Sie sind auf Seite 1von 15

Grundsätzlich ist jede

Verarbeitung von
personenbezogenen Daten
verboten.
DSGVO und BDSG-neu Schulung für Betroffene,
Verarbeiter, Verantwortliche und deren Mitarbeiter

Dipl.-Math. Karlheinz Mohr, CIPP/E, ext. Datenschutzbeauftragter,


DSB-Mohr@Online.DE
Agenda

• DSGVO – Warum, Wieso, Was


• Begriffsbestimmungen
• Grundsätze der Verarbeitung
• Betroffenen Rechte
• Strafen und Meldepflichten
• Umsetzung in der Praxis
• Weiterführende Hinweise

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 2
Anspruch auf Vollständig- oder Richtigkeit
Personenbezogene Daten (PD)
"Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person (Betroffener)". Damit sind alle Informationen
umfasst, die über eine Person etwas aussagen.
• Beispiele:
• Name, E-Mail-Adresse, Anschrift, Telefonnummer, Kontodaten, Standortdaten
• übrigens auch die IP-Adresse oder MAC-Adresse eines Handy, KFZ Kennzeichen eines PKW
• Transaktions-ID, Trackingdaten, über die Rückschlüsse auf Betroffene gezogen werden können
• etc
Diese Daten unterliegen dem besonderen Schutz der DSGVO. Sie als Unternehmer
oder Selbstständiger tragen für die gesammelten Daten die Verantwortung und
müssen in der Lage sein zu erklären, auf welcher Berechtigungsgrundlage die Daten
verarbeitet werden und welche Schutzmaßnahmen Sie dabei ergreifen.
Einige dieser Daten gelten als besonders schützenswert.

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 3
Anspruch auf Vollständig- oder Richtigkeit
Verarbeitung, Betroffener, Verarbeiter,
Verantwortlicher im Sinne der Datenschutzgesetze
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang
oder jede Vorgangsreihe im Zusammenhang mit PD, wie das Erheben, das Erfassen, die
Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das
Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung
oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung.
• Somit ist auch jedes bloße Anschauen auf dem Bildschirm oder einem Papier bereits eine
Datenverarbeitung, ohne dass diese bei der Verarbeitung verändert werden.​ Beispiele:
Erstellung einer Email-Liste, Annahme einer Visitenkarte, führen einer Mitarbeiter- oder
Bewerberdatenbank.
Betroffener: Die natürliche lebende Person, deren PD verarbeitet wird.
Verantwortlicher: Die natürliche oder juristische Person, die über Zwecke und Mittel der
Verarbeitung von PD entscheidet.
(Auftrags-) Verarbeiter: Eine natürliche oder juristische Person, die im Auftrag des
Verantwortlichen PD verarbeitet

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 4
Anspruch auf Vollständig- oder Richtigkeit
Rechtmäßigkeit der Verarbeitung
(Artikel 6, DSGVO)
Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten verboten. Für Unternehmer
ist hier relevant, dass eine Berechtigungsgrundlage zur Verarbeitung der Daten existiert. Im
Wesentlichen gibt es hier 4 für Sie wichtige Berechtigungsgrundlagen:
• Einwilligung: Der Betroffene hat der Verarbeitung ausdrücklich zugestimmt.
• Vertrag: Die Verarbeitung erfolgt auf Grundlage oder in Vorbereitung von einem Vertrag, z.B.
Kaufvertrag.
• Berechtigtes Interesse: Die Verarbeitung erfolgt, um ein berechtigtes Interesse des
Verantwortlichen zu wahren.
• Gesetzliche Pflicht: Es besteht eine gesetzliche Verpflichtung zur Verarbeitung der Daten.
Hinweis: einerseits ist die Berechtigungsgrundlage “berechtigtes Interesse im
Sinne von Artikel 6, Ziffer I f” sehr vage gefasst, andererseits das Hauptargument,
wenn Sie beispielsweise Ihre Kunden via E-Mail kontaktieren ohne deren
Einwilligung. Leider liegen zum aktuellen Zeitpunkt noch keine Gerichtsurteile vor.
Die sichere Variante ist, nur Kunden anzuschreiben, wenn eine Einwilligung seitens
des Kunden/Betroffenen (in Form eines Doppel-Opt-in) vorliegt.
Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein
Freitag, 20. Dezember 2019 5
Anspruch auf Vollständig- oder Richtigkeit
7 Grundsätze für die Verarbeitung von PD
(Artikel 5, DSGVO)
• Personenbezogene Daten dürfen ausschließlich rechtmäßig, transparent und so
verarbeitet werden, wie es der naive User erwarten würde („Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben, Transparenz“).
• Die Verarbeitung darf ausschließlich für von vornherein festgelegte und dokumentierte
Zwecke durchgeführt werden (“Zweckbindung”).
• Sie muss auf das unbedingt notwendige Maß an Umfang der Datenerhebung und
Verarbeitung beschränkt sein (“Datenminimierung”).
• Sie muss sachlich richtig und auf dem neuesten Stand sein (“Richtigkeit”).
• Die betroffene Person darf nur so lange identifizierbar sein, wie es für den
Verarbeitungszweck unbedingt notwendig ist (“Speicherbegrenzung”)
• Die Daten müssen hinreichend geschützt werden (“Integrität und Vertraulichkeit”).
• Der Verantwortliche (zum Beispiel der Geschäftsführer der Firma) muss die Einhaltung
nachweisen können (“Rechenschaftspflicht”).

