1. D: DRIVE
Wie arbeitet man datengesteuert?
Dieses Programm wurde mit Unterstützung
der Europäischen Kommission finanziert.
Modul 5: Gesetzgebung
2. Intelligente Daten Intelligente Region | www.smartdata.how
Dieses Programm wurde mit Unterstützung der Europäischen Kommission finanziert. Der Autor
ist allein verantwortlich für diese Veröffentlichung (Mitteilung) und die Kommission übernimmt
keine Verantwortung für die Verwendung der darin enthaltenen Informationen.
Ziel dieses Moduls ist es, einen Überblick über Ethik,
Gesetzgebung und Datenschutz bei „Big Data“ zu geben.
Nach Abschluss dieses Moduls werden Sie:
- In der Lage sein, die Notwendigkeit der Regulierung von
„Big Data“zu erkennen.
- Den Unterschied zwischen Privatsphäre und Datenschutz
verstehen
- Sie wissen, wie Sie Datenschutzmaßnahmen in Ihrem
eigenen (zukünftigen) Unternehmen umsetzen können.
Dauer des Moduls: ca. 1 - 2 Stunden
Modul 5:
Gesetzgebung
3. Intelligente Daten Intelligente Region | www.smartdata.how
Dieses Programm wurde mit Unterstützung der Europäischen Kommission finanziert. Der Autor
ist allein verantwortlich für diese Veröffentlichung (Mitteilung) und die Kommission übernimmt
keine Verantwortung für die Verwendung der darin enthaltenen Informationen.
1
Gesetzgebung2
BIPR3
– Ethik der großen Daten
– Aspekte der Big Data Ethik
4 Rechtliches Glossar
Wie wäre es mit Ethik?
– Die Grundlagen von DSGVO
– Individuelle Rechte
– DSGVO-Implementierung
– Privatsphäre vs. Datenschutz
5. Mit der Zunahme der Rechenleistung, der
elektronischen Geräte und der Zugänglichkeit
zum Internet werden mehr Daten denn je
produziert, gesammelt und übertragen.
Heutzutage ist Big Data groß genug, um
praktische und nicht nur theoretische Fragen
zur Ethik zu stellen. „Big Data“selbst ist, wie
alle Technologien, ethisch neutral.
Die Verwendung von „Big Data“ ist es jedoch
nicht.
Intelligente Daten Intelligente Region | www.smartdata.how
6. Das Sammeln und Analysieren großer Datenmengen ist zu einem mächtigen
Weg geworden, um umsetzbare Erkenntnisse in jedem Unternehmen zu
erschließen, aber es bringt auch einige Bedenken bezüglich der ”Big Data”-
Ethik mit sich, die angegangen werden müssen. Weil der Zugriff und die
Speicherung von Daten so einfach ist, sammeln einige Organisationen alles
und behalten es immer bei, da der Wert jeder Information nur bekannt ist,
wenn man sie mit etwas anderem verbinden kann, das zu einem späteren
Zeitpunkt eintrifft.
Und es ist nicht nur die CIA, die solche Daten sammelt. Große
Lebensmittelketten, Investmentbanken und sogar die Post haben eine
prädiktive Analysefunktion mit dem einzigen Zweck, Daten zu sammeln und
zu analysieren, um das Käuferverhalten vorherzusagen.
Intelligente Daten Intelligente Region | www.smartdata.how
„Big Data“-ETHIK
Daten können entweder nützlich
oder vollkommen anonym sein,
aber niemals beides.
Paul Ohm
Intelligente Daten Intelligente Region | www.smartdata.how
7. Intelligente Daten Intelligente Region | www.smartdata.how
Aspekte der “Big Data“-Ethik
“Big Data” übersteigt bereits unsere Fähigkeit, ihre Auswirkungen zu verstehen.
Unternehmen sind jeden Tag innovativ, und das Tempo des Wachstums von “Big
Data” ist praktisch unermesslich. Um einen Rahmen für die Analyse der oft
nuancierten und zusammenhängenden Aspekte der “Big Data”-Ethik zu schaffen,
können die folgenden Schlüsselkomponenten helfen, die Situation zu entwirren.
Identität Datenschutz
Eigentum Ansehen
8. Identität Datenschutz
Eigentum Ansehen
Intelligente Daten Intelligente Region | www.smartdata.how
"Ist die Online-Existenz
identisch mit der Offline-
Existenz?"
Wenn unser historisches Verständnis davon, was Identität bedeutet, durch “Big Data”-
Technologien transformiert wird (indem wir anderen die Möglichkeit geben, verschiedene
Facetten unserer Identität zusammenzufassen oder zu aggregieren), dann verbessert und
erweitert das Verständnis unserer Werte rund um das Konzept selbst unsere Fähigkeit,
angemessenes und unangemessenes Handeln zu bestimmen. Große Daten bieten anderen die
Möglichkeit, verschiedene Aspekte unserer Identität ganz einfach zusammenzufassen, zu
aggregieren oder zu korrelieren - ohne unsere Teilnahme oder Zustimmung.
Wenn “Big Data”die Bedeutung des Begriffs der Identität selbst entwickelt, dann entwicket “Big
Data” auch unsere ethische Beziehung zu dem Begriff, den das Wort repräsentiert. Das macht
es leicht, den Wert von explizitem Dialog und Abfrage zu verstehen. Je mehr unser Handeln auf
die Entwicklung und Erweiterung der Identität ausgerichtet ist, desto besser und expliziter
können wir die Werte verstehen, die sie motivieren.
9. Identität Datenschutz
Eigentum Ansehen
Intelligente Daten Intelligente Region | www.smartdata.how
"Wer sollte den Zugriff auf Daten
über Sie haben?"
Viele Leute würden argumentieren, dass wir eine gewisse Kontrolle darüber gewonnen haben,
wie die Welt uns wahrnimmt. Politische Dissidenten in Ägypten können ihre Ansichten online
so äußern, wie es kein anderes Medium, keine andere Technologie oder kein anderer Kontext
ihnen erlaubt. Opfer von Missbrauch oder Menschen, die an derselben Krankheit leiden,
können ihre Erfahrungen austauschen und durch die Verwendung von scheinbar anonymen
Online-Identitäten ein unschätzbares Gefühl der Verbundenheit und Gemeinschaft gewinnen.
Diese Perspektiven motivieren jedoch die Frage: Haben wir die Kontrolle über unsere Fähigkeit,
die Wahrnehmung der Welt zu steuern, verloren oder gewonnen?
