1. Datenschutz in Zeiten der EU-DSGVO
WebJustiz.de
www.praetor.im
Ein erster Überblick für Webworker…
18./19. November 2017
2. 2
Gesetzliche Grundlagen - bisher
Datenschutz in Zeiten der EU-DSGVO
EU Deutschland
Verfassung Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
EU-Recht gibt nur einen
Handlungsrahmen vor, der
von den einzelnen
Mitgliedsstaaten umgesetzt
werden muss.
Maßgebend ist die jeweilige nationale
Bestimmung
→ BDSG, TMG
WebJustiz.de
3. 3
Gesetzliche Grundlagen – ab 25. Mai 2018
Datenschutz in Zeiten der EU-DSGVO
EU Deutschland
Verfassung ● Art. 8 Abs. 1
GrundrechteCharta
● Art. 16 Abs. 1 AEUV
Ab 25. Mai 2018 ● Datenschutz-
Grundverordnung
● EPrivacy-VO
(kommt noch)
● Delegierte DS-VO
(kommt noch)
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU (DSAnUG-EU)
→ Neufassung des BDSG
Die EU-Verordnungen
gelten unmittelbar in der
gesamten EU
Punktuelle Öffnungsklauseln für die
nationalen Gesetzgeber
WebJustiz.de
4. 4
Verordnung 2016/679 des Europäischen Parlaments und
des Rates zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten, zum freien
Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
➢ Verkündet: 4. Mai 2016
➢ Inkrafttreten: 24. Mai 2016
➢ Anzuwenden ab: 25. Mai 2018
➢ Geltungsbereich: Gesamte EU
EU-Datenschutz–Grundverordnung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
5. 5
➢ Schutz des Einzelnen
➢ Schutz der Grundrechte und Grundfreiheiten natürlicher
Personen
➢ insb. Schutz personenbezogener Daten
➢ unabhängig von seinem Aufenthaltsort.
➢ Förderung der Wirtschaft
➢ Gewährleistung des freien Verkehrs personenbezogener Daten
zwischen den Mitgliedsstaaten
➢ Gewährleistung des Binnenmarktes
➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften
EU-DSGVO - Ziele
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
6. 6
➢ Rechtmäßigkeit
➢ Verarbeitung personenbezogener Daten auf rechtmäßige Weise
➢ Treu und Glauben
➢ Transparenz
➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise
➢ Integrität und Vertraulichkeit
➢ Gewährleistung angemessener Sicherheit personenbezogener Daten
➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung
➢ Schutz vor unbeabsichtigtem Verlust
➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung
➢ Durch geeignete technische und organisatorische
Maßnahmen
Grundsätze - Datenverarbeitung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
7. 7
➢ Grundsatz der Speicherbegrenzung
➢ Identifizierung der Person darf nur solange möglich sein, wie für den
Verarbeitungszweck erforderlich;
➢ Längere Speicherung ist nur zulässig für
➢ im öffentlichen Interesse liegende Archivzwecke,
➢ wissenschaftliche oder historische Forschungszwecke,
➢ statistische Zwecke.
➢ Ggfs. ist eine Pseudonymisierung erforderlich.
Grundsätze - Datenspeicherung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
8. 8
➢ Der für die Datenerhebung und Datenverarbeitung
Verantwortliche
➢ ist für die Einhaltung dieser Grundsätze verantwortlich,
➢ muss deren Einhaltung nachweisen können.
Grundsätze – Rechenschaftspflicht
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
9. 9
➢ Alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen;
➢ Identifizierbar = natürliche Person angesehen, die
➢ direkt oder indirekt identifiziert werden kann,
➢ insbesondere mittels Zuordnung zu einer Kennung wie
➢ Namen,
➢ Kennnummer,
➢ Standortdaten, Online-Kennung oder
➢ einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität dieser natürlichen Person sind.
Begrifflichkeiten – Personenbezogene Daten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
10. 10
➢ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder
➢ jede solche Vorgangsreihe
➢ im Zusammenhang mit personenbezogenen Daten
➢ Beispiele:
➢ Erheben oderErfassen,
➢ Organisation oder Ordnen,
➢ Speicherung, Anpassung oder Veränderung,
➢ Auslesen, Abfragen, oder Verwendung,
➢ Offenlegung durch Übermittlung, Verbreitung oder
andere Form der Bereitstellung,
➢ Abgleich oder Verknüpfung,
➢ Einschränkung, Löschen oder Vernichtung.
