Das Dokument gibt einen Überblick über die rechtlichen Grundlagen des Datenschutzes in der EU, insbesondere im Kontext der Datenschutz-Grundverordnung (DSGVO), die ab dem 25. Mai 2018 in Kraft trat. Es behandelt wesentliche Aspekte wie die Rechte der betroffenen Personen, die Verantwortlichkeiten der Datenverarbeiter und die gesetzlich geforderten Maßnahmen zur Sicherstellung des Datenschutzes. Zudem werden zentrale Begriffe wie personenbezogene Daten, Einwilligung und Datenübermittlung definiert und erläutert.

1. Datenschutz in Zeiten der EU-DSGVO
WebJustiz.de
www.praetor.im
Ein erster Überblick für Webworker…
18./19. November 2017

2. 2
Gesetzliche Grundlagen - bisher
Datenschutz in Zeiten der EU-DSGVO
EU Deutschland
Verfassung Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
EU-Recht gibt nur einen
Handlungsrahmen vor, der
von den einzelnen
Mitgliedsstaaten umgesetzt
werden muss.
Maßgebend ist die jeweilige nationale
Bestimmung
→ BDSG, TMG
WebJustiz.de

3. 3
Gesetzliche Grundlagen – ab 25. Mai 2018
Datenschutz in Zeiten der EU-DSGVO
EU Deutschland
Verfassung ● Art. 8 Abs. 1
GrundrechteCharta
● Art. 16 Abs. 1 AEUV
Ab 25. Mai 2018 ● Datenschutz-
Grundverordnung
● EPrivacy-VO
(kommt noch)
● Delegierte DS-VO
(kommt noch)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU (DSAnUG-EU)
→ Neufassung des BDSG
Die EU-Verordnungen
gelten unmittelbar in der
gesamten EU
Punktuelle Öffnungsklauseln für die
nationalen Gesetzgeber
WebJustiz.de

4. 4
Verordnung 2016/679 des Europäischen Parlaments und
des Rates zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
➢ Verkündet: 4. Mai 2016
➢ Inkrafttreten: 24. Mai 2016
➢ Anzuwenden ab: 25. Mai 2018
➢ Geltungsbereich: Gesamte EU
EU-Datenschutz–Grundverordnung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

5. 5
➢ Schutz des Einzelnen
➢ Schutz der Grundrechte und Grundfreiheiten natürlicher
Personen
➢ insb. Schutz personenbezogener Daten
➢ unabhängig von seinem Aufenthaltsort.
➢ Förderung der Wirtschaft
➢ Gewährleistung des freien Verkehrs personenbezogener Daten
zwischen den Mitgliedsstaaten
➢ Gewährleistung des Binnenmarktes
➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften
EU-DSGVO - Ziele
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

6. 6
➢ Rechtmäßigkeit
➢ Verarbeitung personenbezogener Daten auf rechtmäßige Weise
➢ Treu und Glauben
➢ Transparenz
➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise
➢ Integrität und Vertraulichkeit
➢ Gewährleistung angemessener Sicherheit personenbezogener Daten
➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
➢ Schutz vor unbeabsichtigtem Verlust
➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung
➢ Durch geeignete technische und organisatorische
Maßnahmen
Grundsätze - Datenverarbeitung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

7. 7
➢ Grundsatz der Speicherbegrenzung
➢ Identifizierung der Person darf nur solange möglich sein, wie für den
Verarbeitungszweck erforderlich;
➢ Längere Speicherung ist nur zulässig für
➢ im öffentlichen Interesse liegende Archivzwecke,
➢ wissenschaftliche oder historische Forschungszwecke,
➢ statistische Zwecke.
➢ Ggfs. ist eine Pseudonymisierung erforderlich.
Grundsätze - Datenspeicherung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

8. 8
➢ Der für die Datenerhebung und Datenverarbeitung
Verantwortliche
➢ ist für die Einhaltung dieser Grundsätze verantwortlich,
➢ muss deren Einhaltung nachweisen können.
Grundsätze – Rechenschaftspflicht
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

9. 9
➢ Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen;
➢ Identifizierbar = natürliche Person angesehen, die
➢ direkt oder indirekt identifiziert werden kann,
➢ insbesondere mittels Zuordnung zu einer Kennung wie
➢ Namen,
➢ Kennnummer,
➢ Standortdaten, Online-Kennung oder
➢ einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität dieser natürlichen Person sind.
Begrifflichkeiten – Personenbezogene Daten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

