,
zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
besonderen Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen, wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind;
16Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 4: Definitionen
2. “Verarbeitung” jeden mit oder ohne Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang
mit personenbezogenen Daten wie das Erheben, das Erfassen, die
Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der
Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung,
das Löschen oder die Vernichtung;
17Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 4: Definitionen
5. “Pseudonymisierung” die Verarbeitung personenbezogener Daten in
einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen betroffenen
Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und
organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die
personenbezogenen Daten nicht einer identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden;
18Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 4: Definitionen
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen
über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch
das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann
der Verantwortliche beziehungsweise können die bestimmten Kriterien
seiner Benennung nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten vorgesehen werden
19Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 5 und 6 DSGVO
Artikel 6: Rechtmäßigkeit der
Verarbeitung
• u.a.: Einwilligung, Vertrag, gesetzl.
Gestattungsnorm, lebenswichtige Interessen,
Interessenabwägung
Artikel 5: Grundsätze
• Rechtmäßigkeit, Verarbeitung nach Treu und
Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
20Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Artikel 5 und 6 Details
▪ Verarbeitung von Daten ist nur rechtmäßig, wenn eine Einwilligung oder eine andere in dieser Vorschrift normierte
Ausnahme vorliegt (Art. 5 Abs. 1 lit. a i.V.m. Art. 6 Abs. 1), d.h. wenn
▪ die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist (Art. 6 Abs. 1 lit b), oder
▪ die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (lit. c), oder
▪ die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person zu schützen (lit. d), oder
▪ die Verarbeitung zur Erfüllung hoheitlicher Aufgaben erforderlich ist (lit. e), oder
▪ zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f).
▪ (P) gilt nicht für Behörden für Verarbeitung in Erfüllung ihrer Aufgaben – Hochschulen = Behörde in diesem
Sinne?
▪ Generell muss die Verarbeitung der personenbezogenen Daten dem Zweck angemessen sein (Art. 5 lit. b u. c).
▪ Auch Prinzip der Datensparsamkeit („Datenminimierung“) genannt, Art. 5 lit. c).
21Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
DSGVO und ihre „Umsetzung“ im nationalen Recht
▪ Die DSGVO gilt in den Mitgliedstaaten unmittelbar und braucht daher nicht in nationales Recht umgewandelt
werden (sog. Anwendungsvorrang, Art. 288 Abs. 2 AEUV).
▪ Mitgliedstaaten können jedoch eigene, ergänzende Regelungen setzen (jedoch lediglich dort, wo durch DSGVO
gesetzl. vorgesehen, sog. „Öffnungsklauseln“, s.o.).
▪ In der Bundesrepublik Deutschland erfolgte diese Rechtsetzung z.B. durch das Datenschutz-Anpassungs-
Umsetzungs-Gesetz (DSAnpUG-EU), insbes. in Hinblick auf Datenverarbeitung öffentlicher Stellen (Art. 86) sowie
im Beschäftigtenkontext (Art. 88).
▪ Die DSGVO ersetzt nicht nur das Bundesdatenschutzgesetz (BDSG), sondern auch viele weitere Bundesgesetze, die
Regelungen zum Datenschutz beinhaltet haben (z.B. SGB, TKG, TMG, etc.). Diese sind hiervon (inhaltlich oder auch
formell) betroffen und werden von dieser überlagert (z.B. datenrechtliche Regelungen des § 11 ff. TMG; hierbei auch
geplante E-PrivacyVO zu beachten).
22Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Prüfungsraster
▪ Gibt es eine datenschutzrechtliche Regelung in der DSGVO?
▪ Lässt diese Regelung den Mitgliedstaaten einen Regelungsspielraum?
▪ Wurde der Regelungsspielraum in Deutschland genutzt?
▪ Durch Bundes- oder Landesrecht?
▪ Wurden die Grenzen des mitgliedstaatlichen Spielraums beachtet?
23Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO
DSGVO
Artikel 3
Räumlicher Anwendungsbereich
Artikel 12-21
Rechte der betroffenen Person
Artikel 83
Allgemeine Bedingungen für die
Verhängung von Geldbußen
24Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO – Artikel 12-21
Rechte der betroffenen Person - Übersicht
Information:
• Zweck & Rechtsgrundlage der Verarbeitung
• Name und Kontaktdaten des Verantwortlichen
Transparenz:
• Präzise, verständlich und leicht zugänglich
• Klare und einfache Sprache
Auskunft:
• Verarbeitungszweck
• (Geplante) Dauer der Verarbeitung
• Offenlegung gegenüber Dritten
BerichtigungVervollständigung
Einschränkung:
• Unrechtmäßigkeit der Verarbeitung
• Bestritt der Richtigkeit
Datenübertragbarkeit:
• Übermittlung der Daten
Widerspruch:
• Direktwerbung
Löschung („Recht auf Vergessenwerden“):
• Unrechtmäßigkeit der Verarbeitung
• Zweck der Erhebung nicht mehr notwendig
25Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Rechte der betroffenen Person
Details
▪ Art. 12 DSGVO normiert die Anforderungen an die Transparenz, die Art der Kommunikation sowie die Modalitäten für die
Ausübung der Rechte der betroffenen Person. Beispiele:
▪ Betroffene müssen in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form über die Verarbeitung ihrer
Daten informiert werden (Art. 12 Abs. 1 Satz 1).
▪ Verantwortliche müssen betroffener Person die Ausübung ihrer Rechte erleichtern (Abs. 2).
▪ Art. 13 f. DSGVO sehen einen umfangreichen Katalog proaktiver Benachrichtigungspflichten vor, wobei danach differenziert
wird, ob die Daten bei der betroffenen Person (Art. 13 DSGVO) oder bei Dritten (Art. 14 DSGVO) erhoben werden. Beispiele:
▪ Zum Zeitpunkt der Erhebung muss die betroffene Person über Namen und Kontaktdaten des Verantwortlichen und den
Zweck der Verarbeitung informiert werden (Art. 13 Abs. 1 lit. a, c).
▪ Darüber hinaus über die Dauer der Speicherung (Abs. 2 lit. a), das Recht auf
Auskunft/Berichtigung/Löschung/Einschränkung (lit. b) oder ob die Bereitstellung der personenbezogenen Daten
gesetzlich oder vertraglich vorgeschrieben ist (lit. e).
26Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Rechte der betroffenen Person
Details
▪ Nach Art. 15 DSGVO hat die betroffene Person ein Recht auf Auskunft, ob und welche Daten, insbesondere zu welchem
Zweck (Abs. 1 lit. a) die Daten erhoben werden.
▪ Nach Art. 16 DSGVO hat die betroffene Person ein Recht auf Berichtigung unrichtig erhoberner Daten.
