Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679

Veröffentlicht von:Steffen Fuhrmann Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679"—  Präsentation transkript:

1 Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679
Ing. Dr. iur. WOLF Eike Konsulent für Telekommunikation, EDV- und Softwareverträge EuroPriSe zertifizierter Datenschutzexperte Bechardgasse 15/8 A-1030 Wien Tel: Mobil: Alle Rechte vorbehalten! Copyright 2017

2 Die wesentlichen Änderungen gegenüber der DS-RL
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Die wesentlichen Änderungen gegenüber der DS-RL Der territoriale Bereich wurde wesentlich erweitert. Die DS-GVO gilt nun in allen EU Mitgliedstaaten und auch für Nicht-EU- Unternehmen, wenn sie Waren oder Dienstleistungen in der EU anbieten oder Personen in der EU beobachten. Wesentlich höhere Geldbußen und mehr Befugnisse für die Aufsichtsbehörden. Strengere Regeln für die Erlangung, aber leichtere für den Widerruf der Zustimmung der Betroffenen. Strengere Benachrichtigungspflichten bei Datenschutzbruch Weniger Unterschiede zwischen den Mitgliedstaaten One-stop shop bei Aufsichtsbehörden vereinfacht es für Unternehmen

3 Drastische Verschärfung der Geldbußen (von  25.000 auf >20 Mio)
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Stärkung, Erweiterung und Präzisierung der Rechte der betroffenen Personen Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden Gleichartige Befugnisse der Mitgliedsstaaten bei der Überwachung und Durchsetzung der Vorschriften (Sanktionen, hohe abschreckende Geldbußen) Drastische Verschärfung der Geldbußen (von  auf >20 Mio)

4 Wesentliche Erweiterungen der Rechte für die Personen
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Wesentliche Erweiterungen der Rechte für die Personen Mehr Transparenz für die Betroffenen. Betonung der Datenminimierung Recht auf Vergessen Begrenzung der Speicherung Sensible Daten erweitert um biometrische Daten und genetische Daten Informationspflichten erweitert über: Verantw., Vertreter, DSB, Beschwerderechte, Autom. Entscheidungen, Profiling, Übermittlungen Information des Betroffenen für Daten aus anderen Quellen Auskunftspflicht verkürzt auf 1 Monat (samt Negativauskunft) Einschränkung der Verarbeitung für bestimmte Daten Datenportabilität (keine Behinderung durch Verantwortlichen) Widerspruch zu Automatischen Entscheidungen und Profiling (Hinweis darauf Pflicht, Vereinfachung beim Widerspruch) 4

5 Wesentliche Erweiterungen der Pflichten der Unternehmen
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Wesentliche Erweiterungen der Pflichten der Unternehmen Mehr Sicherheit in der Verarbeitung mit Nachweispflicht Privacy by Design und by Default für IT-Produkte und Services (hat starke Auswirkungen im Zivil- und Unternehmensrecht) Auftragsverarbeiter (= Dienstleister) werden stärker in die Pflicht genommen Vertreter Benennung für Nicht-EU-Unternehmen Verarbeitungsverzeichnis statt Meldung in DVR, dadurch wesentlich mehr Sicherheit, wenn ernst genommen, sonst hohe Geldbußen Informationspflichten bei Verletzung des Datenschutzes binnen 72 Stunden an Aufsichtsbehörde und Betroffene Datenschutz-Folgenabschätzung bei neuen Technologien, hohen Risiken, (sonst hohe Geldbußen) Datenschutzbeauftragter für öffentl. Stellen und Behörden Pflicht, sonst Kannbestimmung; unabhängig, keine Weisungen, intern/extern möglich, Einbindung in alle IT und Sicherheitsfragen Zertifizierungen erleichtern Beweispflichten, befreien aber nicht 5

