Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die EU-Datenschutzreform

Veröffentlicht von:Peter Schmitz Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Die EU-Datenschutzreform"—  Präsentation transkript:

1 Die EU-Datenschutzreform
Datenschutz–Grundverordnung = DSGVO Mag. Ursula Illibauer e_Rechtstag 2016

2 Was es bisher zu beachten galt…
seit 1995: Datenschutz-Richtlinie (RL 95/46/EG) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde 1999 in Ö im Datenschutzgesetz 2000 umgesetzt (und das Datenschutzgesetz aus 1978 abgelöst) sonstige relevante Bestimmungen im: E-Commerce Gesetz Allgemeinen Bürgerlichen Gesetzbuch Gewerbeordnung Telekommunikationsgesetz § 16 ABGB Angeborne Rechte, § 1328a Recht auf Wahrung der Privatsphäre, § 10 AVRAG Kontrollmaßnahmen, § 91 ArbVG Allgemeine Information an BR, § 96 ArbVG Zustimmungspflichtige Maßnahmen (§ 96a Ersetzbare Zustimmung), § 5ff ECG Informationspflichten, § GewO Direktwerbung, Kreditauskunfteien, § 107 TKG unerbetene Werbung,…

3 Was bisher geschah…oder -„Der lange Weg zur DSGVO“
Start: 2010 2012: Vorschlag DSGVO über Änderungs- anträge im EP 2014: Position EP 2015: Position Rat 2015: Start TRILOG Ende 2015: politische Einigung Ziel: : DSGVO beschlossen 4. Mai 2016: Veröffentlichung im Amtsblatt seit 2010: Bestrebungen der EK für einen neuen Rechtsrahmen 25. Jänner 2012: Präsentation des Vorschlags für die DSGVO durch die EU-Kommission März 2014: nach fast Änderungsanträgen nimmt das Europäischen Parlament dessen Letztentwurf an 15. Juni 2015: Rat der Europäischen Union einigt sich auf eine gemeinsame Position ab 24. Juni 2015: „Trilogverhandlungen“ zwischen Parlament, Rat und Kommission 15. Dezember 2015: politische Einigung 14. April 2016: formeller Beschluss der DSGVO 4. Mai 2016: Veröffentlichung im Amtsblatt

4 Was uns nun erwartet… einheitliches Recht in der EU?
zahlreiche Öffnungsklauseln für Regelungen auf EU Ebene oder durch die Mitgliedstaaten selbst wieviel Zeit zur Umsetzung? Umsetzung in Ö bis ca Mai 2018! Handlungsempfehlung? Datenanwendungen im Unternehmen JETZT prüfen, unbedingt Speicherdauer von Daten prüfen Risiko einschätzen, Informationen auf Websites, Mails etc anpassen

5 Warum das alles? – Ein Einblick ins Unbekannte…
Wichtige Begriffe Prinzipien rechtmäßiger Verarbeitung Einwilligung Betroffenenrechte Haftung Aufzeichnungspflichten Datensicherheit Entfall (?) der Meldeverpflichtungen vs Folgenabschätzung Datenschutzbeauftragter grenzüberschreitende Datenverarbeitung Beschwerderechte Strafen

6 1. Begrifflichkeiten - personenbezogene Daten (Artikel 4)
DSGVO DSG 2000 "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; „Daten“ („personenbezogene Daten“): Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann

7 1. Begrifflichkeiten - Pseudonymisierung
DSGVO DSG 2000 "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

8 1. Begrifflichkeiten - sensible Daten (Artikel 9)
DSGVO DSG 2000 personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person , Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung „sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben

9 1. Begrifflichkeiten - Zustimmung
DSGVO DSG 2000 „Einwilligung“: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt

10 1. Begrifflichkeiten – und noch ein paar Neuerungen
DSGVO DSG 2000 Verantwortlicher Auftraggeber Auftragsverarbeiter Dienstleister betroffene Person Betroffene Profiling - Übermitteln / Überlassen Empfänger, Dritter Einschränkung der Verarbeitung - "Profiling" jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren - "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; - "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