Begrifflichkeiten – Verarbeitung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
11. 11
➢ Automatisierte Verarbeitung personenbezogener Daten,
➢ Verwendung dieser personenbezogenen Daten um
➢ bestimmte Aspekte einer natürlichen Person
➢ zu bewerten,
➢ insbesondere um Aspekte vorherzusagen
➢ bezüglich Arbeitsleistung,
➢ wirtschaftliche Lage,
➢ Gesundheit,
➢ persönliche Vorlieben,
➢ Interessen,
➢ Zuverlässigkeit oderVerhalten,
➢ Aufenthaltsort oder Ortswechsel
Begrifflichkeiten – Profiling
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
12. 12
➢ Verarbeitung personenbezogener Daten in einer Weise, dass
die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können,
➢ sofern diese zusätzlichen Informationen gesondert aufbewahrt werden
und
➢ technischen und organisatorischen Maßnahmen unterliegen, die
gewährleisten, dass die personenbezogenen Daten nicht einer
identifizierten oder identifizierbaren natürlichen Person zugewiesen
werden;
Begrifflichkeiten – Pseudonymisierung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
13. 13
➢ jede strukturierte Sammlung
➢ personenbezogener Daten, die
➢ die nach bestimmten Kriterien zugänglich sind,
➢ unabhängig davon, ob diese Sammlung zentral, dezentral oder nach
funktionalen oder geografischen Gesichtspunkten geordnet geführt
wird.
Begrifflichkeiten – Dateisystem
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
14. 14
➢ Die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ allein oder gemeinsam mit anderen
➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen
Daten entscheidet;
➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel
der Verarbeitung gesetzlich vorgegeben sind.
Begrifflichkeiten – Verantwortlicher
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
15. 15
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die
➢ personenbezogene Daten
➢ im Auftrag des Verantwortlichen verarbeitet
Begrifflichkeiten – Auftragsverarbeiter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
16. 16
➢ eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle,
➢ der personenbezogene Daten offengelegt werden,
➢ unabhängig davon, ob es sich um einen Dritten handelt oder
nicht.
➢ Kein Empfänger sind Behörden,
➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise
personenbezogene Daten erhalten.
Begrifflichkeiten – Empfänger
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
17. 17
➢ Jede natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle,
➢ außer
➢ der betroffenen Person,
➢ dem Verantwortlichen,
➢ dem Auftragsverarbeiter und
➢ den Personen, die unter der unmittelbaren Verantwortung des
Verantwortlichen oder des Auftragsverarbeiters befugt sind, die
personenbezogenen Daten zu verarbeiten.
Begrifflichkeiten – Dritter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
18. 18
➢ Jede
➢ freiwillig für den bestimmten Fall,
➢ in informierter Weise und
➢ unmissverständlich abgegebene
➢ Willensbekundung
➢ in Form einer Erklärung oder
➢ einer sonstigen eindeutigen bestätigenden Handlung,
➢ mit der die betroffene Person zu verstehen gibt,
➢ dass sie mit der Verarbeitung der sie betreffenden
personenbezogenen Daten einverstanden ist.
Begrifflichkeiten – Einwilligung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
19. 19
➢ Verletzung der Sicherheit, die,
➢ ob unbeabsichtigt oder unrechtmäßig,
➢ zur Vernichtung, zum Verlust, zur Veränderung,
➢ zur unbefugten Offenlegung von bzw.
➢ zum unbefugten Zugang zu personenbezogenen Daten
➢ führt, die
➢ übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Begrifflichkeiten – Verletzung des Schutzes
personenbezogener Daten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
20. 20
➢ Gesamte EU
➢ Marktortprinzip:
➢ EU-DSGV gilt auch für Unternehmen
➢ mit Sitz außerhalb der EU
➢ die sich an EU-Bürger wenden
➢ Öffnungsklauseln für nationale Gesetzgeber
➢ Art. 48 → Aufsichtsbehörden
➢ Art. 90 → Auskunftpflichten gegenüber
Aufsichtsbehörden
➢ …
EU-DSGVO – Örtlicher Geltungsbereich
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
21. 21
➢ Die EU-DSGVO gilt für die
➢ für die ganz oder teilweise automatisierte Verarbeitung
personenbezogener Daten sowie
➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten,
die
➢ in einem Dateisystem gespeichert sind oder
➢ gespeichert werden sollen.
