Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Fmk2018- Die neue EU DSG-VO Christoph Kluss

50 views

Published on

Die Datenschutzgrundverordnung für FileMaker

Published in: Education
  • Be the first to comment

  • Be the first to like this

Fmk2018- Die neue EU DSG-VO Christoph Kluss

  1. 1. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss R e c h t s a n w ä l t e H a a ß & K l u s s Gew. Rechtsschutz, IT-Recht u. Arbeitsrecht Rechtsanwalt Christoph Kluss Fon: +49 69 562095 ♦ Fax: +49 69 562090 ♦ Mail: lawoffice@t-online.de Die neue Datenschutzgrundverordnung EU-DSGVO
  2. 2. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Über den Sprecher • Baujahr 1962 • 1982 bis 1987 Studium der Rechtswissenschaften an der J-W-G-Universität in Frankfurt a.M. • 1987 Abschluss 1. Staatsexamen mit Prädikat • 1988 - 1990 Referendariat in D-Frankfurt am Main und Los Angeles, CA, USA mit Abschluss 2. Staatsexamen 1990. • 1991 Zulassung als Anwalt u. Gründung Anwaltsbüro Dr. Müller, Haaß & Kluss • 1994 - 1998 Dozent an der Frankfurt School of Finance • seit 1998 Prüfer bei der IHK Frankfurt a.M. im Bereich Bankrecht • seit 1995 Start der eigenen Anwaltssoftware mit FmPro 3.0 • … und außerdem … Geschäftsführender Gesellschafter von 3 Imbissbuden von „Best Worscht In Town“
  3. 3. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss 1. Einführung Zweck Datenschutz • Schutz der Privatsphäre als Recht der Informationellen Selbstbestimmung. • Datenschutz bezieht sich auf personenbezogene Daten. • Jegliche Form der Rückschlüsse auf private Individuen ACHTUNG: Definitionen gem. Art. 4 DS-GVO 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende EU-DSGVO - RA Christoph Kluss HAAß • KLUSS R E C H T S A N W Ä L T E
  4. 4. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss 1. Einführung Zweck der DS-GVO – Art. 1 DS-GVO • Verstärkter Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, • Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. • ABER: Keine Einschränkung o. Verbot der Verarbeitung personenbezogener Daten innerhalb der EU und damit Stärkung der Wirtschaft durch freien Datenverkehr innerhalb der Union. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende HAAß • KLUSS R E C H T S A N W Ä L T E
  5. 5. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Was sind personenbezogene Daten ? Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der DSGVO Definition in Art. 4 Abs. 1 Nr. 1 DSGVO. Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 1. Einführung HAAß • KLUSS R E C H T S A N W Ä L T E
  6. 6. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss ALSO: • Vereinheitlichung und Umsetzung im EU-Recht • Hemmnisse abbauen • Nationale Regelungen entfallen: • private Datenverarbeitung, z.B. §§ 23 ff. BDSG aF, • Nutzung von Telemedien, §§ 11 ff., 15 III TMG (Nutzerprofile); § 13 VI TMG („pseudonyme Nutzung“) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 1. Einführung HAAß • KLUSS R E C H T S A N W Ä L T E
  7. 7. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • Für nationale Gesetzgeber bieten sich zahlreiche Öffnungsklauseln und Erweiterungen • Konkretisierung zu Beschäftigtendatenschutz (Art. 88 DSGVO): • für Zwecke der Einstellung, • der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, • des Managements, • der Planung und der Organisation der Arbeit, • der Gleichheit und Diversität am Arbeitsplatz, • der Gesundheit und Sicherheit am Arbeitsplatz, • … • Veränderung des Schutzstandards (Art. 9 IV DSGVO) - Stichwort Diskriminierung 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 1. Einführung HAAß • KLUSS R E C H T S A N W Ä L T E
  8. 8. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Art. 2 Abs. 1 DSGVO: „Diese Verordnung gilt für die ganz oder teilweise • automatisierte Verarbeitung • personenbezogener Daten sowie für die • nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 2. Anwendungsbereich HAAß • KLUSS R E C H T S A N W Ä L T E
  9. 9. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Räumlich: Ausgangspunkt für die Bestimmung des räumlichen Anwendungsbereichs ist Art. 3 DSGVO • bei der Verarbeitung personenbezogenen Daten, • ACHTUNG: Nicht beim Kontrollieren von Daten • im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, • unabhängig davon, ob die Verarbeitung in der Union stattfindet. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 2. Anwendungsbereich HAAß • KLUSS R E C H T S A N W Ä L T E