Es gibt zwei Probleme. Erstens, bedeutet Datenschutz in der realen Welt das Gleiche, sowohl
online als auch offline? Zweitens, sollten Einzelpersonen eine legitime Fähigkeit haben, Daten
über sich selbst zu kontrollieren, und in welchem Maße? Häufig geht es dabei um die
Unterscheidung zwischen Offline-Verhalten und Online-Erwartungen. So wie wir andere fragen
können, welche Rechtfertigung es ihnen erlaubt, Informationen nach Wahl in öffentliche Daten
umzuwandeln, können wir uns selbst fragen: Warum erwarten wir, dass die Fähigkeit zur
Selbstauswahl und Kontrolle, welche Facetten wir online mit der Welt teilen, dieselbe ist wie
offline? Der Unterschied zwischen Online- und Offline-Erwartungen in Bezug auf den Grad der
Kontrolle von Individuen über den offenen Zugang zu Daten über sich selbst ist eine zutiefst
ethische Untersuchung. Ziel ist es, die Vorteile von “Big Data”-Innovationen mit den Risiken
eines umfassenderen Informationsaustauschs in Einklang zu bringen.
10. Identität Datenschutz
Eigentum Ansehen
Intelligente Daten Intelligente Region | www.smartdata.how
"Was bedeutet es, Daten über
uns zu besitzen?"
Der Grad des Eigentums an bestimmten Informationen über uns variiert ebenso stark wie die
Unterscheidung zwischen Datenschutzrechten und -interessen. Besitzen wir in der Offline-Welt
die Fakten über unsere Größe und unser Gewicht? Ist unsere Existenz selbst ein schöpferischer
Akt, an dem wir Urheberrechte oder andere mit der Schöpfung verbundene Rechte haben?
Sind die Informationen über unsere Familiengeschichte, die genetische Ausstattung und die
körperliche Beschreibung, die Vorliebe für Cola oder Pepsi oder die Fähigkeit, Freiwürfe auf
dem Basketballplatz zu schießen, Eigentum, das wir besitzen? Gibt es einen Unterschied
zwischen den Eigentumsqualitäten dieser Informationen? Wenn dies der Fall ist, wie können
dann diese Offline-Rechte und Privilegien, die durch alles von der Verfassung bis hin zu lokalen,
staatlichen und föderalen Statuten geheiligt werden, auf die Online-Präsenz der gleichen
Informationen angewendet werden?
Da offene Datenmärkte an Größe und Komplexität zunehmen, werden offene Regierungsdaten
immer zahlreicher, und Unternehmen generieren mehr Einnahmen aus der Nutzung
personenbezogener Daten, die Frage, wer was besitzt - und zu welchem Zeitpunkt im
Datenpfad - wird zu einer lauteren Debatte.
11. Identität Datenschutz
Eigentum Ansehen
Intelligente Daten Intelligente Region | www.smartdata.how
"Wie können wir feststellen,
was vertrauenswürdig ist?"
Noch kürzlich als dieser New Yorker Cartoon (vor 19 Jahren) erklärte: Reputation ist vor allem
das was Menschen die sie kennen und gelgentlich mit ihnen Interagieren über sich wussten und
dachten. Es sei denn, wir waren aus einem anderen Grund berühmt, die überwiegende
Mehrheit von uns hat unseren Ruf durch ein gutes (oder schlechtes) Verhalten gegenüber den
Leuten, die sie kannten. In manchen Fällen, eine Wahrnehmung zweiten Grades - das ist, was
Leute die sie nicht kannten über sie wussten.
Eine der größten Veränderungen, die durch “Big Data” entsteht, ist, dass die Zahl der
Menschen, die sich eine Meinung darüber bilden können, was für ein Mensch man ist,
exponentiell größer und weiter entfernt ist als noch vor wenigen Jahren. Darüber hinaus wächst
Ihre Fähigkeit, Ihre Online-Reputation zu verwalten oder aufrechtzuerhalten, immer weiter aus
der individuellen Kontrolle. Mittlerweile gibt es ganze Unternehmen, deren gesamtes
Geschäftsmodell auf "Reputationsmanagement" ausgerichtet ist. Wir wissen einfach nicht, wie
sich unser historisches Verständnis von Reputationsmanagement in digitales Verhalten
umsetzen lässt. Dies ist Grund genug sich tiefer mit dem Thema zu befassen.
13. Datenschutz im
Internet? Das ist ein
Oximoron.
Catherine Butler
Intelligente Daten Intelligente Region | www.smartdata.how
14. Den meisten Benutzern ist nicht bekannt,
wie viele personenbezogene Daten von
Unternehmen für verschiedene Zwecke
gespeichert werden. Dies beginnt sich zu
ändern, da das Bewusstsein für die
Datenschutzdebatte zunimmt. Die beiden
Trends - steigende Popularität großer
Datenmengen und zunehmendes
Bewusstsein für den Datenschutz -
beginnen sich zu entwickeln, und
Unternehmen, die aus dieser “Big Data” –
Ära Kapital schlagen wollen, müssen sich
dieser grundlegenden ethischen Bedenken
bewusst sein und sie angehen.
Intelligente Daten Intelligente Region | www.smartdata.how
18. PRIVATSPHÄRE DATENSCHUTZcontra
Gibt es einen Unterschied?
Intelligente Daten Intelligente Region | www.smartdata.how
JA
• Datenschutz bezieht sich auf die angemessene
Nutzung und Kontrolle der Daten.
• Datenschutzprotokolle auf der ganzen Welt
befassen sich mit der Kontrolle der Menschen
über ihre persönlichen Daten und wie sie diese
vor unerwünschten oder schädlichen
Nutzungen schützen können.
• Dabei geht es um Fragen wie: Welche Art von
Daten werden verarbeitet, wo werden sie
aufbewahrt, wie lange werden sie aufbewahrt?
• Datenschutz bezieht sich auf die
Vertraulichkeit, Verfügbarkeit und
Integrität der Daten.
• Es konzentriert sich auf zwei
Hauptbereiche - die physische Sicherheit
von Gebäuden und die logische
Sicherheit von Daten und digitalisierten
Informationen.
• Sie umfasst Themen wie: Vertraulichkeit,
Integrität und Verfügbarkeit von Daten,
Schutz von Netzen, physische Sicherheit
von Standorten, Ausrüstung, Transport
und Personen.
19. Intelligente Daten Intelligente Region | www.smartdata.how
PRIVATSPHÄRE
Privatsphäre, auch
Informationsprivatsphäre
genannt, ist der Aspekt der
Informationstechnologie, der
sich mit der Fähigkeit einer
Organisation oder Person
befasst, zu bestimmen,
welche Daten in einem
Computersystem mit Dritten
geteilt werden können.
Der Privatsphäre gilt immer dann, wenn Daten:
- Gesammelt
- Verarbeitet
- Gespeichert
werden.
Welche sich auf eine lebende Person beziehen, die durch diese Daten identifiziert
werden kann.
