Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018

Veröffentlicht von:Maike Becke Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018"—  Präsentation transkript:

1 Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018
Bearbeiter dieses Abschnitts: Knoblauch Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

2 Die Datenschutzreform der EU
Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union anzuwenden, 2 Jahre Vorbereitungszeit Die DSGVO ist als europäische Verordnung unmittelbar anzuwendendes Recht Das Datenschutzrecht in Deutschland ist an die DSGVO anzupassen => BDSG neu

3 Zweck und Grundsatz Informationelle Selbstbestimmung bezüglich der Preisgabe und Verwendung der personenbezogenen Daten. Früher GG und „Volkszählungsurteil“ des BVerfG heute DSGVO und EU-Bürgerrechte Folien löschen, da in Arbeitshilfe???

4 Stand der Gesetzgebung
Der Bund hat bereits ein neues BDSG (und weitere Änderungen datenschutzrechtlicher Vorschriften) verabschiedet: Wirkung ebenfalls ab 25. Mai Das BDSG ist in weiten Teilen nur noch Ausführungsgesetz zur DSGVO, die DSGVO enthält aber “Öffnungsklauseln“ nach Art. 6 Abs. 2 DSGVO, von denen das BDSG Gebrauch macht. Gilt für Private, also auch für Vereine, egal ob e.V. oder ohne Eintragung und auch für Personengesellschaften und juristische Personen des Privatrechts

5 Schwerpunkte der Gesetzesänderungen

6 Verantwortlicher „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ Nach BGB ist damit der „Vorstand“ für Vereine der Verantwortliche

7 Der Verantwortliche ist zentraler Adressat der DSGVO
Der „Verantwortliche“ nach BGB hat die Vorschriften der DSGVO umzusetzen, sollte aber bei sehr großen Organisationen delegieren. Wer die Pflichten des Verantwortlichen konkret erfüllt, wäre dann intern schriftlich festzulegen und wohl von der Mitgliederversammlung zu beschließen (Datenschutzordnung)

8 Neue datenschutzrechtliche Begriffe
Art. 4 DSGVO enthält Begriffsbestimmungen, die teils den bisher verwendeten Begriffen entsprechen, sich teilweise aber auch von der bisher im Datenschutzrecht verwendeten Begriffen unterscheiden. Dazu kommen als Auslegungshilfen die sog. „Erwägungsgründe“ (EG) der EU.

9 Umfangreiche Verfahrensänderungen
Das „Verzeichnis von Verarbeitungstätigkeiten“ ist zu führen. Die datenschutzrechtliche Freigabe durch den DSB entfällt Der Datenschutzbeauftragte erhält Gelegenheit zur Stellungnahme vor dem Einsatz automatisierter Verfahren

10 Umfangreiche Verfahrensänderungen
Meldepflichten der Kontaktdaten von Vorstand und DSB / Benachrichtigungspflichten bei Datenschutzpannen (Art. 33 und 34 DSGVO) an Aufsichtsbehörde Stärkere Rechte der Betroffenen Das Recht auf Auskunft umfasst künftig das Recht auf kostenlose Kopie (Art. 15 DSGVO) Recht auf „Vergessen werden“ (Art. 17 DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Recht auf Widerspruch (Art. 21 DSGVO)

11 Stärkere Stellung des Landesbeauftragten
Die Aufsichtsbehörde Landesamt für Datenschutzaufsicht (LDA) in Ansbach kann künftig auch verbindliche Anordnungen erlassen (VA, nötigenfalls mit Zwangsgeld) (es bleibt aber zunächst bei der Beanstandung) Bußgelder bis zu 20 Mio. € möglich (statt €) Beweislastumkehr wegen Rechenschaftspflicht

12 Inhalt des BDSG 2018 Notwendigkeit der Bestellung eines DSB
- ab 10 „Beschäftigte“ in DV mit pb. Daten (können auch Ehrenamtliche oder Externe wie z.B. Steuerberater, IT-Host o.ä. sein), bei manchen auch ohne Schwellenwert (wenn Gesundheitsdaten den Vereinszweck darstellen) Person muss Ahnung haben (Schulung usw.) – rechtlich und technisch Schriftliche Bestellung (auch eines Vertreters für Urlaub und Krankheit)

13 Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO
Datenschutz 2018 Maßnahmenplan für den Verantwortlichen zur Umsetzung der DSGVO Bearbeiter dieses Abschnitts: Bauer-Banzhaf Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

14 Am 25. Mai 2018 ist die Datenschutz-Grundverordnung und das neue Bundes-Datenschutzgesetz in Kraft getreten. Was ist von einem Verein nun (zeitnah) zu tun?

