Tag: datenschutz

Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.

 

Autor: Axel von Walter

ISBN-10: 9783648111383

Die Datenschutz-Grundverordnung der Europäischen Union ist ab 25.05.2018 in allen Unternehmen und Organisationen unmittelbar und zwingend anzuwenden. Das vorliegende Buch unterstützt Vereine und deren Datenschutzbeauftragte bei der systematischen Umsetzung der EU-DSGVO und des neuen BDSG im Vereinsalltag. Denn gerade Vereins- und Stiftungsunterlagen beinhalten viele sensible Daten und geben u.a. sehr detaillierte Einblicke in die privaten Belange ihrer Mitglieder und Begünstigten.

Autor: Harald Dauber

ISBN-10: 3955543706

Security Awareness & Online-Kurse

Awareness- und eLearning-Module: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

„Meine Daten gehören mir!“ – „Daten sind die neue Währung“. An starken Forderungen und Vergleichen mangelt es nicht, wenn es um Verfügungsrechte an Daten und den Handel von und mit ihnen geht. Doch werden mit der Diskussion um Dateneigentum & Co. oft klassische Grundannahmen des Datenschutzes hinterfragt.

 

Autoren: Stiftung Datenschutz (Hrsg.), Hannes Bauer, Patrick Bunk, Dr. Ilja Czernik und Dr. Alexander Duisberg

ISBN-10: 3503182241

Ab 25.05.2018 gelten die Anforderungen der EU-DSGVO für alle Einrichtungen unmittelbar und zwingend. In privaten wie öffentlichen Bildungseinrichtungen und Schulen werden eine Vielzahl von personenbezogenen Daten erhoben, verarbeitet oder genutzt, wobei zusätzlich zum neuen BDSG oder den neuen LDSG der verwaltungsrechtliche oder kirchenrechtliche Regelungsrahmen zu berücksichtigen ist.

 

Autor: Harald Dauber

ISBN-10: 3955543692

Öffentlichkeit und Privatheit im Web 2.0

Die forschungsleitende These des Sammelbandes ist, dass die Genese von Öffentlichkeit und Privatheit sich spezifischen, empirisch nachvollziehbaren Herstellungspraktiken verdankt, die jeweils an mediale Bedingungen gekoppelt ist. Diese Ausgangsthese schließt einerseits an eine soziologisch fundierte Tradition in der Erforschung der Hervorbringung von öffentlichen und privaten Räumen an und erprobt andererseits ihre in historischen Analysen bewährte Überzeugungskraft für eine empirische Rekonstruktion gegenwärtiger Medienkontexte.

 

Autoren: Martin Stempfhuber und Elke Wagner

ISBN-10: 3658117184

Auf Basis der DS-GVO

Dieses Buch bietet einen kompakten Überblick über das neue Datenschutzregime und richtet sich an Studierende an Universitäten und Fachhochschulen ebenso wie an rechtlich interessierte (auch nicht juristisch ausgebildete) Praktiker und Praktikerinnen. Die Darstellung der Rechtslage umfasst neben der Datenschutz-Grundverordnung auch die österreichischen Durchführungsbestimmungen im (neuen) DSG. Das Buch hilft, die in der betrieblichen Praxis häufig auftretenden datenschutzrechtlichen Fragen richtig einzuordnen. Mit dem erworbenen Wissen können datenschutzrechtliche Probleme erkannt und rechtlich fundierte Lösungswege entwickelt werden. Nach jeder Lerneinheit kann das erarbeitete Know-How anhand einer Fragensammlung angewendet werden.

 

Die zweite Auflage mit dem neuen Co-Autor Dietmar Jahnel berücksichtigt insbesondere die aktuellen österreichischen Gesetzesänderungen, neueste Entwicklungen auf europäischer Ebene und die ersten Erfahrungen aus der Praxis. Mit seinem prägnanten Umfang und der anschaulichen Struktur führt das Buch übersichtlich in das Thema ein und schließt so eine Lücke in der bisherigen Literatur. Ein umfangreiches Stichwortverzeichnis erleichtert das Nachschlagen.

 

Autoren: Dietmar Jahnel, Angelika Pallwein-Prettner und Christian Marzi

ISBN-10: 3708917723

Energiedaten sind in der Regel sensible Daten, welche die Privatsphäre der betroffenen Personen gefährden können. In dieser Arbeit wird daher ein nutzerorientiertes Energiedatenmanagementsystem vorgestellt, welches nicht nur die technischen Anforderungen erfüllt, sondern auch den Ansprüchen an Datenschutz und Privatsphäre gerecht wird.

Autor: Fabian Rigoll

ISBN-10: 3731506653

Vernetztes E-Government

Gut vernetzt gut verwaltet. Wer mit Fragen der strategischen Steuerung, des Datenschutzes und des Verwaltungshandelns vor dem Hintergrund der Digitalisierung befasst ist, findet in diesem Band topaktuelle Antworten. Auf dem neuesten Rechtsstand von Ende Mai 2018 – inkl. DSGVO und der Erklärung von Tallinn. Integrativ und ebenenübergreifend werden gleichermaßen die EU-, Bundes-, Landes- und Kommunalebene behandelt. Gut lesbar eignet sich der Band als Einstiegslektüre und zur Vertiefung.

 

Autoren: PD Dr. Margrit Seckelmann, Prof. Dr. Marion Albers, Prof. Dr. iur. Nadja Braun Binder, Dr. Alfred G. Debus und Dr. Wolfgang Denkhaus

ISBN-10: 3503181393

Ausbildungsagenda 2018/2019

Meeting Points: Hier werden Sie besser!
Mit unserem Kursangebot schnell und sicher ans Ziel kommen.

ISMS-Beispiel

Wie ein skalierbares ISMS komplexeste Anforderungen in einer sehr grossen Organisation erfolgreich meistert.

So starten Sie erfolgreich in Ihre neue Aufgabe!

 

Autorin: Daniela Duda

ISBN-10: 3609693983

DSG und DSGVO/GDPR

Vorteile der Ernennung eines
Externen Datenschutzverantwortlichen oder Datenschutzbeauftragten

Vertretung in Berlin nach DSGVO (GDPR)

Pflicht zur Bestellung eines Vertreters

Nach Artikel 27 der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen alle Schweizer Unternehmen, die Waren und Dienstleistungen Personen in der EU anbieten oder die das Verhalten von Personen in der EU beobachten, einen offiziellen Vertreter in der EU bestellen.

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Swiss Infosec (Deutschland) GmbH als Ihr Vertreter
Die Swiss Infosec (Deutschland) GmbH, eine Tochter der Swiss Infosec AG mit Sitz in Berlin, vertritt Schweizer Unternehmen ohne EU-Niederlassung, die jedoch in der EU aktiv und damit von der DSGVO bzw. deren Artikel 27 betroffen sind.

 

Das Angebot Externer EU-Vertreter nach DSGVO baut auf einem pauschalisierten Angebot von 12 Monaten Laufzeit auf.  Für Unternehmensgruppen bieten wir reduzierte Pauschalen.
Erfahren Sie hier mehr über das konkrete Angebot und vereinbaren Sie ein kostenloses Erstgespräch für eine Ist-Analyse.

 

Aufgaben des Vertreters gemäss DSGVO
Der EU-Vertreter nach DSGVO hat primär zum Ziel, den EU-Aufsichtsbehörden den Verkehr mit den von der DSGVO erfassten Unternehmen ausserhalb der EU zu erleichtern. So können sich die Behörden an den Vertreter halten, um ihm etwaige Verfügungen zuzustellen oder benötigte Unterlagen einzufordern.

 

Als externer EU-Vertreter erbringen wir in Ihrem Auftrag und in enger Zusammenarbeit mit Ihnen folgende Leistungen:

  • Ansprechperson für die EU-Aufsichtsbehörden für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • Anlaufstelle für betroffene Personen für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • In offiziellen Verzeichnissen aufgeführte Kontaktadresse als EU-Vertreter im datenschutzrechtlichen Zusammenhang
  • Beratung in datenschutzrechtlichen Themen inkl. Informationssicherheit

 


 

Haben Sie Geschäftsbeziehungen mit Kunden und Unternehmen in der EU?
Ihr Vertreter in der EU für Ihre Datenschutz-Governance
Nutzen Sie unser DSGVO-Know-how als entscheidenden Marktvorteil
Ihr Ansprechpartner für DSGVO-Compliance in der EU – Für Sie und für Ihre Kunden
EU-Vertretung: Informieren Sie sich jetzt über die Pflichten dieser Funktion

 

EU DSGVO

Betreiben Sie Geschäfte in der EU ohne Sitz in der EU?

Nach Artikel 27 der Europäischen Datenschutz-Grundverordnung (DSGVO) haben alle Schweizer Unternehmen, die Waren und Dienstleistungen Personen in der EU anbieten oder die das Verhalten von Personen in der EU beobachten, einen offiziellen Vertreter in der EU zu bestellen.

 

DSGVO-Tipp: Bevor Sie Geschäftsbeziehungen in einem EU-Staat aufnehmen, sollten Sie Ihre Konformität mit der DSGVO und deren Anforderungen abklären.

 

Einfach und sicher Märkte pflegen in der EU ohne EU-Niederlassung: Ja, mit uns.
Fragen Sie sich, ob die DSGVO anwendbar ist auf ihr Unternehmen oder welche Vorschriften Sie einzuhalten haben?

 

Unser Datenschutzteam unterstützt Sie gerne bei allen Fragestellungen rund um die DSGVO (GDPR). Denn wir kennen die Antworten: einfach und verständlich!
Gerne stehen wir Ihnen beratend und unterstützend zur Seite und freuen uns über Ihre unverbindliche Anfrage. +41 41 984 12 12, infosec@infosec.ch

 

Ihr von der DSGVO geforderter Vertreter in der EU zur Unterstützung Ihrer Marktposition

Unter der Leitung von Dr. iur. Michèle Balthasar, Rechtsanwältin und in allen Datenschutzbelangen erfahrene Leiterin unserer Rechts- und Datenschutzabteilung, übernimmt die Swiss Infosec (Deutschland) GmbH zusammen mit ihren Rechtsanwälten und Juristen das Mandat als Vertreter Ihres Unternehmens in der EU, wie es von der Datenschutz-Grundverordnung in Artikel 27 gefordert wird. Selbstverständlich umfasst dieses Mandat auch jegliche erforderliche oder gewünschte Beratung in den Bereichen Datenschutz und Informationssicherheit.

 

EU-Vertreter nach DSGVO mit Know-how, Kompetenz und langjähriger Erfahrung
Unser Datenschutz-Kompetenzzentrum umfasst aktuell 4 Rechtsanwälte und 2 Juristen. Die laufende Praxis der DSGVO-Umsetzung wird durch unser Datenschutz-Kompetenzzentrum kontinuierlich analysiert und fliesst in unsere Best Practice-Kompetenz. Diese Erfahrung ermöglicht aktuelle praxisorientierte Lösungen und Umsetzungsvorschläge zur Sicherstellung der DSGVO-Konformität Ihres Unternehmens.

 

Ihr Vertreter in der EU – damit Sie die Datenschutzanforderungen der DSGVO erfüllen können
Das Datenschutzteam der Swiss Infosec (Deutschland) GmbH, einer Tochter der Swiss Infosec AG und mit Sitz in Berlin, hat zum Inkrafttreten der DSGVO am 25. Mai 2018 ihre Arbeit in Berlin aufgenommen. Sie vertritt Schweizer Unternehmen, die über keine EU-Niederlassung verfügen, jedoch in der EU aktiv und damit von der DSGVO betroffen sind.

 

Das Angebot Externer EU-Vertreter nach DSGVO baut auf einem pauschalisierten Angebot von 12 Monaten Laufzeit auf. Für Unternehmensgruppen bieten wir reduzierte Pauschalen.
Erfahren Sie hier mehr über das konkrete Angebot und vereinbaren Sie ein kostenloses Erstgespräch für eine Ist-Analyse.

 

Nutzen Sie unser DSGVO-Know-how als entscheidenden Marktvorteil

Wir bieten unseren in der EU tätigen Kunden die Möglichkeit, die Anforderung, einen Vertreter in der EU zu benennen, durch die Beauftragung unserer Tochterfirma Swiss Infosec (Deutschland) GmbH als Vertreterin zu erfüllen.

 

Der EU-Vertreter nach DSGVO hat primär zum Ziel, den EU-Aufsichtsbehörden den Verkehr mit den von der DSGVO erfassten Unternehmen ausserhalb der EU zu erleichtern. So können sich die Behörden an den Vertreter halten, um ihm etwaige Verfügungen zuzustellen oder benötigte Unterlagen einzufordern.

 

Als externer EU-Vertreter erbringen wir in Ihrem Auftrag und in enger Zusammenarbeit mit Ihnen folgende Leistungen:

  • Ansprechperson für die EU-Aufsichtsbehörden für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • Anlaufstelle für betroffene Personen für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • In offiziellen Verzeichnissen aufgeführte Kontaktadresse als EU-Vertreter im datenschutzrechtlichen Zusammenhang
  • Beratung in datenschutzrechtlichen Themen inkl. Informationssicherheit

 

Vertrauen langjähriger Kunden als Antrieb für EU-Vertretung

Wir freuen uns über das in uns gesetzte Vertrauen unserer Kunden, die uns dazu bewogen haben, eine EU-Vertretung in Berlin zu gründen.

 

Entlastung für Schweizer Unternehmen ohne EU-Niederlassung
Da eine grosse Zahl der Schweizer Unternehmen, die in der Europäischen Union tätig sind und dort selber keine Niederlassung haben, von der DSGVO betroffen sind und die Bestellung einer Vertretung in der EU deshalb einem grossen Kundenbedürfnis entspricht, hat die Swiss Infosec AG das Tochterunternehmen Swiss Infosec (Deutschland) GmbH mit Sitz in Berlin gegründet.
Unsere Datenschutzexperten übernehmen für diese Unternehmen vor Ort die Vertreterfunktion und stellen sicher, dass Sie Artikel 27 DSGVO-konform erfüllen.

 

EU-Vertretung: Informieren Sie sich jetzt über die Pflichten dieser Funktion

Wollen Sie in einem Ihrer europäischen Zielmärkte aktiv werden ohne dort eine Niederlassung zu haben?
Dann bietet sich das Angebot «Externer EU-Vertreter» der Swiss Infosec (Deutschland) GmbH als ideale und schnelle Lösung zur einfachen Einhaltung der Konformität nach DSGVO an.

 

Gerne stehen wir Ihnen beratend und unterstützend zur Seite und freuen uns über Ihre unverbindliche Anfrage.
+41 41 984 12 12, infosec@infosec.ch

 

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!
Wir sind interessiert an:

 

Schon 2005 wurde auf der 27. Internationalen Konferenz der Beauftragten für Datenschutz und den Schutz der Privatsphäre in Montreux in Bezug auf genetische Daten Folgendes festgehalten:

 

„Die Datenschutzbeauftragten

1.    […]

7.    Sind sich bewusst, dass aufgrund des rasch wachsenden Kenntnisstandes im Bereich der Genetik Daten über die menschliche DNA zu den sensibelsten überhaupt werden können, und dass die Gewährleistung eines angemessenen rechtlichen Schutzes dieser Daten angesichts der beschleunigten Wissensentwicklung wachsende Bedeutung erlangt,

8.    […]“

 

Aktuellere Untersuchungen haben ergeben, dass genetische Daten nicht als anonym angesehen werden können. Genetische Daten können daher maximal pseudonymisiert werden bzw. als pseudonym angesehen werden.

 

Biomaterial und Einwilligung

Biomaterial enthält durch seinen genetischen Inhalt prinzipiell auch Daten, durch die Rückschlüsse auf etwaige dem Betroffenen verwandte Personen wie beispielsweise Kinder, Eltern und/oder Enkel möglich sind. Unter den Vorgaben der DS-GVO können diese Daten mittels Einwilligung kaum verarbeitet werden, da eine Einwilligung immer nur für die eigenen Daten, nicht aber für die Daten Dritter gegeben werden kann.

 

Daraus folgt, dass wenn eine Person heute beispielsweise Biomaterial abgibt, so kann ein heute noch nicht geborenes Enkelkind dieser Person aufgrund der Kenntnis dieses gespendeten Biomaterials in der Zukunft durch eine Erkrankung diskriminiert werden, die heute noch gar nicht bekannt ist, die aber dem Erbgut innewohnt. Auch diesen Personen muss ein „Recht auf Nichtwissen“ zugestanden werden, eine Einwilligung der das Biomaterial abgebenden Person kann dies nicht legitimieren.

 

Daher wird für die Verarbeitung derartiger personenbezogener bzw. personenbeziehbarer Daten ein gesetzlicher Erlaubnistatbestand benötigt. Wenn seitens der Gesellschaft ein Konsens besteht, dass die Vorratsdatenspeicherung von Biomaterial mit recht allgemeiner Zweckbindung („medizinische Forschung“) gewünscht ist, muss somit ein Gesetz diese Forschung explizit erlauben, so dass eine Einwilligung nicht benötigt wird. Denn eine Einwilligung alleine des Spenders wird kaum die damit verbundene Verarbeitung der über Dritte (= Verwandte) enthaltenen Informationen legitimieren können.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

1. Erlaubnistatbestand Pseudonymisierung/Anonymisierung

Wie bereits dargestellt stellen sowohl Anonymisierung als auch Pseudonymisierung Verarbeitungen im Sinne von Art. 4 Ziff. 2 DS-GVO dar. Nach Art. 6 sowie Art. 9 DS-GVO ist die Verarbeitung personenbezogener Daten verboten, ausser es existiert ein Erlaubnistatbestand.

 

1.1. Einwilligung

Existiert kein gesetzlicher Erlaubnistatbestand, so ist zur Pseudonymisierung oder Anonymisierung die Einholung einer rechtsgültigen Einwilligung der betroffenen Person bzw. Personen erforderlich. Hierbei sind alle die von der DS-GVO genannten Vorgaben / Rahmenbedingungen einzuhalten.

 

1.2. Sonderfall Forschung

Die DS-GVO privilegiert Verarbeitungen personenbezogener Daten zum Zwecke der Forschung an unterschiedlichen Stellen. Insbesondere enthält die DS-GVO privilegierende Bestimmungen für wissenschaftliche und historische Forschungszwecke. Hinsichtlich der Nutzung besonderer Kategorien personenbezogener Daten findet sich in Art. 9 Abs. 2 lit. j DS-GVO ein datenschutzrechtlicher Erlaubnistatbestand zur Nutzung von Daten zu Zwecken der wissenschaftlichen Forschung. Hiernach ist eine Verarbeitung gestattet, wenn die Verarbeitung gemäss Art. 89 Abs. 1 DS-GVO erforderlich ist und ein nationales oder europäisches Recht für die Nutzung existiert, welches den besonderen Anforderungen von Art. 89 Abs. 1 DS-GVO genügt.

 

2. Betroffenenrechte

2.1. Anonyme Daten und Betroffenenrechte

Entsprechend ErwGr. 26 gelten für anonyme Daten die Anforderungen der DS-GVO nicht. Damit gelten auch nicht die aus den Art. 12 bis 22 DS-GVO resultierenden Anforderungen hinsichtlich der Erfüllung der Betroffenenrechte. Dies bezieht sich jedoch nicht auf die Zeit vor der Anonymisierung. Denn dann sind die jeweiligen Betroffenenrechte sehr wohl vollumfänglich zu beachten. Somit ist bei einer Anonymisierung die betroffene Person ggf. u. a. hinsichtlich des Vorgehens einer Anonymisierung und – sofern vorhanden – der Zweckänderung bei der Verarbeitung der Daten zu informieren.

 

2.2. Pseudonyme Daten und Betroffenenrechte

Pseudonyme Daten gelten als personenbezogene Daten, daher gelten auch die Betroffenenrechte voll umfänglich. Pseudonyme Daten weisen die Besonderheit auf, dass der Verantwortliche die betroffene Person nicht identifizieren kann. Das wiederum macht es notwendig, dass jegliche Kommunikation mit der betroffenen Person nur über die Personen laufen kann, welche die Daten (ursprünglich) erhoben haben, d. h. welche die betroffene Person kennen und die ggf. mittels einer Zuordnungstabelle eine Re-Identifizierung vornehmen können.

 

2.3. Information bei Zweckänderung

Häufig erfolgt eine Anonymisierung/Pseudonymisierung von Daten, um die Daten zu einem anderen Zweck als den ursprünglichen zu verwenden. Gemäss Art. 13 Abs. 4, 14 Abs. 4 DS-GVO muss der Verantwortliche vorher (also insbesondere noch vor der Pseudonymisierung/Anonymisierung) der bzw. den betroffenen Personen Informationen über diesen anderen Zweck und alle anderen massgeblichen Informationen gemäss Art. 14 Abs. 2 DS-GVO zur Verfügung stellen.

 

3. Privacy by Design/Default

Entsprechend Art. 25 DS-GVO muss die Pseudonymisierung bzw. Anonymisierung über den vollständigen Lebenszyklus der Daten, d. h. von der Erhebung bis zur endgültigen Vernichtung, aufrechterhalten werden. Änderungen in der technischen Entwicklung müssen während dieser Zeit betrachtet, bzgl. der Auswirkungen auf die pseudonymisierten/anonymisierten Daten bewertet und ggf. erforderliche Massnahmen abgeleitet und umgesetzt werden.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

Begriffsbestimmungen

 

1. Personenbezogene Daten

Entsprechend Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit fallen nicht nur Informationen darunter, welche direkt eine Person identifizieren, sondern auch alle Informationen, welche über Zwischenschritte eine Person identifizieren. D. h. soweit und solange die Informationen aus sich heraus Rückschluss auf eine einzelne Person zulassen, handelt es sich um Daten einer bestimmten Person.

 

Der Begriff „identifizierbar“ muss daher im Sinne von „als Einzelperson wahrnehmbar“ bzw. einer „Einzelperson zuordenbar“ verstanden werden. Die Identifizierbarkeit ist damit Dreh- und Angelpunkt hinsichtlich der Beurteilung, ob Daten als anonym oder pseudonym angesehen werden können.

