Sie sind auf Seite 1von 15

Bildquelle: fotolia, Urheber: kras99

Geltungsbereich Gesetzliche Grundlagen

Sachlicher Anwendungsbereich
 Gilt für die ganz oder teilweise automatisierte Verarbeitung personen-
bezogener Daten sowie die nicht-automatisierte Verarbeitung personen-
bezogener Daten, die in einem Dateisystem gespeichert sind oder
gespeichert werden sollen.

Räumlicher Anwendungsbereich
 Gilt für die Verarbeitung personenbezogener Daten durch einen in der EU ansässigen Verarbeiter, unabhängig vom Ort
der Verarbeitung.
 Gilt für die Verarbeitung von personenbezogenen Daten in der EU befindlicher Personen
- wenn diesen Personen Waren oder Dienstleistungen angeboten werden oder
- wenn das Verhalten dieser Personen beobachtet wird, soweit dieses Verhalten innerhalb der EU erfolgt

Datenschutz-Grundlagen · Datenschutz-Ticker 2
Sanktionen – Deutlich höhere Strafen Gesetzliche Grundlagen

Bildquelle: fotolia, Urheber: Stockwerk-Fotodesign

Bußgelder DSGVO (Art. 83 DSGVO)


Bußgelder Bundesdaten-schutzgesetz
(§ 43 BDSG - alt)  2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
50.000 Euro bzw. bis zu 10 Millionen Euro, je nachdem, welcher Betrag höher ist

300.000 Euro
 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
bzw. bis zu 20 Millionen Euro, je nachdem, welcher Betrag höher ist
 z. B. bei Verstößen gegen Rechtmäßigkeit der Verarbeitung oder gegen
Transparenzpflichten, bei unrechtmäßiger Datenweitergabe in ein Drittland,
bei Verwendung einer unwirksamen Einwilligungserklärung oder bei
fehlendem Verzeichnis von Verarbeitungstätigkeiten

Datenschutz-Grundlagen · Datenschutz-Ticker 3
Einwilligungen

 Strenge Bedingungen für die Einwilligung (Art. 7 DSGVO und die zugehörigen Erwägungsgründe 32,
33, 42 und 171)
- Die Einwilligung erfolgt freiwillig.
- Sie gilt für einen konkreten Fall und sollte nicht mit anderen Einwilligungen gekoppelt werden.
- Die Einwilligung muss für die einwilligende Person klar und verständlich formuliert sein.
- Sie muss den Zweck der beabsichtigten Datenverarbeitung erkennen lassen.
- In unterschiedliche Verarbeitungszwecke ist jeweils einzeln einzuwilligen.
- Die Widerrufsmöglichkeit muss der einwilligenden Person vor der Einwilligung mitgeteilt werden.
- Sie muss aktiv durch eine eindeutige Handlung erfolgen. (Opt-in)
 Der Verantwortliche muss die Einwilligung nachweisen können.

Bildquelle: fotolia, Urheber: Coloures-Pic

Datenschutz-Grundlagen · Datenschutz-Ticker 4
Betroffenenrechte

Deutlich
Deutlich umfangreichere
umfangreichere Rechte
Rechte der
der betroffenen
betroffenen Person.
Person.

Zusätzlich
Zusätzlich zu
zu bekannten
bekannten Rechten
Rechten wie
wie Widerspruch
Widerspruch oder
oder Auskunft:
Auskunft:
Recht
Recht auf
auf transparente
transparente Information
Information und
und Kommunikation
Kommunikation (Art.
(Art. 12
12 DSGVO)
DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)

Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)
 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
 Recht, den Datenschutzbeauftragten zu konsultieren. (Art. 38 DSGVO)
 Recht, den Datenschutzbeauftragten zu konsultieren. (Art. 38 DSGVO)

Berichtigungen
Berichtigungen (Art.
(Art. 16),
16), Löschungen
Löschungen (Art.
(Art. 17),
17), Einschränkungen
Einschränkungen (Art.
(Art.
18) und Widerspruch (Art. 19) müssen auch an alle Datenempfänger
18) und Widerspruch (Art. 19) müssen auch an alle Datenempfänger
übermittelt
übermittelt werden
werden
Bildquelle: fotolia, Urheber: sk_design

Datenschutz-Grundlagen · Datenschutz-Ticker 5
Bildquelle: fotolia, Urheber: kras99
Sicherheit der Verarbeitung
 Bei der Verarbeitung personenbezogener Daten ist auf Dauer (Art. 32 DSGVO)
sicherzustellen:
- Vertraulichkeit,
- Integrität,
- Verfügbarkeit und
- Belastbarkeit der Systeme und Dienste.

 Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass ein dem Risiko angemessenes
Schutzniveau gewährleistet wird. Gemessen am:
- Stand der Technik,
- den Implementierungskosten,
- der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung,
- sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.

 Ein Verstoß ist bußgeldbewehrt! (10 Mio. € / 2% Vorjahresumsatz) (Art. 83 DSGVO)

Datenschutz-Grundlagen · Datenschutz-Ticker 7
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich Accountability
und muss dessen Einhaltung nachweisen
können („Rechenschaftspflicht“). Art. 5 Abs. 2 DSGVO

Führen eines Durchführen einer Unternehmen muss


Verzeichnisses der Datenschutz- technische und organisa-
Verarbeitungstätigkeiten Folgenabschätzung torische Maßnahmen
treffen, die Einhaltung von
Datenschutz sicherstellen
und dies dokumentieren
(= Datenschutz Compliance
Management System).

Bußgelder für Verstöße gegen Dokumentationspflichten können selbst dann anfallen, wenn
die Datenverarbeitung an sich zulässig war und alle sonstigen Pflichten erfüllt waren.

Datenschutz-Grundlagen · Datenschutz-Ticker 8
Datenschutz-Folgenabschätzung
Hat eine Form der Verarbeitung [...] aufgrund der Art, des Umfangs, der Umstände
und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und (Art. 35 DSGVO)
Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz
personenbezogener Daten durch.

Wesentlich Risikobetrachtung Dokumentation Bei hohen Risiken


häufigere der Verfahren mit der Ergebnisse ggf. vorherige
Beurteilung als Abwägung der Einbindung der
beim BDSG-alt Interessen Aufsichtsbehörde
(Vorabkontrolle)

Datenschutz-Grundlagen · Datenschutz-Ticker 9
Sowohl durch Technikgestaltung als auch durch datenschutzfreundliche
Datenschutz by Design
Vorein-stellungen muss der Verantwortliche gewährleisten, dass den und by Default
Anforderungen der DSGVO genügt wird und die Rechte der betroffenen
Personen geschützt sind.
(Art. 25 DSGVO und ErwGrr 28-29 + 75-78)

Vor der Verarbeitung ist mittels strategischer Planung der Schutz


der Betroffenenrechte zu berücksichtigen.

Grundsätze des Datenschutzes sind durch Technik


(data protection by design) und datenschutzfreundliche
Voreinstellungen (data protection by default) sicherzustellen.

Details können von den europäischen Institutionen noch


vorgegeben werden.

Bildquelle: fotolia, Urheber: fotogestoeber


Datenschutz-Grundlagen · Datenschutz-Ticker 10
Eine „Verletzung des Schutzes personenbezogener Daten“ liegt dann vor, wenn Meldepflicht
eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur
Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten
Offenlegung von beziehungs-weise zum unbefugten Zugang zu
personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige
Weise verarbeitet wurden.
(Art. 4, Abs. 12 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der


Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm
die Verletzung bekannt wurde, diese der [...] Aufsichtsbehörde, es sei denn,
dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich
nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 
(Art. 33 DSGVO)

Nahezu jeder Sicherheitsvorfall ist meldepflichtig!

Datenschutz-Grundlagen · Datenschutz-Ticker 11
Bildquelle: fotolia, Urheber: kras99
Auftragsverarbeitung
Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person, Behörde,
(Art. 28 DSGVO)
Einrichtung oder andere Stelle, personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet (Weisungsgebundenheit).

Gesamtschuldnerische Auch der Auftragnehmer Neue Pflichtinhalte der


Haftung von Auftraggeber muss ein Verzeichnis von Verträge:
und Auftragnehmer Verarbeitungstätigkeiten  Angemessenheit der
führen. Schutzmaßnahmen
gem. Art. 32 DSGVO
 Regelungen zur
Einwilligung zur
Einbindung von
Subunternehmern sind
verpflichtend.

Datenschutz-Grundlagen · Datenschutz-Ticker 13
Anzeige
Schnell und effektiv Mitarbeiter im
Datenschutz fit machen!

Datenschutz-Grundlagen · Datenschutz-Ticker 14
Zu guter Letzt ein Tipp …

S ie nur
b en
Ge
d ig e s preis,
en
Notw i c h e rt
t g e spe
a s n ich
w ss
denn ist , m u
e r de n !
t z t w
g e sc hü
nicht

Datenschutz-Grundlagen · Datenschutz-Ticker 15

Das könnte Ihnen auch gefallen