SlideShare ist ein Scribd-Unternehmen logo

Die zentralen Pflichten von Verantwortlichen

M
Michael Rohrlich

dbb Akademie Web-Seminar zu den zentralen Pflichten von verantwortlichen Stellen

Recht
1 von 46
Rev. Stand 3.0 9. März 2021, 10.00 – 11.30 Uhr Webinar Die zentralen Pflichten der Verantwortlichen Inhaltlicher Stand: 01.03.2021 © RA Michael Rohrlich
Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 3
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 4
Rev. Stand 3.0 Einführung 5 Dokumentation Risikoanalyse IT-Sicherheit Datenschutz- Folgenabschätzung Bereitstellung von Informationen Meldepflicht bei Datenpannen ggf. Benennung eines DSB Privacy by design / by default … Die zentralen Pflichten von Verantwortlichen im Überblick
Rev. Stand 3.0 Einführung 6 Warum eigentlich? Art. 5 Abs. 2 / Art. 24 Abs. 1 S. 1: Rechenschaftspflicht („Beweislastumkehr“)
Rev. Stand 3.0 Einführung 7  Grundsätze Privacy by default (datenschutzfreundliche Voreinstellungen) und Privacy by design (datenschutzfreundliche Technikgestaltung) zu berücksichtigen  Maßnahmen u.a.:  Verarbeitung personenbezogener Daten minimieren  personenbezogene Daten so schnell wie möglich pseudonymisieren  Transparenz herstellen  dem Betroffenen ermöglichen, die Verarbeitung seiner Daten zu überwachen  Sicherheitsfunktionen schaffen bzw. verbessern Art. 25 Abs. 1,2 ErwGr 78
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 8
Rev. Stand 3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  auch keine Vorgaben bzgl. der Detailtiefe  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Abs. 1, 2 Dokumentationspflichten 9
Rev. Stand 3.0 Dokumentationspflichten 10 VVT / Verantwortlicher Namen + Kontaktdaten des Verantwortlichen ggf. gemeinsam Verantwortlicher ggf. Vertreter ggf. Namen + Kontaktdaten des DSB Zwecke der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Empfänger ggf. Daten-übermittlung an Drittland Löschfristen allg. Beschreibung der TOMs
Rev. Stand 3.0 Dokumentationspflichten 11 VVT / Auftragsverarbeiter Namen + Kontaktdaten des Auftragsverarbeiters Namen + Kontaktdaten jedes Verantwortlichen, in dessen Auftrag gehandelt wird ggf. Vertreter ggf. Name + Kontaktdaten des DSB Kategorien von Verarbeitungen ggf. Datenübermittlung an Drittland allg. Beschreibung der TOMs
Rev. Stand 3.0  TOMs (Art. 32 Abs. 1)  „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“  z.B. durch  Pseudonymisierung  Verschlüsselung  Vertraulichkeit  Integrität  Verfügbarkeit  Belastbarkeit  Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Dokumentationspflichten 12
Rev. Stand 3.0  Umsetzung der TOMs unter Berücksichtigung von…  Stand der Technik  Kosten der Implementierung  Art der Datenverarbeitung  Umfang der Datenverarbeitung  Umstände der Datenverarbeitung  Zwecke der Datenverarbeitung  Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Dokumentationspflichten 13
Rev. Stand 3.0 Dokumentationspflichten 14  Stand der Technik?  „Somit kann der Stand der Technik als die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, bezeichnet werden.“  -> marktreife Technik, die am meisten Sicherheit bietet TeleTrusT Handreichung zum „Stand der Technik“ (2019)
Rev. Stand 3.0 Dokumentationspflichten 15 „3-Stufen-Theorie“ Stand der Wissenschaft Stand der Technik allg. anerkannten Regeln der Technik
Rev. Stand 3.0  Art. 32 Abs. 2  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung […] verbunden sind.“ Dokumentationspflichten 16
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 17
Rev. Stand 3.0 Risikobewertung 18 Natur Hochwasser, Erdbeben, Blitzschlag, Feuer etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
Rev. Stand 3.0 Risikobewertung 19 Eintritts- wahrschein -lichkeit einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
Rev. Stand 3.0 Risikobewertung 20 Legende: - grün: alles ok - gelb: zu erledigen - rot: ASAP handeln!
Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (1/2)  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen Risikobewertung 21
Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (2/2)  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel Risikobewertung 22
Rev. Stand 3.0 Risikobewertung 23 Quelle: Pixabay Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
Rev. Stand 3.0 Risikobewertung 24 PLAN (Risikobeurteilung & Planung TOMs) DO (Umsetzung der TOMs) CHECK (Risikobewertung) ACT (ggf. Anpassung der TOMs) Plan (planen) Do (handeln) Check (prüfen) Act (anpassen) -> Einsatz eines ISMS?
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 25
Rev. Stand 3.0 Art. 37 Abs. 7 2. HS: „Der Verantwortliche […] veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. “ DSB-Meldung 26 „neue“ Pflicht:
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 27
Rev. Stand 3.0  Typische Datenpannen:  Hack eines Servers  Virus im int. Netzwerk  Verschlüsselungstrojaner (z.B. durch „Fake-Bewerbung“)  Verlust eines Schriftstücks, Aktenordners…  Diebstahl eines ext. Datenträgers  Diebstahl eines Laptops, Tablets, Handys…  Versenden eines Briefs / Bescheides an falschen Empfänger  ggf. E-Mail an mehrere Empfänger, die in „cc“ gesetzt sind (und z.B. nicht in „bcc“) Meldung von Datenpannen 28
