SlideShare ist ein Scribd-Unternehmen logo
+
Datenschutzgrundverordnung:
Anwaltliche Beratung heute und morgen
Sascha Kremer
Fachanwalt für Informationstechnologie-Recht
Externer Datenschutzbeauftragter
+
Überblick
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 2
+
Wer? Sascha Kremer
Fachanwalt
für IT-Recht
Externer
bDSB
Dozent
und Autor
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
3
www.slideshare.net/saschakremer
www.twitter.com/saschakremer
www.facebook.com/lpkhb
www.loginpartners.de
+
Was? Datenschutz heute und morgen
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
4
Gesetze Grundsätze
Altes Neues
+
Gesetze
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 5
+
Gesetze: heute (vereinfacht)
Datenschutz-Richtlinie
95/46/EG
BDSG
LDSGe
SGB I/X
(Sozialdatenschutz)
Kirchendatenschutz
(KDO/DSG-EKD)
„umfassende Harmonisierung“
Art. 137 II 1 WRV: Jede
Religionsgesellschaft ordnet und
verwaltet ihre Angelegenheiten
selbständig innerhalb der
Schranken des für alle geltenden
Gesetzes.
EuGH C-101/01 und C-468/10
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
6
Andere Richtlinien mit
Datenschutz Regelungen
(z.B. ECRL, DSRL-EK)
+
Gesetze: morgen (vereinfacht)
 Art. 1 Abs. 2a DS-GVO (Subject matter and objectives):
 Member States may maintain or introduce more specific provisions to adapt the
application of the rules of this Regulation with regard to the processing of personal data for
compliance with a legal obligation or for the performance of a task carried out in the public
interest or in the exercise of official authority vested in the controller or for other specific
processing situations as provided for in Article 6(1)(c) and (e) by determining more
precisely specific requirements for the processing and other measures to ensure
lawful and fair processing including for other specific processing situations as provided for
in Chapter IX.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
7
+
Gesetze: morgen (vereinfacht)
Allgemeine Datenschutz-
Verordnung (DS-GVO)
Beschäftigten-
datenschutz
(Öffnungsklausel)
LDSGe
SGB I/X
(Sozialdatenschutz)
Kirchendatenschutz
(KDO/DSG-EKD)
Vollharmonisierung
Unmittelbare Geltung
Ergänzungsgesetze
zur DS-GVO
(delegierte Rechtsakte)
BDSG?
TKG?
TMG?
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
8
Andere Richtlinien mit
Datenschutz Regelungen
(z.B. ECRL, DSRL-EK)
+
DS-GVO: Status
Entwurf
Kommission
V25.1.2012
1. Lesung
Parlament
V12.3.2014
„1. Lesung“
Rat?
E3.6.2015
(informeller)
Trilog
2. HJ 2015?
Rechtsakt
DS-GVO
Ende 2015?
Verpflichtend
nach 2 Jahren
Ende 2017?
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
9
+
DS-GVO: Offene Punkte im Rat
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
10
Sachlicher
Anwendungsbereich
(Polizeiarbeit)
Schutz des Betroffenen bei
Zweckänderungen
(Widerspruchsrecht)
Haftung von verantwortlicher
Stelle und
Auftragsdatenverarbeiter
„Peanuts“
Offene Punkte im
Rat
+
Grundsätze
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 11
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
12
• EG 3a DS-GVO: „The right to the protection
of personal data is not an absolute right; it
must be considered in relation to its function in
society and be balanced with other
fundamental rights, in accordance with the
principle of proportionality”
Verbot mit Erlaubnisvorbehalt
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
13
• EG 40: “The legal basis […] for the collection
and processing of personal data may also
provide a legal basis for further processing
for other purposes if these purposes are in
line with the assigned task and the controller
is entitled legally to collect the data for these
other purposes.”
Grundsatz der Zweckbindung
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
14
• Ausdrückliche Ergänzung um Data Protection by Design und by Default – EG
61 DS-GVO: „[…] the controller should adopt internal policies and
implement appropriate measures, which meet in particular the principles
of data protection by design and data protection by default. Such
measures could consist inter alia of minimising the processing of personal
data, pseudonymising personal data as soon as possible […]. When
developing, designing, selecting and using applications, services and
products […], producers of the products, services and applications should be
encouraged to take into account the right to data protection when developing
and designing such products, services and applications and, with due regard
to the state of the art, to make sure that controllers and processors are able
to fulfil their data protection obligations.”
Grundsatz der Datensparsamkeit
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
15
• Information, Auskunft, Berichtigung, Sperrung, Löschung
• Recht auf Vergessen werden (EuGH, C-131/12)
• Recht auf Übertragbarkeit – EG 55 DS-GVO: „To further strengthen
the control over their own data […], the data subject should also be
allowed to receive the personal data concerning him or her, which he
or she has provided to a controller, in a structured and commonly
used and machine-readable format and transmit it to another
controller. […] The data subject’s right to transmit personal data
does not create an obligation for the controllers to adopt or
maintain data processing systems which are technically
compatible.”
Betroffenenrechte und Transparenz
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
16
• Für mehrere verantwortliche Stellen/Auftragsdatenverarbeiter
• Differenzierung führende/assistierende Aufsichtsbehörde
• EG 97a DS-GVO: „The lead authority should be competent to adopt binding
decisions regarding measures applying the powers conferred on it in accordance
with the provisions of this Regulation. In its capacity as lead authority, the
supervisory authority should closely involve and coordinate the concerned
supervisory authorities in the decision-making process. […]”
• EG 97c DS-GVO: „Each supervisory authority not acting as lead supervisory
authority should be competent to deal with local cases […], but the subject
matter of the specific processing concerns only processing carried out in a single
Member State and involving only data subjects in that single Member State. […]”
„One Stop Shop“ bei Aufsichtsbehörden
+
Grundsätze: alt und neu
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
17
• EG 38a DS-GVO: Controllers that are part of a
group of undertakings or institution affiliated to
a central body may have a legitimate interest to
transmit personal data within the group of
undertakings for internal administrative
purposes, including the processing of clients' or
employees' personal data. […]”
Kein (eingeschränktes) Konzernprivileg
+
Altes
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 18
+
Auftragsdatenverarbeitung
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
19
ADVVertrag
Subs
Weisungen
Prüfungen
Kosten
+
Konzerndatenschutz
FÜ? ADV?
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