Die EU-Datenschutzvorschriften sehen vor, dass Ihre personenbezogenen Daten nur in bestimmten
Situationen und unter bestimmten Bedingungen verarbeitet werden können, wie z.B.:
– wenn Sie Ihre Einwilligung gegeben haben (Sie müssen darüber informiert werden, dass Ihre Daten
gesammelt werden)
– wenn eine Datenverarbeitung für einen Vertrag, eine Bewerbung oder eine Kreditanfrage erforderlich ist
– wenn eine gesetzliche Verpflichtung zur Verarbeitung Ihrer Daten besteht
– wenn die Verarbeitung in Ihrem"lebenswichtigen Interesse" liegt, z.B. wenn ein Arzt bei einem Unfall
Zugang zu Ihren privaten medizinischen Daten benötigt.
– wenn die Verarbeitung zur Erfüllung von Aufgaben im öffentlichen Interesse oder von Aufgaben der
Regierung, der Steuerbehörden, der Polizei oder anderer öffentlicher Stellen erforderlich ist.
Persönliche Daten über Ihre rassische oder ethnische Herkunft, Ihre sexuelle Orientierung, Ihre politische
Orientierung, Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder
Gesundheit dürfen nicht verarbeitet werden, außer in besonderen Fällen (z.B. wenn Sie ausdrücklich
zugestimmt haben oder wenn die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses auf
der Grundlage des EU- oder nationalen Rechts erforderlich ist). Diese Regeln gelten sowohl für öffentliche
als auch für private Einrichtungen.
Erhebung und Verarbeitung personenbezogener Daten
20. Intelligente Daten Intelligente Region | www.smartdata.how
DATENSCHUTZ
Datenschutz ist die
Prozess des Schutzes wichtiger
Informationen vor Korruption,
Kompromiss oder Verlust. Die
Bedeutung des Datenschutzes
nimmt mit zunehmender
Datenmenge zu.
in einem noch nie dagewesenen
Ausmaß zu wachsen.
Preise.
Der Datenschutz gilt immer dann, wenn es sich um 2 Arten von Informationen handelt:
...sind Daten, die sich auf
eine lebende Person
beziehen, die identifiziert
werden kann:
• aus diesen Daten oder
• aus diesen Daten und
anderen Informationen,
die sich im Besitz des
Inhabers der Daten
befinden,
Und schließt jede
Meinungsäußerung über die
Person und jeden Hinweis
auf die Absichten des für die
Verarbeitung
Verantwortlichen oder einer
anderen Person in Bezug auf
die Person ein.
Persönlich identifizierbare
Informationen
...sind PII-Daten, bestehend
aus Informationen zu:
• die rassische oder
ethnische Herkunft der
betroffenen Person,
• seine politischen
Ansichten,
• seine religiösen
Überzeugungen oder
andere Überzeugungen
ähnlicher Art,
• ob er Mitglied einer
Gewerkschaft ist,
• seine körperliche oder
geistige Gesundheit oder
seinen Zustand,
• sein Sexualleben,
• die Kommission oder
angebliche Kommission
von ihm eines Vergehens.
Sensible persönliche
InformationenPII SPI
21. Es ist keine Übertreibung zu sagen, dass
wir für die meisten Institutionen - und
viele der Menschen mit denen wir zu tun
haben nichts weiter sind als eine
Sammlung von Daten. Große
Datenmengen stellen enorme
Herausforderungen an die Datensicherung-
sowohl für die Prozessoren als auch für die
Regulierungsbehörden. Gleichzeitig
verändert es den Kontext und erhöht den
Einsatz für die Datensicherung. Da
personenbezogene Daten universell
gesammelt und über Branchen- und
Ländergrenzen hinweg ausgetauscht
werden, stellen inkonsistente
Datensicherungsgesetze eine zunehmende
Bedrohung für Einzelpersonen,
Institutionen und die Gesellschaft dar.
Intelligente Daten Intelligente Region | www.smartdata.how
22. Auswirkung: 3 Milliarden Benutzerkonten
Details: Im September 2016 gab Yahoo bekannt,
dass es Opfer des größten Dateneindiebstahl in
der Geschichte war, wahrscheinlich von einem
staatlich geförderten Akteur," im Jahr 2014. Der
Angriff gefährdete die echten Namen, E-Mail-
Adressen, Geburtsdaten und Telefonnummern
von 500 Millionen Nutzern. Das Unternehmen
sagte, dass die "überwiegende Mehrheit" der
beteiligten Passwörter mit dem robusten bcrypt-
Algorithmus gehasht wurde.
Auswirkungen: 145 Millionen Nutzer gefährdet
Details: Der Online-Auktionsriese eBay meldete im Mai
2014 einen Cyberangriff, der Namen, Adressen,
Geburtsdaten und verschlüsselte Passwörter aller seiner
145 Millionen Nutzer enthüllte. Das Unternehmen sagte,
dass Hacker mit den Zugangsdaten von drei
Firmenmitarbeitern in das Firmennetzwerk eindrangen
und 229 Tage lang vollständigen Zugang hatten, während
dessen waren sie in der Lage, ihren Weg zur
Benutzerdatenbank zu finden.
Auswirkungen: Kredit-/Debitkarteninformationen
und/oder Kontaktinformationen von bis zu 110
Millionen Menschen gefährdet.
Details: Der Diebstahl der Kundendaten begann vor
Thanksgiving, wurde aber erst einige Wochen später
entdeckt. Der Einzelhandelsriese gab zunächst
bekannt, dass Hacker über einen externen HVAC-
Anbieter Zugang zu seinen Point-of-Sale (POS)-
Zahlungskartenlesern erhalten und etwa 40 Millionen
Kredit- und Debitkartennummern gesammelt haben.
Angesichts der zunehmenden Zahl von Datenverstößen, die auf der
Titelseite der Nachrichten zu finden sind, haben Unternehmen gute
Gründe, die Sicherheit ernst zu nehmen.
23. Schließlich gewinnen
sie eine Menge
Daten für jeden
Benutzer. Werfen Sie
zum Beispiel einen
Blick auf alle Daten,
die Uber von jedem
Einzelnen erhält, der
eine Fahrt von A
nach B bucht.
Intelligente Daten Intelligente Region | www.smartdata.how
24. 1. Die Grundlagen der DSGVO
2. Individuelle Rechte
3. Umsetzung der DSGVO
BIPR
25. Als wir uns dieser industriellen Revolution
näherten, hatten die Gesetze, die ihren Schutz
regeln, einen Punkt erreicht, an dem sie ein
wenig wie ein altes Betriebssystem waren. Sie
brauchen ein Update, sonst wären sie
untauglich geworden. Jedes Land, das sich um
die persönlichen Daten der Bürger, die große
Datenanalyse und die Sicherheit kümmert,
versuchte, seine eigene Gesetzgebung zur
Datenkontrolle zu entwickeln. In der
Europäischen Union müssen sich
Unternehmen an die DSGVO-Gesetzgebung
halten.
