Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung

Veröffentlicht von:Lothar Egger Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung"—  Präsentation transkript:

1 Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung
Helmut Eiermann Stellv. Landesbeauftragter / Leiter Bereich Technik

2 Derzeit: Vorabkontrolle
§ 4d BDSG […] (5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1.besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2.die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten […] (6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz.

3 Datenschutz-Folgenabschätzung
Art. 35 DS-GVO (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. […] Risikoanalyse/-bewertung Dokumentation (Art. 5 (2)) Dokumentation

4 Datenschutzfolgeabschätzung
Risikoanalyse (Risiko: hoch) Art. 35 (3) Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe

5 Art. 35 (3) - Datenschutzfolgeabschätzung unabhängig von einer konkreten Risikoanalyse
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

6 Besondere Kategorien personenbezogener Daten
Art. 9 DS-GVO (1) … personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. […]

7 Art. 35 (3) - Datenschutzfolgeabschätzung unabhängig von einer konkreten Risikoanalyse
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

8 9 Kriterien für ein voraussichtlich hohes Risiko:
Kernpunkte WP 248 9 Kriterien für ein voraussichtlich hohes Risiko:  Bewertung / Scoring  Automatisierte Entscheidungen  Systematische Überwachung  Sensible Daten (Art. 9, 10 DS-GVO)  Umfangreiche Verarbeitung  Zahl Betroffener  Datenumfang  Dauer der Verarbeitung/Speicherung  Geografische Reichweite

9 Kriterien für ein voraussichtlich hohes Risiko:
Kernpunkte WP 248 Kriterien für ein voraussichtlich hohes Risiko:  Verknüpfung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden  Verarbeitung von Daten schutz bedürftiger/abhängiger Personen (z.B. Beschäftigte, Patienten, Alte, Schutzsuchende)  Innovative Verarbeitungstechniken (z.B. Gesichtserkennung, -analyse)  Hinderung an Rechtsausübung, Nutzung einer Dienstleistung oder Vertragsdurch führung (z.B. Auskunfteien) Bei 2 zutreffenden Kritereien: DSFA!

10 Datenschutzfolgeabschätzung
Risikoanalyse Sicherheits- Konzept (Risiko: hoch) Datenschutzfolgeabschätzung Verarbeitungsvorgänge ( Art. 30) Mindestinhalte nach Art. 35 (7) Verarbeitungszwecke Bewertung Rechte + Freiheiten Betroffener Abhilfemaßnahmen Bewertung Notwendigkeit + Verhältnismäßigkeit

11 Rechte und Freiheiten betroffener Personen
Kernpunkte WP 248 Rechte und Freiheiten betroffener Personen  Recht auf Schutz personenbezogener Daten (Art. 8 ( EU GR-Charta)  Recht auf Achtung des Privat- und Familienlebens (Art. 7 EU GR-Charta)  Meinungs- und Informationsfreiheit (Art. 11 EU GR-Charta)  Gedanken-, Gewissens- und Religionsfreiheit (Art. 10 EU GR-Charta)  Nichtdiskriminierung (Art. 21 EU GR-Charta)

12 Das Standard-Datenschutzmodell
Gewährleistungsziele: IT-Grundschutz  Verfügbarkeit  Integrität  Vertraulichkeit  Datensparsamkeit (Datenumfang & Datenminimierung)  Transparenz (Dokumentation & Nachvollziehbarkeit)  Nichtverkettbarkeit (Berechtigungskonzept & Zweckbindung)  Intervenierbarkeit (Betroffenenrechte & Löschung)

13 Das Standard-Datenschutzmodell
Gewährleistungsziele Datenschutz-Grundverordnung Verfügbarkeit Art. 20, 32 Integrität Art. 5, 32 Vertraulichkeit Art. 5, 25, 32 Datensparsamkeit Art. 5, 25, 32 Transparenz Art. 5, 32 Nichtverkettbarkeit Art. 5, 25, 32 Intervenierbarkeit Art. 5, 25, 32

14 Zuordnung Gewährleistungsziele  Regelungen der DS-GVO
Zuordnung Gewährleistungsziele  Erwägungsgründe der DS-GVO

15 Standard-Datenschutzmodell als Methodik im WP 248

16 Das Standard-Datenschutzmodell
Datenschutzfolgenabschätzung: Welche Folgen ergeben sich durch die vorgesehene Verarbeitung für die im Standard-Datenschutzmodell genannten Gewährleistungsziele?