6 Verbindliche interne Datenschutzvorschriften der Unternehmen
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Verbindliche interne Datenschutzvorschriften der Unternehmen Sind eigentlich datenschutzrechtliche Verbandsregeln und von den Aufsichtsbehörden zu genehmigen. Wirken dann aber intern und extern in diesem Verband mit entsprechenden datenschutzrechtlichen und zivilrechtlichen Folgen. Es sind mindestens die 14 Forderungen (Art 47 Abs 2) einzuhalten. Die EU-Kommission kann Format und Verfahren dafür festelegen. Allgem. Grundsätze der Datenübermittlung Jede Übermittlung personenbezogener Daten in ein Drittland oder eine intern. Organisation ist nur zulässig, wenn die DS-GVO eingehalten und geeignete Garantien für den Schutz der Betroffenen und deren Rechten vorgesehen und verfügbar sind. Die EU-Kommission beschließt entsprechende Angemessenheit. Urteile oder Bescheide der Behörden von Drittländern sind nur vollstreckbar, wenn sie auf ein rechtskräftiges internationales Übereinkommen oder ein bilaterales Rechtshilfeabkommen gestützt sind. 6

7 Übersicht über die neue DS-GVO
Ing. Dr. WOLF Eike Haftungen Art 82 Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Auftraggeber oder gegen den Dienstleister oder beide gemeinsam. Jeder an einer Verarbeitung beteiligte Auftraggeber haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Dienstleister haftet für den durch eine Verarbeitung verschuldeten Schaden nur dann, wenn er seinen speziell den Dienst-leistern auferlegten Pflichten aus dieser Verordnung nicht nach gekommen ist oder dem Vertrag mit dem Auftraggeber zuwider gehandelt hat. Der Auftraggeber oder Dienstleister haften nicht, wenn sie nachweisen, dass sie für keine der Ursachen für den Schaden verantwortlich sind. Mehrere Auftraggeber oder Dienstleister derselben Verarbeitung haften solidarisch (“Einer für Alle, Alle für Einen”). 7 7

8 Sanktionen (Geldbußen) Art 83
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Sanktionen (Geldbußen) Art 83 (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; jegliche von dem Auftraggeber oder dem Dienstleister getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; Grad der Verantwortung des Auftraggeber oder des Dienstleisters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; etwaige einschlägige frühere Verstöße des Auftraggebers oder des Dienstleisters ; Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; 8 8

9 Sanktionen (Geldbußen) Art 83
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Sanktionen (Geldbußen) Art 83 h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Auftraggeber oder der Dienstleister den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Auftraggeber oder Dienstleister in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. (3) Verstößt ein Auftraggeber oder Dienstleister bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. 9 9

10 Sanktionen (Geldbußen) Art 83
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Sanktionen (Geldbußen) Art 83 (4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Auftraggeber oder Dienstleister gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 (Zustimmung durch Kinder, keine Identifikation, Aufgaben des Auftraggebers und des Dienstleisters, Zertifizierung und deren Stellen); b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4 (Verhaltensregeln). 10 10

11 Sanktionen (Geldbußen) Art 83
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Sanktionen (Geldbußen) Art 83 (5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. 11 11

12 Umsetzungsprozess der DS-GVO in die Praxis
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Umsetzungsprozess der DS-GVO in die Praxis Da IT-Prozesse nicht nur technische, sondern auch organisatorische Funktionen beinhalten, dauern sie in der Praxis relativ lange, bis sie wirksam werden. Daher muss man früh planen und vorbereiten: Information der Geschäftsleitung (weil IT-Prozesse und Organisation involviert) alle Prozesse identifizieren mit personenbezogenen Daten und ohne personenbezogene Daten , aber mit Querverbindungen dazwischen (Verarbeitungsverzeichnis) Zweckbestimmung und Rechtsgrundlagen dazu (Zustimmungen, Vertrag, Gesetz, Bescheide, Urteile) Risikobestimmung für jeden Prozess (Datenverlust vorsätzlich o. fahrlässig o. zufällig (vfz), Löschung (vfz), Verändern (vfz), Kopieren (vfz), Übermittlungen (vfz) ) Folgeabschätzungen für jeden Prozess Informationslücken/Dokumentationslücken feststellen und schließen Auftragsverarbeiter (Verträge, Meldepflichten, Haftungen, Kontrollen, Probleme usw) Löschungskonzepte (aktuelle Datenbanken, Backup) Sicherheitskonzepte verbessern und umsetzen Prozessanpassungen (Identifikation, Auswirkungen, Dauer, Verantwortung, Kosten) Protokolle Logdateien (Sicherung, Dauer, Dig. Signaturen, Zugriff, Backup) Betriebsvereinbarungen Informationspflichten Aufsichtsbehörde, Betroffene Mitarbeiterschulungen. 12 12

