Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute.

Ähnliche Präsentationen


Präsentation zum Thema: "DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute."—  Präsentation transkript:

1 DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute Berlin Datum:

2 technologiebedingte Überwachungs- bzw. Profilbildungsmöglichkeiten bei Verbrauchern, Beschäftigten, Bürgern und Unternehmen EU-Datenschutz-Grundverordnung (DS-GVO) 2016 verabschiedet wird tlw. dt. Datenschutzrecht ändern Mindeststandards und Meldepflichten nach dem neuen IT-Sicherheitsgesetz Ersetzung der nach dem BVerfG nichtigen Regelungen zur Vorratsdatenspeicherung Aktueller Fokus Datenschutzrecht 2

3 Einführung Historisch kommt Datenschutzrecht aus dem Öffentlichen Recht Rechtsgebiete Privatrecht (BGB, HGB, UrhG, MarkenG) Öffentliches Recht (Verwaltung- und Verfassungsrecht) Strafrecht Rechtssubjekte natürliche Personen (Menschen) juristische Person (GmbH, UG, AG) 3

4 Checkliste Datenschutzrecht Werden personenbezogene Daten erhoben oder verarbeitet? Ist das durch Rechtsvorschrift erlaubt oder vorgeschrieben? Liegt eine Einwilligung des Betroffenen vor? Andernfalls ist die Datenerhebung und Verarbeitung rechtswidrig 4

5 Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), § 3 Abs. 1 BDSG 5

6 EG-Bestimmungen (1) Richtlinie 95/46 EG des Europäische Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutz- Richtlinie) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) 6

7 EG-Bestimmungen (2) EG-Datenschutz-Grundverordnung - DS-GVO (am beschlossen) Richtlinie des Europäische Parlaments und des Rates über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der RL 2002/58/EG VorratsdatenspeicherungsRL ist grundrechtswidrig EuGH, C-293/12 und C-594/12 d. h. die Speicherung von Kommunikationsdaten ohne Verdacht auf Straftaten ist nicht mit EU-Recht vereinbar 7

8 EG-Bestimmungen (3) Art. 16 AEUV (ex-Artikel 286 EGV) Vertrag über die Arbeitsweise der Europäischen Union gewährleistet den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 8

9 Verfassungsrechtliche Grundlagen (1) Seit Inkrafttreten des Vertrags von Lissabon am ist die Grundrechte-Charta rechtsverbindlich, Art. 8 GR-Ch: Das Recht jeder Person auf Schutz der sie betreffenden Daten Recht auf Vergessenwerden - EuGH C-131/12 - Google Spain SL 9

10 Verfassungsrechtliche Grundlagen (2) Schutz personenbezogener Daten, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Recht auf informationelle Selbstbestimmung Befugnis, über Preisgabe und Verwendung eigener Daten zu bestimmen (BVerfGE 65, 1 - Volkszählungsgesetz) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG 1 BvR 370/07; MMR 2008, 315, Grenzen heimlicher Online-Durchsuchung von Computern) BVerfG, BvR 1215/07 / AntiterrordateiG 10

11 Datenschutzgesetze Schutz des Einzelnen beim Umgang mit seinen personenbezogene Daten vor Persönlichkeitsrechtsbeeinträchtigen Bundesdatenschutzgesetz (BDSG) Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (BlnDSG) Telemediengesetz (TMG) Abwägung zu weiteren Rechtsgütern 11

12 Abwägung BGH, Urt. v VI ZR 358/13 Der BGH lehnt den Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal ab Das Recht des Klägers auf informationelle Selbstbestimmung überwiegt das Recht der Beklagten auf Kommunikationsfreiheit nicht 12

13 BDSG, BlnDSG und TMG Zweckbindung Datenerhebung bzw. -verarbeitung nur zum vorab bestimmten Zweck zulässig Systemdatenschutz Kontrolle der Systemstrukturen bzgl. der Verarbeitung personenbezogener Daten Datensparsamkeit Datenvermeidung 13

14 Personenbezogene Daten alle Informationen, über die ein Personenbezug hergestellt werden kann, § 3 Abs. 1 BDSG, etwa Name, Geburtsdatum, Adresse, -Adresse (je nach Einzelfall) Telefonnummer, Kreditkarten- und Personalnummer Kundennummer KfZ-Kennzeichen Kontonummer, andere Zahlungsdaten (je nach Einzelfall) Angaben verwendete Hard- und Software IP-Adressen der Webseitennutzer (zur Geolokalisierung, insbes. durch Cookies, je nach Einzelfall) 14

15 Erhebung, Verarbeitung und Nutzung von Daten Erhebung von Daten, § 3 Abs. 3 BDSG Verarbeitung von Daten, § 3 Abs. 4 BDSG Speicherung (Nr. 1) Veränderung (Nr. 2) Übermittlung (Nr. 3) Sperrung (Nr. 4) Löschung (Nr. 5) 15

16 Verantwortliche Stelle und Empfänger Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, § 3 Abs. 7 BDSG Empfänger ist jede Person oder Stelle, die Daten erhält, § 3 Abs. 8 BDSG 16

17 Verbot mit Erlaubnisvorbehalt Datenerhebung und -verarbeitung zulässig nach § 4 Abs. 1 BDSG nur bei: Einwilligung des Betroffenen oder einer Erlaubnisnorm (Gesetz, Tarifvertrag, Betriebsvereinbarung) 17

18 BDSG auch für Privatunternehmen anwendbar Auch hier gilt: personenbezogenen Daten natürlicher Personen, § 3 Abs. 1 BDSG dürfen grundsätzlich nur unter Einsatz von Datenverarbeitungsanlagen verarbeitet oder genutzt werden, § 1 Abs. 2 Nr. 3 BDSG wenn eine Einwilligung oder gesetzliche Grundlage vorliegt 18