▪ Nach Art. 17 DSGVO hat die betroffene Person unter bestimmten Voraussetzungen das Recht, die Löschung ihrer Daten (sog.
„Recht auf Vergessenwerden“)zu verlangen.
▪ Dabei besteht auch die Pflicht eines Datenverantwortlichen, der die Daten veröffentlicht hat, datenverarbeitende Dritteh
über das Löschbegehren des Betroffenen zu informieren (Abs. 2).
▪ Art. 18 DSGVO normiert das Recht auf Einschränkung der Verarbeitung, z.B. wenn die Richtigkeit der Daten in Frage steht
▪ Das Recht auf Datenübertragbarkeit (Art. 20) gibt betroffenen Personen unter bestimmten Voraussetzungen einen
Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren
Dateiformat zu erhalten (z.B. um den Wechsel zu einem anderen Anbieter zu erleichtern).
27Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
DSGVO
Artikel 25
Datenschutz durch Technik und
datenschutzfreundliche Voreinstellungen
Technischer und organisatorischer DS
Artikel 35
Datenschutz-Folgenabschätzung
Artikel 37
Benennung eines
Datenschutzbeauftragten
Pflicht, wenn:
• Öffentliche Stelle
• Datenverarbeitung als Kerntätigkeit
Hauptaufgabe:
Überwachung der Einhaltung
datenschutzrechtlicher Vorschriften
28Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Technischer und organisatorischer DS – Artikel 25 Abs. 1
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Privacy by Design: „Datenschutz durch Technikgestaltung“
Ergreifen technischer und organisatorischer Maßnahmen (TOMs) zum Zeitpunkt der Festlegung der Mittel für
die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung (im Entwicklungsstadium), z.B.
• Pseudonymisierung
• Verschlüsselung
• Nutzerauthentifizierung
Unter Berücksichtigung:
Stand der Technik +
Implementierungskosten
Eintrittswahrscheinlichkeit und
Schwere des Risikos
Art, Umfang und
Zwecke der Verarbeitung
29Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Technischer und organisatorischer DS – Artikel 25 Abs. 2
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 DSGVO
kann als Faktor herangezogen werden!
Privacy by Default: „Datenschutz durch datenschutzfreundliche Voreinstellungen“
Verarbeitung grundsätzlich nur personenbezogener Daten, deren Verarbeitung für den jeweiligen
bestimmten Verarbeitungszweck erforderlich ist ( = Werkeinstellungen datenschutzfreundlich ausgestalten)
Ziel: Nutzer schützen, die weniger technikaffin sind („Privacy Paradox“)
Was tun bei Unsicherheit mit Artikel 25?
30Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
?
DSGVO
Artikel 25
Datenschutz durch Technik und
datenschutzfreundliche Voreinstellungen
Technischer und organisatorischer DS
Artikel 40 und Artikel 42
Zertifizierung und
Verhaltensregeln
Artikel 35
Datenschutz-Folgenabschätzung
Artikel 37
Benennung eines
Datenschutzbeauftragten
Pflicht, wenn:
• Öffentliche Stelle
• Datenverarbeitung als Kerntätigkeit
Hauptaufgabe:
Überwachung der Einhaltung
datenschutzrechtlicher Vorschriften
31Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Technischer und organisatorischer DS – Artikel 35
Datenschutz-Folgenabschätzung
Artikel 35 Abs. 1 DSGVO
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der
Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die
Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige
Abschätzung vorgenommen werden.
32Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Technischer und organisatorischer DS – Artikel 35
Datenschutz-Folgenabschätzung
Instrument des „Risikomanagements“:
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten
durch systematische Beschreibung der geplanten Verarbeitungsvorgänge
Notwendig, wenn:
• Verarbeitung besonders sensibler Daten
• Voraussichtlich hohes Risiko für Rechte und Freiheiten natürlicher Personen durch Verarbeitung
(insb. bei Verwendung neuer Technologien)
33Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Folgenabschätzung durchführen – wann genau?
Art. 29 Gruppe WP 248
• Nach der Leitlinie gilt es als je wahrscheinlicher, desto mehr der aufgelisteten Kriterien vorliegen. Als
Faustregel soll gelten, dass eine Folgenabschätzung bei Erfüllung von zwei oder mehr Kriterien
durchgeführt werden muss.
• Die Kriterien sind: (1) Scoring, Profiling, Evaluation, z. B. Einschätzung der Kreditwürdigkeit, Behavioral
Marketing etc., (2) automatisierte Einzelfallentscheidungen, (3) systematische Überwachung, (4)
Verarbeitung sensibler Daten, (5) umfangreiche Datenverarbeitungen (bezogen auf die Anzahl betroffener
Personen und Datenkategorien, die Dauer der Verarbeitung, die geographische Ausdehnung), (6) das
Zusammenführen oder Abgleichen von Datenbeständen, wenn Betroffene nicht damit rechnen können, (7)
die Verarbeitung von Daten besonders schutzbedürftiger Personen, (8) Neuartigkeit von
Verarbeitungsvorgängen, Verwendung neuer Technologien (bspw. Fingerabdrucksensoren oder
Gesichtserkennung), (9) Verarbeitungen, die es betroffenen Personen erschweren, ihre Rechte auszuüben
oder eine Leistung in Anspruch zu nehmen, z.B. die Beurteilung der Kreditwürdigkeit durch eine Bank vor
der Vergabe eines Darlehens
34Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO
DSGVO
Artikel 3
Räumlicher Anwendungsbereich
Artikel 12-21
Rechte der betroffenen Person
Artikel 83
Allgemeine Bedingungen für die
Verhängung von Geldbußen
35Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO – Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
Geldbußen nach Art. 83 Abs. 4 DSGVO
Geldbußen von bis zu 10 000 000 EUR oder bis zu 2 %
des gesamten weltweit erzielten Jahresumsatzes
(höherer Betrag)
Geldbußen nach Art. 83 Abs. 5 DSGVO
Geldbußen von bis zu 20 000 000 EUR oder bis zu 4 %
des gesamten weltweit erzielten Jahresumsatzes
(höherer Betrag)
• Art. 33 DSGVO: Meldung von Verletzungen des
Schutzes personenbezogener Daten an die
Aufsichtsbehörde
• Art. 35 DSGVO: Datenschutz-Folgenabschätzung
• Art. 6 DSGVO: Rechtmäßigkeit der
Verarbeitung
• Art. 12-21 DSGVO: Rechte der Betroffenen
36Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Grundprinzipien der DSGVO – Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
▪ Gegen Behörden und sonstige öffentliche Stellen des Bundes können auch in Zukunft keine
Geldbußen verhängt werden (vgl. Art. 83 Abs. 7 i.V.m. bislang fehlender nationaler Regelung).
▪ Auf jeden Fall Befugnisse der Aufsicht nach Art. 58 DSGVO:
▪ Verwarnung (lit. a und b),
▪ Anweisungs- und Anordnungsbefugnisse (lit. c, d, e, g und h) und die Sanktionsbefugnisse (lit. f, h,
i und j)
▪ Aufsichtsrechtliche Maßnahmen sind möglich
▪ Dagegen steht der Rechtsweg offen: Klagen gegen aufsichtsrechtliche Maßnahmen sind möglich und
haben aufschiebende Wirkung, Verwaltungsgericht muss gegebenenfalls dem EuGH vorlegen (das
dauert…)
37Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Teil II: Konkrete(re)s
38Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Dokumentieren, nachweisen, informieren
• Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DSGVO),
• Einhaltung der erforderlichen technisch-organisatorischen Maßnahmen (Art. 24 DSGVO) sowie Vorgaben
zur Datensicherheit (Art. 32 DSGVO)
• Zur Datensicherheit vgl. auch Checkliste via DAV
• …u.a. Zugangskontrolle, Zugriffskontrolle, Erstellen eines Backup- & Recoverykonzepts, Erstellen eines
Notfallplans
• Zur Datensicherheit vgl. auch das SDM des ULD
• (P) Die unverschlüsselte Mail eines Studierenden, der ärztliches Attest übermittelt, um Abwesenheit
zu entschuldigen
39Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Dokumentieren, nachweisen, informieren
• Einsatz geeigneter Auftragsverarbeiter, Art. 28 DSGVO
• Druckaufträge an externe Dienstleister für Visitenkarten, Webhosting, Einsatz von Web-
Analysediensten
• Google Analytics auf der Studiengangsseite?
• Führung eines Verarbeitungsverzeichnisses, Art. 30 DSGVO
• Abbildung sämtlicher relevanter Prozesse
• Auch was man unterlässt und vernichtet, muss dokumentiert werden
• DSK Kurzpapier Nr. 1 - Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DSGVO
• Muster Verarbeitungsverzeichnis
40Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Dokumentieren, nachweisen, informieren
Meldung und Dokumentation von Datenschutzvorfällen, Art. 33 DSGVO (Data Breach Notification)
• Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht
zu einem Risiko“ für den Betroffenen führt.
• (P) Das Ende des Dienstrechners?
Informations- und Auskunftspflichten gegenüber den Betroffenen (Art. 13 - 15 DSGVO).
• Die Betroffenen sind in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und
klaren Sprache" von der Verarbeitung ihrer personenbezogenen Daten zu unterrichten, Art. 12 Abs. 1 DSGVO
• Erklären Sie Vorgänge der Datenverarbeitung (Zweck, Speicherfristen, Rechtsgrundlage, bei Interessenabwägung
auch die tragenden Gründe) umfassend, verständlich, vollständig und nachweislich (Webseite)
Löschpflichten
• (P) der dienstliche (oder gemischt dienstlich private?) E-Mail Account: wann hat sich der Zweck welcher E-Mail erledigt
- Löschkonzept?
• (P) Verkettete Daten in Archiven und Backups
• Aufbewahrungsfristen zu Prüfungszwecken, zu statistischen Zwecken oder nach Steuerrecht
41Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Recht auf Vergessenwerden und Datenübertragbarkeit
„Recht auf Vergessenwerden (Art. 17 DSGVO)
• Absatz 3: Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
• a zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
• d für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1
genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht
oder ernsthaft beeinträchtigt
Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
• Auch für Lernplattformen (Moodle)?
• In der Regel (-), da in der Regel Rechte Dritter (Gruppenarbeiten) entgegenstehen
42Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Privacy by Design und by Default: Moodle
Art. 25 DSGVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzrechtliche
Voreinstellungen".
• Umsetzung bei Moodle: nicht unmittelbar für den Unterrichtszweck notwendige Daten: default „off“
Auftragsdatenverarbeitung (Art. 28 DSGVO):
• Überprüfung der ADV-Verträge auf Anpassungspassungsbedarf
Erfordernis einer Datenschutz-Folgenabschätzung, soweit eine Verarbeitung voraussichtlich hohe Risiken für
die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat (Art. 35 DSGVO). Insbesondere die
Eintrittswahrscheinlichkeit und Schwere der möglichen Risiken sind zu bewerten und Maßnahmen zur
Eindämmung der Risiken zu prüfen.
• Relevant bei Learning Analytics
43Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Social Media und Folgenabschätzung
Social-Media-Kanäle und Folgenabschätzung (vgl dazu Orientierungshilfe LfDI BaWü)
• Auf individuellen Anwendungsfall zugeschnittene Erforderlichkeitsprüfung
• Geht mit Verzicht eine signifikante Beeinträchtigung der Aufgabenerfüllung einher?
• Gleicht das (potentielle) Plus an Reichweite das Minus an Datensparsamkeit aus?
• Transparentes und öffentlich zugängliches Social-Media-Konzept
• Nach außen zu dokumentierender (externer) Bereich der SMG, d.h. SMK
• Zweck, Art, Umfang, Verantwortlichkeiten
• Crossmedia-Gebot
• Evaluationsgebot
44Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Sonderproblem Social Media Monitoring
Im Gegensatz zum BDSG a.F. kein (weit reichendes) Privileg der DSGVO hinsichtlich öffentlich zugänglicher
Daten - lediglich das Verbot der Verarbeitung sensibler Daten gilt nicht, wenn die Daten offenkundig vom
Betroffenen öffentlich gemacht wurden (Art. 9 Abs. 2 lit. e) DSGVO).
• Art. 6 Abs. 1 lit. f DSGVO (?)
• Informationspflichten nach Art. 14 DSGVO
• Art. 22 DSGVO
45Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Die Hochschulkommunikation bleibt arbeitsfähig!
Mythos: KUG wegen DSGVO künftig (ab 25.5.) unanwendbar, daher Anfertigen und Verbreiten von Personenaufnahmen
via Social Media durch Hochschulkommunikationen künftig ohne Einwilligung nicht möglich.
BMI: Falsch!
„Die Ansicht, das Kunsturhebergesetz werde durch die DSGVO ab dem 25. Mai 2018 verdrängt, ist falsch. Das
Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DSGVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem
Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Das Kunsturhebergesetz steht daher
nicht im Widerspruch zur DSGVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO
ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze
anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit
verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit.
Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung
der DSGVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DSGVO
dar. Die DSGVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist , sondern im Hinblick
auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte
abgewogen werden (Erwägungsgrund 4). Zu den von der DSGVO in diesem Zusammenhang genannten Grundrechten zählt
ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.“
46Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
…also noch einmal:
don´t panic.
47Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Links
Linkliste DSK Papers
LfDI Social Media und öffentliche Stellen – Folgenabschätzung & Co
GDD DSGVO Praxishilfen (für Unternehmen)
DSGVO Folgenabschätzung Tool
Zu Fortgeltung von Einwilligungen via Härting RAe
FAQ DSGVO via BMI
Via LfDI Niedersachsen: Datenschutz-Grundverordnung – was ändert sich für die Hochschulen?
48Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
Vielen Dank!
Fragen?
49

