2. 2
Unser Thema im Überblick:
1) ”Strategie für einen digitalen Binnenmarkt”
(DBM-Strategie der EU-Kommission)
2) Datenschutz-Grundverordnung
3) Sonderfall: Einwilligung
4) Für Webworker wichtige Einzelfragen
DSGVO – eine erste Einführung für Webworker
DSGVO – eine erste Einführung WebJustiz.de
3. 3
⓵
”Strategie für einen digitalen
Binnenmarkt”
…hohe Ambitionen,
aber die Umsetzung…
“Strategie für einen digitalen Binnenmarkt”
DSGVO – eine erste Einführung WebJustiz.de
4. 4
➢ Strategie der EU-Kommission aus dem Mai 2015
➢ Ziele der DBM-Strategie:
➢ Besserer Online-Zugang für Verbraucher und Unternehmen zu Waren und Dienstleistungen in ganz Europa
➢ Regeln für den grenzüberschreitenden elektronischen Handel, denen Verbraucher und Unternehmen vertrauen können
➢ Verhinderung von ungerechtfertigtem Geoblocking
➢ Besserer Zugang zu digitalen Inhalten
➢ Reduzierung des Mehrwertsteuer-bedingten Verwaltungsaufwands und Abbau der Hindernisse bei Auslandsgeschäften
➢ Schaffung der richtigen Bedingungen für florierende digitale Netze und Dienste
➢ Bedarfsgerechte Telekommunikationsvorschriften
➢ “Mediengesetzgebung für das 21. Jahrhundert”
➢ Bedarfsgerechtes Regulierungsumfeld für Online-Plattformen und Mittler
➢ Bekämpfung illegaler Inhalte im Internet
➢ Stärkung des Vertrauens und der Sicherheit bei digitalen Diensten und beim Umgang mit personenbezogenen Daten
➢ Bestmögliche Ausschöpfung des Wachstumspotenzials der digitalen Wirtschaft
➢ Aufbau einer Datenwirtschaft (“Big-Data-Sektor”)
➢ Steigerung der Wettbewerbsfähigkeit durch Interoperabilität und Normung
➢ Inklusive digitale Gesellschaft
➢ Elektronische Behördendienste (“e-Goverment”)
➢ Schaffung des digitalen Binnenmarktes
(“Bestmögliche Ausschöpfung des Wachstumspotenzials der europäischen digitalen Wirtschaft”)
➢ Schaffung eines günstigen Investitionsklimas im digitalen Binnenmarkt
➢ Effektive Steuerung des digitalen Binnenmarktes
“Strategie für einen digitalen Binnenmarkt”
DSGVO – eine erste Einführung WebJustiz.de
5. 5
➢ Ersatz der bisherigen Richtlinien durch neue EU-Verordnungen.
➢ Bisher: Richtlinen
→ geben einen Rahmen vor, der von den Mitgliedstaaten umgesetzt werden muss
➢ Geplant: Verordnungen
→ gelten in den allen EU-Mitgliedstaaten unmittelbar
→ die EU-Mitgliedstaaten können allenfalls noch aufgrund punktueller Öffnungsklauseln
zu einzelnen, genau definierten Themen eigene (Ausführungs-)Vorschriften erlassen.
➢ Datenschutz-Grundverordnung
➢ ersetzt die EU-Datenschutzrichtlinie 95/46/EG
➢ erlassen 2016, anwendbar ab 25. Mai 2018)
➢ “Delegierte Verordnung” (Durchführungs-VO) steht noch aus.
➢ EPrivacy-Verordnung
➢ ersetzt die e-Datenschutz-Richtlinie 2002/58/EG (ePrivacy-Richtlinie, Cookie-Richtlinie)
➢ im Gesetzgebungsverfahren…
➢ geplantes Inkrafttreten zusammen mit der DSGVO
➢ Spezielle Regelungen
➢ für den Bereich der Justiz und der Polizei und Sicherheitsbehörden
➢ für die Organe, Einrichtungen und sonstige Stellen der EU
Datenschutz im Rahmen der DBM-Strategie
DSGVO – eine erste Einführung WebJustiz.de
6. 6
Gesetzliche Grundlagen - bisher
DSGVO – eine erste Einführung
EU Deutschland
Verfassung Grundrechte
●
auf informationelle Selbstbestimmung
●
auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
e-Datenschutz-Richtlinie
2002/58/EG
...
Bundesdatenschutzgesetz
Telemediengesetz
...
EU-Recht gibt nur einen
Handlungsrahmen vor, der
von den einzelnen
Mitgliedsstaaten umgesetzt
werden muss.