➢ Ausnahmen:
➢ privater Schriftverkehr
➢ privates Anschriftenverzeichnis
➢ private Nutzung sozialer Netze
➢ private Online-Tätigkeit
EU-DSGVO – Sachlicher Anwendungsbereich
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
22. 22
➢ Ergänzung zur EU-DSGVO
➢ Bei Widersprüchen hat EU-DSGVO Vorrang
➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich
umfangreicher als das bisherige, alles regelnde BDSG
➢ Enthält ergänzende Regelungen zu
➢ sensitiven Daten
➢ Beschäftigtendatenschutz
➢ Datenverarbeitung bei Verbraucherkrediten
➢ Scoring- und Bonitätsauskünften
➢ Informationspflichten
➢ Löschpflichten
➢ Profiling
DSAnUG-EU – Das “neue” BDSG
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
23. 23
Unsere Themen für heute:
I. Verfahrensverzeichnis
II. Einwilligung
III. Datenübermittlung
IV. Datentransfer in Drittstaaten
V. Auftragsdatenverarbeitung
VI. Wartungsarbeiten durch Dienstleister
EU-DSGVO – Einzelfragen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
25. 25
➢ Öffentliches Verfahrensverzeichnis
➢ entfällt mit der EU-DSGVO
➢ Internes Verfahrensverzeichnis (Verzeichnis der
Verarbeitungstätigkeiten)
➢ muss geführt werden:
➢ von jedem Verantwortlichen
➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.
➢ schriftlich oder elektronisches Format
➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde
➢ Ausnahmen:
➢ Unternehmen mit weniger als 250 Mitarbeiter,
➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen,
➢ die Verarbeitung nicht nur gelegentlich erfolgt oder
➢ nicht die Verarbeitung besonderer Datenkategorien einschließt.
EU-DSGVO - Verfahrensverzeichnis
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
26. 26
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Verantwortlichen und ggfs. seines Vertreters,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Zwecke der Verarbeitung
➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten
➢ Kategorien von Empfängern,
➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden
➢ einschließlich Empfäger in Drittländern
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien
(wenn möglich)
➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen
➢
Verfahrensverzeichnis - Inhalt
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
27. 27
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Name und Kontaktdaten
➢ des Auftragsverarbeiters
➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist,
➢ eines etwaigen Datenschutzbeauftragten;
➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden;
➢ Übermittlungen personenbezogener Daten in ein Drittland
➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz
➢ Allg. Beschreibung der technischen und
organisatorischen Maßnahmen
Verfahrensverzeichnis – für Auftragsverarbeiter
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
29. 29
Datenverarbeitung ist erlaubt bei
➢ Einwilligung
➢ Vertragserfüllung
➢ Erfüllung gesetzlicher Pflichten
➢ z.B. Aufbewahrungspflichten
➢ Schutz lebenswichtiger Interessen von Menschen
➢ z.B. in der Medizin
➢ berechtigten Interessen
➢ Marketing und Direktwerbung
➢ IT-Sicherheit
➢ Compliance
➢ Beschäftigtenkontrolle
EU-DSGVO – Ist die Datenverarbeitung erlaubt?
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
30. 30
➢ Ist eine Einwilligung erforderlich?
➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde
➢ Ist die betroffene Person einwilligungsfähig?
➢ Ab 16 Jahre.
➢ Wurde die Einwilligung freiwillig abgegeben?
➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung;
➢ Kein Verstoß gegen das Koppelungsverbot?
➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden,
➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist.
➢ Sind die notwendigen Belehrung erfolgt?
➢ Belehrung über das Widerrufsrecht
➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung
➢ Ist die Einwilligungserklärung unmissverständlich?
➢ Schlüssige Erkklärung
➢ Opt-In → Opt-Out ist nicht ausreichend!
➢ Ist die Einwilligung nachweisbar?
➢ Schriftform oder
➢ elektronisch protokolliert.
Einwilligung – Wirksamkeitsvoraussetzungen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
33. 33
➢ Liegt Datenübermittlung vor?
➢ Möglichkeit der Kenntnisnahme personenbezogener Daten durch
Dritte
➢ Zulässigkeit der Datenübermittlung:
➢ Einwilligung der Betroffenen?