 

2. Pseudonymisierung

Der Begriff der Pseudonymisierung wird in Art. 4 Ziff. 5 DS-GVO definiert. Dort heisst es:

 

„"Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

 

Dieser Definition folgend charakterisiert eine Pseudonymisierung daher Nachfolgendes:

  • Die Pseudonymisierung ist eine Verarbeitung personenbezogener Daten.
  • Pseudonyme Daten sind Daten, die ohne weitere Informationen einer spezifischen Person nicht zuordenbar sind.
  • Die zur Zuordenbarkeit benötigten Informationen stehen dem Verantwortlichen nicht zur Verfügung, sondern
    • werden gesondert aufbewahrt und
    • sind durch technische und organisatorische Massnahmen vor dem Zugriff durch den Verantwortlichen geschützt.
  • Für den Verantwortlichen besteht bei der Verarbeitung pseudonymisierter Daten keine Möglichkeit der Identifizierung der betroffenen Person.

Hinweis: ErwGr. 26 führt aus, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

 

3. Pseudonyme Daten

Entsprechend der in der DS-GVO enthaltenen Definition von Pseudonymisierung sind demnach pseudonyme Daten solche Daten, welche der oder die Verantwortlichen keiner spezifischen Person zuordnen können, jedoch für andere durch die Einbeziehung weitergehender Informationen („Zuordnungsregeln“) die grundsätzliche Möglichkeit der Zuordnung besteht. Dafür ist es nicht erforderlich, dass die betroffene Person durch die „Re-Identifizierung“ mit bürgerlichem Namen zu identifizieren ist1. Ausreichend ist vielmehr, wenn durch das Datum bzw. die Daten die betroffene Person individualisiert wird und Aussagen über deren sachliche und persönliche Verhältnisse möglich sind; ein Name muss nicht vorhanden sein.

 

4. Anonyme Daten

Entsprechend ErwGr. 26 DS-GVO sollten die Vorgaben der DS-GVO nicht für anonyme Daten gelten. D. h. für anonyme Daten gelten die Anforderungen der DS-GVO nicht. Jedoch muss der Verantwortliche, u. a. der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO folgend, zu jedem Zeitpunkt der Verarbeitung (und damit insbesondere auch während der gesamten Speicherdauer) nachweisen können, dass es sich um anonyme Daten handelt.

 

Daraus ergibt sich im Umkehrschluss, dass anonyme Daten weder direkt personenbezogene Daten noch pseudonymisierte Daten sein können. D. h., anonyme Daten sind Daten, bei denen keine Zuordnungsmöglichkeit zu einer spezifischen betroffenen Person existiert.

 

5. Anonymisierung

Anonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

 

Zur Klarstellung: Sowohl pseudonyme als auch anonyme Daten sind daher für den Verantwortlichen keiner spezifischen betroffenen Person zuordenbar. Der Unterschied zwischen anonymen und pseudonymen Daten liegt darin, dass bei pseudonymen Daten ausserhalb der Zugriffsmöglichkeiten des Verantwortlichen grundsätzlich eine Zuordnungsmöglichkeit besteht oder bestehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmöglichkeit vorhanden ist.

 

Da es sich sowohl bei der Pseudonymisierung als auch bei der Anonymisierung um eine Verarbeitung gemäss Art. 4 Ziff. 2 DS-GVO handelt, ist daher auch für eine Anonymisierung bzw. Pseudonymisierung von Gesundheitsdaten ein Erlaubnistatbestand gem. Art. 9 Abs. 2,4 DS-GVO bzw. Art. 6 Abs. 1, 2 DS-GVO für Daten, die nicht zu den besonderen Kategorien zählen, erforderlich.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

Einleitung

Was heisst Pseudonymisierung und Anonymisierung?

 

Sowohl die Pseudonymisierung als auch die Anonymisierung wird verwendet um Risiken der Verarbeitung für von der Verarbeitung betroffene Personen zu verringern. D. h. die Methoden stellen Massnahmen dar, welche dem Schutz von personenbezogenen Daten dienen. In Bezug auf die Pseudonymisierung schrieb der europäische Gesetzgeber in ErwGr. 28 DS-GVO: „Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann […] die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen“.

 

Wie aus dieser Formulierung ersichtlich wird, kann es einen oder auch mehrere Verantwortliche geben. Art. 4 Ziff. 7 DS-GVO definiert „Verantwortlicher“ als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Entsprechend wird in Art. 26 DS-GVO erklärt, unter welchen Umständen eine Verarbeitung durch gemeinsam Verantwortliche erfolgen kann. Dies gilt selbstverständlich auch für die Pseudonymisierung oder auch die Anonymisierung, die jeweils eine Verarbeitung darstellen. Und auch diese Verarbeitungen können von einem oder auch von mehreren gemeinsam Verantwortlichen durchgeführt und genutzt werden.

 

Eine Pseudonymisierung ersetzt nicht zwangsläufig andere Datenschutzmassnahmen, sondern ist eher als begleitende Massnahme zu verstehen (ErwGr. 28 S. 2 DS-GVO). Die DS-GVO nennt die Pseudonymisierung als begleitende Massnahme an verschiedenen Stellen wie z. B.:

  • Art. 6 Abs. 4 DS-GVO, um bei Zweckänderung geeignete Garantien für die Sicherheit abzubilden
  • Art. 25 Abs. 1 DS-GVO, als eines der Mittel, um „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design/Privacy by Default“) umzusetzen
  • Art. 32 Abs. 1 lit. a DS-GVO, als eine der zu berücksichtigenden Anforderungen bei der Gewährleistung eines angemessenen Schutzniveaus
  • Art. 89 Abs. 1 DS-GVO, als eine mögliche Massnahme, um Rechte und Freiheiten betroffener Person bei der Verarbeitung personenbezogener Daten von im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken zu gewährleisten.

Anonyme oder pseudonyme Daten können z. B. genutzt werden für:

  • Schulungszwecke
  • Krankheitsregister
  • Klinische Studien
  • Statistische Auswertungen/Analysen.

Art. 40 Abs. 2 lit. d DS-GVO verweist darauf, dass Verhaltensregeln die Pseudonymisierung personenbezogener Daten konkreter ausgestalten können. Demnach enthalten die Vorgaben der DS-GVO die Rahmenbedingungen, unter welchen eine Pseudonymisierung anwendbar ist. Bzgl. der Ausgestaltung der Pseudonymisierung gibt es aber Bedarf an Auslegung. Dies will diese Ausarbeitung leisten: eine Klarstellung, wie mit Pseudonymisierung und Anonymisierung mit Geltung der DS-GVO umzugehen ist.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

Ausarbeitung

Generelle Datenübersicht

 

Die vorliegende Ausarbeitung bezieht sich auf Daten in der Gesundheitsversorgung, d. h. besondere Kategorien von Daten im Sinne der DS-GVO. Grundsätzlich ist eine Pseudonymisierung oder Anonymisierung natürlich auch bei anderen Daten sinnvoll. Die vorliegend dargestellten Ausführungen / Methoden sind daher i. d. R. auch auf diese Daten übertragbar.

 

Diese Ausarbeitung stellt keine Verhaltensregel i.S.v. Art. 40 Abs. 2 lit. d DS-GVO dar, sondern beschreibt, welche Rahmenbedingungen beim Vorgehen bzgl. Anonymisierung oder Pseudonymisierung aus Sicht der DS-GVO mindestens beachtet werden sollten. Weiterhin werden einige Methoden zu dieser Thematik vorgestellt, ohne dass diesbezüglich von den Verfassern ein Anspruch auf Vollständigkeit bzgl. der Darstellung erhoben wird.

 

Allgemeines

Im Rahmen der folgenden Darstellung werden des Öfteren Beispiele zur Veranschaulichung genutzt. Alle Beispiele basieren auf dem folgenden onkologischen Beispieldatensatz:

 

 2018 08 02 12h49 22

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

DS-GVO, 2. Auflage

 

Autoren: Eugen Ehmann, Martin Selmayr, Jan Philipp Albrecht, Ulrich Baumgartner, Nikolaus Bertermann, Martin Braun, Horst Heberlein, Dirk Heckmann, Jörg Hladjk, Hans-Georg Kamann, Achim Klabunde, Rainer Knyrim, Thomas Kranig, Paul Nemitz, Anne Paschke, Bertram Raum, Stephanie Schiedermair, Alexander Schiff, Martin Schweinoch, Robert Selk, Michael Will, Thomas Zerdick

ISBN-10: 3406720064

1. Identifizierung der direkten und indirekten identifizierenden Daten

Will man eine Pseudo- bzw. Anonymisierung durchführen, müssen in einem ersten Schritt sowohl direkte als auch indirekte Identifikationsmerkmale im Datensatz identifiziert und bzgl. der Notwendigkeit der Änderung/Löschung hinsichtlich des Prozesses einer Pseudonymisierung oder Anonymisierung bewertet werden.

 

Die zur Verarbeitung vorgesehenen Daten sind also in drei Kategorien einzuteilen:

  1. Direkte Identifikationsmerkmale: Alle Daten, welche eine direkte Identifizierung zulassen. Beispiele für direkte Identifikationsmerkmale sind insbesondere Namen (der bürgerlicher Name sowie alle sonstige Namen wie beispielsweise der Rufname oder der Chat Name), unter denen die Person bekannt ist.
  2. Indirekte Identifikationsmerkmale: Alle Daten, welche in Verbindung mit anderem indirektem oder externem Wissen eine Identifikation potentiell ermöglichen. Beispiele für indirekte Identifikationsmerkmale sind:
    • Personenbezeichner (z. B. Patienten-ID, Sozialversicherungsnummer, Steuernummer, Autokennzeichen, Kontonummer, Versicherungsnummer, Geburtsdatum)
    • Erscheinungsmerkmale (z. B. Körpergrösse, Haarfarbe, Kleidung, Tätowierungen)
    • Biometrische Kennzeichen (z. B. Gesicht, Stimmprofile, Fingerabdrücke)
    • Genetische Daten
    • Digitale Zertifikate, welche eine Identifikationsmöglichkeit beinhalten (z. B. Zertifikate zur elektronischen Unterschrift)
    • Identifikationsmerkmale basierend auf elektronischer Kommunikation (z B. Telefonnummer, Faxnummer, E-Mailadresse, IP-Adresse)
    • Demographische Daten (z. B. Religion, Geburtsland, Muttersprache, Vorstrafen)
    • Zuordnungsmerkale (z. B. Beruf, Funktion, Anschriften, Vorstrafen, Name der Mutter/des Vaters)
    • Ausreisservariablen (z. B. seltene Diagnosen, Behandlungsbesonderheiten, körperliche Fehlbildungen, für die untersuchte Population untypische Merkmale).

      Je nachdem, welche weiteren Informationen dem oder den Verantwortlichen zur Verfügung stehen, sind indirekte Identifikationsmerkmale ggf. als direkte Identifikationsmerkmale anzusehen.

  3. Nicht identifizierende Daten: alle anderen Daten, die weder direkte oder indirekte Identifikationsmerkmale darstellen.

 

Gerade bei der Analyse der sogenannten indirekten Identifikationsmerkmale ist häufig eine individuelle, kontextbezogene Betrachtung erforderlich. So kann bspw. in einem Fall die Haarfarbe ein indirektes Identifikationsmerkmal darstellen, durch die eine Person eindeutig identifizierbar wird. In anderen Fällen beinhaltet das Datum „Haarfarbe“ vielleicht keine Re-Identifikationsmöglichkeit. Desgleichen können medizinische Bilddaten neben den zur Identifizierung geeigneten Metadaten (z. B. DICOM StudyUID) auch in sich selbst eine Identifikationsmöglichkeit enthalten, z. B. wenn eine 3D-Rekonstruktion des Kopfes eine Gesichtserkennung ermöglichen würde.

 

2. Arten von Pseudonymen und ihre Unterscheidungsmöglichkeiten

Pseudonyme können einerseits durch den Inhaber der Zuordnungsregel unterschieden werden:

  1. Pseudonyme werden ausschliesslich vom Betroffenen selbst vergeben. Ein Beispiel hierfür ist der „Nickname“ des Nutzers im Chat.
  2. Pseudonyme werden natürlich auch vom ursprünglichen Verarbeiter vergeben, wie dies beispielsweise bei der IP-Adress-Vergabe durch einen Internet-Provider erfolgt.
  3. Pseudonyme können von einem vertrauenswürdigen Dritten vergeben werden, wie dies beispielsweise häufig bei der Einschaltung einer sog. Trusted-Third-Party in medizinischen Forschungsnetzen geschieht.

Eine andere Unterscheidungsmöglichkeit bzgl. Pseudonyme besteht in der Art ihrer Erzeugung:

  1. Das Pseudonym wird durch eine schlüsselabhängige Einweg- oder Hashfunktion aus invarianten Daten (Bsp. Identitätsdaten) erzeugt.
  2. Das Pseudonym wird (willkürlich) nach einem festen Einweg-Algorithmus vom Benutzer aus einem Geheimnis (z. B. Passphrase) erzeugt.
  3. Das Pseudonym wird (zufällig) frei gewählt oder nach einem Zufallsverfahren erzeugt.

Eine dritte Unterscheidungsmöglichkeit bei Pseudonymen besteht in ihrer gesellschaftlichen Verwendung. Pseudonyme können als

  • Personenpseudonyme, z. B.
    • Öffentliches Personenpseudonym (z. B. Telefonnummer)
    • Nichtöffentliches Personenpseudonym (z. B. Kontonummer)
    • Anonymes Personenpseudonym (z. B. Genom)

oder auch als

  • Rollenpseudonyme, wie beispielsweise
    • Geschäftsbeziehungspseudonym (z. B. Chat- Name)
    • Transaktionspseudonym (z. B. PIN, TAN)

genutzt werden.

 

3. Methoden zur Pseudonymisierung/Anonymisierung

Sowohl bei der Pseudonymisierung als auch bei der Anonymisierung gibt es unterschiedliche Methoden, die im Einzelfall danach evaluiert werden sollten, wie mit ihnen am besten der individuell verfolgte Zweck erreicht werden kann.

 

3.1. Nichtangabe

Das zu schützende Datum wird bei dieser Methode nicht verwendet, sondern weggelassen, z. B. durch Löschung oder Nicht-Exportieren von Spalten einer Tabelle einer Datenbank oder auch von Teilbereichen der Werte.

 

Beispiel: Die Daten aus Tabelle 1 wurden durch Weglassen von Vorname und Nachname sowie Tag und Datum beim Geburtsdatum wie auch die letzten Ziffern bei ICD entpersonalisiert:

 

2018 08 02 14h01 12

 

Allerdings muss man dabei darauf achten, dass sich durch Nichtangabe von Teilbereichen auch die Information selbst ändert. So kann bspw. die Verringerung des Wertes des ICD im obigen Beispiel zu einer ggf. nicht unerheblichen Änderung der Diagnosen führen:

 

2018 08 02 14h03 29

Insofern gilt es die Anwender darüber aufzuklären, dass gewisse Daten verändert wurden:

 

3.2. Maskierung/Ersetzung

Zu schützende Daten werden mit einem konstanten oder sich ändernden Wert, Zeichen oder Zeichenkette ersetzt.

 

Beispiel: Die Daten aus Tabelle 1 wurden maskiert, indem der Tag und der Monat des Datums jeweils auf „01“ geändert wurden, die Namen auf feste Zeichenkette unter Beibehaltung der Geschlechterzuordnung:

 

2018 08 02 14h04 51

 

3.3. Mischung/Shuffeling

Bei der Nutzung dieser Methode werden die in den Datensätzen enthaltenen Werte getauscht („verwürfelt“). Dabei ist zu beachten, dass etwaige, eine Person eindeutig identifizierende Informationen wie bspw. eine Telefonnummer oder eine Kreditkartennummer zur Auflösung des Personenbezugs noch zusätzlich mit einer weiteren Methode verfremdet werden müssen, um einen Personenbezug ausschliessen zu können.

 

Die Grundlage für diese Durchmischung sollte eine Zufallsverteilung sein, die jedem Datenfeld die Daten bzw. Teilmenge der Daten eines anderen Datenfeldes zuordnet, wodurch letztlich ein neuer Datensatz gebildet wird. Bei einer zufälligen Vertauschung ist grundsätzlich nicht auszuschliessen, dass ein Datensatz auf sich selbst abgebildet wird, wodurch im Ergebnis keine Veränderung stattfinden würde. Dies ist natürlich durch entsprechende Vorkehrungen auszuschliessen.

 

Beispiel: Die Daten aus Tabelle 1 werden untereinander vermischt, um so die Identifizierung auszuschliessen:

 

2018 08 02 14h09 03

 

3.4. Varianzmethode

Bei dieser Methode werden Daten, die auf Zahlen basieren, dadurch verfremdet, dass die Zahlenwerte in festgelegten, zufällig erhöhten oder verringerten Streuungsintervallen geändert werden.

 

Beispiel: Das Geburtsdatum aus Tabelle 1 wurde mittels der Varianzmethode bearbeitet, wodurch das Geburtsdatum willkürlich verändert wurde, die statistische Aussage der Tabelle jedoch erhalten blieb:

 

2018 08 02 14h10 36

 

3.5. Kryptografische Methoden

Hierbei kommen Verschlüsselungs- und/oder Hash-Algorithmen zum Einsatz. Dabei ist zu beachten, dass kryptografische Eigenschaften wie Blocklänge, Ausgabealphabet und Kollisionen der jeweils verwendeten Methoden Auswirkungen auf das Ergebnis der Anonymisierung haben. Weiterhin ist zu beachten, dass hier kryptografische Methoden im speziellen Kontext der Anonymisierung bzw. Pseudonymisierung betrachtet werden, d. h. einige Betrachtungen im anderen Kontext ggf. zu anderen Ergebnissen führen können.

 

3.5.1. Rahmenbedingungen abklären

Mit der Fachseite, welche die pseudonymisierten oder anonymisierten Daten verarbeiten will, müssen die Randbedingungen geklärt werden. So muss z. B. geklärt werden, ob

  • der Zeichensatz (arabisch, deutsch, …),
  • die Zeichenart (numerisch, Buchstabenerhalt, Sonderzeichen bleibt Sonderzeichen),
  • Zeichenlänge

bei der Pseudonymisierung/Anonymisierung erhalten bleiben sollen.

 

Weiterhin können funktionelle Anforderungen wie z. B.

  • Kollisionsfreiheit; d. h. unterschiedliche Eingaben führen immer zu unterschiedlichen Ergebnissen, so dass die Unterschiede erhalten bleiben und ggf. Datensätze trotz Pseudonymisierung/Anonymisierung zusammengeführt werden können,
  • Eindeutigkeit; gleiche Eingaben führen immer zu gleichen Abbildungen,
  • Erhalt der statistischen Verteilung

hinzukommen.

Grundsätzlich gilt: Je mehr Randbedingungen an die Pseudonymisierung bzw. Anonymisierung seitens der Fachseite gestellt werden, umso grösser wird das Risiko der Re-Identifizierbarkeit durch statistische Analysen.

 

3.5.2. Verschlüsselungsverfahren

Moderne kryptografische Methoden sind nahezu ausschliesslich Binärchiffren, die sich in Block- und Stromchiffren sowie in symmetrische und asymmetrische Verfahren unterteilen lassen. Hierbei ist Folgendes zu beachten:

  1. Stromchiffren müssen zum Erhalt von Eigenschaften mehrfach denselben Schlüsselstrom verwenden, was die kryptografische Stärke der Verfahren abschwächt. Daher sind Stromchiffren für die Pseudonymisierung/Anonymisierung i.d.R. eher ungeeignet.
  2. Den Vorteilen im Umgang mit dem Schlüsselmaterial stehen bei asymmetrischen Verfahren sehr hohe Performance-Einbussen und relativ grosse Chiffrat-Blöcke entgegen.

Dabei erhalten Binärchiffren weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge. Jedoch sind Binärchiffren sowohl kollisionsfrei als auch eindeutig.

 

Andere Verschlüsselungsverfahren können Anforderungen bzgl. Zeichenart, Zeichensatz und Zeichenlänge ggf. erhalten. Dieses ist z. B. bei entsprechender Implementierung beim symmetrischen Verfahren „One-Time-Pad“ der Fall. Hier wiederum kann ggf. die Anforderung der Eindeutigkeit nicht mehr gegeben sein.

 

D. h., ob eine Verschlüsselung zur Anonymisierung/Pseudonymisierung genutzt werden kann, ist abhängig von den Anforderungen der Fachabteilung.

 

3.5.3. Hash-Funktionen

Hash-Funktionen (auch: kryptografische Checksumme oder Einwegfunktion genannt) bilden eine beliebig lange Eingabedatenmenge auf einen binären String fester Länge ab. Somit können auch Hash-Funktionen weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge erhalten. Die Möglichkeit der Kollisionsfreiheit ist abhängig von der Ausgabelänge und dem Algorithmus. Bei MD5 beispielsweise ist nachgewiesen, dass Kollisionsfreiheit nicht gegeben ist. Die Anforderung der Eindeutigkeit wird von Hash-Funktionen gewährleistet.

 

3.5.4. Salt

„Salt“ (= „Salz“) bezeichnet in der Kryptografie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hash-Funktion angehängt wird, um die Entropie der Eingabe zu erhöhen, was letztlich zu einer höheren Streuung des Ergebnisses führt. Hierdurch kann z. B. verhindert werden, dass Originaldaten bspw. mit Hilfe von Rainbow-Tabellen identifiziert werden können.

 

Stand heute wird eine Entropie von 100 Bit als resistent gegen Brute-Force Angriffe mit hohem Angriffspotential angesehen. D. h. der Wertebereich muss eine Mindeststreuung von 2100 bzw. 1030 haben. Zu jedem Datensatz sollte ein eigener Salt existieren, um den grösstmöglichen Schutz zu erhalten. Werden alle Datensätze mit ein und derselben Zeichenfolge kombiniert, so wird dies als „Pepper“ bezeichnet.

 

Bei der Überprüfung eines Datums wird jedoch nicht jedes Mal ein neuer Salt erzeugt, da sich sonst der entstandene Hashwert von dem gespeicherten unterscheidet und somit der Wahrheitsgehalt der Information nicht überprüft werden kann. D. h. die Anforderung der Eindeutigkeit wäre nicht mehr gegeben. Deshalb wird – sofern die Eindeutigkeit eine einzuhaltende Anforderung darstellt - bei der Generierung der zur jeweiligen Information verwendete Salt zusammen mit dem entstandenen Hashwert gespeichert. Dabei müssen Salt und Hashwert natürlich voneinander getrennt aufbewahrt werden, der Salt unbedingt geheim gehalten werden, da ansonsten der Schutz abgeschwächt wird.