Rev. Stand 3.0  Meldepflicht ggü. Aufsichtsbehörde (Art. 33 Abs. 1, 2)  bei Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche dies der zuständigen Aufsichtsbehörde  Verantwortlicher muss Verletzungen einschl. aller im Zusammenhang damit stehenden Fakten, deren Auswirkungen & ergriffenen Abhilfemaßnahmen dokumentieren  Auftragsverarbeiter müssen Verletzung unverzüglich an Verantwortlichen melden Meldung von Datenpannen 29
Rev. Stand 3.0  Ausnahme von der Meldepflicht ggü. Aufsichtsbehörde  die Verletzung führt vorauss. nicht zu einem Risiko für Rechte & Freiheiten natürlicher Personen (z.B. bei Verlust verschlüsselter Daten)  Voraussetzung: Risikoanalyse durch verantwortliche Stelle  Accountability-Prinzip: Verantwortlicher ist nachweispflichtig dafür, dass kein Risiko besteht Meldung von Datenpannen 30
Rev. Stand 3.0  ErwGr 85: potentielle Schäden: physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile Meldung von Datenpannen 31
Rev. Stand 3.0  Mindest-Inhalt der Meldung an Aufsichtsbehörde (Art. 33 Abs. 3)  Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien & ungefähren Zahl der Betroffenen, der betroffenen Datenkategorien & der ungefähren Zahl der betroffenen Datensätze  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 32
Rev. Stand 3.0  Frist für Meldung an Aufsichtsbehörde (Art. 33 Abs. 1, 4)  unverzüglich, möglichst binnen 72 Std.  bei Verspätung muss Verzögerung begründet werden  wenn und soweit Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann Verantwortlicher diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen Meldung von Datenpannen 33
Rev. Stand 3.0  Meldepflicht ggü. Betroffenen (Art. 34 Abs. 1, 2)  hat Verletzung des Schutzes personenbezogener Daten vorauss. hohes Risiko für die persönlichen Rechte & Freiheiten natürlicher Personen zur Folge, so benachrichtigt Verantwortlicher die Betroffenen  Frist: unverzüglich  Form: in klarer & einfacher Sprache Meldung von Datenpannen 34
Rev. Stand 3.0  Ausnahmen der Meldepflicht ggü. Betroffenen (Art. 34 Abs. 3)  Verantwortlicher hat geeignete TOMs getroffen & diese wurden auf die von der Verletzung betroffenen Daten angewandt (insbesondere z.B. durch Verschlüsselung)  Verantwortlicher hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht  Meldung wäre mit unverhältnismäßigem Aufwand verbunden (dann muss stattdessen öffentliche Bekanntmachung o.ä. Maßnahme erfolgen) Meldung von Datenpannen 35
Rev. Stand 3.0  Mindest-Inhalt der Meldung an Betroffene (Art. 34 Abs. 2)  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 36
Rev. Stand 3.0 Meldung von Datenpannen 37 Datenpanne Risiko Meldung an Behörde binnen 72 Std. Begründung bei evtl. Verspätung hohes Risiko Meldung an Betroffene unverzüglich klare & einfache Sprache
Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 38
Rev. Stand 3.0  Datenschutz-Folgenabschätzung (Art. 35 Abs. 1)  hohes Risiko durch Datenverarbeitung?  insbesondere bei Verwendung von (für den Verantwortlichen) neuen Technologien  Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten DSFA 39
Rev. Stand 3.0  Prüfung DSFA-Pflicht  Verarbeitungstätigkeit auf Positivliste der DSK bzw. der zuständigen Aufsichtsbehörde (Art. 35 Abs. 4)?  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1? insbesondere durch…  Verwendung neuer Technologien  Art, Umfang, Umstände & Zwecke der Verarbeitung DSFA 40
Rev. Stand 3.0  Beispiele von Verarbeitungstätigkeiten auf DSK-Positivliste (Art. 35 Abs. 4)?  Verarbeitung biometrischer / genetischer Daten (z.B. im Krankenhaus)  umfangreiche Verarbeitung von Daten, die Sozial-, Berufs- oder besonderem Amtsgeheimnis unterliegen (z.B. durch große Anwaltssozietät)  umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen (z.B. GPS-Ortung von Firmenfahrzeugen)  Zusammenführung von Daten aus versch. Quellen und Weiterverarbeitung zu anderen Zwecken (z.B. Betrugs-Frühwarnsysteme)  umfangreiche Verarbeitung von Daten zur Bewertung des Verhaltens von Beschäftigten (z.B. Geolokalisierung von Außendienstmitarbeitern)  Erstellung umfangreicher Profile über persönliche Interessen (z.B. Dating-Portal)  Zusammenführung und Analyse von Daten aus versch. Quellen (z.B. Big-Data- Analyse)  Einsatz von KI (z.B. Chatbot im Kundenservice)  automatisierte Auswertung von Video- / Ton-Aufnahmen (z.B. Telefonaten)  … DSFA 41
Rev. Stand 3.0  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 oder  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche DSFA 42
Rev. Stand 3.0  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen DSFA 43
Rev. Stand 3.0 DSFA 44 DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online-Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus Sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
Rev. Stand 3.0  Mindest-Inhalt der DSFA (Art. 35 Abs. 7)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird (die Rechte & berechtigten Interessen der Betroffenen sind dabei zu berücksichtigen) DSFA 45
Rev. Stand 3.0 DSFA 46

