O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Datenschutz in Zeiten der EU-DSGVO

1.112 visualizações

Publicada em

Datenschutz in Zeiten der EU-Datenschutz-Grundverordnung - Ein erster Überblick für Webworker

Publicada em: Direito
  • Login to see the comments

Datenschutz in Zeiten der EU-DSGVO

  1. 1. Datenschutz in Zeiten der EU-DSGVO WebJustiz.de www.praetor.im Ein erster Überblick für Webworker… 18./19. November 2017
  2. 2. 2 Gesetzliche Grundlagen - bisher Datenschutz in Zeiten der EU-DSGVO EU Deutschland Verfassung Grundrechte ● auf informationelle Selbstbestimmung ● auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Derzeit EU-Datenschutzrichtlinie 95/46/EG ... Bundesdatenschutzgesetz Telemediengesetz (§§ 12-14 TMG) IT-Sicherheitsgesetz ... EU-Recht gibt nur einen Handlungsrahmen vor, der von den einzelnen Mitgliedsstaaten umgesetzt werden muss. Maßgebend ist die jeweilige nationale Bestimmung → BDSG, TMG WebJustiz.de
  3. 3. 3 Gesetzliche Grundlagen – ab 25. Mai 2018 Datenschutz in Zeiten der EU-DSGVO EU Deutschland Verfassung ● Art. 8 Abs. 1 GrundrechteCharta ● Art. 16 Abs. 1 AEUV Ab 25. Mai 2018 ● Datenschutz- Grundverordnung ● EPrivacy-VO (kommt noch) ● Delegierte DS-VO (kommt noch) Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnUG-EU) → Neufassung des BDSG Die EU-Verordnungen gelten unmittelbar in der gesamten EU Punktuelle Öffnungsklauseln für die nationalen Gesetzgeber WebJustiz.de
  4. 4. 4 Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ➢ Verkündet: 4. Mai 2016 ➢ Inkrafttreten: 24. Mai 2016 ➢ Anzuwenden ab: 25. Mai 2018 ➢ Geltungsbereich: Gesamte EU EU-Datenschutz–Grundverordnung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  5. 5. 5 ➢ Schutz des Einzelnen ➢ Schutz der Grundrechte und Grundfreiheiten natürlicher Personen ➢ insb. Schutz personenbezogener Daten ➢ unabhängig von seinem Aufenthaltsort. ➢ Förderung der Wirtschaft ➢ Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedsstaaten ➢ Gewährleistung des Binnenmarktes ➢ Harmonisierung der bisherigen einzelstaatlichen Vorschriften EU-DSGVO - Ziele Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  6. 6. 6 ➢ Rechtmäßigkeit ➢ Verarbeitung personenbezogener Daten auf rechtmäßige Weise ➢ Treu und Glauben ➢ Transparenz ➢ Verarbeitung in einer für die Betroffenen nachvollziehbaren Weise ➢ Integrität und Vertraulichkeit ➢ Gewährleistung angemessener Sicherheit personenbezogener Daten ➢ Schutz vor unbefugter oder unrechtmäßiger Verarbeitung ➢ Schutz vor unbeabsichtigtem Verlust ➢ Schutz vor unbeabsichtigter Zerstörung oder Schädigung ➢ Durch geeignete technische und organisatorische Maßnahmen Grundsätze - Datenverarbeitung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  7. 7. 7 ➢ Grundsatz der Speicherbegrenzung ➢ Identifizierung der Person darf nur solange möglich sein, wie für den Verarbeitungszweck erforderlich; ➢ Längere Speicherung ist nur zulässig für ➢ im öffentlichen Interesse liegende Archivzwecke, ➢ wissenschaftliche oder historische Forschungszwecke, ➢ statistische Zwecke. ➢ Ggfs. ist eine Pseudonymisierung erforderlich. Grundsätze - Datenspeicherung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  8. 8. 8 ➢ Der für die Datenerhebung und Datenverarbeitung Verantwortliche ➢ ist für die Einhaltung dieser Grundsätze verantwortlich, ➢ muss deren Einhaltung nachweisen können. Grundsätze – Rechenschaftspflicht Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  9. 9. 9 ➢ Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; ➢ Identifizierbar = natürliche Person angesehen, die ➢ direkt oder indirekt identifiziert werden kann, ➢ insbesondere mittels Zuordnung zu einer Kennung wie ➢ Namen, ➢ Kennnummer, ➢ Standortdaten, Online-Kennung oder ➢ einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Begrifflichkeiten – Personenbezogene Daten Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  10. 