Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

GDD ERFA-KREIS Karlsruhe

Veröffentlicht von:Richard Lange Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "GDD ERFA-KREIS Karlsruhe"—  Präsentation transkript:

1 GDD ERFA-KREIS Karlsruhe 07.05.2018
Datenschutzanforderungen an technische IT-Anwendungen (z.B. CAD) Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt

2 Datenschutzanforderungen an technische IT-Anwendungen
Was sind technische IT-Anwendungen? Applikationen, bei denen die Verarbeitung von personenbezogenen Daten in jedem Falle nur notwendiger Nebenzweck ist, dennoch gilt Art. 32 EU-DS-GVO „Sicherheit der Verarbeitung“

3 Datenschutzanforderungen an technische IT-Anwendungen
Welche personenbezogenen Daten werden verarbeitet? Vorname + Name -Adresse Geschäftliche Adresse Geschäftliche Telefonnummer IT-User (z.B. im Active Directory) IP-Adresse Ggf. weitere…? Wie werden diese personenbezogenen Daten verarbeitet? Verknüpfung von technischen Informationen mit Personen und deren Aktivitäten „Zeichnung 1 wurde von User X erstellt“ „Stücklisten des Kunden Y dürfen nur von User Z bearbeitet werden“

4 Datenschutzanforderungen an technische IT-Anwendungen
Besteht ein hohes Risiko für die Rechte und Freiheiten betroffener Personen (Art. 35 EU-DS-GVO)? Kriterien nach Art. 29 Datenschutzgruppe – WP 248 Bewertung Scoring/Profiling (ggf. Leistungsüberwachung) (Nein) Automatische Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen Nein Systematische Überwachung (ohne mögliche Kenntnis des Betroffenen) Sensible Daten (besondere personenbezogene Daten nach Art. 9 EU-DS-GVO) Daten die in großem Umfang verarbeitet werden (Kriterium: Anzahl der Betroffenen, Menge der Daten etc.) Zusammenführen/Kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener Einsatz neuer Technologien oder biometrischer Verfahren Datentransfer in Länder außerhalb der EU/EWR Nein (ggf. Ja) Die Datenverarbeitung hindert Betroffene an der Ausübung ihrer Rechte (z.B. Recht auf freie Entfaltung der Persönlichkeit)

5 Datenschutzanforderungen an technische IT-Anwendungen
Mögliche Verwendungszwecke Einloggen der Person ermöglichen (Berechtigungskonzept) Berechtigungen der Person einschränken (Berechtigungskonzept) Dokumentation von Genehmigung von technischen Informationen wie Stücklisten oder Zeichnungen (z.B. Workflow) Protokollierung, welche Person welche Aktivitäten wann durchgeführt hat (Beweislast nach § 1 (4) Produkthaftungsgesetz) Ggf. weitere? Rechtsgrundlagen Arbeitsvertrag (oder Werkvertrag bei externen Mitarbeitern) Art. 6 (1) lit.b) EU-DS-GVO Beschäftigungsverhältnis § 26 BDSG Berechtigtes Interesse Art. 6 (1) lit.f EU-DS-GVO: Dokumentation der Beweislast nach § 1 (4) Produkthaftungsgesetz (siehe Backup)

6 Datenschutzanforderungen an technische IT-Anwendungen
Auskunftsrecht (Art. 15 EU-DS-GVO) In den Anwendungen muss ermittelt werden können, für welchen Zeitraum personenbezogene Daten (pbD) einer betroffenen Person gespeichert wurden Recht auf Berichtigung (Art. 16 EU-DS-GVO) Keine eigene Benutzerverwaltung: Keine Anforderung, da alle pbD aus dem Active Directory automatisch kopiert werden und auch nur dort korrigiert werden können Eigene Benutzerverwaltung: Benutzerdaten müssen durch Administratoren auf Anforderung korrigiert werden können Recht auf Löschung (Art. 17 EU-DS-GVO) Nach Wegfall der Archivierungspflichten (z.B. aufgrund Wegfall der Produkthaftung) müssen die pbD gelöscht werden können Alternativ können auch die pbD anonymisiert werden (z.B. Ersetzen aller personenbezogenen Daten (alle Daten, die eine Person noch identifizierbar machen) durch eine Zahl – jedenfalls mindestens Ersetzen des Namens und des IT-User) Ein „Löschkonzept“ ist zu implementieren (entweder Löschung nach x Jahren oder automatische Anonymisierung)