17 Datenschutzfolgeabschätzung
Risikoanalyse Sicherheits- Konzept (Risiko: hoch) Datenschutzfolgeabschätzung Verarbeitungsvorgänge ( Art. 30) Mindestinhalte nach Art. 35 (7) Verarbeitungszwecke Bewertung Rechte + Freiheiten Betroffener Abhilfemaßnahmen Bewertung Notwendigkeit + Verhältnismäßigkeit  Datensparsamkeit  Verfügbarkeit  Integrität  Vertraulichkeit  Nichtverkettbarkeit (Zweckbindung)  Transparenz  Intervenierbarkeit (Betroffenenrechte)

18 Kernpunkte WP 248 – Bestehende Verarbeitungen
 Eine DSFA ist für bestehende Datenverarbeitungen dann nicht durchzuführen, wenn diese einer Vorabkontrolle unterzogen wurden und sich keine wesentlichen Änderungen ergeben haben (III.C).  Eine DSFA ist für bestehende Datenverarbeitungen durchzuführen, wenn sich seit der Vorabkontrolle Änderungen ergeben haben, die voraussichtlich mit einen hohen Risiko verbunden sind (III.C).

19 Kernpunkte WP 248 - Sonstiges
 Eine DSFA kann für mehrere Datenverarbeitungstätigkeiten durchgeführt werden, die nach Art, Reichweite, Kontext, Zweck und Risiken vergleichbar sind (III.A).  Eine DSFA sollte regelmäßig überprüft werden (III.C).  Bei der Durchführung einer DSFA ist der (interne) Datenschutzbeauftragte gemäß Art. 35 (2) DS-GVO zu beteiligen. Dessen Empfehlungen sind zu dokumentieren (III.D.b).

20 Neu! Bußgeld.

21 EU DSGVO Art. 30 Datenschutzfolgeabschätzung

22 datenschutz.rlp.de

23 datenschutz.rlp.de

24 datenschutz.rlp.de

25 Helmut Eiermann Stellvertretender Landesbeauftragter
für den Datenschutz und die Informationsfreiheit Leiter Bereich Technik Postanschrift: Postfach Mainz Büroanschrift: Hintere Bleiche 34 55116 Mainz Telefon: +49 (6131) Telefax: +49 (6131) Web:

Herunterladen ppt "Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung"

Ähnliche Präsentationen

BEM aus Datenschutzsicht

BEM aus Datenschutzsicht
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Anwendung des Vergabe- und Haushaltsrechts

Anwendung des Vergabe- und Haushaltsrechts
Europäischer Rahmen, einschließlich der Verordnung Nr. 606/2013,

Europäischer Rahmen, einschließlich der Verordnung Nr. 606/2013,
ao. Univ.-Prof. Dr. Wolfgang Brodil

ao. Univ.-Prof. Dr. Wolfgang Brodil
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Rettungspunkte in der Gemeinde Simmerath

Rettungspunkte in der Gemeinde Simmerath
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018

Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
VORLESUNG DATENSCHUTZRECHT

VORLESUNG DATENSCHUTZRECHT
17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen

17. Oktober 2017 Hans G. Zeger, Datenschutz Grundlagen
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
Datenschutz & IT-Sicherheit Anforderungen, Konzepte, Umsetzung

Datenschutz & IT-Sicherheit Anforderungen, Konzepte, Umsetzung
Willkommen I think there is a world market for maybe five computers

Willkommen I think there is a world market for maybe five computers
Betrieblicher Datenschutz - DSGVO

Betrieblicher Datenschutz - DSGVO

Ähnliche Präsentationen

Google-Anzeigen