  10. 10. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Datenverarbeitung iSd. Art. 4 Nr. 2 DSGVO Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie • das Erheben, • das Erfassen, • die Organisation, • das Ordnen, • die Speicherung, • die Anpassung oder Veränderung, • das Auslesen, das Abfragen, 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  11. 11. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Zentrale Grundsätze gemäß Art. 5 DS-GVO • Verarbeitung nach Treu und Glauben (Art. 5 I a DS-GVO) • Rechtmäßigkeit der Datenverarbeitung (Art. 5 I a DS-GVO) siehe auch Art. 6 DS-GVO • Transparenzgebot (Art. 5 I a DS-GVO) • Zweckbindungsgrundsatz (Art. 5 I b DS-GVO) • Datensparsamkeit (Art. 5 I c DS-GVO) • Datenrichtigkeit (Art. 5 I d DS-GVO) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  12. 12. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Rechtmäßigkeit (Art. 6 I DS-GVO) Verbot mit Erlaubnisvorbehalt = Speichern verboten, sofern • der Betroffene nicht ausdrücklich eingewilligt hat oder • sonstige Rechtfertigung • Vertragserfüllung (Betroffener ist Vertragspartner) • Rechtliche Verpflichtung • Lebenswichtige Interessen 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  13. 13. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss ALSO • Bei allen Programmierungen mit personenbezogenen Daten müssen Einwilligungen hinterlegt sein. • Einwilligung muss mit „Double-OptIn“ erfolgen. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  14. 14. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Einwilligung, Art. 4 Nr. 11 DS-GVO „Einwilligung“: jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist Opt-out-Lösung zukünftig ausgeschlossen 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  15. 15. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Einwilligung, Art. 4 Nr. 11 DS-GVO • Mailing • Newsletter • Altkunden … • Änderung der FileMaker Module für die Kunden! 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  16. 16. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Einwilligung, Art. 4 Nr. 11 DS-GVO • Mailing • Newsletter • Altkunden … • Einwilligungen von Altkunden erlöschen nicht durch Zeitablauf (BGH v. 01.02.2018 - II ZR 196/17) • Konkludente Einwilligung 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  17. 17. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Profiling (Art. 4 Nr. 4 DS-GVO) = automatisierte Verarbeitung personenbezogener Daten, zum Zweck der Analyse oder Vorhersage von • Arbeitsleistung, • wirtschaftliche Lage, • Gesundheit, • persönliche Vorlieben, • Interessen, • Zuverlässigkeit, • Verhalten, 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  18. 18. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Verarbeitung im Beschäftigtenverhältnis, Art. 88 DS-GVO, Verbot mit Erlaubnisvorbehalt Geltung u.a. für Angestellte, Beamte, Bewerber • für Betriebszwecke o. Erfüllung von Rechten/Pflichten • zur Aufdeckung von Straftaten • mit Einwilligung oder • Erlaubnis durch Kollektivvereinbarung, 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 3. Grundsätze der Verarbeitung personenbezogener Daten HAAß • KLUSS R E C H T S A N W Ä L T E
  19. 19. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Betroffenenrechte gem. Art. 15 ff. DS-GVO, • Auskunftsrecht, • Recht auf Berichtigung, • Recht auf Löschung, • Recht auf Einschränkung der Verarbeitung, • Recht auf Mitteilung durch Verantwortlichen, • Datenportabilität, 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  20. 20. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Auskunftsrecht, Art. 15 DS-GVO gemäß der einzelnen Angaben aus Art. 15 DS-GVO Neuer FM-Report mit der Darstellung aller personenbezogenen Daten notwendig! 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  21. 21. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Berichtigung, Art. 16 DS-GVO auf Änderung der gespeicherten Eingaben 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  22. 22. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Recht auf Löschung, Art. 17 Abs. 1 DS-GVO • Speicherung nicht mehr erforderlich • Einwilligung widerrufen • (erfolgreicher) Widerspruch des Betroffenen Recht auf Vergessenwerden, Art. 17 Abs. 2 DS-GVO • Bezieht sich auf veröffentlichte Daten • Pflicht zur Information Dritter • ACHTUNG: Ergreifen „angemessener“ Maßnahmen 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende HAAß • KLUSS R E C H T S A N W Ä L T E 4. Rechte der Betroffenen Art. 15 ff. DS-GVO,