11 2. Prinzipien rechtmäßiger Verarbeitung (Artikel 5)
Vgl §§ 6ff DSG 2000 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht - auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden für festgelegte, eindeutige und legitime Zwecke dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sachlich richtig und erforderlichenfalls auf dem neuesten Stand in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist angemessene Sicherheit der personenbezogenen Daten gewährleistet Nachweispflicht der Einhaltung der Grundsätze durch den V

12 Eine Datenverarbeitung ist rechtmäßig wenn (Art 6):
der Betroffene zugestimmt hat, die Verarbeitung für die Vertragserfüllung mit den Betroffenen notwendig ist, die Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung notwendig ist, die Verarbeitung zum Schutz lebensnotwendiger Interessen des Betroffenen oder anderer natürlicher Personen notwendig ist, die Verarbeitung im öffentlichen Interesse liegt oder die Verarbeitung für legitime Zwecke des Verantwortlichen oder eines Dritten notwendig ist Interessenabwägung!

13 3. Einwilligung (Artikel 4)
freiwillig, für den bestimmten Fall, informiert, unmissverständlich Willensbekundung (Checkbox?) Erklärung oder sonstige eindeutig bestätigende Handlung getrennt von anderen Sachverhalten (AGB?) jdz Widerrufbarkeit

14 Einwilligung eines Kindes im Internet
Problem: ist Zustimmung noch freiwillig, wenn die Vertragserfüllung (Leistung) von der Einwilligung zu einer Datenverarbeitung abhängig gemacht wird, die für die Vertragserfüllung selbst nicht erforderlich ist? (Freeware, Werbedienste,…?) 2. Problem: Einwilligung eines Kindes im Internet Kind: 13-16J, Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird, wie handzuhaben?

15 4. Betroffenenrechte Art 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Art 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Art 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden Art 15 Auskunftsrecht Art 16 Recht auf Berichtigung Art 17 Recht auf Löschung ("Recht auf Vergessenwerden") Art 18 Recht auf Einschränkung der Verarbeitung Art 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Art 20 Recht auf Datenübertragbarkeit Art 21 Widerspruchsrecht

16 4. Betroffenenrechte - Informationspflichten
Vgl §§ 23, 24 DSG 2000 DSGVO DSG 2000 Namen und Kontaktdaten des Verantwortlichen Namen und Kontaktdaten Datenschutzbeauftragter Verarbeitungszwecke und Rechtsgrundlagen berechtigte Interessen Empfängerkategorien Daten an ein Drittland: Vorhandensein Angemessenheitsbeschluss, geeigneter oder angemessener Garantien und Zugang hierzu Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer Betroffenenrechte Widerrufsmöglichkeit der gegebenen Einwilligung Beschwerdemöglichkeit ob Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Verpflichtung der Betroffenen zur Bereitstellung besteht oder aus welcher Quelle die Daten stammen, wenn die Daten nicht beim Betroffenen erhoben wurden automatisierte Entscheidungsfindung, inkl Logik und Tragweite andere Zwecke der Verarbeitung und alle anderen maßgeblichen Informationen nicht-meldepflichtige Datenanwendungen Zweck, Name und Adresse des Auftraggebers weitergehende Informationen nach Treu & Glauben data breach notification DVR Nummer DVR Nummer und Identität eines involvierten Dritten weitergehende Infos nach Treu und Glauben wenn a) ein Widerspruchsrecht (nach § 28 DSG 2000) besteht, b) wenn es für die betroffenen Personen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist oder c) die Daten in einem gesetzlich nicht vorgesehenen Informationsverbundsystem verarbeitet werden sollen data breach: bei systematisch und schwerwiegend unrechtmäßiger Verwendung von Betroffenendaten zu geben, wenn den betroffenen Personen Schaden droht. Eine Ausnahme besteht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der betroffenen Personen einerseits oder der Kosten der Information aller betroffenen Personen andererseits einen unverhältnismäßigen Aufwand erfordert