20
IT?
HR
?
+
Übermittlungen in Drittländer
EU-Standardvertrag Kommission
BCR Safe Harbor (USA)
Drittland
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
21
+
Datenschutz und Werbung
Einwilligung
BDSG
(opt-out)
Einwilligung
UWG/APR
(opt-in)
Rechtmäßige
Werbung
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
22
Listenprivileg
BDSG
Einwilligung
UWG/APR
(opt-in)
Rechtmäßige
Werbung
+
Beschäftigtendatenschutz
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
23
§ 32 I 1 § 32 I 2
§ 28 I 1 Nr.
1, 2
Einwilligung?
+
Neues
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 24
+
Profiling
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
25
+
Profiling
 Art. 4 Nr. 12a DS-GVO (Definitions)
 'profiling' means any form of automated processing of personal data consisting of
using those data to evaluate personal aspects relating to a natural person, in particular
to analyse and predict aspects concerning performance at work, economic situation, health,
personal preferences, or interests, reliability or behaviour, location or movements;
 Art. 20 DS-GVO (Automated individual decision making)
 Abs. 1: The data subject shall have the right not to be subject to a decision based
solely on automated processing, including profiling, which produces legal effects
concerning him or her or significantly affects him or her.
 Abs. 3: Ein Profiling, das zur Folge hat, dass Menschen […] diskriminiert werden, […] ist
untersagt. Der für die Verarbeitung Verantwortliche hat für einen wirksamen Schutz gegen
mögliche Diskriminierung aufgrund von Profiling zu sorgen.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
26
+
Beschäftigtendatenschutz
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
27
+
Beschäftigtendatenschutz
 Art. 82 DS-GVO:
 Abs. 1: Member States may by law or by collective agreements, provide for more
specific rules to ensure the protection of the rights and freedoms in respect of the
processing of employees‘ personal data in the employment context, in particular for the
purposes of the recruitment, the performance of the contract of employment, including
discharge of obligations laid down by law or by collective agreements, management,
planning and organisation of work, equality and diversity in the workplace, health and safety
at work, protection of employer’s or customer’s property and for the purposes of the exercise
and enjoyment, on an individual or collective basis, of rights and benefits related to
employment, and for the purpose of the termination of the employment relationship.
 Abs. 3: Member States may by law determine the conditions under which personal data in
the employment context may be processed on the basis of the consent of the employee.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
28
+
Beschäftigtendatenschutz
Einwilligung
BeschDatSchuG
DS-GVO
Recruitment/Bewerbung
Leistung/Verhalten
Arbeitsorganisation
Gesundheit/Sicherheit
Vertragsbeendigung
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
29
+
Kein (eingeschränktes) Konzernprivileg
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
30
+
Kein (eingeschränktes) Konzernprivileg
 Art. 22 Abs. 3a DS-GVO: Der für die Verarbeitung Verantwortliche hat das Recht,
personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der
für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für
berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in
der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des
Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von
internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne
von Artikel 38 hinreichend berücksichtigt werden.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
31
+
Kein (eingeschränktes) Konzernprivileg
1. Stufe:
Erlaubnistatbestand
2. Stufe:
Befugnis Drittland
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
32
EG 38a DS-GVO
+
Datenschutz durch Technik
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
33
+
Datenschutz durch Technik
 Art. 23 DS-GVO:
 Abs. 1: Having regard to available technology and the cost of implementation and taking
account of the nature, scope, context and purposes of the processing as well as the
likelihood and severity of the risk for rights and freedoms of individuals posed by the
processing, the controllers shall implement technical and organizational measures
appropriate to the processing activity being carried out and its objectives, including
data minimisation and pseudonymisation, in such a way that the processing will meet the
requirements of this Regulation and protect the rights of data subjects.
 Abs. 2: The controller shall implement appropriate measures for ensuring that, by default,
only personal data which are necessary for each specific purpose of the processing
are processed; this applies to the amount of data collected, the extent of their processing,
the period of their storage and their accessibility. Where the purpose of the processing is not
intended to provide the public with information, those mechanisms shall ensure that by
default personal data are not made accessible without human intervention to an indefinite
number of individuals.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
34
+
Datenschutz durch Technik
 Art. 23 Abs. 1a DS-GVO: Zur Förderung einer breiten Umsetzung in verschiedenen
Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für
Angebote im Rahmen von Ausschreibungen […] sein.
 Art. 23 Abs. 2a DS-GVO: An approved certification mechanism pursuant to Article 39
may be used as an element to demonstrate compliance with the requirements set out
in paragraphs 1 and 2.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
35
+
Datenschutz durch Technik
 Art. 30 DS-GVO (Security of Processing)
 Abs. 1: Having regard to available technology and the costs of implementation and taking
into account the nature, scope, context and purposes of the processing as well as the
likelihood and severity of the risk for the rights and freedoms of individuals, the controller
and the processor shall implement appropriate technical and organizational measures,
including pseudonymisation of personal data to ensure a level of security appropriate
to the risk.
 Abs. 1a: In assessing the appropriate level of security account shall be taken in particular of
the risks that are presented by data processing, in particular from accidental or unlawful
destruction, loss, alteration, unauthorised disclosure of, or access to personal data
transmitted, stored or otherwise processed.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
36
+
Datenschutz durch Technik
 Art. 30 DS-GVO (Security of Processing)
 Abs. 2a: Adherence to approved codes of conduct pursuant to Article 38 or an approved
certification mechanism pursuant to Article 39 may be used as an element to demonstrate
compliance with the requirements set out in paragraph 1.
 Abs. 2b: The controller and processor shall take steps to ensure that any person acting
