2. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
2
3. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
3
4. 1. Einführung / Überblick
Grundlagen DSGVO
Compliance
Privacy by
design
Privacy by
default
Accountability
Recht auf
Vergessenwerden
One-Stop-
Shop
sicherheits-
basierter
Ansatz
DSGVO
GAP-
Analyse 4
5. 1. Einführung / Überblick
Grundlagen DSGVO
Datenschutz = Grundrecht
resultiert aus allg. Persönlichkeitsrecht
verfassungsrechtlich verankert (Art. 1,2 GG + Art. 8 EMRK) und
mehrfach insbesondere durch Bundesverfassungsgericht
bestätigt (u.a. im sog.Volkszählungsurteil)
5
6. 1. Einführung / Überblick
Grundlagen DSGVO
bislang war Datenschutzrecht nationale Angelegenheit
jeder (EU-) Staat mit eigenem Datenschutzrecht
basierend u.a. auf der EU-Datenschutz-Richtlinie oder auch der
sog. Cookie-Richtlinie
6
7. 1. Einführung / Überblick
Grundlagen DSGVO
Wunsch nach Harmonisierung des Datenschutzrechts auf EU-Ebene
Folge: EU-Datenschutzgrundverordnung (DSGVO)
(engl.: General Data Protection Regulation, GDPR)
zusätzlich: geplante E-Privacy-Verordnung für E-Commerce-Sektor
ergänzend in Dt.: Datenschutz-Anpassungs- und –
Umsetzungsgesetz EU (DSAnpUG-EU) -> BDSG-neu
7
8. 1. Einführung / Überblick
Grundlagen DSGVO
weitere Datenschutzregelungen:
IT-Sicherheitsgesetz
BSI-Gesetz
BSI-Kritis-Verordnung (BSI-KritisV)
BKA-Gesetz, MAD-Gesetz, BND-Gesetz
eIDAS-Verordnung
Gesetz zur Förderung des elektronischen Identitätsnachweises
zukünftig: z.B. Richtlinie über bestimmte vertragliche Aspekte der
Bereitstellung digitaler Inhalte
branchenspezifische, spezialgesetzliche Regelungen, u.a.
Transplantationsgesetz (TPG)
etc.
8
9. 1. Einführung / Überblick
Grundlagen DSGVO
einschlägig bei Auftragsdatenverarbeitung (Outsourcing):
z.B. für Cloud-Dienste mit Servern außerhalb EU / EWR
Eintrag EU-US-Privacy-Shield (ehem. Safe-Harbor-Regelung)
EU-Standardvertragsklauseln
Binding Corporate Rules (BCR)
9
11. 1. Einführung / Überblick
Grundlagen DSGVO
DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel
plus 173 Erwägungsgründe
je nach Auslegung 60-80 Öffnungsklauseln
(Gestaltungsspielraum für nationale Gesetzgeber, z.B. für die
Verarbeitung von Beschäftigtendaten oder bzgl.Vorgaben für
Auftragsverarbeiter)
11
12. 1. Einführung / Überblick
Grundlagen DSGVO
Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten
Ansatz“
(Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei
der konkretenVerarbeitung?)
Accountability-Prinzip, d.h. Unternehmen müssen nachweisen
können, dass sie datenschutzkonform arbeiten
umfangreiche Dokumentationspflichten
usw.
12
13. 1. Einführung / Überblick
Grundlagen DSGVO
13
ab dem 25. Mai 2018
ohne weitere
Übergangsfrist
verbindlich:
BDSG-neuDSGVO
14. 1. Einführung / Überblick
Grundlagen DSGVO
14
DSGVO gilt grdsl. für alle
Unternehmen unabhängig von…
Größe Branche Umsatz
15. 1. Einführung / Überblick
Grundlagen DSGVO
15
DSGVO gilt für alle
Unternehmen…
mit Hauptsitz
oder Zweigstelle
in einem EU-
Staat
die ggü. EU-
Verbrauchern
Waren bzw.
Dienstleistungen
anbieten
die EU-
Verbraucher
„beobachten“
(z.B. Online-
Tracking)
16. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
16
17. 2. Begriffe
Personenbezogene Daten
„personenbezogenen Daten“ als zentraler Begriff des
Datenschutzrechts
gem. DSGVO sehr weitreichend
nur reine Unternehmensdaten nicht erfasst (z.B. Bilanzen,
Konstruktionspläne o.ä.)