17 Ausnahme: Betroffene haben Daten bereits
DSGVO DSG 2000 Zeitpunkt: zum Zeitpunkt der Erhebung / innerhalb angemessener Frist, wenn Daten von Dritten erhoben wurden (max 1 Mon) Zeitpunkt: DVR Nummern bei Übermittlung, Standardanwendung auf Nachfrage, ansonsten aus Anlass der Datenanwendung Ausnahme: wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person unmöglich oder mit unverhältnismäßig hohem Aufwand verbunden ist. Ausnahme: Betroffene haben Daten bereits

18 4. Betroffenenrechte - Auskunftsrecht
Vgl § 26 DSG 2000 DSGVO DSG 2000 Verarbeitungszwecke Kategorien personenbezogener Daten Empfänger Dauer der Datenspeicherung oder Kriterien zur Festlegung der Dauer sonstige Betroffenenrechte Beschwerderecht alle verfügbaren Informationen über die Herkunft der Daten automatisierte Entscheidungsfindung, inkl Logik und Tragweite geeigneten Garantien bei Übermittlung an Drittland verarbeiteten Daten Informationen über Datenherkunft Zweck der Datenverwendung Rechtsgrundlagen Namen und Adressen von Dienstleistern oder Negativauskunft

19 schriftliches Begehren Identitätsnachweis bei begründeten Zweifeln
DSGVO DSG 2000 formlos schriftliches Begehren Identitätsnachweis bei begründeten Zweifeln Identitätsnachweis durch Betroffenen „in geeigneter Form“ Frist: max 1 Mon (verlängerbar auf max 2 Mon) Frist: max 8 Wochen

20 4. Betroffenenrechte - Recht auf Berichtigung
Vgl § 27 DSG 2000 Sollten Daten ungenau oder unrichtig sein, so hat der Betroffene das Recht auf Richtigstellung, bzw Ergänzung unvollständiger Datensätze Neu: kein Formzwang Identitätsnachweis bei begründeten Zweifeln Frist: max 1 Mon (2 Mon)

21 4. Betroffenenrechte - Recht auf Vergessenwerden
Vgl § 26 DSG 2000 Daten sind zu löschen: wenn diese für die Zwecke der Datenverarbeitung nicht mehr notwendig sind, wenn der Betroffene seine Zustimmung widerrufen hat oder generell widersprochen hat, wenn Daten unrechtmäßig verarbeitet wurden, wenn Löschung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist, wenn Daten von einem Kind im Internet erhoben wurden. Neu: kein Formzwang, Frist 1 Mon (2 Mon), Identitätsnachweis bei begründeten Zweifeln Recht auf Vergessen werden im Onlinekontext Onlinekontext: : alle anderen „Controller“, welche die Daten verarbeiten/ Links verwenden/ sonstige Kopien der Daten angefertigt haben, sind über Löschungsanspruch zu informieren, alle „vertretbaren“ Mittel sollen in Anspruch genommen werden, unter Berücksichtigung der verfügbaren Technologie und technischen Maßnahmen, um diese Information durchzuführen

22 4. Betroffenenrechte - Recht auf Einschränkung
NEU! vgl aber auch § 27 Abs 7 DSG 2000! für die Dauer der Überprüfung der Richtigkeit, wenn der Betroffene statt Löschung Einschränkung wählt wenn der Verantwortliche Daten nicht mehr benötigt, der Betroffene sie aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, für die Dauer der Überprüfung eines Widerspruchbegehrens Infopflicht ggü Betroffenen, wenn Einschränkung wieder aufgehoben wird!