10. 10 ➢ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder ➢ jede solche Vorgangsreihe ➢ im Zusammenhang mit personenbezogenen Daten ➢ Beispiele: ➢ Erheben oderErfassen, ➢ Organisation oder Ordnen, ➢ Speicherung, Anpassung oder Veränderung, ➢ Auslesen, Abfragen, oder Verwendung, ➢ Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung, ➢ Abgleich oder Verknüpfung, ➢ Einschränkung, Löschen oder Vernichtung. Begrifflichkeiten – Verarbeitung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  11. 11. 11 ➢ Automatisierte Verarbeitung personenbezogener Daten, ➢ Verwendung dieser personenbezogenen Daten um ➢ bestimmte Aspekte einer natürlichen Person ➢ zu bewerten, ➢ insbesondere um Aspekte vorherzusagen ➢ bezüglich Arbeitsleistung, ➢ wirtschaftliche Lage, ➢ Gesundheit, ➢ persönliche Vorlieben, ➢ Interessen, ➢ Zuverlässigkeit oderVerhalten, ➢ Aufenthaltsort oder Ortswechsel Begrifflichkeiten – Profiling Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  12. 12. 12 ➢ Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, ➢ sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und ➢ technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; Begrifflichkeiten – Pseudonymisierung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  13. 13. 13 ➢ jede strukturierte Sammlung ➢ personenbezogener Daten, die ➢ die nach bestimmten Kriterien zugänglich sind, ➢ unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Begrifflichkeiten – Dateisystem Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  14. 14. 14 ➢ Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ➢ allein oder gemeinsam mit anderen ➢ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; ➢ Besondere Kriterien sind möglich, wenn Zwecke und Mittel der Verarbeitung gesetzlich vorgegeben sind. Begrifflichkeiten – Verantwortlicher Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  15. 15. 15 ➢ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ➢ personenbezogene Daten ➢ im Auftrag des Verantwortlichen verarbeitet Begrifflichkeiten – Auftragsverarbeiter Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  16. 16. 16 ➢ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, ➢ der personenbezogene Daten offengelegt werden, ➢ unabhängig davon, ob es sich um einen Dritten handelt oder nicht. ➢ Kein Empfänger sind Behörden, ➢ die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten. Begrifflichkeiten – Empfänger Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  17. 17. 17 ➢ Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, ➢ außer ➢ der betroffenen Person, ➢ dem Verantwortlichen, ➢ dem Auftragsverarbeiter und ➢ den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Begrifflichkeiten – Dritter Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  18. 18. 18 ➢ Jede ➢ freiwillig für den bestimmten Fall, ➢ in informierter Weise und ➢ unmissverständlich abgegebene ➢ Willensbekundung ➢ in Form einer Erklärung oder ➢ einer sonstigen eindeutigen bestätigenden Handlung, ➢ mit der die betroffene Person zu verstehen gibt, ➢ dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Begrifflichkeiten – Einwilligung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  19. 19. 19 ➢ Verletzung der Sicherheit, die, ➢ ob unbeabsichtigt oder unrechtmäßig, ➢ zur Vernichtung, zum Verlust, zur Veränderung, ➢ zur unbefugten Offenlegung von bzw. ➢ zum unbefugten Zugang zu personenbezogenen Daten ➢ führt, die ➢ übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Begrifflichkeiten – Verletzung des Schutzes personenbezogener Daten Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  20. 20. 