 

3.6 Was wird wann mit welcher Methode erreicht?

2018 08 02 14h12 09

 

3.7 k-Anonymität

Direkte und indirekte Identifikationsmerkmale werden zu Gruppen mit gleichen Inhalten zusammengefasst, d. h. die Identifikationsmerkmale so verändert, dass die Merkmale zu Gruppen zusammengefasst werden können. Damit sind die hinter den Daten stehenden Individuen nicht mehr unterscheidbar, d. h. eine eindeutige Identifikation ist nicht mehr möglich.

 

Um k-Anonymität zu erreichen, können alle oben beschriebenen Methoden eingesetzt werden. Dabei gilt: Je grösser die Gruppe, je grösser ist das Mass an Anonymität bzw. je kleiner ist die Wahrscheinlichkeit als Angehöriger einer Gruppe mit bestimmten Merkmalen identifiziert zu werden.

 

Der Parameter k definiert bei der k-Anonymität die Mindestgrösse der Gruppen. Er ist damit gleichzeitig das Mass der Anonymität. In einer Gruppe von k Individuen liegt die Wahrscheinlichkeit bei 1/k ein einzelnes Individuum korrekt zu identifizieren.

 

In der Literatur wird ein Schwellwert von mindestens 5 angegeben, d. h.: Bei jeder Auswertung umfasst das Ergebnis zu jedem Zeitpunkt des Auswertungszeitraumes mindestens 5 Betroffene, sodass kein Rückschluss auf Einzelpersonen gegeben ist. Kann eine Rückführbarkeit auf eine Personengruppe unter 5 Personen nicht ausgeschlossen werden, sind sowohl der Schwellwert aus auch die Merkmale/Items für die jeweilige Auswertung so zu definieren, dass trotzdem der Identifikationsschutz gewährleistet ist.

 

3.8. Beispiele bzgl. Vorgehen

2018 08 02 14h13 28

 

4. Darstellung des Risikos der Re-Identifizierung

Eine Re-Identifizierung kann Teil des geplanten Ablaufes sein, wenn eine Re-Identifikation unter zuvor festgelegten Bedingungen beabsichtigt erfolgt, z. B. Kontaktierung des Patienten, da die Verarbeitungsergebnisse Einfluss auf seine Behandlung haben. Erfolgt eine Re-Identifikation als ungeplantes, insbesondere nicht beabsichtigtes Ereignis, kann eine derartige Re-Identifikation Risiken für die betroffene Person bergen.

 

4.1. Risikodarstellung

Entscheidend für die Beurteilung des Risikos ist bereits das Vorhandensein der abstrakten Möglichkeit zur Identifikation von Betroffenen. Dabei sind die wesentlichen Risikofaktoren für eine Re-Identifizierung statistische Strukturen und Zusatzwissen. Selbst wenn Datensätze hoch effektiv und nach den aktuellsten kryptologischen Methoden geschützt sind, können statistische Auffälligkeiten dazu führen, dass ein Personenbezug - ggf. auch nur teilweise - wiederhergestellt werden kann. Dieses Risiko wird durch Verfügbarkeit von Zusatzwissen erheblich verstärkt.

 

Beispiel: Die nachfolgende Tabelle scheint zunächst anonyme Daten zu enthalten.

 

2018 08 02 14h14 26

 

2018 08 02 14h15 49

 

Existiert hingegen auch nur ein teilweise möglicher Zugriff auf die Originaldaten aus Tabelle 9, so ist eine Re-Identifikation der Daten aus Tabelle 8 möglich: Nur Frau Richter und Herr Schröder wohnen in einem Bereich, dessen PLZ mit „1011“ beginnt und durch die Geschlechtsangabe ist eine eindeutige Zuordnung möglich. Die Daten sind also nicht als anonyme Daten anzusehen, sondern als pseudonyme Daten.

 

4.2 Grundbedingung für eine Prüfung

Bei einer Prüfung des Ergebnisses einer Pseudonymisierung/Anonymisierung muss sowohl das Vorgehen der Verarbeitung, also die Methodik und der Umsetzung der Methodik beurteilt werden, wie das vorhandene Ergebnis. Dafür ist es erforderlich, dass alles nachvollziehbar dokumentiert wurde. Die/Der Prüfende benötigt:

  • Eine ausführliche Dokumentation der Methodik,
  • eine detaillierte Darstellung der Umsetzung der Methodik,
  • die Ergebnistabellen.

 

Bei den Ergebnissen ist darauf zu achten, dass auch statistische Kennzahlen Informationen zu einzelnen Individuen beinhalten können:

  • Ein Mittelwert basierend auf wenigen Beobachtungen kann ggf. Rückschlüsse bzgl. gering besetzter Gruppen beinhalten. Um diese Randgruppen identifizieren und diese bzgl. einer Möglichkeit des Rückschlusses auf einzelne Individuen prüfen zu können, muss neben der Fallzahl immer auch Minimum, Maximum und Standardabweichung angegeben werden.
  • Die Angabe von Perzentilen (Prozentränge) bei einer geringen Fallzahl beinhaltet nahezu immer die Möglichkeit von Rückschlüssen auf einzelne.

 

Hochfellner empfiehlt als Mindestgrössen:

  • Mindestens 20 Beobachtungen für die Ausgabe von Mittelwerten
  • Mindestens 40 Beobachtungen für die Ausgabe von 50%-Perzentilen
  • Mindestens 80 Beobachtungen für die Ausgabe von 25%- oder 75%-Perzentilen
  • Mindestens 200 Beobachtungen für die Ausgabe von 10%- oder 90%-Perzentilen
  • Mindestens 400 Beobachtungen für die Ausgabe von 5%- oder 95%-Perzentilen
  • Mindestens 2000 Beobachtungen für die Ausgabe von 1%- oder 99%-Perzentilen

4.3 Risikobeurteilung

Gemäss den Anforderungen von Art. 25 DS-GVO sind sowohl „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung [also der Planung der Verarbeitung] als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Massnahmen“ zu treffen, welche die Rechte der betroffenen Personen schützen. Auch Art. 32 DS-GVO verlangt abhängig vom Risiko für die betroffenen Personen die Ergreifung geeigneter Massnahmen zum Schutz der betroffenen Person.

 

Daher muss zwingend das Risiko, welches durch eine Re-Identifikation für die betroffene Person existieren kann, beurteilt werden. Dazu werden Risiken am besten einerseits in Kategorien eingeteilt, welche eine Zuordnung der Risiken in individuelle und Individuen übergreifende Risiken erlaubt, z. B. sein:

  • Strukturelle Risiken, beispielsweise gesellschaftlich-politische Risiken (wie z. B. die Informationsmacht, die gegenüber einem Individuum gewonnen wird) oder wirtschaftliche Risiken;
  • Individuelle Risiken, wie z. B. die Erhöhung individueller Verletzlichkeit für Straftaten, da jemand erfährt, wo betroffene Personen angreifbar sind;
  • Risiken für Gesellschaft und Individuum, z. B. durch Bildung von Persönlichkeitsprofilen oder Fremdbestimmung oder auch die Enttäuschung von Vertraulichkeitserwartungen.

 

Weiterhin müssen Risiken hinsichtlich der Bedeutung erfasst werden, d. h. eine Quantifizierung vorgenommen werden. Naturgemäss wird das jeweilige Risiko nur abgeschätzt werden können, sodass das Risiko entsprechend einem zuvor definierten Skalenniveau eingeteilt werden kann, z. B.:

 

2018 08 02 14h16 50

 

Entsprechend ErwGr. 26 DS-GVO wird eine objektive Bewertung bzgl. des Risikos verlangt. Die deutsche Datenschutzkonferenz veröffentlichte ein Kurzpapier „Risiko für die Rechte und Freiheiten natürlicher Personen, welches auch Hinweise bzgl. der Schweregradbeurteilung aus Sicht der deutschen Aufsichtsbehörden enthält.

 

5 Aufbau und Struktur einer Verfahrensbeschreibung

Entsprechend Art. 30 DS-GVO müssen Verarbeitungstätigkeiten in einem Verzeichnis geführt werden. Dies gilt selbstverständlich auch für die Verarbeitung im Rahmen einer Pseudonymisierung oder Anonymisierung. Darüber hinaus enthält Art. 32 Abs. 3 DS-GVO eine implizite Aufforderung, dass die ergriffenen technischen und organisatorischen Massnahmen, zu denen sowohl die Pseudonymisierung als auch die Anonymisierung gehören, einer Nachweisfähigkeit genügen müssen. Somit ist es erforderlich, dass die Verfahren hinreichend genau beschrieben werden.

 

Eine entsprechende Beschreibung der Durchführung einer Pseudonymisierung bzw. Anonymisierung sollte folgende Informationen enthalten:

  • Beschreibung der Verarbeitung, für welche die Daten erhoben wurden;
  • Beschreibung der Verarbeitung, für welche die Anonymisierung oder Pseudonymisierung benötigt wird;
  • ID des für die Verarbeitung der personenbezogenen Daten Verantwortlichen;
  • ID des für die Verarbeitung der anonymisierten oder pseudonymisierten Daten Verantwortlichen;
  • Beschreibung des Verfahrens, mit welchem eine Anonymisierung oder Pseudonymisierung durchgeführt wird;
  • Beschreibung, welche Daten für die Anonymisierung oder Pseudonymisierung ausgewählt wurden sowie eine Begründung, warum diese Daten relevant bzgl. einer Identifikationsmöglichkeit waren, andere nicht;
  • ID der Person oder des automatisierten IT-Systems, welches die Anonymisierung oder Pseudonymisierung durchführt;
  • Bei einer Anonymisierung der Nachweis der Anonymität, d. h. der Nachweis der Nicht-Beziehbarkeit der verarbeiteten Daten auf eine identifizierte oder identifizierbare natürliche Person;
  • Umgang mit ggf. zur Anonymisierung oder Pseudonymisierung genutzten kryptographischen Schlüssel oder einer entsprechenden Verknüpfungstabelle; hierzu gehört insbesondere auch
    • eine Beschreibung dessen, was geschieht, wenn die Organisation ihren Betrieb hinsichtlich der Anonymisierungs- oder Pseudonymisierungsaktivitäten einstellt,
    • eine Beschreibung, in welchen Bereichen und für welche Anwendungen die kryptographischen Schlüssel oder die entsprechenden Verknüpfungstabelle verwendet werden
    • eine Beschreibung des Gültigkeitszeitraum (aus welchem sich letztlich auch der späteste Zeitpunkt zur Validierung der durchgeführten Pseudonymisierung oder Anonymisierung ergibt),
    • eine Beschreibung der Möglichkeiten und Verfahren zur Verknüpfung mit Alt-Daten oder neu hinzugekommenen Daten, sofern die Möglichkeit vorhanden ist;
  • Ausführliche Beschreibung, unter welchen Umständen die Pseudonymisierung durch wen auf welche Art umkehrbar ist und welche Berechtigung hierzu von wem erforderlich ist;
  • Festlegung der Beschränkungen, denen der Empfänger der anonymisierten oder pseudonymisierten Daten unterliegt, z. B. vertragliche Regelungen oder die vereinbarten Verarbeitungsgrundsätze zu informationsbezogenen Aktionen mit diesen Daten, insbesondere bzgl. Weiterleitung und Aufbewahrung wie beispielsweise:
    • Der Empfänger darf die Daten nicht öffentlich zugänglich machen.
    • Der Empfänger muss die Daten vor unberechtigtem Zugriff schützen.
    • Der Empfänger darf die Daten nur intern nutzen, um entpersonalisierte Daten zu erzeugen und erst diese dürfen öffentlich zugänglich gemacht oder an Kunden veräussert werden.
    • Der Empfänger muss die Daten zerstören, wenn die Verarbeitung hinsichtlich der vereinbarten Zwecke beendet wurde und kein weiterer rechtlicher Aufbewahrungsgrund für die Daten mehr existiert.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

Für Betriebliche Datenschutzverantwortliche und Informations- und IT-Sicherheitsbeauftragte

27. September 2019, Sursee
9 bis 12 h, anschliessend Lunch

Treffen Sie sich an diesem kostenlosen Refresher mit ausgewiesenen Sicherheits-Spezialisten für den Fachaustausch und erfahren Sie mehr über die aktuellen Tendenzen und Neuerungen im Bereich des Datenschutzes und der Informations- und IT-Sicherheit.

Cloud & Security: Fluch oder Segen?

22. Januar 2019, Zürich Flughafen
13 bis 17 h, anschliessend Apéro

Tendenzen und Lösungen im Bereich der Integralen Sicherheit (Informationssicherheit, Datenschutz, IT-Sicherheit, Cyber Security, Krisenmanagement, Business Continuity Management, Physische Sicherheit).

Ihre Teilnahme ist kostenlos!

 

DSRL | DSG | DSGVO

 

Autor: Ekkehard Diregger

ISBN-10: 3707338312

und des neuen Bundesdatenschutzgesetzes für Unternehmen (KMU)

 

Autor: Brigitte Batke-Spitzer

ISBN-10: 3955543668

Die Sicht aus den USA

Der rechtliche Rahmen der DSGVO und die wichtigsten Bestimmungen, die US-Rechtsstreitigkeiten betreffen

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die die EU-Datenschutzrichtlinie von 1995 ersetzt. Die DSGVO soll einen stärkeren und einheitlicheren Datenschutz für Einzelpersonen in der EU sowie für aus der EU exportierte personenbezogene Daten gewährleisten und damit die Einhaltung der Verordnung durch aussereuropäische Unternehmen erleichtern. Die DSGVO trat am 24. Mai 2016 in Kraft und musste 2 Jahre später, am 25. Mai 2018, umgesetzt worden sein.

 

Nach der DSGVO gilt für alle EU-Mitgliedsstaaten ein einheitliches Regelwerk. Die Auswirkungen der DSGVO sind weitreichend und betreffen die meisten Unternehmen mit Sitz in der EU sowie Unternehmen mit Sitz im Ausland, die personenbezogene Daten verarbeiten, die in der EU oder von in der EU ansässigen Personen erhoben werden. Die DSGVO legt die Messlatte für die Einhaltung im Vergleich zur Richtlinie deutlich höher. Sie sieht unter anderem strengere Beschränkungen für die Verwendung personenbezogener Daten vor, gibt dem Einzelnen mehr Durchsetzungsrechte und erfordert mehr Transparenz. Die DSGVO erhöht auch die Strafen bei Nichteinhaltung drastisch auf mehr als 20 Millionen Euro oder 4 % des weltweiten Umsatzes, was die Aufmerksamkeit des oberen Managements auf sich zieht. Darüber hinaus können Einwohner der EU nach dem DSGVO nun auch "materielle oder immaterielle" Schäden infolge von Datenschutzverletzungen geltend machen. Dies kann dazu führen, dass US-Unternehmen in jedem der 28 EU-Mitgliedstaaten oder in mehreren Mitgliedstaaten aufgrund von Verstössen, die Einwohner mehrerer EU-Länder betreffen, gerichtlich belangt werden.

 

Wichtig für US-Unternehmen ist, dass die DSGVO die Art und Weise, wie die Beweisführung im Zusammenhang mit US-amerikanischen Rechtsstreitigkeiten erfolgt, erheblich beeinflussen kann. Die DSGVO beschränkt insbesondere die Umstände, unter denen personenbezogene Daten aus der EU exportiert werden dürfen. Daher muss jede Überprüfung von Dokumenten, die ausserhalb der EU durchgeführt wird und personenbezogene Daten betreffen, die in der EU erhoben oder gespeichert werden, in Übereinstimmung mit der DSGVO erfolgen. Darüber hinaus lagern viele globale Unternehmen E-Discovery und die Überprüfung von Prozessdokumenten an Dienstleister ausserhalb der EU aus. Die Folge ist, dass sich die Anbieter von solchen Dienstleistungen damit kämpfen, die Auswirkungen der DSGVO auf ihren Betrieb vollständig zu verstehen.

 

Wenn die Übermittlung von Daten in die USA zu Beweisführungszwecken erforderlich ist, müssen die Prozessbeteiligten Vorkehrungen treffen, wie die Verwendung von Suchbegriffen und Datenbeschränkungen, um die Menge der gesammelten und in die USA übermittelten Daten zu begrenzen. Im Hinblick auf die im Rahmen des DSGVO verfügbaren finanziellen Sanktionen sollten Unternehmen eine sorgfältige Einzelfallprüfung der Grundlage für die Übermittlung personenbezogener Daten in die USA oder in andere Länder ausserhalb der EU zur Verwendung für die Beweisführung oder für staatliche oder interne Untersuchungen vornehmen.

 

Wie im Folgenden detailliert erläutert, gehören zu den Möglichkeiten der Risikominderung im Rahmen der DSGVO:

  1. Minimierung der tatsächlich übertragenen Datenmenge, die für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist,
  2. Wo immer möglich Verschlüsselung, Redaktion oder Anonymisierung personenbezogener Daten,
  3. Nutzung internationaler Verträge (Rechtshilfeabkommen) zur Rechtfertigung der Datenübermittlung,
  4. Abschluss von Standardvertragsklauseln mit Dritten, die personenbezogene Daten verarbeiten,
  5. Verarbeitung und Speicherung der Daten in der EU, insbesondere vor der Redaktion oder Anonymisierung, und
  6. Abschluss einer Schutzanordnung, die die Möglichkeit der Parteien, auf personenbezogene Daten aus der EU zuzugreifen und diese in Rechtsstreitigkeiten zu verbreiten, einschränkt.

 

Was abgedeckt wird

"Personenbezogene Daten" im Sinne der DSGVO sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (eine "betroffene Person"). Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser Person spezifisch sind.

 

Die Definition der personenbezogenen Daten ist nach der DSGVO weitgehend unverändert. Die explizite Einbeziehung von Standortdaten, Online-Identifikatoren und genetischen Daten in die Definition von "personenbezogenen Daten" bedeutet, dass Online-Identifikatoren wie IP-Adressen und Cookies in vielen Fällen als personenbezogene Daten betrachtet werden, wenn sie ohne grossen Aufwand wieder mit einer betroffenen Person verknüpft werden können. Es gibt keinen Unterschied zwischen personenbezogenen Daten über Personen in ihrer öffentlichen, privaten oder beruflichen Eigenschaft. Alle Informationen über eine Person, die der Definition entspricht, sind durch die DSGVO geschützt.

 

Besondere Kategorien personenbezogener Daten unterliegen einem zusätzlichen Schutz. "Besondere Kategorien personenbezogener Daten" sind persönliche Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Daten über Gesundheit oder Sexualleben und sexuelle Orientierung, genetische Daten oder biometrische Daten offenbaren. Generell müssen Unternehmen stärkere Gründe für die Verarbeitung besonderer Kategorien personenbezogener Daten haben als für die Verarbeitung von "personenbezogenen Daten" erforderlich sind.”

 

Die DSGVO gilt für jedes Rechtsgebilde, das Daten von in der EU ansässigen Personen sammelt sowie für jede in der EU ansässige Person (der "Verantwortliche"), sowie für jedes Rechtsgebilde, das Daten im Auftrag des Verantwortlichen verarbeitet (der "Auftragsverarbeiter"), wie z.B. ein Anbieter von eDiscovery oder ein Anbieter von Unterstützungsleitungen bei Rechtsstreitigkeiten. Die Verordnung gilt auch für Verantwortliche und Auftragsverarbeiter mit Sitz ausserhalb der EU, wenn sie personenbezogene Daten von in der EU ansässigen Personen erheben oder verarbeiten.

 

Rechtmässigkeit der Verarbeitung

Nach der DSGVO darf ein Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dafür eine gesetzliche Grundlage besteht. Nach § 6 DSGVO ist eine Verarbeitung nur zulässig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:

  • Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt.
  • Die Verarbeitung ist notwendig für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, oder um auf Verlangen der betroffenen Person vor Abschluss eines Vertrages Massnahmen zu ergreifen.
  • Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt.
  • Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung der dem Verantwortlichen übertragenen hoheitlichen Befugnisse durchgeführt wird.
  • Die Verarbeitung ist für die Zwecke der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, aufgehoben, insbesondere wenn die betroffene Person ein Kind ist.

 

Strenge Regeln gelten, wenn Zustimmung als rechtmässige Grundlage für die Verarbeitung verwendet wird:

  • Der Verantwortliche muss nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
  • Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist der Antrag auf Einwilligung in klarer, verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache zu stellen.
  • Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss so einfach wie die Einwilligung sein.
  • Die Einwilligung muss ausdrücklich für die erhobenen Daten und die Verwendung der Daten erfolgen.
  • Die Einwilligung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt und nachprüfbar sein.
  • Die Verantwortlichen müssen in der Lage sein, ihre "Einwilligung" nachzuweisen (Opt-in).

 

Auf absehbare Zeit ist es unwahrscheinlich, dass die Unternehmen über die notwendigen Genehmigungen verfügen, um Daten für Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Darüber hinaus ist eine Einwilligung nicht möglich, wenn der Betroffene nicht vollständig über den Zweck der Übermittlung informiert werden kann, z.B. bei internen Untersuchungen. Folglich müssen sich die Unternehmen auf eine der anderen Grundlagen für die rechtmässige Verarbeitung der Daten wie oben beschrieben verlassen.

 

Darüber hinaus hat die EU bei der Ausarbeitung der DSGVO spezielle Bestimmungen hinzugefügt, die deutlich machen, dass Unternehmen bei Rechtsstreitigkeiten in den Vereinigten Staaten und anderswo den Datenschutz in der EU respektieren müssen. Nach Artikel 48 kann "jede Entscheidung eines Gerichts und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, die die Übermittlung oder Offenlegung personenbezogener Daten verlangt, nur dann anerkannt oder vollstreckbar sein, wenn sie auf einem internationalen Abkommen, wie z.B. einem Rechtshilfeabkommen, beruht.....".

 

Da die meisten Mitgliedsstaaten keine Rechtshilfeabkommen mit den Vereinigten Staaten haben und selbst die bestehenden Abkommen oft nicht die vorprozessuale Beweisführung in den USA abdecken, stellt diese Bestimmung ein Hindernis für die Beweissammlung in den Vereinigten Staaten und anderswo dar.