23 4. Betroffenenrechte - Mitteilungspflicht
NEU! vgl aber § 27 Abs 8 DSG 2000! an alle Empfänger, denen personenbezogenen Daten offengelegt wurden wenn Berichtigung, Löschung oder Einschränkung der Verarbeitung durchgeführt wurde außer: unmöglich oder mit unverhältnismäßigem Aufwand Infopflicht an Betroffene auf Verlangen

24 4. Betroffenenrechte - Recht auf Datenübertragbarkeit
NEU! Recht auf Erhalt der Daten Recht auf Übermittlung der Daten an anderen Verantwortlichen (direkt, wenn „technisch machbar“) im strukturierten, gängigen und maschinenlesbaren Format wenn Datenanwendung aufgrund: einer Einwilligung oder eines Vertrages zwischen Verantwortlichen und Betroffenen erfolgte und Verarbeitung mithilfe automatisierter Verfahren erfolgte.

25 4. Betroffenenrechte - Widerspruchsrecht
Vgl § 28 DSG 2000 „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ Widerspruch ist Folge zu leisten, außer: der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Direktwerbung/ Profiling: jdz Widerspruch möglich Infopflicht des Verantwortlichen: zum Zeitpunkt der ersten Kommunikation sind Betroffene in einer verständlichen und von anderen Informationen getrennten Form über dieses Widerspruchsrecht zu informieren

26 5. Haftung privacy by design / privacy by default (Art 25):
NEU! privacy by design / privacy by default (Art 25): durch Technikgestaltung und Voreinstellungen sollen nur jene Daten verarbeitet werden, die für den konkreten Anwendungsfall notwendig sind, dazu sind geeignete technische und organisatorische Maßnahmen zu implementieren (zB Pseudonymisierung) Datenschutzgarantien müssen schon in der ersten Entwicklungsphase „eingebaut“ werden Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten

27 5. Haftung - Auftragsverarbeiter (Art 28)
großteils NEU, aber vgl auch § 11 DSG 2000 schriftlicher (auch „electronic“) Dienstleistervertrag (von der EK oder Aufsichtsbehörde bereitzustellen): Bindung an Verantwortlichen Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichten und Rechte des Verantwortlichen Verpflichtung zur Implementierung von Sicherheitsmaßnahmen technisch und organisatorisch Verantwortlichen bei Betroffenenrechte unterstützen Pflicht zur Führung eines Verzeichnis von Verarbeitungstätigkeiten Verpflichtung zur Risikoabschätzung ggf Verpflichtung zur Benennung eines DSB AV haftet ebenfalls für Nichteinhaltung von Bestimmungen Warnpflicht ggü Verantwortlichem

28 6. Aufzeichnungspflichten (Art 30)
NEU! Vgl aber §§ 14, 50b DSG 2000 Aufzeichnungspflichten für AV und Verantwortlichen Inhalt der Verzeichnispflichten für Verarbeitungstätigkeiten äußerst weitreichend! Aufzeichnungen haben schriftlich oder elektronisch zu erfolgen  ausgehöhlte Ausnahme für KMU (= Unternehmen mit weniger als 250 Mitarbeitern) Ausnahme von der Ausnahme: Risiko für die Rechte und Freiheiten der betroffenen Personen Verarbeitung erfolgt nicht nur gelegentlich Verarbeitung besonderer Datenkategorien (= sensible Daten) Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten Inhalt auszugsweise: Name und Kontaktdaten des AG, Zweck der Verarbeitung, Kategorien der Daten, wo zutreffend Empfänger der Daten, wo zutreffend Übermittlung in Drittstaat und die Dokumentation geeigneter Sicherheitsmaßnahmen, wenn möglich die Dauer der Aufbewahrung, wenn möglich eine generelle Beschreibung der Sicherheitsmaßnahmen, die ergriffen wurden

29 7. Datensicherheit (Art 32)
Vgl § 14 DSG 2000 geeignete technische und organisatorische Maßnahmen „state of the art“: Berücksichtigung des Stands der Technik, Implementierungskosten, Art/ Umfang/ Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten Pseudonymisierung und Verschlüsselung Sicherstellung Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste Wiederherstellung der Fähigkeit, Verfügbarkeit und Zugang regelmäßigen Überprüfung, Bewertung und Evaluierung Zugang nur für Befugte

