Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Ralf Bendrath Grundverordnungskonformes Big Data-Handling

Veröffentlicht von:Gregor Glöckner Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Ralf Bendrath Grundverordnungskonformes Big Data-Handling"—  Präsentation transkript:

1 Ralf Bendrath Grundverordnungskonformes Big Data-Handling
1. GSE-DACH Sicherheitskonferenz "EU-Datenschutz-Grundverordnung" Frankfurt a.M.,

2 I. Wann gilt die DSGVO? (ab Mitte 2018)

3 Wann gilt die DSGVO? Art. 2: Materielle Geltung
Automatisierte Verarbeitung nicht: rein privat, EU-Institutionen, GASP, Strafverfolgung, außerhalb EU-Kompetenz Art. 3: Territoriale Geltung Aktivitäten einer Niederlassung in der EU Ort der Verarbeitung egal! Anbieten von Diensten auf dem EU-Markt

4 Wann gilt die DSGVO? Art. 4, Definitionen
„Personal Data“: „any information relating to an identified or identifiable natural person ('data subject‘); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier (…)” Recital 23: „Data which has undergone pseudonymisation (…) should be considered as information on an identifiable natural person.”

5 Wann gilt die DSGVO? Recital 23:
“To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly.” “account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development.”

6 Wann gilt die DSGVO nicht?
Recital 23: “The principles of data protection should therefore not apply to anonymous information, that is information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable. This Regulation does therefore not concern the processing of such anonymous information, including for statistical and research purposes.”

7 Zusammenfassung Geltungsbereich
fast alle Aktivitäten in der EU bzw. auf dem EU-Markt alle personenbezogenen oder personenbeziehbaren Daten weite Auslegung: „single out“ vgl. EuGH-Fall Breyer zu IP-Adressen Pseudonyme genauso drin, aber dazu später Wenn möglich anonymisieren!

8 II. Anforderungen an die Verarbeitung

9 Vorher fragen? Art. 5: Fairness
Art. 6: Einwilligung, Vertrag, rechtliche Verpflichtung, vitale Interessen, hoheitliche Aufgabe, berechtigtes Interesse Art. 7(4): Koppelungsverbot Recital 38: berechtigtes Interesse: “reasonable expectations of data subjects based on the relationship with the controller” Kunden, aber abhängig vom Zweck Betrugsbekämpfung, Direktmarketing, IT-Sicherheit Art. 9: berechtigtes Interesse nicht bei sensiblen Daten

10 Informieren? Art. 14: Immer, wenn die Daten beim Betroffenen erhoben werden Art. 14a: Fast immer, wenn die Daten nicht beim Betroffenen erhoben werden Ausnahme: „the provision of such information proves impossible or would involve a disproportionate effort“, dann öffentliche Information Big Data = disproportionate effort?

11 Privilegierte Verarbeitung
archiving purposes in the public interest Holocaust-, Stasi-Archive etc. scientific and historical research purposes incl. angewandte Forschung statistical purposes Aggregatdaten als Ergebnis „kompatible Zwecke“ längere Speicherdauer sensible Daten erlaubt durch nationales Gesetz nicht immer Informations- oder Löschpflichten aber Art. 83: Notwendigkeitstest, Pseudonymisierung

12 Zusammenfassung Anforderungen
im Zweifel vorher fragen in fast allen Fällen informieren Ausnahme: Weiterverarbeitung zu Forschungs- oder statistischen Zwecken nicht: erste Erhebung! hier Pseudonymisierung und Notwendigkeitstest siehe oben: wenn möglich anonymisieren!

13 III. Technisch-organisatorische Maßnahmen

14 Pseudonymisierung Art. 4(3b), Definition: „(...) data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution (…)” Recital 23c: „authorised persons” Art. 23 / 30: Teil von Data Protection by Design and by Default und von Data Security Art. 6(3a): Ein Element, um Weiterverarbeitung zu anderen, aber kompatiblen Zwecken zu erlauben

15 Sicherheit Art. 31: Benachrichtigung der DPA:
“unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals” (Beweislast!) Art. 32, Benachrichtigung der Betroffenen, außer no high risk (verschlüsselte Daten o.ä.) “it would involve disproportionate effort. In such case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.”

16 Folgenabschätzung Art. 33: DP Impact Assessment mindestens dort, wo:
a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the individual or similarly significantly affect the individual; processing on a large scale of special categories of data (…); a systematic monitoring of a publicly accessible area on a large scale (CCTV, aber auch Google Maps?)

