2. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
3. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
4. 1. Einführung / Überblick
Grundlagen DSGVO
Compliance
Privacy by
design
Privacy by
default
Accountability
Recht auf
Vergessenwerden
One-Stop-
Shop
sicherheits-
basierter
Ansatz
DSGVO
GDPR
5. 1. Einführung / Überblick
Grundlagen DSGVO
bislang war Datenschutzrecht nationale Angelegenheit
jeder EU-Staat mit eigenem Datenschutzrecht
basierend u.a. auf der EU-Datenschutz-Richtlinie oder auch der
sog. Cookie-Richtlinie
Wunsch nach Harmonisierung des Datenschutzrechts auf EU-
Ebene
6. 1. Einführung / Überblick
Grundlagen DSGVO
Folge: EU-Datenschutzgrundverordnung (DSGVO)
(engl.: General Data Protection Regulation, GDPR)
zusätzl.: E-Privacy-Verordnung für E-Commerce-Sektor
ergänzend in Dt.: Datenschutz-Anpassungs- und –
Umsetzungsgesetz EU (DSAnpUG-EU), kurz: BDSG-neu
außerdem: dt. IT-Sicherheitsgesetz (seit dem 25.05.2015!)
7. 1. Einführung / Überblick
Grundlagen DSGVO
weitere Datenschutzregelungen:
IT-Sicherheitsgesetz (seit dem 25.05.2015)
BSI-Gesetz
BSI-Kritis-Verordnung (BSI-KritisV)
BKA-Gesetz, MAD-Gesetz, BND-Gesetz
eIDAS-Verordnung
Gesetz zur Förderung des elektronischen Identitätsnachweises
zukünftig: z.B. Richtlinie über bestimmte vertragliche Aspekte der
Bereitstellung digitaler Inhalte
branchenspezifische, spezialgesetzliche Regelungen, u.a.
Transplantationsgesetz (TPG)
etc. etc. etc.
8. 1. Einführung / Überblick
Grundlagen DSGVO
einschlägig bei Auftragsdatenverarbeitung (Outsourcing):
u.a. für Cloud-Dienste mit Servern außerhalb EU / EWR
Zertifikat gem. EU-US-Privacy-Shield (ehem. Safe-Harbor-
Regelung)
EU-Standardvertragsklauseln
Binding Corporate Rules (BCR)
10. 1. Einführung / Überblick
Grundlagen DSGVO
DSGVO & E-Privacy-VO ab 25. Mai 2018 verbindlich
für alle Unternehmen, die personenbezogene Daten verarbeiten
(von Mitarbeitern, Kunden, Dienstleistern…)
die in der EU sitzen
Verträge mitVerbrauchern in der EU abschließen
11. 1. Einführung / Überblick
Grundlagen DSGVO
DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel
plus 173 Erwägungsgründe
je nach Auslegung 60-80 Öffnungsklauseln
(Gestaltungsspielraum für nationale Gesetzgeber, z.B. für
spezielle Erlaubnistatbestände,Verarbeitung von
Beschäftigtendaten oderVorgaben für Auftragsverarbeiter)
12. 1. Einführung / Überblick
Grundlagen DSGVO
Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten
Ansatz“
(Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei
der konkretenVerarbeitung?)
Accountability-Prinzip, d.h. Unternehmen müssen nachweisen
können, dass sie datenschutzkonform arbeiten
umfangreiche Dokumentationspflichten
usw.
13. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
14. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
„personenbezogenen Daten“ als zentraler Begriff des
Datenschutzrechts
gem. DSGVO sehr weitreichend
nur reine Unternehmensdaten nicht erfasst (z.B. Bilanzen,
Konstruktionspläne o.ä.)
15. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
personenbezogene Daten:
alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen (der sog.
„Betroffene“).
