2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
3. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
3
4. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
4
7. Rev.
Stand
3.0
Einführung
7
Grundsätze Privacy by default (datenschutzfreundliche
Voreinstellungen) und Privacy by design
(datenschutzfreundliche Technikgestaltung) zu
berücksichtigen
Maßnahmen u.a.:
Verarbeitung personenbezogener Daten minimieren
personenbezogene Daten so schnell wie möglich
pseudonymisieren
Transparenz herstellen
dem Betroffenen ermöglichen, die Verarbeitung seiner Daten zu
überwachen
Sicherheitsfunktionen schaffen bzw. verbessern
Art. 25 Abs. 1,2
ErwGr 78
8. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
8
9. Rev.
Stand
3.0
zentrales / wichtigstes Dokument:
Verarbeitungsverzeichnis (Art. 30)
keine gesetzliche Vorgabe bzgl. der Form des
Verarbeitungsverzeichnisses
auch keine Vorgaben bzgl. der Detailtiefe
lediglich verpflichtende Mindest-Angaben gem.
Art. 30 Abs. 1, 2
Dokumentationspflichten
9
10. Rev.
Stand
3.0
Dokumentationspflichten
10
VVT
/
Verantwortlicher
Namen + Kontaktdaten
des Verantwortlichen
ggf. gemeinsam
Verantwortlicher
ggf. Vertreter
ggf. Namen +
Kontaktdaten des DSB
Zwecke der
Verarbeitung
Kategorien betroffener
Personen
Kategorien
personenbezogener
Daten
Empfänger
ggf. Daten-übermittlung
an Drittland
Löschfristen
allg. Beschreibung der
TOMs
12. Rev.
Stand
3.0
TOMs (Art. 32 Abs. 1)
„geeignete technische und organisatorische Maßnahmen, um ein
dem Risiko angemessenes Schutzniveau zu gewährleisten“
z.B. durch
Pseudonymisierung
Verschlüsselung
Vertraulichkeit
Integrität
Verfügbarkeit
Belastbarkeit
Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit
Verfahren zur regelmäßigen Überprüfung, Bewertung und
Evaluierung
Dokumentationspflichten
12
13. Rev.
Stand
3.0
Umsetzung der TOMs unter Berücksichtigung von…
Stand der Technik
Kosten der Implementierung
Art der Datenverarbeitung
Umfang der Datenverarbeitung
Umstände der Datenverarbeitung
Zwecke der Datenverarbeitung
Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten natürlicher Personen
Dokumentationspflichten
13
14. Rev.
Stand
3.0
Dokumentationspflichten
14
Stand der Technik?
„Somit kann der Stand der Technik als die im
Waren- und Dienstleistungsverkehr verfügbaren
Verfahren, Einrichtungen oder Betriebsweisen,
deren Anwendung die Erreichung der jeweiligen
gesetzlichen Schutzziele am wirkungsvollsten
gewährleisten kann, bezeichnet werden.“
-> marktreife Technik, die am meisten Sicherheit
bietet
TeleTrusT Handreichung zum
„Stand der Technik“ (2019)
16. Rev.
Stand
3.0
Art. 32 Abs. 2
„Bei der Beurteilung des angemessenen Schutzniveaus
sind insbesondere die Risiken zu berücksichtigen, die
mit der Verarbeitung […] verbunden sind.“
Dokumentationspflichten
16
17. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
17
21. Rev.
Stand
3.0
ErwGr. 75: Abwägungskriterien / potentielle Risiken (1/2)
Diskriminierung
Identitätsdiebstahl oder –betrug
finanzieller Verlust
Rufschädigung
Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden
Daten
unbefugte Aufhebung der Pseudonymisierung
sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
grdsl. bei Verarbeitung besonderer Kategorien personenbezogener
Daten (Art. 9) oder Daten bzgl. strafrechtlicher Verurteilungen bzw.
Straftaten (Art. 10)
Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
Verarbeitung einer großen Menge von Daten
große Anzahl von Betroffenen
Risikobewertung
21
25. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
25
26. Rev.
Stand
3.0
Art. 37 Abs. 7 2. HS:
„Der Verantwortliche […]
veröffentlicht die Kontaktdaten
des Datenschutzbeauftragten
und teilt diese Daten der
Aufsichtsbehörde mit. “
DSB-Meldung
26
„neue“ Pflicht:
27. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
27
28. Rev.
Stand
3.0
Typische Datenpannen:
Hack eines Servers
Virus im int. Netzwerk
Verschlüsselungstrojaner (z.B. durch „Fake-Bewerbung“)
Verlust eines Schriftstücks, Aktenordners…
Diebstahl eines ext. Datenträgers
Diebstahl eines Laptops, Tablets, Handys…
Versenden eines Briefs / Bescheides an falschen
Empfänger
ggf. E-Mail an mehrere Empfänger, die in „cc“ gesetzt
sind (und z.B. nicht in „bcc“)