10. 10
➢ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder
➢ jede solche Vorgangsreihe
➢ im Zusammenhang mit personenbezogenen Daten
➢ Beispiele:
➢ Erheben oderErfassen,
➢ Organisation oder Ordnen,
➢ Speicherung, Anpassung oder Veränderung,
➢ Auslesen, Abfragen, oder Verwendung,
➢ Offenlegung durch Übermittlung, Verbreitung oder
andere Form der Bereitstellung,
➢ Abgleich oder Verknüpfung,
➢ Einschränkung, Löschen oder Vernichtung.
Begrifflichkeiten – Verarbeitung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

11. 11
➢ Automatisierte Verarbeitung personenbezogener Daten,
➢ Verwendung dieser personenbezogenen Daten um
➢ bestimmte Aspekte einer natürlichen Person
➢ zu bewerten,
➢ insbesondere um Aspekte vorherzusagen
➢ bezüglich Arbeitsleistung,
➢ wirtschaftliche Lage,
➢ Gesundheit,
➢ persönliche Vorlieben,
➢ Interessen,
➢ Zuverlässigkeit oderVerhalten,
➢ Aufenthaltsort oder Ortswechsel
Begrifflichkeiten – Profiling
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

12. 12
➢ Verarbeitung personenbezogener Daten in einer Weise, dass
die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können,
➢ sofern diese zusätzlichen Informationen gesondert aufbewahrt werden
und
➢ technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen
werden;
Begrifflichkeiten – Pseudonymisierung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

13. 13
➢ jede strukturierte Sammlung
➢ personenbezogener Daten, die
➢ die nach bestimmten Kriterien zugänglich sind,
➢ unabhängig davon, ob diese Sammlung zentral, dezentral oder nach
funktionalen oder geografischen Gesichtspunkten geordnet geführt
wird.
Begrifflichkeiten – Dateisystem
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

14. 14
➢ Die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ allein oder gemeinsam mit anderen
➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet;
➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel
der Verarbeitung gesetzlich vorgegeben sind.
Begrifflichkeiten – Verantwortlicher
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

15. 15
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ personenbezogene Daten
➢ im Auftrag des Verantwortlichen verarbeitet
Begrifflichkeiten – Auftragsverarbeiter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

16. 16
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle,
➢ der personenbezogene Daten offengelegt werden,
➢ unabhängig davon, ob es sich um einen Dritten handelt oder
nicht.
➢ Kein Empfänger sind Behörden,
➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten.
Begrifflichkeiten – Empfänger
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

17. 17
➢ Jede natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle,
➢ außer
➢ der betroffenen Person,
➢ dem Verantwortlichen,
➢ dem Auftragsverarbeiter und
➢ den Personen, die unter der unmittelbaren Verantwortung des
Verantwortlichen oder des Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten.
Begrifflichkeiten – Dritter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

18. 18
➢ Jede
➢ freiwillig für den bestimmten Fall,
➢ in informierter Weise und
➢ unmissverständlich abgegebene
➢ Willensbekundung
➢ in Form einer Erklärung oder
➢ einer sonstigen eindeutigen bestätigenden Handlung,
➢ mit der die betroffene Person zu verstehen gibt,
➢ dass sie mit der Verarbeitung der sie betreffenden
personenbezogenen Daten einverstanden ist.
Begrifflichkeiten – Einwilligung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

19. 19
➢ Verletzung der Sicherheit, die,
➢ ob unbeabsichtigt oder unrechtmäßig,
➢ zur Vernichtung, zum Verlust, zur Veränderung,
➢ zur unbefugten Offenlegung von bzw.
➢ zum unbefugten Zugang zu personenbezogenen Daten
➢ führt, die
➢ übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Begrifflichkeiten – Verletzung des Schutzes
personenbezogener Daten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

20. 20
➢ Gesamte EU
➢ Marktortprinzip:
➢ EU-DSGV gilt auch für Unternehmen
➢ mit Sitz außerhalb der EU
➢ die sich an EU-Bürger wenden
➢ Öffnungsklauseln für nationale Gesetzgeber
➢ Art. 48 → Aufsichtsbehörden
➢ Art. 90 → Auskunftpflichten gegenüber
Aufsichtsbehörden
➢ …
EU-DSGVO – Örtlicher Geltungsbereich
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

21. 21
➢ Die EU-DSGVO gilt für die
➢ für die ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten sowie
➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten,
die
➢ in einem Dateisystem gespeichert sind oder
➢ gespeichert werden sollen.
➢ Ausnahmen:
➢ privater Schriftverkehr
➢ privates Anschriftenverzeichnis
➢ private Nutzung sozialer Netze
➢ private Online-Tätigkeit
EU-DSGVO – Sachlicher Anwendungsbereich
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