 

Gründe für die Übermittlung personenbezogener Daten ausserhalb der EU

Unter der Annahme, dass ein Unternehmen über eine legitime Grundlage für die Verarbeitung der relevanten personenbezogenen Daten verfügt, scheinen die Artikel 46 und 49 DSGVO die nützlichsten Mechanismen zu bieten, die es Unternehmen ermöglichen, Daten zur Überprüfung von Dokumenten oder zur Unterstützung bei Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Datenübermittlungen auf der Grundlage einer Einwilligung sind zwar möglich, sie werden jedoch in Rechtsstreitigkeiten kaum hilfreich sein, da die Einwilligung der betroffenen Person und nicht des Unternehmens, das die Daten erhoben hat, eingeholt werden muss.

 

Die Standardvertragsklauseln der EU (Artikel 46 Absatz 3 Buchstabe a) eignen sich besonders gut für Datenübertragungen im Zusammenhang mit der Überprüfung von Dokumenten, bei denen eine Vielzahl von Anbietern, wie z. B. ein eDiscovery-Anbieter, ein Anbieter von Dokumentenprüfungen, Vertragsanwälte oder Anwaltskanzleien, Zugang zu den Daten benötigen. Wie oben erwähnt, dürfen Standardvertragsklauseln jedoch nur verwendet werden, wenn die Daten aus Gründen übermittelt werden, die nach der DSGVO als legitim angesehen werden. Auch die derzeit gültigen Standardvertragsklauseln erfüllen nicht alle Anforderungen der DSGVO für den Transfer zwischen Verantwortlichen und Verarbeitern, wie im Folgenden ausführlich erläutert. Bestehende Standardvertragsklauseln müssen daher ggf. an die DSGVO angepasst werden.

 

Im Gegensatz zu ihrem Vorgänger (der Richtlinie) legt die DSGVO zahlreiche Pflichten des Verbeiters fest, die in einem Vertrag mit dem Verantwortlichen oder in einem "anderen Rechtsakt nach dem Unionsrecht oder dem Recht der Mitgliedstaaten" (Artikel 28) festgelegt werden müssen. Die DSGVO ermächtigt die Europäische Kommission und die Aufsichtsbehörden (d.h. die Datenschutzbehörden der EU-Mitgliedstaaten), Standardvertragsklauseln zur Erfüllung dieser Anforderungen festzulegen. Soweit uns bekannt ist, hat bisher keiner von ihnen einen Entwurf für geänderte Standardvertragsklauseln vorgelegt.

 

Ein weiteres Mittel der Datenübermittlung ist die Begründung, Ausübung oder Abwehr von Rechtsansprüchen nach § 49 Abs. 1 Buchst. e DSGVO. Diese Bestimmung kann die beste Rechtfertigung für Datenübertragungen im Zusammenhang mit Rechtsstreitigkeiten, einschliesslich der vorgerichtlichen Beweisführung, bieten. Während diese Ausnahme nach der Richtlinie durch Rechtsvorschriften in einigen EU-Ländern begrenzt wurde, werden diese Ausnahmen nach der DSGVO begrenzter sein.

 

Artikel 49 Absatz 1 Buchstabe d DSGVO ermöglicht die Übermittlung von Daten aus wichtigen Gründen des öffentlichen Interesses. Dieser Ansatz unterstützt zwar nicht die Datenübermittlung im Zusammenhang mit zivilgerichtlichen Verfahren, kann aber für Strafverfolgungsersuchen und behördliche Ermittlungen gelten. Nach Artikel 49 Absatz 4 muss der "wichtige Grund" jedoch entweder von der EU oder von den Mitgliedstaaten anerkannt werden. Daher kann sich die Datenübermittlung im Rahmen dieser Bestimmung auf Situationen beschränken, die sowohl im öffentlichen Interesse der EU als auch der USA liegen, wie etwa die Bekämpfung der Geldwäsche oder der öffentlichen Gesundheit.

 

Wenn die oben genannten Möglichkeiten zur Übermittlung von Beweissicherungsdaten nicht zur Verfügung stehen, ermöglicht Artikel 49 Absatz 1 Nummer 2 eine begrenzte Übertragung einzelner Daten für zwingende berechtigte Interessen der übermittelnden Partei, wenn folgende Kriterien erfüllt sind:

 

  • Die Übertragung ist nicht wiederholend und betrifft nur eine begrenzte Anzahl von betroffenen Personen.
  • Die Übermittlung ist notwendig für zwingende, berechtigte Interessen der übermittelnden Stelle, die nicht durch die Interessen oder Rechte und Freiheiten der betroffenen Person ausser Kraft gesetzt werden.
  • Die übermittelnde Stelle hat alle Umstände der Datenübermittlung geprüft und geeignete Sicherheitsvorkehrungen getroffen.
  • Die zuständige Datenschutzbehörde wurde über die Übermittlung informiert.
  • Die betroffenen Personen wurden über die beabsichtigte Datenübermittlung informiert.

 

Unabhängig davon, auf welches Übermittlungsverfahren sich ein Unternehmen stützt, sollte die übermittelte Datenmenge das Minimum sein, um den Zweck zu erreichen, für den die Daten übermittelt werden, und es müssen weiterhin geeignete technische und organisatorische Verfahren zum Schutz der relevanten Daten eingerichtet werden. Die Antworten auf einen Beweisantrag oder eine Vorladung müssen so eingegrenzt werden, dass sie sich nur auf die Informationen und Treuhänder konzentrieren, die für das betreffende Thema unmittelbar relevant sind.

 

Überlegungen zur Auswahl eines Anbieters von Prozessunterstützungsdienstleistungen

Die DSGVO erlegt den Verarbeitern neben den Pflichten der Verantwortlichen auch unmittelbar gesetzliche Compliance-Verpflichtungen auf. Der Verarbeiter ist ausserdem verpflichtet, personenbezogene Daten gemäss den Anweisungen des Verantwortlichen zu verarbeiten. Infolgedessen werden Verantwortliche Verarbeiter benötigen, die viele der für den Verantwortlichen geltenden Anforderungen erfüllen müssen.

 

Darüber hinaus dürfen die Verantwortlichen nur solche Verarbeiter benennen, die ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Massnahmen bieten, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Daher müssen viele Verantwortliche ihre bestehenden Vereinbarungen mit den Verarbeitern neu verhandeln, um diese Vereinbarungen mit der DSGVO in Einklang zu bringen.

 

Die Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter muss schriftlich erfolgen und umfasst die Dauer, Art und Zweck der Verarbeitung, die Art der verarbeiteten Daten sowie die Pflichten und Rechte des Verantwortlichen. Gemäss Artikel 28 Absatz 1 DSGVO muss der Verarbeiter im Rahmen der schriftlichen Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter Folgendes vereinbaren:

 

  • Nur nach den dokumentierten Anweisungen des Verantwortlichen handeln;
  • Verpflichtung aller Mitarbeitenden, die die relevanten Daten verarbeiten, zur Vertraulichkeit;
  • Gewährleistung der Sicherheit der von ihm verarbeiteten personenbezogenen Daten;
  • Beachtung der Anforderungen der DSGVO bezüglich der Bestellung von Unterverarbeitern;
  • Durchführung von Massnahmen zur Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten und der Rechte der betroffenen Personen;
  • Unterstützung des Verantwortlichen bei der Einholung von Genehmigungen durch die Datenschutzbehörden, falls erforderlich;
  • Nach Wahl des Verantwortlichen die personenbezogenen Daten am Ende der Beziehung zurückzugeben oder zu vernichten; und
  • Dem Verantwortlichen alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der DSGVO nachzuweisen.

 

Bei der Auswahl eines Dienstleisters zur Prozessunterstützung, der mit dem Umgang mit EU-geschützten personenbezogenen Daten beauftragt ist, sollten Unternehmen die folgenden Überlegungen berücksichtigen:

 

Datenschutz durch Technikgestaltung (Data Protection by Design)

Nach Artikel 25 DSGVO ist der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen einzubeziehen. Ein Datenverarbeiter muss geeignete technische und organisatorische Massnahmen ergreifen, die darauf ausgerichtet sind, die Datenschutzgrundsätze der DSGVO über den gesamten Verarbeitungszyklus hinweg umzusetzen. Dies setzt voraus, dass die Privatsphäre-Einstellungen standardmässig auf einem hohen Niveau eingestellt sind. Unter anderem sollte der Verarbeiter Massnahmen ergreifen, um sicherzustellen, dass standardmässig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind, und dass personenbezogene Daten nur dann verarbeitet werden, wenn dies für den jeweiligen Zweck erforderlich ist.

 

Sicherheit

Verarbeiter wie auch Verantwortliche sind verpflichtet, angemessene Sicherheits- und Organisationsmassnahmen zum Schutz personenbezogener Daten zu ergreifen. Welche Massnahmen als angemessen erachtet werden, hängt von einer Vielzahl von Faktoren ab, darunter die Art und Sensibilität der Daten, die Risiken für Personen, die mit einem Sicherheitsverstoss verbunden sind, die Kosten der Implementierung und die Art der Verarbeitung. Diese Massnahmen können bei der Arbeit mit anonymisierten oder redigierten Daten etwas lockerer sein. Gegebenenfalls ist auch eine regelmässige Überprüfung der Wirksamkeit von Sicherheitsmassnahmen erforderlich.

 

Datenschutzbeauftragter

Sowohl die Verantwortlichen als auch Verarbeiter sind verpflichtet, in bestimmten Situationen Datenschutzbeauftragte (DSB) zu benennen, auch dann, wenn die Datenverarbeitung eine regelmässige Überwachung der betroffenen Personen in grossem Umfang erfordert oder wenn die Kernaktivitäten der Verarbeitung grosse Mengen sensibler Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten umfassen. Die Hauptaufgabe des DSB besteht darin, den Verarbeiter bei der Einhaltung der DSGVO zu unterstützen. Der DSB sollte auf der Grundlage der Kenntnis der Datenschutzgesetze und -praktiken benannt werden. Der DSB muss über eine gewisse Unabhängigkeit verfügen und ist die Anlaufstelle für alle betroffenen Personen und die Aufsichtsbehörde.

 

Einschränkung der Unterverarbeitung

Damit ein Verarbeiter im Rahmen der DSGVO einen Unterauftrag erteilen kann, muss er die vorherige schriftliche Zustimmung des Verantwortlichen einholen. Während die DSGVO den Verantwortlichen ein hohes Mass an Kontrolle in Bezug auf die Fähigkeit des Verarbeiters, Unteraufträge zu vergeben, gibt, muss der Verarbeiter den Verantwortlichen über neue Unterprozessoren informieren und ihm Zeit zum Einspruch geben. Der Hauptdatenverarbeiter ist auch verpflichtet, die gleichen Vertragsbedingungen, die er mit dem Verantwortlichen hat, in jedem Untervertrag mit einem Unterauftragsverarbeiter zu reflektieren und bleibt dem Verantwortlichen gegenüber für die Handlungen oder Unterlassungen eines Unterauftragsverarbeiters haftbar.

 

Nachweis der Compliance

Der Verarbeiter muss die Einhaltung der DSGVO nachweisen können. Verarbeiter sind verpflichtet, über alle Arten von Verarbeitungstätigkeiten Buch zu führen. Dazu gehören Angaben über die Verantwortlichen und Unterauftragsverarbeiter von personenbezogenen Daten, DSBs, die Art der Verarbeitung, Angaben über etwaige Übermittlungen in Drittländer sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen. Diese Aufzeichnungen sind der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

 

Übermittlung in Drittländer

Jede Übermittlung personenbezogener Daten, die zur Verarbeitung nach der Übermittlung in ein Drittland bestimmt sind, unterliegt besonderen Beschränkungen in Kapitel V der DSGVO. Ein Verantwortlicher oder Verarbeiter darf personenbezogene Daten nur dann in ein Drittland übermitteln, wenn der Verantwortliche oder Verarbeiter angemessene Garantien gegeben hat und wenn nach der Übermittlung durchsetzbare Rechte und wirksame Rechtsmittel für die betroffenen Personen zur Verfügung stehen. Dies ist ein Bereich, der in Verträgen zwischen Verantwortlichen und Verarbeitern geklärt werden sollte. Geeignete Schutzvorkehrungen können auf verschiedene Weise getroffen werden, unter anderem in Form von verbindlichen Unternehmensregeln oder Standardvertragsklauseln.

 

Verletzungen des Schutzes personenbezogener Daten

Nach der DSGVO ist der Verantwortliche verpflichtet, die Aufsichtsbehörde unverzüglich zu informieren. Die Meldung eines Datenverstosses unterliegt keinem De-minimis-Standard und muss der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Datenverstosses gemeldet werden (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn eine nachteilige Auswirkung festgestellt wird (Artikel 34).

 

Schlussfolgerungen

Die DSGVO belastet und birgt erhebliche Risiken für Unternehmen, die in den USA und anderen Ländern ausserhalb der EU in Rechtsstreitigkeiten und Ermittlungen verwickelt sind. Die Beschränkungen der DSGVO in Bezug auf die Verwendung personenbezogener Daten und die Übermittlung personenbezogener Daten ausserhalb der EU sind sorgfältig zu beachten, um sicherzustellen, dass solche Verwendungen und Übertragungen sowohl zulässig als auch von minimalem Umfang sind. Es ist zusätzlich darauf zu achten, dass Drittanbieter, die zur Unterstützung bei Rechtsstreitigkeiten oder zur Überprüfung von Dokumenten ausserhalb der EU eingesetzt werden, die Verpflichtungen von Verarbeitern und Unterauftragnehmern nach der DSGVO einhalten.

 

Lawtechnologytoday.org; David M. Klein; 01./08.06.2018

http://www.lawtechnologytoday.org/2018/06/the-impact-of-the-gdpr-on-litigation-support-services-part-ii/

 

2020 ist jetzt das vermutliche Umsetzungsjahr

Die grosse Kammer hat als Erstrat die Totalrevision des Datenschutzgesetzes und weiterer verwandter Erlasse an die Hand genommen und einen Grundsatzentscheid gefällt: Sie möchte die Vorlage teilen und zuerst die Anpassungen ans europäische Recht vornehmen.

 

Konkret geht es um die zu den Schengen-Verträgen gehörende EU-Richtlinie 2016/680, die innerhalb einer vorgegebenen Frist umgesetzt werden muss. Die Anpassung bildet die Voraussetzung dafür, dass die Europäische Kommission die Schweiz weiterhin als Drittstaat mit einem "angemessenen Datenschutzniveau" anerkennt.

 

Somit bliebe die grenzüberschreitende Datenübermittlung weiterhin möglich. Dies ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung. Inhaltlich handelt es sich um den Schutz von Personendaten im Strafrecht.

 

Eine Aufteilung der Vorlage bringe viele Vorteile mit sich, sagte Kommissionssprecher Matthias Jauslin (FDP/AG). Mit diesem Vorgehen könne die Totalrevision des Datenschutzgesetzes ohne Zeitdruck angegangen werden. Nur so werde das Parlament der grossen Komplexität der Thematik gerecht.

 

Die Datenschutzorganisation Swiss Data Alliance und die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) stützten im Vorfeld der Nationalratsdebatte dieses Vorgehen. Zuerst solle nur ein Gesetz für die öffentliche Hand geschaffen werden, bevor jenes für Privatpersonen angepasst werde.

 

Eine linke Minderheit um den Aargauer SP-Nationalrat Cédric Wermuth lehnte die Etappierung der Vorlage ab und wollte diese ursprünglich an die Kommission zurückweisen. Sie war der Ansicht, dass zwei kurz aufeinander folgende Revisionen des Datenschutzgesetzes für die betroffenen Akteure zu Mehraufwand und Rechtsunsicherheiten führen würden.

 

Den Rückweisungsantrag zog die Minderheit schliesslich zurück, weil dies das Gesetzgebungsverfahren zusätzlich verzögern würde. Wermuth setzte seine Hoffnung derweil in den Ständerat. Er erwarte, dass die kleine Kammer die Doppelspurigkeiten eliminiere und den Entwurf des Datenschutzgesetzes integral beraten wolle.

 

Nach der Grundsatzdebatte ging es im Nationalrat ruhiger zu. Die Anpassungen betreffend die Schengener Zusammenarbeit im Strafrechtsbereich waren weitgehend unbestritten. Dies schlug sich auch in der Gesamtabstimmung nieder: Die grosse Kammer nahm die Vorlage schliesslich mit 174 zu 5 Stimmen bei 2 Enthaltungen an.

 

Das dürfte bei der zweiten Etappe anders aussehen. "Viele Fragen sind noch offen", sagte Kommissionssprecher Jauslin. Diese würden derzeit in den vorberatenden Kommissionen der Räte diskutiert.

 

Das Ziel sei, die gesamte Revision bis Ende 2019 zu verabschieden. "Es geht um Ihre Daten, das betrifft uns alle", sagte Jauslin, während er mit der 241 Seiten dicken Gesetzesfahne hantierte.

 

Der Bundesrat will das Datenschutzgesetz den technologischen und gesellschaftlichen Entwicklungen anpassen. Das heutige Datenschutzgesetz stammt aus dem Jahr 1993, als das Internet noch in den Kinderschuhen steckte.

 

Die Bürgerinnen und Bürger in der Schweiz sollen mit der Totalrevision einen besseren Schutz ihrer Daten erhalten: Unternehmen, die Daten erheben, sollen die betroffenen Personen künftig über die Erhebung informieren müssen.

 

Zudem soll der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) gestärkt und unabhängiger werden. Derzeit kann er gegenüber Unternehmen lediglich Empfehlungen abgeben. Neu soll er von Amtes wegen oder auf Anzeige hin eine Untersuchung eröffnen können. Bei Bedarf soll er auch vorsorgliche Massnahmen veranlassen und bei Abschluss der Untersuchung eine Verfügung erlassen können. Für Sanktionen wären jedoch weiterhin die Gerichte zuständig. Der Höchstbetrag der Bussen soll künftig bei 250'000 Franken liegen.

 

Justizministerin Simonetta Sommaruga zeigte sich bei der Vorstellung des Entwurfs im Nationalrat überzeugt, dass mit dem neuen Gesetz die Daten der Bürgerinnen und Bürger besser geschützt und die Kontrollmöglichkeiten über die Daten verbessert werden.

 

Die vom Nationalrat vorgeschlagene Etappierung der Vorlage kommentierte Sommaruga nicht ausführlich. Sie bezweifle aber, dass dadurch die Arbeit des Parlaments vereinfacht werde. "Ich weiss nicht, ob Sie sich damit wirklich einen Dienst erweisen." Das Geschäft geht nun an den Ständerat, der sich in der Herbstsession damit befassen wird.

 

Sda.ch; 12. Juni 2018

https://www.parlament.ch/de/services/news/Seiten/2018/20180612110836523194158159041_bsd096.aspx

 

Eine Handreichung des Landesbeauftragten für Datenschutz Brandenburg

Was sind Informationspflichten und wann muss ich ihnen nachkommen?

 

Die Informationspflichten nach Art. 13 und Art. 14 DS-GVO verpflichten Sie als Verantwortlichen dazu, den betroffenen Personen, also beispielsweise Ihren Kunden/Patienten etc., Informationen über die sie betreffende Verarbeitung ihrer personenbezogenen Daten zu geben. Nur wenn die betroffene Person weiss, dass ihre personenbezogenen Daten bei Ihnen verarbeitet werden, hat sie die Möglichkeit, ihre Rechte, insbesondere ihr Auskunftsrecht nach Art. 15 DS-GVO, Ihnen gegenüber geltend zu machen.

 

Es gibt zwei Wege, wie Sie als Verantwortlicher Daten von betroffenen Personen erhalten können. Zum einen gibt es die Direkterhebung der personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DS-GVO). Zum anderen können die personenbezogenen Daten der betroffenen Person bei einem Dritten erhoben werden (Art. 14 DS-GVO). Dies nennt man Dritterhebung.

 

In beiden Fällen müssen Sie der betroffenen Person sämtliche in Art. 13 Abs. 1 DS-GVO bzw. 14 Abs. 1 DS-GVO aufgelisteten Informationen mitteilen. Davon sind unter anderem Ihr Name und Ihre Kontaktdaten als Verantwortlicher, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke und Rechtsgrundlage(n) für die Verarbeitung umfasst. Darüber hinaus müssen Sie die in Art. 13 Abs. 2 DS-GVO bzw. 14 Abs. 2 DS-GVO genannten Informationen zur Verfügung stellen, damit eine faire und transparente Verarbeitung der Daten gewährleistet wird. Dabei handelt es sich unter anderem um die Speicherdauer der personenbezogenen Daten und den Hinweis an die betroffene Person, dass sie ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs,- Widerspruchs,- und Datenübertragbarkeitsrecht gegenüber dem Verantwortlichen, also Ihnen, hat. Bei der Direkterhebung (Art. 13 DS-GVO) müssen Sie der betroffenen Person die gesetzlichen Informationen zum Zeitpunkt der Erhebung der Daten mitteilen bzw. zur Verfügung stellen. Wie dies in der Praxis ausgestaltet werden kann, siehe unten Nr. 2).

 

Bei der Dritterhebung (Art. 14 DS-GVO) werden die Daten der betroffenen Person ohne deren Kenntnis bei einem Dritten erhoben. Es ist daher nicht möglich, die betroffene Person in diesem Moment zu informieren. Daher sind Sie als Verantwortlicher verpflichtet, der betroffenen Person spätestens innerhalb eines Monats nach Erhebung der Daten beim Dritten die in Art. 14 Abs. 1 und 2 DS-GVO geforderten Informationen mitzuteilen bzw. zur Verfügung zu stellen. Falls die Daten zur Kommunikation mit der betroffenen Person selbst verwendet werden oder falls eine Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erteilt werden.

 

Ausnahmen von den Informationspflichten sind gegebenenfalls unter Berücksichtigung anderer anwendbarer Gesetze möglich.

 

2) Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?

Die DS-GVO schreibt keine bestimmte Form für die Informationspflichten vor. Die Informationen sind der betroffenen Person gemäss Art. 12 Abs. 1 DS-GVO in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, zu übermitteln. Falls es von der betroffenen Person verlangt wird, können die Informationen auch mündlich erteilt werden.

