Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Art. 17 Recht auf Löschung (Vergessen werden)

Veröffentlicht von:Josef Frei Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Art. 17 Recht auf Löschung (Vergessen werden)"—  Präsentation transkript:

1 Art. 17 Recht auf Löschung (Vergessen werden)
Betroffenenrechte Art. 17 Recht auf Löschung (Vergessen werden)

2 Inhalt Warum Löschkonzepte für die Sparkassen- Finanzgruppe?
Anforderungen aus der EU-DSGVO zur Löschung von Daten. Einbindung in das DSGV-Projekt „Umsetzungsbegleitung Datenschutz- Grundverordnung (DSGVO)“

3 Inhalt Warum Löschkonzepte für Sparkassen- Finanzgruppe?
Anforderungen aus der EU-DSGVO zur Löschung von Daten. Einbindung in das DSGV-Projekt „Umsetzungsbegleitung Datenschutz- Grundverordnung (DSGVO)“

4 Anforderung an das Löschen von personen-bezogenen Daten
Die rechtlichen Anforderungen an das Löschen knüpfen an personenbezogenen Daten (pbD) an. Die pbD können und sollten nicht isoliert betrachtet werden, sondern müssen in ihrem jeweiligen Verarbeitungszusammenhang / ihrem jeweiligen Prozessumfeld gesehen werden. Das Bundesdatenschutzgesetz (BDSG) und künftig die EU- Datenschutzgrundverordnung (EU-DSGVO) verlangen von den verantwortlichen Stellen, dass personenbezogene Daten, die nicht mehr erforderlich sind, gelöscht – oder wenn z.B. gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen – gesperrt* werden. Ein Verstoß gegen diese Pflicht zur Löschung – oder Sperrung – dieser Daten kann Bußgelder und gegebenenfalls auch Schadensersatzforderungen zur Folge haben * „Einschränkung der Verarbeitung“ ist die entsprechende Bezeichnung in der EU-DSGVO

5 Welche Daten sind wann zu löschen?
Weder das BDSG noch die EU-DSGVO geben konkrete Zeitpunkte vor, wann Daten zu löschen sind. Daten, sind zu löschen, wenn sie unzulässiger Weise verarbeitet werden oder sie nicht mehr erforderlich sind. Zu löschende Daten sind u.a. dann ersatzweise zu sperren, wenn gesetzliche Aufbewahrungsfristen einer Löschung entgegen stehen Es gibt in vielen verschiedenen Gesetzen die unterschiedlichsten Aufbewahrungsfristen Alles bleibt so, wie es ist – allerdings nur rechtlich! Bußgelder werden deutlich höher!

6 Welche Daten werden wann gelöscht?
Aufgrund der unterschiedlichen Aufbewahrungs- und Löschfristen ist es erforderlich, die Einhaltung der gesetzlichen Anforderungen die Datenlöschung konzeptionell in die internen Abläufe zu integrieren. Veraltete Daten bedeuten nicht nur ein rechtliches Risiko! Unnötige Speicherkosten Mangelnder Überblick über vorhandene Potentiale erschwert die Vertriebssteuerung Unnötiger Aufwand und Kosten bei Informationspflichten an Kunden (Postrückläufer, Karteileichen) Nutzung veralteter Daten z.B. für aktuelle Marketingaktionen und sonstige werbliche Zwecke führen zu Rückfragen oder Kundenbeschwerden Welche Daten werden wann gelöscht?

7 Alles ist zu löschen, wenn es nicht mehr gebraucht wird!
Grundsatz Alles ist zu löschen, wenn es nicht mehr gebraucht wird!

8 Drei Schritte zum Ziel Löschkonzept?
1.) Unterschiedliche Löschklassen (aufgrund von Datenkategorien und Aufbewahrungsfristen) definieren 2.) Personenbezogene Daten nach ihren Löschklassen kategorisieren 3.) Sperr- und Löschroutinen etablieren Drei Schritte zum Ziel

9 Datenschutz ist in der SFG angekommen …
Zitat des DSGV-Präsidenten „Sparkassen müssen ihre historische Aufgabe, Kunden Sicherheit zu geben, neu in Richtung Datenschutz interpretieren.“ DSGV-Projekte richten sich zukunftsorientiert am Datenschutz aus

