Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
Update zur EU Datenschutzgrundverordnung (DS-GVO, allgemeine Datenschutzordnung) nach dem Entwurf von Anfang Juni 2015, insbesondere Stand der Gesetzgebung, Beratungsthemen im Datenschutz heute und Beratungsthemen im Datenschutz morgen, wesentliche Änderungen seit dem ersten Entwurf vom Januar 2012
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)
The upcoming General Data Protection Regulation (EU GDPR) will change the requirements for managing consumers’ personal data across the globe. The regulation’s scope is broad and also affects organizations outside of the EU. Striking a balance between meeting the new regulatory requirements and effectively serving customers in the age of Digital Transformation mandates a shift from siloed consumer data management to centralized Customer Identity Management platforms that support the balance between compliance, user consent, and optimizing the customer experience.
In this white paper — commissioned by Gigya from European analyst firm KuppingerCole and prepared by Fellow Analyst Dr. Karsten Kinast and Lead Analyst Ivan Niccolai — you will learn about:
*The history, framework, implementation and scope of the EU GDPR
*Key compliance elements of the EU GDPR
*The implications of the EU GDPR on Customer Identity Management and best-practice recommendations for strategy and implementation
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
Vortrag am 8.4.2014 auf dem marketing forum hannover im Rahmen der PSI Promotional World 2014. Enthält eine Zusammenfassung der aktuellen Probleme im Datenschutz und Urheberrecht bei der Nutzung von Social Media; Standards (z.B. Impressumspflicht) wurden ausgelassen. Im Mittelpunkt stehen die aktuellen Urteile zur Positionierung der Datenschutzerklärung (LG Frankfurt, 18.2.14 - 3-10 O 86/12), zur AGB-Kontrolle von Datenschutzerklärungen (KG, 24.1.2014 - 5 U 42/12), die Pixelio Entscheidung (LG Köln, 30.1.2014 - 14 O 427/13) und die Creative Commons Entscheidung (LG Köln, 5.3.2014 - 28 O 232/13).
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Der 25. Mai ist ein wichtiger Tag für die IT-Abteilungen und Datenschutzbeauftragten vieler Unternehmen – denn dann tritt die EU-Datenschutz-Grundverordnung in Kraft. Das Datenschutzrecht wird damit europaweit umfassend reformiert und harmonisiert.
Die Neuerungen treffen branchenübergreifend alle Unternehmen und Organisationen. Bis zum 25. Mai sollte der Bereich Datenschutz daher von jedem Unternehmen in seiner Gesamtheit überprüft und angepasst werden. Und fast überall müssen bis dahin neue Prozesse geschaffen und existierende Datenschutzerklärungen, Checklisten sowie Vertragsdokumente überarbeitet werden. Ganz besonders trifft dies auch den Mobile-Sektor, da hier mitunter auch besonders umfangreiche und sensible Daten betroffen sein können.
In dieser Session vermittelt Markus Laymann den Teilnehmern die Grundstruktur der EU-Datenschutz-Grundverordnung und zeigt die wichtigsten Änderungen zur bisherigen Gesetzeslage auf.
Unter anderem werden folgende Themen besprochen:
Anwendungsbereich und Grundprinzipien der DSGVO/ Erlaubnistatbestände nach neuem und altem Recht
Datenschutzfolgeabschätzung
Auftragsdatenverarbeitung und Drittstaatentransfers
Neue Ansätze und Werkzeuge (u.a. Recht auf Vergessenwerden, Datenportabilität, Accountability)
Kompetenzen der Aufsichtsbehörden und mögliche Sanktionen
Anpassungsbedarf bei bestehenden Regelungen
Auswirkungen der DSGVO auf Social Media und Anbieter mobiler Dienste.
