Herzlich Willkommen zum Seminar EU-Datenschutz … · 2018-01-16 · © EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler -EU-utz-U-) 2 Zusammenfassend – Datenschutz-Historie

© EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler

S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

1

Herzlich Willkommen zum Seminar

„EU-Datenschutz-Grundverordnung“

Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler. Geprüfter und anerkannter EDV Sachverständiger, Schiedsgutachter, zertifizierter externer Datenschutzbeauftragter, ISO/IEC 27001 TÜV SÜD Foundation zertifiziert und PECB zertifizierter ISMS Lead-Auditor. Best Practice Training.


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

2

Zusammenfassend – Datenschutz-Historie

Quellangabe: www.Datenschutz4You-com


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

3

Rechtsgrundlagen und Meilensteine im Datenschutz

Die Würde des Menschen ist unantastbar… (GG Art. 1 Abs. 1)

Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit…(GG Art. 2 Abs. 1)

Das Grundrecht auf informationelle Selbstbestimmung (BVerfG, 1983)

Bundesdatenschutzgesetz (Novelle III von 2009)

Europäische Datenschutzrichtlinie 95/46/EG (1995)

Allgemeine Erklärung der Menschenrechte (UNO - 1948)

Die EU-Datenschutz-Grundverordnung (2016)

Charta der Grundrechte (2000)

1

2

3

4

5


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

4

SEINE MAJESTÄT DER KÖNIG DER BELGIER, DER PRÄSIDENT DER BUNDESREPUBLIK DEUTSCHLAND (HERRN DR. KONRAD ADENAUER, BUNDESKANZLER), DER PRÄSIDENT DER FRANZÖSISCHEN REPUBLIK, DER PRÄSIDENT DER ITALIENISCHEN REPUBLIK, IHRE KÖNIGLICHE HOHEIT DIE GROßHERZOGIN VON LUXEMBURG, IHRE MAJESTÄT DIE KÖNIGIN DER NIEDERLANDE HABEN BESCHLOSSEN, EINE EUROPÄISCHE WIRTSCHAFTSGEMEINSCHAFT ZU GRÜNDEN. IN DEM FESTEN WILLEN, DIE GRUNDLAGEN FÜR EINEN IMMER ENGEREN ZUSAMMENSCHLUß DER EUROPÄISCHEN VÖLKER ZU SCHAFFEN, ENTSCHLOSSEN, DURCH GEMEINSAMES HANDELN DEN WIRTSCHAFTLICHEN UND SOZIALEN FORTSCHRITT IHRER LÄNDER ZU SICHERN, INDEM SIE DIE EUROPA TRENNENDEN SCHRANKEN BESEITIGEN, IN DEM VORSATZ, DIE STETIGE BESSERUNG DER LEBENS- UND BESCHÄFTIGUNGSBEDINGUNGEN IHRER VÖLKER ALS WESENTLICHES ZIEL ANZUSTREBEN…

EWG-Vertrag vom 25. März 1957 (248 Artikel)

Vertrag zur Gründung der Europäischen Wirtschaftsgemeinschaft

ARTIKEL 4 1. Die der Gemeinschaft zugewiesenen Aufgaben werden durch folgende Organe wahrgenommen: eine VERSAMMLUNG, einen RAT, eine KOMMISSION, einen GERICHTSHOF.

1

2

3

4


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

5

Im Jahr 1992 wurde das Ende der EWG mit dem "Vertrag von Maastricht" beschlossen. 1992 ist somit das Gründungsjahr der Europäischen Union.

Vertrag von Nizza und die Charta der Grundrechte der Europäischen Union Rechtskraft erlangte diese zur Eröffnung der Regierungskonferenz von Nizza am 7. Dezember 2000 erstmals feierlich proklamierte Charta der Grundrechte.

Vertrag von Lissabon (2009) Mit dem Vertrag von Maastricht wurde der EWG-Vertrag in Vertrag zur Gründung der Europäischen Gemeinschaft (EG-Vertrag) umbenannt.