15 To do-Liste: Verantwortlichkeiten-Verteilung klären
Notwendigkeit eines Datenschutzbeauftragten prüfen und ggf. durch Vorstand bestimmen Datenschutz-Ordnung ggf. erstellen und beschließen (lassen) Überprüfung / ggf. Änderung aller Internetseiten und Formulare Überprüfung der Satzung, ggf. bei Datenschutzbezug ändern ergänzen um: Festlegung., wer in der Behörde die zentrale Verantwortung für die Umsetzung trägt Benennung eines behördlichen DSB und sTellvertreters Festlegung des Aufgabenbereiches VERWEIS AUF ARBEITSHILFE CHECKLISTE, FOLIEN ÜBERARBEITEN

16 To do-Liste: Kontaktdaten von Vorstand und DSB an LDA übermitteln
Datensicherheitskonzept/-managementsystem entwerfen (lassen) Risikoabschätzung/Datenschutzfolgenabschätzung einführen/organisieren Verzeichnis von Verarbeitungstätigkeiten (VV) aufbauen

17 Zuständigkeiten und Abläufe regeln
Datenschutz 2018 Zuständigkeiten und Abläufe regeln Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

18 Verantwortlichkeit für die Sicherstellung des Datenschutzes
Vereinsleitung = Vorstand => Ohnehin organisatorische Verantwortung aller Vorgesetzten (bei größeren Organisationen) Alle Beschäftigten (auch Ehrenamtliche) tragen gleichzeitig eine unmittelbare Verantwortung

19 I. Ausgangspunkt ist ein völlig neues Verantwortlichkeitskonzept:
der Verantwortliche übernimmt die Verantwortung für die Verarbeitungstätigkeit (VT), indem er gem. Art. 30 DSGVO die VT ins „Verzeichnis von Verarbeitungstätigkeiten“ aufnimmt.

20 2. Es sollte in größeren Organisationen delegiert werden. Maßstab:
Wer kann Mitarbeitende noch wirklich steuern/ überwachen im Hinblick auf einen wirksamen organisatorischen Datenschutz?

21 3. Der DSB hat nach der DSGVO mehr die Rolle eines
Beratenden und Überwachenden. Aufgabenbeschreibung des Datenschutzbeauftragten auch in Datenschutzordnung.

22 a. DSB bei Erfüllung der Aufgaben frei von Weisungen und berichten der Vereins-Leitung unmittelbar. b. Ihm obliegen Pflichtaufgaben nach Art. 39 Abs. 1 DSGVO: Beratung, Unterrichtung, Überwachung, DSFA, Kontakt zur Aufsichtsbehörde LDA

23 c. Interessenskonflikte zw. Funktion DSB und
Verantwortlichen für Leitung, Personal oder IT sind zu vermeiden d. Gewährleistung der Zurverfügungstellung von ausreichenden Ressourcen (Schulungen, Kommentare/Zeitschriften usw.) e. Zugang zu allen Daten und umfassende Kooperation

24 II. Wer macht das: Führen des Verzeichnisses aller
Verarbeitungstätigkeiten Befüllung ist Aufgabe des Verantwortlichen Organisatorische Führung kann auch IT machen oder DSB Maßnahmen zur Bewältigung der erwarteten Risiken zu beschreiben

25 Ein Muster der Beschreibung einer Verarbeitungstätigkeit
Schulungsmaßnahmen sollten Verantwortliche (= Vorstand und ggf. weitere Führungskräfte) auf diese neuen Verantwortlichkeiten vorbereiten Ein Muster der Beschreibung einer Verarbeitungstätigkeit findet sich in der Liste mit Links WICHTIG – VERWEIS AUF Muster einer Beschreibung einer Verarbeitungstätigkeit aus der Arbeitshilfe

26 III. Risiko- / Datenschutzfolge-Abschätzung (DSFA)
Wer führt diese verantwortlich durch? Nach welcher Systematik? (z.B. ISIS 12) Ggf. Betroffenen-Beteiligung

27 IV. Technische und organisatorische Maßnahmen (TOM)
Müssen aufgrund der Risikoanalyse gefunden werden Datensicherheit – IT Sicherheit Neben der Datenschutzordnung sind ggf. weitere Regelungen (z.B. social media) zum Thema ebenfalls zu beachten. => Die Organisationseinheiten haben alle angemessenen TOM zu treffen um die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten.

