Neue Datenschutzpflichten seit 25 Neue Datenschutzpflichten seit 25. Mai 2018 - Praxisseminar für Betriebe November 2018
Übersicht 1 Zulässige Datenverarbeitung ohne Einwilligung 2 Anforderungen der datenschutzrechtlichen Einwilligung 3 Formelle Pflichten – Ein Überblick 4 Informationspflicht bei Erhebung personenbezogener Daten 5 Die Erteilung von Auskünften 6 Dokumentationspflicht 7 Der Datenschutzbeauftragte 8 Auftragsverarbeitung
Datenschutz-Grundverordnung… …gilt seit 25. Mai 2018 unmittelbar Vorbemerkung Datenschutz-Grundverordnung… …gilt seit 25. Mai 2018 unmittelbar …wird durch das Bundesdatenschutzgesetz ergänzt …orientiert sich stark am deutschen Datenschutzrecht …bringt keine wesentlichen inhaltlichen Neuerungen …lässt in der Praxis keine höheren Bußgelder erwarten …führt bislang und absehbar zu keiner Abmahnwelle
Grundprinzip des Datenschutzes bleibt bestehen Vorbemerkung Grundprinzip des Datenschutzes bleibt bestehen Verbot mit Erlaubnisvorbehalt Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn, sie ist ausdrücklich erlaubt Erlaubt, wenn: eine gesetzliche Vorschrift die Verarbeitung bestimmt oder der Betroffene ausdrücklich in die Datenverarbeitung einwilligt
Zulässige Datenverarbeitung ohne Einwilligung
Zulässige Datenverarbeitung ohne Einwilligung Vorschriften, die Betriebe eine Datennutzung erlauben, finden sich hauptsächlich in Artikel 6 DSGVO Bundesdatenschutzgesetz (§§ 22, 24, 26, 27) Landesdatenschutzgesetze gelten nur für öffentliche Stellen!
Zulässige Datenverarbeitung ohne Einwilligung Art. 6 Abs. 1 DSGVO Die Datenverarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags erforderlich ist zur Durchführung vorvertraglicher Maßnahmen erforderlich ist zur Wahrung berechtigter Interessen des Betriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen z.B. Nutzen von Kontaktdaten zur Direktwerbung
Zulässige Datenverarbeitung ohne Einwilligung Verwendung von Gesundheitsdaten Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) sind besonders schutzwürdige Daten (Art. 9 DSGVO) Verarbeitung dieser Daten ist nach § 22 Abs. 1 Nr. 1 b) BDSG nur erlaubt, zum Zweck der Gesundheitsvorsorge zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist Betriebe der Gesundheitshandwerke dürfen diese Daten verarbeiten
Anforderungen der datenschutzrechtlichen Einwilligung
2. Anforderungen der datenschutzrechtlichen Einwilligung Allgemeine Anforderungen Freiwilligkeit Aktive Einwilligung Inhaltliche Anforderungen Offenlegung der Identität Angabe, welche Daten erhoben werden Angabe des Zwecks der Datenverarbeitung Hinweis auf Widerrufsrechts Gestaltungsanforderungen Optisch wahrnehmbar Textform ist keine Voraussetzung
Formelle Pflichten
Formelle Pflichten Pflichten: Transparenzgebot (Art. 12 DSGVO) Recht auf Berichtigung (Art. 16 DSGVO) Recht auf Löschung (Art. 17 DSGVO) Recht auf Vergessenwerden (Art. 17 DSGVO) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Datenübertragung (Art. 20 DSGVO) Widerspruchsrecht (Art. 21 DSGVO) Auskunftsrecht (Art. 15 DSGVO) Informationspflichten bei Datenerhebung (Art. 13 und 14 DSGVO) Dokumentationspflicht (Art. 30 DSGVO)
Informationspflicht bei Erhebung personenbezogener Daten
Informationspflicht bei Erhebung personenbezogener Daten Umfang der Informationspflicht Identität des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten Verarbeitungszweck der Datennutzung Rechtsgrundlage der Datenverarbeitung Empfänger oder Kategorien von Empfängern der Daten Dauer der Verarbeitung oder Dauer der Datenspeicherung Rechte der Betroffenen Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
Informationspflicht bei Erhebung personenbezogener Daten Praxisbeispiel: „Die Datenverarbeitung erfolgt zur Vertragsdurchführung und zur Direktwerbung und beruht auf Art. 6 Abs. 1 b), f) DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für die Zweckerfüllung nicht mehr erforderlich sind. Sie können der Verwendung Ihrer Daten zum Zweck der Direktwerbung jederzeit widersprechen und sind berechtigt, Auskunft über die bei uns gespeicherten Daten zu beantragen sowie Berichtigung oder Löschung der Daten zu fordern. Sie haben ein Beschwerderecht bei der Aufsichtsbehörde.“
Dokumentationspflicht
Dokumentationspflicht Sind alle Betriebe zur Dokumentation verpflichtet? Ausnahme von der Dokumentationspflicht (Art. 30 Abs. 5 DSGVO) Gilt für Betriebe mit weniger als 250 Mitarbeitern Und, wenn nur gelegentliche Datenverarbeitung vorgenommen wird Dokumentationsverfahren Erstellen eines Verarbeitungsverzeichnisses
Dokumentationspflicht Typische Verfahren von Betrieben Nutzung von Kundendaten zur Vertragserfüllung Nutzung von Kundendaten zur Direktwerbung Nutzung von Mitarbeiterdaten zur Lohnabrechnung Nutzung von Mitarbeiterdaten zur Personalführung
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte Benennungspflicht bei Betrieben Pflicht zur Benennung, wenn mindestens 10 Angestellte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Als automatisierte Verarbeitung gelten z.B.: Verwendung von Kundendaten auf einem Tablet-PC oder Smartphone Ständig = wesentliche Kerntätigkeit im Alltag Für mehrere Filialen kann einen gemeinsamer DSB benannt werden DSB kann sowohl ein Mitarbeiter (= interner DSB) oder ein außenstehender Dienstleister (= externer DSB) sein
7. Der Datenschutzbeauftragte Informationspflichten Die Kontaktdaten des DSB (z.B. E-Mail-Adresse, Durchwahlnummer, etc.) sind zu veröffentlichen z.B. auf der Website des Betriebs Die Kontaktdaten des DSB sind der Landesdatenschutzbehörde zu melden Wichtig: Pflicht betrifft nur Kontaktdaten Namen des DSB nicht erfasst
Der Datenschutzbeauftragte Stellung Weisungsunabhängige Aufgabenerfüllung Besonderer Kündigungsschutz für interne DSB Arbeitsverhältnis darf während der Tätigkeit als DSB und für ein Jahr danach nicht gekündigt werden Dienstleistungsverträge mit externen DSB können jederzeit gekündigt werden Haftung nur für Beratungsfehler Betrieb bleibt für rechtmäßige Datenverarbeitung verantwortlich
Auftragsverarbeitung
Auftragsverarbeitung (Haupt-)Aufgabe eines Dienstleister ist es, Daten für den Auftraggeber zu verarbeiten IT-Dienstleister Lettershop Subunternehmer Lieferanten Umfang der Auftragserteilung gesetzlich geregelt Verwendung des Musters
Vielen Dank für Ihre Aufmerksamkeit