under the authority of the controller or the processor who has access to personal data
shall not process them except on instructions from the controller, unless he or she is
required to do so by Union or Member State law.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
37
+
Datenschutz durch Technik
 Art. 39 DS-GVO (Certification):
 Abs. 1: The Member States, the European Data Protection Board and the Commission shall
encourage, in particular at Union level, the establishment of data protection certification
mechanisms and of data protection seals and marks for the purpose of demonstrating
compliance with this Regulation of processing operations carried out by controllers
and processors. The specific needs of micro, small and medium-sized enterprises shall be
taken into account.
 Abs. 4: The certification shall be issued to a controller or processor for a maximum
period of 3 years and may be renewed under the same conditions as long as the
relevant requirements continue to be met. It shall be withdrawn […] where the requirements
for the certification are not or no longer met.
 Abs. 4a: The European Data Protection Board shall collect all certification mechanisms
and data protection seals in a register and shall make them publicly available through
any appropriate means, such as through the European E-Justice Portal.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
38
+
Datenschutz durch Technik
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
39
Zertifikat
DP by
Design
Zertifikat
DP by
Default
• CoC
• Zertifikat
TOM
+
Datenschutzfolgenabschätzung
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
40
+
Datenschutzfolgenabschätzung
 Art. 33 DS-GVO (Data protection impact assessment):
 Abs. 1: Where a type of processing, in particular using new technologies, and taking into
account the nature, scope, context and purposes of the processing, is likely to result in a high
risk for the rights and freedoms of individuals, such as discrimination, identity theft or fraud,
financial loss, damage to the reputation, unauthorized reversal of pseudonymisation, loss of
confidentiality of data protected by professional secrecy or any other significant economic or social
disadvantage, the controller shall, prior to the processing, carry out an assessment of the
impact of the envisaged processing operations on the protection of personal data.
 Abs. 1a: The controller shall seek the advice of the data protection officer, where designated,
when carrying out a data protection impact assessment.
 Abs. 2a/b: The supervisory authority shall establish and make public a list of the kind of processing
operations which are subject to the requirement for a data protection impact assessment […]. The
supervisory authority may also establish and make public a list of the kind of processing
operations for which no data protection impact assessment is required. […]
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
41
+
Datenschutzfolgenabschätzung
 Art. 33 DS-GVO (Data protection impact assessment):
 Abs. 3: The assessment shall contain at least a general description of the envisaged
processing operations, an evaluation of the risk referred to in paragraph 1, the
measures envisaged to address the risk including safeguards, security measures and
mechanisms to ensure the protection of personal data and to demonstrate compliance
with this Regulation taking into account the rights and legitimate interests of data subjects
and other persons concerned.
 Abs. 3a: Compliance with approved codes of conduct referred to in Article 38 by the relevant
controllers or processors shall be taken into due account in assessing lawfulness and impact
of the processing operations performed by such controllers or processors, in particular for the
purposes of a data protection impact assessment.
 Abs. 4: The controller shall seek the views of data subjects or their representatives on
the intended processing, […].
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
42
+
Datenschutzfolgenabschätzung
 Art. 34 DS-GVO (Prior consultation)
 Abs. 2: The controller shall consult the supervisory authority prior to the processing of
personal data where a data protection impact assessment as provided for in Article 33
indicates that the processing would result in a high risk in the absence of measures to
be taken by the controller to mitigate the risk.
 Abs. 3: Where the supervisory authority is of the opinion that the intended processing
referred to in paragraph 2 would not comply with this Regulation, in particular where the
controller has insufficiently identified or mitigated the risk, it shall within a maximum period of
6 weeks following the request for consultation give advice to the data controller, in writing,
and may use any of its powers referred to in Article 53.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
43
+
Datenschutzfolgenabschätzung
Beschreibung
Verfahren
Bewertung
Risiko
Beteiligung
bDSB
Beteiligung
Betroffene
(Vertreter)
Abschätzung
Folgen
Datenschutz
Konsultation
Aufsicht bei
„high risk“
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
44
Positiv-/Negativliste
Aufsichtsbehörde
+
Gemeinsame verantwortliche Stelle
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
45
+
Gemeinsame verantwortliche Stelle
 Art. 24 DS-GVO (Joint controllers)
 Abs. 1: Where two or more controllers jointly determine the purposes and means of the
processing of personal data, they are joint controllers. They shall in a transparent
manner determine their respective responsibilities for compliance with the obligations
under this Regulation, in particular as regards the exercising of the rights of the data subject
and their respective duties to provide the information referred to in Articles 14 and 14a, by
means of an arrangement between them unless, and in so far as, the respective
responsibilities of the controllers are determined by Union or Member State law to which the
controllers are subject. The arrangement shall designate which of the joint controllers shall
act as single point of contact for data subjects to exercise their rights. Im Fall unklarer
Verantwortlichkeiten haften die für die Verarbeitung Verantwortlichen gesamtschuldnerisch.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
46
+
Gemeinsame verantwortliche Stelle
 Art. 24 DS-GVO (Joint controllers)
 Abs. 2: Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject
may exercise his or her rights under this Regulation in respect of and against each of the (…)
controllers.
 Abs. 3: The arrangement shall duly reflect the joint controllers’ respective effective roles
and relationships vis-à-vis data subjects, and the essence of the arrangement shall be
made available for the data subject. Paragraph 2 does not apply where the data subject has
been informed in a transparent and unequivocal manner which of the joint controllers is
responsible, unless such arrangement other than one determined by Union or Member State law