17
18. 2. Begriffe
Personenbezogene Daten
personenbezogene Daten (Art. 4 Nr. 1 DSGVO):
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen (der sog.
„Betroffene“).
2 Definitionen: „personenbezogene Daten“ & „Betroffener“
18
19. 2. Begriffe
Personenbezogene Daten
Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt
anhand von bestimmten Merkmalen identifiziert werden kann, die
Ausdruck der
physischen,
physiologischen,
genetischen,
psychischen,
wirtschaftlichen,
kulturellen oder
sozialen
Identität dieser Person sind
19
20. 2. Begriffe
Personenbezogene Daten
Dabei geht es insbesondere um die Möglichkeit der Zuordnung
zu einer Kennung, wie
einem Namen,
einer Kennnummer,
Standortdaten,
einer Online-Kennung oder
einem sonstigen besonderen Merkmal
20
21. 2. Begriffe
Personenbezogene Daten
3 versch. Auffassungen
absolut (wenn irgendwer Betroffenen identifizieren kann)
relativ (wenn verantwortliche Stelle Betroffenen mit vernünftigerweise
bereitstehenden Mitteln identifizieren kann)
vermittelnd (wenn Identifizierung auch durch Dritte möglich, aber nicht
von jedem und nicht mit allen Mitteln)
in DSGVO wohl die vermittelnde Ansicht maßgeblich
21
23. 2. Begriffe
Personenbezogene Daten
besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1
DSGVO):
rassische und ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
genetische Daten
biometrischen Daten
Gesundheitsdaten
Daten zum Sexualleben bzw. sexuellen Orientierung
23
24. 2. Begriffe
Datenverarbeitung
Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO):
jeder mit oder ohne Hilfe automatisierterVerfahren
ausgeführten Vorgang im Zusammenhang mit
personenbezogenen Daten
sehr weitgehender Begriff, egal ob es sich um „normale“ oder
besondere personenbezogene Daten handelt
24
26. 2. Begriffe
Datenverarbeitung
Datenverarbeitung bedeutet (II.):
Verwenden
Abgleichen
Verknüpfen
Einschränken
Löschen
Vernichten
Offenlegen durch Übermittlung,Verbreitung oder andere Form
der Bereitstellung
26
27. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
27
28. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
28
Rechtmäßigkeit Transparenz Treu und Glauben
Zweckbindung Datenminimierung Richtigkeit
Speicherbegrenzung
Integrität und
Vertraulichkeit
Rechenschaftspflicht
29. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Rechtmäßigkeit (Art. 6 Abs. 1 DSGVO):
Verbot mit Erlaubnisvorbehalt
JedeVerarbeitung personenbezogener Daten ist grdsl.
unzulässig, sofern keine Ausnahme vorliegt.
Ausnahmen:
Einwilligung des Betroffenen
gesetzlicher Ausnahmetatbestand
Interessenabwägung 29
30. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
gesetzl. Ausnahmetatbestände (Art. 6 Abs. 1 b) – e) DSGVO):
zur Erfüllung einesVertrages (z.B. Bestellung im Onlineshop)
aufgrund rechtlicherVerpflichtung (z.B. steuerrechtliche
Aufbewahrungsfristen)
Schutz lebenswichtiger Interessen der betroffenen Person oder
eines Dritten (z.B.Verarbeitung von Gesundheitsdaten zum
Schutz vor Epidemien oder aus humanitären Gründen)
Wahrnehmung einer im öffentlichen Interesse liegenden
Aufgabe / Ausübung öffentlicher Gewalt (z.B. "Knöllchen" vom
Ordnungsamt)
30
31. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Zweckbindung (Art. 5 Abs. 1 b) DSGVO):
Personenbezogene Daten müssen für festgelegte, eindeutige
und legitime Zwecke erhoben werden und dürfen nicht in einer
mit diesen Zwecken nicht zu vereinbarendenWeise
weiterverarbeitet werden.
Ausnahmen bestehen für die Weiterverarbeitung für
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche oder historische Forschungszwecke
statistische Zwecke
31
32. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Datenminimierung (Art. 5 Abs. 1 c) DSGVO):
Personenbezogene Daten müssen dem Zweck angemessen
sowie auf das für den Zweck derVerarbeitung notwendige Maß
beschränkt sein.