10 Inhalt Warum Löschkonzepte für die Sparkassen- Finanzgruppe?
Anforderungen aus der EU-DSGVO zur Löschung von Daten. Einbindung in das DSGV-Projekt „Umsetzungsbegleitung Datenschutz- Grundverordnung (DSGVO)“

11 EU-DSGVO Art. 5 Die Einführung und Umsetzung eines Löschkonzeptes dient insbesondere der Umsetzung folgender Grundsätze* der EU-DSGVO: Zweckbindung Datenminimierung Speicherbegrenzung Daten sind zu löschen, wenn sie für die vorgesehenen Geschäftszwecke nicht mehr erforderlich sind. *) Art. 5, Abs. 1, Buchstaben b, c und e Grundsätze über die Verarbeitung personenbezogener Daten

12 EU-DSGVO Art. 17 Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: Recht auf Löschung Absatz 1 a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

13 EU-DSGVO Art. 17 c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. Recht auf Löschung („Recht auf Vergessen werden“) Absatz 1

14 Inhalt Warum Löschkonzepte für die Sparkassen- Finanzgruppe?
Anforderungen aus der EU-DSGVO zur Löschung von Daten. Einbindung in das DSGV-Projekt „Umsetzungsbegleitung Datenschutz- Grundverordnung (DSGVO)“

15 Drei Schritte zum Ziel Löschkonzept!
1.) Unterschiedliche Löschklassen (aufgrund von Datenkategorien und Aufbewahrungsfristen) definieren 2.) Personenbezogene Daten nach ihren Löschklassen kategorisieren 3.) Automatische Sperr- und Löschroutinen etablieren Innerhalb der Sparkassen sind die Löschroutinen für Drittanwendungen und Verzeichnisse (alle automatisierten Verarbeitungen) mit Hilfe des Leitfadens und dem Musterverfahrensverzeichnis zu prüfen und zu überarbeiten. Die Administrationsmöglich-keiten innerhalb der FI Anwendungen sind analog zu überarbeiten. Im DS-GVO Projekt wird mit Zieltermin Januar 2018 ein Standard für das Verzeichnis der Verarbeitungstätigkeiten in den Sparkassen erarbeitet. Dieses wird mit Erfahrungswerten der Projektsparkassen beispielhaft befüllt und ist in jeder Sparkasse inhaltlich zu prüfen und anzupassen. Der Leitfaden zur Datenlöschung unterstützt bei der Ermittlung von Löschregeln und -klassen für personenbezogene Daten in einzelnen Prozessen. Diese sind formell im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

16 Leitfaden zur Datenlöschung
Der Leitfaden zur Datenlöschung soll die Prozessverantwortlichen, den Datenschutzbeauftragten und die Verantwortlichen für die IT-Löschkonzepte unterstützen, Regellöschfristen für personenbezogene Daten im Kontext des Verarbeitungszweckes festzulegen. Er dient dem einheitlichen Verständnis der Begrifflichkeiten und zum Verständnis des generellen Vorgehens zur Ermittlung der Löschfristen. Der Verarbeitungszweck ist abhängig vom Prozess, in welchem die Daten verarbeitet werden. Beispiel: Personenstammdaten können sowohl im Prozess „Akquisition und Kundenpflege“ erhoben und gespeichert werden als auch im Prozess „Girokonten“. Vor diesem Hintergrund ist zu ermitteln, wann die jeweilige Löschfrist beginnt, ob und welche rechtlichen Aufbewahrungspflichten zu berücksichtigen sind, ab wann eine Löschung notwendig ist und ob und wie lange darüber hinaus ein Vorhalten der Daten vertretbar ist, um eine effiziente technische Umsetzung zu ermöglichen. Beispiel: Die Löschfrist von Kundenstammdaten im Prozess „Girokonten“ beginnt mit dem Ende der Kundenbeziehung. Diese dürfen gem. Abgabenordnung frühestens nach 10 Jahren am Jahresende gelöscht werden. Um technische und ablauforganisatorische Maßnahmen möglichst effizient zu gestalten, laufen die Löschroutinen nicht am 01. Januar jeden Jahres, sondern stufenweise in den darauffolgenden Wochen.