 

Unabhängig von der Form müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

 

Grundsätzlich sollten die Informationen, wenn möglich, mit dem gleichen Medium übermittelt werden, mit dem die Kommunikation mit der betroffenen Person geführt wird. In der Offline-Kommunikation, also per Brief, Fax, Telefonat oder bei persönlicher Anwesenheit des Kunden/ Patienten etc., würde das allerdings dazu führen, dass mehrseitige Informationsblätter mitgeschickt bzw. ausgehändigt werden oder die betroffene Person (beim Telefonat) auf Verlangen ausführlich mündlich informiert werden muss. In diesem Zusammenhang sei auf das Working Paper 260 der Art.-29-Gruppe hingewiesen, dass eine Vereinfachung für die Praxis vorschlägt. Danach ist es denkbar, dass die Informationserteilung abgeschichtet und mittels verschiedener Medien erfolgen kann.

 

Dieser „Medienbruch“ kann so ausgestaltet werden, dass die erste „Informationsschicht“ mit den wichtigsten Informationen mittels Brief/Fax, Telefonat oder in Anwesenheit der betroffenen Person mitgeteilt wird.

 

In der ersten „Informationsschicht“ sollten daher die (detaillierten) Zwecke der Verarbeitung, die Identität des Verantwortlichen, eine Beschreibung der Rechte der betroffenen Person und die Verarbeitung, die sich am stärksten auf die betroffene Person auswirkt sowie die Verarbeitung, die überraschend sein könnte, genannt werden. Ausserdem sollte die betroffene Person der ersten „Informationsschicht“ entnehmen können, welche Folgen die Verarbeitung für sie hat. Auch durch dieses gestaffelte Verfahren erfüllen Sie als Verantwortlicher Ihre Informationspflicht.

 

Ob Sie als Verantwortlicher von der Abschichtung der Informationspflichten Gebrauch machen möchten oder ob Sie die Informationen gebündelt mittels eines einzigen Mediums übermitteln, liegt in Ihrem Ermessen. Ein alleiniger Hinweis nur auf Ihre Webseite, ohne dass Sie zumindest die wichtigsten Informationen vorab mittels des gewählten Kommunikationsmediums mitteilen, genügt in der Offline-Kommunikation allerdings nicht.

 

Praxisbeispiele

 

Bei der Kommunikation per Brief oder Fax können die weitergehenden Informationen (zweite „Informationsschicht“) dann z.B. durch Abrufen eines Links und/oder Scannen eines QRCodes, die auf eine Webseite mit den vollständigen Informationen nach Art. 13 und 14 DSGVO führen, übermittelt werden. Der Link und/oder QR-Code können auf den Brief/das Fax gedruckt werden oder per E-Mail nachgeschickt werden.

 

Bei einem Telefonat (z.B. einem Verkaufs-, Beratungsgespräch) können der betroffenen Person die weitergehenden Informationen im Anschluss an das Telefonat zugesendet werden. Dies kann per Brief/Fax oder E-Mail geschehen, die jeweils einen Link und/oder QR-Code mit Weiterleitung auf die entsprechende Webseite mit den vollständigen Informationen enthalten.

 

In Anwesenheit der betroffenen Person (z.B. bei einem Beratungsgespräch oder einem Arztbesuch) können Sie Ihre Informationspflichten dadurch erfüllen, dass Sie oder Ihre Mitarbeiter die Kunden/Patienten etc. zwingend aktiv auf einen ausliegenden Flyer hinweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für die weitergehenden Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Wir empfehlen, dass es einen eigenen Flyer allein für die Kurzfassung der Informationen gibt, damit diese für die betroffene Person leicht auffindbar sind. Als Standort bietet sich der Empfangstresen an, den die betroffene Person passieren muss und an dem sie von Ihnen oder Ihren Mitarbeitern angesprochen werden kann.

 

Zusätzlich zum Flyer ist es erforderlich, dass es dem Patienten/Kunden in Ihrer Praxis/in Ihren Räumen als Dienstleister ausserdem möglich ist, die vollständigen Informationen ohne Internetzugang abzurufen. Wie dies konkret ausgestaltet wird, ist Ihnen überlassen. Denkbar wären beispielsweise ein Aushang mit den vollständigen Informationen oder ausliegende Informationsblätter.

 

Sollte sich der erste Kontakt per Telefon oder persönlicher Vorsprache darauf beschränken, dass die betroffene Person lediglich einen Termin vereinbaren möchte, so müssen die Informationen nach Art. 13 und 14 DS-GVO zu diesem Zeitpunkt noch nicht mitgeteilt bzw. zur Verfügung gestellt werden. Es genügt, wenn Sie den Kunden, Patienten etc. entsprechend informieren, wenn er zum Termin erscheint.

 

In der Online-Kommunikation, also beispielsweise per E-Mail, können die Informationspflichten dadurch erfüllt werden, dass Sie in der E-Mail einen gut sichtbaren Link setzen, der auf Ihre Webseite verweist, auf der Sie die vollständigen, nach Art. 13 und 14 DS-GVO notwendigen Informationen, wie die personenbezogenen Daten der betroffenen Person im Rahmen Ihrer konkreten Tätigkeit (Beratung, Arztbesuch etc.) verarbeitet werden, darstellen.

 

Falls die Kontaktaufnahme mit Ihren Kunden/Patienten etc. dadurch entsteht, dass diese eine Online-Maske ausfüllen, so muss auch hier ein gut auffindbarer Link gesetzt werden, der zu einer Seite mit den vollständigen Informationen über die betreffende Verarbeitung führt. Auch hier gilt aber, dass bei einer ausschliesslichen Kommunikation zur Terminvereinbarung die Informationspflichten zu diesem Zeitpunkt noch nicht erfüllt werden müssen.

 

3) Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?

Ja, Sie als Verantwortlicher müssen nachweisen, dass Sie die Informationspflichten eingehalten haben, Art. 5 Abs. 1 lit. a, Abs. 2 DS-GVO. Am sichersten wäre es, sich den Erhalt der Informationen von der betroffenen Person per Unterschrift bestätigen zu lassen. Allerdings kann dies in der Praxis sehr umständlich sein. Sie als Verantwortlicher können die konkrete Ausgestaltung der Nachweise selbst festlegen. Wir empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren bzw. zu verakten, um sich vor Auseinandersetzungen zu schützen. Mögliche Varianten sind unten aufgelistet.

 

Praxisbeispiele

 

In der schriftlichen Kommunikation (E-Mail, Fax, Brief) ist der Nachweis der Informationspflichten durch den Sendebericht oder eine Kopie des Ausgangsschreibens möglich.

 

In der mündlichen Kommunikation per Telefon kann per Telefonvermerk oder Eintrag im elektronischen System zu der betroffenen Person nachgewiesen werden, dass die wichtigsten Informationen übermittelt und auf die Webseite mit den vollständigen Informationen hingewiesen wurde. Hierbei geht es nicht um die telefonische Terminvergabe, siehe oben.

 

In Anwesenheit der betroffenen Person kann ebenfalls durch Eintrag nachgewiesen werden, dass die betroffene Person aktiv aufgefordert worden ist, sich den Flyer zu nehmen und dass dieser die Möglichkeit gegeben wurde, die vollständigen, auch in der Praxis/den Räumen des Verantwortlichen als Dienstleister ausliegenden Informationen zur Kenntnis zu nehmen bzw. dass auf die Webseite hingewiesen wurde. Ob der Eintrag elektronisch durch Setzen eines Hakens im Verwaltungssystem oder durch Stempel in der Papierakte, beispielsweise Patientenakte, vollzogen wird, entscheiden Sie. Die Informations- und damit die Nachweispflicht entsteht nicht, wenn die betroffene Person lediglich vorbeikommt, um persönlich einen Termin zu vereinbaren, siehe oben.

 

Durch standardisiert ablaufende Prozesse oder eine allgemeine Übung in Ihrem Unternehmen wird die Erfüllung der neuen Informations- und Dokumentationspflichten für Sie und Ihre Mitarbeiter allmählich zur Routine werden. Durch immer gleich ablaufende Arbeitsschritte im ersten Kontakt mit Ihrem Kunden/Patienten minimieren Sie das Risiko, diese Pflichten zu vergessen und damit einen Verstoss gegen die DS-GVO zu begehen. Auch Schulungen bzw. regelmässige Kontrollen Ihrer Mitarbeiter tragen dazu bei, ein höheres Bewusstsein für die Bedeutung der Informations- und Dokumentationspflichten zu schaffen.

 

4) Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?

Eine gemeinsame Verantwortlichkeit zweier oder mehrerer Verantwortlicher liegt vor, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies unterscheidet sie von der Auftragsverarbeitung nach Art. 28 DS-GVO. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Hierbei muss auch geregelt werden, wer welchen Informationspflichten aus Art. 13 und 14 DS-GVO nachkommt. Dies zu bestimmen bleibt den gemeinsam Verantwortlichen selbst überlassen. Insofern können Sie als Verantwortlicher sich mit Ihrem/Ihren ebenfalls verantwortlichen Partner(n) absprechen. Bitte beachten Sie, dass das Wesentliche dieser Vereinbarung der betroffenen Person zur Verfügung gestellt werden muss.

 

Lda.brandenburg.de; 18.06.2018

https://www.lda.brandenburg.de/media_fast/4055/Infoblatt_Informationspflichten.pdf

 

Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG

 

Autoren: Kai-Uwe Plath, Thomas Becker, Patrick von Braunmühl, Axel Freiherr von dem Bussche, Jan-Michael Grages, Nils Hullen, Valerian Jenny, Wulf Kamlah, Niclas Krohm, Michael Kuhnke, Jan Dirk Roggenkamp, Lutz Schreiber, Katrin Stamer, Jörn Wittmann

ISBN-10: 3504560754

Ihr Leitfaden für die sichere Umsetzung der EU-Datenschutz-Grundverordnung.

 

Autoren: Christian Solmecke, Sibel Kocatepe

ISBN-10: 3836265532

Datenschutzrecht wird der EU-Datenschutzgrundverordnung angepasst

Die Regierung hat an ihrer Sitzung vom 8. Mai den Bericht und Antrag betreffend die Totalrevision des Datenschutzgesetzes zuhanden des Landtags verabschiedet. Ziel der Gesetzesvorlage ist es, das liechtensteinische Datenschutzrecht an die neue europäische Datenschutzgrundverordnung anzupassen.

 

Die europäische Datenschutzgrundverordnung wird in der EU am 25. Mai 2018 verpflichtend anwendbar. Die EU hat diese mit der Intention erarbeitet, sichere Rahmenbedingungen für das digitale Zeitalter zu schaffen. Durch die EWR-Mitgliedschaft ist die Verordnung auch in Liechtenstein anzuwenden. Ab voraussichtlich Juli 2018 – nach deren Übernahme in das EWR-Abkommen – wird die Datenschutzgrundverordnung auch für Liechtenstein unmittelbar gelten.

 

"Für Liechtenstein als starken Wirtschaftsstandort und Teil des Binnenmarkts sind zeitgemässe Datenschutzbestimmungen von hoher Bedeutung", so Justizministerin Aurelia Frick. "Durch den neuen Rechtsrahmen erhalten einerseits die Bürgerinnen und Bürger eine bessere Kontrolle über ihre Daten, andererseits profitieren Unternehmen von der Wettbewerbsgleichheit in Europa." Um den spezifischen Gegebenheiten des Landes zu entsprechen, wird die Europäische Datenschutzgrundverordnung in Liechtenstein mit nationalen Regeln ergänzt. "Die Regierung hat bei der Revision des Datenschutzgesetzes den ihr zur Verfügung stehenden Spielraum bestmöglich genutzt, um die Anliegen unseres Wirtschaftsstandorts optimal umzusetzen", sagt Aurelia Frick. Zudem seien spezifisch liechtensteinische Bedürfnisse in die Gesetzesvorlage mit eingeflossen – wie zum Beispiel der Wunsch, die Ahnenforschung weiterführen zu können.

 

Der neue nationale Datenschutz-Rechtsrahmen wird voraussichtlich Ende 2018 in Kraft treten. Das bedeutet, dass zwischen der Übernahme der Datenschutzgrundverordnung in den EWR im Juli und dem Inkrafttreten der neuen nationalen Datenschutzregeln einige Monate liegen werden. Um entsprechende Probleme und "Lücken" in der Übergangszeit zu vermeiden, soll das aktuell geltende Datenschutzgesetz schnellstmöglich mit einzelnen Bestimmungen ergänzt werden. Dabei geht es vor allem um die Kompetenzen der Datenschutzstelle in Bezug auf die Datenschutzgrundverordnung. So wird zum Beispiel die gesetzliche Grundlage geschaffen, damit die Datenschutzstelle ab Übernahme der Verordnung in das EWR-Abkommen am Europäischen Datenschutzausschuss teilnehmen und als federführende Aufsichtsbehörde tätig sein kann.

 

Aufgrund der Übernahme der Datenschutzgrundverordnung wird nicht nur das Datenschutzgesetz einer Totalrevision unterzogen; der neue Rechtsrahmen erfordert auch die Anpassung von rund 120 Spezialgesetzen.

 

Presseportal.ch; ots/ikr; 08.05.2018

https://www.presseportal.ch/de/pm/100000148/100815360

 

DS-GVO in der Personalarbeit

 

Autor: Axel von Walter

ISBN-10: 3648111388

Unterschiede allüberall

Im Rahmen der sich entwickelnden ergänzenden Vorgaben zur Umsetzung der DSGVO bzw. der Ausnutzung der verschiedenen Öffnungsklauseln führen wir nachfolgend eine leicht redigierte Liste aus dem deutschen Bundesland Baden-Württemberg auf, die die für gewisse Verarbeitungsvorgänge im nicht-öffentlichen Bereich zwingend durch den Verantwortlichen (Controller) durchzuführenden Datenschutz-Folgenabschätzungen aufzeigt. Es zeigt sich bereits jetzt, dass selbst innerhalb eines Landes (Deutschland) sich diese Listen mehr oder weniger stark voneinander unterscheiden bzw. Nationen individuell diesbezüglich andere Anforderungen haben. Ebenso ist davon auszugehen, dass sich diese Vorgaben national weiterentwickeln und/oder ändern werden und es deshalb ratsam ist, sich der anzuwendenden nationalen und EU-weiten relevanten Gesetzgebung bewusst zu und diese entsprechend anzuwenden.

 

A Gesetzliche Grundlage

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU-Datenschutz-Grundverordnung – DS-GVO) regelt im Abschnitt 3 „Datenschutz-Folgenabschätzung und vorherige Konsultation“ des Kapitels IV „Verantwortlicher und Auftragverarbeiter“ die Rahmenbedingungen zur sog. Datenschutz-Folgenabschätzung (kurz: DSFA; im Englischen Data Protection Impact Assessment oder DPIA). Artikel 35 DS-GVO nennt dabei die Grundsätze, bei welchen Fällen eine DSFA durchzuführen ist und was diese enthält. Artikel 36 DS-GVO beschreibt das besondere Verfahren der Konsultation des Verantwortlichen bei der Aufsichtsbehörde bei Fortbestehen hoher Risiken auch nach Anwendung der auf Grundlage der DSFA festgelegten verhältnismäßigen technischen und organisatorischen Maßnahmen.

Grundlage dieses Dokuments ist Art. 35 Abs. 4 DS-GVO:

„Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.“

Die vorliegende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem nicht-öffentlichen Bereich, darunter auch solche, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedsstaaten verbunden sind. Sie unterliegt daher aufgrund von Art. 35 Abs. 6 DS-GVO dem Kohärenzverfahren gemäß Art. 63 DS-GVO.

Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO oder der vorliegenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DS-GVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DS-GVO offen.

Die in dem Dokument dargestellte Liste wird nachfolgend als „Muss-Liste“ bezeichnet – gängige Begriffe in anderen Ländern sind hierfür auch „Blacklist“ und „Positivliste“.

 

B Ziel dieses Dokuments

Ziel des Dokuments ist es, einen Entwurf für die Liste nach Art. 35 Abs. 4 DS-GVO zu entwickeln, der auch auf europäischer Ebene diskutiert und nach Art. 35 Abs. 6 DS-GVO im Kohärenzverfahren gemäß Art. 63 DS-GVO behandelt werden kann, sofern die Bedingungen hierzu erfüllt sind. Berücksichtigt werden bisherige Veröffentlichungen von anderen Aufsichtsbehörden und Fachgremien, insbesondere das Working Paper 248 rev.01 „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt““ der Art. 29 Datenschutzgruppe sowie die umfangreichen internen Kommentierungen im Rahmen der UAG DSFA.


Das Dokument hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen. Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Die DSK wird hierfür einen Prozess erarbeiten, wie Verarbeitungstätigkeiten für die Muss-Liste vorschlagen, beurteilt und aufgenommen werden. Änderungen an Einträgen der Muss-Liste werden dokumentiert, so dass die Muss-Liste eine entsprechende Versionshistorie erhalten wird.

 

Wichtiger Hinweis:

Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des  Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 Abs. 1 Satz 1 DS-GVO erfüllt. Zum Begriff des Risikos wird auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248 Rev. 01 17/DE angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017) der Art. 29 Datenschutzgruppe und das Kurzpapier Nr. 18 „Risiken für die Rechte und Freiheiten natürlicher Personen“ der DSK verwiesen.

 

C Liste nach Art. 35 Abs. 4 DS-GVO

Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen sind in der Leitlinie in WP 248 der Art. 29 Gruppe ab Seite 10 ff. wie folgt zu entnehmen:

  1. Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
  3. Systematische Überwachung (“Systematic monitoring”)
  4. Vertrauliche oder höchst persönliche Daten (“Sensitive data or data of a highly personal nature”)
  5. Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
  6. Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
  7. Daten zu schutzbedürftigen Betroffenen (“Data concerning vulnerable data subjects”)
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)

Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es jedoch auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.

Das Ergebnis der Vorabprüfung und die zugrunde gelegten Einschätzungen der im Zuge der Verarbeitungstätigkeit möglicherweise auftretenden Schäden sowie die resultierende Schwere und Eintrittswahrscheinlichkeit der Risiken sind zu dokumentieren.

 

Nachfolgend die NICHT abschliessende veröffentlichte Liste:

 

1 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt.

 

Typisches Einsatzfeld

Betrieb eines Insolvenzverzeichnisses

Beispiel: Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an

 

Typisches Einsatzfeld

Sozialleistungsträger

 

Typisches Einsatzfeld

Große Anwaltssozietät

 

2 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste

Beispiel: Ein Unternehmen bietet einen Car-Sharing-Dienst oder andere Mobilitätsdienstleistungen an und verarbeitet hierfür insbesondere umfangreich Positions- und Abrechnungsdaten

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren

Beispiel: Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren

 

Typisches Einsatzfeld

Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.

 

Beispiel: Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

 

Typische Einsatzfelder

Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes

 

3 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern: die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.

 

Typisches Einsatzfeld

Fraud-Prevention-Systeme

 

Beispiel: Zur Prävention von Betrugsfällen verarbeitet der Betreiber eines Online-Shops umfassende Datenmengen. Das Ergebnis der Prüfung ist ein Risikowert, der darüber entscheidet, ob einem Käufer der Rechnungskauf als Zahlungsart angeboten wird oder nicht.

 

Typische Einsatzfelder

Scoring durch Auskunfteien, Banken oder Versicherungen

 

Beispiel: Eine Auskunftei führt ein Scoring im Hinblick auf die Vertrauenswürdigkeit von Personen durch. Eine Bank führt Scoring durch, um das Ausfallrisiko der Rückzahlungen von Personen zu bestimmen. Eine Versicherung führt ein Scoring durch, um das Risiko einer Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten der Person zur Bestimmung der Höhe einer Versicherungspolice zu bestimmen.

 

4 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten entgegen Art. 48 DSGVO zu exportieren oder offenzulegen

 

Typisches Einsatzfeld

Einsatz von Dienstleistern mit Sitz außerhalb der EU durch pädagogische Einrichtungen

 

Beispiel: Datenverarbeitung von personenbezogenen Schülerdaten gemäß Art. 9 Abs.1 DS-GVO in einer öffentlichen Cloud (z. B. in einem digitalen Klassenbuch – Dokumentation von Fehlzeiten, Entschuldigungen oder anderen Dokumentationen).

 

Typisches Einsatzfeld

Einsatz von Dienstleistern mit Sitz außerhalb der EU durch medizinische Leistungserbringer

 

5 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Mobile und für die betroffenen Personen intransparente opto-elektronische Erfassung öffentlicher Bereiche

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Umgebungssensoren

 

Beispiel: Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren

  

6 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

 

Typisches Einsatzfeld

Betrieb von Bewertungsportalen

 

Beispiel: Ein Online-Portal bietet Nutzenden die Möglichkeit an, Leistungen von Selbstständigen öffentlich feingranular zu bewerten. Online-Bewertungsportal bspw. für Ärzte, Selbstständige oder Lehrer.

 

Typisches Einsatzfeld

Inkassodienstleistungen – Forderungsmanagement

 

Beispiel: Ein Unternehmen verarbeitet für seine Kundschaft in großem Umfang personenbezogene Daten von Schuldnern, insbesondere Vertragsdaten, Rechnungsdaten und Daten über Vermögensverhältnisse von Schuldnern zur Geltendmachung von Forderungen. Ggf. werden Daten an Auskunfteien übermittelt

 

Typisches Einsatzfeld

Inkassodienstleistungen – Factoring

 

Beispiel: Ein Unternehmen lässt sich in großem Umfang Forderungen übertragen um diese auf eigenes Risiko geltend zu machen. Es verarbeitet hierfür insbesondere Vertragsdaten, Rechnungsdaten, Scoring-Daten und Informationen über Vermögensverhältnisse von Schuldnern. Ggf. werden Daten an Auskunfteien übermittelt.

 

7 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die betroffenen Personen ergeben, oder diese in andere Weise erheblich beeinträchtigen

 

Typisches Einsatzfeld

Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Beschäftigten erzeugen

 

Beispiel: Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen.

 

Typisches Einsatzfeld

Geolokalisierung von Beschäftigten

 

Beispiel: Ein Unternehmen lässt Bewegungsprofile von Beschäftigten erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst.

 

8 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der betroffenen Personen

 

Typisches Einsatzfeld

Betrieb von Dating- und Kontaktportalen

 

Beispiel: Ein Webportal erstellt Profile der Nutzenden, um möglichst passende Kontaktvorschläge zu generieren.