32
33. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Richtigkeit (Art. 5 Abs. 1 d) DSGVO):
Personenbezogene Daten müssen sachlich richtig und auf dem
neuesten Stand sein.
Es sind alle angemessenen Maßnahmen zu treffen, damit
personenbezogene Daten, die im Hinblick auf den Zweck ihrer
Verarbeitung unrichtig sind, unverzüglich gelöscht oder
berichtigt werden.
33
34. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO):
Personenbezogene Daten müssen in einer Form gespeichert
werden, die die Identifizierung der betroffenen Personen nur so
lange ermöglicht, wie es für den Zweck derVerarbeitung
erforderlich ist.
ausnahmsweise längere Speicherung mittels geeigneter
technischer und organisatorischer Maßnahmen ausschließlich
für
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche und historische Forschungszwecke
statistische Zwecke
34
35. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Integrität bzw. derVertraulichkeit (Art. 5 Abs. 1 f)
DSGVO):
Personenbezogene Daten müssen in einerWeise verarbeitet
werden, die eine angemessene Sicherheit gewährleistet.
mittels geeigneter technischer und organisatorischer
Maßnahmen Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtemVerlust, Zerstörung oder
Schädigung
35
36. 3. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Datensicherheit (Art. 32 DSGVO):
Ziele: Vertraulichkeit, Integrität &Verfügbarkeit der Daten
Es müssen geeignete technische und organisatorische
Maßnahmen ergriffen werden, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten.
unter Berücksichtigung
des Stands derTechnik,
der Kosten sowie
der Art, des Umfangs, der Umstände und der Zwecke derVerarbeitung
36
37. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
37
38. 4. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
38
Auskunft Information Widerruf
Widerspruch
Einschränkung der
Verarbeitung
Berichtigung
Datenübertragbarkeit Sperrung Löschung
39. 4. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
neu: Recht aufVergessenwerden („lex google“), z.B.
Möglichkeit, ggü. Suchmaschinen Löschung vonVerlinkungen zu
beantragen
ebenfalls neu: Recht auf Datenportabilität („lex facebook“),
z.B. Möglichkeit, seine Daten von einem Unternehmen zu einem
anderen „mitzunehmen“ bzw. übertragen zu lassen
39
40. 4. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
Auskunftsrecht (Art. 15 DSGVO), auf Antrag Auskunft über:
Zwecke der Datenverarbeitung
erfasste Daten-Kategorien
Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt
worden sind oder noch offengelegt werden
geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer
Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf
Einschränkung derVerarbeitung
Bestehen des Widerspruchsrechts gegen dieVerarbeitung
Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei
dem Betroffenen selbst erhoben werden
ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
40
41. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
41
42. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
zentrale Pflichten der verantwortlichen Stelle:
Durchführung von Audits
Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit
Implementierung von Prozessen zur Sicherstellung der Compliance
Dokumentation von Datenverarbeitungsvorgängen
Risikoanalyse über Folgen der Datenverarbeitung
geeignete technische und organisatorische Maßnahmen (TOM), insbesondere
Verschlüsselung,Anonymisierung oder Pseudonymisierung von Daten
Durchführung von Datenschutz-Folgenabschätzungen (bei hohen Risiken für Daten der
Betroffenen)
Bereitstellung von Informationen ( z.B. Datenschutzerklärung auf Website)
ggf. Bestellung eines Datenschutzbeauftragten (in Dt. weiterhin „alte“ Regelungen)
„Privacy by design“
„Privacy by default“
42
43. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
„Privacy by design“ (Art. 25 Abs. 1 DSGVO):
Pflicht zur datenschutzfreundlichen Technikgestaltung
bei allen neuen Produkten zu berücksichtigen
schon im Zuge der Produktplanung
auch im Rahmen des Verarbeitungsvorgangs
nach Stand derTechnik
mit Blick u.a. auf die Kosten
43
44. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
„Privacy by default“ (Art. 25 Abs. 2 DSGVO):