20 ➢ Gesamte EU ➢ Marktortprinzip: ➢ EU-DSGV gilt auch für Unternehmen ➢ mit Sitz außerhalb der EU ➢ die sich an EU-Bürger wenden ➢ Öffnungsklauseln für nationale Gesetzgeber ➢ Art. 48 → Aufsichtsbehörden ➢ Art. 90 → Auskunftpflichten gegenüber Aufsichtsbehörden ➢ … EU-DSGVO – Örtlicher Geltungsbereich Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  21. 21. 21 ➢ Die EU-DSGVO gilt für die ➢ für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie ➢ für die nichtautomatisierte Verarbeitung personenbezogener Daten, die ➢ in einem Dateisystem gespeichert sind oder ➢ gespeichert werden sollen. ➢ Ausnahmen: ➢ privater Schriftverkehr ➢ privates Anschriftenverzeichnis ➢ private Nutzung sozialer Netze ➢ private Online-Tätigkeit EU-DSGVO – Sachlicher Anwendungsbereich Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  22. 22. 22 ➢ Ergänzung zur EU-DSGVO ➢ Bei Widersprüchen hat EU-DSGVO Vorrang ➢ “Fun-Fact”: Enthält zwar nur noch Ergänzungsregelungen, ist aber deutlich umfangreicher als das bisherige, alles regelnde BDSG ➢ Enthält ergänzende Regelungen zu ➢ sensitiven Daten ➢ Beschäftigtendatenschutz ➢ Datenverarbeitung bei Verbraucherkrediten ➢ Scoring- und Bonitätsauskünften ➢ Informationspflichten ➢ Löschpflichten ➢ Profiling DSAnUG-EU – Das “neue” BDSG Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  23. 23. 23 Unsere Themen für heute: I. Verfahrensverzeichnis II. Einwilligung III. Datenübermittlung IV. Datentransfer in Drittstaaten V. Auftragsdatenverarbeitung VI. Wartungsarbeiten durch Dienstleister EU-DSGVO – Einzelfragen Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  24. 24. 24 ① Verfahrensverzeichnis …Formalismus at it’s best… EU-DSGVO - Verfahrensverzeichnis Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  25. 25. 25 ➢ Öffentliches Verfahrensverzeichnis ➢ entfällt mit der EU-DSGVO ➢ Internes Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) ➢ muss geführt werden: ➢ von jedem Verantwortlichen ➢ für alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. ➢ schriftlich oder elektronisches Format ➢ Einsichts- und Prüfungsrecht der Aufsichtsbehörde ➢ Ausnahmen: ➢ Unternehmen mit weniger als 250 Mitarbeiter, ➢ sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen, ➢ die Verarbeitung nicht nur gelegentlich erfolgt oder ➢ nicht die Verarbeitung besonderer Datenkategorien einschließt. EU-DSGVO - Verfahrensverzeichnis Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  26. 26. 26 ➢ Verzeichnis der Verarbeitungstätigkeiten ➢ Name und Kontaktdaten ➢ des Verantwortlichen und ggfs. seines Vertreters, ➢ eines etwaigen Datenschutzbeauftragten; ➢ Zwecke der Verarbeitung ➢ Kategorien betroffener Personen und Kategorien personenbezogener Daten ➢ Kategorien von Empfängern, ➢ denen gegenüber personenbezogene Daten offengelegt wurden oder werden ➢ einschließlich Empfäger in Drittländern ➢ Übermittlungen personenbezogener Daten in ein Drittland ➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz ➢ Vorgesehene Löschungsfristen für die verschiedenen Datenkategorien (wenn möglich) ➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen ➢ Verfahrensverzeichnis - Inhalt Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  27. 27. 27 ➢ Verzeichnis der Verarbeitungstätigkeiten ➢ Name und Kontaktdaten ➢ des Auftragsverarbeiters ➢ Jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, ➢ eines etwaigen Datenschutzbeauftragten; ➢ Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; ➢ Übermittlungen personenbezogener Daten in ein Drittland ➢ einschließlich der Dokumentation geeigneter Garantien für den Datenschutz ➢ Allg. Beschreibung der technischen und organisatorischen Maßnahmen Verfahrensverzeichnis – für Auftragsverarbeiter Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  28. 28. 