Am 23.1. habe ich für die Grüne Wirtschaft im Axis Coworking Loft Linz einen Crashkurs zum Datenschutz gehalten, Bilder sind zB hier zu finden: https://www.facebook.com/media/set/?set=ms.c.eJxFk9uRxTAIQzva4Q3uv7GdoGv5M2dAyKCo2VS6hWSNZ~%3BwpgKsf0Rq5wLzNU0wJAhV9Qcpq2FADFd0PrIZSNGpb3C5o~_BD6iEYFx3aiwn8gejVMrkZmt3k0jWX5V6GaBP0Zi~_CUHogKKwYtF4TYvkUOQX5Tjl~%3BwfX6i~%3BioGLXSqOzbPHRu2G7McAt~_KGYoWRJOvnW~%3BsVLFiQRPE2Fo~%3BBGeNpdLYCYAmgGhQVNeYFn3oGovzwADcxyWsx7NuWGFyhe67MVWCPaUFF~_Tr4wh9uK5G0GmsqDlF46z1w9sGrDt3mnhtUqMUgBq1xmausZzAThmHsK14GTuyFfxfAoExBibPJlkmCHBKprBkx3YoAYLr12nhDMIzlO4p~%3BRyCAHgttRr8CTM2p82WTOTDuORECy9XiKXkA3DKf78ModP6B~%3Bnz2~%3BI~-.bps.a.1228651777235167.1073741842.483650688401950&type=1
Thematisch drehte sich die Veranstaltung natürlich um die kommende DSGVO. Ich darf mich an dieser Stelle auch für den sehr interessanten Abend mit spannenden Fragen bedanken.
Auf den Folien finden Sie Informationen zum Datenschutz derzeit, zur DSGVO, praktische Hinweise und die vorab gestellten Fragen.
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
Ab dem 25. Mai 2018 wird die neue europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar sein. Dabei ergeben sich einige Änderungen in Sachen Datenschutz und Datensicherheit, die auch für den Hochschulbereich relevant sind. Im Webinar (https://www.e-teaching.org/dvuffdh), zu dem diese Folien gehören, wurden wesentliche Veränderungen und die konkreten Folgen der Verordnung vorgestellt.
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
Das NTT Security Self-Assessment gibt
Ihnen einen Überblick über den Reifegrad
Ihrer Datenschutzkonformität unter
Berücksichtigung wichtiger Aspekte der
neuen EU-DSGVO.
Der Service ist kostenfrei und ananoym.
Bis zum 26.05.2018 müssen alle rechtlichen Anforderungen der EU-DSGVO umgesetzt sein. Es drohen heftige Strafen, die bis zu 20 Millionen Euro betragen.
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
Update zur EU Datenschutzgrundverordnung (DS-GVO, allgemeine Datenschutzordnung) nach dem Entwurf von Anfang Juni 2015, insbesondere Stand der Gesetzgebung, Beratungsthemen im Datenschutz heute und Beratungsthemen im Datenschutz morgen, wesentliche Änderungen seit dem ersten Entwurf vom Januar 2012
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)
The upcoming General Data Protection Regulation (EU GDPR) will change the requirements for managing consumers’ personal data across the globe. The regulation’s scope is broad and also affects organizations outside of the EU. Striking a balance between meeting the new regulatory requirements and effectively serving customers in the age of Digital Transformation mandates a shift from siloed consumer data management to centralized Customer Identity Management platforms that support the balance between compliance, user consent, and optimizing the customer experience.
In this white paper — commissioned by Gigya from European analyst firm KuppingerCole and prepared by Fellow Analyst Dr. Karsten Kinast and Lead Analyst Ivan Niccolai — you will learn about:
*The history, framework, implementation and scope of the EU GDPR
*Key compliance elements of the EU GDPR
*The implications of the EU GDPR on Customer Identity Management and best-practice recommendations for strategy and implementation
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
Vortrag am 8.4.2014 auf dem marketing forum hannover im Rahmen der PSI Promotional World 2014. Enthält eine Zusammenfassung der aktuellen Probleme im Datenschutz und Urheberrecht bei der Nutzung von Social Media; Standards (z.B. Impressumspflicht) wurden ausgelassen. Im Mittelpunkt stehen die aktuellen Urteile zur Positionierung der Datenschutzerklärung (LG Frankfurt, 18.2.14 - 3-10 O 86/12), zur AGB-Kontrolle von Datenschutzerklärungen (KG, 24.1.2014 - 5 U 42/12), die Pixelio Entscheidung (LG Köln, 30.1.2014 - 14 O 427/13) und die Creative Commons Entscheidung (LG Köln, 5.3.2014 - 28 O 232/13).
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
Slides zu Datenschutz bei Mobile Banking und Mobile Device Management (MDM), Vortrag beim Verband der Auslandsbanken in Frankfurt/Main am 6.10.2014, 1, Block Mobile Banking: Begriff, Transaktionen, AGB, User-Tracking; 2. Block: Mobile Device Management: Begriff, Datenschutz, Datensicherheit, Cloud, Bring Your Own Device (BYOD), Corporate Owned, Personally Enabled (COPE)
Der 25. Mai ist ein wichtiger Tag für die IT-Abteilungen und Datenschutzbeauftragten vieler Unternehmen – denn dann tritt die EU-Datenschutz-Grundverordnung in Kraft. Das Datenschutzrecht wird damit europaweit umfassend reformiert und harmonisiert.