7 Datenschutzanforderungen an technische IT-Anwendungen
Recht auf Einschränkung der Verarbeitung (Art. 18 EU-DS-GVO) Keine Anforderung, da nicht relevant Mitteilungspflicht (Art. 19 EU-DS-GVO) Datenübertragbarkeit (Art. 20 EU-DS-GVO) Widerspruchsrecht (Art. 21 EU-DS-GVO) Automatisierte Entscheidungen (Art 22. EU-DS-GVO) Keine Anforderungen, da nicht relevant Achtung, je nach Konstellation ist zu berücksichtigen: Bei Änderungen der Anwendungen mit datenschutzrechtlicher Relevanz (z.B. Verlagerung des Speicherortes in ein Drittland) ist eine erneute Bewertung durchzuführen Der IT-Dienstleister hat durch geeignete Verträge und technische Maßnahmen sicherzustellen, dass weitere Subdienstleister die personenbezogenen Daten datenschutzkonform verarbeiten, ggf. sind Auftragsverarbeitungsverträge abzuschließen

8 Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Die Videoüberwachung öffentlich zugänglicher Räume ist gemäß § 4 BDSG (neu) unter folgenden Voraussetzungen zulässig: Zweck: entweder Wahrnehmung des Hausrechts oder Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke Berechtigtes Interesse kann grundsätzlich jedes rechtliche, wirtschaftliche oder ideelle Interesse sein. Anerkannt sind insb. die Zwecke, die auch vom Hausrecht umfasst sind: Präventive Zwecke: Verhinderung von Rechtsverstößen wie Diebstählen, Unterschlagungen oder Sachbeschädigungen. Repressive Zwecke: Beweissicherung zur Aufklärung von Straftaten oder Durchsetzung zivilrechtlicher Schadensersatzansprüche

9 Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Die Videoüberwachung öffentlich zugänglicher Räume ist gemäß § 4 BDSG (neu) unter folgenden Voraussetzungen zulässig: Die Videoüberwachung ist zur Erreichung des Zwecks erforderlich Es bestehen keine Anhaltspunkte, dass schutzwürdige Interessen der Betroffenen überwiegen. Dazu muss eine Interessenabwägung durchgeführt werden: Darstellung der Eingriffe in die Rechte der Betroffenen, Eingriffsintensität, Ausweichmöglichkeiten Umfang der Gefährdung/Beeinträchtigung für das Unternehmen oder eines Dritten Begründung, warum die Interessen des Unternehmens/Dritten überwiegen

10 Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Datenschutz-Folgenabschätzung Angaben nach Art. 35 (7) EU-DS-GVO Definition des überwachten Bereiches, inkl. Ausgrauen/Schwenkbereiche Zugriffsrechte-Konzept: Festlegung, wer berechtigt ist, die Videos anzuschauen/auszuwerten Weitergabe der Daten an öffentliche Stellen (z.B. Polizei) Abhängig vom Zweck: Maßnahmen zur Vermeidung von Personenbezug Löschkonzept Mitbestimmungsrechte Betriebsrat Technische und Organisatorische Maßnahmen zum Schutz der Daten und Aufzeichnungsgeräte Vorgaben zur Umsetzung der Hinweispflicht

11 Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Erfüllung der Hinweispflicht als Merkblatt oder Tafel am Werkstor Verantwortlicher Rechtsgrundlage Zweck der Videoüberwachung Beschreibung der Standorte der Videokameras (oder Karte) Angaben zur Löschung der Aufzeichnung Aussage zur Weitergabe der Daten Hinweis auf das Recht, Auskunft zu erhalten mit Kontaktdaten (z.B. Datenschutzbeauftragter oder Werkschutz) Hinweis auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde mit Kontaktdaten