2 Definitionen: „personenbezogene Daten“ & „Betroffener“
16. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt
anhand von bestimmten Merkmalen identifiziert werden kann, die
Ausdruck der
physischen,
physiologischen,
genetischen,
psychischen,
wirtschaftlichen,
kulturellen oder
sozialen
Identität dieser Person sind
17. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
Dabei geht es insbesondere um die Möglichkeit der Zuordnung
zu einer Kennung, wie
einem Namen,
einer Kennnummer,
Standortdaten,
einer Online-Kennung oder
einem sonstigen besonderen Merkmal
18. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
3 versch. Auffassungen
absolut (wenn irgendwer Betroffenen identifizieren kann)
relativ (wenn verantwortliche Stelle Betroffenen mit vernünftigerweise
bereitstehenden Mitteln identifizieren kann)
vermittelnd (wenn Identifizierung auch durch Dritte möglich, aber nicht
von jedem und nicht mit allen Mitteln)
in DSGVO wohl die vermittelnde Ansicht maßgeblich
20. 2. Personenbezogene Daten
zentraler Begriff des Datenschutzrechts
besondere Kategorien personenbezogener Daten:
rassische und ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
genetische Daten
biometrischen Daten
Gesundheitsdaten
Daten zum Sexualleben bzw. sexuellen Orientierung
21. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
22. 3. Datenverarbeitung
zentralerVorgang im Datenschutzrecht
Verarbeitung von Daten:
jeder mit oder ohne Hilfe automatisierterVerfahren
ausgeführten Vorgang im Zusammenhang mit
personenbezogenen Daten
sehr weitgehender Begriff, egal ob es sich um normale oder
besondere personenbezogene Daten handelt
24. 3. Datenverarbeitung
zentralerVorgang im Datenschutzrecht
Beispiele (II.):
Verwenden
Abgleichen
Verknüpfen
Einschränken
Löschen
Vernichten
Offenlegen durch Übermittlung,Verbreitung oder andere Form
der Bereitstellung
25. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
26. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Verbot mit Erlaubnisvorbehalt:
JedeVerarbeitung personenbezogener Daten ist grdsl.
unzulässig, sofern keine Ausnahme vorliegt.
Ausnahmen:
Einwilligung des Betroffenen
gesetzlicher Ausnahmetatbestand
Interessenabwägung
27. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Zweckbindung:
Personenbezogene Daten müssen für festgelegte, eindeutige
und legitime Zwecke erhoben werden und dürfen nicht in einer
mit diesen Zwecken nicht zu vereinbarendenWeise
weiterverarbeitet werden.
Ausnahmen bestehen für die Weiterverarbeitung für
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche oder historische Forschungszwecke
statistische Zwecke
28. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Rechtmäßigkeit:
Transparenz-Grundsatz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach
Treu und Glauben und in einer für die betroffene Person
nachvollziehbaren Weise verarbeitet werden.
29. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Datenminimierung:
Personenbezogene Daten müssen dem Zweck angemessen
sowie auf das für den Zweck derVerarbeitung notwendige Maß
beschränkt sein.
30. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Richtigkeit:
Personenbezogene Daten müssen sachlich richtig und auf dem
neuesten Stand sein.
Es sind alle angemessenen Maßnahmen zu treffen, damit
personenbezogene Daten, die im Hinblick auf den Zweck ihrer
Verarbeitung unrichtig sind, unverzüglich gelöscht oder
berichtigt werden.
31. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Speicherbegrenzung:
Personenbezogene Daten müssen in einer Form gespeichert
werden, die die Identifizierung der betroffenen Personen nur so
lange ermöglicht, wie es für den Zweck derVerarbeitung
erforderlich ist.
ausnahmsweise längere Speicherung mittels geeigneter
technischer und organisatorischer Maßnahmen ausschließlich
für
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche und historische Forschungszwecke
statistische Zwecke
32. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Integrität bzw. derVertraulichkeit:
Personenbezogene Daten müssen in einerWeise verarbeitet
werden, die eine angemessene Sicherheit gewährleistet.
mittels geeigneter technischer und organisatorischer
Maßnahmen Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtemVerlust, Zerstörung oder
Schädigung
33. 4. Prinzipien
zentrale Grundsätze im Datenschutzrecht
Grundsatz der Datensicherheit:
Ziele: Vertraulichkeit, Integrität &Verfügbarkeit der Daten
Es müssen geeignete technische und organisatorische
Maßnahmen ergriffen werden, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten.