Die Neuerungen treffen branchenübergreifend alle Unternehmen und Organisationen. Bis zum 25. Mai sollte der Bereich Datenschutz daher von jedem Unternehmen in seiner Gesamtheit überprüft und angepasst werden. Und fast überall müssen bis dahin neue Prozesse geschaffen und existierende Datenschutzerklärungen, Checklisten sowie Vertragsdokumente überarbeitet werden. Ganz besonders trifft dies auch den Mobile-Sektor, da hier mitunter auch besonders umfangreiche und sensible Daten betroffen sein können.
In dieser Session vermittelt Markus Laymann den Teilnehmern die Grundstruktur der EU-Datenschutz-Grundverordnung und zeigt die wichtigsten Änderungen zur bisherigen Gesetzeslage auf.
Unter anderem werden folgende Themen besprochen:
Anwendungsbereich und Grundprinzipien der DSGVO/ Erlaubnistatbestände nach neuem und altem Recht
Datenschutzfolgeabschätzung
Auftragsdatenverarbeitung und Drittstaatentransfers
Neue Ansätze und Werkzeuge (u.a. Recht auf Vergessenwerden, Datenportabilität, Accountability)
Kompetenzen der Aufsichtsbehörden und mögliche Sanktionen
Anpassungsbedarf bei bestehenden Regelungen
Auswirkungen der DSGVO auf Social Media und Anbieter mobiler Dienste.
Am 23.1. habe ich für die Grüne Wirtschaft im Axis Coworking Loft Linz einen Crashkurs zum Datenschutz gehalten, Bilder sind zB hier zu finden: https://www.facebook.com/media/set/?set=ms.c.eJxFk9uRxTAIQzva4Q3uv7GdoGv5M2dAyKCo2VS6hWSNZ~%3BwpgKsf0Rq5wLzNU0wJAhV9Qcpq2FADFd0PrIZSNGpb3C5o~_BD6iEYFx3aiwn8gejVMrkZmt3k0jWX5V6GaBP0Zi~_CUHogKKwYtF4TYvkUOQX5Tjl~%3BwfX6i~%3BioGLXSqOzbPHRu2G7McAt~_KGYoWRJOvnW~%3BsVLFiQRPE2Fo~%3BBGeNpdLYCYAmgGhQVNeYFn3oGovzwADcxyWsx7NuWGFyhe67MVWCPaUFF~_Tr4wh9uK5G0GmsqDlF46z1w9sGrDt3mnhtUqMUgBq1xmausZzAThmHsK14GTuyFfxfAoExBibPJlkmCHBKprBkx3YoAYLr12nhDMIzlO4p~%3BRyCAHgttRr8CTM2p82WTOTDuORECy9XiKXkA3DKf78ModP6B~%3Bnz2~%3BI~-.bps.a.1228651777235167.1073741842.483650688401950&type=1
Thematisch drehte sich die Veranstaltung natürlich um die kommende DSGVO. Ich darf mich an dieser Stelle auch für den sehr interessanten Abend mit spannenden Fragen bedanken.
Auf den Folien finden Sie Informationen zum Datenschutz derzeit, zur DSGVO, praktische Hinweise und die vorab gestellten Fragen.
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
Ab dem 25. Mai 2018 wird die neue europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar sein. Dabei ergeben sich einige Änderungen in Sachen Datenschutz und Datensicherheit, die auch für den Hochschulbereich relevant sind. Im Webinar (https://www.e-teaching.org/dvuffdh), zu dem diese Folien gehören, wurden wesentliche Veränderungen und die konkreten Folgen der Verordnung vorgestellt.
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
Das NTT Security Self-Assessment gibt
Ihnen einen Überblick über den Reifegrad
Ihrer Datenschutzkonformität unter
Berücksichtigung wichtiger Aspekte der
neuen EU-DSGVO.
Der Service ist kostenfrei und ananoym.
Bis zum 26.05.2018 müssen alle rechtlichen Anforderungen der EU-DSGVO umgesetzt sein. Es drohen heftige Strafen, die bis zu 20 Millionen Euro betragen.
Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT-Landschaften auf den Kopf.
Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich aber die Frage, ob und wie die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftragserteilung prüfen, ob die gesetzlichen Anforderungen
eingehalten werden.
In dem Booklet wurden die wichtigsten Fragen und Antworten zum Thema insgesamt 30 Seiten für Unternehmen zusammen gestellt. In der kleinen informativen Broschüre geben wir kurz und knapp Antworten auf die wichtigsten Fragen. Themen sind u.a.:
- Cloud Computing und Datenschutz
- Die Auftragsdatenverarbeitung
- Grenzüberschreitende Datenverarbeitung
- Cloud Anbieter in den USA
- Checkliste für rechtssicheres Cloud Computing
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und MagentoTechDivision GmbH
Ab 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO) und damit auch diverse Vorgaben in Bezug auf den Schutz personenbezogener Daten. Ein Thema, das jeden Shopbetreiber betrifft.
Nachfolgend einige der wichtigsten Punkte, die man als Shopbetreiber über die Datenschutzgrundverordnung wissen und beachten sollte.
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzeBusiness-Lotse Potsdam
Vortrag von RA Karsten U. Bartels von HK2 Rechtsanwälte auf der Veranstaltung "Cloud Computing - Impulse für die Wirtschaft" am 17. September 2013 in der IHK Potsdam
Online-Befragungen: ADV-Vertrag für mehr SicherheitLamaPoll
Planen Unternehmen Online-Befragungen, wie Mitarbeiter- oder Kundenumfragen, bei denen personenbezogene Daten durch einen externen Dienstleister oder mit Hilfe eines Online-Umfrage-Tools erhoben oder verarbeitet werden, muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden.
Für mehr Sicherheit und Datenschutz bietet LamaPoll daher seinen Kunden ein ADV-Vertragsmuster zum Downloaden an. Der kommentierte Mustervertrag hilft, erste Fragen beim Ausfüllen zu beantworten.
(ADV-Vertrag downloaden: https://www.lamapoll.de/cms/files/files/ADV%20Vertrag%20-%20LamaPoll%202016.pdf)
nuances newsletter February 2014 covers topics including an article on the implications of the EU General Data Protection Regulation proposal for the smart metering and scoring industries. You will also find articles covering such topics as a new study on energy use in UK homes, the EU Commission’s final proposals for regulating the banking sector and the impact of European case law on Germany’s renewable energy law. The nuances newsletter is written, edited and published by nuances public affairs, Berlin.
Die Datenschutzgrundverordnung in der Europäischen Union ist aus verbraucherpolitischer Sicht zu begrüßen. Funktioniert und sichert die DSGVO eine transparente Datenübertragung? Was tun bei Verstößen gegen das Datenschutzrecht gegenüber Abmahnungen?
Contact Center spüren den immer stärker wachsenden Druck, sich gegen Gesetzesverstosse aus dem BDSG oder UWG aktuell und präventiv zu wappnen. Welche Daten darf ich aus dem Social Media verwenden und welche Daten darf ich speichern und nutzen?
Zugleich lodern mit dem neuen Beschäftigtendatenschutz sowie im Outbound nach dem Ende der Übergangsregelung im Bundesdatenschutzgesetz (BDSG) zum 31.08.2012 beim Permission Marketing in vielen Contract Centern noch risikoreiche Brandherde, die identifiziert und eliminiert werden müssen.
Ich bin nunmehr - neben meiner Tätigkeit als Rechtsanwalt im IT-Recht - auch für die O.P.P.-Beratungsgruppe GmbH (http://www.opp-beratung.com) als Senior Berater im Bereich Datenschutz tätig. Und im Rahmen dieser Tätigkeit konnte ich für das Unternehmen Nimbusec (https://nimbusec.com/index.html) im Juli und im August 2017 jeweils einen Vortrag zum Thema Datenschutz halten. Es wäre zwei tolle Termine, jeweils am Flugplatz in Wels und beim zweiten Termin sogar inklusive einem Rundflug.