12 Videoüberwachung öffentliche Räume: Datenschutz praxisnah umgesetzt
Hinweisschilder an den Grenzen des Überwachungsbereiches Musterfirma GmbH Kontakt: Tel / Glücksstraße 1, Freudenstadt

13 Backup

14 Produkthaftungsgesetz
§ 1 Haftung (1) Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen. Im Falle der Sachbeschädigung gilt dies nur, wenn eine andere Sache als das fehlerhafte Produkt beschädigt wird und diese andere Sache ihrer Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und hierzu von dem Geschädigten hauptsächlich verwendet worden ist. (2) Die Ersatzpflicht des Herstellers ist ausgeschlossen, wenn 1. er das Produkt nicht in den Verkehr gebracht hat, 2. nach den Umständen davon auszugehen ist, dass das Produkt den Fehler, der den Schaden verursacht hat, noch nicht hatte, als der Hersteller es in den Verkehr brachte, 3. er das Produkt weder für den Verkauf oder eine andere Form des Vertriebs mit wirtschaftlichem Zweck hergestellt noch im Rahmen seiner beruflichen Tätigkeit hergestellt oder vertrieben hat, 4. der Fehler darauf beruht, dass das Produkt in dem Zeitpunkt, in dem der Hersteller es in den Verkehr brachte, dazu zwingenden Rechtsvorschriften entsprochen hat, oder 5. der Fehler nach dem Stand der Wissenschaft und Technik in dem Zeitpunkt, in dem der Hersteller das Produkt in den Verkehr brachte, nicht erkannt werden konnte. (3) Die Ersatzpflicht des Herstellers eines Teilprodukts ist ferner ausgeschlossen, wenn der Fehler durch die Konstruktion des Produkts, in welches das Teilprodukt eingearbeitet wurde, oder durch die Anleitungen des Herstellers des Produkts verursacht worden ist. Satz 1 ist auf den Hersteller eines Grundstoffs entsprechend anzuwenden. (4) Für den Fehler, den Schaden und den ursächlichen Zusammenhang zwischen Fehler und Schaden trägt der Geschädigte die Beweislast. Ist streitig, ob die Ersatzpflicht gemäß Absatz 2 oder 3 ausgeschlossen ist, so trägt der Hersteller die Beweislast.

Herunterladen ppt "GDD ERFA-KREIS Karlsruhe"

Ähnliche Präsentationen

Benachrichtigung Auskunft Berichtigung Sperrung Löschung

Benachrichtigung Auskunft Berichtigung Sperrung Löschung
Verfahrensverzeichnis

Verfahrensverzeichnis
Haftungsfragen bei Debit - Kartenzahlungsvorgängen

Haftungsfragen bei Debit - Kartenzahlungsvorgängen
Software in sicherheitsrelevanten Systemen Ralf Pinger / Stefan Gerken Sommersemester 2013.

Software in sicherheitsrelevanten Systemen Ralf Pinger / Stefan Gerken Sommersemester 2013.
Versand der Arzneimittel

Versand der Arzneimittel
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Sie haben Schmerzen.

Sie haben Schmerzen.
Zweck des Datenschutzgesetzes

Zweck des Datenschutzgesetzes
Betriebsvereinbarungen

Betriebsvereinbarungen
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?

Datenschutz X 1. Was ist Datenschutz? 2. Datenschutzgesetze?
Rechtliche Rahmenfaktoren der Netzwerksicherheit

Rechtliche Rahmenfaktoren der Netzwerksicherheit
Das allgemeine Gleichbehandlungsgesetz -

Das allgemeine Gleichbehandlungsgesetz -
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
SoWi Ü - 1 Barta: Zivilrecht online PHG 1988 (1) qFall: „ Fliegendes“ Messer aus Rasenmäher tötet Frau qAnwendungsbereich: Gewerbe, Industrie; Arzneimittel.

SoWi Ü - 1 Barta: Zivilrecht online PHG 1988 (1) qFall: „ Fliegendes“ Messer aus Rasenmäher tötet Frau qAnwendungsbereich: Gewerbe, Industrie; Arzneimittel.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Ähnliche Präsentationen

Google-Anzeigen