28 ② Einwilligung …nicht mehr ganz so einfach… EU-DSGVO - Einwilligung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  29. 29. 29 Datenverarbeitung ist erlaubt bei ➢ Einwilligung ➢ Vertragserfüllung ➢ Erfüllung gesetzlicher Pflichten ➢ z.B. Aufbewahrungspflichten ➢ Schutz lebenswichtiger Interessen von Menschen ➢ z.B. in der Medizin ➢ berechtigten Interessen ➢ Marketing und Direktwerbung ➢ IT-Sicherheit ➢ Compliance ➢ Beschäftigtenkontrolle EU-DSGVO – Ist die Datenverarbeitung erlaubt? Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  30. 30. 30 ➢ Ist eine Einwilligung erforderlich? ➢ Entfällt bei Vorliegen eines anderen Erlaubnisgrunde ➢ Ist die betroffene Person einwilligungsfähig? ➢ Ab 16 Jahre. ➢ Wurde die Einwilligung freiwillig abgegeben? ➢ Problematisch bei sozialen Zwängen oder Nachteilen bei Verweigerung der Einwilligung; ➢ Kein Verstoß gegen das Koppelungsverbot? ➢ Erbringung der vertraglichen Leistung darf nicht von einer Einwilligung abhängig gemacht werden, ➢ obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist. ➢ Sind die notwendigen Belehrung erfolgt? ➢ Belehrung über das Widerrufsrecht ➢ Belehrung über Zweck, Art und Umfang der Datenverarbeitung, sowie über Weitergabe und Löschung ➢ Ist die Einwilligungserklärung unmissverständlich? ➢ Schlüssige Erkklärung ➢ Opt-In → Opt-Out ist nicht ausreichend! ➢ Ist die Einwilligung nachweisbar? ➢ Schriftform oder ➢ elektronisch protokolliert. Einwilligung – Wirksamkeitsvoraussetzungen Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  31. 31. 31 ➢ Minderjährige (Art. 8 EU-DSGVO) ➢ Sensible Daten (Art. 9 EU-DSGVO) ➢ Ethnie ➢ Sexualität ➢ Gesundheit ➢ politische Ansichten ➢ Automatisierte Entscheidungen (Art. 22 EU-DSGVO) ➢ Zweckänderung (Art. 6 Abs. 5 EU-DSGVO) ➢ Datenverwendung zu Marketing-Zwecken ➢ “Big Data” ➢ Beschäftigtendatenschutz (Art. 26 BDSG n.F.) ➢ Videoüberwachung im öffentlichen Raum (§ 4 BDSG n.F.) ➢ E-Mail-Marketing (Art. 7 Abs. 3 UWG) ➢ Bestandskunde oder ➢ Ausdrückliche Einwilligung Einwilligung – Problemfälle Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  32. 32. 32 ③ Datenübermittlung …der deutsche Sonderweg… EU-DSGVO - Datenübermittlung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  33. 33. 33 ➢ Liegt Datenübermittlung vor? ➢ Möglichkeit der Kenntnisnahme personenbezogener Daten durch Dritte ➢ Zulässigkeit der Datenübermittlung: ➢ Einwilligung der Betroffenen? ➢ nach umfassender Information ➢ Zur Vertragserfüllung erforderlich? ➢ Auftragsdatenverarbeitung ➢ Datenübermittlung außerhalb EU / EWR ➢ zusätzliche Anforderungen EU-DSGVO - Datenübermittlung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  34. 34. 34 ④ Datentransfer in Drittstaaten …egal, Hauptsache in der Cloud… EU-DSGVO – Datentransfer in Drittstaaten Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  35. 35. 35 ➢ Einheitliches Datenschutzniveau innerhalb von EU/EWR ➢ Datentransfer in Staaten außerhalb von EU/EWR ➢ Drittstaaten mit angemessenem Datenschutzniveau ➢ erfordert einen entsprechenden Beschluss der EU-Kommission ➢ Schweiz, Neuseeland, brit. Kanalinseln, Andorra, Faröer, Argentinien, Uruguay ➢ eingeschränkt: Kanada, Israel ➢ Übrige Drittstaaten: ➢ Binding Corporate Rules (i.d.R. für Webprojekte nicht praktikabel) ➢ EU-“Standardvertragsklauseln” (Gültigkeit könnte problematisch werden) ➢ Einwilligung des Betroffenen (nach umfassender Information) ➢ Sonderfall: Datentransfer in die USA ➢ zusätzlich: EU-US Privacy Shield Datentransfer in Drittstaaten Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  36. 36. 36 ➢ Soll einen Datenaustausch mit US-Firmen ermöglichen ➢ “quasi wie unter EU-Unternehmen” ➢ Ersatz für “Safe Harbour” ➢ EuGH-Urteil vom 06.10.2015 (“Schrems-Urteil”) ➢ Nur für Datenübermittlung an bestimmte US-Firmen: ➢ Jedes US-Unternehmen kann frei entscheiden, ob es teilnimmt. ➢ Selbstverpflichtung / Selbstzertifizierung ➢ Keine intensive Kontrolle durch US-Administratition oder EU ➢ Teilnehmende Firmen: www.privacyshield.gov EU-US Privacy Shield Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  37. 