Empfohlen

Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im InternetMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 

Empfohlen

Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im InternetMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internetMichael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOBokowsky + Laymann GmbH
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Data Breach Notification
Data Breach NotificationData Breach Notification
Data Breach NotificationTALOSCommunications
 

Weitere ähnliche Inhalte

Was ist angesagt?

Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Sascha Kremer
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...e-teaching.org
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 

Was ist angesagt? (20)

Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
DSGVO – Veränderungen und Folgen für den Hochschulbereich (Slides Prof. Dr. T...
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
 
Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-Sicherheit
 

Ähnlich wie Die zentralen Pflichten von Verantwortlichen

Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...&Data Training
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur KürGDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur Kürlearningculture
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Alexander Talmon LL.M.
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...kreuzwerker GmbH
 
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Dr. Oliver Massmann
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 DatenschutzPatrick Nadler
 
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...Guenther Neukamp
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Bernd Fuhlert
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleSven Wohlgemuth
 

Ähnlich wie Die zentralen Pflichten von Verantwortlichen (20)

Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Data Breach Notification
Data Breach NotificationData Breach Notification
Data Breach Notification
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur KürGDPR Datenschutz-Compliance: von der Pflicht zur Kür
GDPR Datenschutz-Compliance: von der Pflicht zur Kür
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONEN...
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 Datenschutz
 