22. 22
➢ Ergänzung zur EU-DSGVO
➢ Bei Widersprüchen hat EU-DSGVO Vorrang
➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich
umfangreicher als das bisherige, alles regelnde BDSG
➢ Enthält ergänzende Regelungen zu
➢ sensitiven Daten
➢ Beschäftigtendatenschutz
➢ Datenverarbeitung bei Verbraucherkrediten
➢ Scoring- und Bonitätsauskünften
➢ Informationspflichten
➢ Löschpflichten
➢ Profiling
DSAnUG-EU – Das “neue” BDSG
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

23. 23
Unsere Themen für heute:
I. Verfahrensverzeichnis
II. Einwilligung
III. Datenübermittlung
IV. Datentransfer in Drittstaaten
V. Auftragsdatenverarbeitung
VI. Wartungsarbeiten durch Dienstleister
EU-DSGVO – Einzelfragen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

24. 24
①
Verfahrensverzeichnis
…Formalismus at it’s best…
EU-DSGVO - Verfahrensverzeichnis
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

25. 25
➢ Öffentliches Verfahrensverzeichnis
➢ entfällt mit der EU-DSGVO
➢ Internes Verfahrensverzeichnis (Verzeichnis der
Verarbeitungstätigkeiten)
➢ muss geführt werden:
➢ von jedem Verantwortlichen
➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.
➢ schriftlich oder elektronisches Format
➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde
➢ Ausnahmen:
➢ Unternehmen mit weniger als 250 Mitarbeiter,
➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen,
➢ die Verarbeitung nicht nur gelegentlich erfolgt oder
➢ nicht die Verarbeitung besonderer Datenkategorien einschließt.
EU-DSGVO - Verfahrensverzeichnis
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

26. 26
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Verantwortlichen und ggfs. seines Vertreters,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Zwecke der Verarbeitung
➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten
➢ Kategorien von Empfängern,
➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden
➢ einschließlich Empfäger in Drittländern
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien
(wenn möglich)
➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen
➢
Verfahrensverzeichnis - Inhalt
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

27. 27
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Auftragsverarbeiters
➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden;
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Allg. Beschreibung der technischen und
organisatorischen Maßnahmen
Verfahrensverzeichnis – für Auftragsverarbeiter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

28. 28
②
Einwilligung
…nicht mehr ganz so einfach…
EU-DSGVO - Einwilligung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

29. 29
Datenverarbeitung ist erlaubt bei
➢ Einwilligung
➢ Vertragserfüllung
➢ Erfüllung gesetzlicher Pflichten
➢ z.B. Aufbewahrungspflichten
➢ Schutz lebenswichtiger Interessen von Menschen
➢ z.B. in der Medizin
➢ berechtigten Interessen
➢ Marketing und Direktwerbung
➢ IT-Sicherheit
➢ Compliance
➢ Beschäftigtenkontrolle
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

30. 30
➢ Ist eine Einwilligung erforderlich?
➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢ Ist die betroffene Person einwilligungsfähig?
➢ Ab 16 Jahre.
➢ Wurde die Einwilligung freiwillig abgegeben?
➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢ Kein Verstoß gegen das Koppelungsverbot?
➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢ Sind die notwendigen Belehrung erfolgt?
➢ Belehrung über das Widerrufsrecht
➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung
➢ Ist die Einwilligungserklärung unmissverständlich?
➢ Schlüssige Erkklärung
➢ Opt-In → Opt-Out ist nicht ausreichend!
➢ Ist die Einwilligung nachweisbar?
➢ Schriftform oder
➢ elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

31. 31
➢ Minderjährige (Art. 8 EU-DSGVO)
➢ Sensible Daten (Art. 9 EU-DSGVO)
➢ Ethnie
➢ Sexualität
➢ Gesundheit
➢ politische Ansichten
➢ Automatisierte Entscheidungen (Art. 22 EU-DSGVO)
➢ Zweckänderung (Art. 6 Abs. 5 EU-DSGVO)
➢ Datenverwendung zu Marketing-Zwecken
➢ “Big Data”
➢ Beschäftigtendatenschutz (Art. 26 BDSG n.F.)
➢ Videoüberwachung im öffentlichen Raum (§ 4 BDSG n.F.)
➢ E-Mail-Marketing (Art. 7 Abs. 3 UWG)
➢ Bestandskunde oder
➢ Ausdrückliche Einwilligung
Einwilligung – Problemfälle
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