37. 37 ➢ Probleme des EU-US Privacy-Shield: ➢ kein bindender Vertrag, nur “Absichtserklärungen” von USA und EU ➢ Fortbestand der US-Zusagen derzeit zumindest zweifelhaft ➢ Vereinbarkeit mit Schrems-Urteil des EuGH höchst zweifelhaft ➢ Überprüfungsfrist für EU-Kommission endete Juli 2017 ➢ EU-Parlament fordert Nachbesserung / Beendigung ➢ EU-Justizkommissarin droht mit Beendigung, wenn keine signifikante Änderungen erfolgen ➢ EU-Kommission sieht “keine Probleme”. EU-US Privacy Shield - Probleme Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  38. 38. 38 ⑤ Auftragsverarbeitung …laß’ mich Deine Arbeit machen… EU-DSGVO - Auftragsdatenverarbeitung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  39. 39. 39 ➢ Auftragsverarbeitung = ➢ Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ➢ durch einen Auftragsverarbeiter (Auftragnehmer) ➢ Nach Weisung der verantwortlichen Stelle (Auftraggeber) ➢ Aufgrund eines Vertrages ➢ schriftlich oder in elektronischer Form Auftragsverarbeitung - Grundlagen Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  40. 40. 40 Beispiele für Auftragsverarbeitung ➢ Webhoster ➢ Internet-Agentur ➢ Google Analytics ➢ Newsletter-Dienstleister ➢ Auftragsverarbeitung - Beispiele Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  41. 41. 41 ➢ Erforderliche vertragliche Regelungen bei der Auftragsdatenverarbeitung: ➢ Gegenstand, Dauer, Art und Zweck der Verarbeitung ➢ Rückgabepflcht der Daten nach Abschluss der Auftragsbearbeitung ➢ Art der personenbezogenen Daten und Kategorien der betroffenen Personen ➢ Umfang der Weisungsbefugnis ➢ Vertraulichkeitsverpflichtung ➢ Kontrollrechte ➢ Sicherstellung durch techn. und organ. Maßnahmen Auftragsdatenverarbeitung – Notw. Regelungen Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  42. 42. 42 ➢ Verzeichnis der Verarbeitungstätigkeiten ➢ Bisher: muss nur durch Auftraggeber geführt werden ➢ Mit EU-DSGVO (Mai 2018): auch durch Auftragsverarbeiter ➢ Anlage ähnlich einem BDSG-Verfahrensverzeichnis Auftragsdatenverarbeitung - Verzeichnis Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  43. 43. 43 ➢ Grundsatz: ➢ Bisher: Auftraggeber haftet für Datenschutzverstöße ➢ Ab EU-DSGVO: Auftraggeber und Auftragsverarbeiter haften beide ➢ Verstoß des Auftragsverarbeiters gegen Weisungen oder vertragliche Bestimmungen: ➢ Auftragsverarbeitung wird zur (ggfs. unerlaubten) Datenübermittlung ➢ Auftragsverarbeiter zum Verantwortlichen Auftragsdatenverarbeitung - Haftung Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  44. 44. 44 ⑥ Wartungsarbeiten durch Dienstleister …laß’ mich Dir helfen… Datenschutz Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  45. 45. 45 ➢ Wartungsarbeiten = Auftragsdatenverarbeitung ➢ auch bei ➢ Prüfung/Wartung mittels automatisierter Verfahren ➢ nur gelegentlicher Fernwartung ➢ Wartung vor Ort ➢ Ausnahme: Zugriff auf personenbezogene Daten ist ausgeschlossen ➢ “Geheimhaltungsvereinbarung” ➢ ist kein Vertrag zur Auftragsdatenvereinbarung! ➢ Rechtslage unter der EU-DSGVO ist noch unklar: ➢ wahrscheinlich (analog zu) Auftragsdatenverarbeitung ➢ Aber: Überlegungen, ob nicht eine Übermittlung vorliegt. Wartungsarbeiten durch Dienstleister Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  46. 46. 46 Alles klar? Datenschutz in Zeiten der EU-DSGVO WebJustiz.de
  47. 47. 47 Noch Fragen? Datenschutz in Zeiten der EU-DSGVO ➢ Zum Nachlesen: WebworkersLaw.de ➢ ➢ EU-Portal zum Datenschutz: ▶http://ec.europa.eu/justice/data-protection/reform/index_en.htm WebJustiz.de

×