17 Bestellung eines DPO? Art. 35: public authority or body
the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; the core activities of the controller or the processor consist of processing on a large scale of special categories of data (…) required by Union or Member State law

18 Zusammenfassung technisch-organisatorische Maßnahmen
Pseudonymisierung Sicherheit: eh klar Folgenabschätzung bei wenigen hochriskanten Anwendungsfällen DPO: Deutschland wird wohl BDSG-Regelung behalten

19 IV. Verarbeitung in Drittstaaten?

20 Uh-oh... in Ländern mit Adequacy-Rating ok
sonst Standardvertragsklauseln oder BCRs Aber: hier alles im Fluss seit EuGH Schrems USA: „Privacy Shield“, und täglich grüßt das Murmeltier

21 V. Sonstiges

22 Sanktionen beachten bis zu 4% des weltweiten Jahresumsatzes

23 Danke für die Aufmerksamkeit
Kontakt: bendrath.blogspot.com twitter.com/bendrath

Herunterladen ppt "Ralf Bendrath Grundverordnungskonformes Big Data-Handling"

Ähnliche Präsentationen

Meine Schulfächer.

Meine Schulfächer.
CALPER Publications From Handouts to Pedagogical Materials.

CALPER Publications From Handouts to Pedagogical Materials.
Aktuelle Pressefolien Schiff 2010. 2 THB 26.03.2010.

Aktuelle Pressefolien Schiff THB
Nominative and Accusative Case

Nominative and Accusative Case
The Accusative Case By Herr Loeffler.

The Accusative Case By Herr Loeffler.
Universität StuttgartInstitut für Wasserbau, Lehrstuhl für Hydrologie und Geohydrologie Copulas (1) András Bárdossy IWS Universität Stuttgart.

Universität StuttgartInstitut für Wasserbau, Lehrstuhl für Hydrologie und Geohydrologie Copulas (1) András Bárdossy IWS Universität Stuttgart.
Using Relative Clauses

Using Relative Clauses
Dr. Alexander Dix, LL.M. Commissioner for Data Protection

Dr. Alexander Dix, LL.M. Commissioner for Data Protection
Research-guided Teaching Representation in the Biology Curriculum.

Research-guided Teaching Representation in the Biology Curriculum.
Research-guided Teaching Representation in the Biology Curriculum.

Research-guided Teaching Representation in the Biology Curriculum.
Konjugier,,sein”! ichwir du ihr er, sie,essie, Sie.

Konjugier,,sein”! ichwir du ihr er, sie,essie, Sie.
As of 1st July 2011 there will be no more Wehrdienst in Germany. It still has its place in the German constitution (Grundgesetz) but young men are no.

As of 1st July 2011 there will be no more "Wehrdienst" in Germany. It still has its place in the German constitution (Grundgesetz) but young men are no.
Institut für Angewandte Mikroelektronik und Datentechnik Phase 5 Architectural impact on ASIC and FPGA Nils Büscher Selected Topics in VLSI Design (Module.

Institut für Angewandte Mikroelektronik und Datentechnik Phase 5 Architectural impact on ASIC and FPGA Nils Büscher Selected Topics in VLSI Design (Module.
1IWF/ÖAW GRAZ Data Combination David Fischer, Rumi Nakamura (IWF/OeAW)  Fluxgate: noise + distortion gets worse than the searchcoil at ~ 6 Hz.  Searchcoil:

1IWF/ÖAW GRAZ Data Combination David Fischer, Rumi Nakamura (IWF/OeAW)  Fluxgate: noise + distortion gets worse than the searchcoil at ~ 6 Hz.  Searchcoil:
Synchronization: Multiversion Concurrency Control

Synchronization: Multiversion Concurrency Control
Stephanie Müller, Rechtswissenschaftliches Institut, Universität Zürich, Rämistrasse 74/17, 8001 Zürich, Criminal liability.

Stephanie Müller, Rechtswissenschaftliches Institut, Universität Zürich, Rämistrasse 74/17, 8001 Zürich, Criminal liability.
Literary Machines, zusammengestellt für ::COLLABOR:: von H. Mittendorfer Literary MACHINES 1980 bis 1987, by Theodor Holm NELSON ISBN 0-893467-056-2.

Literary Machines, zusammengestellt für ::COLLABOR:: von H. Mittendorfer Literary MACHINES 1980 bis 1987, by Theodor Holm NELSON ISBN
Frau McKeag. Märchen fangen fast immer an mit Once upon a time, oder Es war einmal…”

Frau McKeag. Märchen fangen fast immer an mit "Once upon a time," oder "Es war einmal…”
Frage des Tages Ich weiß nicht, wie man das ___ Deutsch sagt. an auf.

Frage des Tages Ich weiß nicht, wie man das ___ Deutsch sagt. an auf.
GERMAN WORD ORDER ORDER s. Sentences are made up by placing a variety of words in a specific order. If the order is wrong, the sentence is difficult to.

GERMAN WORD ORDER ORDER s. Sentences are made up by placing a variety of words in a specific order. If the order is wrong, the sentence is difficult to.

Ähnliche Präsentationen

Google-Anzeigen