Seinen heutigen Namen erhielt er Vertrag über die Europäische Union (EUV) und der AEUV mit Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009. Die Umbenennung ist darauf zurückzuführen, dass mit dem Vertrag von Lissabon die Europäische Gemeinschaft aufgelöst und all ihre Funktionen von der EU übernommen wurden.

Die Grundrechtscharta wird mit dem Vertrag von Lissabon verbindlicher Teil des Primärrechts der EU.

V. von Nizza 2000 V. von Amsterdam 1997 V. von Lissabon 2009

EWG-Vertrag 1957 (Römische Verträge) V. von Maastricht 1992

Verträge und Historik zur Entwicklung der Europäischen Union

Rechtsquelle http://www.aeuv.de/ und https://de.wikipedia.org/


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

6

Das Regierungssystem der Europäischen Union - die sieben Organe

Bestimmung der allgemeinen politischen Zielvor- stellungen und Prioritäten der EU.

Fördert die allgemeinen Interessen der EU durch Vorschläge für neue europäische Rechtsvorschriften und deren Durchsetzung.

Das Europäisches Parlament wird alle fünf Jahre von den EU-Bürgerinnen und Bürgern direkt gewählt und ist an Gesetzgebung beteiligt.

Im Rat kommen Minister aus allen EU-Ländern zusammen, um Rechtsvorschriften zu dis- kutieren, zu ändern und anzunehmen.

Kontrolle der ordnungsgemäßen Erhebung und Verwendung der EU-Mittel.

Der EuGH gewährleistet, dass EU-Recht in allen EU-Mit- gliedsländern auf die gleiche Weise angewendet wird und sorgt dafür, dass Länder und EU-Instit. das EU-Recht einh.

Verwaltung des Euro, Gewährleistung der Preis- stabilität und Umsetzung der Wirtschafts- und Währungspolitik der EU.

Europäischer Rat Staats- und Regierungschefs der

Mitgliedsstaaten

Europäischer Kommission Exekutivorgan der EU

Rat der EU (Ministerrat) Pro Mitgliedsstaat ein Minister

Europäisches Parlament Vertritt die EU-Bürgerinnen und Bürgern

Europäischer Rechnungshof Prüft den Haushalt der EU…

Europäischer Gerichtshof Jeder EU-Mitgliedsstaat ist mit einem

Richter vertreten

Europäische Zentralbank (EZB) Preisstabilität und gestaltet der

Währungspolitik

1

2

3

4

5

6

7


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

7

Neue Rechtsvorschriften müssen sowohl vom Europäischen Parlament wie auch vom Rat der EU angenommen werden.

Trilog-Verhandlungen

Triloge sind informelle Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Kommission mit dem Ziel, frühes Einvernehmen zu EU-Gesetzen zu erreichen.

Europäischer Rat Strategische Vorgaben

Europäischer Kommission Entwirft neue Rechtsvorschriften anhand

der Vorgaben des Rates

Mitbestimmung Mitbestimmung

Vorschläge der Kommission

Europäisches Parlament Rat der EU (Ministerrat)

Rechtsakte mit allgemeiner Geltung (Verordnungen und Richtlinien)


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

8

Damit tritt sie 20 Tage später in Kraft und wird nach einer zweijährigen Übergangszeit am 25.05.2018 für Betroffene, juristische Personen und Behörden anwendbar.

Bringen wir etwas Licht in die Dunkelheit oder besser gesagt: „In die Verordnung“

■ Solange die EU-DSGVO noch keine endgültige Gültigkeit hat, erst ab dem 25. Mai 2018, ist das BDSG III von 2009 weiterhin unsere Datenschutzrechtliche-Grundlage.

■ Die Regelungen der EU-DSGVO haben zum heutigen Tage noch keinerlei rechtsverbindliche Bedeutung.

■ Die EU-Datenschutz-Grundverordnung mit ihren 99 Artikeln und 173 Erwägungsgründen (260 Seiten) ist deutlich umfangreicher als das Bundesdatenschutzgesetz (BDSG).

■ Zudem richtet die EU-DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszugestalten (Öffnungsklauseln) bzw. gibt ihm die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand.

