Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen

2.684 Aufrufe

Veröffentlicht am

Update zur EU Datenschutzgrundverordnung (DS-GVO, allgemeine Datenschutzordnung) nach dem Entwurf von Anfang Juni 2015, insbesondere Stand der Gesetzgebung, Beratungsthemen im Datenschutz heute und Beratungsthemen im Datenschutz morgen, wesentliche Änderungen seit dem ersten Entwurf vom Januar 2012

Veröffentlicht in: Recht
  • Great job on that...I've been using a service called MLMRC which automates your downline building. Works with any MLM business. Try it: www.mlmrc.com
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen

  1. 1. + Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen Sascha Kremer Fachanwalt für Informationstechnologie-Recht Externer Datenschutzbeauftragter
  2. 2. + Überblick 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 2
  3. 3. + Wer? Sascha Kremer Fachanwalt für IT-Recht Externer bDSB Dozent und Autor 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 3 www.slideshare.net/saschakremer www.twitter.com/saschakremer www.facebook.com/lpkhb www.loginpartners.de
  4. 4. + Was? Datenschutz heute und morgen 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 4 Gesetze Grundsätze Altes Neues
  5. 5. + Gesetze 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 5
  6. 6. + Gesetze: heute (vereinfacht) Datenschutz-Richtlinie 95/46/EG BDSG LDSGe SGB I/X (Sozialdatenschutz) Kirchendatenschutz (KDO/DSG-EKD) „umfassende Harmonisierung“ Art. 137 II 1 WRV: Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. EuGH C-101/01 und C-468/10 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 6 Andere Richtlinien mit Datenschutz Regelungen (z.B. ECRL, DSRL-EK)
  7. 7. + Gesetze: morgen (vereinfacht)  Art. 1 Abs. 2a DS-GVO (Subject matter and objectives):  Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to the processing of personal data for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or for other specific processing situations as provided for in Article 6(1)(c) and (e) by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 7
  8. 8. + Gesetze: morgen (vereinfacht) Allgemeine Datenschutz- Verordnung (DS-GVO) Beschäftigten- datenschutz (Öffnungsklausel) LDSGe SGB I/X (Sozialdatenschutz) Kirchendatenschutz (KDO/DSG-EKD) Vollharmonisierung Unmittelbare Geltung Ergänzungsgesetze zur DS-GVO (delegierte Rechtsakte) BDSG? TKG? TMG? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 8 Andere Richtlinien mit Datenschutz Regelungen (z.B. ECRL, DSRL-EK)
  9. 9. + DS-GVO: Status Entwurf Kommission V25.1.2012 1. Lesung Parlament V12.3.2014 „1. Lesung“ Rat? E3.6.2015 (informeller) Trilog 2. HJ 2015? Rechtsakt DS-GVO Ende 2015? Verpflichtend nach 2 Jahren Ende 2017? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 9
  10. 10. + DS-GVO: Offene Punkte im Rat 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 10 Sachlicher Anwendungsbereich (Polizeiarbeit) Schutz des Betroffenen bei Zweckänderungen (Widerspruchsrecht) Haftung von verantwortlicher Stelle und Auftragsdatenverarbeiter „Peanuts“ Offene Punkte im Rat
  11. 11. + Grundsätze 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 11
  12. 12. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 12 • EG 3a DS-GVO: „The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced with other fundamental rights, in accordance with the principle of proportionality” Verbot mit Erlaubnisvorbehalt
  13. 13. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 13 • EG 40: “The legal basis […] for the collection and processing of personal data may also provide a legal basis for further processing for other purposes if these purposes are in line with the assigned task and the controller is entitled legally to collect the data for these other purposes.” Grundsatz der Zweckbindung
  14. 14. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 14 • Ausdrückliche Ergänzung um Data Protection by Design und by Default – EG 61 DS-GVO: „[…] the controller should adopt internal policies and implement appropriate measures, which meet in particular the principles of data protection by design and data protection by default. Such measures could consist inter alia of minimising the processing of personal data, pseudonymising personal data as soon as possible […]. When developing, designing, selecting and using applications, services and products […], producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations.” Grundsatz der Datensparsamkeit
  15. 15. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 15 • Information, Auskunft, Berichtigung, Sperrung, Löschung • Recht auf Vergessen werden (EuGH, C-131/12) • Recht auf Übertragbarkeit – EG 55 DS-GVO: „To further strengthen the control over their own data […], the data subject should also be allowed to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine-readable format and transmit it to another controller. […] The data subject’s right to transmit personal data does not create an obligation for the controllers to adopt or maintain data processing systems which are technically compatible.” Betroffenenrechte und Transparenz
  16. 16. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 16 • Für mehrere verantwortliche Stellen/Auftragsdatenverarbeiter • Differenzierung führende/assistierende Aufsichtsbehörde • EG 97a DS-GVO: „The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with the provisions of this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the concerned supervisory authorities in the decision-making process. […]” • EG 97c DS-GVO: „Each supervisory authority not acting as lead supervisory authority should be competent to deal with local cases […], but the subject matter of the specific processing concerns only processing carried out in a single Member State and involving only data subjects in that single Member State. […]” „One Stop Shop“ bei Aufsichtsbehörden
  17. 17. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 17 • EG 38a DS-GVO: Controllers that are part of a group of undertakings or institution affiliated to a central body may have a legitimate interest to transmit personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. […]” Kein (eingeschränktes) Konzernprivileg
  18. 18. + Altes 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 18
  19. 19. + Auftragsdatenverarbeitung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 19 ADVVertrag Subs Weisungen Prüfungen Kosten
  20. 20. + Konzerndatenschutz FÜ? ADV? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 20 IT? HR ?