Weitere ähnliche Inhalte

Was ist angesagt?

Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Dicas básicas LGPD sem juridiquês
Dicas básicas LGPD sem juridiquês Dicas básicas LGPD sem juridiquês
Dicas básicas LGPD sem juridiquês Rosalia Ometto
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Qualsys Ltd
 
Media Clover Leaf
Media Clover LeafMedia Clover Leaf
Media Clover LeafEdelman
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4Marcelo Auler
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slidesNaomi Holmes
 
GDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to KnowGDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to KnowPiwik PRO
 

Was ist angesagt? (20)

Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Rodo podstawy przetwarzania_danych_ dla pracownikow
Rodo  podstawy przetwarzania_danych_ dla pracownikowRodo  podstawy przetwarzania_danych_ dla pracownikow
Rodo podstawy przetwarzania_danych_ dla pracownikow
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Dicas básicas LGPD sem juridiquês
Dicas básicas LGPD sem juridiquês Dicas básicas LGPD sem juridiquês
Dicas básicas LGPD sem juridiquês
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
GDPR for Dummies
GDPR for DummiesGDPR for Dummies
GDPR for Dummies
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
Preparing for GDPR: General Data Protection Regulation - Stakeholder Presenta...
 
General Data Protection Regulation
General Data Protection RegulationGeneral Data Protection Regulation
General Data Protection Regulation
 
Media Clover Leaf
Media Clover LeafMedia Clover Leaf
Media Clover Leaf
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4
Relatório e voto do juiz Adel Americo Dias de Oliveira no TRF4
 
GDPR Presentation slides
GDPR Presentation slidesGDPR Presentation slides
GDPR Presentation slides
 
GDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to KnowGDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to Know
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
 

Ähnlich wie DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. Tobias Keber)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 
Einführungsvortrag zur Europäischen Datenschutzverordnung
Einführungsvortrag zur Europäischen DatenschutzverordnungEinführungsvortrag zur Europäischen Datenschutzverordnung
Einführungsvortrag zur Europäischen DatenschutzverordnungColab Chemnitz
 
Fmk2018- Die neue EU DSG-VO Christoph Kluss
Fmk2018- Die neue EU DSG-VO Christoph KlussFmk2018- Die neue EU DSG-VO Christoph Kluss
Fmk2018- Die neue EU DSG-VO Christoph KlussVerein FM Konferenz
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - RechtsfragenMichael Lanzinger
 
FNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an HochschulenFNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an HochschulenMichael Lanzinger
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft bizVÖGB
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Michael Lanzinger
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerPraetor Intermedia
 
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMC
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMCRechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMC
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMCAllFacebook.de
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenMichael Danisch
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 

Ähnlich wie DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. Tobias Keber) (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Einführungsvortrag zur Europäischen Datenschutzverordnung
Einführungsvortrag zur Europäischen DatenschutzverordnungEinführungsvortrag zur Europäischen Datenschutzverordnung
Einführungsvortrag zur Europäischen Datenschutzverordnung
 
Fmk2018- Die neue EU DSG-VO Christoph Kluss
Fmk2018- Die neue EU DSG-VO Christoph KlussFmk2018- Die neue EU DSG-VO Christoph Kluss
Fmk2018- Die neue EU DSG-VO Christoph Kluss
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 
FNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an HochschulenFNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an Hochschulen
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für Webworker
 
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMC
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMCRechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMC
Rechtsupdate 2017 – Alles neu durch die Datenschutzgrundverordnung?! #AFBMC
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO Versicherungen
 
Jugsauerland dsgvo
Jugsauerland dsgvoJugsauerland dsgvo
Jugsauerland dsgvo
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Wpcgn dsgvo
Wpcgn dsgvoWpcgn dsgvo
Wpcgn dsgvo
 

Mehr von e-teaching.org

Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...
Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...
Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...e-teaching.org
 
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)e-teaching.org
 
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...e-teaching.org
 
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...e-teaching.org
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...e-teaching.org
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...e-teaching.org
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...e-teaching.org
 
Publication Sprints – Expertise in einer Wissensressource aufbereiten
Publication Sprints – Expertise in einer Wissensressource aufbereitenPublication Sprints – Expertise in einer Wissensressource aufbereiten
Publication Sprints – Expertise in einer Wissensressource aufbereitene-teaching.org
 
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...e-teaching.org
 
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...
 Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli... Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...e-teaching.org
 
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...e-teaching.org
 
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...e-teaching.org
 
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...e-teaching.org
 
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?e-teaching.org
 
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...e-teaching.org
 
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...e-teaching.org
 
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...e-teaching.org
 
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...e-teaching.org
 
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Medien
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen MedienSoziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Medien
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Mediene-teaching.org
 
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...e-teaching.org
 

Mehr von e-teaching.org (20)

Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...
Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...
Förderung mediendidaktischer Kompetenzen von Lehramtsstudierenden – das Proje...
 
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)
Hybride Lehrszenarien gestalten (Slides: Claudia Bremer)
 
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
 
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
Gfhf2020 - Welche Rolle spielt das Hochschul- und Wissenschaftsmanagement bei...
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Linklis...
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Poster ...
 
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...
Hochschulbildung und Corona: Was wir jetzt tun - was sonst noch geht (Slides:...
 
Publication Sprints – Expertise in einer Wissensressource aufbereiten
Publication Sprints – Expertise in einer Wissensressource aufbereitenPublication Sprints – Expertise in einer Wissensressource aufbereiten
Publication Sprints – Expertise in einer Wissensressource aufbereiten
 
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...
Umfrageergebnisse: Digitalisierungspraktiken und Hochschulbildung – sind wir ...
 