■ Ab dem 25. Mai 2018 gelten dann jedoch ausschließlich die Regelungen der EU-DSGVO. Die bisher maßgeblichen Vorschriften des BDSG sind dann Geschichte. Hierbei ist jedoch zu

beachten ob ein neues „BDSG IV“ mit nationalem Regelungscharakter kommen wird und die BDSG Novelle III ablöst.

■ Diese Gesetzgebungsverfahren finden ebenfalls in der laufenden Übergangszeit statt.

Unsere Empfehlung. Nehmen Sie das BDSG III in welcher die Richtlinie 95/46/EG integriert wurde und schauen Sie nach Abweichungen in der EU-DSGVO. Sie müssen das Rad nicht neu erfinden! Setzen Sie dann die ergänzenden Anforderungen (was haben wir und was muss ergänzt werden?) in Ihre Geschäftsprozesse um. Eine Ergänzungsanalyse ist auf alle wesentlichen Änderungen anzuwenden.

Die EU-DSGVO wurde am 4. Mai 2016 im EU-Amtsblatt veröffentlicht


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

9

Zeittafel - Was passiert noch …, Öffnungsklauseln und Umsetzungsfristen

Die DSGVO ist in Kraft. Damit kann der nationale Gesetzgeber die Vorgaben der DSGVO zum Erlass ergänzender nationaler Regelungen – Öffnungsklauseln (etwa für ein „neues BDSG IV“) nutzen.

Bis Herbst 2016 sind die neuen Gesetzentwürfe für die ergänzenden nationalen Regelungen zu erwarten. Derzeit befinden sich diese in der Ausarbeitungsphase.

Der Bundestag und Bundesrat berät die Gesetzentwürfe für die nationalen Regelungen, zu erwarten im Frühjahr 2017.

Ablauf der Legislaturperiode und automatischer Verfall von noch nicht verabschiedeten Gesetzentwürfen (z.B. für ein sog. „neues BDSG IV“ - Diskontinuitätsprinzip ). Neuer Bundestag und Bundesrat kann neue Gesetzesinitiative zur Verabschiedung starten.

Bis 24. Mai 2018 - Anwendbarkeit des geltenden BDSG (entweder BDSG Novelle III oder „neues BDSG IV“, noch keine Anwendbarkeit der DSGVO für juristische Personen, Behörden oder für Betroffene.

Anwendbarkeit der DSGVO und Anwendbarkeit des „neuen BDSG IV“ (insofern verabschiedet). Die BDSG Novelle III von 2009, ist nicht mehr anwendbar.

24. Mai 2016

4. Quart. 2016

1. Quart. 2017

4. Quart. 2017

24. Mai 2018

25. Mai 2018

Auf nationaler deutscher Ebene müssen die vorhandenen gesetzlichen Regelungen (vor allem das BDSG Novelle III von 2009) noch an die DSGVO angepasst werden (Öffnungsklauseln“).


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

10

Die neuen Herausforderung bestehen einerseits darin, sich mit dem Regelungswerk der EU-DSGVO vertraut zu machen, andererseits den individuellen Anpassungsbedarf zu eruieren und dabei die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht aus den Augen zu verlieren.

Anpassungsbedarf an die DSGVO, gibt es z.B. in folgenden Bereichen: ■ Umgang mit Beschäftigtendaten – Öffnungsklausel (Art. 5) ■ Bedingungen für die Einwilligung (Art. 7) ■ Informationspflichten und Rechten der betroffenen Person (Art. 12 bis 23) ■ Privacy by design and privacy by default -proactive not reactive (Art. 25) ■ Auftragsverarbeitung (Art. 28) ■ Dokumentationspflichten - Verzeichnis der Verarbeitungstätigkeiten (Art. 30) ■ TOM - Sicherheit der Verarbeitung (Art. 32) ■ Datenschutz-Folgenabschätzung - privacy impact assessment (Art. 35) ■ Stellung und Bestellung des Datenschutzbeauftragten (Art. 37 bis 39) ■ Beachtung der Norm ISO/IEC 27001(IT-Sicherheit) evtl. Organisation von Audits...

■ Vorhandene Datenschutzprozesse müssen auf Konformität geprüft werden und es ist dafür Sorge zu tragen, dass sie ab dem 25. Mai 2018 den neuen DSGVO Anforderungen gerecht werden.