Maßgebend ist die jeweilige nationale
Bestimmung
→ BDSG, TMG
WebJustiz.de
7. 7
Gesetzliche Grundlagen – ab 25. Mai 2018
DSGVO – eine erste Einführung
EU Deutschland
Verfassung ● Art. 8 Abs. 1
GrundrechteCharta
● Art. 16 Abs. 1 AEUV
Ab 25. Mai 2018 ● Datenschutz-
Grundverordnung
● EPrivacy-VO
(kommt noch)
● Delegierte DS-VO
(kommt noch)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU (DSAnUG-EU)
→ Neufassung des BDSG
Die EU-Verordnungen
gelten unmittelbar in der
gesamten EU
Punktuelle Öffnungsklauseln für die
nationalen Gesetzgeber
WebJustiz.de
9. 9
Verordnung 2016/679 des Europäischen Parlaments und
des Rates zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
➢ Verkündet: 4. Mai 2016
➢ Inkrafttreten: 24. Mai 2016
➢ Anzuwenden ab: 25. Mai 2018
➢ Geltungsbereich: Gesamte EU
EU-Datenschutz–Grundverordnung
DSGVO – eine erste Einführung WebJustiz.de
10. 10
➢ Schutz des Einzelnen
➢ Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
➢ insb. Schutz personenbezogener Daten
➢ unabhängig von seinem Aufenthaltsort.
➢ Förderung der Wirtschaft
➢ Gewährleistung des freien Verkehrs personenbezogener Daten
zwischen den Mitgliedsstaaten
➢ Gewährleistung des Binnenmarktes
➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften
EU-DSGVO - Ziele
DSGVO – eine erste Einführung WebJustiz.de
11. 11
➢ Rechtmäßigkeit
➢ Verarbeitung personenbezogener Daten auf rechtmäßige Weise
➢ Treu und Glauben
➢ Transparenz
➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise
➢ Integrität und Vertraulichkeit
➢ Gewährleistung angemessener Sicherheit personenbezogener Daten
➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
➢ Schutz vor unbeabsichtigtem Verlust
➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung
➢ Durch geeignete technische und organisatorische
Maßnahmen
Grundsätze - Datenverarbeitung
DSGVO – eine erste Einführung WebJustiz.de
12. 12
➢
Grundsatz der Speicherbegrenzung
➢
Identifizierung der Person darf nur solange möglich sein, wie für den
Verarbeitungszweck erforderlich;
➢
Längere Speicherung ist nur zulässig für
➢
im öffentlichen Interesse liegende Archivzwecke,
➢
wissenschaftliche oder historische Forschungszwecke,
➢
statistische Zwecke.
➢
Ggfs. ist eine Pseudonymisierung erforderlich.
Grundsätze - Datenspeicherung
DSGVO – eine erste Einführung WebJustiz.de
13. 13
➢
Der für die Datenerhebung und Datenverarbeitung
Verantwortliche
➢
ist für die Einhaltung dieser Grundsätze verantwortlich,
➢
muss deren Einhaltung nachweisen können.
Grundsätze – Rechenschaftspflicht
DSGVO – eine erste Einführung WebJustiz.de
14. 14
➢
Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen;
➢
Identifizierbar = natürliche Person angesehen, die
➢
direkt oder indirekt identifiziert werden kann,
➢
insbesondere mittels Zuordnung zu einer Kennung wie
➢
Namen,
➢
Kennnummer,
➢
Standortdaten, Online-Kennung oder
➢
einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität dieser natürlichen Person sind.
Begrifflichkeiten – Personenbezogene Daten
DSGVO – eine erste Einführung WebJustiz.de
15. 15
➢
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder
➢
jede solche Vorgangsreihe
➢
im Zusammenhang mit personenbezogenen Daten
➢
Beispiele:
➢
Erheben oderErfassen,
➢
Organisation oder Ordnen,
➢
Speicherung, Anpassung oder Veränderung,
➢
Auslesen, Abfragen, oder Verwendung,
➢
Offenlegung durch Übermittlung, Verbreitung oder
andere Form der Bereitstellung,
➢
Abgleich oder Verknüpfung,
➢
Einschränkung, Löschen oder Vernichtung.