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...
Sanktionsrisikominimierungsmaßnahmen in Unternehmen durch die Verwendung mode...
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 

Mehr von Michael Rohrlich (12)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 

Die zentralen Pflichten von Verantwortlichen

  • 1. Rev. Stand 3.0 9. März 2021, 10.00 – 11.30 Uhr Webinar Die zentralen Pflichten der Verantwortlichen Inhaltlicher Stand: 01.03.2021 © RA Michael Rohrlich
  • 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  • 3. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 3
  • 4. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 4
  • 5. Rev. Stand 3.0 Einführung 5 Dokumentation Risikoanalyse IT-Sicherheit Datenschutz- Folgenabschätzung Bereitstellung von Informationen Meldepflicht bei Datenpannen ggf. Benennung eines DSB Privacy by design / by default … Die zentralen Pflichten von Verantwortlichen im Überblick
  • 6. Rev. Stand 3.0 Einführung 6 Warum eigentlich? Art. 5 Abs. 2 / Art. 24 Abs. 1 S. 1: Rechenschaftspflicht („Beweislastumkehr“)
  • 7. Rev. Stand 3.0 Einführung 7  Grundsätze Privacy by default (datenschutzfreundliche Voreinstellungen) und Privacy by design (datenschutzfreundliche Technikgestaltung) zu berücksichtigen  Maßnahmen u.a.:  Verarbeitung personenbezogener Daten minimieren  personenbezogene Daten so schnell wie möglich pseudonymisieren  Transparenz herstellen  dem Betroffenen ermöglichen, die Verarbeitung seiner Daten zu überwachen  Sicherheitsfunktionen schaffen bzw. verbessern Art. 25 Abs. 1,2 ErwGr 78
  • 8. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 8
  • 9. Rev. Stand 3.0  zentrales / wichtigstes Dokument: Verarbeitungsverzeichnis (Art. 30)  keine gesetzliche Vorgabe bzgl. der Form des Verarbeitungsverzeichnisses  auch keine Vorgaben bzgl. der Detailtiefe  lediglich verpflichtende Mindest-Angaben gem. Art. 30 Abs. 1, 2 Dokumentationspflichten 9
  • 10. Rev. Stand 3.0 Dokumentationspflichten 10 VVT / Verantwortlicher Namen + Kontaktdaten des Verantwortlichen ggf. gemeinsam Verantwortlicher ggf. Vertreter ggf. Namen + Kontaktdaten des DSB Zwecke der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Empfänger ggf. Daten-übermittlung an Drittland Löschfristen allg. Beschreibung der TOMs
  • 11. Rev. Stand 3.0 Dokumentationspflichten 11 VVT / Auftragsverarbeiter Namen + Kontaktdaten des Auftragsverarbeiters Namen + Kontaktdaten jedes Verantwortlichen, in dessen Auftrag gehandelt wird ggf. Vertreter ggf. Name + Kontaktdaten des DSB Kategorien von Verarbeitungen ggf. Datenübermittlung an Drittland allg. Beschreibung der TOMs
  • 12. Rev. Stand 3.0  TOMs (Art. 32 Abs. 1)  „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“  z.B. durch  Pseudonymisierung  Verschlüsselung  Vertraulichkeit  Integrität  Verfügbarkeit  Belastbarkeit  Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Dokumentationspflichten 12
  • 13. Rev. Stand 3.0  Umsetzung der TOMs unter Berücksichtigung von…  Stand der Technik  Kosten der Implementierung  Art der Datenverarbeitung  Umfang der Datenverarbeitung  Umstände der Datenverarbeitung  Zwecke der Datenverarbeitung  Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Dokumentationspflichten 13
  • 14. Rev. Stand 3.0 Dokumentationspflichten 14  Stand der Technik?  „Somit kann der Stand der Technik als die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, bezeichnet werden.“  -> marktreife Technik, die am meisten Sicherheit bietet TeleTrusT Handreichung zum „Stand der Technik“ (2019)
  • 16. Rev. Stand 3.0  Art. 32 Abs. 2  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung […] verbunden sind.“ Dokumentationspflichten 16