is unfair with regard to his or her rights.
 Art. 26 Abs. 4: Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die
ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, oder die
entscheidende Partei in Bezug auf die Zwecke und Mittel der Datenverarbeitung wird, gilt für diese
Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen
des Artikels 24 für gemeinsam für die Verarbeitung Verantwortliche.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
47
+
Gemeinsame verantwortliche Stelle
VS1
VS2
Gemeinsame
verantwortliche
Stelle
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
48
Vereinbarung über
Erfüllung Rechte
Betroffener und
Informationspflichten
(single point of contact) unter
Berücksichtigung der Rollen
von VS1 und VS2
Wesentlicher Inhalt ist
Betroffenen bekannt
zumachen
+
Auftragsdatenverarbeitung
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
49
+
Auftragsdatenverarbeitung
 Abs. 26 (Processor)
 Abs. 1a: The processor shall not enlist another processor without the prior specific or
general written consent of the controller. In the latter case, the processor should always inform
the controller on any intended changes concerning the addition or replacement of other
processors, thereby giving the opportunity to the controller to object to such changes.
 Abs. 2a: Where a processor enlists another processor for carrying out specific processing
activities on behalf of the controller, the same data protection obligations as set out in the
contract or other legal act between the controller and the processor as referred to in paragraph 2
shall be imposed on that other processor by way of a contract or other legal act under Union
or Member State law […]. Where that other processor fails to fulfil its data protection
obligations, the initial processor shall remain fully liable to the controller for the
performance of that other processor's obligations.
 Abs. 3: The contract or the other legal act […] shall be in writing, including in an electronic
form.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
50
+
Auftragsdatenverarbeitung
Auftraggeber (Controller)
Auftragnehmer (Processor)
Unterauftragnehmer (Processor)
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
51
Vorherige Zustimmung Weitergabe Vertrag Volle Haftung für UAN
Vertrag (Textform)
+
Datenschutzbeauftragter
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
52
+
Datenschutzbeauftragter
 EG 75 DS-GVO: Where the processing is carried out in the public sector or where, in
the private sector, processing is carried out by a large enterprise, or where its core
activities, regardless of the size of the enterprise, involve processing operations which
require regular and systematic monitoring, a person with expert knowledge of data
protection law and practices may assist the controller or processor to monitor
internal compliance with this Regulation. Such data protection officers, whether or
not an employee of the controller, should be in a position to perform their duties and
tasks in an independent manner.”
 EG 75a DS-GVO: Der Datenschutzbeauftragte sollte zumindest die folgenden
Qualifikationen besitzen: […]
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
53
+
Datenschutzbeauftragter
 Art. 35 DS-GVO (Designation of the data protection officer)
 Abs. 1: The controller or the processor may, or where required by Union or Member
State law shall, designate a data protection officer.
 Abs. 2: A group of undertakings may appoint a single data protection officer.
 Abs. 5: The data protection officer shall be designated on the basis of professional
qualities and, in particular, expert knowledge of data protection law and practices and
ability to fulfil the tasks referred to in Article 37, particularly the absence of any conflict of
interests.
 Abs. 7: During their term of office, the data protection officer may, apart from serious
grounds under the law of the Member State concerned which justify the dismissal of an
employee or civil servant, be dismissed only if the data protection officer no longer
fulfils the conditions required for the performance of his or her tasks pursuant to
Article 37.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
54
+
Datenschutzbeauftragter
 Art. 36 DS-GVO (Position of the data protection officer)
 Abs. 2: The controller or the processor shall support the data protection officer in performing
the tasks referred to in Article 37 by providing resources necessary to carry out these tasks
as well as access to personal data and processing operations.
 Abs. 3: The controller or processor shall ensure that the data protection officer can act
in an independent manner with respect to the performance of his or her tasks and
does not receive any instructions regarding the exercise of these tasks. He or she
shall not be penalised by the controller or the processor for performing his tasks. The
data protection officer shall directly report to the highest management level of the controller
or the processor.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
55
+
Datenschutzbeauftragter
 Art. 37 Abs. 1 DS-GVO (Tasks of the data protection officer)
 The data protection officer shall have the following tasks:
 (a) to inform and advise the controller or the processor and the employees who are
processing personal data of their obligations pursuant to this Regulation […];
 (b) to monitor compliance with this Regulation, […] and with the policies of the controller or
processor in relation to the protection of personal data, including the assignment of
responsibilities, awareness-raising and training of staff involved in the processing
operations, and the related audits;
 (f) to provide advice where requested as regards the data protection impact assessment and
monitor its performance pursuant to Article 33;
 (g) to monitor responses to requests from the supervisory authority and, within the sphere of the
data protection officer's competence, to co-operate with the supervisory authority at the latter's
request or on the data protection officer’s own initiative;
 (h) to act as the contact point for the supervisory authority on issues related to the
processing of personal data, including the prior consultation referred to in Article 34, and
consult, as appropriate, on any other matter.
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
56
+
Datenschutzbeauftragter
Bestellung (nach nationalem Recht)
Abberufung nur aus wichtigem Grund
Überwachungsfunktion (Behörde im Unternehmen)
Keine besondere Verschwiegenheitspflicht
Keine Privilegierung für bestellendes Unternehmen
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
57
+
Fazit und Diskussion
13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 58
+
Lösungsansätze
13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen
59
Technik Standards
Verträge Zertifikate
AnsätzeKeine Individualsoftware „weniger ist mehr“
+
Fragen? Fragen!
Sascha Kremer
+49(2238)5408700
sascha.kremer@loginpartners.de
www.loginpartners.de