■ Neue Datenschutzprozesse sollten bis einschließlich 24. Mai 2018 mit den verbindlichen Anforderungen des geltenden BDSG in Einklang gebracht werden.

■ Weder Sie als DSB, noch der Verantwortliche sollte es riskieren, die neuen EU-Datenschutzvorschriften zu ignorieren. Dies würde dazu führen, dass Sie im erheblichem Maße gegen Compliance-Vorgaben (Regelkonformität, Einhaltung von Gesetzen und Richtlinien) verstoßen. Die hohen Bußgelder von den Aufsichtsbehörden - Artikel 83 Abs. 1, sind hierbei nicht zu vernachlässigen - Bis 20 Mio. (verhältnismäßig und abschreckend).

Was erwartet uns als Datenschutzbeauftragte?


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

11

Welches ist das Gründungsjahr der Europäischen Union? Was bedeuten die Begriffe: „Primärrecht, Sekundärrecht“?

Was ist Unterschied zwischen einer EU-Richtlinie und einer EU-Verordnung?

Was ist unter einer „Öffnungsklausel“ zu verstehen?

Welche EU-Richtlinie, Charta und nationales Datenschutzgesetz sind in die DSGVO integriert worden? Wieviel EG und Artikel beinhaltet die DSGVO?

Was passiert automatisch bei Ablauf einer Legislaturperiode?

Ab wann ist die DSGVO anwendbar und was passiert dann mit dem BDSG Novelle III?

Zusammenfassende - Übung


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

12

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) - Angenommen vom Rat am 8. April 2016.

Datenschutz-Grundverordnung

ZIELSETZUNG Erwägungsgrund 11 der Datenschutz-Grundverordnung (DSGVO)

(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie - in den Mitgliedstaaten - gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung. (12) Artikel 16 Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen.


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

13

Charta der Grundrechte

(2000)

Richtlinie 95/46/EG

(1995)

Informationelle

Selbst- bestimmung

(1983)

Die EU-Datenschutz-Grundverordnung, angelehnt an die Richtlinie 95/46/EG, Charta der Grundrechte

und dem deutschen Datenschutz-Recht. 173 Erwägungsgründe und 99 Artikel.

Auftragsdaten- Verarbeitung…

Transparenz,

Datensparsamkeit, Auskunftsrechte, Korrektur- und Löschrechte…

BDSG Novelle III (2009)


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

14

Erwägungsgründe 1 – 173 S. 2-107

Artikel 1 – 99 Kapitel I: ALLGEMEINE BESTIMMUNGEN Artikel 1 Gegenstand und Ziele S. 108 Artikel 2 Sachlicher Anwendungsbereich S. 108 Artikel 3 Räumlicher Anwendungsbereich S. 110 Artikel 4 Begriffsbestimmungen S. 111

Kapitel II: GRUNDSÄTZE Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten S. 117 Artikel 6 Rechtmäßigkeit der Verarbeitung S. 118 Artikel 7 Bedingungen für die Einwilligung S. 122 Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft S. 123 Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten S. 124 Artikel 10 Verarbeitung von pbD über strafrechtliche Verurteilungen und Straftaten S. 127 Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist S. 128

Kapitel III: RECHTE DER BETROFFENEN PERSON Artikel 12 Transparente Inform., Kommunikation und Modalitäten für die Ausübung der Rechte der betroff. S. 129 Artikel 13 Informationspflicht bei Erhebung von pbD bei der betroffenen Person S. 131 Artikel 14 Informationspflicht, wenn die pbD nicht bei der betroffenen Person erhoben wurden S. 134

Artikel 15 Auskunftsrecht der betroffenen Person S. 138 Artikel 16 Recht auf Berichtigung S. 140 Artikel 17 Recht auf Löschung ("Recht auf Vergessenwerden") S. 140 Artikel 18 Recht auf Einschränkung der Verarbeitung S. 142 Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung pbD oder der… S. 143 Artikel 20 Recht auf Datenübertragbarkeit S. 144 Artikel 21 Widerspruchsrecht S. 145 Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling S. 146 Artikel 23 Beschränkungen S. 147