  • 17. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 17
  • 20. Rev. Stand 3.0 Risikobewertung 20 Legende: - grün: alles ok - gelb: zu erledigen - rot: ASAP handeln!
  • 21. Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (1/2)  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen Risikobewertung 21
  • 22. Rev. Stand 3.0  ErwGr. 75: Abwägungskriterien / potentielle Risiken (2/2)  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel Risikobewertung 22
  • 23. Rev. Stand 3.0 Risikobewertung 23 Quelle: Pixabay Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
  • 24. Rev. Stand 3.0 Risikobewertung 24 PLAN (Risikobeurteilung & Planung TOMs) DO (Umsetzung der TOMs) CHECK (Risikobewertung) ACT (ggf. Anpassung der TOMs) Plan (planen) Do (handeln) Check (prüfen) Act (anpassen) -> Einsatz eines ISMS?
  • 25. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 25
  • 26. Rev. Stand 3.0 Art. 37 Abs. 7 2. HS: „Der Verantwortliche […] veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. “ DSB-Meldung 26 „neue“ Pflicht:
  • 27. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 27
  • 28. Rev. Stand 3.0  Typische Datenpannen:  Hack eines Servers  Virus im int. Netzwerk  Verschlüsselungstrojaner (z.B. durch „Fake-Bewerbung“)  Verlust eines Schriftstücks, Aktenordners…  Diebstahl eines ext. Datenträgers  Diebstahl eines Laptops, Tablets, Handys…  Versenden eines Briefs / Bescheides an falschen Empfänger  ggf. E-Mail an mehrere Empfänger, die in „cc“ gesetzt sind (und z.B. nicht in „bcc“) Meldung von Datenpannen 28
  • 29. Rev. Stand 3.0  Meldepflicht ggü. Aufsichtsbehörde (Art. 33 Abs. 1, 2)  bei Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche dies der zuständigen Aufsichtsbehörde  Verantwortlicher muss Verletzungen einschl. aller im Zusammenhang damit stehenden Fakten, deren Auswirkungen & ergriffenen Abhilfemaßnahmen dokumentieren  Auftragsverarbeiter müssen Verletzung unverzüglich an Verantwortlichen melden Meldung von Datenpannen 29
  • 30. Rev. Stand 3.0  Ausnahme von der Meldepflicht ggü. Aufsichtsbehörde  die Verletzung führt vorauss. nicht zu einem Risiko für Rechte & Freiheiten natürlicher Personen (z.B. bei Verlust verschlüsselter Daten)  Voraussetzung: Risikoanalyse durch verantwortliche Stelle  Accountability-Prinzip: Verantwortlicher ist nachweispflichtig dafür, dass kein Risiko besteht Meldung von Datenpannen 30
  • 31. Rev. Stand 3.0  ErwGr 85: potentielle Schäden: physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile Meldung von Datenpannen 31
  • 32. Rev. Stand 3.0  Mindest-Inhalt der Meldung an Aufsichtsbehörde (Art. 33 Abs. 3)  Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien & ungefähren Zahl der Betroffenen, der betroffenen Datenkategorien & der ungefähren Zahl der betroffenen Datensätze  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 32
  • 33. Rev. Stand 3.0  Frist für Meldung an Aufsichtsbehörde (Art. 33 Abs. 1, 4)  unverzüglich, möglichst binnen 72 Std.  bei Verspätung muss Verzögerung begründet werden  wenn und soweit Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann Verantwortlicher diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen Meldung von Datenpannen 33
  • 34. Rev. Stand 3.0  Meldepflicht ggü. Betroffenen (Art. 34 Abs. 1, 2)  hat Verletzung des Schutzes personenbezogener Daten vorauss. hohes Risiko für die persönlichen Rechte & Freiheiten natürlicher Personen zur Folge, so benachrichtigt Verantwortlicher die Betroffenen  Frist: unverzüglich  Form: in klarer & einfacher Sprache Meldung von Datenpannen 34