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...
 Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli... Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Sli...
 
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...
Teilen wir ein gemeinsames Verständnis von (digitaler) Hochschulbildung? Slid...
 
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...
Digitale fachspezifische Lehre an der Ruhr-Universität Bochum – Strategie und...
 
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...
Was ist Hochschulbildung (im digitalen Zeitalter)? - Slides Prof. Dr. Sönke K...
 
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?
Umfrageergebnisse: Heterogenität im Studium - Was leisten digitale Medien?
 
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
 
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
Online-Angebote für das Selbststudium und den Einsatz in Lehre und Beratung –...
 
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
 
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
Wie können politische Rahmenbedingungen erfolgreiches Lernen begünstigen? (Sl...
 
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Medien
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen MedienSoziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Medien
Soziale Interaktion als Erfolgsfaktor des Lernens mit digitalen Medien
 
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...
Unterstützung kognitiver Prozesse als Erfolgsfaktor des Lernens mit digitalen...
 

DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. Tobias Keber)

  • 1. 17.5.2018 via e-teaching.org Prof. Dr. iur. Tobias Keber Hochschule der Medien Stuttgart keber@hdm-stuttgart.de +49 711 8923 2718 Twitter: @datenreiserecht Webinar DSGVO – (einige) Veränderungen und Folgen für den Hochschulbereich. 1
  • 2. Wer? •Professur für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien (HdM) Stuttgart •Institut für Digitale Ethik (IDE), Hochschule der Medien Stuttgart •Zuvor: Rechtsanwalt •Vorsitzender des Wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD) •Kommentierung Art. 25 DSGVO (erscheint am 25.5.2018) in: 2Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 3. Agenda • Teil I: Basics • Überblick Datenschutzrecht • Europäische Vorgaben: von der Richtlinie zur Verordnung • DSGVO: Grundlagen, Prinzipien, Neuerungen • Teil II: Konkrete(re)s • Privacy by Design und Privacy by Default • Lernplattformen und Datenportabilität • Learning Analytics und Folgenabschätzung • Hochschulkommunikation und Social Media 3Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 4. Vorab 4Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 5. Vorab: don´t panic. • Don´t panic – we all survived the Y2K-Bug • Wir müssen arbeitsfähig bleiben (Art. 5 Abs. 3 GG, §§ 2, 3 LHG) • Datenschutz ist wichtig, aber kein Supergrundrecht • Aufsichtsbehörden haben Zähne bekommen, aber das bedeutet nicht, das sie bissig geworden sind (Ronellenfitsch) • (Weitere) Handreichungen muss und wird es geben 5Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 6. Teil I: Überblick DSGVO Hintergrund, Rechtscharakter, Grundprinzipien 6Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 7. Überblick Datenschutzrecht - Rechtsquellen 7 Künftig: ePrivacyVO Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 8. Hintergrund zur DSGVO - Basisdaten Titel: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG Kurz: Datenschutz-Grundverordnung (DSGVO) Geltungsbereich: Europäische Union Rechtsnatur: Verordnung (unmittelbar geltend) mit Öffnungsklauseln Zeitliche Abfolge: 2011 20182016 November Erster Entwurf der DSGVO Mai Veröffentlichung + Inkrafttreten der DSGVO 25. Mai Verbindliche Anwendung der DSGVO 1995 Dezember Inkrafttreten der Datenschutz- Richtlinie 8Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 9. Von der Richtlinie zur Verordnung - Ausgangssituation • Datenschutz-Richtlinie 95/46: Umsetzung „bunt“: • Nationale Sonderregelungen bspw. zur Werbung, Adresshandel, Scoring • Datenschutz-Richtlinie 95/46 9Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 10. DSGVO – Ziele/Ideen EU-weite Stärkung des Datenschutz Modernisierung des Datenschutzrechts EU-weite Kooperationen der Aufsichtsbehörden 10Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 11. Verordnung - Rechtscharakter • DSGVO: allgemeine Regelung mit unmittelbarer Geltung (Verordnungen müssen nicht wie Richtlinien umgesetzt werden) • Grundsatz: Vollharmonisierung im nicht-öffentlichen Bereich • Ersetzt grds. nationales Datenschutzrecht, führt zur Unanwendbarkeit entgegenstehender nationaler Regelungen • ABER: Öffnungsklauseln (Richtlinien-Charakter im öffentlichen Bereich) 11Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 12. Überblick über die DSGVO DSGVO: Übersicht Zulässigkeit Garantien durch Standards und Zertifizierung Technisch/organisatorische Maßnahmen Kontrolle durch DSB und Aufsicht Transparenz/Intervention Durchsetzung durch Bußgeld und Sanktionen Europäische Umsetzung durch Kohärenz 12Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 13. Grundprinzipien der DSGVO Artikel 1 Gegenstand und Ziele Artikel 2 Sachlicher Anwendungsbereich Artikel 5 Grundsätze für die Verarbeitung Artikel 6 Rechtmäßigkeit der Datenverarbeitung • Schutz der Grundrechte und Grundfreiheiten natürlicher Personen • insbesondere deren Recht auf Schutz personenbezogener Daten und • der freie Verkehr personenbezogener Daten • Ganz oder teilweise Automatisierte Verarbeitung personenbezogener Daten • Nichtautomatisierte Verarbeitung von personenbezogener Daten • Rechtmäßigkeit • Datensparsamkeit • Zweckbindung • Richtigkeit • Speicherbegrenzung • Integrität und Vertraulichkeit Erfüllung mind. einer Bedingung: • Einwilligung • Erfüllung/Verarbeitung eines Vertrages • Schutz lebenswichtiger Interessen DSGVODSGVO 13Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 14. Grundprinzipien der DSGVO DSGVO Artikel 3 Räumlicher Anwendungsbereich Artikel 12-21 Rechte der betroffenen Person Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen 14Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 15. Grundprinzipien der DSGVO – Artikel 3 Räumlicher Anwendungsbereich – „Marktortprinzip“ ▪ Die DSGVO ist nicht nur für die in der Europäischen Union niedergelassenen Unternehmen relevant (sog. Marktortprinzip, Art. 3 Abs. 2). ▪ Voraussetzung ist, dass sich ein Angebot