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 6
Anspruch auf Vollständig- oder Richtigkeit
Betroffenenrechte

Seit dem 25.5.2018 stehen jedem Bürger der EU überall auf der Welt folgende
Rechte im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten
zu über die der Verantwortliche den Betroffenen informieren muss und deren
Umsetzung vorzusehen ist.

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 7
Anspruch auf Vollständig- oder Richtigkeit
DSGVO Rechte der Betroffenen (1)

Abschnitt 1 – Transparenz und Modalitäten


• Artikel 12 –Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu PD


• Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
• Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
• Artikel 15 – Auskunftsrecht der betroffenen Person

Abschnitt 3 – Berichtigung und Löschung


• Artikel 16 – Recht auf Berichtigung
• Artikel 17 – Recht auf Löschung ("Recht auf Vergessenwerden")
• Artikel 18 – Recht auf Einschränkung der Verarbeitung
• Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der
Einschränkung der Verarbeitung
• Artikel 20 – Recht auf Datenübertragbarkeit

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 8
Anspruch auf Vollständig- oder Richtigkeit
DSGVO Rechte der Betroffenen (2)

Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall


• Artikel 21 – Widerspruchsrecht
• Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Abschnitt 5 – Beschränkungen
• Artikel 23 – Beschränkungen

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 9
Anspruch auf Vollständig- oder Richtigkeit
Strafen und Meldepflichten
Die seit dem 25.5.2018 geltende DSGVO sieht für Vergehen im Zusammenhang mit PD
folgende Strafen vor:
• 10.000.000,00€ oder 2% des Konzernjahresumsatz für ‚leichte‘ Verstöße
• 20.000.000,00€ oder 4% des Konzernjahresumsatz für ‚schwere‘ Verstöße
...was immer höher ist... Strafzahlungen sind nicht versicherbar.

Das BDSG (neu) sieht in §42 zusätzlich auch Freiheitsstrafen von bis zu 3 Jahren vor.

Datenschutzpannen müssen möglichst innerhalb von 72 Stunden an die Behörde gemeldet


werden, es sei denn, dass die Verletzung des Schutzes von PD voraussichtlich nicht zu einem
Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Hat die Verletzung des Schutzes von PD voraussichtlich ein hohes Risiko für die persönlichen
Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche
die betroffene Person unverzüglich von der Verletzung.

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein Anspruch auf Vollständig- oder Richtigkeit


Freitag, 20. Dezember 2019 10
Umsetzung in der Praxis

Datenschutzordnung für Mitarbeiter, Kunden, Interessenten, Geschäftspartner


Verarbeitungsverzeichnis
Auftragsverarbeitungsverträge (AV) nach Artikel 28 DSGVO
Technische und organisatorische Maßnahmen (TOMs)
Vertraulichkeitsverpflichtung
Datenschutzfolgeabschätzung
Datenschutzschulung
Behandlung von Datenschutzvorfällen

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 11
Anspruch auf Vollständig- oder Richtigkeit
Cyber Abwehr – Viren waren gestern, heute gibt es APT

• Sicherheit am Arbeitsplatz
• Keine ungeschützten (privaten Geräte)
• Keine unbekannten USB-Sticks
• Vollverschlüsselte PCs/Handys/Laptops
• Geräte mit Daten nur im verschlossenen
Kofferraum (vor Antritt der Fahrt)
• Benutzung Hotelsafe
• Passwortgeschützter Bildschirmschoner
• Sichere Passwörter – regelmäßig ändern
• Aktenvernichter nutzen
• Fremde Besucher ansprechen
• Vorsicht bei Dringlichkeit oder
Versprechungen, die zu gut zum wahr sein
sind... PHISHING!!!
• ...
• --- See Something, Say Something ---
Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein
Freitag, 20. Dezember 2019 12
Anspruch auf Vollständig- oder Richtigkeit
Besonders zu beachten:
• Einsatz mobiler Geräte, Verschlüsselung, Zugriffe, ...
• Direkte Hinweise für die Mitarbeiter am Beispiel des Webauftritts:
https://MEINE-FIRMA-DE/datenschutz/

• WhatsApp,
• E-Mail Kontakt
• Datensicherheit am Arbeitsplatz
• Umgang mit Ausweisdokumenten, §8 2 GwG und §20 2 PAuswG
• Alle Anfragen zum Datenschutz nur nach Rücksprache mit dem Verantwortlichen einheitlich
bearbeiten
• Gefahr von Phishing, Abmahnung etc...

Fragen ???

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 13
Anspruch auf Vollständig- oder Richtigkeit
Weiterführende Hinweise

• Der DSGVO Gesetzestext: https://eur-lex.europa.eu/legal-


content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
• Gesetzestext BDSG Neu:
http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=
bgbl117s2097.pdf
• Gesetzestext GwG §8
https://dejure.org/gesetze/GwG/8.html
• Gesetzestext PAuswG
http://www.gesetze-im-internet.de/pauswg/__20.html

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 14
Anspruch auf Vollständig- oder Richtigkeit
Vielen Dank für Ihre Aufmerksamkeit!

Dipl.-Math. Karlheinz Mohr, CIPP/E


Externer Datenschutzbeauftragter

Bischof-Johannes-Str. 8
74889 Sinsheim
07261 913976 / 0176 216 87 140
mailto:DSB-Mohr@online.de

Kleinunternehmer, Finanzamt Sinsheim St.-Nr.: 44189/30500

Datenschutzschulung - K. Mohr
Keine Rechtsberatung – Kein


Freitag, 20. Dezember 2019 15
Anspruch auf Vollständig- oder Richtigkeit