28 Bei automatisierter Datenverarbeitung sind bestmögliche
(„Stand der Technik“) Maßnahmen zu treffen, um die pb. Daten vor unbefugten Zugriff zu schützen, z.B. durch Datenminimierung und Pseudonymisierung Protokollierungen aller Zugriffe Rollenkonzept (wer darf speichern/ändern, nur lesen etc.) automatische Erinnerungen an Prüfungen/Löschungen Verschlüsselungen von Wegen und Speicherorten usw. Belehrungen/Verpflichtungen/Vorschriften/Zertifizierung

29

30 Auftragsverarbeitungsverhältnisse
=> Für Neuverträge und Altverträge (Überprüfung) Bei Erledigung von Datenverarbeitung durch Dritte bleibt die datenschutzrechtliche Verantwortung beim Verein Vergabe der Verarbeitung nur an geeignete Auftragnehmer Abschluss eines schriftlichen Vertrages erforderlich Weisungen und Kontrollen müssen kostenneutral möglich sein

31 Auftragsverarbeitung Verpflichtung auf Datengeheimnis
Gewährleistung der Sicherheit der Verarbeitung (TOM) Falls Unterauftragnehmer: Auswahl genauso streng und nur mit Zustimmung

32 Auftragsverarbeitung
=> Unterstützungspflichten des AN bezüglich - Sicherheit der Verarbeitung (TOM) - Meldung von Datenschutzverletzungen - Datenschutz-Folgeabschätzungen - Beantwortung von Anträgen von Betroffenen Löschpflichten nach Vertragsbeendigung Pflicht zur Bereitstellung von Informationen und Ermöglichung von Überprüfungen durch Verantwortlichen oder DSB => Muster beim LDA

33 VI. Meldung von Datenpannen
Wer meldet Datenpannen innerhalb von 72 Stunden an die betroffenen Personen und die Aufsichtsbehörde? Hinweis: Online-Portal für Meldung an LDA bereits freigeschaltet

34 Das Verzeichnis der Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO
Datenschutz 2018 Das Verzeichnis der Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

35 Verzeichnis von Verarbeitungstätigkeiten
Das Verarbeitungsverzeichnis ist Kernelement der umfassenden Rechenschaftspflichten des Verantwortlichen (Art. 5 Abs. 2 DSGVO). Das Verarbeitungsverzeichnis ist zentraler Ausgangspunkt für die Tätigkeit des DSB, Prüfungen durch das LDA, die Erfüllung der Rechte der betroffenen Personen und die Informationspflichten nach Art. 13 und 14 DSGVO.

36 Verzeichnis von Verarbeitungstätigkeiten
Neu: Auch nicht automatisierte Verarbeitungstätigkeiten sind aufzunehmen Neu: Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, der Verarbeitungszwecke und Rechtsgrundlagen sind neu aufnehmen

37 Was ist eine „Verarbeitungstätigkeit“
Beispiele: Mitgliederverwaltung Führung der Arbeitsstunden-Konten für Ehrenamtliche Personalaktenverwaltung Videoüberwachung des / der ... Durchführung von Wahlen und Abstimmungen (Vorstand und MV) / Gremienarbeit Anmeldung für Vereinsaktivität/Freizeitmaßnahme Förderung beantragen => Clusterung

38 Beteiligung DSB Dem Datenschutzbeauftragten ist vor der Einführung oder einer wesentlichen Änderung automatisierter Verfahren, mit denen personenbezogene Daten verarbeitet werden, Gelegenheit zur Stellungnahme zu geben

39 Kein Recht auf Einsichtnahme, keine Veröffentlichung
Es besteht kein Recht auf Einsichtnahme in das Verarbeitungsverzeichnis durch Öffentlichkeit Veröffentlichung freiwillig möglich und birgt aber auch teilweise Gefahren (v.a. TOM)

40 Datenschutz 2018 Die Informationspflichten des Verantwortlichen nach Art. 13 und 14 DSGVO Fußzeilentext ändern unter --> Ansicht --> Kopf- u. Fußzeile

41 Informationspflichten bei der Erhebung von Daten
Zu unterscheiden sind Die Informationspflicht bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Die Informationspflicht bei der Erhebung nicht bei der betroffenen Person (Art. 14 DSGVO) Die Informationspflicht bei einer Zweckänderung vorhandener personenbezogener Daten (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO)

42 Allgemeines zu den Informationspflichten
Eine Informationspflicht besteht nicht, soweit die betroffene Person bereits über die Informationen verfügt: In einem Mitgliederverhältnis oder bei Vertragsschluss (z.B. Eintrittskarte) ist daher nur einmal zu Beginn zu informieren (bei Altfällen nun aber zumindest 1 x). Auch aus den Umständen der Erhebung können sich die Informationen ergeben. Bei „aufgedrängten“ Informationen muss nicht informiert werden (über Kontaktformulare usw. nicht aufgedrängt).