30 Verpflichtung des AV zur Meldung an den Verantwortlichen
Verpflichtung des Verantwortlichen bei Datenmissbrauch die Aufsichtsbehörde inhaltlich ohne unnötige Verzögerung zu informieren (Art 33) spätestens innerhalb von 72h nachdem ihm die Verletzung bekannt wurde sofern nicht möglich, muss eine Begründung, weshalb die Frist nicht eingehalten werden konnte, mitgeliefert werden Ausnahme: gilt nicht, sofern die Panne wahrscheinlich kein Risiko für die Rechte und Freiheiten der Betroffenen darstellt jedenfalls muss er die Verletzung, die Auswirkungen und Abhilfemaßnahmen dokumentieren Verpflichtung des AV zur Meldung an den Verantwortlichen NEU!

31 8. Entfall der Meldeverpflichtungen vs - Folgenabschätzung (Art 35)
NEU! allgemeine Risikoeinschätzung wahrscheinlich hohes Risiko Datenschutz-Folgenabschätzung Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hohes Risiko? „high risk to the rights and freedoms of individuals by virtue of their nature, scope, context and purposes” Wie ist eine Risikoeinschätzung durchzuführen? "Forum Privatheit„ = Experten des Fraunhofer-Instituts ISI, des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Universität Kassel das Whitepaper "Datenschutz-Folgenabschätzung: Verfügbarkeit, Integrität und Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit -> Risiken nach drei Schutzstufen zu bewerten, die sich nicht allein an den Schadenshöhen und Eintrittswahrscheinlichkeiten orientieren, sondern daran, wie tief die Datenverarbeitung in die Grundrechte der Betroffenen eingreift

32 8. Entfall der Meldeverpflichtungen vs. - doch vorherige Konsultation
8. Entfall der Meldeverpflichtungen vs - doch vorherige Konsultation? (Art 36) NEU? Datenschutz-Folgenabschätzung wahrscheinlich hohes Risiko vorherige Konsultation der Aufsichtsbehörde wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen (unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert) Entscheidung innerhalb von 8 Wochen (+ 6W)

33 9. Datenschutzbeauftragter (DSB, Art 37ff)
NEU! Verpflichtung sowohl für Verantwortlichen als auch AV verpflichtend für Behörde oder öffentlichen Stelle und für Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen beinhaltet oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten beinhaltet. mit Ausnahme von Gerichten

34 Kenntnisse, praktische Erfahrung im Datenschutz
keine spezielle Haftung angeordnet, aber mögliche Haftung als „verantwortlicher Beauftragter? (§ 9 VStG) Kenntnisse, praktische Erfahrung im Datenschutz Datenschutzbeauftragte handelt unabhängig und weisungsfrei Mitarbeiter/ freier Mitarbeiter/ Dienstleister ABER: kein Interessenkonflikt Einbindung im Betrieb, berichtet unmittelbar der höchsten Managementebene keine Abberufung/ Benachteiligung wegen Aufgabenerfüllung Unterstützung durchs Unternehmen (Ressourcen, Fortbildung,…) Aufgaben: Unterrichtung und Beratung, Anlaufstelle Überwachung Zusammenarbeit mit der Aufsichtsbehörde

35 10. grenzüberschreitende Datenverarbeitung (Art 44ff)
Vgl §§ 12, 13 DSG 2000 Grundsatz: Schutzniveau der Verordnung ist jedenfalls einzuhalten Daten-übermittlung auf der Grundlage eines Angemessen-heits-beschlusses Datenüber-mittlung vorbehaltlich geeigneter Garantien Ausnahmen für bestimmte Fälle

36 11. Beschwerderechte - Verfahren
Vgl §§ 31ff DSG 2000 Parallelverfahren (Art 77 und 78): Beschwerde sowohl vor den Aufsichtsbehörden als auch vor Gerichten möglich Verbandsklagebefugnis (Art 80) für non-profit Organisationen   Schadenersatz (Art 82) sowohl für materiellen als auch immateriellen Schaden Solidarhaftung im Falle mehrerer Schädiger Achtung: Verantwortlichkeit des DL