  21. 21. + Übermittlungen in Drittländer EU-Standardvertrag Kommission BCR Safe Harbor (USA) Drittland 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 21
  22. 22. + Datenschutz und Werbung Einwilligung BDSG (opt-out) Einwilligung UWG/APR (opt-in) Rechtmäßige Werbung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 22 Listenprivileg BDSG Einwilligung UWG/APR (opt-in) Rechtmäßige Werbung
  23. 23. + Beschäftigtendatenschutz 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 23 § 32 I 1 § 32 I 2 § 28 I 1 Nr. 1, 2 Einwilligung?
  24. 24. + Neues 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 24
  25. 25. + Profiling 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 25
  26. 26. + Profiling  Art. 4 Nr. 12a DS-GVO (Definitions)  'profiling' means any form of automated processing of personal data consisting of using those data to evaluate personal aspects relating to a natural person, in particular to analyse and predict aspects concerning performance at work, economic situation, health, personal preferences, or interests, reliability or behaviour, location or movements;  Art. 20 DS-GVO (Automated individual decision making)  Abs. 1: The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or significantly affects him or her.  Abs. 3: Ein Profiling, das zur Folge hat, dass Menschen […] diskriminiert werden, […] ist untersagt. Der für die Verarbeitung Verantwortliche hat für einen wirksamen Schutz gegen mögliche Diskriminierung aufgrund von Profiling zu sorgen. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 26
  27. 27. + Beschäftigtendatenschutz 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 27
  28. 28. + Beschäftigtendatenschutz  Art. 82 DS-GVO:  Abs. 1: Member States may by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer’s or customer’s property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.  Abs. 3: Member States may by law determine the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 28
  29. 29. + Beschäftigtendatenschutz Einwilligung BeschDatSchuG DS-GVO Recruitment/Bewerbung Leistung/Verhalten Arbeitsorganisation Gesundheit/Sicherheit Vertragsbeendigung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 29
  30. 30. + Kein (eingeschränktes) Konzernprivileg 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 30
  31. 31. + Kein (eingeschränktes) Konzernprivileg  Art. 22 Abs. 3a DS-GVO: Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 31
  32. 32. + Kein (eingeschränktes) Konzernprivileg 1. Stufe: Erlaubnistatbestand 2. Stufe: Befugnis Drittland 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 32 EG 38a DS-GVO
  33. 33. + Datenschutz durch Technik 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 33
  34. 34. + Datenschutz durch Technik  Art. 23 DS-GVO:  Abs. 1: Having regard to available technology and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for rights and freedoms of individuals posed by the processing, the controllers shall implement technical and organizational measures appropriate to the processing activity being carried out and its objectives, including data minimisation and pseudonymisation, in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects.  Abs. 2: The controller shall implement appropriate measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 34
  35. 35. + Datenschutz durch Technik  Art. 23 Abs. 1a DS-GVO: Zur Förderung einer breiten Umsetzung in verschiedenen Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für Angebote im Rahmen von Ausschreibungen […] sein.  Art. 23 Abs. 2a DS-GVO: An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 35
  36. 36. + Datenschutz durch Technik  Art. 30 DS-GVO (Security of Processing)  Abs. 1: Having regard to available technology and the costs of implementation and taking into account the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for the rights and freedoms of individuals, the controller and the processor shall implement appropriate technical and organizational measures, including pseudonymisation of personal data to ensure a level of security appropriate to the risk.  Abs. 1a: In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by data processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 36
  37. 37. + Datenschutz durch Technik  Art. 30 DS-GVO (Security of Processing)  Abs. 2a: Adherence to approved codes of conduct pursuant to Article 38 or an approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraph 1.  Abs. 2b: The controller and processor shall take steps to ensure that any person acting under the authority of the controller or the processor who has access to personal data shall not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 37
  38. 38. + Datenschutz durch Technik  Art. 39 DS-GVO (Certification):  Abs. 1: The Member States, the European Data Protection Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks for the purpose of demonstrating compliance with this Regulation of processing operations carried out by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.  Abs. 4: The certification shall be issued to a controller or processor for a maximum period of 3 years and may be renewed under the same conditions as long as the relevant requirements continue to be met. It shall be withdrawn […] where the requirements for the certification are not or no longer met.  Abs. 4a: The European Data Protection Board shall collect all certification mechanisms and data protection seals in a register and shall make them publicly available through any appropriate means, such as through the European E-Justice Portal. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 38