Begrifflichkeiten – Verarbeitung
DSGVO – eine erste Einführung WebJustiz.de
16. 16
➢
Automatisierte Verarbeitung personenbezogener Daten,
➢
Verwendung dieser personenbezogenen Daten um
➢
bestimmte Aspekte einer natürlichen Person
➢
zu bewerten,
➢
insbesondere um Aspekte vorherzusagen
➢
bezüglich Arbeitsleistung,
➢
wirtschaftliche Lage,
➢
Gesundheit,
➢
persönliche Vorlieben,
➢
Interessen,
➢
Zuverlässigkeit oderVerhalten,
➢
Aufenthaltsort oder Ortswechsel
Begrifflichkeiten – Profiling
DSGVO – eine erste Einführung WebJustiz.de
17. 17
➢ Verarbeitung personenbezogener Daten in einer Weise, dass
die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können,
➢ sofern diese zusätzlichen Informationen gesondert aufbewahrt werden
und
➢ technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen
werden;
Begrifflichkeiten – Pseudonymisierung
DSGVO – eine erste Einführung WebJustiz.de
18. 18
➢ jede strukturierte Sammlung
➢ personenbezogener Daten, die
➢ die nach bestimmten Kriterien zugänglich sind,
➢ unabhängig davon, ob diese Sammlung zentral, dezentral oder nach
funktionalen oder geografischen Gesichtspunkten geordnet geführt
wird.
Begrifflichkeiten – Dateisystem
DSGVO – eine erste Einführung WebJustiz.de
19. 19
➢ Die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ allein oder gemeinsam mit anderen
➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet;
➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel
der Verarbeitung gesetzlich vorgegeben sind.
Begrifflichkeiten – Verantwortlicher
DSGVO – eine erste Einführung WebJustiz.de
20. 20
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ personenbezogene Daten
➢ im Auftrag des Verantwortlichen verarbeitet
Begrifflichkeiten – Auftragsverarbeiter
DSGVO – eine erste Einführung WebJustiz.de
21. 21
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle,
➢ der personenbezogene Daten offengelegt werden,
➢ unabhängig davon, ob es sich um einen Dritten handelt oder
nicht.
➢ Kein Empfänger sind Behörden,
➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten.
Begrifflichkeiten – Empfänger
DSGVO – eine erste Einführung WebJustiz.de
22. 22
➢ Jede natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle,
➢ außer
➢ der betroffenen Person,
➢ dem Verantwortlichen,
➢ dem Auftragsverarbeiter und
➢ den Personen, die unter der unmittelbaren Verantwortung des
Verantwortlichen oder des Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten.
Begrifflichkeiten – Dritter
DSGVO – eine erste Einführung WebJustiz.de
23. 23
➢ Jede
➢ freiwillig für den bestimmten Fall,
➢ in informierter Weise und
➢ unmissverständlich abgegebene
➢ Willensbekundung
➢ in Form einer Erklärung oder
➢ einer sonstigen eindeutigen bestätigenden Handlung,
➢ mit der die betroffene Person zu verstehen gibt,
➢ dass sie mit der Verarbeitung der sie betreffenden
personenbezogenen Daten einverstanden ist.
Begrifflichkeiten – Einwilligung
DSGVO – eine erste Einführung WebJustiz.de
24. 24
➢ Verletzung der Sicherheit, die,
➢ ob unbeabsichtigt oder unrechtmäßig,
➢ zur Vernichtung, zum Verlust, zur Veränderung,
➢ zur unbefugten Offenlegung von bzw.
➢ zum unbefugten Zugang zu personenbezogenen Daten
➢ führt, die
➢ übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Begrifflichkeiten – Verletzung des Schutzes
personenbezogener Daten
DSGVO – eine erste Einführung WebJustiz.de
25. 25
➢ Gesamte EU
➢ Marktortprinzip:
➢ EU-DSGV gilt auch für Unternehmen
➢ mit Sitz außerhalb der EU
➢ die sich an EU-Bürger wenden
➢ Öffnungsklauseln für nationale Gesetzgeber
➢ Art. 48 → Aufsichtsbehörden
➢ Art. 90 → Auskunftpflichten gegenüber
Aufsichtsbehörden
➢ …
EU-DSGVO – Örtlicher Geltungsbereich
DSGVO – eine erste Einführung WebJustiz.de
26. 26
➢ Die EU-DSGVO gilt für die
➢ für die ganz oder teilweise automatisierte Verarbeitung personenbezogener
Daten sowie
➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten, die
➢ in einem Dateisystem gespeichert sind oder
➢ gespeichert werden sollen.