  • 35. Rev. Stand 3.0  Ausnahmen der Meldepflicht ggü. Betroffenen (Art. 34 Abs. 3)  Verantwortlicher hat geeignete TOMs getroffen & diese wurden auf die von der Verletzung betroffenen Daten angewandt (insbesondere z.B. durch Verschlüsselung)  Verantwortlicher hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht  Meldung wäre mit unverhältnismäßigem Aufwand verbunden (dann muss stattdessen öffentliche Bekanntmachung o.ä. Maßnahme erfolgen) Meldung von Datenpannen 35
  • 36. Rev. Stand 3.0  Mindest-Inhalt der Meldung an Betroffene (Art. 34 Abs. 2)  Namen & Kontaktdaten des DSB oder einer sonst. Anlaufstelle für weitere Informationen  Beschreibung der wahrscheinlichen Folgen der Verletzung  Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung & ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen Meldung von Datenpannen 36
  • 37. Rev. Stand 3.0 Meldung von Datenpannen 37 Datenpanne Risiko Meldung an Behörde binnen 72 Std. Begründung bei evtl. Verspätung hohes Risiko Meldung an Betroffene unverzüglich klare & einfache Sprache
  • 38. Rev. Stand 3.0 1. Einführung 2. Dokumentationspflichten – Das Verarbeitungsverzeichnis ist nicht alles 3. Bewertung des eigenen Risikos 4. Meldung des DSB 5. Meldung von Datenpannen 6. Durchführung von Datenschutz- Folgenabschätzungen Agenda 38
  • 39. Rev. Stand 3.0  Datenschutz-Folgenabschätzung (Art. 35 Abs. 1)  hohes Risiko durch Datenverarbeitung?  insbesondere bei Verwendung von (für den Verantwortlichen) neuen Technologien  Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten DSFA 39
  • 40. Rev. Stand 3.0  Prüfung DSFA-Pflicht  Verarbeitungstätigkeit auf Positivliste der DSK bzw. der zuständigen Aufsichtsbehörde (Art. 35 Abs. 4)?  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1? insbesondere durch…  Verwendung neuer Technologien  Art, Umfang, Umstände & Zwecke der Verarbeitung DSFA 40
  • 41. Rev. Stand 3.0  Beispiele von Verarbeitungstätigkeiten auf DSK-Positivliste (Art. 35 Abs. 4)?  Verarbeitung biometrischer / genetischer Daten (z.B. im Krankenhaus)  umfangreiche Verarbeitung von Daten, die Sozial-, Berufs- oder besonderem Amtsgeheimnis unterliegen (z.B. durch große Anwaltssozietät)  umfangreiche Verarbeitung von Daten über den Aufenthaltsort von Personen (z.B. GPS-Ortung von Firmenfahrzeugen)  Zusammenführung von Daten aus versch. Quellen und Weiterverarbeitung zu anderen Zwecken (z.B. Betrugs-Frühwarnsysteme)  umfangreiche Verarbeitung von Daten zur Bewertung des Verhaltens von Beschäftigten (z.B. Geolokalisierung von Außendienstmitarbeitern)  Erstellung umfangreicher Profile über persönliche Interessen (z.B. Dating-Portal)  Zusammenführung und Analyse von Daten aus versch. Quellen (z.B. Big-Data- Analyse)  Einsatz von KI (z.B. Chatbot im Kundenservice)  automatisierte Auswertung von Video- / Ton-Aufnahmen (z.B. Telefonaten)  … DSFA 41
  • 42. Rev. Stand 3.0  Verarbeitungstätigkeit i.S.v. Art. 35 Abs. 3?  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 oder  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche DSFA 42
  • 43. Rev. Stand 3.0  Verarbeitungstätigkeit gem. Art. 35 Abs. 1 i.V.m. Leitlinien der Art.-29-Gruppe (wp248)?  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen DSFA 43
  • 44. Rev. Stand 3.0 DSFA 44 DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online-Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus Sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
  • 45. Rev. Stand 3.0  Mindest-Inhalt der DSFA (Art. 35 Abs. 7)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird (die Rechte & berechtigten Interessen der Betroffenen sind dabei zu berücksichtigen) DSFA 45