Weitere ähnliche Inhalte

Was ist angesagt?

Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
Michael Rohrlich
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
Michael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
Michael Rohrlich
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
Damir Mrgic
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Daniel, Hagelskamp & Kollegen
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
Michael Rohrlich
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
Michael Rohrlich
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Michael Rohrlich
 
Datenschutz bei Multifunktionsdruckern
Datenschutz bei MultifunktionsdruckernDatenschutz bei Multifunktionsdruckern
Datenschutz bei Multifunktionsdruckern
Sascha Kremer
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
Peter Haase
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
Michael Rohrlich
 

Was ist angesagt? (20)

Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Datenschutz bei Multifunktionsdruckern
Datenschutz bei MultifunktionsdruckernDatenschutz bei Multifunktionsdruckern
Datenschutz bei Multifunktionsdruckern
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 

Andere mochten auch

„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 „Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
direkt gruppe GmbH
 
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart MeteringEckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
nuances
 
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Danube University Krems, Centre for E-Governance
 
Identitätsmanagement und Compliance
Identitätsmanagement und ComplianceIdentitätsmanagement und Compliance
Identitätsmanagement und Compliancethetacker
 
#WIR am Department: Prof. Dr. Nikolaus Forgó
#WIR am Department: Prof. Dr. Nikolaus Forgó#WIR am Department: Prof. Dr. Nikolaus Forgó
#WIR am Department: Prof. Dr. Nikolaus Forgó
Danube University Krems, Centre for E-Governance
 
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_Grundverordnung
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_GrundverordnungDehoga_Gastgewerbe_Report_02_2016_Datenschutz_Grundverordnung
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_GrundverordnungBoris Maskow
 
Prevent million dollar fines - preparing for the EU General Data Regulation
Prevent million dollar fines - preparing for the EU General Data RegulationPrevent million dollar fines - preparing for the EU General Data Regulation
Prevent million dollar fines - preparing for the EU General Data Regulation
Sophos Benelux
 
Agile & SCRUM - Deep Dive for General Assembly
Agile & SCRUM - Deep Dive for General AssemblyAgile & SCRUM - Deep Dive for General Assembly
Agile & SCRUM - Deep Dive for General Assembly
theresajaustin
 
SCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITYSCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITY
Thomas Lohninger
 
Deep dive into scrum meetings
Deep dive into scrum meetingsDeep dive into scrum meetings
Deep dive into scrum meetings
Conscires Agile Practices
 
The EU Data Protection Regulation - what you need to know
The EU Data Protection Regulation - what you need to knowThe EU Data Protection Regulation - what you need to know
The EU Data Protection Regulation - what you need to know
Sophos Benelux
 
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
AskMeWhy .ch
 
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
Sascha Kremer
 
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
AgileSparks
 
OOP2017: Scrum statt Murcs - Agile Software-Entwicklung
OOP2017: Scrum statt Murcs - Agile Software-EntwicklungOOP2017: Scrum statt Murcs - Agile Software-Entwicklung
OOP2017: Scrum statt Murcs - Agile Software-Entwicklung
HEC GmbH | Ein team neusta Unternehmen
 
Short Scrum Presentation for Teams
Short Scrum Presentation for TeamsShort Scrum Presentation for Teams
Short Scrum Presentation for Teams
borisgloger consulting GmbH
 
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in HamburgShades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
Stefan ROOCK
 
Scrum Cheat Sheet (Jan 2012)
Scrum Cheat Sheet (Jan 2012)Scrum Cheat Sheet (Jan 2012)
Scrum Cheat Sheet (Jan 2012)
Michael Hübl
 
Scrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
Scrum in der Praxis - Ein Blick hinter die Kulissen von ScrumScrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
Scrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
Robert Wiechmann
 

Andere mochten auch (20)

„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 „Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
 
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart MeteringEckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
Eckpunkte: EU-Datenschutz-Grundverordnung und Smart Metering
 
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
 
Identitätsmanagement und Compliance
Identitätsmanagement und ComplianceIdentitätsmanagement und Compliance
Identitätsmanagement und Compliance
 
#WIR am Department: Prof. Dr. Nikolaus Forgó
#WIR am Department: Prof. Dr. Nikolaus Forgó#WIR am Department: Prof. Dr. Nikolaus Forgó
#WIR am Department: Prof. Dr. Nikolaus Forgó
 
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_Grundverordnung
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_GrundverordnungDehoga_Gastgewerbe_Report_02_2016_Datenschutz_Grundverordnung
Dehoga_Gastgewerbe_Report_02_2016_Datenschutz_Grundverordnung
 
Prevent million dollar fines - preparing for the EU General Data Regulation
Prevent million dollar fines - preparing for the EU General Data RegulationPrevent million dollar fines - preparing for the EU General Data Regulation
Prevent million dollar fines - preparing for the EU General Data Regulation
 
Agile & SCRUM - Deep Dive for General Assembly
Agile & SCRUM - Deep Dive for General AssemblyAgile & SCRUM - Deep Dive for General Assembly
Agile & SCRUM - Deep Dive for General Assembly
 
SCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITYSCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITY
 
Deep dive into scrum meetings
Deep dive into scrum meetingsDeep dive into scrum meetings
Deep dive into scrum meetings
 
The EU Data Protection Regulation - what you need to know
The EU Data Protection Regulation - what you need to knowThe EU Data Protection Regulation - what you need to know
The EU Data Protection Regulation - what you need to know
 
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
Präsentation über Datenschutz und Datensicherheit mit Office365 und Azure am ...
 
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
Autonomes Handeln intelligenter Menschen: Internet der Dinge und Industrie 4.0
 
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
Scrum sprint planning meeting - a deep dive - Danny Kovatch (Danko) - Agile I...
 
