eu-datenschutz-grundverordnung was kommt jetzt ... - sas.com · istanbul kanyon ofis binasıkat. 6...
Post on 27-Oct-2019
5 Views
Preview:
TRANSCRIPT
Arnd Böken
EU-Datenschutz-Grundverordnung
– Was kommt jetzt auf die
Unternehmen zu?Workshop, SAS Institute GmbH, 9. Februar 2017
gvw.com 2
EU-Datenschutz Grundverordnung
1. Übersicht über EU DSGVO
2. Accountability
3. Betroffenenrechte
4. Datensicherheit
5. Big Data Analytics
gvw.com 3
1. Übersicht über EU DSGVO
gvw.com 4
EU Datenschutz Grundverordnung
Übersicht
EU Datenschutz Grundverordnung
• Beschluss vom 27. April 2016
• Geltung ab dem 25. Mai 2018
Verordnung: einheitliches Datenschutzrecht für die EU
• Unmittelbare Geltung der Verordnung
Hohe Bußgelder
• Bisher: 50.000/300.000 Euro, selten verhängt
• DSGVO, Art. 83: bis 10 Mio./2 % oder 20 Mio. bzw. 4 % des
weltweiten Unternehmensumsatzes
Erweiterte Haftung
• Beweislastumkehr, Art. 82 Abs. 3
• Einbeziehung immaterieller Schäden
gvw.com 5
2. Accountability
gvw.com 6
Accountability (Rechenschaftspflicht),
Art. 5 Abs. 2, 24 Abs. 2 (1)
Umkehrung der Verantwortlichkeiten
Verantwortlicher muss künftig den Nachweis für Einhaltung des
Datenschutzrechts erbringen
Probleme
• häufig keine vollständige Übersicht über Datenverarbeitung
vorhanden, fehlendes Verfahrensverzeichnis
• Verfahrensverzeichnis häufig nicht aktuell
gvw.com 7
Accountability (Rechenschaftspflicht),
Art. 5 Abs. 2, 24 Abs. 2 (2)
Notwendige Maßnahmen: Verarbeitungsverzeichnis, Art. 30
• Kontaktdaten
• Zwecke der Verarbeitung
• Kategorien betroffener Personen und personenbezogener
Daten
• Kategorien von Empfängern, insbesondere in Drittstaaten
• Löschfristen für die verschiedenen Datenkategorien
• Ggf. Beschreibung der technischen und organisatorischen
Maßnahmen zur Datensicherheit
Wichtig:
• Vollständiger Überblick über die gesamte Datenverarbeitung
• Verzeichnis laufend aktualisieren
gvw.com 8
3. Betroffenenrechte
gvw.com 9
Betroffenenrechte
• Informationspflichten
• Recht auf Auskunft
• Löschpflichten, Recht auf Vergessenwerden
• Einschränkung der Verarbeitung
• Datenübertragung
• Widerspruch gegen Verarbeitung
Bußgeld bei Verstößen: 20 Mio/4%
gvw.com 10
Informationspflichten, Art. 13 u. 14
Erhebung bei Betroffenen oder Dritten, Information über
• Kategorien der erhobenen Daten
• Rechtsgrundlage der Erhebung, auch berechtigte Interessen,
automatisierte Entscheidungen, Zweckänderungen
• Herkunft der Daten (wenn nicht beim Betroffenen erhoben)
• Geplante Übermittlung an Dritte
• Dauer der Speicherung
• Belehrung über Betroffenenrechte
Notwendige Maßnahmen:
• Überblick, in welchen Prozessen Daten erhoben werden
• Sicherstellen, dass Information erfolgt
gvw.com 11
Recht auf Auskunft, Art. 15
Inhalt der Auskunft
• Entsprechend Informationspflichten nach Art. 13, 14
• Überlassung einer Kopie, Art. 15 Abs. 3
Notwendige Maßnahmen:
• Prozess für Anfragen einrichten
• Vollständige Übersicht über gespeicherte Daten
• Formular für Auskunft
gvw.com 12
Löschpflichten und Recht auf
Vergessenwerden, Art. 17 (1)
Löschpflichten, Art. 17 Abs. 1 (Auswahl)
• Zweckerledigung
• Widerruf einer Einwilligung
• Widerspruch gegen weitere Verarbeitung, insbesondere bei
Direktwerbung
• Daten von Kindern
Grenzen der Löschpflicht
• Rechtspflicht zur Speicherung
• Geltendmachung von Rechtsansprüchen, Meinungsfreiheit,
Archivzwecke u. a.