  23. 23. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • ACHTUNG: Ergreifen „angemessener“ Maßnahmen • PROBLEM: Rechtsunsicherheit Rat: Unternehmen geben ihre Löschfristen in einer Datenschutzerklärung (oder anderen geeigneten Weise) an. ALSO: • wie geht man mit inaktiven Kunden um, die lange nicht auf einer Plattform waren oder 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  24. 24. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Checkliste: Fristgerechtes Löschen personenbezogener Daten 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende Umsetzungsschritte Ja Nein Planen Sie die Datenlöschung immer gleich bei Archivierung. Gruppieren Sie die Dateien auf den Speichermedien entsprechend gemeinsamer Regellöschfristen. Achten Sie auf konkrete Fristen in den Übersichten. Akzeptieren Sie keine allgemeinen Formulierungen zu den Fristen. Nutzen Sie das Verfahrensverzeichnis zur Eigenkontrolle. Nehmen Sie die Löschfristen auf Wiedervorlage. Unterweisen Sie über datenschutzgerechte Löschung. Erklären Sie den Anwendern die Einschränkungen des herkömmlichen Löschens über Windows. Sorgen Sie für sicheres Löschen. Vergessen Sie beim Löschen mögliche Dateikopien und Ausdrucke nicht. Denken Sie an das neue Recht auf Vergessenwerden, das auch Links auf die Daten und Kopien betrifft. Dokumentieren Sie die Löschvorgänge sorgfältig. 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  25. 25. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Einschränkung der Verarbeitung, Art. 18 DS-GVO auf Einschränkung der gespeicherten Eingaben 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  26. 26. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Mitteilung der Verarbeitung, Art. 19 DS-GVO bez. jeder Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  27. 27. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Datenportabilität, Art. 20 DS-GVO • Kontrolle“ über eigene Daten und erleichterter Anbieterwechsel • Anspruch auf Datenerhalt • Gemeinsame Daten-Pools • ABER: Konkrete Wirkungen in der Praxis unsicher 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  28. 28. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Widerspruchsrecht, Art. 21 DS-GVO • Widerspruch zur Datenverarbeitung 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 4. Rechte der Betroffenen Art. 15 ff. DS-GVO, HAAß • KLUSS R E C H T S A N W Ä L T E
  29. 29. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Pflichten des Verantwortlichen Allgemeine datenschutzrechtliche Verantwortlichkeit, Art 24 DS-GVO • Informationspflichten, Art. 12 ff. • „Privacy by Design“ / „Privacy by Default“, Art. 25 • Verarbeitungsverzeichnis, Art. 30 (FmPro Gestaltung) • Sicherheit der Verarbeitung, Art. 32 • Meldung bei DS-Verletzungen, Art. 33 f. (innerhalb 72 Std) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  30. 30. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss DS-Folgenabschätzung, Art. 35 Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist eine Methode, die für jede Form der Datenverarbeitung durchzuführen ist, die ein hohes Risiko für die Rechte und Freiheiten jeder von der Verarbeitung betroffenen Person darstellt. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  31. 31. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Folgeabschätzung ist durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, z.B. bei: 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  32. 32. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, • auf Basis von automatisierter Verarbeitung einschließlich Profiling • als Grundlage für Entscheidungen, • die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen; 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  33. 33. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (z.B. Datenbank über Sexualstraftäter) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  34. 34. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche (z.B. Shop-Kamerasysteme) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  35. 35. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Bestellung eines Datenschutzbeauftragten, • Pflicht zur Bestellung eines DS-Beauftragten Art. 37 DS- GVO unter der DS-GVO soweit eine „Kerntätigkeit“ gegeben ist, die umfangreiche und systematische Überwachung von Personen umfasst 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  36. 36. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss ALSO: • Mindestens 10 Angestellte beschäftigen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten oder • Verarbeitung personenbezogener Daten über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, dann besteht diese Pflicht unabhängig von der Anzahl der Mitarbeiter. oder • geschäftsmäßige Übermittlung, Erhebung, Verarbeitung oder Nutzung 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  37. 37. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss ACHTUNG: Die Bestellung eines DS-Beauftragten befreit NICHT von Meldepflichten bei DS-Verstößen! 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  38. 38. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Datenschutz durch Technik, Art. 25 DS-GVO • Ziel: verbesserter Datenschutz durch Technikgestaltung und benutzerfreundliche Voreinstellungen • Technische Maßnahmen • Organisatorische Maßnahme • Verhinderung von „Trägheitseffekten“ durch Voreinstellungen • Konkrete Umsetzung durch die betroffenen Akteure? 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  39. 39. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Auftragsdatenverarbeitung, Art. 28 DS-GVO • Auftrags(daten)verarbeiter gilt als „verlängerter Arm“ des Verantwortlichen • Abgrenzungsmerkmal: Entscheidungsmacht über Zweck und Mittel der Datenverarbeitung • Zweck = „Warum“ der Datenverarbeitung → allein dem Verantwortlichen zugewiesen 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  40. 40. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Unterscheide zwischen • Auftragsdatenverarbeiter • Auftragsdatenkontrolleur 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 5. Verantwortlicher und Auftragsverarbeiter HAAß • KLUSS R E C H T S A N W Ä L T E
  41. 41. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Voraussetzungen • Adäquanzentscheidung der Kommission, Art. 45 DS-GVO, = ist Drittland sicher? • Geeignete Garantien, Art. 46 DS-GVO, = Durchsetzbarkeit von Rechten der Betroffenen • Cloudserver am Beispiel Dropbox ? 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  42. 42. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Safe Harbor EuGH Urteil vom 06.10 2015 (Az. C-362/14) zum Safe Harbor Abkommen: • der Europäische Gerichtshof erklärt mit Urteil vom 06.10.2015 das Safe Harbor Abkommen für ungültig. • Das Übermitteln von personenbezogenen Daten an ein betroffenes Unternehmen stellt nun eine illegale Übermittlung in ein Drittland dar. Betroffene Unternehmen sind u. a.: • Microsoft 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  43. 43. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Privacy Shield • Nachfolger das Privacy Shield seit dem 12.07.2016. • Unternehmen können sich ab 01.08.2016 bewerben. ABER: Die Abgeordneten des EU-Parlaments haben beschlossen, die EU-Kommission aufzufordern, den EU-US- Datenschutzschild auszusetzen, wenn die USA die EU- Datenschutzvorschriften nicht bis zum 1. September 2018 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  44. 44. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Privacy Shield • Keine Überprüfung der Einhaltung eines mit der EU vergleichbaren hohen Datenschutzniveaus durch unabhängige Aufsichtsbehörden. • Keine Unterscheidung in der Auslegung zentraler Begriffe des Privacy- Shield wie etwa „HR Data“ zwischen US- und EU-Behörden. • Keine Regelung für automatische Entscheidungsfindung/Profiling und spezifisch, um den besonderen Gefahren der automatischen Entscheidungsfindung zu begegnen. • Keine Überprüfungsmöglichkeit für unter Umständen trotz Privacy-Shield erfolgende, unrechtmäßige Datensammlungen durch US-Behörden von Daten von EU-Bürgern. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  45. 45. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Alternative zu Privacy Shield Alternativen gemäß Artikel 46 DSGVO: • Innerhalb der eigenen Unternehmensgruppe bieten sich vor allem • Binding Corporate Rules (BCR) als Lösung für den Datentransfer in die USA an. • ABER: BCR nach Art. 47 DSGVO ist jedoch ein langwieriger und kostenintensiver Prozess: • BCR müssen durch Aufsichtsbehörden genehmigt werden. • Alle Mitarbeiter und Unternehmen müssen auf BCR verpflichtet werden. • Alle Mitarbeiter und Unternehmen müssen BCR durchsetzen. 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  46. 46. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss Privacy Shield ALSO: • Der Datentransfer in die USA nicht unmöglich gemacht, aber massiv erschwert. • Datentransfer ins außereuropäische Ausland, der insbesondere die Inanspruchnahme ausländischer Cloud- Dienste betrifft, wird durch die Art. 44 ff. DSGVO 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 6. Übermittlung personenbezogener Daten an Drittländer HAAß • KLUSS R E C H T S A N W Ä L T E
  47. 47. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • Zuständig ist Sitz der Hauptniederlassung, Art. 56 Abs. 1, Abs. 4 i.V.m. Art. 4 Nr. 16 DS-GVO („Hauptniederlassung) • Privater Rechtsweg (ebenso auch Art. 77, Art. 56 Abs. 3, 4 DS-GVO) • Sanktionen (Art. 83 DS-GVO) Organisatorische Regelungen bis zu EUR 10 Mio. bzw. 2 % des globalen Jahresumsatzes) 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 7. Aufsichtsbehörden HAAß • KLUSS R E C H T S A N W Ä L T E
  48. 48. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • Datenschutz ist Ländersache • jedes Bundesland hat eine eigene Aufsichtsbehörde und einen bzw. eine Landesdatenschutzbeauftragte(n) • die Landesdatenschutzgesetze gelten nur für öffentliche Stellen (öffentl. Schulen, Behörden, Ämter, gesetzliche Krankenkassen etc.) • für nichtöffentliche Stellen gilt grundsätzlich das 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 7. Aufsichtsbehörden HAAß • KLUSS R E C H T S A N W Ä L T E
  49. 49. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss • Verbandsklage Art. 80 Abs. 1 DS-GVO (Prozessstandschaft = Befugnis über ein fremdes Recht zu prozessieren) • Haftung auf Schadensersatz, Art. 82 DS-GVO Art. 82 Abs. 1, Abs. 2 DS-GVO (auch der Auftragsda- tenverarbeiter) • Art. 58 und Art 33 DS-GVO Effektivitätsgrundsatz 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 8. Zivilrechtliche Durchsetzung HAAß • KLUSS R E C H T S A N W Ä L T E
  50. 50. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss 1. Datenschutzorganisation und Verantwortlichkeiten 2. Einbindung des Datenschutzbeauftragten 3. Verzeichnis von Verarbeitungstätigkeiten 4. Prozess für die Wahrnehmung von Betroffenenrechten 5. Prozess für die Meldung von Datenschutzverstößen 6. Sensibilisierung der Schutznotwendigkeit 1. Alle Kundendaten 2. Alle Daten interner u. externer Mitarbeiter 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende 9. Roadmap HAAß • KLUSS R E C H T S A N W Ä L T E
  51. 51. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 EU-DSGVO - RA Christoph Kluss 1. Einführung a. Umsetzung in der EU b. Erweiterungen national 2. Anwendungsbereich a. Sachlich b. Räumlich 3. Grundsätze der Verarbeitung a. Grundsätze b. Rechtmäßigkeit c. Einwilligung d. Profiling e. Arbeitsverhältnis 4. Rechte der betroffenen Person a. Auskunft b. Berichtigung c. Löschung d. Einschränkung e. Mitteilung f. Datenportabilität g. Widerspruchsrecht 5. Verantwortlicher a. Allgemeine Verantwortung b. DS-Folgeabschätzung c. Datenschutzbeauftragter d. Datenschutz durch Technik e. Auftragsdatenverarbeitung 6. Übermittlung an Drittländer 7. Aufsichtsbehörden 8. Zivilrechtliche Durchsetzung 9. Roadmap 10. Ende Vielen Dank für die Aufmerksamkeit - Ende - Ende HAAß • KLUSS R E C H T S A N W Ä L T E
  52. 52. 9. FileMaker Konferenz | Liechtenstein | 17.-20. Oktober 2018 Vortrag und Sprecher Vielen Dank unseren Sponsoren Danke für das Bewerten dieses Vortrages

×