OOP2017: Scrum statt Murcs - Agile Software-Entwicklung
OOP2017: Scrum statt Murcs - Agile Software-EntwicklungOOP2017: Scrum statt Murcs - Agile Software-Entwicklung
OOP2017: Scrum statt Murcs - Agile Software-Entwicklung
 
Short Scrum Presentation for Teams
Short Scrum Presentation for TeamsShort Scrum Presentation for Teams
Short Scrum Presentation for Teams
 
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in HamburgShades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
Shades of Scrum (Urs Reupke, Stefan Roock), SEACON 2015 in Hamburg
 
Datenschutz
DatenschutzDatenschutz
Datenschutz
 
Scrum Cheat Sheet (Jan 2012)
Scrum Cheat Sheet (Jan 2012)Scrum Cheat Sheet (Jan 2012)
Scrum Cheat Sheet (Jan 2012)
 
Scrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
Scrum in der Praxis - Ein Blick hinter die Kulissen von ScrumScrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
Scrum in der Praxis - Ein Blick hinter die Kulissen von Scrum
 

Ähnlich wie Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen

FNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an HochschulenFNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an Hochschulen
Michael Lanzinger
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Michael Lanzinger
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
AllFacebook.de
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
Michael Lanzinger
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
Namics
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Österreich
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
e-teaching.org
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO Versicherungen
Michael Danisch
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Fujitsu Central Europe
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVOWebinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
panagenda
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
Michael Lanzinger
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Alexander Talmon LL.M.
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 

Ähnlich wie Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen (20)

FNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an HochschulenFNMA-Talks - Die DSGVO an Hochschulen
FNMA-Talks - Die DSGVO an Hochschulen
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO Versicherungen
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVOWebinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 

Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen

  • 1. + Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen Sascha Kremer Fachanwalt für Informationstechnologie-Recht Externer Datenschutzbeauftragter
  • 2. + Überblick 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 2
  • 3. + Wer? Sascha Kremer Fachanwalt für IT-Recht Externer bDSB Dozent und Autor 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 3 www.slideshare.net/saschakremer www.twitter.com/saschakremer www.facebook.com/lpkhb www.loginpartners.de
  • 4. + Was? Datenschutz heute und morgen 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 4 Gesetze Grundsätze Altes Neues
  • 5. + Gesetze 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 5
  • 6. + Gesetze: heute (vereinfacht) Datenschutz-Richtlinie 95/46/EG BDSG LDSGe SGB I/X (Sozialdatenschutz) Kirchendatenschutz (KDO/DSG-EKD) „umfassende Harmonisierung“ Art. 137 II 1 WRV: Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. EuGH C-101/01 und C-468/10 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 6 Andere Richtlinien mit Datenschutz Regelungen (z.B. ECRL, DSRL-EK)
  • 7. + Gesetze: morgen (vereinfacht)  Art. 1 Abs. 2a DS-GVO (Subject matter and objectives):  Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to the processing of personal data for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or for other specific processing situations as provided for in Article 6(1)(c) and (e) by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 7
  • 8. + Gesetze: morgen (vereinfacht) Allgemeine Datenschutz- Verordnung (DS-GVO) Beschäftigten- datenschutz (Öffnungsklausel) LDSGe SGB I/X (Sozialdatenschutz) Kirchendatenschutz (KDO/DSG-EKD) Vollharmonisierung Unmittelbare Geltung Ergänzungsgesetze zur DS-GVO (delegierte Rechtsakte) BDSG? TKG? TMG? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 8 Andere Richtlinien mit Datenschutz Regelungen (z.B. ECRL, DSRL-EK)
  • 9. + DS-GVO: Status Entwurf Kommission V25.1.2012 1. Lesung Parlament V12.3.2014 „1. Lesung“ Rat? E3.6.2015 (informeller) Trilog 2. HJ 2015? Rechtsakt DS-GVO Ende 2015? Verpflichtend nach 2 Jahren Ende 2017? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 9
  • 10. + DS-GVO: Offene Punkte im Rat 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 10 Sachlicher Anwendungsbereich (Polizeiarbeit) Schutz des Betroffenen bei Zweckänderungen (Widerspruchsrecht) Haftung von verantwortlicher Stelle und Auftragsdatenverarbeiter „Peanuts“ Offene Punkte im Rat
  • 11. + Grundsätze 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 11
  • 12. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 12 • EG 3a DS-GVO: „The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced with other fundamental rights, in accordance with the principle of proportionality” Verbot mit Erlaubnisvorbehalt
  • 13. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 13 • EG 40: “The legal basis […] for the collection and processing of personal data may also provide a legal basis for further processing for other purposes if these purposes are in line with the assigned task and the controller is entitled legally to collect the data for these other purposes.” Grundsatz der Zweckbindung
  • 14. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 14 • Ausdrückliche Ergänzung um Data Protection by Design und by Default – EG 61 DS-GVO: „[…] the controller should adopt internal policies and implement appropriate measures, which meet in particular the principles of data protection by design and data protection by default. Such measures could consist inter alia of minimising the processing of personal data, pseudonymising personal data as soon as possible […]. When developing, designing, selecting and using applications, services and products […], producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations.” Grundsatz der Datensparsamkeit
  • 15. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 15 • Information, Auskunft, Berichtigung, Sperrung, Löschung • Recht auf Vergessen werden (EuGH, C-131/12) • Recht auf Übertragbarkeit – EG 55 DS-GVO: „To further strengthen the control over their own data […], the data subject should also be allowed to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured and commonly used and machine-readable format and transmit it to another controller. […] The data subject’s right to transmit personal data does not create an obligation for the controllers to adopt or maintain data processing systems which are technically compatible.” Betroffenenrechte und Transparenz
  • 16. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 16 • Für mehrere verantwortliche Stellen/Auftragsdatenverarbeiter • Differenzierung führende/assistierende Aufsichtsbehörde • EG 97a DS-GVO: „The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with the provisions of this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the concerned supervisory authorities in the decision-making process. […]” • EG 97c DS-GVO: „Each supervisory authority not acting as lead supervisory authority should be competent to deal with local cases […], but the subject matter of the specific processing concerns only processing carried out in a single Member State and involving only data subjects in that single Member State. […]” „One Stop Shop“ bei Aufsichtsbehörden
  • 17. + Grundsätze: alt und neu 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 17 • EG 38a DS-GVO: Controllers that are part of a group of undertakings or institution affiliated to a central body may have a legitimate interest to transmit personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. […]” Kein (eingeschränktes) Konzernprivileg
  • 18. + Altes 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 18
  • 19. + Auftragsdatenverarbeitung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 19 ADVVertrag Subs Weisungen Prüfungen Kosten
  • 20. + Konzerndatenschutz FÜ? ADV? 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 20 IT? HR ?
  • 21. + Übermittlungen in Drittländer EU-Standardvertrag Kommission BCR Safe Harbor (USA) Drittland 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 21
  • 22. + Datenschutz und Werbung Einwilligung BDSG (opt-out) Einwilligung UWG/APR (opt-in) Rechtmäßige Werbung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 22 Listenprivileg BDSG Einwilligung UWG/APR (opt-in) Rechtmäßige Werbung
  • 23. + Beschäftigtendatenschutz 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 23 § 32 I 1 § 32 I 2 § 28 I 1 Nr. 1, 2 Einwilligung?
  • 24. + Neues 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 24
  • 25. + Profiling 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 25
  • 26. + Profiling  Art. 4 Nr. 12a DS-GVO (Definitions)  'profiling' means any form of automated processing of personal data consisting of using those data to evaluate personal aspects relating to a natural person, in particular to analyse and predict aspects concerning performance at work, economic situation, health, personal preferences, or interests, reliability or behaviour, location or movements;  Art. 20 DS-GVO (Automated individual decision making)  Abs. 1: The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or significantly affects him or her.  Abs. 3: Ein Profiling, das zur Folge hat, dass Menschen […] diskriminiert werden, […] ist untersagt. Der für die Verarbeitung Verantwortliche hat für einen wirksamen Schutz gegen mögliche Diskriminierung aufgrund von Profiling zu sorgen. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 26
  • 27. + Beschäftigtendatenschutz 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 27
  • 28. + Beschäftigtendatenschutz  Art. 82 DS-GVO:  Abs. 1: Member States may by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer’s or customer’s property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.  Abs. 3: Member States may by law determine the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 28
  • 30. + Kein (eingeschränktes) Konzernprivileg 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 30
  • 31. + Kein (eingeschränktes) Konzernprivileg  Art. 22 Abs. 3a DS-GVO: Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 31
  • 32. + Kein (eingeschränktes) Konzernprivileg 1. Stufe: Erlaubnistatbestand 2. Stufe: Befugnis Drittland 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 32 EG 38a DS-GVO
  • 33. + Datenschutz durch Technik 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 33
  • 34. + Datenschutz durch Technik  Art. 23 DS-GVO:  Abs. 1: Having regard to available technology and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for rights and freedoms of individuals posed by the processing, the controllers shall implement technical and organizational measures appropriate to the processing activity being carried out and its objectives, including data minimisation and pseudonymisation, in such a way that the processing will meet the requirements of this Regulation and protect the rights of data subjects.  Abs. 2: The controller shall implement appropriate measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 34
  • 35. + Datenschutz durch Technik  Art. 23 Abs. 1a DS-GVO: Zur Förderung einer breiten Umsetzung in verschiedenen Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für Angebote im Rahmen von Ausschreibungen […] sein.  Art. 23 Abs. 2a DS-GVO: An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 35
  • 36. + Datenschutz durch Technik  Art. 30 DS-GVO (Security of Processing)  Abs. 1: Having regard to available technology and the costs of implementation and taking into account the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for the rights and freedoms of individuals, the controller and the processor shall implement appropriate technical and organizational measures, including pseudonymisation of personal data to ensure a level of security appropriate to the risk.  Abs. 1a: In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by data processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 36
  • 37. + Datenschutz durch Technik  Art. 30 DS-GVO (Security of Processing)  Abs. 2a: Adherence to approved codes of conduct pursuant to Article 38 or an approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraph 1.  Abs. 2b: The controller and processor shall take steps to ensure that any person acting under the authority of the controller or the processor who has access to personal data shall not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 37