Die Systematik (Aufbau) - Der EU-Datenschutz-Grundverordnung


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

15

Kapitel IV: VERANTWORTLICHER UND AUFTRAGSVERARBEITER Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen S. 150 Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen S. 151 Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche S. 152 Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern S. 152 Artikel 28 Auftragsverarbeiter S. 154 Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters S. 157 Artikel 30 Verzeichnis von Verarbeitungstätigkeiten S. 158 Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde S. 160 Artikel 32 Sicherheit der Verarbeitung S. 160 Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde S. 162 Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes pbD betroffenen Person S. 163 Artikel 35 Datenschutz-Folgenabschätzung S. 164 Artikel 36 Vorherige Konsultation S. 168 Artikel 37 Benennung eines Datenschutzbeauftragte S. 170 Artikel 38 Stellung des Datenschutzbeauftragten S. 171 Artikel 39 Aufgaben des Datenschutzbeauftragte S. 173 Artikel 40 Verhaltensregeln S. 174 Artikel 41 Überwachung der genehmigten Verhaltensregeln S. 178 Artikel 42 Zertifizierung S. 180 Artikel 43 Zertifizierungsstelle S. 182

KAPITEL V ÜBERMITTLUNG PBD AN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN Artikel 44 Allgemeine Grundsätze der Datenübermittlung S. 185 Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses S. 186 Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien S. 189 Artikel 47 Verbindliche interne Datenschutzvorschriften S. 191 Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung S. 195 Artikel 49 Ausnahmen für bestimmte Fälle S. 195 Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten S. 198



S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

16

KAPITEL VI UNABHÄNGIGE AUFSICHTSBEHÖRDEN Artikel 51 Aufsichtsbehörde S. 199 Artikel 52 Unabhängigkeit S. 200 Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde S. 201 Artikel 54 Errichtung der Aufsichtsbehörde S. 202 Artikel 55 Zuständigkeit S. 203 Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde S. 204 Artikel 57 Aufgaben S. 205 Artikel 58 Befugnisse S. 209 Artikel 59 Tätigkeitsbericht S. 213 KAPITEL VII ZUSAMMENARBEIT UND KOHÄRENZ Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen… S. 213 Artikel 61 Gegenseitige Amtshilfe S. 216 Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden S. 218 Artikel 63 Kohärenzverfahren S. 221 Artikel 64 Stellungnahme Ausschusses S. 221 Artikel 65 Streitbeilegung durch den Ausschuss S. 224 Artikel 66 Dringlichkeitsverfahren S. 226 Artikel 67 Informationsaustausch S. 227 Artikel 68 Europäischer Datenschutzausschuss S. 228 Artikel 69 Unabhängigkeit S. 229 Artikel 70 Aufgaben des Ausschusses S. 229 Artikel 71 Berichterstattung S. 234 Artikel 72 Verfahrensweise S. 235 Artikel 73 Vorsitz S. 235 Artikel 74 Aufgaben des Vorsitzes S. 236 Artikel 75 Sekretariat S. 236 Artikel 76 Vertraulichkeit S. 238



S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

17

KAPITEL VIII RECHTSBEHELFE, HAFTUNG UND SANKTIONEN Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde S. 238 Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde S. 239 Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter S. 240 Artikel 80 Vertretung von betroffenen Personen S. 241 Artikel 81 Aussetzung des Verfahrens S. 242 Artikel 82 Haftung und Recht auf Schadenersatz S. 242 Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen S. 244 Artikel 84 Sanktionen S. 248

KAPITEL IX VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit S. 249 Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten S. 250 Artikel 87 Verarbeitung der nationalen Kennziffer S. 250 Artikel 88 Datenverarbeitung im Beschäftigungskontext S. 251 Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken S. 252 Artikel 90 Geheimhaltungspflichten S. 253 Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gem… S. 254

KAPITEL X DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKT Artikel 92 Ausübung der Befugnisübertragung S. 255 Artikel 93 Ausschussverfahren S. 256 Artikel 94 Aufhebung der Richtlinie 95/46/EG S. 257 Artikel 95 Verhältnis zur Richtlinie 2002/58/EG S. 257 Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften S. 258 Artikel 97 Berichte der Kommission S. 258 Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz S. 259 Artikel 99 Inkrafttreten und Anwendung S. 260