19 Zulässige Datenverarbeitung nach Zweck des Schuldverhältnisses, § 28 BDSG (1) Schuldverhältnis zwischen dem Verarbeiter und Betroffenen z. B. Kunden- und Arbeitnehmerdaten soweit Verarbeitung zur Durchführung eines Vertrages erforderlich, ist das im Rahmen des bestimmten Zweckes zulässig 19

20 Zulässige Datenverarbeitung nach Zweck des Schuldverhältnisses, § 28 BDSG (2) Kundendaten dürfen nicht auf Vorrat gesammelt werden Kundendaten für ein Preisausschreiben dürfen nicht zu sonstigen Werbezwecken genutzt werden Nach Abwicklung eines Auftrags sind die Verbraucher-Daten zu löschen 20

21 Technische und organisatorische Maßnahmen, § 9 BDSG (1) DV haben erforderliche technische und organisatorische Maßnahmen zu treffen, um die Ausführung des Gesetzes zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 21

22 Technische und organisatorische Maßnahmen, § 9 BDSG (2) Anlage zu § 9 BDSG benennt: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle 22

23 Zulässigkeit der Auftragsdatenverarbeitung z. B. Outsourcing von Scandienstleistungen Zulässigkeit für öffentliche Stellen des Bundes und nicht-öffentliche Stellen, § 11 BDSG Zulässigkeit für öffentliche Stellen der Länder § 3 BlnDSG Auftraggeber bleibt die allein verantwortliche Stelle 23

24 Auftragsdatenverarbeitung - Geschäftsbesorgungsvertrag schriftliche Vereinbarung Regelungsinhalten, § 3 BlnDSG, § 11 Abs. 2 Satz 2 BDSG Vereinbarung der Kontrollpflichten, § 3 Abs. 4 BlnDSG, § 11 Abs. 2 Satz 4 BDSG 24

25 Bußgeld für unvollständige Auftragsdatenvereinbarung BayLDA hat erstmals hohe Bußgelder nach §§ 11, 43 I Nr. 2b BDSG für eine unvollständige Vereinbarung verhängt, da in den Aufträgen mit den Datenverarbeitern konkrete technisch-organisatorischen Schutzmaßnahmen fehlten pauschale Aussagen und Wiederholungen des Gesetzestextes nicht reichten PM Bayerisches Landesamt für Datenschutzaufsicht v

26 Telemediengesetz bereichsspezifisches Datenschutzrecht für die Nutzung von personenbezogenen Daten datenschutzrechtliche Bestimmungen, §§ a TMG Verwendung personenbezogener Daten ist grundsätzlich verboten zulässig, wenn Nutzer einwilligt oder Ermächtigungsgrundlage vorliegt § 12 Abs. 2 TMG 26

27 Relevanz datenschutzrechtlicher Vorschriften des TMG Anbieter, z. B. von Webseiten, die personenbezogene Nutzerdaten verwenden, etwa zur Registrierung, Bestellungsabwicklung, News-Letter, Wahrung berechtigter eigener Interessen, etc. Access-, Host- und Contentprovider 27

28 28 Arten von Datenschutzerklärungen einfache Datenschutzerklärung wenn die Kundendaten nur zur Abwicklung der Bestellung ohne Registrierung verwendet werden (keine sensiblen Zahlungsdaten, Cookies, Newsletter) ansonsten: qualifizierte Datenschutzerklärung: z.B. bei Speicherung der Kundendaten unter einem Benutzernamen (Kundenkonto) oder zu Werbezwecken ->für diese Verwendungszwecke muss explizit eine Einverständniserklärung des Betroffenen eingeholt werden

29 Datenschutz - Grundverordnung (DS-GVO 1) Am durch das Europäische Parlament beschlossen in Kraft ab 06/2016 wirkt nach 2 Jahren in der EU einheitlich und direkt (Übergangszeit von 2 Jahren ab Inkrafttreten Ziel einheitliches und hohes Datenschutzniveau Neureglung Drittstaatentransfer 29

30 DS-GVO (2) Beweislast für verordnungskonformes Verhalten beim Unternehmen Strengere Regeln bei der Verarbeitung von Daten von Mitarbeitern, Kunden und Geschäftspartnern Bei Verstößen drohen hohe Geldbußen Daneben ist ggf. auch ein immaterieller Schaden zu ersetzen 30

31 DS-GVO (3) Bei Forderungen Dritter und Bußgeldern müssen die Unternehmen nachweisen, dass sie die Vorgaben der DS-GVO erfüllen Erfordernis umfassender Maßnahmen zur Umsetzung der DS-GVO und deren Risikoanalyse 31

32 DS-GVO (4) Einwilligung positiv bejahende Handlung informiert & frei Kopplungsverbot 32

33 DS-GVO (5) Individuelle Datenschutzrechte –Auskunft Art. 15 DS-GVO –Korrektur Art. 16 DS-GVO –Löschung Art. 17 DS-GVO „Recht auf Vergessen“, erstmals in Google v. Spain 2014 –Recht auf Datenübertragbarkeit Art. 18 II a DS-GVO –Recht auf Widerspruch zur Datenverarbeitung Art. 19 DS-GVO 33

34 DS-GVO (6) Sanktionen Verletzung administrativer Pflichten: <€ ,- Verletzung von Prinzipien, Betroffenenrechten, Drittstaatentransfers: <€ ,- + nationale straf- und Zivilrechtsansprüche Ab wann darf ein Kind in die Verarbeitung seiner Daten einwilligen? Mitgliedstaaten können selbst wählen zwischen Jahren 34

35 Vielen Dank für Ihre Aufmerksamkeit 35


Herunterladen ppt "DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute."

Ähnliche Präsentationen


Google-Anzeigen