 

Typisches Einsatzfeld

Betrieb von großen sozialen Netzwerken

 

9 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern: die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

 

Typisches Einsatzfeld

Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden

 

Beispiel: Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kundinnen und Kunden analysiert Daten über deren Kaufverhalten und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die zur Steigerung des Umsatzes eingesetzt werden können.

 

10 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den betroffenen Personen oder zur Bewertung persönlicher Aspekte der betroffenen Personen

 

Typisches Einsatzfeld

Telefongespräch-Auswertung mittels Algorithmen

 

Beispiel: Ein Callcenter wertet automatisiert die Stimmungslage der Anrufenden aus

 

11 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der betroffenen Personen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum

 

Typisches Einsatzfeld

Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.

 

Beispiel: Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passantinnen/Passanten und Kundinnen/Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

 

Typisches Einsatzfeld

Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes

 

12 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der betroffenen Personen

 

Typisches Einsatzfeld

Telefongespräch-Auswertung mittels Algorithmen

 

Beispiel: Ein Callcenter wertet automatisiert die Stimmungslage der Anrufenden aus

 

13 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die betroffenen Personen nicht erkennen können

 

Typisches Einsatzfeld

Einsatz von RFID/NFC durch Apps oder Karten

 

Beispiel: Eine Bank setzt die NFC-Technologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern

 

14 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von betroffenen Personen

 

Typisches Einsatzfeld

Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten

 

Beispiel: Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kundinnen und Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält jede Kundin und jeder Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.

 

15 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Anonymisierung von besonderen personenbezogenen Daten nach Art. 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen

 

Typisches Einsatzfeld

Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DS-GVO

 

Beispiel: Umfangreiche besondere personenbezogene Daten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben.

 

16 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden

 

Typisches Einsatzfeld

Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten

 

Beispiel: Eine Ärztin oder ein Arzt nutzt ein Webportal oder bietet eine App an, um Patientinnen und Patienten detailliert und systematisch zu behandeln.

 

17 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b anzusehen ist – sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit der betroffenen Person zu bestimmen

 

Typisches Einsatzfeld

Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

 

Datenschutzzentrum.de; bow; 02.06.2018

https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf

 

Europarat aktualisiert sein wegweisendes Übereinkommen

Der Europarat hat ein Änderungsprotokoll zur Aktualisierung seiner Datenschutzkonvention, bekannt als „Konvention 108“, verabschiedet. Ziel ist die Stärkung des Schutzes personenbezogener Daten auf globaler Ebene.

Gegenstand der Aktualisierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen rechtsverbindlichen internationalen Vertrag mit weltweiter Bedeutung auf diesem Gebiet, sind die Herausforderungen, welche die Verwendung neuer Informations- und Kommunikationstechnologien für den Schutz der Privatsphäre darstellen, sowie die Stärkung des Konventionsmechanismus zur Gewährleistung ihrer wirksamen Umsetzung.

 

Das Protokoll schafft einen soliden und flexiblen multilateralen Rechtsrahmen, der den grenzüberschreitenden Datenverkehr erleichtern und dabei wirksame Schutzmechanismen bei der Verwendung personenbezogener Daten garantieren soll. Es bildet eine Brücke zwischen verschiedenen Regionen der Welt und ein Bindeglied zwischen unterschiedlichen normativen Rahmen, darunter der neuen Gesetzgebung der Europäischen Union, die ab dem 25. Mai 2018 verbindlich anzuwenden ist und im Zusammenhang mit grenzüberschreitendem Datenverkehr auf die Konvention 108 Bezug nimmt.

 

Generalsekretär Thorbjørn Jagland erklärte: „Die häufigen Verstöße gegen das Recht auf Datenschutz sind in unseren Gesellschaften ein Anlass zu großer Beunruhigung geworden. Die aktualisierte Konvention bietet einen starken Rechtsrahmen zur Verhütung von Missbrauch. Die Staaten sollten dem Vertrag unverzüglich beitreten und sicherstellen, dass die Datenschutzvorschriften in der Praxis eingehalten und umgesetzt werden.“

 

Die Neufassung des Vertrags wurde vom Ministerkomitee des Europarates bei seiner 128. Sitzung in Helsingör verabschiedet. Auf der Grundlage der „Konvention 108“, die mehr als 50 Vertragsstaaten hat, steht die aktualisierte Konvention als einzigartige weltweite Norm weiterhin allen Ländern der Welt offen.

 

Der aktualisierte Vertrag hält an Bestimmungen auf der Ebene von allgemeinen Grundsätzen fest und bleibt technologieneutral. Dadurch wird den Vertragsstaaten ein Ermessensspielraum bei deren Umsetzung in ihrer nationalen Gesetzgebung eingeräumt.

Das Protokoll enthält relevante Neuerungen wie die Verpflichtung, Datenschutzverstöße zu melden, die Konsolidierung des Verhältnismäßigkeitsprinzips bei der Datenverarbeitung und die Verankerung des Grundsatzes der Datenminimierung. Es stärkt außerdem die Rechenschaftspflicht der für die Datenverarbeitung Verantwortlichen sowie die Transparenz der Verarbeitung, die für die Aufrechterhaltung des Vertrauens in das digitale Umfeld wesentlich sind.

Die aktualisierte Fassung der Konvention verlangt, dass bei der Verarbeitung personenbezogener Daten der Grundsatz des „eingebauten Datenschutzes“ angewandt wird und führt zusätzliche Schutzmaßnahmen für betroffene Personen im Umfeld algorithmischer Entscheidungsprozesse ein, wie das Recht, Kenntnis über die der Datenverarbeitung zugrundeliegende Logik zu erlangen, sowie das Widerspruchsrecht. Das Protokoll stärkt darüber hinaus die Rolle des Konventionsausschusses, der die Einhaltung durch die Vertragsstaaten der Konvention überprüfen wird, und öffnet den Vertrag für den Beitritt der Europäischen Union und internationaler Organisationen.

 

Coe.int; bow; 01.06.2018

https://www.coe.int/de/web/portal/-/enhancing-data-protection-globally-council-of-europe-updates-its-landmark-convention

 

Der aktuelle Stand

 

Einleitung
Im Januar 2012 schlug die Europäische Kommission eine Reihe legislativer Massnahmen vor zur Aktualisierung und Modernisierung der Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) und des Rahmenbeschlusses von 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (Rahmenbeschluss 2008/977/JI). Ziel dieser Reform ist es, EU-weit einheitliche, an das digitale Zeitalter angepasste Regeln zu schaffen, die Rechtssicherheit zu verbessern und das Vertrauen der Bürgerinnen und Bürger und Unternehmen in den digitalen Binnenmarkt zu stärken. Die Reform umfasst eine Mitteilung der Kommission, die deren Ziele darlegt, sowie zwei Rechtsakte: eine Datenschutz-Grundverordnung (DSGVO) über den Datenschutz und eine Richtlinie für den Bereich Polizei und Justiz.

Am 14. April 2016 schloss das Europäische Parlament seine mehr als vierjährige Arbeit mit der Annahme der vorgeschlagenen Texte ab. Die sich aus der Datenschutz-Grundverordnung ergebenden Vorschriften werden ab dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar anwendbar sein. Die EU-Länder haben bis zum 6. Mai 2018 Zeit, die Richtlinie in ihrem nationalen Recht umzusetzen.

 

Die Datenschutz-Grundverordnung (DSGVO)
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DSGVO) wurde vom Europäischen Parlament am 14. April 2016 angenommen und tritt am 25. Mai 2018 in Kraft. Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Nach EU-Recht ist eine Verordnung in ihrer Gesamtheit verbindlich, sobald sie in Kraft tritt (sie kann nicht selektiv angewendet werden). Sie ist in der gesamten EU unmittelbar anwendbar, ohne dass eine Umsetzung in den einzelnen Mitgliedstaaten erforderlich ist – dies im Gegensatz zur Richtlinie. Die neuen Bestimmungen sehen unter anderem vor, dass die Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten haben, dass die Unternehmen stärker zur Verantwortung gezogen werden, dass gleichzeitig deren Meldepflichten abgebaut werden und dass die Rolle der Datenschutzbehörden gestärkt wird. Dieses für Europa grundlegende Dokument wird auf eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

Wann und wo kommt die DSGVO zur Geltung?

Gegenüber der Richtlinie 95/46/EG hat sich der sachliche Anwendungsbereich grundsätzlich nicht verändert. Die DSGVO „gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Art. 2 § 1 DSGVO). Sie betrifft alle personenbezogenen Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, und unterscheidet nicht zwischen der Bearbeitung durch eine natürliche oder eine juristische Person des öffentlichen oder privaten Rechts. Artikel 2 § 2 DSGVO sieht vier Ausnahmen vor. Die DSGVO „findet keine Anwendung auf die Verarbeitung personenbezogener Daten:

 

  1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
  2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
  4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

Die DSGVO gilt für das Bearbeiten von Daten natürlicher Personen ungeachtet der Staatsangehörigkeit oder des Wohnorts dieser Personen. Das bedeutet, dass wenn Personendaten einer natürlichen Person mit Wohnsitz in der Schweiz in einem Mitgliedstaat der Europäischen Union bearbeitet werden, fallen diese in den Anwendungsbereich der DSGVO.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

Reichweite der DSGVO


Gegenüber der Richtlinie 95/46/EG wurde der Anwendungsbereich erweitert. Er umfasst nun das Kriterium der Zielgruppe (extraterritoriale Anwendung). Diese Erweiterung steht auch im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH), der sich 2014 im Fall von Google Spanien für die extraterritoriale Anwendung der Richtlinie ausgesprochen hat (C-131-12).

 

Artikel 3 DSGVO regelt Folgendes:

  1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
  2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Die Anwendung der DSGVO hängt daher von den beiden folgenden Kriterien ab:

  1. dem Kriterium der Niederlassung (= Ort der Niederlassung des Verantwortlichen oder Auftragsbearbeiters; Artikel 3 § 1): Der Verantwortliche oder Auftragsbearbeiter hat seine Niederlassung in der Europäischen Union. In diesem Fall findet die Verordnung automatisch Anwendung, unabhängig davon, ob die Bearbeitung in der Union stattfindet oder nicht. In der Causa Weltimmo v. NAIH (C-230/14) hat der EuGH den Begriff der Niederlassung relativ breit und flexibel ausgelegt.

  2. dem Kriterium des Zielmarktes (= Wohnort der von Datenbearbeitung betroffenen Person; Art. 3 § 2): Die Niederlassung des Verantwortlichen befindet sich ausserhalb der Europäischen Union, aber die Bearbeitung betrifft Waren oder Dienstleistungen, die für Personen in der Union bestimmt sind, oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt. Bei Letzterem bezieht sich der europäische Gesetzgeber vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern. In der Praxis findet die DSGVO wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist.

Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, Personen im Gebiet der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

Gestiegener Einfluss der Datensubjekte

Eines der Ziele der europäischen Reform besteht darin, die Kontrollmöglichkeiten betroffener Personen und die Erkennbarkeit zu erhöhen. Artikel 12 DSGVO verpflichtet den Verantwortlichen, Verfahren und Mechanismen vorzusehen, die es den betroffenen Personen ermöglichen, ihre Rechte auszuüben. In dieser Bestimmung ist der Grundsatz der Transparenz wie folgt verankert: Jede Information, die sich an die Öffentlichkeit oder an betroffene Personen richtet, muss einfach zugänglich und leicht verständlich sein. Sie muss prägnant und transparent sein sowie einfach und klar formuliert, insbesondere in Bezug auf Kinder. In der Regel werden Informationen schriftlich und unentgeltlich zur Verfügung gestellt. Die Verordnung regelt auch die damit zusammenhängenden Fristen. Alle in Artikel 12 aufgeführten Modalitäten gelten für alle in der Verordnung aufgeführten Rechte, nämlich:

  • Recht auf Information (Art. 13 und 14 DSGVO)
    Werden personenbezogene Daten über eine betroffene Person bei dieser selbst erhoben, so liefert der Verantwortliche ihr zum Zeitpunkt der Erhebung der Daten eine Reihe von Informationen. Der Verantwortliche muss die betroffene Person aber auch dann informieren, wenn die Daten nicht bei dieser selbst erhoben wurden.

  • Auskunftsrecht (Art. 15 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, dass personenbezogene Daten über sie bearbeitet werden bzw. dass keine Daten bearbeitet werden. Im Fall einer Bearbeitung hat sie das Recht, Zugang zu diesen Daten und zu einer Reihe zusätzlicher Informationen nach den Buchstaben a–h zu erhalten. Dieses Recht umfasst auch das Recht, eine Kopie der bearbeiteten Daten zu erhalten.

  • Recht auf Berichtigung (Art. 16 DSGVO)
    Die betroffene Person hat das Recht zu verlangen, dass ihre Daten so rasch wie möglich berichtigt oder ergänzt werden.

  • Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)
    Die betroffene Person hat das Recht zu verlangen, dass sie betreffende Daten so schnell wie möglich gelöscht werden, wenn einer der in § 1 genannten Gründe vorliegt. Wurden die Daten an andere Stellen übermittelt, so kommt das "Recht auf Vergessenwerden" zum Tragen: Der Verantwortliche muss alle angemessenen Massnahmen treffen, um die anderen Stellen davon in Kenntnis zu setzen, dass die betroffene Person die Löschung aller Verbindungen zu ihren persönlichen Daten beziehungsweise die Löschung aller Kopien oder Reproduktionen dieser Daten verlangt hat.

  • Recht auf Einschränkung der Bearbeitung (Art. 18 DSGVO)
    Die betroffene Person hat in bestimmten gesetzlich vorgesehenen Fällen das Recht, vom Verantwortlichen die Einschränkung der Bearbeitung ihrer Daten zu verlangen. Wird eine solche Einschränkung verlangt, so kann der Verantwortliche die Daten nur noch aufbewahren. Andere Bearbeitungen dieser Daten dürfen grundsätzlich nicht mehr erfolgen.

  • Recht auf Mitteilung (Art. 19 DSGVO)
    Dieser Artikel verpflichtet den Verantwortlichen, der betroffenen Person jede Berichtigung, Löschung oder Einschränkung der Datenbearbeitung mitzuteilen.

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    Die betroffene Person hat das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, beispielsweise um den Dienstleistungsanbieter zu wechseln. Dieses Recht kann nur ausgeübt werden, wenn die Datenbearbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht.

  • Widerspruchsrecht (Art. 21 DSGVO)
    Die betroffene Person hat jederzeit das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Bearbeitung von sie betreffenden personenbezogenen Daten gestützt auf ein öffentliches oder berechtigtes Interesse zu widersprechen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Die betroffene Person hat auch jederzeit das Recht, der Bearbeitung ihrer Daten zu Direktmarketing-Zwecken zu widersprechen.

  • Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO)
    Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatischen Bearbeitung beruht, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt ausdrücklich auch für Profiling.

  • Recht auf Benachrichtigung über Datenschutzverletzungen (Art. 34 DSGVO)
    Der Verantwortliche ist verpflichtet, die betroffene Person über Verletzungen des Schutzes personenbezogener Daten zu informieren, sofern damit ein hohes Risiko für die persönlichen Rechte und Freiheiten verbunden ist.

Die Verordnung sieht auch einen besonderen Schutz für Kinder vor, da diese sich der Risiken, Folgen und Rechte im Bereich des Datenschutzes weniger bewusst sind. Artikel 8 DSGVO sieht vor, dass im Fall von Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, die Zustimmung zur Bearbeitung der Daten des Kindes vom Träger der elterlichen Verantwortung erteilt oder genehmigt werden muss (die Mitgliedstaaten können die Altersgrenze zwischen 13 und 16 Jahren frei festlegen).

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

Welche Firmen in der Schweiz sind betroffen?

Aus dem Wortlaut der Verordnung und den Erwägungen geht hervor, dass die DSGVO in den folgenden Fällen auf Schweizer Unternehmen anwendbar ist:

 

Niederlassung in der EU (Artikel 3 § 1; Erwägung 22):

  • Bearbeitung personenbezogener Daten im Rahmen der Tätigkeit einer europäischen Zweigstelle oder einer Tochtergesellschaft2 eines schweizerischen Unternehmens in der Europäischen Union;
  • Auftragsverarbeiter: Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen3 im Auftrag eines europäischen Unternehmens.

Ein Auftragsverarbeiter im EU-Gebiet (z.B. IT-Dienstleister), der personenbezogene Daten für ein Schweizer Unternehmen bearbeitet, untersteht der DSGVO unabhängig davon, ob er Daten von Betroffenen in der Schweiz oder in der Union verarbeitet (Art. 3 § 1 DSGVO). Er muss dann sowohl die in der Verordnung festgelegten besonderen Pflichten der Auftragsverarbeiter (vgl. Artikel 28, 30 §2 und 37 DSGVO) als auch die sich aus dem schweizerischen Recht ergebenden Anforderungen (vgl. Art. 10a DSG) einhalten. Der Auftragsverarbeiter wird wahrscheinlich im Falle einer Datenschutzverletzung die Verantwortung übernehmen müssen. Dies bedeutet jedoch nicht, dass der für die Verarbeitung Verantwortliche in der Schweiz der Verordnung unterliegt.

 

Zielgruppe in der EU (Artikel 3 § 2; Erwägungen 23 und 24):

  • Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht (Art. 3 § 2 Buchstabe a) DSGVO);

Beispiel 1: Ein in der Schweiz ansässiges Unternehmen verkauft Uhren über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Belgien, Portugal, Finnland und Griechenland. Die DSGVO ist anwendbar, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.


Die DSGVO enthält keine genaue Definition des Begriffs Waren- und Dienstleistungsangebot. In der Erwägung 23 heisst es, es müsse festgestellt werden, „ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.“ Um dies festzustellen, ist es notwendig, eine Reihe von Hinweisen zu berücksichtigen, wie zum Beispiel „die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden.“

 

In einem speziellen Zusammenhang (siehe verbundene Rechtssachen C-585/08 und C-144/09) hat der EuGH bereits geprüft, ob das Angebot von Waren und Dienstleistungen als an den Mitgliedstaat der Union gerichtet angesehen werden kann. In diesem Zusammenhang hat er auch folgende Faktoren berücksichtigt: die Angabe einer Telefonnummer mit internationaler Vorwahl, die Wegbeschreibung aus einem Mitgliedstaat zu dem Ort, wo der Dienst angeboten wird (z. B. Beschreibung der Anreise aus dem Ausland zu einem Hotel in der Schweiz), die Erwähnung auf der Website einer internationalen Kundschaft mit Sitz in verschiedenen EU- Mitgliedstaaten, die Nutzung einer anderen First-Level-Domain als derjenigen des Mitgliedstaats, in dem der Dienst angeboten wird (z. B. www.beispiel.ch ist auch unter www.beispiel.fr und www.beispiel.eu abrufbar).

 

„Die blosse Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, [ist] hierfür [aber] kein ausreichender Anhaltspunkt.“

Die Auflistung dieser Faktoren ist allerdings nicht abschliessend und die Frage muss immer von Fall zu Fall analysiert werden.

 

  • Bearbeitung personenbezogener Daten von Personen mit Wohnsitz in der EU durch ein in der Schweiz ansässiges Unternehmen, soweit diese Daten zum Zweck der Beobachtung des Verhaltens der betroffenen Personen innerhalb der Union bearbeitet werden (Art. 3 § 2 Bst. b DSGVO).

 

In Bezug auf die Beobachtung des Verhaltens und die Bestimmung, ob eine Bearbeitung als solche gilt, hält die Erwägung 24 fest: „Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die ein Profil von einer natürlichen Person erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

 

Es geht insbesondere um verhaltensbasierte Werbung, wie sie die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting definiert: „Werbung, die auf der Beobachtung des Verhaltens von Personen über einen Zeitraum hinweg basiert. Werbung auf Basis von Behavioural Targeting versucht, die Charakteristika dieses Verhaltens durch die Handlungen (wiederholte Besuche von Websites, Interaktionen, Schlüsselwörter, Produktion von Online-Inhalten usw.) zu untersuchen, um ein konkretes Profil zu erstellen und den betroffenen Personen dann Werbung zu senden, die auf ihre aus den Daten erschlossenen Interessen zugeschnitten ist.“

 

Beispiel 2: Ein Hotelier im Engadin erstellt von seinen italienischen, schwedischen, deutschen und polnischen Gästen Profile, um ihnen Angebote für andere Aufenthalte machen zu können. Die DSGVO ist anwendbar, soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird.

 

Beispiel 3: Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen oder das Surfverhalten von Internetnutzern zu registrieren, und kann Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten erhalten. Die DSGVO ist wahrscheinlich anwendbar.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf


2 In Erwägungsgrund 22 wird klargestellt, dass eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt. Die Rechtsform einer solchen Einrichtung ist dabei nicht ausschlaggebend.
3 Sofern das Schweizer Unternehmen beabsichtigt, Waren oder Dienstleistungen für in der EU sich aufhaltende Personen anzubieten.

Welche Aufgaben müssen von der DSGVO betroffene Unternehmen in der Schweiz wahrnehmen?

Eine der wichtigsten Neuerungen gegenüber der Richtlinie 95/46/EG ist die Verankerung des Grundsatzes der Rechenschaftspflicht („accountability“) des Verantwortlichen (vgl. Art. 5 § 2 DSGVO), wonach dieser die Einhaltung der allgemeinen Grundsätze (vgl. Art. 5 § 1 DSGVO) aktiv nachweisen können muss. Auf dieser Grundlage wurde das Prinzip der Beweislastumkehr eingeführt4. Die Verordnung sieht insbesondere die folgenden Pflichten vor:

  • Artikel 24 DSGVO hält fest, dass der Grundsatz der Verantwortlichkeit mit dem risikobasierten Ansatz einhergeht, wonach der Verantwortliche die Wahrscheinlichkeit und den Grad der Gefährdung der Rechte und Freiheiten von Personen zu Beginn einer Bearbeitung objektiv beurteilen muss. Der Verantwortliche muss daher Kontrollmechanismen und -systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Bearbeitung während des gesamten Vorgangs gewährleistet ist, und um dies nachweisen zu können.

  • Artikel 25 DSGVO verlangt, dass der Datenschutz bei Produkten und Dienstleistungen bereits in der Planungsphase berücksichtigt werden: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden („privacy by design“); Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden („privacy by default“).