Intelligente Daten Intelligente Region | www.smartdata.how
26. Intelligente Daten Intelligente Region | www.smartdata.how
Die Datenschutzgrundverordnung
(DSGVO) ist ein europaweit
einheitliches Regelwerk, das dem
Einzelnen eine bessere Kontrolle über
seine personenbezogenen Daten
ermöglicht. BIPR
Was ist die
DSGCO?
Warum
wurde die
DSGVO
entworfen?
Wann gilt
die DSGVO?
Für wen gilt
die DSGVO?
Wann kann
ich Daten im
Rahmen der
DSGVO
verarbeiten?
Welche
Folgen hat
es, wenn ich
nicht nach
der DSGVO
handele?
DIE GRUNDLAGEN DER DSGVO
27. BIPR
Was ist
die
DSGVO
? Warum
wurde die
DSGVO
entworfen?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
der DSGVO
verarbeiten
?
Welche
Folgen hat
es, wenn
ich nicht
nach der
DSGVO
handele
Die Datenschutzgrundverordnung (DSGVO) der EU ist das
Ergebnis einer vierjährigen Arbeit der EU zur Anpassung der
Datenschutzvorschriften an neue, bisher unvorhergesehene
Formen der Datenverwendung.
Derzeit stützt sich das Vereinigte Königreich auf den Data
Protection Act 1998, der im Anschluss an die EU-
Datenschutzrichtlinie von 1995 erlassen wurde, der jedoch
durch die neuen Rechtsvorschriften ersetzt wird. Sie führt
strengere Bußgelder für Verstöße und Verstöße ein und gibt
den Menschen mehr Mitspracherecht darüber, was
Unternehmen mit ihren Daten tun können. Außerdem
werden die Datenschutzbestimmungen in der gesamten EU
mehr oder weniger identisch gestaltet.
Intelligente Daten Intelligente Region | www.smartdata.how
28. BIPR
Was ist die
DSGVO?
Warum
wurde die
DSGVO
entworfe
n?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
der DSGVO
verarbeiten
?
Welche
Folgen hat
es, wenn
ich nicht
nach der
DSGVO
handele?
Erstens will die EU den Menschen mehr Kontrolle darüber geben,
wie ihre persönlichen Daten verwendet werden, wenn man
bedenkt, dass viele Unternehmen wie Facebook und Google den
Zugang zu den Daten der Menschen für die Nutzung ihrer Dienste
tauschen. Die aktuelle Gesetzgebung wurde erlassen, bevor das
Internet und die Cloud-Technologie neue Möglichkeiten der
Datenverwertung schufen, und die DSGVO versucht, dem
entgegenzuwirken. Durch die Stärkung der
Datenschutzvorschriften und die Einführung strengerer
Durchsetzungsmaßnahmen hofft die EU, das Vertrauen in die
aufstrebende digitale Wirtschaft zu stärken.
Zweitens will die EU den Unternehmen ein einfacheres und
klareres rechtliches Umfeld bieten, indem sie das
Datenschutzrecht im gesamten Binnenmarkt identisch macht (die
EU schätzt, dass die Unternehmen dadurch insgesamt 2,3
Milliarden Euro pro Jahr einsparen können).
Intelligente Daten Intelligente Region | www.smartdata.how
29. BIPR
Was ist die
DSGVOO?
Warum
wurde die
DSGVO
entworfen?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
des DSVGO
verarbeiten
?
Welche
Folgen hat
es, wenn
ich nicht
nach der
DSGVO
handele?
Die DSGVO gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Da es
sich bei der DSGVO um eine Verordnung und nicht um eine Richtlinie
handelt, muss das Vereinigte Königreich keine neuen Rechtsvorschriften
ausarbeiten, sondern wird diese automatisch anwenden. Während es
am 24. Mai 2016 in Kraft trat, haben Unternehmen und Organisationen,
nachdem alle Teile der EU dem endgültigen Text zugestimmt haben, bis
zum 25. Mai 2018 Zeit, bis das Gesetz tatsächlich für sie gilt.
Während die überwältigende Mehrheit der IT-Sicherheitsexperten die
DSGVO kennt, bereitet sich knapp die Hälfte von ihnen auf seine
Ankunft vor, so eine Blitzumfrage von Imperva unter 170 Cyber-
Security-Mitarbeitern. Nur 43% bewerten die Auswirkungen der DSGVO
auf ihr Unternehmen und ändern ihre Praktiken, um mit der
Datenschutzgesetzgebung Schritt zu halten, so Imperva. Während die
Befragten überwiegend in den USA ansässig waren, wären sie immer
noch von der DSGVO betroffen, wenn sie mit den personenbezogenen
Daten von EU-Bürgern umgehen oder ein anderes Unternehmen damit
beauftragen würden.
Intelligente Daten Intelligente Region | www.smartdata.how
30. BIPR
Was ist die
DSGVO?
Warum
wurde die
DSGVO
entworfen?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
der DSGVO
verarbeiten
?
Welche
Folgen hat
es, wenn
ich nicht
nach der
DSGVO
handele?
Die “Sammler" und “Verarbeiter" der Daten müssen sich an die DSGVO
halten. Ein für die Sammlung Verantwortlicher gibt an, wie und warum
personenbezogene Daten verarbeitet werden, während einanderer
Verantwortlicher die eigentliche Verarbeitung der Daten vornimmt. Der
Sammler kann also jede Organisation sein, von einer gewinnorientierten
Firma bis hin zu einer Wohltätigkeitsorganisation oder einer Regierung.
Ein Verarbeiter kann ein IT-Unternehmen sein, das die eigentliche
Datenverarbeitung durchführt.
Auch wenn Controller und Prozessoren außerhalb der EU ansässig sind,
gilt die DSGVO für sie, solange sie mit Daten von EU-Bürgern zu tun
haben.
Es liegt in der Verantwortung des Sammlers, dafür zu sorgen, dass sein
Verarbeiter die Datenschutzbestimmungen einhält, und der Verarbeiter
selbst muss sich an die Regeln halten, um Aufzeichnungen über seine
Verarbeitungstätigkeiten zu führen. Wenn Verarbeiter in einen
Datenverstoß verwickelt sind, sind sie nach der DSGVO weitaus stärker
haftbar als nach dem Datenschutzgesetz. Intelligente Daten Intelligente Region | www.smartdata.how
31. BIPR
Was ist die
DSGVO?