➢ Ausnahmen:
➢ privater Schriftverkehr
➢ privates Anschriftenverzeichnis
➢ private Nutzung sozialer Netze
➢ private Online-Tätigkeit
EU-DSGVO – Sachlicher Anwendungsbereich
DSGVO – eine erste Einführung WebJustiz.de
27. 27
➢ Ergänzung zur EU-DSGVO
➢ Bei Widersprüchen hat EU-DSGVO Vorrang
➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich umfangreicher als das
bisherige, alles regelnde BDSG
➢ Enthält ergänzende Regelungen zu
➢ sensitiven Daten
➢ Beschäftigtendatenschutz
➢ Datenverarbeitung bei Verbraucherkrediten
➢ Scoring- und Bonitätsauskünften
➢ Informationspflichten
➢ Löschpflichten
➢ Profiling
DSAnUG-EU – Das “neue” BDSG
DSGVO – eine erste Einführung WebJustiz.de
29. 29
Datenverarbeitung ist erlaubt bei
➢ Einwilligung
➢ Vertragserfüllung
➢ Erfüllung gesetzlicher Pflichten
➢ z.B. Aufbewahrungspflichten
➢ Schutz lebenswichtiger Interessen von Menschen
➢ z.B. in der Medizin
➢ berechtigten Interessen
➢ Marketing und Direktwerbung
➢ IT-Sicherheit
➢ Compliance
➢ Beschäftigtenkontrolle
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
DSGVO – eine erste Einführung WebJustiz.de
30. 30
➢ Ist eine Einwilligung erforderlich?
➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢ Ist die betroffene Person einwilligungsfähig?
➢ Ab 16 Jahre.
➢ Wurde die Einwilligung freiwillig abgegeben?
➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢ Kein Verstoß gegen das Koppelungsverbot?
➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢ Sind die notwendigen Belehrung erfolgt?
➢ Belehrung über das Widerrufsrecht
➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung
➢ Ist die Einwilligungserklärung unmissverständlich?
➢ Schlüssige Erkklärung
➢ Opt-In → Opt-Out ist nicht ausreichend!
➢ Ist die Einwilligung nachweisbar?
➢ Schriftform oder
➢ elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
DSGVO – eine erste Einführung WebJustiz.de
32. 32
⓸
Für Webworker wichtige Einzelfragen der DSGVO:
I. Verfahrensverzeichnis
II. Einwilligung
III. Datenübermittlung
IV. Datentransfer in Drittstaaten
V. Auftragsverarbeitung
VI. Wartungsarbeiten durch Dienstleister
DSGVO – Für Webworker wichtige Einzelfragen
DSGVO – eine erste Einführung WebJustiz.de
34. 34
➢ Öffentliches Verfahrensverzeichnis
➢ entfällt mit der EU-DSGVO
➢ Internes Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten)
➢ muss geführt werden:
➢ von jedem Verantwortlichen
➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.
➢ schriftlich oder elektronisches Format
➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde
➢ Ausnahmen:
➢ Unternehmen mit weniger als 250 Mitarbeiter,
➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen,
➢ die Verarbeitung nicht nur gelegentlich erfolgt oder
➢ nicht die Verarbeitung besonderer Datenkategorien einschließt.
EU-DSGVO - Verfahrensverzeichnis
DSGVO – eine erste Einführung WebJustiz.de
35. 35
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Verantwortlichen und ggfs. seines Vertreters,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Zwecke der Verarbeitung
➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten
➢ Kategorien von Empfängern,
➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden
➢ einschließlich Empfäger in Drittländern
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien
(wenn möglich)
➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen
➢
Verfahrensverzeichnis - Inhalt
DSGVO – eine erste Einführung WebJustiz.de
36. 36
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Auftragsverarbeiters
➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden;
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Allg. Beschreibung der technischen und
organisatorischen Maßnahmen
Verfahrensverzeichnis – für Auftragsverarbeiter
DSGVO – eine erste Einführung WebJustiz.de
38. 38
Datenverarbeitung ist erlaubt bei
➢ Einwilligung
➢ Vertragserfüllung
➢ Erfüllung gesetzlicher Pflichten
➢ z.B. Aufbewahrungspflichten
➢ Schutz lebenswichtiger Interessen von Menschen
➢ z.B. in der Medizin
➢ berechtigten Interessen
➢ Marketing und Direktwerbung
➢ IT-Sicherheit
➢ Compliance
➢ Beschäftigtenkontrolle
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
DSGVO – eine erste Einführung WebJustiz.de
39. 39
➢ Ist eine Einwilligung erforderlich?
➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢ Ist die betroffene Person einwilligungsfähig?
➢ Ab 16 Jahre.
➢ Wurde die Einwilligung freiwillig abgegeben?
➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢ Kein Verstoß gegen das Koppelungsverbot?
➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢ Sind die notwendigen Belehrung erfolgt?
➢ Belehrung über das Widerrufsrecht
➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung
➢ Ist die Einwilligungserklärung unmissverständlich?
➢ Schlüssige Erkklärung
➢ Opt-In → Opt-Out ist nicht ausreichend!
