Sachlicher Anwendungsbereich Gilt für die ganz oder teilweise automatisierte Verarbeitung personen- bezogener Daten sowie die nicht-automatisierte Verarbeitung personen- bezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Räumlicher Anwendungsbereich Gilt für die Verarbeitung personenbezogener Daten durch einen in der EU ansässigen Verarbeiter, unabhängig vom Ort der Verarbeitung. Gilt für die Verarbeitung von personenbezogenen Daten in der EU befindlicher Personen - wenn diesen Personen Waren oder Dienstleistungen angeboten werden oder - wenn das Verhalten dieser Personen beobachtet wird, soweit dieses Verhalten innerhalb der EU erfolgt
Bußgelder Bundesdaten-schutzgesetz (§ 43 BDSG - alt) 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres 50.000 Euro bzw. bis zu 10 Millionen Euro, je nachdem, welcher Betrag höher ist
300.000 Euro 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro, je nachdem, welcher Betrag höher ist z. B. bei Verstößen gegen Rechtmäßigkeit der Verarbeitung oder gegen Transparenzpflichten, bei unrechtmäßiger Datenweitergabe in ein Drittland, bei Verwendung einer unwirksamen Einwilligungserklärung oder bei fehlendem Verzeichnis von Verarbeitungstätigkeiten
Strenge Bedingungen für die Einwilligung (Art. 7 DSGVO und die zugehörigen Erwägungsgründe 32, 33, 42 und 171) - Die Einwilligung erfolgt freiwillig. - Sie gilt für einen konkreten Fall und sollte nicht mit anderen Einwilligungen gekoppelt werden. - Die Einwilligung muss für die einwilligende Person klar und verständlich formuliert sein. - Sie muss den Zweck der beabsichtigten Datenverarbeitung erkennen lassen. - In unterschiedliche Verarbeitungszwecke ist jeweils einzeln einzuwilligen. - Die Widerrufsmöglichkeit muss der einwilligenden Person vor der Einwilligung mitgeteilt werden. - Sie muss aktiv durch eine eindeutige Handlung erfolgen. (Opt-in) Der Verantwortliche muss die Einwilligung nachweisen können.
Deutlich Deutlich umfangreichere umfangreichere Rechte Rechte der der betroffenen betroffenen Person. Person.
Zusätzlich Zusätzlich zu zu bekannten bekannten Rechten Rechten wie wie Widerspruch Widerspruch oder oder Auskunft: Auskunft: Recht Recht auf auf transparente transparente Information Information und und Kommunikation Kommunikation (Art. (Art. 12 12 DSGVO) DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO) Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO) Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) Recht, den Datenschutzbeauftragten zu konsultieren. (Art. 38 DSGVO) Recht, den Datenschutzbeauftragten zu konsultieren. (Art. 38 DSGVO)
Berichtigungen Berichtigungen (Art. (Art. 16), 16), Löschungen Löschungen (Art. (Art. 17), 17), Einschränkungen Einschränkungen (Art. (Art. 18) und Widerspruch (Art. 19) müssen auch an alle Datenempfänger 18) und Widerspruch (Art. 19) müssen auch an alle Datenempfänger übermittelt übermittelt werden werden Bildquelle: fotolia, Urheber: sk_design
Datenschutz-Grundlagen · Datenschutz-Ticker 5 Bildquelle: fotolia, Urheber: kras99 Sicherheit der Verarbeitung Bei der Verarbeitung personenbezogener Daten ist auf Dauer (Art. 32 DSGVO) sicherzustellen: - Vertraulichkeit, - Integrität, - Verfügbarkeit und - Belastbarkeit der Systeme und Dienste.
Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass ein dem Risiko angemessenes Schutzniveau gewährleistet wird. Gemessen am: - Stand der Technik, - den Implementierungskosten, - der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung, - sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.
Ein Verstoß ist bußgeldbewehrt! (10 Mio. € / 2% Vorjahresumsatz) (Art. 83 DSGVO)
Datenschutz-Grundlagen · Datenschutz-Ticker 7 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich Accountability und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Art. 5 Abs. 2 DSGVO
Führen eines Durchführen einer Unternehmen muss
Verzeichnisses der Datenschutz- technische und organisa- Verarbeitungstätigkeiten Folgenabschätzung torische Maßnahmen treffen, die Einhaltung von Datenschutz sicherstellen und dies dokumentieren (= Datenschutz Compliance Management System).
Bußgelder für Verstöße gegen Dokumentationspflichten können selbst dann anfallen, wenn die Datenverarbeitung an sich zulässig war und alle sonstigen Pflichten erfüllt waren.
Datenschutz-Grundlagen · Datenschutz-Ticker 8 Datenschutz-Folgenabschätzung Hat eine Form der Verarbeitung [...] aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und (Art. 35 DSGVO) Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Wesentlich Risikobetrachtung Dokumentation Bei hohen Risiken
häufigere der Verfahren mit der Ergebnisse ggf. vorherige Beurteilung als Abwägung der Einbindung der beim BDSG-alt Interessen Aufsichtsbehörde (Vorabkontrolle)
Datenschutz-Grundlagen · Datenschutz-Ticker 9 Sowohl durch Technikgestaltung als auch durch datenschutzfreundliche Datenschutz by Design Vorein-stellungen muss der Verantwortliche gewährleisten, dass den und by Default Anforderungen der DSGVO genügt wird und die Rechte der betroffenen Personen geschützt sind. (Art. 25 DSGVO und ErwGrr 28-29 + 75-78)
Vor der Verarbeitung ist mittels strategischer Planung der Schutz
der Betroffenenrechte zu berücksichtigen.
Grundsätze des Datenschutzes sind durch Technik
(data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sicherzustellen.
Details können von den europäischen Institutionen noch
vorgegeben werden.
Bildquelle: fotolia, Urheber: fotogestoeber
Datenschutz-Grundlagen · Datenschutz-Ticker 10 Eine „Verletzung des Schutzes personenbezogener Daten“ liegt dann vor, wenn Meldepflicht eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungs-weise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. (Art. 4, Abs. 12 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der
Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der [...] Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. (Art. 33 DSGVO)
Nahezu jeder Sicherheitsvorfall ist meldepflichtig!
Datenschutz-Grundlagen · Datenschutz-Ticker 11 Bildquelle: fotolia, Urheber: kras99 Auftragsverarbeitung Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person, Behörde, (Art. 28 DSGVO) Einrichtung oder andere Stelle, personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Weisungsgebundenheit).
Gesamtschuldnerische Auch der Auftragnehmer Neue Pflichtinhalte der
Haftung von Auftraggeber muss ein Verzeichnis von Verträge: und Auftragnehmer Verarbeitungstätigkeiten Angemessenheit der führen. Schutzmaßnahmen gem. Art. 32 DSGVO Regelungen zur Einwilligung zur Einbindung von Subunternehmern sind verpflichtend.
Datenschutz-Grundlagen · Datenschutz-Ticker 13 Anzeige Schnell und effektiv Mitarbeiter im Datenschutz fit machen!
Datenschutz-Grundlagen · Datenschutz-Ticker 14 Zu guter Letzt ein Tipp …
S ie nur b en Ge d ig e s preis, en Notw i c h e rt t g e spe a s n ich w ss denn ist , m u e r de n ! t z t w g e sc hü nicht