Daten an Dritte übermittelt
• Information der Dritten über Löschungsverlangen
• Information des Betroffenen über Empfänger
gvw.com 13
Löschpflichten und Recht auf
Vergessenwerden, Art. 17 (2)
Notwendige Maßnahmen:
• Löschkonzept erstellen und implementieren, d. h. Daten mit
Löschfristen verknüpfen
• Wirksames Löschen an allen Speicherorten
• Weitergabe an Dritte dokumentieren
• Prozess einrichten zur regelmäßigen Prüfung
gvw.com 14
4. Datensicherheit
gvw.com 15
Datensicherheit, Art. 33 (1)
Künftig erheblich größere Bedeutung:
• Bußgeld bei Verstößen: 10 Mio./2 % vom Umsatz
• Erweiterte Haftung für Verantwortliche und
Auftragsverarbeiter, Einbeziehung immaterieller Schäden, Art.
82
• Dokumentationspflicht und Beweislastumkehr, Art. 24, 82
• Erweiterte Benachrichtigungspflichten, Art. 33, 34
gvw.com 16
Datensicherheit, Art. 33 (2)
Notwendige Maßnahmen:
• Risikoanalyse, -bewertung und Schutzmaßnahmen
• Prozesse zur Gewährleistung der Datensicherheit einführen und
dokumentieren
• Prozesse zur rechtzeitigen Benachrichtigung von DSB und
Betroffenen (innerhalb von 72 Stunden)
• Verschlüsselung
• Interne Zugriffs- und Rechtekonzepte
gvw.com 17
5. Big Data Analytics
gvw.com 18
Big Data Analytics (1)
Profiling
• Weite Definition, Art. 4 Ziff. 4: Bewertung von persönlichen
Aspekten wie Arbeitsleistung, wirtschaftliche Lage,
Gesundheit, Interessen, Verhalten, Aufenthaltsort, u. a.
• Widerspruchsrechte: Art. 21
• Einschränkung automatischer Einzelentscheidungen, Art. 22
• Datenschutzfolgeabschätzung, Art. 35
gvw.com 19
Big Data Analytics (2)
Pseudonymisierung: Art. 4 Ziff. 5, EG 29
• Gesonderte Aufbewahrung der Schlüsselinformationen
• Schutz durch technische und organisatorische Maßnahmen
Anonymisierung: EG 26
• Sämtliche Mittel bei Verantwortlichem oder Dritten
• Wahrscheinlich zur Identifizierung genutzt: Kosten,
Zeitaufwand, verfügbare Technologien und künftige
Entwicklungen
gvw.com 20
Big Data Analytics (3)
Notwendige Maßnahmen:
• Identifizierung der Anwendungen
• Prozesse zur Prüfung der Rechtmäßigkeit incl.
Datenschutzfolgeabschätzung
• Prozesse zur Pseudonymisierung (Schlüsselinformationen,
Schutz durch technische und organisatorische Maßnahmen)
• Prozesse zur Anonymisierung (Löschen von Identifikatoren,
Aggregrieren u.a)
gvw.com 21
Arnd Böken
Partner
Rechtsanwalt und Notar
Potsdamer Platz 8
10117 Berlin
T +49 30 726111-0
F +49 30 726111-333
A.Boeken@gvw.com
gvw.com 22
Kontakt
Berlin
Potsdamer Platz 8
10117 Berlin
T + 49 30 726111-0
F + 49 30 726111-333
berlin@gvw.com
Düsseldorf
Königsallee 61
40215 Düsseldorf
T + 49 211 56615-0
F + 49 211 56615-123
duesseldorf@gvw.com
Frankfurt am Main
Ulmenstrasse 23-25
60325 Frankfurt/Main
T + 49 69 8008519-0
F + 49 69 8008519-99
frankfurt@gvw.com
Hamburg
Poststrasse 9 – Alte Post
20354 Hamburg
T + 49 40 35922-0
F + 49 40 35922-123
hamburg@gvw.com
München
Maximiliansplatz 10
Im Luitpoldblock
80333 München
T + 49 89 689077-0
F + 49 89 689077-100
muenchen@gvw.com
Brüssel
9 Rond Point Schuman
1040 Brüssel
T + 32 2 54103-30
F + 32 2 54103-39
bruessel@gvw.com
Istanbul
Kanyon Ofis Binası Kat. 6
Büyükdere Cad. No. 185
34394 İstanbul, Türkiye
T + 90 212 38180-00
F + 90 212 38180-48
istanbul@gvw.com
Shanghai
Chong Hing Finance Center, Room 906
288 West Nanjing Road
Shanghai 200003
T + 86 21 6322-3131
F + 86 21 6322-2430
shanghai@gvw.com
top related