13 Grundregel Goldene Regel
Übersicht über die neue DS-GVO Ing. Dr. WOLF Eike Grundregel Die Verwendung personenbezogener Daten grundsätzlich vermeiden oder auf das absolut notwendige Maß beschränken! Sie sollten sich immer fragen: “Wer braucht sie, warum, wozu, wie lange und ist das auch rechtlich gedeckt (freie Zustimmung / gültiger Vertrag / Gesetz /rechtskräftiger Bescheid oder Urteil)? Goldene Regel Was du nichts willst, dass man dir tu‘, das füg auch keinem andern zu! Die Goldene Regel als ethischer Grundsatz ist über 3000 Jahre alt und von China (Konfuzius, 551 – 479 v. Chr. ) bis Spanien (Isidor von Sevilla, 560 – 636 n. Chr.) als Grundprinzip des richtigen Handelns gefordert. Sie gehört zu den fundamentalen Rechtsgrundsätzen. 13

14 Danke für Ihre Aufmerksamkeit! Noch Fragen?
14

15 Angebot für Seminar über die Datenschutz-GrundVO in Ihrem Unternehmen oder extern
Min. 8 Personen (in Sonderfällen bei KU min. 5 Personen ), max 16 Personen Mindestdauer 15 Stunden => 3 x 5 Stunden auf drei Woche oder 2 x 8 Stunden auf 2 Wochen verteilt oder 2 Tage hintereinander, Übungsaufgaben und "Prüfung" samt Zeugnis möglich. Kosten pro Person 500 Euro zuzügl. 20% MWSt einschließlich Seminarunterlagen und Übungsmaterial, aber ohne Raumkosten und Verpflegung; Terminabstimmung notwendig Ing. Dr. iur. WOLF Eike Konsulent für Telekommunikation, EDV- und Softwareverträge EuroPriSe zertifizierter Datenschutzexperte Bechardgasse 15/8 A-1030 Wien Tel: Mobil: 15

Herunterladen ppt "Übersicht über die neue Datenschutz-Grundverordnung EU-VO-2016/679"

Ähnliche Präsentationen

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
#Selbstregulierung 19.12.13 Dr. Carlo Piltz, 2013.

#Selbstregulierung Dr. Carlo Piltz, 2013.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz?!?!.

Datenschutz?!?!.
Datenschutz als Grundrecht

Datenschutz als Grundrecht
Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU

Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Pflichtübung aus Europarecht 16. April 2014

Pflichtübung aus Europarecht 16. April 2014
Datenschutz - Datensicherheit

Datenschutz - Datensicherheit
Datenschutz im Cyberspace Rechtliche Pflichten für Treuhänder www.weblaw.ch Mathias Kummer Weblaw GmbH Laupenstrasse 1 3008 Bern 031 398 80 98 Mathias.

Datenschutz im Cyberspace Rechtliche Pflichten für Treuhänder Mathias Kummer Weblaw GmbH Laupenstrasse Bern Mathias.
Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?

Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?
Pflichtübung aus Europarecht 13. Mai 2015

Pflichtübung aus Europarecht 13. Mai 2015
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.

Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r

Ähnliche Präsentationen

Google-Anzeigen