  • Artikel 30 DSGVO sieht vor, dass jeder Verantwortliche oder sein Vertreter ein Register der unter seiner Verantwortung ausgeführten Bearbeitungstätigkeiten (in elektronischer Form) führen muss. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Dieses Register muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).

  • Artikel 35 DSGVO sieht die Durchführung einer Datenschutz-Folgenabschätzung vor, wenn die Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben kann.5 In den Fällen, in denen diese Voranalyse zur Identifizierung spezifischer Risiken führt, ist der Verantwortliche verpflichtet, vor der Bearbeitung die Datenschutzbehörde zu konsultieren; ist ein Datenschutzverantwortlicher ernannt worden, so ist dieser zu konsultieren. In bestimmten Fällen ist eine Datenschutz-Folgenabschätzung obligatorisch (vgl. Artikel 35 § 3). Die inhaltlichen Mindestanforderungen sind in Artikel 35 § 7 aufgeführt.

 

Die Sicherheit der Bearbeitungsvorgänge ist in der Verordnung als Grundprinzip verankert:

  • Artikel 32 DSGVO verpflichtet den Verantwortlichen, angemessene organisatorische und technische Massnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei muss er den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und den Zweck der Bearbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Die Verordnung nennt beispielsweise die Verschlüsselung oder Pseudonymisierung und Mittel zur dauerhaften Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme. Darüber hinaus muss der Verantwortliche Massnahmen treffen, „um sicherzustellen, dass [dem Verantwortlichen und dem Auftragsbearbeiter] unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet“ (vgl. Art. 32 § 4).

 

Daraus leitet sich neu die Pflicht ab, der Aufsichtsbehörde Verletzungen des Schutzes personenbezogener Daten zu melden. In einigen Fällen muss die Verletzung auch der betroffenen Person gemeldet werden:

  • Artikel 33 DSGVO sieht ein Meldesystem bei Verletzungen des Schutzes personenbezogener Daten vor („data breaches“). Die Verletzung wird definiert als „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 § 12 DSGVO). Könnte die Verletzung Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben, muss der Verantwortliche dies der Aufsichtsbehörde unverzüglich bzw. möglichst innerhalb von 72 Stunden melden (Art. 33 § 1). Der Auftragsbearbeiter muss den Verantwortlichen über jede Verletzung unverzüglich informieren, sobald er davon Kenntnis hat. Der Inhalt der Meldung ist in Artikel 33 § 3 DSGVO geregelt. Schliesslich muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren, einschliesslich aller mit der Verletzung zusammenhängenden Fakten, der Auswirkungen und der ergriffenen Abhilfemassnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen nach diesem Artikel ermöglichen.

  • Artikel 34 DSGVO regelt die Modalitäten der Mitteilung einer Verletzung des Datenschutzes an die betroffenen Personen. Hier gibt es jedoch keine Fristen. Die Idee dahinter besteht darin, es den betroffenen Personen zu ermöglichen, gegebenenfalls geeignete Massnahmen zu ergreifen, um die negativen Auswirkungen, die sich aus der Verletzung ergeben können, zu stoppen oder abzuschwächen.

In drei bestimmten Fällen (vgl. Art. 37 DSGVO) ist die Benennung eines Datenschutzbeauftragten zwingend, und zwar 1) für Behörden oder öffentliche Stellen, 2) für Unternehmen, die Bearbeitungen durchführen, die eine umfangreiche regelmässige und systematische Überwachung der betroffenen Personen erfordern, 3) für Unternehmen, die sensible Datenbearbeitungsvorgänge durchführen. Darüber hinaus erlaubt es die Verordnung, im Unionsrecht oder im Recht eines Mitgliedstaats die Benennung eines Datenschutzbeauftragten in Fällen vorzuschreiben, die in der DSGVO nicht vorgesehen sind. Eine Unternehmensgruppe kann auch einen einzigen Beauftragten benennen; diese Möglichkeit besteht auch für Behörden und öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Grösse (Art. 37 § 2 und 3). Die Eigenschaften, über die der behördliche Datenschutzbeauftragte verfügen muss, sind in Artikel 37 § 5 festgelegt.

 

Schliesslich fördert die Verordnung die Ausarbeitung von Verhaltensregeln (Art. 40 und 41 DSGVO), um die ordnungsgemässe Umsetzung der Verordnung zu unterstützen. Die Verhaltensregeln müssen entsprechend den Besonderheiten der verschiedenen Datenbearbeitungssektoren und den spezifischen Bedürfnissen der Unternehmen entwickelt werden. Die Verhaltensregeln werden der nach Artikel 55 DSGVO zuständigen Datenschutzbehörde vorgelegt; diese gibt eine Stellungnahme zur Konformität mit der Verordnung ab. Mit den Artikeln 42 ff. wird ein Zertifizierungsmechanismus eingeführt.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf


4 Das Bayrische Landesdatenschutzamt hat ein Selbsteinschätzungstool für Unternehmen veröffentlicht: https://www.lda.bayern.de/tool/start.html

5 Um die für die Bearbeitung Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, stellt die Commission Nationale de l’Informatique et des Libertés (CNIL) auf ihrer Website kostenlos die Software PIA zur Verfügung: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil. Eine deutsche Fassung ist ebenfalls verfügbar: https://github.com/LINCnil/pia/tree/master/src/assets/i18n

Die DSGVO kann auch Ihren Personalstand beeinflussen

Kommt Artikel 3 § 2 DSGVO zur Anwendung, so verpflichtet Artikel 27 DSGVO den Verantwortlichen und den Auftragsbearbeiter, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter zu benennen, sofern die Verordnung für ihre Bearbeitungstätigkeiten gilt. Dieser Vertreter muss in einem der Mitgliedstaaten ansässig sein, in dem die natürlichen Personen ihren Wohnsitz haben, deren personenbezogene Daten im Zusammenhang mit einem Waren- oder Dienstleistungsangebot bearbeitet werden oder deren Verhalten beobachtet wird (Art. 27 § 3).

 

Gemäss der Erwägung 80 DSGVO ist der Vertreter insbesondere die Kontaktstelle für die Aufsichtsbehörden (vgl. Art. 58 DSGVO) und die betroffenen Personen, und zwar in allen Fragen der Bearbeitung personenbezogener Daten. Der Vertreter muss ein Register aller Kategorien von Tätigkeiten zur Bearbeitung personenbezogener Daten erstellen, die unter seiner Verantwortung durchgeführt werden (vgl. Art. 30 DSGVO). Er kann auch Durchsetzungsverfahren unterworfen werden, wenn der Verantwortliche oder der Auftragsbearbeiter gegen die Verordnung verstösst. Es muss aber betont werden, dass dies die Verantwortung des Verantwortlichen oder des Auftragsbearbeiters gegenüber den Behörden und den betroffenen Personen in keiner Weise beeinflusst, da die Benennung unabhängig von Gerichtsverfahren erfolgt, die gegen den Verantwortlichen oder den Auftragsbearbeiter eingeleitet werden könnten.

 

Artikel 27 § 2 bestimmt, dass diese Benennung nicht gilt für:

  1. „eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer
    Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der
    Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder

  2. Behörden oder öffentliche Stellen.“


Sanktionen

Ein sich änderndes Strafregime
Die DSGVO gesteht im Gegensatz zum schweizerischen Recht den Aufsichtsbehörden zu, selbst Geldbussen zu verhängen, wenn eine Reihe von Voraussetzungen erfüllt ist. Jede Aufsichtsbehörde muss sicherstellen, dass die für Verstösse gegen die DSGVO verhängten Sanktionen wirksam, verhältnismässig und abschreckend sind. Auch sieht die Verordnung eine ganze Reihe von abschreckenden Massnahmen (vgl. Art. 58 § 2 RGPD) vor, z. B. Mahnungen, Verwarnungen, förmliche Bekanntmachungen, vorübergehende oder dauerhafte Beschränkungen der Bearbeitung. Unter all diesen Instrumenten müssen die Datenschutzbehörden dasjenige auswählen, das dem Ziel der Einhaltung der Vorschriften am besten gerecht wird.

 

Als letztes Mittel können Verantwortliche mit Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden. Artikel 83 DSGVO listet die Bedingungen auf, die bei der Bestimmung der Höhe der Strafe zu berücksichtigen sind.

 

Dabei ist jedoch zu beachten, dass gegebenenfalls auch der aus einem Gerichtsverfahren resultierende Schadenersatz sowie Zinsen zu zahlen sind.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

 

Lösungen zur praktischen Umsetzung Textbeispiele, Musterformulare, Checklisten

 

Autor: Grit Reimann

ISBN-10: 3410279814

Mit EU-Datenschutzgrundverordnung

 

Autoren: Peter Wedde, Stefan Brink, Isabel Eder, Nadja Häfner-Beil, Heinz-Peter Höller, Silvia Mittländer, Marc-Oliver Schulze, Regina Steiner

ISBN-10: 3766366920

Grundlagen und europarechtliche Neugestaltung

 

Autoren: Giselher Rüpke,‎ Kai von Lewinski,‎ Jens Eckhardt

ISBN-10: 3406501990

Art. 37ff könnten auch Sie betreffen

Die Datenschutz-Grundverordnung (DS-GVO), die am 25. Mai 2018 in Kraft treten soll, wird einen modernisierten, auf dem Prinzip der Rechenschaftspflicht beruhenden Handlungsrahmen für die Überprüfung der Einhaltung der Datenschutzvorschriften in Europa bieten. Den Kern dieser neuen Rechtsgrundlage werden für viele Einrichtungen Datenschutzbeauftragte (DSB) bilden, die die Einhaltung der Bestimmungen der DS-GVO erleichtern.

 

Nach der DS-GVO sind Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, einen DSB zu ernennen. Diese Pflicht besteht für alle Behörden und öffentlichen Stellen (unabhängig von der Art der verarbeiteten Daten) wie auch für sonstige Einrichtungen, die – als Kerntätigkeit – systematisch und in großem Umfang Einzelpersonen überwachen oder in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeiten.

 

In Fällen, in denen die DS-GVO die Bestellung eines DSB nicht ausdrücklich vorschreibt, können Einrichtungen es mitunter für zweckmäßig erachten, einen solchen auf freiwilliger Basis zu ernennen. Die Artikel-29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen.

 

Das dem DSB zugrundeliegende Konzept ist nicht neu. Wenngleich nach der Richtlinie 95/46/EG keine Einrichtung zur Ernennung eines DSB verpflichtet ist, hat sich die Praxis der Ernennung eines DSB in zahlreichen Mitgliedstaaten im Laufe der Jahre immer mehr verbreitet.

 

Vor dem Erlass der DS-GVO argumentierte die WP29, dass der DSB ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines DSB die Einhaltung der Vorschriften erleichtere und überdies Unternehmen als Wettbewerbsinstrument diene. DSB erleichtern nicht nur die Einhaltung der Bestimmungen, indem sie etwa Instrumente zur Anwendung bringen, die der Einhaltung der Rechenschaftspflicht dienen (wie etwa die Erleichterung oder Durchführung von Datenschutz-Folgenabschätzungen und -Überprüfungen), sondern fungieren darüber hinaus auch als Mittler zwischen den maßgeblichen Interessenträgern (z. B. Aufsichtsbehörden, betroffene Personen und für die Geschäftsführung zuständige Stellen einer Einrichtung).

 

DSB sind im Falle der Nichteinhaltung der DS-GVO nicht persönlich verantwortlich. Aus der DS-GVO geht klar hervor, dass es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Artikel 24 Absatz 1). Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.

 

Dem Verantwortlichen oder dem Auftragsverarbeiter kommt zugleich eine wichtige Rolle dabei zu, die Voraussetzung dafür zu schaffen, dass der DSB seinen Aufgaben wirksam nachgehen kann. Die Ernennung eines DSB stellt hierbei nur einen ersten Schritt dar: Um ihren Aufgaben wirksam nachgehen zu können, müssen DSB auch über hinreichende Eigenständigkeit und genügend Ressourcen verfügen.

 

In der DS-GVO werden die Bedeutung des DSB als Schlüsselfigur im neuen Data-Governance-System anerkannt und die Bedingungen für seine Ernennung, Stellung und Aufgaben dargelegt. Ziel dieser Leitlinien ist es, die einschlägigen Bestimmungen der DS-GVO klarzustellen, um die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung der gesetzlichen Vorgaben zu unterstützen und den DSB bei ihrer Tätigkeit Hilfestellung zu leisten. Die Leitlinien enthalten zugleich Empfehlungen für bewährte Verfahren, denen die in verschiedenen EU-Mitgliedstaaten gesammelten Erfahrungen zugrunde liegen. Die WP29 wird die Umsetzung dieser Leitlinien beaufsichtigen und erforderlichenfalls im Detail ergänzen.

 

Nachfolgend finden Sie eine Zusammenfassung der WP29 zu den Anforderungen bezüglich eines Datenschutzbeauftragten, das gesamte Dokument finden Sie hier in allen EU-Sprachen: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

 

Welche Einrichtungen sind zur Benennung eines DSB verpflichtet?

Was bedeutet "Kerntätigkeit"?

Was bedeutet "umfangreiche Bearbeitung"?

Was bedeutet "regelmäßige und systematische Überwachung"?

Können Einrichtungen einen gemeinsamen DSB benennen? Wenn ja, unter welchen Voraussetzungen?

Wo sollte der DSB lokalisiert sein?

Kann ein externer DSB bestellt werden?

Über welche beruflichen Qualifikationen sollte der DSB verfügen?

Welche Ressourcen sollten Verantwortliche oder Auftragsverarbeiter dem DSB zur Verfügung stellen?

Wie wird die Ausübung der Pflichten und Aufgaben des DSB in vollständiger Unabhängigkeit gewährleistet? Was bedeutet "Interessenkonflikt"?

Was bedeutet "Einhaltung der Vorgaben in Bezug auf die Überwachung"

Ist der DSB im Fall der Nichteinhaltung der Datenschutzanforderungen persönlich verantwortlich?

Welche Funktion kommt dem DSB bei einer Datenschutz-Folgenabschätzung und beim Führen von Verzeichnissen zu Verarbeitungsvorgängen zu?

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 1 DS-GVO

Die Benennung eines DSB ist obligatorisch, wenn

  • die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (unabhängig von der Art der verarbeiteten Daten),
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Hierbei ist zu beachten, dass Rechtsvorschriften der Union oder der Mitgliedstaaten die Benennung eines DSB auch in anderen Fällen zwingend erforderlich machen können. Schließlich kann es auch in Fällen, in denen die Benennung eines DSB nicht obligatorisch ist, für eine Einrichtung zweckmäßig erscheinen, einen DSB auf freiwilliger Basis zu benennen. Die Artikel- 29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen. Wenn eine Einrichtung auf freiwilliger Basis einen DSB ernennt, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

Als "Kerntätigkeit" lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Dazu gehören auch sämtliche Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So ist beispielsweise die Verarbeitung von gesundheitsbezogenen Daten, wie etwa Krankenakten von Patienten, als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb Krankenhäuser zur Benennung eines DSB verpflichtet sind.

 

Andererseits führen alle Einrichtungen gewisse Tätigkeiten wie etwa die Entlohnung ihrer Mitarbeiter oder Standard-IT-Support aus. Hierbei handelt es sich um Beispiele von für die Kerntätigkeit oder das Kerngeschäft der Einrichtung notwendigen Unterstützungsfunktionen. Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebenfunktionen denn als Kerntätigkeit angesehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

In der DS-GVO ist nicht definiert, was unter "umfangreicher Verarbeitung" zu verstehen ist. Die WP29 empfiehlt, bei der Klärung der Frage, ob sich von einer umfangreichen Verarbeitung sprechen lässt, die folgenden Faktoren zu berücksichtigen:

  • die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
  • das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
  • die Dauer oder Permanenz der Datenverarbeitungstätigkeit
  • die geografische Ausdehnung der Verarbeitungstätigkeit

 

Beispiele für eine umfangreiche Verarbeitung stellen dar:

  • die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses
  • die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z.B. Nachverfolgung über Netzkarten)
  • die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter
  • die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank
  • die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung
  • die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister

 

Keine umfangreiche Verarbeitung stellen die folgenden Beispiele dar:

  • die Verarbeitung von Patientendaten durch einen einzelnen Arzt
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b DS-GVO

Der Begriff der regelmäßigen und systematischen Überwachung ist in der DS-GVO zwar nicht definiert, erstreckt sich jedoch eindeutig auf jede Form der Verfolgung und Profilerstellung im Internet (auch zu Zwecken der verhaltensbasierten Werbung). Gleichwohl beschränkt sich der Begriff der Überwachung nicht auf die Online-Umgebung.

 

Folgende Tätigkeiten können eine regelmäßige und systematische Überwachung von betroffenen Personen darstellen: Betrieb eines Telekommunikationsnetzes, Anbieten von Telekommunikationsdienstleistungen, verfolgende E-Mail-Werbung, datengesteuerte Marketingtätigkeiten, Typisierung und Scoring zu Zwecken der Risikobewertung (zum Beispiel zu Zwecken der Kreditvergabe, zur Festlegung von Versicherungsprämien, zur Verhinderung von betrügerischen Handlungen oder zur Aufdeckung von Geldwäsche), Standortverfolgung (beispielsweise durch Mobilfunkanwendungen), Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten über in Kleidung integrierte Geräte (Wearables), Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.)

 

Die WP29 interpretiert den Begriff „regelmäßig“ als mindestens eine der folgenden Eigenschaften:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend
  • ständig oder regelmäßig stattfindend

 

Die WP29 interpretiert den Begriff „systematisch“ als mindestens eine der folgenden Eigenschaften:

  • systematisch vorkommend
  • vereinbart, organisiert oder methodisch
  • im Rahmen eines allgemeinen Datenerfassungsplans erfolgend
  • im Rahmen einer Strategie erfolgen

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 2 und 3 DS-GVO

Die Antwort ist ja. Artikel 37 Absatz 2 gestattet einer Unternehmensgruppe die Benennung eines gemeinsamen DSB, sofern dieser "von jeder Niederlassung aus […] leicht erreicht werden kann". Der Begriff der Erreichbarkeit bezieht sich auf die Aufgabe des DSB als Ansprechpartner für Betroffene und für die Aufsichtsbehörde, aber auch als einrichtungsinterne Ansprechpartner. Um die Erreichbarkeit des DSB sowohl intern als auch extern zu gewährleisten, ist dafür Sorge zu tragen, dass seine Kontaktdaten zur Verfügung stehen. Der DSB muss – gegebenenfalls mithilfe eines Teams – in der Lage sein, mit Betroffenen wirksam zu kommunizieren und mit den zuständigen Aufsichtsbehörden effektiv zusammenzuarbeiten. Dies bedeutet, dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss. Damit die Betroffenen den DSB kontaktieren können, ist es unverzichtbar, dass dieser (entweder physisch auf dem gleichen Gelände wie die Beschäftigten oder über eine Hotline oder andere sichere Kommunikationskanäle) persönlich erreichbar ist.

 

Mehrere öffentliche Einrichtungen und Stellen können in Anbetracht ihrer Organisationsstruktur und Größe einen gemeinsamen DSB benennen. Gleiches gilt für die erforderlichen Ressourcen und die Kommunikation: Da ein DSB eine Vielzahl von Aufgaben wahrzunehmen hat, ist es Sache des Verantwortlichen oder des Auftragsverarbeiters, dafür Sorge zu tragen, dass ein einzelner DSB trotz der Zuständigkeit für mehrere öffentliche Einrichtungen und Stellen in der Lage ist, diesen – gegebenenfalls mithilfe eines Teams – wirksam nachzugehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

WP29

Die WP29 empfiehlt, die effektive Erreichbarkeit des DSB durch die Ernennung eines DSB mit Sitz in der Europäischen Union zu gewährleisten, unabhängig davon, ob der Verantwortliche oder der Auftragsverarbeiter in der Union niedergelassen ist. Jedoch ist nicht ausgeschlossen, dass in Situationen, in denen der Verantwortliche oder der Auftragsverarbeiter nicht in der Europäischen Union niedergelassen ist, ein außerhalb der EU niedergelassener DSB seine Aufgaben effektiver ausüben kann.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 6 DS-GVO

Die Antwort ist ja. Der DSB kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters (interner DSB) sein oder seine Aufgaben im Rahmen eines Dienstleistungsvertrags erfüllen. Das bedeutet, dass ein externer DSB benannt werden kann, der seine Funktion auf Grundlage eines mit einer natürlichen oder juristischen Person geschlossenen Dienstleistungsvertrags ausübt.

 

Falls die Funktion des DSB von einem externen Dienstleister wahrgenommen wird, kann ein Team aus für diesen Dienstleister tätigen Personen die Aufgaben des DSB unter der Verantwortung eines ernannten primären und für den Kunden "zuständigen" Ansprechpartners in effizienter Weise ausführen. In diesem Fall ist es unverzichtbar, dass jedes Mitglied der externen Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in der DS-GVO genannten Anforderungen erfüllt.

 

Im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation wird empfohlen, im Dienstleistungsvertrag eine klare Aufgabenverteilung innerhalb des externen DSB-Teams vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den Kunden "zuständig" ist.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Benennung des DSB: Artikel 37 Absatz 5 DS-GVO

Der DSB ist auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens zu benennen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage der Fähigkeit zur Erfüllung seiner Aufgaben.

 

Das erforderliche Niveau des Fachwissens sollte sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten richten. Wenn etwa eine Datenverarbeitungstätigkeit besonders komplex ist oder in großem Umfang sensible Informationen betrifft, bedarf der DSB unter Umständen eines höheren Maßes an Fachkompetenz und Unterstützung.

 

Die entsprechende Sachkunde und Erfahrung umfasst:

  • Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis, einschließlich eines umfassenden Verständnisses der DS-GVO
  • Verständnis der jeweils durchgeführten Verarbeitungsvorgänge
  • Kenntnisse in den Bereichen IT und Datensicherheit
  • Kenntnis der jeweiligen Branche und Einrichtung
  • die Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern.

 

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Stellung des DSB: Artikel 38 Absatz 2 DS-GVO

Der DSB muss über die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen verfügen.