➢ nach umfassender Information
➢ Zur Vertragserfüllung erforderlich?
➢ Auftragsdatenverarbeitung
➢ Datenübermittlung außerhalb EU / EWR
➢ zusätzliche Anforderungen
EU-DSGVO - Datenübermittlung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
35. 35
➢ Einheitliches Datenschutzniveau innerhalb von EU/EWR
➢ Datentransfer in Staaten außerhalb von EU/EWR
➢ Drittstaaten mit angemessenem Datenschutzniveau
➢ erfordert einen entsprechenden Beschluss der EU-Kommission
➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay
➢ eingeschränkt: Kanada, Israel
➢ Übrige Drittstaaten:
➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel)
➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden)
➢ Einwilligung des Betroffenen (nach umfassender Information)
➢ Sonderfall: Datentransfer in die USA
➢ zusätzlich: EU-US Privacy Shield
Datentransfer in Drittstaaten
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
36. 36
➢ Soll einen Datenaustausch mit US-Firmen ermöglichen
➢ “quasi wie unter EU-Unternehmen”
➢ Ersatz für “Safe Harbour”
➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”)
➢ Nur für Datenübermittlung an bestimmte US-Firmen:
➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt.
➢ Selbstverpflichtung / Selbstzertifizierung
➢ Keine intensive Kontrolle durch US-Administratition oder EU
➢ Teilnehmende Firmen: www.privacyshield.gov
EU-US Privacy Shield
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
37. 37
➢ Probleme des EU-US Privacy-Shield:
➢ kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU
➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft
➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft
➢ Überprüfungsfrist für EU-Kommission endete Juli 2017
➢ EU-Parlament fordert Nachbesserung / Beendigung
➢ EU-Justizkommissarin droht mit Beendigung, wenn
keine signifikante Änderungen erfolgen
➢ EU-Kommission sieht “keine Probleme”.
EU-US Privacy Shield - Probleme
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
39. 39
➢ Auftragsverarbeitung =
➢ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten
➢ durch einen Auftragsverarbeiter (Auftragnehmer)
➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber)
➢ Aufgrund eines Vertrages
➢ schriftlich oder in elektronischer Form
Auftragsverarbeitung - Grundlagen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
40. 40
Beispiele für Auftragsverarbeitung
➢ Webhoster
➢ Internet-Agentur
➢ Google Analytics
➢ Newsletter-Dienstleister
➢
Auftragsverarbeitung - Beispiele
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
41. 41
➢ Erforderliche vertragliche Regelungen
bei der Auftragsdatenverarbeitung:
➢ Gegenstand, Dauer, Art und Zweck der Verarbeitung
➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung
➢ Art der personenbezogenen Daten und
Kategorien der betroffenen Personen
➢ Umfang der Weisungsbefugnis
➢ Vertraulichkeitsverpflichtung
➢ Kontrollrechte
➢ Sicherstellung durch techn. und organ. Maßnahmen
Auftragsdatenverarbeitung – Notw. Regelungen
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
42. 42
➢ Verzeichnis der Verarbeitungstätigkeiten
➢ Bisher: muss nur durch Auftraggeber geführt werden
➢ Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter
➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis
Auftragsdatenverarbeitung - Verzeichnis
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
43. 43
➢ Grundsatz:
➢ Bisher: Auftraggeber haftet für Datenschutzverstöße
➢ Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide
➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder
vertragliche Bestimmungen:
➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung
➢ Auftragsverarbeiter zum Verantwortlichen
Auftragsdatenverarbeitung - Haftung
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
45. 45
➢ Wartungsarbeiten = Auftragsdatenverarbeitung
➢ auch bei
➢ Prüfung/Wartung mittels automatisierter Verfahren
➢ nur gelegentlicher Fernwartung
➢ Wartung vor Ort
➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen
➢ “Geheimhaltungsvereinbarung”
➢ ist kein Vertrag zur Auftragsdatenvereinbarung!
➢ Rechtslage unter der EU-DSGVO ist noch unklar:
➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung
➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt.
Wartungsarbeiten durch Dienstleister
Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
47. 47
Noch Fragen?
Datenschutz in Zeiten der EU-DSGVO
➢ Zum Nachlesen:
WebworkersLaw.de
➢
➢ EU-Portal zum Datenschutz:
▶http://ec.europa.eu/justice/data-protection/reform/index_en.htm
WebJustiz.de