  39. 39. + Datenschutz durch Technik 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 39 Zertifikat DP by Design Zertifikat DP by Default • CoC • Zertifikat TOM
  40. 40. + Datenschutzfolgenabschätzung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 40
  41. 41. + Datenschutzfolgenabschätzung  Art. 33 DS-GVO (Data protection impact assessment):  Abs. 1: Where a type of processing, in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, such as discrimination, identity theft or fraud, financial loss, damage to the reputation, unauthorized reversal of pseudonymisation, loss of confidentiality of data protected by professional secrecy or any other significant economic or social disadvantage, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.  Abs. 1a: The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.  Abs. 2a/b: The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment […]. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. […] 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 41
  42. 42. + Datenschutzfolgenabschätzung  Art. 33 DS-GVO (Data protection impact assessment):  Abs. 3: The assessment shall contain at least a general description of the envisaged processing operations, an evaluation of the risk referred to in paragraph 1, the measures envisaged to address the risk including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.  Abs. 3a: Compliance with approved codes of conduct referred to in Article 38 by the relevant controllers or processors shall be taken into due account in assessing lawfulness and impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.  Abs. 4: The controller shall seek the views of data subjects or their representatives on the intended processing, […]. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 42
  43. 43. + Datenschutzfolgenabschätzung  Art. 34 DS-GVO (Prior consultation)  Abs. 2: The controller shall consult the supervisory authority prior to the processing of personal data where a data protection impact assessment as provided for in Article 33 indicates that the processing would result in a high risk in the absence of measures to be taken by the controller to mitigate the risk.  Abs. 3: Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 2 would not comply with this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, it shall within a maximum period of 6 weeks following the request for consultation give advice to the data controller, in writing, and may use any of its powers referred to in Article 53. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 43
  44. 44. + Datenschutzfolgenabschätzung Beschreibung Verfahren Bewertung Risiko Beteiligung bDSB Beteiligung Betroffene (Vertreter) Abschätzung Folgen Datenschutz Konsultation Aufsicht bei „high risk“ 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 44 Positiv-/Negativliste Aufsichtsbehörde
  45. 45. + Gemeinsame verantwortliche Stelle 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 45
  46. 46. + Gemeinsame verantwortliche Stelle  Art. 24 DS-GVO (Joint controllers)  Abs. 1: Where two or more controllers jointly determine the purposes and means of the processing of personal data, they are joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 14 and 14a, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement shall designate which of the joint controllers shall act as single point of contact for data subjects to exercise their rights. Im Fall unklarer Verantwortlichkeiten haften die für die Verarbeitung Verantwortlichen gesamtschuldnerisch. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 46
  47. 47. + Gemeinsame verantwortliche Stelle  Art. 24 DS-GVO (Joint controllers)  Abs. 2: Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the (…) controllers.  Abs. 3: The arrangement shall duly reflect the joint controllers’ respective effective roles and relationships vis-à-vis data subjects, and the essence of the arrangement shall be made available for the data subject. Paragraph 2 does not apply where the data subject has been informed in a transparent and unequivocal manner which of the joint controllers is responsible, unless such arrangement other than one determined by Union or Member State law is unfair with regard to his or her rights.  Art. 26 Abs. 4: Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, oder die entscheidende Partei in Bezug auf die Zwecke und Mittel der Datenverarbeitung wird, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen des Artikels 24 für gemeinsam für die Verarbeitung Verantwortliche. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 47
  48. 48. + Gemeinsame verantwortliche Stelle VS1 VS2 Gemeinsame verantwortliche Stelle 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 48 Vereinbarung über Erfüllung Rechte Betroffener und Informationspflichten (single point of contact) unter Berücksichtigung der Rollen von VS1 und VS2 Wesentlicher Inhalt ist Betroffenen bekannt zumachen