Pflicht zur datenschutzfreundlichen Voreinstellung
Einstellungen müssen so voreingestellt werden, dass möglichst
wenig personenbezogene Daten erfasst werden
Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern
Beispiel: Verbot der sog. „pre-ticked boxes“, etwa beim E-Mail-
Marketing (gilt bereits)
44
45. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
Benennung eines Datenschutzbeauftragten (Art. 37-39 DSGVO):
Pflicht zur Benennung, bei
öffentlichen Stellen (Behörden, Ausnahme: Gerichte)
Kerntätigkeit = Durchführung vonVerarbeitungsvorgängen, die
umfangreiche regelmäßige & systematische Überwachung von
Betroffenen zum Gegenstand haben
Kerntätigkeit = umfangreicheVerarbeitung besonderer Kategorien von
Daten oder von Daten über strafrechtlicheVerurteilungen / Straftaten
45
46. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
Benennung eines Datenschutzbeauftragten (§ 38 Abs. 1 BDSG-
neu):
Pflicht zur Benennung, bei
Unternehmen, bei denen mind. 10 Personen ständig mit der
automatisiertenVerarbeitung personenbezogener Daten befasst sind
(automatisiert = z.B. schon bei vorhandenem Firmen-Mail-Account)
bei Datenverarbeitungen, für die eine Pflicht zur Datenschutz-
Folgenabschätzung besteht
geschäftsmäßigeVerarbeitung zum Zweck der Übermittlung von Daten
(z.B. Adresshandel)
Markt- / Meinungsforschung
46
47. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
Datenschutz-Folgenabschätzung (Art. 35 DSGVO):
(ehem.Vorabkontrolle)
verpflichtend bei Datenverarbeitungsvorgängen mit hohem
Risiko für Betroffene
insbesondere beiVerwendung von (für denVerantwortlichen)
neuenTechnologien
Hilfe durch Black- / White-Lists der Aufsichtsbehörden (noch
nicht veröffentlicht)
47
48. 5. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
„hohes Risiko“ insbesondere bei:
systematische & umfassende Bewertung persönlicher Aspekte
von Personen auf Basis automatisierter Verarbeitung (z.B.
Profiling) mit Rechtswirkung ggü. Betroffenen
umfangreicheVerarbeitung besonderer Kategorien von
personenbezogenen Daten oder von Daten über strafrechtliche
Verurteilungen / Straftaten
systematische umfangreiche Überwachung öffentlich
zugänglicher Bereiche 48
49. Inhalt / Übersicht
1. Einführung / Überblick
2.Begriffe
3. Prinzipien
4.Rechte der Betroffenen
5.Pflichten von Unternehmen
6.Verstöße & Sanktionen
49
51. 6.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
leichte Ordnungswidrigkeiten (Art. 83 Abs. 4 DSGVO) u.a.:
Verstoß gegen Anonymisierungsgebot des Art. 11 DSGVO
Verstoß gegen Pflichten als verantwortliche Stelle
Verstoß gegen Pflichten als Auftragsverarbeiter
Verstoß gegen Zertifizierungsvorschriften
51
52. 6.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
schwere Ordnungswidrigkeiten (Art. 83 Abs. 5 DSGVO) u.a.:
Verstoß gegen Grundsätze der Datenverarbeitung
Verstoß gegen Rechtmäßigkeitsgebot
Verarbeitung ohne Einwilligung trotz entsprechender Pflicht
unzulässigeVerarbeitung besonderer Kategorien
personenbezogener Daten
Verstoß gegen Betroffenenrechte
52
53. 6.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
Ordnungswidrigkeiten
leichteVerstöße: Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten
(Konzern-) Jahresumsatzes*
schwereVerstöße: Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten
(Konzern-) Jahresumsatzes*
(* je nachdem, welcher Betrag höher ist!)
Straftaten? (nationaleVorschriften)
53
54. 6.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
Straftaten gem. BDSG-neu u.a.
unberechtigte, gewerbsmäßige Übermittlung nicht allg. zugänglicher
personenbezogener Daten einer großen Anzahl von Personen (§ 42
Abs. 1 BDSG-neu)
unberechtigte Verarbeitung nicht allg. zugänglicher personenbezogener
Daten gegen Entgelt (§ 42 Abs. 2 BDSG-neu)
mögliche Sanktionen: Freiheitsstrafe bis zu 2 bzw. 3 Jahre oder
Geldstrafe (§ 42 Abs. 1, 2 BDSG-neu) 54
55. 6.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
kostenpflichtige Abmahnungen:
durch Mitbewerber (UWG) wegen unlauterenVerhaltens (z.B.
Spam-Versand)
durchVerbraucherschutz-Institutionen (UKlaG) wegen Verstoß
gegenVerbraucherschutzgesetz (z.B. fehlerhafte oder
unterlassene DSGVO-Informationspflichten)
55