von (unentgeltlichen) Waren oder Dienstleistungen an einen nationalen Markt in der EU richtet (lit. a), oder eine Datenverarbeitung zur Verhaltensbeobachtung betroffener Personen in der EU erfolgt (lit. b). ▪ Der Anwendungsbereich erstreckt sich also grds. auch auf außereuropäische Unternehmen, die auf dem europäischen Markt agieren, selbst wenn Sie keine eigenständige Niederlassung im Gebiet der europäischen Union unterhalten (z.B. auch Facebook oder Google). ▪ Dadurch sollen gleiche Wettbewerbsbedingungen für alle Unternehmen geschaffen werden, nachdem das BDSG lediglich „im Inland“ erhobene Daten dem deutschen Datenschutzrecht unterwarf (§ 1 Abs. 5 Satz 2 BDSG) und insoweit Unklarheiten bezgl. dessen Anwendbarkeit entstanden sind. 15Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 16. Artikel 4: Definitionen 1. “personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; 16Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 17. Artikel 4: Definitionen 2. “Verarbeitung” jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 17Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 18. Artikel 4: Definitionen 5. “Pseudonymisierung” die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; 18Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 19. Artikel 4: Definitionen 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden 19Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 20. Artikel 5 und 6 DSGVO Artikel 6: Rechtmäßigkeit der Verarbeitung • u.a.: Einwilligung, Vertrag, gesetzl. Gestattungsnorm, lebenswichtige Interessen, Interessenabwägung Artikel 5: Grundsätze • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz • Zweckbindung • Datenminimierung • Richtigkeit • Speicherbegrenzung • Integrität und Vertraulichkeit 20Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 21. Artikel 5 und 6 Details ▪ Verarbeitung von Daten ist nur rechtmäßig, wenn eine Einwilligung oder eine andere in dieser Vorschrift normierte Ausnahme vorliegt (Art. 5 Abs. 1 lit. a i.V.m. Art. 6 Abs. 1), d.h. wenn ▪ die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist (Art. 6 Abs. 1 lit b), oder ▪ die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (lit. c), oder ▪ die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person zu schützen (lit. d), oder ▪ die Verarbeitung zur Erfüllung hoheitlicher Aufgaben erforderlich ist (lit. e), oder ▪ zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f). ▪ (P) gilt nicht für Behörden für Verarbeitung in Erfüllung ihrer Aufgaben – Hochschulen = Behörde in diesem Sinne? ▪ Generell muss die Verarbeitung der personenbezogenen Daten dem Zweck angemessen sein (Art. 5 lit. b u. c). ▪ Auch Prinzip der Datensparsamkeit („Datenminimierung“) genannt, Art. 5 lit. c). 21Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 22. DSGVO und ihre „Umsetzung“ im nationalen Recht ▪ Die DSGVO gilt in den Mitgliedstaaten unmittelbar und braucht daher nicht in nationales Recht umgewandelt werden (sog. Anwendungsvorrang, Art. 288 Abs. 2 AEUV). ▪ Mitgliedstaaten können jedoch eigene, ergänzende Regelungen setzen (jedoch lediglich dort, wo durch DSGVO gesetzl. vorgesehen, sog. „Öffnungsklauseln“, s.o.). ▪ In der Bundesrepublik Deutschland erfolgte diese Rechtsetzung z.B. durch das Datenschutz-Anpassungs- Umsetzungs-Gesetz (DSAnpUG-EU), insbes. in Hinblick auf Datenverarbeitung öffentlicher Stellen (Art. 86) sowie im Beschäftigtenkontext (Art. 88). ▪ Die DSGVO ersetzt nicht nur das Bundesdatenschutzgesetz (BDSG), sondern auch viele weitere Bundesgesetze, die Regelungen zum Datenschutz beinhaltet haben (z.B. SGB, TKG, TMG, etc.). Diese sind hiervon (inhaltlich oder auch formell) betroffen und werden von dieser überlagert (z.B. datenrechtliche Regelungen des § 11 ff. TMG; hierbei auch geplante E-PrivacyVO zu beachten). 22Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 23. Prüfungsraster ▪ Gibt es eine datenschutzrechtliche Regelung in der DSGVO? ▪ Lässt diese Regelung den Mitgliedstaaten einen Regelungsspielraum? ▪ Wurde der Regelungsspielraum in Deutschland genutzt? ▪ Durch Bundes- oder Landesrecht? ▪ Wurden die Grenzen des mitgliedstaatlichen Spielraums beachtet? 23Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 24. Grundprinzipien der DSGVO DSGVO Artikel 3 Räumlicher Anwendungsbereich Artikel 12-21 Rechte der betroffenen Person Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen 24Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 25. Grundprinzipien der DSGVO – Artikel 12-21 Rechte der betroffenen Person - Übersicht Information: • Zweck & Rechtsgrundlage der Verarbeitung • Name und Kontaktdaten des Verantwortlichen Transparenz: • Präzise, verständlich und leicht zugänglich • Klare und einfache Sprache Auskunft: • Verarbeitungszweck • (Geplante) Dauer der Verarbeitung • Offenlegung gegenüber Dritten BerichtigungVervollständigung Einschränkung: • Unrechtmäßigkeit der Verarbeitung • Bestritt der Richtigkeit Datenübertragbarkeit: • Übermittlung der Daten Widerspruch: • Direktwerbung Löschung („Recht auf Vergessenwerden“): • Unrechtmäßigkeit der Verarbeitung • Zweck der Erhebung nicht mehr notwendig 25Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 26. Rechte der betroffenen Person Details ▪ Art. 12 DSGVO normiert die Anforderungen an die Transparenz, die Art der Kommunikation sowie die Modalitäten für die Ausübung der Rechte der betroffenen Person. Beispiele: ▪ Betroffene müssen in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form über die Verarbeitung ihrer Daten informiert werden (Art. 12 Abs. 1 Satz 1). ▪ Verantwortliche müssen betroffener Person die Ausübung ihrer Rechte erleichtern (Abs. 2). ▪ Art. 13 f. DSGVO sehen einen umfangreichen Katalog proaktiver Benachrichtigungspflichten vor, wobei danach differenziert wird, ob die Daten bei der betroffenen Person (Art. 13 DSGVO) oder bei Dritten (Art. 14 DSGVO) erhoben werden. Beispiele: ▪ Zum Zeitpunkt der Erhebung muss die betroffene Person über Namen und Kontaktdaten des Verantwortlichen und den Zweck der Verarbeitung informiert werden (Art. 13 Abs. 1 lit. a, c). ▪ Darüber hinaus über die Dauer der Speicherung (Abs. 2 lit. a), das Recht auf Auskunft/Berichtigung/Löschung/Einschränkung (lit. b) oder ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist (lit. e). 26Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 27. Rechte der betroffenen Person Details ▪ Nach Art. 15 DSGVO hat die betroffene Person ein Recht auf Auskunft, ob und welche Daten, insbesondere zu welchem Zweck (Abs. 1 lit. a) die Daten erhoben werden. ▪ Nach Art. 16 DSGVO hat die betroffene Person ein Recht auf Berichtigung unrichtig erhoberner Daten. ▪ Nach Art. 17 DSGVO hat die betroffene Person unter bestimmten Voraussetzungen das Recht, die Löschung ihrer Daten (sog. „Recht auf Vergessenwerden“)zu verlangen. ▪ Dabei besteht auch die Pflicht eines Datenverantwortlichen, der die Daten veröffentlicht hat, datenverarbeitende Dritteh über das Löschbegehren des Betroffenen zu informieren (Abs. 2). ▪ Art. 18 DSGVO normiert das Recht auf Einschränkung der Verarbeitung, z.B. wenn die Richtigkeit der Daten in Frage steht ▪ Das Recht auf Datenübertragbarkeit (Art. 20) gibt betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten (z.B. um den Wechsel zu einem anderen Anbieter zu erleichtern). 27Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 28. DSGVO Artikel 25 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Technischer und organisatorischer DS Artikel 35 Datenschutz-Folgenabschätzung Artikel 37 Benennung eines Datenschutzbeauftragten Pflicht, wenn: • Öffentliche Stelle • Datenverarbeitung als Kerntätigkeit Hauptaufgabe: Überwachung der Einhaltung datenschutzrechtlicher Vorschriften 28Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 29. Technischer und organisatorischer DS – Artikel 25 Abs. 1 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Privacy by Design: „Datenschutz durch Technikgestaltung“ Ergreifen technischer und organisatorischer Maßnahmen (TOMs) zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung (im Entwicklungsstadium), z.B. • Pseudonymisierung • Verschlüsselung • Nutzerauthentifizierung Unter Berücksichtigung: Stand der Technik + Implementierungskosten Eintrittswahrscheinlichkeit und Schwere des Risikos Art, Umfang und Zwecke der Verarbeitung 29Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 30. Technischer und organisatorischer DS – Artikel 25 Abs. 2 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 DSGVO kann als Faktor herangezogen werden! Privacy by Default: „Datenschutz durch datenschutzfreundliche Voreinstellungen“ Verarbeitung grundsätzlich nur personenbezogener Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist ( = Werkeinstellungen datenschutzfreundlich ausgestalten) Ziel: Nutzer schützen, die weniger technikaffin sind („Privacy Paradox“) Was tun bei Unsicherheit mit Artikel 25? 30Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange ?
  • 31. DSGVO Artikel 25 Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Technischer und organisatorischer DS Artikel 40 und Artikel 42 Zertifizierung und Verhaltensregeln Artikel 35 Datenschutz-Folgenabschätzung Artikel 37 Benennung eines Datenschutzbeauftragten Pflicht, wenn: • Öffentliche Stelle • Datenverarbeitung als Kerntätigkeit Hauptaufgabe: Überwachung der Einhaltung datenschutzrechtlicher Vorschriften 31Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 32. Technischer und organisatorischer DS – Artikel 35 Datenschutz-Folgenabschätzung Artikel 35 Abs. 1 DSGVO Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. 32Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 33. Technischer und organisatorischer DS – Artikel 35 Datenschutz-Folgenabschätzung Instrument des „Risikomanagements“: Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch systematische Beschreibung der geplanten Verarbeitungsvorgänge Notwendig, wenn: • Verarbeitung besonders sensibler Daten • Voraussichtlich hohes Risiko für Rechte und Freiheiten natürlicher Personen durch Verarbeitung (insb. bei Verwendung neuer Technologien) 33Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 34. Folgenabschätzung durchführen – wann genau? Art. 29 Gruppe WP 248 • Nach der Leitlinie gilt es als je wahrscheinlicher, desto mehr der aufgelisteten Kriterien vorliegen. Als Faustregel soll gelten, dass eine Folgenabschätzung bei Erfüllung von zwei oder mehr Kriterien durchgeführt werden muss. • Die Kriterien sind: (1) Scoring, Profiling, Evaluation, z. B. Einschätzung der Kreditwürdigkeit, Behavioral Marketing etc., (2) automatisierte Einzelfallentscheidungen, (3) systematische Überwachung, (4) Verarbeitung sensibler Daten, (5) umfangreiche Datenverarbeitungen (bezogen auf die Anzahl betroffener Personen und Datenkategorien, die Dauer der Verarbeitung, die geographische Ausdehnung), (6) das Zusammenführen oder Abgleichen von Datenbeständen, wenn Betroffene nicht damit rechnen können, (7) die Verarbeitung von Daten besonders schutzbedürftiger Personen, (8) Neuartigkeit von Verarbeitungsvorgängen, Verwendung neuer Technologien (bspw. Fingerabdrucksensoren oder Gesichtserkennung), (9) Verarbeitungen, die es betroffenen Personen erschweren, ihre Rechte auszuüben oder eine Leistung in Anspruch zu nehmen, z.B. die Beurteilung der Kreditwürdigkeit durch eine Bank vor der Vergabe eines Darlehens 34Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 35. Grundprinzipien der DSGVO DSGVO Artikel 3 Räumlicher Anwendungsbereich Artikel 12-21 Rechte der betroffenen Person Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen 35Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 36. Grundprinzipien der DSGVO – Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen Geldbußen nach Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 000 000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes (höherer Betrag) Geldbußen nach Art. 83 Abs. 5 DSGVO Geldbußen von bis zu 20 000 000 EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes (höherer Betrag) • Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde • Art. 35 DSGVO: Datenschutz-Folgenabschätzung • Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung • Art. 12-21 DSGVO: Rechte der Betroffenen 36Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 37. Grundprinzipien der DSGVO – Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen ▪ Gegen Behörden und sonstige öffentliche Stellen des Bundes können auch in Zukunft keine Geldbußen verhängt werden (vgl. Art. 83 Abs. 7 i.V.m. bislang fehlender nationaler Regelung). ▪ Auf jeden Fall Befugnisse der Aufsicht nach Art. 58 DSGVO: ▪ Verwarnung (lit. a und b), ▪ Anweisungs- und Anordnungsbefugnisse (lit. c, d, e, g und h) und die Sanktionsbefugnisse (lit. f, h, i und j) ▪ Aufsichtsrechtliche Maßnahmen sind möglich ▪ Dagegen steht