  49. 49. + Auftragsdatenverarbeitung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 49
  50. 50. + Auftragsdatenverarbeitung  Abs. 26 (Processor)  Abs. 1a: The processor shall not enlist another processor without the prior specific or general written consent of the controller. In the latter case, the processor should always inform the controller on any intended changes concerning the addition or replacement of other processors, thereby giving the opportunity to the controller to object to such changes.  Abs. 2a: Where a processor enlists another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 2 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law […]. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations.  Abs. 3: The contract or the other legal act […] shall be in writing, including in an electronic form. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 50
  51. 51. + Auftragsdatenverarbeitung Auftraggeber (Controller) Auftragnehmer (Processor) Unterauftragnehmer (Processor) 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 51 Vorherige Zustimmung Weitergabe Vertrag Volle Haftung für UAN Vertrag (Textform)
  52. 52. + Datenschutzbeauftragter 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 52
  53. 53. + Datenschutzbeauftragter  EG 75 DS-GVO: Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by a large enterprise, or where its core activities, regardless of the size of the enterprise, involve processing operations which require regular and systematic monitoring, a person with expert knowledge of data protection law and practices may assist the controller or processor to monitor internal compliance with this Regulation. Such data protection officers, whether or not an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.”  EG 75a DS-GVO: Der Datenschutzbeauftragte sollte zumindest die folgenden Qualifikationen besitzen: […] 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 53
  54. 54. + Datenschutzbeauftragter  Art. 35 DS-GVO (Designation of the data protection officer)  Abs. 1: The controller or the processor may, or where required by Union or Member State law shall, designate a data protection officer.  Abs. 2: A group of undertakings may appoint a single data protection officer.  Abs. 5: The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37, particularly the absence of any conflict of interests.  Abs. 7: During their term of office, the data protection officer may, apart from serious grounds under the law of the Member State concerned which justify the dismissal of an employee or civil servant, be dismissed only if the data protection officer no longer fulfils the conditions required for the performance of his or her tasks pursuant to Article 37. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 54
  55. 55. + Datenschutzbeauftragter  Art. 36 DS-GVO (Position of the data protection officer)  Abs. 2: The controller or the processor shall support the data protection officer in performing the tasks referred to in Article 37 by providing resources necessary to carry out these tasks as well as access to personal data and processing operations.  Abs. 3: The controller or processor shall ensure that the data protection officer can act in an independent manner with respect to the performance of his or her tasks and does not receive any instructions regarding the exercise of these tasks. He or she shall not be penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 55
  56. 56. + Datenschutzbeauftragter  Art. 37 Abs. 1 DS-GVO (Tasks of the data protection officer)  The data protection officer shall have the following tasks:  (a) to inform and advise the controller or the processor and the employees who are processing personal data of their obligations pursuant to this Regulation […];  (b) to monitor compliance with this Regulation, […] and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in the processing operations, and the related audits;  (f) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 33;  (g) to monitor responses to requests from the supervisory authority and, within the sphere of the data protection officer's competence, to co-operate with the supervisory authority at the latter's request or on the data protection officer’s own initiative;  (h) to act as the contact point for the supervisory authority on issues related to the processing of personal data, including the prior consultation referred to in Article 34, and consult, as appropriate, on any other matter. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 56
  57. 57. + Datenschutzbeauftragter Bestellung (nach nationalem Recht) Abberufung nur aus wichtigem Grund Überwachungsfunktion (Behörde im Unternehmen) Keine besondere Verschwiegenheitspflicht Keine Privilegierung für bestellendes Unternehmen 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 57
  58. 58. + Fazit und Diskussion 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 58
  59. 59. + Lösungsansätze 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 59 Technik Standards Verträge Zertifikate AnsätzeKeine Individualsoftware „weniger ist mehr“
  60. 60. + Fragen? Fragen! Sascha Kremer +49(2238)5408700 sascha.kremer@loginpartners.de www.loginpartners.de

×