➢ Ist die Einwilligung nachweisbar?
➢ Schriftform oder
➢ elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
DSGVO – eine erste Einführung WebJustiz.de
42. 42
➢
Liegt Datenübermittlung vor?
➢
Möglichkeit der Kenntnisnahme personenbezogener Daten durch
Dritte
➢
Zulässigkeit der Datenübermittlung:
➢
Einwilligung der Betroffenen?
➢
nach umfassender Information
➢
Zur Vertragserfüllung erforderlich?
➢
Auftragsdatenverarbeitung
➢
Datenübermittlung außerhalb EU / EWR
➢
zusätzliche Anforderungen
EU-DSGVO - Datenübermittlung
DSGVO – eine erste Einführung WebJustiz.de
44. 44
➢
Einheitliches Datenschutzniveau innerhalb von EU/EWR
➢
Datentransfer in Staaten außerhalb von EU/EWR
➢
Drittstaaten mit angemessenem Datenschutzniveau
➢
erfordert einen entsprechenden Beschluss der EU-Kommission
➢
Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay
➢
eingeschränkt: Kanada, Israel
➢
Übrige Drittstaaten:
➢
Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel)
➢
EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden)
➢
Einwilligung des Betroffenen (nach umfassender Information)
➢
Sonderfall: Datentransfer in die USA
➢
zusätzlich: EU-US Privacy Shield
Datentransfer in Drittstaaten
DSGVO – eine erste Einführung WebJustiz.de
45. 45
➢
Soll einen Datenaustausch mit US-Firmen ermöglichen
➢
“quasi wie unter EU-Unternehmen”
➢
Ersatz für “Safe Harbour”
➢
EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”)
➢
Nur für Datenübermittlung an bestimmte US-Firmen:
➢
Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt.
➢
Selbstverpflichtung / Selbstzertifizierung
➢
Keine intensive Kontrolle durch US-Administratition oder EU
➢
Teilnehmende Firmen: www.privacyshield.gov
EU-US Privacy Shield
DSGVO – eine erste Einführung WebJustiz.de
46. 46
➢
Probleme des EU-US Privacy-Shield:
➢
kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU
➢
Fortbestand der US-Zusagen derzeit zumindest zweifelhaft
➢
Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft
➢
Überprüfungsfrist für EU-Kommission endete Juli 2017
➢
EU-Parlament fordert Nachbesserung / Beendigung
➢
EU-Justizkommissarin droht mit Beendigung, wenn
keine signifikante Änderungen erfolgen
➢
EU-Kommission sieht “keine Probleme”.
EU-US Privacy Shield - Probleme
DSGVO – eine erste Einführung WebJustiz.de
48. 48
➢
Auftragsverarbeitung =
➢
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢
durch einen Auftragsverarbeiter (Auftragnehmer)
➢
Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢
Aufgrund eines Vertrages
➢
schriftlich oder in elektronischer Form
Auftragsverarbeitung - Grundlagen
DSGVO – eine erste Einführung WebJustiz.de
50. 50
➢
Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢
Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢
Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢
Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢
Umfang der Weisungsbefugnis
➢
Vertraulichkeitsverpflichtung
➢
Kontrollrechte
➢
Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen
DSGVO – eine erste Einführung WebJustiz.de
51. 51
➢
Verzeichnis der Verarbeitungstätigkeiten
➢
Bisher: muss nur durch Auftraggeber geführt werden
➢
Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢
Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis
DSGVO – eine erste Einführung WebJustiz.de
52. 52
➢
Grundsatz:
➢
Bisher: Auftraggeber haftet für Datenschutzverstöße
➢
Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide
➢
Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢
Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢
Auftragsverarbeiter zum Verantwortlichen
Auftragsdatenverarbeitung - Haftung
DSGVO – eine erste Einführung WebJustiz.de
54. 54
➢
Wartungsarbeiten = Auftragsdatenverarbeitung
➢
auch bei
➢
Prüfung/Wartung mittels automatisierter Verfahren
➢
nur gelegentlicher Fernwartung
➢
Wartung vor Ort
➢
Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢
“Geheimhaltungsvereinbarung”
➢
ist kein Vertrag zur Auftragsdatenvereinbarung!
➢
Rechtslage unter der EU-DSGVO ist noch unklar:
➢
wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢
Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister
DSGVO – eine erste Einführung WebJustiz.de
56. 56
Noch Fragen?
DSGVO – eine erste Einführung
➢ Zum Nachlesen:
WebmastersLaw.de
Wissensschmiede.online
(ab 15. März)
➢ EU-Portal zum Datenschutz:
▶http://ec.europa.eu/justice/data-protection/reform/index_en.htm
WebJustiz.de