der Rechtsweg offen: Klagen gegen aufsichtsrechtliche Maßnahmen sind möglich und haben aufschiebende Wirkung, Verwaltungsgericht muss gegebenenfalls dem EuGH vorlegen (das dauert…) 37Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 38. Teil II: Konkrete(re)s 38Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 39. Dokumentieren, nachweisen, informieren • Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 2 DSGVO), • Einhaltung der erforderlichen technisch-organisatorischen Maßnahmen (Art. 24 DSGVO) sowie Vorgaben zur Datensicherheit (Art. 32 DSGVO) • Zur Datensicherheit vgl. auch Checkliste via DAV • …u.a. Zugangskontrolle, Zugriffskontrolle, Erstellen eines Backup- & Recoverykonzepts, Erstellen eines Notfallplans • Zur Datensicherheit vgl. auch das SDM des ULD • (P) Die unverschlüsselte Mail eines Studierenden, der ärztliches Attest übermittelt, um Abwesenheit zu entschuldigen 39Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 40. Dokumentieren, nachweisen, informieren • Einsatz geeigneter Auftragsverarbeiter, Art. 28 DSGVO • Druckaufträge an externe Dienstleister für Visitenkarten, Webhosting, Einsatz von Web- Analysediensten • Google Analytics auf der Studiengangsseite? • Führung eines Verarbeitungsverzeichnisses, Art. 30 DSGVO • Abbildung sämtlicher relevanter Prozesse • Auch was man unterlässt und vernichtet, muss dokumentiert werden • DSK Kurzpapier Nr. 1 - Verzeichnis von Verarbeitungstätigkeiten - Art. 30 DSGVO • Muster Verarbeitungsverzeichnis 40Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 41. Dokumentieren, nachweisen, informieren Meldung und Dokumentation von Datenschutzvorfällen, Art. 33 DSGVO (Data Breach Notification) • Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt. • (P) Das Ende des Dienstrechners? Informations- und Auskunftspflichten gegenüber den Betroffenen (Art. 13 - 15 DSGVO). • Die Betroffenen sind in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache" von der Verarbeitung ihrer personenbezogenen Daten zu unterrichten, Art. 12 Abs. 1 DSGVO • Erklären Sie Vorgänge der Datenverarbeitung (Zweck, Speicherfristen, Rechtsgrundlage, bei Interessenabwägung auch die tragenden Gründe) umfassend, verständlich, vollständig und nachweislich (Webseite) Löschpflichten • (P) der dienstliche (oder gemischt dienstlich private?) E-Mail Account: wann hat sich der Zweck welcher E-Mail erledigt - Löschkonzept? • (P) Verkettete Daten in Archiven und Backups • Aufbewahrungsfristen zu Prüfungszwecken, zu statistischen Zwecken oder nach Steuerrecht 41Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 42. Recht auf Vergessenwerden und Datenübertragbarkeit „Recht auf Vergessenwerden (Art. 17 DSGVO) • Absatz 3: Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist • a zur Ausübung des Rechts auf freie Meinungsäußerung und Information; • d für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt Recht auf Datenübertragbarkeit (Art. 20 DSGVO). • Auch für Lernplattformen (Moodle)? • In der Regel (-), da in der Regel Rechte Dritter (Gruppenarbeiten) entgegenstehen 42Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 43. Privacy by Design und by Default: Moodle Art. 25 DSGVO regelt die Grundsätze des „Datenschutzes durch Technik und datenschutzrechtliche Voreinstellungen". • Umsetzung bei Moodle: nicht unmittelbar für den Unterrichtszweck notwendige Daten: default „off“ Auftragsdatenverarbeitung (Art. 28 DSGVO): • Überprüfung der ADV-Verträge auf Anpassungspassungsbedarf Erfordernis einer Datenschutz-Folgenabschätzung, soweit eine Verarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat (Art. 35 DSGVO). Insbesondere die Eintrittswahrscheinlichkeit und Schwere der möglichen Risiken sind zu bewerten und Maßnahmen zur Eindämmung der Risiken zu prüfen. • Relevant bei Learning Analytics 43Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 44. Social Media und Folgenabschätzung Social-Media-Kanäle und Folgenabschätzung (vgl dazu Orientierungshilfe LfDI BaWü) • Auf individuellen Anwendungsfall zugeschnittene Erforderlichkeitsprüfung • Geht mit Verzicht eine signifikante Beeinträchtigung der Aufgabenerfüllung einher? • Gleicht das (potentielle) Plus an Reichweite das Minus an Datensparsamkeit aus? • Transparentes und öffentlich zugängliches Social-Media-Konzept • Nach außen zu dokumentierender (externer) Bereich der SMG, d.h. SMK • Zweck, Art, Umfang, Verantwortlichkeiten • Crossmedia-Gebot • Evaluationsgebot 44Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 45. Sonderproblem Social Media Monitoring Im Gegensatz zum BDSG a.F. kein (weit reichendes) Privileg der DSGVO hinsichtlich öffentlich zugänglicher Daten - lediglich das Verbot der Verarbeitung sensibler Daten gilt nicht, wenn die Daten offenkundig vom Betroffenen öffentlich gemacht wurden (Art. 9 Abs. 2 lit. e) DSGVO). • Art. 6 Abs. 1 lit. f DSGVO (?) • Informationspflichten nach Art. 14 DSGVO • Art. 22 DSGVO 45Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 46. Die Hochschulkommunikation bleibt arbeitsfähig! Mythos: KUG wegen DSGVO künftig (ab 25.5.) unanwendbar, daher Anfertigen und Verbreiten von Personenaufnahmen via Social Media durch Hochschulkommunikationen künftig ohne Einwilligung nicht möglich. BMI: Falsch! „Die Ansicht, das Kunsturhebergesetz werde durch die DSGVO ab dem 25. Mai 2018 verdrängt, ist falsch. Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DSGVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Das Kunsturhebergesetz steht daher nicht im Widerspruch zur DSGVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit. Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DSGVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DSGVO dar. Die DSGVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist , sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DSGVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.“ 46Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 47. …also noch einmal: don´t panic. 47Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange
  • 48. Links Linkliste DSK Papers LfDI Social Media und öffentliche Stellen – Folgenabschätzung & Co GDD DSGVO Praxishilfen (für Unternehmen) DSGVO Folgenabschätzung Tool Zu Fortgeltung von Einwilligungen via Härting RAe FAQ DSGVO via BMI Via LfDI Niedersachsen: Datenschutz-Grundverordnung – was ändert sich für die Hochschulen? 48Stand: 5/2018 * Prof. Dr. Tobias Keber * Foliendesign: C. Lange