S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

18

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) Charta der Grundrechte der Europäischen Union, proklamiert am 7. Dezember 2000 Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

sowie Artikel 16 Absatz 1

Vertrag über die Arbeitsweise der Europäischen Union (AEUV) Art. 16 (ex-Artikel 286 EGV) (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Erwägungsgrund (Whereas) 1


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

19

Einwilligung muss auf freier Entscheidung beruhen, also ohne Zwang gemäß (§ 4a Abs. 1 Satz 1 i.V.m. § 28 Abs. 3b) – Kopplungsverbot!

Es ist auf den Zweck der Verarbeitung hinzuweisen. (§ 4a Abs. 1 Satz 2).

Es ist auf die Folgen der Verweigerung der Einwilligung hinzuweisen. (§ 4a Abs. 1 Satz 2).

Einwilligung muss schriftlich erfolgen gemäß (§ 4a Abs. 1 Satz 3). Bei nicht-öffentlichen Stellen i.V.m. (§ 28 Abs. 3a und i.V.m. § 13 Abs. 2 TMG).

Erklärung, ist im Erscheinungsbild hervorzuheben. Einwilligung muss gut erkennbar sein (§ 4a Abs. 1 Satz 4 i.V.m. § 28 Abs. 3a).

Werden besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt muss dies ausdrücklich erklärt werden (§ 4a Abs. 3). Ausnahme zu Punkt 6 im Bereich der wissenschaftlichen Forschung gemäß (GG Art. 5 Abs. 3) i.V.m. (§ 4a Abs. 2 Satz 1 und § 4a Abs. 2 Satz 2).

§ 4a Einwilligung

1

2

3

4

5

Welche Voraussetzungen stellt das BDSG an eine gültige Einwilligungserklärung?

6

7


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

20

Welche Rechte hat der Betroffene ?

■ Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person S. 129 ■ Artikel 13 Informationspflicht bei Erhebung von pbD bei der betroffenen Person S. 131 ■ Artikel 14 Informationspflicht, wenn die pbD nicht bei der betroffenen Person erhoben wurden S. 134 ■ Artikel 15 Auskunftsrecht der betroffenen Person S. 138 ■ Artikel 16 Recht auf Berichtigung S. 140 ■ Artikel 17 Recht auf Löschung ("Recht auf Vergessen werden") S. 140 ■ Artikel 18 Recht auf Einschränkung der Verarbeitung S. 142 ■ Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung pbD oder der Einschränkung der Verarbeitung S. 143 ■ Artikel 20 Recht auf Datenübertragbarkeit S. 144 ■ Artikel 21 Widerspruchsrecht S. 145 ■ Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling S. 146 ■ Artikel 23 Beschränkungen

§ 6a Automatisierte Einzelentscheidung BDSG (1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden,

RECHTE DER BETROFFENEN PERSON


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

21

Welche Informationen fallen unter das Auskunftsrecht nach Art. 15 EU-DSGVO? ■ Zwecke der Datenverarbeitung ■ Kategorien der Daten ■ Empfänger oder Kategorien von Empfängern ■ Dauer der Speicherung ■ Recht auf Berichtigung, Löschung und Widerspruch ■ Beschwerderecht bei einer Aufsichtsbehörde ■ Herkunft der Daten (wenn nicht bei Betroffenen erhoben) ■ Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling ■ Übermittlung in Drittland oder an internationale Organisation Welche Auflagen sind in den Art. 13 – 15 neu hinzugekommen?

Artikel 15 - DSGVO - Auskunftsrecht der betroffenen Person


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

22

§ 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten BDSG

besondere Arten personenbezogener Daten

gemäß § 3 Abs. 9 BDSG

Daten, die einem Berufsgeheimnis

unterliegen gemäß § 203 StGB

Daten über strafbare Handlungen oder Ordnungs-

widrigkeiten oder über einen solchen Verdacht

personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (Häcker, Diebstahl…) und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen?