37 12. Strafen Vgl §§ 52 DSG 2000 zusätzlich zu den weitgehenden Ermittlungs-, Straf- sowie Beratungs- und Konsultationsrechten der Aufsichtsbehörde kann sie auch Verwaltungsstrafen (Art 83 ff) festlegen. Strafen können im schlechtesten Fall bis zu 20 Millionen oder 4% des Jahresumsatzes weltweit betragen, je nach dem was sich als höher herausstellt zusätzlich können MS weitere Vorschriften über wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen Unternehmen meint daher „Einheiten, die eine wirtschaftliche Tätigkeit ausüben, unabhängig von ihrer Rechtsform, dem Vorliegen oder Fehlen einer Gewinnerzielungsabsicht, dem Umfang der Tätigkeit oder der Art ihrer Finanzierung. Voraussetzung für die Unternehmenseigenschaft ist eine selbständige wirtschaftliche Tätigkeit im weitesten Sinne“. Eine wirtschaftliche Einheit liegt vor, wenn Mutter- und Tochtergesellschaft einheitlich am Markt agieren. Es reiche schon aus, wenn auf die Tochtergesellschaft aufgrund von wirtschaftlichen, organisatorischen oder rechtlichen Gründen Einfluss ausgeübt wird. Vermutet wird ein solcher, sofern die Tochtergesellschaft zu 100% von der Muttergesellschaft gehalten wird, denkbar ist es allerdings auch bei 50/50 Joint Ventures.

38 Was Sie nun tun sollten…
KEINE PANIK! Durchatmen, sacken lassen Datenanwendungen im Unternehmen in Ruhe prüfen und einschätzen und bei Fragen…

39

40 Vielen Dank für Ihre Aufmerksamkeit.

Herunterladen ppt "Die EU-Datenschutzreform"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Neues Recht im Direktmarketing. Seite 2Direkt Marketing Center Frankfurt, Sandra Haidt Erweiterte Informationspflicht die Ansprache zum Zwecke der Werbung.

Neues Recht im Direktmarketing. Seite 2Direkt Marketing Center Frankfurt, Sandra Haidt Erweiterte Informationspflicht die Ansprache zum Zwecke der Werbung.
Datenschutz am Mittag Videoüberwachung

Datenschutz am Mittag Videoüberwachung
D. ZAMANTILI NAYIR – 8. SEMESTER

D. ZAMANTILI NAYIR – 8. SEMESTER
Eine Präsentation von: Julian Saal Dardan Mustafa

Eine Präsentation von: Julian Saal Dardan Mustafa
Geplant zum 01.01.2002: Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.

Geplant zum : Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.
Auswirkungen des PfWG auf den Reha-Bereich Änderungen in den Gesetzen

Auswirkungen des PfWG auf den Reha-Bereich Änderungen in den Gesetzen
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Datenschutz 19. November Lena Metz Behördliche Datenschutzbeauftragte

Datenschutz 19. November Lena Metz Behördliche Datenschutzbeauftragte
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz in the small

Datenschutz in the small
Datenschutz als Grundrecht

Datenschutz als Grundrecht
Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
Grundsätze des Verwaltungsrechts im Zusammenhang mit der Verfügung

Grundsätze des Verwaltungsrechts im Zusammenhang mit der Verfügung
Das neue GLEICHBEHANDLUNGSGESETZ

Das neue GLEICHBEHANDLUNGSGESETZ
Der Online-Kauf und seine Abwicklung Saarbrücken, 28. Oktober 2008

Der Online-Kauf und seine Abwicklung Saarbrücken, 28. Oktober 2008
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Zweck des Datenschutzgesetzes

Zweck des Datenschutzgesetzes
Datenschutz?!?!.

Datenschutz?!?!.

Ähnliche Präsentationen

Google-Anzeigen