Warum
wurde die
DSGVO
entworfen?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
der DSGVO
verarbeiten
?
Welche
Folgen hat
es, wenn
ich nicht
nach der
DSGVO
handele?
Sobald die Gesetzgebung in Kraft tritt, müssen die für die
Verarbeitung Verantwortlichen sicherstellen, dass
personenbezogene Daten rechtmäßig, transparent und für
einen bestimmten Zweck verarbeitet werden. Wenn dieser
Zweck erfüllt ist und die Daten nicht mehr benötigt werden,
sollten sie gelöscht werden.
Intelligente Daten Intelligente Region | www.smartdata.how
32. BIPR
Was ist die
DSGVO?
Warum
wurde die
DSGVO
entworfen?
Wann gilt
die
DSGVO?
Für wen
gilt die
DSGVO?
Wann kann
ich Daten
im Rahmen
der DSGVO
verarbeiten
?
Welche
Folgen hat
es, wenn ich
nicht nach
der DSGVO
handele?
Die Strafen für Verstöße gegen die Buchführung, die Sicherheit, die
Meldung von Verstößen und die Bewertung der Auswirkungen auf die
Privatsphäre betragen mehr als 10 Mio. EUR oder 2% des weltweiten
Bruttoumsatzes des Unternehmens.
Die Strafen für Verstöße gegen die gesetzliche Rechtfertigung für die
Verarbeitung (Einwilligung), die Rechte des Betroffenen und die
grenzüberschreitende Datenübermittlung betragen mehr als 20 Mio.
EUR oder 4 % des globalen Bruttoumsatzes des Unternehmens.
Intelligente Daten Intelligente Region | www.smartdata.how
33. INDIVIDUELLE RECHTE
Ein wesentlicher Teil der Verordnung erfordert die Zustimmung der Person, deren Daten
gespeichert werden. Concent bedeutet "jede frei gegebene, spezifische, informierte und
unmissverständliche Angabe seiner Wünsche, durch die die betroffene Person entweder
durch eine Erklärung oder durch eine eindeutige Bejahung ihr Einverständnis mit der
Verarbeitung personenbezogener Daten erklärt".
Die Organisationen müssen nachweisen können, wie und wann die Zustimmung
eingeholt wurde. Diese Einwilligung muss nicht ausdrücklich erteilt werden, sie kann
durch die Beziehung der Person zum Unternehmen impliziert werden. Die gewonnenen
Daten müssen jedoch für bestimmte, ausdrückliche und rechtmäßige Zwecke verwendet
werden.
Personen müssen jederzeit die Möglichkeit haben, ihre Einwilligung zu widerrufen und
ein Recht auf Vergessen zu haben; wenn ihre Daten aus den Gründen, aus denen sie
erhoben wurden, nicht mehr benötigt werden, müssen sie gelöscht werden.
Intelligente Daten Intelligente Region | www.smartdata.how
34. Das Recht auf Information
- Das Recht auf Information umfasst Ihre
Verpflichtung,"faire
Verarbeitungsinformationen" zur Verfügung
zu stellen,
in der Regel durch einen Datenschutzhinweis.
- Er betont die Notwendigkeit der
Transparenz über die Verwendung
personenbezogener Daten.
Das Recht auf Zugang
- Einzelpersonen haben das Recht auf
Zugang zu ihren persönlichen Daten und
ergänzenden Informationen.
- Das Zugriffsrecht ermöglicht es dem
Einzelnen, die Rechtmäßigkeit der
Verarbeitung zu erkennen und zu
überprüfen.
Das Recht auf Nachbesserung
- Die DSGVO gibt Einzelpersonen das
Recht auf Berichtigung
personenbezogener Daten.
- Personenbezogene Daten können
berichtigt werden, wenn sie unrichtig
oder unvollständig sind.
Das Recht auf Löschung
- Das Recht auf Löschung wird auch
als"das Recht, vergessen zu werden"
bezeichnet.
- Das Grundprinzip dieses Rechts besteht
darin, einer Person die Möglichkeit zu
geben, die Löschung zu beantragen.
Entfernung personenbezogener Daten,
wenn kein zwingender Grund für ihre
weitere Verarbeitung vorliegt.
Das Recht, die Verarbeitung
einzuschränken
- Personen haben das Recht, die
Verarbeitung personenbezogener Daten
zu"sperren" oder zu unterdrücken.
- Bei eingeschränkter Verarbeitung sind
Sie berechtigt, die personenbezogenen
Daten zu speichern, jedoch nicht weiter
zu verarbeiten.
- Sie können gerade genug Informationen
über die Person speichern, um
sicherzustellen, dass die Einschränkung in
Zukunft eingehalten wird.
Das Recht auf
Datenübertragbarkeit
- Das Recht auf Datenübertragbarkeit
ermöglicht es Einzelpersonen, ihre
persönlichen Daten für eigene Zwecke zu
erhalten und wiederzuverwenden.
über verschiedene Dienste hinweg.
- Es ermöglicht ihnen das einfache
Verschieben, Kopieren oder Übertragen
persönlicher Daten von einer IT-Umgebung in
eine andere.
ein sicherer und sicherer Weg, ohne
Beeinträchtigung der Benutzerfreundlichkeit.
Das Widerspruchsrecht
Das Recht auf Datenübertragbarkeit
ermöglicht es Einzelpersonen, ihre
persönlichen Daten für eigene Zwecke zu
erhalten und wiederzuverwenden.
über verschiedene Dienste hinweg.
Es ermöglicht ihnen das einfache
Verschieben, Kopieren oder Übertragen
persönlicher Daten von einer IT-Umgebung in
eine andere.
Ein sicherer Weg, ohne Beeinträchtigung der
Benutzerfreundlichkeit.
Rechte in Bezug auf
automatisierte
Entscheidungsfindung und
Profilerstellung
- Die DSGVO hat Bestimmungen über:
automatisierte Einzelentscheidung
(Entscheidungsfindung ausschließlich auf
automatisiertem Wege ohne jegliche
menschliche Beteiligung);und
Profiling (automatisierte Verarbeitung
personenbezogener Daten, um
bestimmte Dinge über eine Person
auszuwerten).
- Profiling kann Teil eines automatisierten
Entscheidungsprozesses sein.
Intelligente Daten Intelligente Region | www.smartdata.how
35. Intelligente Daten Intelligente Region | www.smartdata.how
DSGVO-IMPLEMENTIERUNG
Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen in Bezug auf Art, Umfang, Kontext und
Zwecke ihrer Verarbeitung und Verarbeitung personenbezogener Daten zu treffen. Datenschutzgarantien müssen bereits in den
frühesten Phasen der Entwicklung in Produkte und Dienstleistungen umgesetzt werden.