unter Berücksichtigung
des Stands derTechnik,
der Kosten sowie
der Art, des Umfangs, der Umstände und der Zwecke derVerarbeitung
34. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
35. 5. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
Rechte betroffener Personen:
Auskunft
Widerspruch
Widerruf einer erteilten Einwilligung
Berichtigung
Einschränkung derVerarbeitung
Mitteilung (z.B. bei Berichtigung oder Löschung von Daten)
Recht auf Datenübertragbarkeit (Datenportabilität)
Sperrung
Löschung (Recht aufVergessenwerden)
36. 5. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
neu: Recht aufVergessenwerden (z.B. Möglichkeit, ggü. Google
Löschung eines Links zu beantragen)
ebenfalls neu: Datenportabilität (z.B. Möglichkeit, seine Daten
von einem sozialen Netzwerk zu einem anderen
„mitzunehmen“)
37. 5. Rechte der Betroffenen
zentrale Rechtspositionen im Datenschutzrecht
Auskunftsrecht umfasst:
Zwecke der Datenverarbeitung
erfasste Daten-Kategorien
Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt
worden sind oder noch offengelegt werden
geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer
Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf
Einschränkung derVerarbeitung
Bestehen des Widerspruchsrechts gegen dieVerarbeitung
Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei
dem Betroffenen selbst erhoben werden
ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
38. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
39. 6. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
zentrale Pflichten der verantwortlichen Stelle:
Durchführung von Audits
Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit
Implementierung von Prozessen zur Sicherstellung der Compliance
Dokumentation von Datenverarbeitungsvorgängen
Risikoanalyse über Folgen der Datenverarbeitung
geeignete technische und organisatorische Maßnahmen (TOM)
Durchführung von Datenschutz-Folgenabschätzungen
Bereitstellung von Informationen ( z.B. Datenschutzerklärung aufWebsite)
ggf. Bestellung eines Datenschutzbeauftragten
„Privacy by design“
„Privacy by default“
40. 6. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
„Privacy by design“:
Pflicht zur datenschutzfreundlichen Technikgestaltung
bei allen neuen Produkten zu berücksichtigen
schon im Zuge der Produktplanung
auch im Rahmen des Verarbeitungsvorgangs
nach Stand derTechnik
mit Blick u.a. auf die Kosten
41. 6. Pflichten von Unternehmen
zentrale Pflichten im Datenschutzrecht
„Privacy by default“:
Pflicht zur datenschutzfreundlichen Voreinstellung
Einstellungen müssen so voreingestellt werden, dass möglichst
wenig personenbezogene Daten erfasst werden
Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern
Beispiel: Verbot der sog. „pre-ticked boxes“, etwa beim E-Mail-
Marketing (gilt bereits)
42. Inhalt / Übersicht
1. Einführung / Überblick
2.Personenbezogene Daten
3. Datenverarbeitung
4.Prinzipien
5.Rechte der Betroffenen
6.Pflichten von Unternehmen
7. Verstöße & Sanktionen
44. 7.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
leichte Ordnungswidrigkeiten (Art. 83 Abs. 4 DSGVO) u.a.:
Verstoß gegen Anonymisierungsgebot des Art. 11 DSGVO
Verstoß gegen Pflichten als verantwortliche Stelle
Verstoß gegen Pflichten als Auftragsverarbeiter
Verstoß gegen Zertifizierungsvorschriften
45. 7.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
schwere Ordnungswidrigkeiten (Art. 83 Abs. 5 DSGVO) u.a.:
Verstoß gegen Grundsätze der Datenverarbeitung
Verstoß gegen Rechtmäßigkeitsgebot
Verarbeitung ohne Einwilligung trotz entsprechender Pflicht
unzulässigeVerarbeitung besonderer Kategorien
personenbezogener Daten
Verstoß gegen Betroffenenrechte
46. 7.Verstöße & Sanktionen
drohende Strafen im Datenschutzrecht
Ordnungswidrigkeiten
leichteVerstöße: Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten
Jahresumsatzes
schwereVerstöße: Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten
Jahresumsatzes
Straftaten? (nationaleVorschriften)