Seminar EU-Datenschutz-Grundverordnung

» Technische und organisatorische Maßnahmen
bis dato § 9 plus Anlage BDSG. TOM müssen zum Schutz der Daten implementiert werden und dem Stand der Technik entsprechen.

» Privacy by design and by default - Dienste müssen datensparsam gestaltet und mit den datenschutzfreundlichsten Voreinstellungen angeboten werden (Privacy by design and by default) z.B. durch Pseudonymisierung. Standardeinstellungen müssen darauf ausgerichtet sein, nur pbD zu verarbeiten, die für den konkreten Zweck erforderlich sind. Das betrifft auch den Umfang der erhobenen Daten, ihre Verarbeitung, die Speicherfrist und ihre Zugänglichkeit (Vertraulichkeit).

» Personenbezogene Daten müssen transparent und nach Treu und Glauben verarbeitet werden.

» Unternehmen haben umfangreichere Meldepflichten gegenüber den Behörden und Betroffenen bei der Verletzung des Datenschutzes zu beachten.

» Ein Datenschutzbeauftragter ist zu bestellen, wenn die Kerntätigkeit eines Unternehmens in der Datenverarbeitung liegt oder besonderer Kategorien pbD verarbeitet werden.

» Betroffene können gegen Unternehmen ein Recht auf Vergessen geltend machen, woraufhin ihre Daten zu löschen sind.

» Ferner gilt das Recht, bei einem Anbieterwechsel ihre Daten in einem allgemein nutzbaren Format kostenfrei mitnehmen zu können (Datenportabilität).

» Eine Datenübertragung in Drittstaaten wird nach ähnlichen Grundsätzen möglich sein wie in der Vergangenheit (§ 4b übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen BDSG). Zu beachten ist hierbei ob ein angemessenes Datenschutzniveau im Empfängerland herrscht.

» Datenverarbeitungen müssen explizit dokumentiert werden.

» In Einzelfällen muss eine Datenschutz-Folgenabschätzung (privacy impact assessment) vor der Implementierung von Datenverarbeitungsprozessen durchgeführt werden..

» Sanktionen - Wer pbD unrechtmäßig verarbeitet oder verarbeiten lässt (Rechtsverstöße), kann mit Bußgeldern bis zu 4 % des Jahresumsatzes , bzw. 20 Mio. Euro, geahndet werden, wobei der jeweils höhere Wert gilt.

» Die nationalen Öffnungsklauseln sind hierbei noch erwartungsvoll abzuwarten und dienen der Ergänzung der DSGVO

» Bis Herbst 2016 sind die neuen Gesetzentwürfe für die ergänzenden nationalen Regelungen zu erwarten.

Art. 5 Abs. 1 lit. b Zweckbindung i.V.m. Erwägungsgrund 39 - Grundsätze der Datenverarbeitung, pbD sind zu löschen wenn Ihr Zweck erloschen ist.

Aufbewahrungsfristen gemäß AO, HGB und GoBS etc. zu beachten und ausweisen (DSRi)!

Art. 6 DSGVO
a) Die betroffene Person hat ihre Einwilligung gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich

Bisher erteilte Einwilligungen nach § 4a BDSG gelten in aller Regel nach dem Wirksamwerden der DSGVO fort.

Unternehmenswebseite und Online-Einwilligungen
Identität des Verantwortlichen gemäß § 5 TMG, Datenschutzerklärung gemäß § 13 TMG, Datenschutzrichtlinie und Identität des Datenschutzbeauftragten vorhanden?

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden pbD einverstanden ist.

Beweisbarkeits- und Transparenzgebot

Eine eingeholte Online-Einwilligung ist zu dokumentieren und zu speichern. Es ist sicherzustellen, dass eine erteilte Nutzereinwilligung bewiesen werden kann.

Weil die elektronische Einwilligungserklärung als Form der schriftlichen gewertet wird, ist für ihr Wirksamwerden das Transparenzgebot des Art. 7 Abs. 2 DSGVO zu beachten. Die Einwilligung ist nur wirksam, wenn:

» eindeutig und unmissverständlich;
» für einen festgelegten Zweck abgegeben;
» der Betroffene vor der Verarbeitung über den Zweck hinreichend informiert wurde;
» freiwillig (ohne Zwang) -Art. 7 Abs. 4

Bei Vernichtern zu beachten und eine ADV ist zu schließen.

Zertifiziert nach DIN 66399 Büro- und Datentechnik, Vernichtung von Datenträgern.

Sicherheitsstufe 4:
» Besonders sensible und vertrauliche Daten sowie pbD, die einem erhöhten Schutz- bedarf unterliegen.

Sicherheitsstufe 5:
» Geheim zu haltende Informationen mit existenzieller Wichtigkeit für eine Person...

Soziale Sicherheit und Sozialschutz

Der sozialen Sicherheit dienen die Sozialversicherungen und die Sozialhilfe.

Die Sozialgesetzbücher (SGB X) regeln z.B.: Renten und Krankengeld.

Sozialversicherung (SV) die Arbeitslosenversicherung(ALV), (GKV), (PV), (RV) und (UV).

Nutzen Sie unseren DSGVO - Maßnahmenkatalog als Reportingtool an den Verantworlichen.