43 Informationspflichten bei der Erhebung bei der betroffenen Person (Art
Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Beispiele: Erhebung mit Anmeldeformular in Papierform Erhebung mit einem Internetformular Erhebung durch mündliche Befragung

44 Informationspflichten bei der Erhebung bei der betroffenen Person (Art
Informationspflichten bei der Erhebung bei der betroffenen Person (Art. 13 DSGVO) Wo es keine Hilfestellungen von Verbänden usw. gibt, müssen wir selbst anpassen. Auch Allg. Datenschutzhinweise (Disclaimer) im Internet sind anzupassen: - anderer Text - prominentere Platzierung

45 Mündliche Datenerhebungen
Bei einer mündlichen Datenerhebung muss stets klar sein, wer der Verantwortliche ist und für welchen Zweck die Daten erhoben werden. Weitere Angaben nach Art. 13 Abs. 1 DSGVO sind als Möglichkeit zur Kenntnisnahme mitzuteilen. Lösung über Datenschutzhinweis im Internet => Aufspaltung in Grundinfo und Spezialinfo Angebot zusätzlich für Leute ohne Internet in Vereinsheim / Geschäftsstelle usw.

46 Einwilligungserklärungen
Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen vor: „unmissverständlich abgegebene Willensbekundung“ bzw. „eine eindeutig bestätigende Handlung“ (bereits angekreuztes Kästchen z.B. ist nicht zulässig) besonderes Augenmerk zukünftig auf Formulierung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) kritisch prüfen, ob bereits vorliegenden Einwilligungs-erklärungen noch den Anforderungen entsprechen.

47 Veröffentlichungen im Internet
Grundsatz: Die Veröffentlichung pb. Daten im Internet ist nur mit ausdrücklicher Einwilligung Ausnahmen: Funktionsbezogene Daten wie beispielsweise vereinsbezogene adressen von Vereinsfunktionären und -organen dürfen auch ohne deren Einwilligung im Internet veröffentlicht werden. Auch darf ein Verein ohne Einwilligung von Mitgliederversammlungen berichten, weil sie ein berechtigtes Interesse daran hat, wichtige Ergebnisse ihrer Kerntätigkeit nach außen hin darzustellen. Auch diese veröffentlichten Daten müssen nach einer angemessenen Zeit gelöscht werden. Ein über mehrere Jahre zurückreichendes Archiv unter Nennung einzelner pb. Daten ist dabei als unangemessen anzusehen.

48 Veröffentlichung von Fotos und Videoaufnahmen
Öffentlichkeitsarbeit der Vereine auf Website, in Presse/Fernsehen oder in der Vereinspostille nach wie vor gem. KunsturhG grundsätzlich nur mit Einwilligung Ausnahmen: sog. Personen der Zeitgeschichte (Bühne) und öffentliche Vorgängen (Umzüge, öffentl. Vorträge o.ä.), wenn die Ansammlung von Menschen (und nicht die einzelne Person) im Vordergrund steht Achtung: KunstUrhG deckt nicht Veröffentlichung auf Social Media, da Verarbeitung in Drittland erfolgt! Für Abbildungen Minderjähriger gelten strengere Anforderungen: vorherige Einwilligung der gesetzlichen Vertreter (z.B. bereits bei der Anmeldung)

49 Veröffentlichung von Fotos und Videoaufnahmen
Keine Formvorschrift, aber schriftliche Einwilligung sinnvoll (zum Beweis) Veröffentlichung von Foto- und Videoaufnahmen bei Sportveranstaltungen ist lt. BGH (2013) zulässig, denn Foto- und Videoaufnahmen sind dort üblich, so dass Teilnehmer damit rechnen müssen => stillschweigende Einwilligung. Das gilt wohl auch für andere öffentliche Veranstaltungen. Ansonsten gem. Art. 6 Abs. 1 lit. b und f DSGVO grünes Licht, wenn dies auf Hinweisschildern am Eingang erklärt oder auf Eintrittskarten abgedruckt ist.

Herunterladen ppt "Einführung in die neue Rechtslage im Datenschutz ab dem 25. Mai 2018"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Die neue europäische Datenschutzverordnung

Die neue europäische Datenschutzverordnung
Zweck des Datenschutzgesetzes

Zweck des Datenschutzgesetzes
Datenschutz?!?!.

Datenschutz?!?!.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, 06.05.2004 Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.

HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.

Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.
DurchführungsVerordnung 2016/1842; Vorgestellt im Rahmen der Veranstaltung der KdK am 15.02.2017 in Nürnberg.

DurchführungsVerordnung 2016/1842; Vorgestellt im Rahmen der Veranstaltung der KdK am in Nürnberg.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Vereinsvorstand § 26 BGB Edgar Oberländer – Mitglied im Landesausschuss Recht, Steuern und Versicherung Stand: Mai 2013.

Vereinsvorstand § 26 BGB Edgar Oberländer – Mitglied im Landesausschuss Recht, Steuern und Versicherung Stand: Mai 2013.

Ähnliche Präsentationen

Google-Anzeigen