2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
5. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
5
zum
01.01.2021
• EU-Austritt / Brexit
bis
30.04.2021
• UK kein unsicheres Drittland gem. „Brexit-
Abkommen“
bis
30.06.2021
• Verlängerung des status quo gem. „Brexit-
Handelsabkommen“
ab
01.07.2021
• UK = unsicheres Drittland
seit
28.06.2021
• Angemessenheitsbeschluss für UK in Kraft
6. Rev.
Stand
3.0
eigentlich 2 Beschlüsse
für „normale“ Datenverarbeitungen (DSGVO)
für Strafverfolgung etc. (vgl. JI-Richtlinie*)
* Richtlinie vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten durch die zuständigen Behörden zum Zwecke der
Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
Strafvollstreckung
Angemessenheitsbeschluss UK
6
10. Rev.
Stand
3.0
Angemessenheitsbeschluss UK
10
Drittstaaten mit Angemessenheitsbeschluss
(Stand: 07/2021):
- Andorra
- Argentinien
- Kanada
- Färöer Inseln
- Großbritannien (gültig seit 1. Juli 2021)
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- geplant: Republik Süd-Korea
- weggefallen: USA (gem. „Schrems II“-Urteil des EuGH v. 16.07.2020)
Quelle: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
13. Rev.
Stand
3.0
Standardvertragsklauseln = Standard contractual clauses
(SCC)
neue Fassung seit dem 4. Juni 2021 beschlossen
Standarddatenschutzklauseln?
Standardvertragsklauseln
13
15. Rev.
Stand
3.0
inzwischen einheitliche Nutzung des Begriffs „SCC“
falsche / ungenaue Bezeichnung unerheblich
aber: inhaltlich zu differenzieren zwischen…
Standardbedingungen für Drittlandübermittlungen
(optionale) Musterverträgen für Auftragsverarbeitungen
innerhalb der EU
Standardvertragsklauseln
15
18. Rev.
Stand
3.0
SCC…
dürfen nicht verändert werden
haben Vorrang vor anderen Vereinbarungen
können als individueller Vertrag oder als AGB-
Bestandteil vereinbart werden
setzen eine Datenübermittlungs-Folgenabschätzung
voraus
Standardvertragsklauseln
18
19. Rev.
Stand
3.0
Standardvertragsklauseln
19
Modul Inhalt
Abschnitt I allg. Regelungen
Abschnitt II Pflichten der Vertragsparteien, spez. Regelungen
für Transferkonstellation
Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des
Datenimporteurs
Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln,
anwendbares Recht)
Anhang I Details zu Vertragsparteien, Daten, zust.
Aufsichtsbehörden, Übermittlungskonstellation
Anhang II Beschreibung der TOMs
Anhang III ggf. Angaben zu weiteren (Unter-)
Auftragnehmern
20. Rev.
Stand
3.0
Datenübermittlungs-Folgenabschätzung = Data Transfer
Impact Assessment oder kurz: (D)TIA
vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer
Prüfung des Bestimmungsdrittlands auf Grundlage
spezifischer Umstände der Rechtsordnung des Drittlandes“
Datenexporteur muss sich davon überzeugen, dass
Datenimporteur seinen SCC-Pflichten nachkommen kann
und nicht durch lokale Gesetze daran gehindert wird (vgl.
z.B. CLOUD Act oder FISA in den USA)
Standardvertragsklauseln
20
21. Rev.
Stand
3.0
insbesondere bei TIA zu berücksichtigen:
die Zwecke der Verarbeitung
Kategorien & Format der personenbezogenen Daten
Länge der Verarbeitungskette & Anzahl der beteiligten
Akteure
Übertragungskanäle & beabsichtigte Datenweiterleitungen
tatsächliche Umstände der Übermittlung, z.B. ob Daten
im Drittland gespeichert werden oder es lediglich zu
Zugriffen aus dem Drittland kommt
alle relevanten vertraglichen, technischen oder
organisatorischen Garantien & angewandte Maßnahmen
Standardvertragsklauseln
21
22. Rev.
Stand
3.0
Standardvertragsklauseln
22
1. Bestandsaufnahme
• know your transfers
• einschl. Auftragnehmer + ggf.
Unterauftragnehmer
• Differenzierung nach
Übermittlungsland
• auch Cloud-Dienste, Remote-
Zugriff etc.
2. Grundlage
• innerhalb EU / EWR?
• Angemessenheitsbeschluss?
• SCC + zusätzl. Maßnahmen?
• in Einzelfällen: Art. 49 Abs. 1
(z.B. Einwilligung, Vertrags-
erfüllung…)
3. TIA (SCC)
• Ermittlung möglicher Risiken im
Drittland
• Risikoabwägung
• Umsetzung
• Dokumentation
4. Konstellation
• C2C?
• C2P?
• P2P?
• P2C?