BEWUSSTSEIN
INFORMATIONEN, DIE
SIE BESITZEN
ÜBERMITTLUNG VON
INFORMATIONEN ZUM
DATENSCHUTZ
INDIVIDUELLE RECHTE
ZUGRIFFSANTRÄGE
GESETZLICHE
GRUNDLAGE FÜR DIE
VERARBEITUNG
PERSONENBEZOGENER
DATEN
ZUSTIMMUNG KINDER
DATENBRECHEN
DATENSCHUTZ DURCH
DESIGN- UND
DATENSCHUTZFOLGEN
ABSCHÄTZUNGEN
DATENSCHUTZBEAUFTR
AGTE
INTERNATIONAL
12 Schritte, die Sie in Ihrem Unternehmen zur Umsetzung der DSGVO durchführen können
1 2 3 4
5 6 7 8
109 11 12
Führen Sie diese Schritte in Ihrem eigenen
Unternehmen in Übung 3 des
Learnersworkbook #5
36. BEWUSSTSEIN1
Sie sollten sicherstellen, dass Entscheidungsträger und
Schlüsselpersonen in Ihrer Organisation wissen, dass sich das
Gesetz in Richtung DSGVO ändert. Sie müssen sich darüber im
Klaren sein, welche Auswirkungen dies haben wird, und
Bereiche identifizieren, die zu Problemen bei der Einhaltung
der DSGVO führen könnten. Es wäre sinnvoll, sich zunächst
das Risikoregister Ihrer Organisation anzusehen, wenn Sie
eines haben.
Die Umsetzung der DSGVO könnte erhebliche Auswirkungen
auf die Ressourcen haben, insbesondere für größere und
komplexere Organisationen. Wenn Sie Ihre Vorbereitungen bis
zur letzten Minute ruhen lassen, kann es schwierig sein, diese
einzuhalten.
37. INFORMATIONEN, DIE SIE BESITZEN2
Sie sollten dokumentieren, welche persönlichen Daten Sie besitzen, woher sie
stamen und mit wem Sie sie teilen. Möglicherweise müssen Sie ein
Informationsaudit unternehmensweit oder innerhalb bestimmter
Geschäftsbereiche organisieren.
Die DSGVO verlangt von Ihnen, dass Sie Aufzeichnungen über Ihre
Verarbeitungstätigkeiten führen.
Sie aktualisiert die Rechte für eine vernetzte Welt. Zum Beispiel, wenn Sie
unrichtige persönliche Daten und haben diese mit einer anderen Organisation
teilen, müssen Sie die andere Organisation über die Ungenauigkeit
informieren, damit diese ihre eigenen Aufzeichnungen zu korrigieren kann.
Dies ist nur möglich, wenn Sie wissen, welche persönlichen Daten Sie besitzen,
woher sie stammen und mit wem Sie sie teilen. Das sollten Sie dokumentieren.
Dies wird Ihnen auch helfen, den Grundsatz der Rechenschaftspflicht der
DSGVO einzuhalten, der von den Organisationen verlangt, dass sie nachweisen
können, wie sie die Datenschutzgrundsätze einhalten, z.B. durch wirksame
Richtlinien und Verfahren.
38. ÜBERMITTLUNG VON PRIVATEN INFORMATIONEN3
Sie sollten Ihre aktuellen Datenschutzhinweise überprüfen und einen Plan
aufstellen, um alle notwendigen Änderungen rechtzeitig für die Umsetzung
der DSGVO vorzunehmen. Wenn Sie personenbezogene Daten erfassen,
müssen Sie derzeit bestimmte Angaben machen, wie z.B. Ihre Identität und die
Art und Weise, wie Sie diese Informationen verwenden wollen.
Dies geschieht in der Regel durch eine Datenschutzerklärung. Unter der
DSGVO gibt es einige zusätzliche Dinge, die Sie den Leuten erzählen müssen.
Beispielsweise müssen Sie Ihre gesetzliche Grundlage für die Verarbeitung der
Daten, Ihre Aufbewahrungsfristen und das Recht des Einzelnen, sich bei der
ICO zu beschweren, wenn er der Meinung ist, dass es ein Problem mit der Art
und Weise, wie Sie mit seinen Daten umgehen, gibt. Die DSGVO verlangt, dass
die Informationen in prägnanter, leicht verständlicher und klarer Sprache zur
Verfügung gestellt werden.
39. INDIVIDUELLE RECHTE4
Sie sollten Ihre Verfahren überprüfen, um sicherzustellen, dass sie alle Rechte
abdecken.
Personen, einschließlich der Art und Weise, wie Sie personenbezogene Daten
löschen oder zur Verfügung stelle( elektronisch und in einem gängigen
Format).
Die DSGVO beinhaltet die folgenden Rechte für Einzelpersonen:
- das Recht auf Zugang;
- das Recht auf Berichtigung;
- das Recht auf Löschung;
- das Recht, die Verarbeitung einzuschränken;
- das Recht auf Datenübertragbarkeit;
- das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu
werden, einschließlich Profilerstellung.
Sie sollten sich überlegen, ob Sie Ihre Verfahren überarbeiten müssen und
Änderungen vornehmen. Sie müssen die persönlichen Daten in
maschinenlesbarer Form und kostenlos zur Verfügung stellen
40. ZUGRIFFSANTRÄGE5
Sie sollten Ihre Verfahren aktualisieren und planen, wie Sie mit Anfragen umgehen warden, um den neuen Regeln
Rechnung zu tragen:
- In den meisten Fällen können Sie keine Gebühren für die Beantwortung einer Anfrage erheben.
- Sie haben einen Monat Zeit, um sich daran zu halten, anstatt der derzeitigen 40 Tage.
- Sie können Anfragen, die offensichtlich unbegründet sind, ablehnen oder in Rechnung stellen.
- Wenn Sie einen Antrag ablehnen, müssen Sie der Person sagen, warum und das
sie das Recht haben, sich bei der Aufsichtsbehörde zu beschweren und
ein Rechtsmittel einzulegen. Sie müssen dies ohne unangemessene Verzögerung tun, und zwar
innerhalb eines Monats.
Wenn Ihre Organisation eine große Anzahl von Zugriffsanfragen bearbeitet, sollten Sie Folgende
logistischen Auswirkungen berücksichtigen um eine schnellere Bearbeitung von Anfragen zu erreichen.
Sie könnten überlegen, ob es machbar oder wünschenswert ist, Systeme zu entwickeln,
die es Einzelpersonen ermöglichen, einfach online auf ihre Informationen zuzugreifen.
41. GESETZLICHE GRUNDLAGE FÜR DIE VERARBEITUNG
PERSÖNLICHER DATEN
6
Sie sollten die gesetzliche Grundlage, für Ihre Verarbeitungstätigkeit laut
DSGVO, dokumentieren und ihre Datenschutzerklärung aktualisieren.