Schwerwiegende Beeinträchtigungen z.B. durch illegale Kontoabbuchungen(Kto.-Nr., BLZ, od. IBAN, BIC oder Skimming…) Erpressbarkeit(Kontostand: > 100.000 €), Bloßstellung oder Rufschädigung etc. Schutzstufenkategorie „D“ oder „E“?

Besteht ein Risiko: Materieller oder immaterieller Schäden oder ein Risiko auf Identitätsdiebstahl(Online-Geschäfte)?

J N

Sind die Daten gemäß § 3 Abs. 6 anonymisiert?

J

N Keine

Meldepflicht!

Drohen schwerwiegende Beeinträchtigungen?

Sind die Daten gemäß § 3 Abs. 6a pseudonymisiert und oder

verschlüsselt? J N

Keine Meldepflicht!

N

Meldepflicht! Meldepflicht ist Fall abhängig, LfD – kontaktieren!

Ort der Referenztabelle? Art der Verschlüsselung?

1 2 3 4

angemessene Maßnahmen zur Sicherung der Daten ergriffen - JA Benachrichtigung der Betroffenen

J N Unrechtmäßige Kenntniserlangung durch Dritte?

Keine Meldepflicht!

Stellt eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2(§ 2 Abs. 1 + 2) fest, dass bei ihr gespeicherte


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

23

§ 4g BDSG - Aufgaben des DSB

§ 4g Abs. 1 S. 1 BDSG

Hinwirken: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.

§ 4g Abs. 2 S. 1 BDSG

Führen der Verfahrensübersicht -Verfahrensverzeichnisse gemäß § 4e Satz 1 Nr. 1 bis 8 welche automatisiert pbD verarbeiten - Transparenz.

§ 4g Abs. 1 S. 4 Nr. 1 BDSG

Überwachen: Er hat insb. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe pbD verarbeitet werden sollen, zu überwachen.

§§ 4g Abs. 2 S. 2 i.V.m. 4e S. 1 Nr. 1 bis 8

Verfügbarkeit der Übersicht – für jedermann – öffentliches Verfahrensverzeichnis – Jedermannverzeichnis.

§ 4g Abs. 1 S. 4 Nr. 2 BDSG

Vertraut machen - Schulung der Mitarbeiter mit den Vorschriften dieses Gesetzes(BDSG) und anderen Vorschriften des Datenschutzes.

§ 4f Abs. 1 Satz 6, i.V.m § 4d Abs. 5 und i.V.m. § 3 Abs. 9 Durchführung von Vorabkontrollen - Bestehen besondere Risiken für die Betroffenen?

1

2

3

4

5

6


S

emin

ar -

Die

ne

ue

EU

-Dat

ensc

hu

tz-G

run

dve

rord

nu

ng

(EU

-DSG

VO

)

24

Urheberrechte - Bildernachweis

Alle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: „EU-Datenschutz-Grundverordnung“ dienen, wurden erworben bei Fotolia.com

http://de.fotolia.com/id/45001493 http://de.fotolia.com/id/27195025 http://de.fotolia.com/id/29437951 http://de.fotolia.com/id/33652250 http://de.fotolia.com/id/34053562 http://de.fotolia.com/id/38818944 http://de.fotolia.com/id/37944046 http://de.fotolia.com/id/48979689 http://de.fotolia.com/id/20188400 http://de.fotolia.com/id/46162734 http://de.fotolia.com/id/38751832 http://de.fotolia.com/id/19111399 http://de.Fotolia.com/id/63894975 http://de.Fotolia.com/id/60653520 http://de.Fotolia.com/id/53470038 http://de.Fotolia.com/id/48005618 Quellangaben: http://data.consilium.europa.eu/doc/document/ST-5419-2016-REV-1/de/pdf https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Europ__isches_Parlament_verabschiedet_EU-Datenschutzreform_-_UPDATE_23_05_2016/ 20160520-DSGVO_Ueberblick-Homepage.pdf

Documents

Herzlich Willkommen zum Seminar EU-Datenschutz … · 2018-01-16 · © EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler -EU-utz-U-) 2 Zusammenfassend – Datenschutz-Historie