32. 32
③
Datenübermittlung
…der deutsche Sonderweg…
EU-DSGVO - Datenübermittlung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

33. 33
➢ Liegt Datenübermittlung vor?
➢ Möglichkeit der Kenntnisnahme personenbezogener Daten durch
Dritte
➢ Zulässigkeit der Datenübermittlung:
➢ Einwilligung der Betroffenen?
➢ nach umfassender Information
➢ Zur Vertragserfüllung erforderlich?
➢ Auftragsdatenverarbeitung
➢ Datenübermittlung außerhalb EU / EWR
➢ zusätzliche Anforderungen
EU-DSGVO - Datenübermittlung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

34. 34
④
Datentransfer
in Drittstaaten
…egal, Hauptsache in der Cloud…
EU-DSGVO – Datentransfer in Drittstaaten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

35. 35
➢ Einheitliches Datenschutzniveau innerhalb von EU/EWR
➢ Datentransfer in Staaten außerhalb von EU/EWR
➢ Drittstaaten mit angemessenem Datenschutzniveau
➢ erfordert einen entsprechenden Beschluss der EU-Kommission
➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay
➢ eingeschränkt: Kanada, Israel
➢ Übrige Drittstaaten:
➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel)
➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden)
➢ Einwilligung des Betroffenen (nach umfassender Information)
➢ Sonderfall: Datentransfer in die USA
➢ zusätzlich: EU-US Privacy Shield
Datentransfer in Drittstaaten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

36. 36
➢ Soll einen Datenaustausch mit US-Firmen ermöglichen
➢ “quasi wie unter EU-Unternehmen”
➢ Ersatz für “Safe Harbour”
➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”)
➢ Nur für Datenübermittlung an bestimmte US-Firmen:
➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt.
➢ Selbstverpflichtung / Selbstzertifizierung
➢ Keine intensive Kontrolle durch US-Administratition oder EU
➢ Teilnehmende Firmen: www.privacyshield.gov
EU-US Privacy Shield
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

37. 37
➢ Probleme des EU-US Privacy-Shield:
➢ kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU
➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft
➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft
➢ Überprüfungsfrist für EU-Kommission endete Juli 2017
➢ EU-Parlament fordert Nachbesserung / Beendigung
➢ EU-Justizkommissarin droht mit Beendigung, wenn
keine signifikante Änderungen erfolgen
➢ EU-Kommission sieht “keine Probleme”.
EU-US Privacy Shield - Probleme
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

38. 38
⑤
Auftragsverarbeitung
…laß’ mich Deine Arbeit machen…
EU-DSGVO - Auftragsdatenverarbeitung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

39. 39
➢ Auftragsverarbeitung =
➢ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢ durch einen Auftragsverarbeiter (Auftragnehmer)
➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢ Aufgrund eines Vertrages
➢ schriftlich oder in elektronischer Form
Auftragsverarbeitung - Grundlagen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

40. 40
Beispiele für Auftragsverarbeitung
➢ Webhoster
➢ Internet-Agentur
➢ Google Analytics
➢ Newsletter-Dienstleister
➢
Auftragsverarbeitung - Beispiele
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

41. 41
➢ Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢ Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢ Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢ Umfang der Weisungsbefugnis
➢ Vertraulichkeitsverpflichtung
➢ Kontrollrechte
➢ Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

42. 42
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Bisher: muss nur durch Auftraggeber geführt werden
➢ Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

43. 43
➢ Grundsatz:
➢ Bisher: Auftraggeber haftet für Datenschutzverstöße
➢ Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide
➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢ Auftragsverarbeiter zum Verantwortlichen
Auftragsdatenverarbeitung - Haftung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

44. 44
⑥
Wartungsarbeiten
durch Dienstleister
…laß’ mich Dir helfen…
Datenschutz
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

45. 45
➢ Wartungsarbeiten = Auftragsdatenverarbeitung
➢ auch bei
➢ Prüfung/Wartung mittels automatisierter Verfahren
➢ nur gelegentlicher Fernwartung
➢ Wartung vor Ort
➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢ “Geheimhaltungsvereinbarung”
➢ ist kein Vertrag zur Auftragsdatenvereinbarung!
➢ Rechtslage unter der EU-DSGVO ist noch unklar:
➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

46. 46
Alles klar?
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de

47. 47
Noch Fragen?
Datenschutz in Zeiten der EU-DSGVO
➢ Zum Nachlesen:
WebworkersLaw.de
➢
➢ EU-Portal zum Datenschutz:
▶http://ec.europa.eu/justice/data-protection/reform/index_en.htm
WebJustiz.de