Viele Organisationen werden nicht über ihre gesetzlichen Grundlage, für
die Verarbeitung personenbezogener Daten nachgedacht haben.
Nach geltendem Recht gibt es nicht viele praktische Implikationen. Im
Rahmen der DSGVO wird dies jedoch anders sein,
weil die Rechte einiger Personen in Abhängigkeit von Ihrer
gesetzliche Grundlage für die Verarbeitung ihrer personenbezogenen
Daten.
Das offensichtlichste Beispiel ist, dass Menschen ein stärkeres Recht auf
Löschung ihrer Daten haben, wenn Sie Ihre Einwilligung als rechtmäßige
Grundlage für die Verarbeitung verwenden. Sie müssen auch Ihre
gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten
in Ihrem Datenschutzhinweis und bei der Beantwortung einer Anfrage
zum Thema Zugang erläutern. Die gesetzlichen Grundlagen in der DEGVO
sind im Großen und Ganzen die gleichen wie bei der
Bedingungen für die Verarbeitung im DPA. Es sollte möglich sein, die
Art der von Ihnen ausgeführten Verarbeitungen zu erkennen, überprüfen
sie ihre gesetzlichen Grundlagen um dies umzusetzten. Sie sollten Ihre
gesetzlichen Grundlagen dokumentieren, um die Anforderungen der
DSGVO an die"Rechenschaftspflicht" zu erfüllen.
42. ZUSTIMMUNG7
Sie sollten überprüfen, wie Sie die Einwilligung einholen, erfassen und verwalten und
ob Sie Änderungen daran vornehmen müssen. Bestehende Zustimmungen sollten Sie jetzt
aktualisieren, wenn sie nicht der DSGVO entsprechen.
Sie sollten die detaillierte Anleitung lesen, die die ICO zur Einwilligung unter der DSGVO
veröffentlicht hat. Nutzen sie ausserdem unsere Einverständnis-Checkliste, um Ihre Praktiken
zu überprüfen.
Die Zustimmung muss frei, spezifisch, informiert und eindeutig sein. Es
muss ein positives Opt-in vorhanden sein - die Zustimmung kann nicht aus Schweigen,
vorgemerkten Kästchen oder Inaktivität abgeleitet werden. Die Zustimmung muss unabhängig
erfolgen, darf nicht an andere Dienste gekoppelt werden und muss leicht wiederrufen werden
können. Öffentliche Stellen und Arbeitgeber müssen an einigen Stellen aufpassen. Die
Einwilligung muss nachprüfbar sein und der Einzelne hat in der Regel mehr
Rechte, wenn Sie auf die Einwilligung zur Verarbeitung ihrer Daten angewiesen sind.
Sie sind nicht verpflichtet, alle vorhandenen DPAs automatisch zu'replizieren' oder zu
aktualisieren um sich auf die DSGVO vorzubereiten. Aber wenn sie sich bei ihrer Verarbeitung
auf die Zustimmung des Nutzers beziehen, sollten Sie sicherstellen, das diese der DSGVO in
den Punkten spezifisch, feingradig, klar, gut erkennbar, optional, gut dokumentiert und leicht
zu wiederrufen, entspricht.
Falls das nicht der Fall ist sollten Sie ihre Formulare an die neue Gesetzgebung anpassen oder
nach einer alternativen zur Zustimmung suchen.
43. KINDER8
Sie sollten jetzt anfangen, darüber nachzudenken, ob Sie Systeme benötigen,
die das Alter ihrer Nutzer überprüft und gegebenfalls die Zustimmung der
Eltern oder Erziehungsberechtigten einholt.
Zum ersten Mal wird in der DSGVO ein spezieller Schutz für die
personenbezogene Daten von Kindern, insbesondere im Rahmen
kommerzieller Internetdienste wie z.B. Social Networking, eingeführt. Wenn
Ihr Unternehmen Online-Dienste anbietet, die für Kinder gedacht sind, dann
benötigen sie zum verarbeiten der personenbezogenen Daten die
Zustimmung eines Erziehungsberechtigten.
Die DSGVO legt das Alter, in dem ein Kind seine Zustimmung zu dieser
Verarbeitung geben kann, auf 16 Jahre (im Vereinigten Königreich kann dies
jedoch auf mindestens 13 Jahre gesenkt werden) fest. Wenn ein Kind jünger
ist, müssen Sie die Zustimmung einer Person einholen, die "elterliche
Verantwortung" trägt. Dies könnte erhebliche Auswirkungen haben, wenn
Ihre Organisation Online-Dienste für Kinder anbietet und deren persönliche
Daten sammelt. Denken Sie daran, dass die Einwilligung nachprüfbar sein
muss und dass bei der Erfassung von Kinderdaten Ihre Datenschutzerklärung
in einer Sprache verfasst sein muss, die von Kindern verstanden wird.
44. DATENSCHUTZVERSTOß9
Sie sollten sicherstellen, dass Sie über die richtigen Verfahren zur Erkennung, Untersuchung und
Meldung von Datenschutzverstößen verfügen.
Einige Organisationen sind bereits verpflichtet, die ICO zu benachrichtigen (und gegebenenfalls
andere Stellen), wenn sie eine Verletzung von persönlichen Daten feststellen. Das BIPR
führt eine Pflicht für alle Organisationen ein, bestimmte Arten von Daten zu melden.
Verstoß gegen die ICO, und in einigen Fällen auch gegen Einzelpersonen. Sie müssen die ICO
darüber informieren wenn ein Datenschutzverstoß dazu führt, dass das Recht auf Freiheit eines
einzelnen gefährdet ist,( z.B. durch Diskriminierung, Rufschädigung, finanziellem Verlust, Verlust
der Vertraulichkeit etc..)oder andere bedeutende wirtschaftliche oder soziale Nachteile
entstehen können. Wenn ein Verstoß zu einem hohen Risiko für die Rechte und Freiheiten von
Personen führen kann, müssen Sie in den meisten Fällen auch die Betroffenen direkt
benachrichtigen.
Sie sollten Verfahren einführen, um effektiv einen Verstoß gegen personenbezogene Daten zu
erkennen, zu berichten und zu untersuchen. Es ist zu empfehlen eine Dokumentation
anzulegen, wo welche Arten von Daten gespeichert werden und ob bei einer Diebstahl dieser
die ICO oder die Personen selbst informiert werden müssen. Größere Unternehmen müssen
Verfahren und Regeln einführen die bestimmen wie mit einem Datenschutzverstoß
umgegangen werden muss.