23. Rev.
Stand
3.0
Bsp. zusätzlicher Maßnahmen*
vertraglich
organisatorisch
technisch
Verschlüsselung
Pseudonymisierung
Anonymisierung
…
* EDSA: „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von
Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für
personenbezogene Daten“
(https://edpb.europa.eu/sites/default/files/consultation/edpb_
recommendations_202001_supplementarymeasurestransferstools_de.pdf)
Standardvertragsklauseln
23
26. Rev.
Stand
3.0
Art. 82 Abs. 1
„Jede Person, der wegen eines Verstoßes gegen diese
Verordnung ein materieller oder immaterieller Schaden
entstanden ist, hat Anspruch auf Schadenersatz gegen
den Verantwortlichen oder gegen den
Auftragsverarbeiter.“
Schadensersatz
26
27. Rev.
Stand
3.0
Art. 82 Abs. 2
„Jeder an einer Verarbeitung beteiligte Verantwortliche
haftet für den Schaden, der durch eine nicht dieser
Verordnung entsprechende Verarbeitung verursacht wurde.
Ein Auftragsverarbeiter haftet für den durch eine
Verarbeitung verursachten Schaden nur dann, wenn er
seinen speziell den Auftragsverarbeitern auferlegten
Pflichten aus dieser Verordnung nicht nachgekommen ist
oder unter Nichtbeachtung der rechtmäßig erteilten
Anweisungen des für die Datenverarbeitung
Verantwortlichen oder gegen diese Anweisungen
gehandelt hat.“
Schadensersatz
27
28. Rev.
Stand
3.0
Art. 82 Abs. 3
„Der Verantwortliche oder der Auftragsverarbeiter wird von
der Haftung gemäß Absatz 2 befreit, wenn er nachweist,
dass er in keinerlei Hinsicht für den Umstand, durch den
der Schaden eingetreten ist, verantwortlich ist.“
Schadensersatz
28
29. Rev.
Stand
3.0
Art. 82 Abs. 4
„Ist mehr als ein Verantwortlicher oder mehr als ein
Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als
auch ein Auftragsverarbeiter an derselben Verarbeitung
beteiligt und sind sie gemäß den Absätzen 2 und 3 für
einen durch die Verarbeitung verursachten Schaden
verantwortlich, so haftet jeder Verantwortliche oder jeder
Auftragsverarbeiter für den gesamten Schaden, damit
ein wirksamer Schadensersatz für die betroffene Person
sichergestellt ist.“
-> Differenzierung zwischen Außen- & Innenverhältnis
Schadensersatz
29
30. Rev.
Stand
3.0
Voraussetzungen Ersatzanspruch
Sachverhalt: dezidierte Angaben zur Verletzung & den
betroffenen personenbezogenen Daten
Verstoß: (gerichtlich) festgestellter Verstoß gegen die
DSGVO (Pflichtverletzung + haftungsbegründende
Kausalität)
Verantwortlichkeit: Ausführungen zur Verantwortlichkeit &
zur Frage des Entlastungsbeweises (Art. 82 Abs. 3)
Schadensersatz / Schmerzensgeld: Angaben zur geltend
gemachten Höhe des Ersatzanspruchs & zur Frage, worin
der genaue Schaden besteht (über den DSGVO-Verstoß
hinaus)
Schadensersatz
30
31. Rev.
Stand
3.0
Geltendmachung:
Individualklage durch einen Geschädigten
„Zessions-Sammelklage“, d.h. Dienstleister lassen sich
Ansprüche auf Schadensersatz abtreten und machen diese
gegen Provision auch gerichtlich geltend (umstr.)
Musterfeststellungsklage, d.h. bestimmte Verbände (z.B.
Verbraucherzentrale) können Musterprozess führen (die daran
Beteiligten müssen im Nachgang jeweils ihre individuellen
Ansprüche separat geltend machen)
EU-Verbandsklage („DSGVO-Sammelklage“), d.h. bestimmte
Verbände (z.B. Verbraucherzentrale) können konkrete Ansprüche
von vielen „Geschädigten“ für diese geltend machen (ab
frühestens zum 01.01.2023)
Schadensersatz
31
32. Rev.
Stand
3.0
Schadensersatz
32
Anspruch bejaht Anspruch verneint
ArbG Münster, Urt. v. 25.03.2021, Az. 3 Ca
391/20 (5.000,-)
OLG Stuttgart, Urt. v. 31.03.2021, Az. 9 U
34/21
LG Meiningen, Urt. v. 23.12.2020, Az. 3 O
363/20 (10.000,-)
ArbG Mannheim, Urt. v. 25.03.2021, Az. 8 Ca
409/20
AG Hildesheim, Urt. v. 05.10.2020, Az. 43 C
145/19 (800,-)
LArbG Baden-Württemberg, Urt. v.