Meldung von Datenpannen
28
29. Rev.
Stand
3.0
Meldepflicht ggü. Aufsichtsbehörde (Art. 33 Abs. 1, 2)
bei Verletzung des Schutzes personenbezogener Daten
meldet der Verantwortliche dies der zuständigen
Aufsichtsbehörde
Verantwortlicher muss Verletzungen einschl. aller im
Zusammenhang damit stehenden Fakten, deren
Auswirkungen & ergriffenen Abhilfemaßnahmen
dokumentieren
Auftragsverarbeiter müssen Verletzung unverzüglich an
Verantwortlichen melden
Meldung von Datenpannen
29
30. Rev.
Stand
3.0
Ausnahme von der Meldepflicht ggü. Aufsichtsbehörde
die Verletzung führt vorauss. nicht zu einem Risiko für
Rechte & Freiheiten natürlicher Personen (z.B. bei Verlust
verschlüsselter Daten)
Voraussetzung: Risikoanalyse durch verantwortliche Stelle
Accountability-Prinzip: Verantwortlicher ist
nachweispflichtig dafür, dass kein Risiko besteht
Meldung von Datenpannen
30
31. Rev.
Stand
3.0
ErwGr 85: potentielle Schäden: physischer, materieller oder
immaterieller Schaden, z.B.
Verlust der Kontrolle eigener Daten
Einschränkung der Betroffenenrechte
Diskriminierung
Identitätsdiebstahl oder –betrug
finanzielle Verluste
unbefugte Aufhebung der Pseudonymisierung
Rufschädigung
Verlust der Vertraulichkeit von dem Berufsgeheimnis
unterliegenden Daten
andere erhebliche wirtschaftliche oder gesellschaftliche
Nachteile
Meldung von Datenpannen
31
32. Rev.
Stand
3.0
Mindest-Inhalt der Meldung an Aufsichtsbehörde (Art. 33 Abs. 3)
Beschreibung der Art der Verletzung, soweit möglich mit Angabe
der Kategorien & ungefähren Zahl der Betroffenen, der
betroffenen Datenkategorien & der ungefähren Zahl der
betroffenen Datensätze
Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle
für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung
Beschreibung der vom Verantwortlichen ergriffenen oder
vorgeschlagenen Maßnahmen zur Behebung der Verletzung &
ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen
Auswirkungen
Meldung von Datenpannen
32
33. Rev.
Stand
3.0
Frist für Meldung an Aufsichtsbehörde (Art. 33 Abs. 1, 4)
unverzüglich, möglichst binnen 72 Std.
bei Verspätung muss Verzögerung begründet werden
wenn und soweit Informationen nicht zur gleichen Zeit
bereitgestellt werden können, kann Verantwortlicher diese
Informationen ohne unangemessene weitere
Verzögerung schrittweise zur Verfügung stellen
Meldung von Datenpannen
33
34. Rev.
Stand
3.0
Meldepflicht ggü. Betroffenen (Art. 34 Abs. 1, 2)
hat Verletzung des Schutzes personenbezogener Daten
vorauss. hohes Risiko für die persönlichen Rechte &
Freiheiten natürlicher Personen zur Folge, so benachrichtigt
Verantwortlicher die Betroffenen
Frist: unverzüglich
Form: in klarer & einfacher Sprache
Meldung von Datenpannen
34
35. Rev.
Stand
3.0
Ausnahmen der Meldepflicht ggü. Betroffenen (Art. 34
Abs. 3)
Verantwortlicher hat geeignete TOMs getroffen & diese
wurden auf die von der Verletzung betroffenen Daten
angewandt (insbesondere z.B. durch Verschlüsselung)
Verantwortlicher hat durch nachfolgende Maßnahmen
sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit
nach nicht mehr besteht
Meldung wäre mit unverhältnismäßigem Aufwand
verbunden (dann muss stattdessen öffentliche
Bekanntmachung o.ä. Maßnahme erfolgen)
Meldung von Datenpannen
35
36. Rev.
Stand
3.0
Mindest-Inhalt der Meldung an Betroffene (Art. 34 Abs. 2)
Namen & Kontaktdaten des DSB oder einer sonst.
Anlaufstelle für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der
Verletzung
Beschreibung der vom Verantwortlichen ergriffenen oder
vorgeschlagenen Maßnahmen zur Behebung der
Verletzung & ggf. Maßnahmen zur Abmilderung ihrer
möglichen nachteiligen Auswirkungen
Meldung von Datenpannen
36
38. Rev.
Stand
3.0
1. Einführung
2. Dokumentationspflichten – Das
Verarbeitungsverzeichnis ist nicht alles
3. Bewertung des eigenen Risikos
4. Meldung des DSB
5. Meldung von Datenpannen
6. Durchführung von Datenschutz-
Folgenabschätzungen
Agenda
38
39. Rev.
Stand
3.0
Datenschutz-Folgenabschätzung (Art. 35 Abs. 1)
hohes Risiko durch Datenverarbeitung?
insbesondere bei Verwendung von (für den
Verantwortlichen) neuen Technologien
Pflicht zur Durchführung einer Abschätzung der Folgen
der vorgesehenen Verarbeitungsvorgänge für den Schutz
personenbezogener Daten
DSFA
39
40. Rev.
Stand
3.0
Prüfung DSFA-Pflicht
Verarbeitungstätigkeit auf Positivliste der DSK bzw. der
zuständigen Aufsichtsbehörde (Art. 35 Abs. 4)?
Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?
Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien
der Art.-29-Gruppe (wp248)?
sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1? insbesondere
durch…
Verwendung neuer Technologien
Art, Umfang, Umstände & Zwecke der Verarbeitung
DSFA
40
41. Rev.
Stand
3.0
Beispiele von Verarbeitungstätigkeiten auf DSK-Positivliste (Art. 35 Abs. 4)?
Verarbeitung biometrischer / genetischer Daten (z.B. im Krankenhaus)
umfangreiche Verarbeitung von Daten, die Sozial-, Berufs- oder besonderem
Amtsgeheimnis unterliegen (z.B. durch große Anwaltssozietät)
umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen (z.B.
GPS-Ortung von Firmenfahrzeugen)
Zusammenführung von Daten aus versch. Quellen und Weiterverarbeitung zu
anderen Zwecken (z.B. Betrugs-Frühwarnsysteme)
umfangreiche Verarbeitung von Daten zur Bewertung des Verhaltens von
Beschäftigten (z.B. Geolokalisierung von Außendienstmitarbeitern)
Erstellung umfangreicher Profile über persönliche Interessen (z.B. Dating-Portal)
Zusammenführung und Analyse von Daten aus versch. Quellen (z.B. Big-Data-
Analyse)
Einsatz von KI (z.B. Chatbot im Kundenservice)
automatisierte Auswertung von Video- / Ton-Aufnahmen (z.B. Telefonaten)
…
DSFA
41
42. Rev.
Stand
3.0
Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?
systematische & umfassende Bewertung persönlicher
Aspekte natürlicher Personen, die sich auf automatisierte
Verarbeitung einschl. Profiling gründet und die ihrerseits als
Grundlage für Entscheidungen dient, die Rechtswirkung
gegenüber natürlichen Personen entfalten oder diese in
ähnlich erheblicher Weise beeinträchtigen,
umfangreiche Verarbeitung besonderer Kategorien von
personenbezogenen Daten gem. Art 9, 10 oder
systematische umfangreiche Überwachung öffentlich
zugänglicher Bereiche
DSFA
42
43. Rev.
Stand
3.0
Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der
Art.-29-Gruppe (wp248)?
Evaluierung- oder Scoring-Maßnahmen
automatisierte Entscheidung mit rechtlicher Relevanz o.ä.
Wirkung für den Betroffenen (Profiling)
systematische Beobachtung von Betroffenen
Verarbeitung besonderer Kategorien personenbezogener Daten
in großem Umfang verarbeitete personenbezogene Daten
Abgleich bzw. Kombination versch. Datensätze
personenbezogene Daten verletzlicher Datensubjekte
Einsatz neuartiger Lösungen / Technologien
Übermittlung personenbezogener Daten in Drittstaaten
Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte
geltend zu machen oder einen Dienst / Vertrag zu nutzen
DSFA
43
44. Rev.
Stand
3.0
DSFA
44
DSFA (+) DSFA (-)
Verarbeitung med. Daten
durch Krankenhaus
Verarbeitung med. Daten
durch Einzelarzt
Kameraüberwachung auf
Schnellstraßen
Abonnenten-Liste eines
Online-Magazins
system. Überwachung von
Beschäftigten durch
Arbeitgeber
Profilbildung durch auf
Website eingebundene
Werbeanzeigen
Profilbildung mit öffentl.
zugänglichen Daten aus
Sozialen Netzwerken
Betrieb einer
Bonitätsdatenbank
Beispiele
aus
wp248
der
Art.-29-Gruppe
45. Rev.
Stand
3.0
Mindest-Inhalt der DSFA (Art. 35 Abs. 7)
systematische Beschreibung der geplanten
Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf.
einschl. der vom Verantwortlichen verfolgten berechtigten
Interessen
Bewertung der Notwendigkeit & Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den Zweck
Bewertung der Risiken für die Rechte und Freiheiten der
Betroffenen
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen,
einschl. Garantien, Sicherheitsvorkehrungen & Verfahren,
durch die der Schutz der Daten sichergestellt und der Nachweis
dafür erbracht wird, dass die DSGVO eingehalten wird (die
Rechte & berechtigten Interessen der Betroffenen sind dabei zu
berücksichtigen)
DSFA
45