  • 38. + Datenschutz durch Technik  Art. 39 DS-GVO (Certification):  Abs. 1: The Member States, the European Data Protection Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks for the purpose of demonstrating compliance with this Regulation of processing operations carried out by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.  Abs. 4: The certification shall be issued to a controller or processor for a maximum period of 3 years and may be renewed under the same conditions as long as the relevant requirements continue to be met. It shall be withdrawn […] where the requirements for the certification are not or no longer met.  Abs. 4a: The European Data Protection Board shall collect all certification mechanisms and data protection seals in a register and shall make them publicly available through any appropriate means, such as through the European E-Justice Portal. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 38
  • 39. + Datenschutz durch Technik 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 39 Zertifikat DP by Design Zertifikat DP by Default • CoC • Zertifikat TOM
  • 40. + Datenschutzfolgenabschätzung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 40
  • 41. + Datenschutzfolgenabschätzung  Art. 33 DS-GVO (Data protection impact assessment):  Abs. 1: Where a type of processing, in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk for the rights and freedoms of individuals, such as discrimination, identity theft or fraud, financial loss, damage to the reputation, unauthorized reversal of pseudonymisation, loss of confidentiality of data protected by professional secrecy or any other significant economic or social disadvantage, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.  Abs. 1a: The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment.  Abs. 2a/b: The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment […]. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. […] 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 41
  • 42. + Datenschutzfolgenabschätzung  Art. 33 DS-GVO (Data protection impact assessment):  Abs. 3: The assessment shall contain at least a general description of the envisaged processing operations, an evaluation of the risk referred to in paragraph 1, the measures envisaged to address the risk including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.  Abs. 3a: Compliance with approved codes of conduct referred to in Article 38 by the relevant controllers or processors shall be taken into due account in assessing lawfulness and impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment.  Abs. 4: The controller shall seek the views of data subjects or their representatives on the intended processing, […]. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 42
  • 43. + Datenschutzfolgenabschätzung  Art. 34 DS-GVO (Prior consultation)  Abs. 2: The controller shall consult the supervisory authority prior to the processing of personal data where a data protection impact assessment as provided for in Article 33 indicates that the processing would result in a high risk in the absence of measures to be taken by the controller to mitigate the risk.  Abs. 3: Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 2 would not comply with this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, it shall within a maximum period of 6 weeks following the request for consultation give advice to the data controller, in writing, and may use any of its powers referred to in Article 53. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 43
  • 45. + Gemeinsame verantwortliche Stelle 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 45
  • 46. + Gemeinsame verantwortliche Stelle  Art. 24 DS-GVO (Joint controllers)  Abs. 1: Where two or more controllers jointly determine the purposes and means of the processing of personal data, they are joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 14 and 14a, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement shall designate which of the joint controllers shall act as single point of contact for data subjects to exercise their rights. Im Fall unklarer Verantwortlichkeiten haften die für die Verarbeitung Verantwortlichen gesamtschuldnerisch. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 46
  • 47. + Gemeinsame verantwortliche Stelle  Art. 24 DS-GVO (Joint controllers)  Abs. 2: Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the (…) controllers.  Abs. 3: The arrangement shall duly reflect the joint controllers’ respective effective roles and relationships vis-à-vis data subjects, and the essence of the arrangement shall be made available for the data subject. Paragraph 2 does not apply where the data subject has been informed in a transparent and unequivocal manner which of the joint controllers is responsible, unless such arrangement other than one determined by Union or Member State law is unfair with regard to his or her rights.  Art. 26 Abs. 4: Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, oder die entscheidende Partei in Bezug auf die Zwecke und Mittel der Datenverarbeitung wird, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen des Artikels 24 für gemeinsam für die Verarbeitung Verantwortliche. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 47
  • 48. + Gemeinsame verantwortliche Stelle VS1 VS2 Gemeinsame verantwortliche Stelle 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 48 Vereinbarung über Erfüllung Rechte Betroffener und Informationspflichten (single point of contact) unter Berücksichtigung der Rollen von VS1 und VS2 Wesentlicher Inhalt ist Betroffenen bekannt zumachen
  • 49. + Auftragsdatenverarbeitung 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 49
  • 50. + Auftragsdatenverarbeitung  Abs. 26 (Processor)  Abs. 1a: The processor shall not enlist another processor without the prior specific or general written consent of the controller. In the latter case, the processor should always inform the controller on any intended changes concerning the addition or replacement of other processors, thereby giving the opportunity to the controller to object to such changes.  Abs. 2a: Where a processor enlists another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 2 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law […]. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations.  Abs. 3: The contract or the other legal act […] shall be in writing, including in an electronic form. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 50
  • 51. + Auftragsdatenverarbeitung Auftraggeber (Controller) Auftragnehmer (Processor) Unterauftragnehmer (Processor) 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 51 Vorherige Zustimmung Weitergabe Vertrag Volle Haftung für UAN Vertrag (Textform)
  • 52. + Datenschutzbeauftragter 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 52
  • 53. + Datenschutzbeauftragter  EG 75 DS-GVO: Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by a large enterprise, or where its core activities, regardless of the size of the enterprise, involve processing operations which require regular and systematic monitoring, a person with expert knowledge of data protection law and practices may assist the controller or processor to monitor internal compliance with this Regulation. Such data protection officers, whether or not an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.”  EG 75a DS-GVO: Der Datenschutzbeauftragte sollte zumindest die folgenden Qualifikationen besitzen: […] 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 53
  • 54. + Datenschutzbeauftragter  Art. 35 DS-GVO (Designation of the data protection officer)  Abs. 1: The controller or the processor may, or where required by Union or Member State law shall, designate a data protection officer.  Abs. 2: A group of undertakings may appoint a single data protection officer.  Abs. 5: The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37, particularly the absence of any conflict of interests.  Abs. 7: During their term of office, the data protection officer may, apart from serious grounds under the law of the Member State concerned which justify the dismissal of an employee or civil servant, be dismissed only if the data protection officer no longer fulfils the conditions required for the performance of his or her tasks pursuant to Article 37. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 54
  • 55. + Datenschutzbeauftragter  Art. 36 DS-GVO (Position of the data protection officer)  Abs. 2: The controller or the processor shall support the data protection officer in performing the tasks referred to in Article 37 by providing resources necessary to carry out these tasks as well as access to personal data and processing operations.  Abs. 3: The controller or processor shall ensure that the data protection officer can act in an independent manner with respect to the performance of his or her tasks and does not receive any instructions regarding the exercise of these tasks. He or she shall not be penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 55
  • 56. + Datenschutzbeauftragter  Art. 37 Abs. 1 DS-GVO (Tasks of the data protection officer)  The data protection officer shall have the following tasks:  (a) to inform and advise the controller or the processor and the employees who are processing personal data of their obligations pursuant to this Regulation […];  (b) to monitor compliance with this Regulation, […] and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in the processing operations, and the related audits;  (f) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 33;  (g) to monitor responses to requests from the supervisory authority and, within the sphere of the data protection officer's competence, to co-operate with the supervisory authority at the latter's request or on the data protection officer’s own initiative;  (h) to act as the contact point for the supervisory authority on issues related to the processing of personal data, including the prior consultation referred to in Article 34, and consult, as appropriate, on any other matter. 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 56
  • 57. + Datenschutzbeauftragter Bestellung (nach nationalem Recht) Abberufung nur aus wichtigem Grund Überwachungsfunktion (Behörde im Unternehmen) Keine besondere Verschwiegenheitspflicht Keine Privilegierung für bestellendes Unternehmen 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 57
  • 58. + Fazit und Diskussion 13.06.2015 Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 58
  • 59. + Lösungsansätze 13.06.2015Sascha Kremer - Datenschutzgrundverordnung: Anwaltliche Beratung heute und morgen 59 Technik Standards Verträge Zertifikate AnsätzeKeine Individualsoftware „weniger ist mehr“