25.02.2021, Az. 17 Sa 37/20
LArbG Köln, Urt. v. 14.09.2020, Az. 2 Sa
358/20 (300,-)
LG Karlsruhe, Urt. v. 09.02.2021, Az. 4 O
67/20
ArbG Dresden, Urt. v. 26.08.2020, Az. 13 Ca
1046/20 (1.500,-)
LG Landshut, Urt. v. 06.11.2020, Az. 51 O
513/20
ArbG Neumünster, Urt. v. 11.08.2020, Az. 1
Ca 247 c/20 (1.500,-)
LG Köln, Urt. v. 07.10.2020, Az. 28 O 71/20
LG Lüneburg, Urt. v. 14.07.2020, Az. 9 O
145/19 (1.000,-)
LG Frankfurt a.M., Urt. v. 18.09.2020, Az. 2-
27 O 100/20
LG Darmstadt, Urt. v. 26.05.2020, Az. 13 O
244/19 (1.000,-)
LG Hamburg, Urt. v. 04.09.2020, Az. 324 S
9/19
AG Pforzheim, Urt. v. 25.03.2020, Az. 13 C
160/19 (4.000,-)
LG Frankfurt a.M., Urt. v. 03.09.2020, Az. 2-
03 O 48/19
ArbG Düsseldorf, Urt. v. 05.03.2020, Az. 9 Ca
6557/18 (5.000,-)
OLG Dresden, Urt. v. 20.08.2020, Az. 4 U
784/20
ArbG Lübeck, Beschl. v. 20.06.2019, Az. 1
Ca 538/19 (1.000,-)
LG Karlsruhe, Urt. v. 02.08.2019, Az. 8 O
26/19
exemplarische
Auswahl
einiger
Entscheidungen
34. Rev.
Stand
3.0
DSK-Protokoll der 101. Konferenz (April 2021)
Aufsichtsbehörden konzentrieren sich bei der Prüfung von
Windows 10 erstmal auf den öffentlichen Bereich
Erstellung & Veröffentlichung der Orientierungshilfe zu
den Anforderungen der E-Mail-Verschlüsselung
Umsetzung der „Schrems II“-Entscheidung des EuGH
(-> Ankündigung einer bundeslandübergreifenden Prüfung
von Unternehmen auf Datenübermittlungen in Drittstaaten)
DSK-News
34
35. Rev.
Stand
3.0
DSK-Orientierungshilfe „E-Mail-Verschlüsselung“ (16.06.2021)
E-Mails müssen nicht grdsl. verschlüsselt werden
Unterscheidung zwischen Transport- (TLS) & Inhalts-
verschlüsselung (E2EE)
Abwägung der Rechte des Verantwortlichen und der Betroffenen
unter Berücksichtigung u.a. des aktuellen Stands der Technik
(vgl. Art. 32)
bei rein organisatorischen Abstimmungen (z.B. Terminabsprachen)
reicht Transportverschlüsselung, bei Versand sensibler Daten (vgl.
Art. 9, 10) müssen auch Inhalte verschlüsselt werden (S/MIME,
PGP…) -> Risikoabwägung
Sorgfaltspflicht bei Auswahl des E-Mail-Hosters (Anforderungen
der TR 03108-1 des BSI beachten)
DSK-Arbeitsgruppe: ob und inwieweit können Betroffene auf eigenen
Wunsch auf TOMs nach Art. 32 verzichten? (vgl. z.B. Berufsrecht
der Anwälte)
DSK-News
35
36. Rev.
Stand
3.0
Ankündigung einer bundeslandübergreifenden Prüfung von
Unternehmen auf Datenübermittlungen in Drittstaaten:
Pressemitteilung vom 02.06.2021*
Fragenkataloge an…
Bewerberportale
Konzerne (konzerninterner Datenverkehr)
Mailhoster
Webhoster
Nutzer von Tracking-Tools
* z.B. www.baden-wuerttemberg.datenschutz.de/koordinierte-pruefung-
internationaler-datentransfers
DSK-News
36