Die Nichtmeldung eines Verstoßes, kann ebenfalls zu einer Geldstrafe führen die dann zu der
Strafe für den Verstoß oben drauf kommt.
45. DATENSCHUTZ DURCH DESIGN
UND DATENSCHUTZFOLGENABSCHÄTZUNG
6
Es war schon immer ein guter Ansatz, einen Ansatz für den Schutz der Privatsphäre
durch Design zu verfolgen und dabei eine Datenschutzfolgenabschätzung (Privacy
Impact Assessment, PIA) durchzuführen. Die DSGVO macht jedoch den Schutz der
Privatsphäre durch Design zu einer ausdrücklichen gesetzlichen Anforderung, und
zwar unter den Satz " data protection by design and by default ". Außerdem werden
PIAs – sogenannte "Data Protection Impact Assessments" oder DPIAs - unter
bestimmten Umständen zwingend vorgeschrieben.
Eine DPIA ist erforderlich, wenn die Datenverarbeitung dazu führen kann, das ein
hohes Risiko für Einzelpersonen entsteht, zum Beispiel:
- wo eine neue Technologie eingesetzt wird;
- wo eine Profilerstellung erhebliche Auswirkungen auf Einzelpersonen haben kann
oder
- wo in großem Umfang Daten verarveitet werden die in eine spezielle Kategorie
fallen.
Wenn eine DPIA angibt, dass die Datenverarbeitung ein hohes Risiko darstellt, und
Sie dieses Risiko nicht ausreichend adressieren können, müssen Sie die ICO
konsultieren und ihre Meinung darüber einzuholen, ob die Verarbeitung mit der
DSGVO übereinstimmt.
10
46. DATENSCHUTZBEAUFTRAGTE
Sie sollten jemanden benennen, der die Verantwortung für die Einhaltung der
Datenschutzbestimmungen übernimmt und beurteilt, wo diese Rolle innerhalb der
Struktur und der Governance-Vereinbarungen Ihres Unternehmens angesiedelt ist.
Sie sollten darüber nachdenken, ob Sie verpflichtet sind, einen
Datenschutzbeauftragten (DSB) zu bennen. Sie müssen einen DPO benennen, wenn
Sie:
- eine Behörde (mit Ausnahme von Gerichten, die nur in ihrem Gerichtsbezirk tätig
sind);
- eine Organisation sind, die regelmäßige und systematisch Überwachung von
Personen in großem Umfang durchführt oder
- eine Organisation sind, die in großem Umfang Daten einer speziellen Kategorie,
wie z.B. Gesundheitsdaten, verarbeiten. Die Arbeitsgruppe für Artikel 29 hat
Leitlinien für Organisationen zur Bennenung, Position und Aufgaben einer DSB´s
veröffentlicht.
Es ist sehr wichtig, dass jemand in Ihrer Organisation oder ein externer
Datenschutzbeauftragter die Verantwortung für die Einhaltung der
Datenschutzbestimmungen übernimmt und über das Wissen, die Unterstützung
und die Autorität verfügt, seine Rolle effektiv wahrzunehmen.
11
47. INTERNATIONAL
Wenn Ihre Organisation in mehr als einem EU-Mitgliedstaat tätig ist, sollten Sie
Ihre leitende Datenschutzaufsichtsbehörde bestimmen und diese
dokumentieren.
Die federführende Behörde ist die Aufsichtsbehörde in dem Staat, in dem Ihre
Hauptniederlassung ist. Ihre Hauptniederlassung ist der Standort, wo
Ihre zentrale Verwaltung in der EU ist oder der Ort, an dem die
Entscheidungen über den Zweck und die Art der Verarbeitung getroffen und
implementiert werden.
Dies ist nur relevant, wenn Sie eine grenzüberschreitende Verarbeitung
durchführen - d.h. Sie Niederlassungen in mehr als einem EU-Mitgliedsstaat
haben oder Sie eine einzige Einrichtung in der EU haben, die Entscheidungen
über Verarbeitung von Daten von EU-Bürgerntrifft.
Wenn dies auf Ihre Organisation zutrifft, sollten Sie herausfinden, wo Ihre
Organisation diese Entscheidungen trifft. Dies wird ihnen dabei helfen ihre
Aufsichtsbehörde zu bestimmen.
12
48. Unabhängig davon, mit welchen Datenmengen
sie es zu tun haben, ist es für Unternehmen
entscheidend, dass sie wissen, wo sich ihre
Daten befinden, wie sie gespeichert sind und
wer Zugriff darauf hat. Die DSGVO kommt zu
einer Zeit, in der die Erwartungen der Kunden
noch nie höher waren an den Schutz ihrer
Daten. Die Macht wieder in die Hände der
Kunden zu legen, kann nur den Unternehmen
dienen, die sich auf sie verlassen, und dazu
beitragen, eine viel positivere Beziehung
aufzubauen und das Vertrauen der
Verbraucher zu stärken.
Intelligente Daten Intelligente Region | www.smartdata.how
50. RECHTLICHER GLOSSAR
PERSÖNLICHE DATEN
Jede Information über eine Person, die direkt oder indirekt identifiziert werden kann,
insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine
Identifikationsnummer, Standortdaten, Online-Identifikator oder auf einen oder
mehrere Faktoren, die für die physische, physiologische, genetische, geistige,
wirtschaftliche, kulturelle oder soziale Identität dieser Person spezifisch sind.
SAMMLER
Inhaber der Daten, die für den Datenschutz verantwortlich sind und für die Einhaltung
der Vorschriften durch die Verantwortlichen sorgen.
VERARBEITER
Arbeiten Sie mit den Daten und müssen Sie mit den Daten verantwortungsvoll
umgehen. Die Beziehung zwischen Controller und Prozessor muss dokumentiert
werden.
DATENSCHUTZBEAUFTRAGTE
Öffentliche Stellen, die über Expertenwissen im Bereich des Datenschutzes verfügen.
Sie befassen sich mit einer groß angelegten Verarbeitung spezieller Arten von
personenbezogenen Daten.
PROFILING
Automatisierte Verarbeitung personenbezogener Daten, um bestimmte
Kriterien über eine Person zu bestimmen.
VERSTOß UND BENACHRICHTIGUNG
Ein Sicherheitsverstoß, der zur unbeabsichtigten oder unrechtmäßigen
Zerstörung, zum Verlust, zur Veränderung, zur unberechtigten Weitergabe oder
zum unberechtigten Zugriff auf die übermittelten, gespeicherten oder
anderweitig verarbeiteten personenbezogenen Daten führt.
ZUGRIFFSANFRAGEN DES BETROFFENEN
Das Recht des Einzelnen, zu verstehen, was gespeichert ist und wie es
verwendet wird.
Intelligente Daten Intelligente Region | www.smartdata.how