17 Verzeichnis der Verarbeitungs-tätigkeiten
Gesetzlich gefordert sind gem. Art. 30 DSGVO: Namen und Kontaktdaten des Verantwortlichen Zwecke der Verarbeitung (Zweckbestimmung) Beschreibung betroffener Personengruppen und der Datenkategorien Kategorien von Empfängern einschl. Drittländer / internationale Organisationen Vorgesehen Fristen für die Löschung Allgemeine Beschreibung der TOMs gem. Art. 32 DSGVO Weitere Ergänzungen zur Verdeutlichung und Transparenzsteigerung, u. a.: Angaben zur Zulässigkeit / Rechtmäßigkeit Auftragsverarbeiter Zugriffberechtigte Personengruppen Angaben zur Vorprüfung DSFA Ressourcen für die Verarbeitung DSGVO-konforme Struktur des VVT Tim Krone

18 Das Muster-VVT kann und wird nicht rechtsverbindlich sein!
Verzeichnis der Verarbeitungs-tätigkeiten Festlegung in der AG 10 auf die Orientierung an PPS-Prozesslandkarte für die Sparkassen. Als maßgeblich werden die Hauptprozesse erachtet (3. Ebene). Einzelprozesse verdeutlichen dem Verständnis nach die Verarbeitungstätigkeit (Hauptprozess). PPC strebt an, neben den Prozessbeschreibungen für Einzelprozesse ebenfalls entsprechende Beschreibungen für Hauptprozesse zu liefern (Zweckbestimmung). Keine konkreten Angaben zu TOMs oder Ressourcen im Muster vorgesehen(!) Das Muster-VVT kann und wird nicht rechtsverbindlich sein! Erstellung eines Muster-VVT Tim Krone

19 Verzeichnis der Verarbeitungs-tätigkeiten
Konzeptionelle Logik: Geschäftsprozesse Informationen / Datenkategorien Volatilstes Element im Gesamtkontext Erstellung eines Muster-VVT Anwendungen / Ressourcen Tim Krone

20 Verzeichnis der Verarbeitungs-tätigkeiten
Aktueller Erhebungsstand für das Muster-VVT: 160 Hauptprozesse, davon: Zu 51 Prozessen Interviews mit Fachabteilungen durchgeführt 18 Prozesse mittels Dritterhebung (Programmeinsatzverfahren) bereits Datenkategorien zugewiesen (keine QS bisher!) Rund 700 Zeilen Datenkategorien den Prozessen zugeordnet 11 Auftragsverarbeiter den Prozessen zugeordnet Erstellung eines Muster-VVT Tim Krone

21 Muster-VVT Tim Krone

22 Maßnahmen in der Sparkasse
Die Administration von OSPlus-Anwendungen bzgl. der Löschoptionen ist entsprechend zu nutzen. Vorbelegungen seitens der Finanz Informatik sind durchgängig zu überprüfen bzw. mit definierten institutsindividuellen Ablauf-/Enddaten zu überschreiben, um die standardisierten Löschfunktionen in OSPlus zu nutzen. Institutsinterne Prozesse sind explizit so zu gestalten, dass eine Minimierung von löschverhindernden Konstellationen erfolgt. Geeignete Überwachungsaktivitäten (z.B. durch Kontrollauswertungen) und ggf. notwendige Korrekturen sind institutsintern zu realisieren

Herunterladen ppt "Art. 17 Recht auf Löschung (Vergessen werden)"

Ähnliche Präsentationen

Benachrichtigung Auskunft Berichtigung Sperrung Löschung

Benachrichtigung Auskunft Berichtigung Sperrung Löschung
Verfahrensverzeichnis

Verfahrensverzeichnis
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Zweck des Datenschutzgesetzes

Zweck des Datenschutzgesetzes
Datenschutz?!?!.

Datenschutz?!?!.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, 06.05.2004 Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.

HRM-Systeme und Arbeitnehmerdatenschutz Folie 0 © BayME, Human-Resources-Managemnt-Systeme und Arbeitnehmerdatenschutz: Ein Widerspruch? BUSINESS.
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.

Verarbeitung von Gesundheitsdaten: Erlaubnistatbestände  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe „Datenschutz.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Ähnliche Präsentationen

Google-Anzeigen