 

Dies beinhaltet, je nach Art der Verarbeitungsvorgänge und der Tätigkeit und Größe der Einrichtung:

  • eine aktive Unterstützung der Funktion des DSB durch das leitende Management
  • die Gewährung von genügend Zeit für die Erfüllung der Pflichten der DSB
  • angemessene Unterstützung durch Finanzmittel, Infrastrukturen (Räumlichkeiten, Einrichtungen, Ausrüstung) sowie gegebenenfalls Personal
  • die offizielle Unterrichtung aller Beschäftigten über die Benennung eines DSB
  • den Zugang zu anderen Dienststellen der jeweiligen Einrichtung, damit der DSB unverzichtbare Unterstützung, Anregungen und Informationen von diesen erhalten kann
  • kontinuierliche Fortbildung

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Stellung des DSB: Artikel 38 Absätze 3 und 6 DS-GVO

Es gibt eine Reihe von Garantien, die dazu beitragen sollen, dass der DSB seine Tätigkeit in vollständiger Unabhängigkeit ausübt:

  • dem DSB dürfen bei der Erfüllung seiner Aufgaben keine Anweisungen durch den Verantwortlichen oder den Auftragsverarbeiter erteilt werden
  • der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden
  • es darf kein Interessenkonflikt im Hinblick auf sonstige Aufgaben und Pflichten bestehen

Die Wahrnehmung sonstiger Aufgaben und Pflichten durch einen DSB führt aber nicht zwangsweise zu einem Interessenkonflikt. Das bedeutet einerseits, dass der DSB innerhalb einer Einrichtung keine Position innehaben kann, welche es mit sich bringt, dass er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Aufgrund der jeder Einrichtung eigenen strukturellen Unterschiede ist diese Frage fallweise zu betrachten.

 

Als Faustregel lassen sich zu den mit Interessenkonflikten einhergehenden Positionen innerhalb der Einrichtung solche des leitenden Managements zählen (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT-Abteilung), jedoch auch hierarchisch nachgeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen. Auch können Interessenkonflikte auftreten, wenn z. B. ein externer DSB aufgefordert wird, den Verantwortlichen oder den Auftragsverarbeiter in datenschutzrelevanten Rechtssachen vor Gericht zu vertreten.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Aufgaben des DSB: Artikel 39 Absatz 1 Buchstabe b DS-GVO

Im Rahmen dieser Überwachungspflicht sind DSB insbesondere befugt,

  • Informationen zur Ermittlung von Datenverarbeitungstätigkeiten zu sammeln,
  • die Einhaltung der Vorgaben bei Datenverarbeitungstätigkeiten zu analysieren und zu kontrollieren,
  • den Verantwortlichen oder den Auftragsverarbeiter zu unterrichten und zu beraten und ihm Empfehlungen zu unterbreiten.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Aufgaben des DSB

Die Antwort ist nein. Der DSB ist im Fall der Nichteinhaltung der Datenschutzanforderungen nicht persönlich verantwortlich. Es ist Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Aufgaben des DSB: Artikel 39 Absatz 1 Buchstabe c und Artikel 30 DS-GVO

In Sachen Datenschutz-Folgenabschätzung lässt sich der Verantwortliche bzw. der Auftragsverarbeiter vom DSB beraten,

  • ob eine DS-Folgenabschätzung durchgeführt werden sollte oder nicht
  • welche Methodik bei der Durchführung einer solchen DS-Folgenabschätzung angewandt werden sollte
  • ob diese DS-Folgenabschätzung intern oder extern erfolgen sollte
  • welche Sicherheitsvorkehrungen (einschließlich technischer und organisatorischer Maßnahmen) getroffen werden sollten, um bestehenden Bedrohungen der Rechte und Interessen der Betroffenen zu begegnen
  • ob die Datenschutz-Folgenabschätzung ordnungsgemäß durchgeführt worden ist und ob die daraus gezogenen Schlussfolgerungen (bezüglich der Frage, ob die Datenverarbeitung fortgesetzt werden sollte oder nicht und welche Sicherheitsvorkehrungen gegebenenfalls getroffen werden sollten) im Einklang mit den Datenschutzanforderungen stehen

 

In Bezug auf die Verzeichnung von Verarbeitungsvorgängen liegt es in der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters und nicht des DSB, ein Verzeichnis der Verarbeitungsvorgänge zu führen. Den Verantwortlichen bzw. den Auftragsverarbeiter hindert jedoch nichts daran, dem DSB die Aufgabe zu übertragen, unter der Verantwortung des Verantwortlichen ein Verzeichnis der Verarbeitungsvorgänge zu führen. Ein solches Verzeichnis sollte als eines der Instrumente angesehen werden, die den DSB in die Lage versetzen, die ihm in Bezug auf die Überwachung der Vorschrifteneinhaltung und in Bezug auf die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters obliegenden Aufgaben wahrzunehmen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Antwort und Beispiel

 

Antwort

Als Unternehmen/Organisation müssen Sie häufig personenbezogene Daten verarbeiten, um Aufgaben im Rahmen Ihrer Geschäftstätigkeit durchzuführen. Die Verarbeitung personenbezogener Daten in diesem Zusammenhang ist nicht notwendigerweise durch eine rechtliche Verpflichtung begründet oder dient der Erfüllung der Bestimmungen eines Vertrags mit einer Person. In solchen Fällen kann die Datenverarbeitung durch 'berechtigte Interessen' gerechtfertigt sein.

 

Ihr Unternehmen/Ihre Organisation muss die betroffenen Personen über die Verarbeitung unterrichten, wenn es/sie deren personenbezogene Daten erhebt.

Ihr Unternehmen/Ihre Organisation muss ebenfalls sicherstellen, dass es/sie mit der Verfolgung seiner/ihrer berechtigten Interessen die Rechte und Freiheiten dieser Personen nicht ernsthaft beeinträchtigt, denn sonst kann Ihr Unternehmen/Ihre Organisation sich zur Begründung der Verarbeitung der Daten nicht auf berechtigte Interessen berufen und muss eine andere Rechtsgrundlage finden.

 

Beispiel

Ihr Unternehmen/Ihre Organisation hat ein berechtigtes Interesse, wenn die Verarbeitung in einem Kundenverhältnis stattfindet, wenn es personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, um Betrug zu verhindern oder die Netzwerk- und Informationssicherheit Ihres IT-Systems sicherzustellen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_de

 

Antwort und Beispiele

 

Antwort

Wenn eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist, müssen die folgenden Bedingungen erfüllt sein, damit diese Einwilligung Gültigkeit besitzt:

  • sie muss freiwillig erfolgen;
  • sie muss in informierter Weise geschehen;
  • sie muss für einen bestimmten Zweck gegeben werden;
  • auf alle Gründe für die Verarbeitung muss unmissverständlich hingewiesen werden;
  • sie muss ausdrücklich sein und durch eine bestätigende Handlung erfolgen (zum Beispiel ein elektronisches Kontrollkästchen, das die Person online ausdrücklich bestätigen muss, oder eine Unterschrift auf einem Formular);
  • sie nutzt eine klare und einfache Sprache und ist eindeutig wahrnehmbar;
  • es ist möglich, die Einwilligung zu widerrufen, und diese Möglichkeit wird erklärt (zum Beispiel ein Abmeldelink am Ende eines per E-Mail empfangenen Newsletters).

 

Damit die Einwilligung als freiwillig gilt, muss die Person die freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Die Einwilligung erfolgt nicht freiwillig, wenn zum Beispiel ein klares Ungleichgewicht zwischen der Person und dem Unternehmen/der Organisation besteht (zum Beispiel Beziehung zwischen Arbeitgeber und Arbeitnehmer) oder wenn ein Unternehmen/eine Organisation Personen als Bedingung für die Erfüllung eines Vertrags oder einer Dienstleistung zur Einwilligung in die Verarbeitung nicht erforderlicher personenbezogener Daten auffordert.

 

Die Einwilligung gilt als in informierter Weise gegeben, wenn die Person zumindest folgende Informationen erhält:

  • die Identität der für die Datenverarbeitung verantwortlichen Organisation;
  • die Zwecke der Datenverarbeitung;
  • die Art der verarbeiteten Daten;
  • die Möglichkeit, die Einwilligung zu widerrufen (zum Beispiel ein Abmeldelink am Ende einer E-Mail);
  • falls zutreffend, die Absicht, die Daten ausschliesslich für eine automatisierte Entscheidungsfindung einschliesslich Profiling zu verwenden;
  • wenn die Einwilligung sich auf eine internationale Datenübermittlung bezieht, die möglichen Risiken von Datenübermittlungen in Drittländer die nicht Gegenstand eines Angemessenheitsbeschlusses der Kommission sind und in denen keine angemessene Garantien bestehen.

 

Beachten Sie:

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist.

 

Beispiele

Freiwillige Einwilligung
Sie sind eine Fluggesellschaft und in Ihrer Datenschutzerklärung ist angegeben, dass personenbezogene Daten von Kunden für ein von Ihrem Unternehmen organisiertes Gewinnspiel verarbeitet werden können, bei dem ein kostenloser Flug zu gewinnen ist. Kunden, die das Kontrollkästchen aktiviert haben, um der Teilnahme am Gewinnspiel zuzustimmen, haben sich somit eindeutig einverstanden erklärt, ihre personenbezogenen Daten zum Zwecke des Gewinnspiels verarbeiten zu lassen. Die Einwilligung erfolgt zur Datenverarbeitung für die Zwecke des Gewinnspiels, jedoch nicht zu anderen Zwecken.

 

Nicht freiwillige Einwilligung
Ihr Unternehmen/Ihre Organisation bietet Filmdienste im Internet an. Bei der Erhebung der Daten für diesen Vertrag erfragen Sie auch zusätzliche Daten wie die sexuelle Orientierung und die politische Einstellung einer Person. Diese Person könnte der Auffassung sein, dass ihre Einwilligung in die Verarbeitung dieser Art von Daten für den Zugang zu den gewünschten Filmen erforderlich ist. Die Einwilligung erfolgt hier nicht freiwillig, sondern es handelt sich um eine 'gebundene Einwilligung'.

 

Europäische Kommission; 28.02.2018; bow
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_de

 

Antwort und Beispiel

 

Antwort

Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein. Wird die Einwilligung zurückgezogen, darf Ihr Unternehmen/Ihre Organisation die Daten nicht mehr verarbeiten. Sobald die Einwilligung widerrufen wurde, muss Ihr Unternehmen/Ihre Organisation sicherstellen, dass die Daten gelöscht werden, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung (zum Beispiel Speicherpflichten oder Notwendigkeit zur Vertragserfüllung) besteht.

Wurden die Daten für mehrere Zwecke verarbeitet, dürfen die personenbezogenen Daten für den Teil der Verarbeitung nicht mehr genutzt werden, für den die Einwilligung widerrufen wurde bzw. für keine Zwecke, je nachdem, welcher Art der Widerruf der Einwilligung war.

 

Beispiel

Sie versenden einen Online-Newsletter. Ihr Kunde erteilt seine Einwilligung zur Registrierung für den Online-Newsletter, der es Ihnen erlaubt, alle Daten zu seinen Interessen zu verarbeiten, um ein Profil darüber zu erstellen, an welchen Artikeln er Interesse zeigt. Ein Jahr später teilt er Ihnen mit, dass er den Online-Newsletter nicht mehr erhalten möchte. Sie müssen sämtliche personenbezogenen Daten über diese Person aus Ihrer Datenbank löschen, die im Zusammenhang mit der Registrierung für den Newsletter erhoben wurden, einschliesslich der Profile zu dieser Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-if-somebody-withdraws-their-consent_de

Antwort

 

Die folgenden personenbezogenen Daten gelten als 'sensibel' und unterliegen besonderen Verarbeitungsbedingungen:

  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen;
  • Gewerkschaftszugehörigkeit;
  • genetische Daten, biometrische Daten, die ausschliesslich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • Gesundheitsdaten;
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/what-personal-data-considered-sensitive_de

Antwort und Beispiel

Antwort

Ihr Unternehmen/Ihre Organisation darf nur dann sensible Daten verarbeiten, wenn eine der nachstehend aufgeführten Bedingungen erfüllt ist:

  • die ausdrückliche Einwilligung der Person wurde eingeholt (ein Gesetz kann diese Möglichkeit in bestimmten Fällen ausschliessen);
  • das EU- oder nationale Recht oder eine Kollektivvereinbarung verpflichtet Ihr Unternehmen/Ihre Organisation, diese Daten zu verarbeiten, um die ihm/ihr und der betroffenen Person aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben bzw. den diesbezüglichen Pflichten nachzukommen;
  • die lebenswichtigen Interessen der Person bzw. einer Person, die aus körperlichen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben, sind gefährdet;
  • Sie sind eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht, die Daten ihrer Mitglieder oder anderer Personen verarbeitet, die regelmässige Kontakte mit der Organisation unterhalten;
  • die personenbezogenen Daten wurden von der Person offensichtlich öffentlich gemacht;
  • die Daten werden zur Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen benötigt;
  • die Daten werden aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für die Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Beschäftigten, medizinischer Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des EU- oder nationalen Rechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs verarbeitet;
  • die Daten werden aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU- oder nationalen Rechts verarbeitet;
  • die Daten werden für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke auf der Grundlage des EU- oder nationalen Rechts verarbeitet.

Für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können im nationalen Recht weitere Bedingungen auferlegt werden. Fragen Sie bei Ihrer nationalen Datenschutzbehörde nach.

 

Beispiel

Sie dürfen sensible Daten verarbeiten
Ein Arzt empfängt eine Reihe Patienten in seiner Klinik. Er registriert die Besuche in einer Datenbank, in der Felder wie Name/Vorname des Patienten, Beschreibung der Symptome und verschriebene Medikamente aufgeführt sind. Hierbei handelt es sich um sensible Daten. Die Verarbeitung von Gesundheitsdaten durch die Klinik ist im Rahmen der Datenschutzverordnung erlaubt, da sie für die Behandlung der Person erforderlich ist und im Verantwortungsbereich eines Arztes liegt, der einer beruflichen Geheimhaltungspflicht unterliegt.

 

Sie dürfen sensible Daten nicht verarbeiten
Ihr Unternehmen vertreibt Kleidung über das Internet. Sie fragen zur Anpassung Ihrer Dienstleistung an den Kunden nach Angaben zur Grösse, bevorzugten Farbe, Zahlungsmethode, zum Namen und zur Adresse, um das Produkt liefern zu können. Darüber hinaus fragt Ihr Unternehmen nach den politischen Ansichten seiner Kunden. Sie benötigen die meisten dieser Informationen, um Ihre vertraglichen Pflichten zu erfüllen. Die politischen Ansichten Ihrer Kunden werden jedoch zur Herstellung und Lieferung der Kleidungsstücke nicht benötigt. Diese Informationen dürfen Sie im Rahmen dieses Vertragsverhältnisses nicht erfragen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/sensitive-data/under-what-conditions-can-my-company-organisation-process-sensitive-data_de

 

Antwort und Beispiele

Antwort

Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen.

 

Ihr Unternehmen/Ihre Organisation ist ein gemeinsam Verantwortlicher, wenn es/sie gemeinsam mit einer oder mehreren Organisationen festlegt, „wofür“ und „wie“ personenbezogene Daten verarbeitet werden sollen. Gemeinsam Verantwortliche gehen eine Vereinbarung ein, in der festgelegt wird, wer von ihnen welche Verpflichtungen gemäss den Vorschriften der Datenschutz-Grundverordnung erfüllt. Die wesentlichen Punkte der Vereinbarung müssen den Personen mitgeteilt werden, deren Daten verarbeitet werden.

 

Der Auftragsverarbeiter verarbeitet ausschliesslich im Auftrag des Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter ist in der Regel ein Dritter ausserhalb des Unternehmens. Bei Unternehmensgruppen kann jedoch ein Unternehmen als Auftragsverarbeiter für ein anderes fungieren.

 

Die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Vertrag oder sonstigen Rechtsakt festgehalten. Der Vertrag muss unter anderem Angaben dazu machen, was mit den personenbezogenen Daten geschieht, sobald er ausgelaufen ist. Eine übliche Tätigkeit von Auftragsverarbeitern ist die Bereitstellung von IT-Lösungen einschliesslich Speicherung in einer Cloud. Der Auftragsverarbeiter darf nur einen Teil seiner Aufgabe per Unterauftrag an einen anderen Auftragsverarbeiter vergeben oder einen gemeinsamen Auftragsverarbeiter ernennen, wenn er die vorherige schriftliche Einwilligung des Verantwortlichen erhalten hat.

In gewissen Situationen kann eine Einrichtung Verantwortlicher, Auftragsverarbeiter oder beides sein.

 

Beispiele

Verantwortlicher und Auftragsverarbeiter
Eine Brauerei hat viele Mitarbeiter. Sie unterzeichnet einen Vertrag mit einem Lohnabrechnungsunternehmen, damit dieses die Abrechnung der Gehälter übernimmt. Die Brauerei unterrichtet das Lohnabrechnungsunternehmen, wann die Gehälter gezahlt werden sollen, wenn ein Mitarbeiter das Unternehmen verlässt oder eine Lohnerhöhung erhält, und stellt alle weiteren Informationen zur Gehaltsabrechnung und Bezahlung zur Verfügung. Das Lohnabrechnungsunternehmen stellt das IT-System und speichert die Mitarbeiterdaten. Die Brauerei ist der Verantwortliche und das Lohnabrechnungsunternehmen der Auftragsverarbeiter.

 

Gemeinsam Verantwortliche
Ihr Unternehmen/Ihre Organisation bietet über eine Internetplattform Kinderbetreuungsdienste an. Gleichzeitig hat Ihr Unternehmen/Ihre Organisation einen Vertrag mit einem anderen Unternehmen, der es Ihnen ermöglicht, Zusatzleistungen anzubieten. Diese Zusatzleistungen beinhalten die Möglichkeit, dass Eltern nicht nur den Kinderbetreuer auswählen, sondern auch Spiele und DVDs ausleihen, die der Kinderbetreuer mitbringt. Beide Unternehmen sind an der technischen Einrichtung der Website beteiligt. In diesem Fall haben die beiden Unternehmen sich dazu entscheiden, die Plattform für beide Zwecke zu nutzen (Kinderbetreuungsdienste und Verleih von DVDs/Spielen), und übermitteln sehr häufig Kundennamen. Die beiden Unternehmen sind daher gemeinsam Verantwortliche, da sie nicht nur vereinbart haben, die Möglichkeit „kombinierter Dienstleistungen“ anzubieten, sondern auch am Design einer gemeinsamen Plattform arbeiten und diese nutzen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_de

 

Antwort und Beispiele

Antwort

Jemand anders (eine natürliche oder juristische Person oder sonstige Stelle) darf personenbezogene Daten in Ihrem Auftrag verarbeiten, sofern ein Vertrag oder sonstiger Rechtsakt dies vorsieht. Es ist wichtig, dass der von Ihnen ernannte Auftragsverarbeiter hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Massnahmen getroffen werden, die den Anforderungen der Datenschutz-Grundverordnung genügen und den Schutz der Rechte von Personen gewährleisten.

 

Der ernannte Auftragsverarbeiter kann ohne Ihre vorherige, gesonderte oder allgemeine schriftliche Genehmigung keinen weiteren Auftragsverarbeiter in Anspruch nehmen. Der Vertrag oder Rechtsakt zwischen Ihrem Unternehmen/Ihrer Organisation und dem Auftragsverarbeiter sollte unter anderem die folgenden Elemente umfassen:

  • die personenbezogenen Daten werden nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;
  • der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • der Auftragsverarbeiter bietet ein vom Verantwortlichen festgelegtes Mindestschutzniveau;
  • der Auftragsverarbeiter unterstützt Sie bei der Gewährleistung der Einhaltung der Datenschutz-Grundverordnung.

 

Beispiele

Ein Bauunternehmen nutzt einen Unterauftragnehmer für bestimmte Bauarbeiten und stellt diesem die Kontaktdaten der Kunden zur Verfügung, bei denen die Bauarbeiten stattfinden. Der Unterauftragnehmer verarbeitet die Daten weiter, um den Kunden Werbematerial zu schicken. Der Unterauftragnehmer gilt hier nicht nur als „Auftragsverarbeiter“ gemäss der Datenschutz-Grundverordnung, da er die personenbezogenen Daten nicht ausschliesslich im Auftrag des Bauunternehmens verarbeitet, sondern auch für eigene Zwecke weiterverarbeitet. Der Unterauftragnehmer handelt daher als „Verantwortlicher“.

 

Sie sind ein Einzelhandelsunternehmen, das sich dazu entschliesst, eine Sicherungsdatei seiner Kundendatenbank auf einem Cloud-Server zu speichern. Zu diesem Zweck gehen Sie einen Vertrag mit einem Cloud-Anbieter ein, der für seine Datenschutzstandards bekannt ist und zusätzlich über ein zertifiziertes System zur Verschlüsselung von Daten verfügt. Der Cloud-Anbieter ist Ihr Auftragsverarbeiter, da er durch die Speicherung der personenbezogenen Daten Ihrer Kunden auf seinen Servern in Ihrem Auftrag personenbezogene Daten verarbeitet.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/can-someone-else-process-data-my-organisations-behalf_de

 

Antwort

Antwort

Die Datenschutz-Grundverordnung beruht auf einem risikobasierten Ansatz. Dies bedeutet, dass Unternehmen/Organisationen, die personenbezogene Daten verarbeiten, dazu angehalten sind, entsprechend der Risikostufe ihrer Verarbeitungstätigkeiten Schutzmassnahmen einzuführen. Die Pflichten eines Unternehmens, das viele Daten verarbeitet, sind daher umfangreicher als jene für ein Unternehmen, das nur wenige Daten verarbeitet.

 

Die Wahrscheinlichkeit, dass ein Unternehmen/eine Organisation, das/die viele Daten verarbeitet, einen Datenschutzbeauftragten einstellen muss, ist zum Beispiel höher als bei einem Unternehmen/einer Organisation, das/die wenige Daten verarbeitet (dies korrespondiert in diesem Fall mit dem Begriff der Verarbeitung personenbezogener Daten „in grossem Umfang“). Die Art der personenbezogenen Daten und die Auswirkungen der beabsichtigten Verarbeitung spielen ebenfalls eine Rolle. Die Verarbeitung weniger, jedoch sensibler Daten (zum Beispiel Gesundheitsdaten) erfordert die Umsetzung strengerer Massnahmen, um die Datenschutz-Grundverordnung einzuhalten.

In jedem Fall müssen die Grundsätze des Datenschutzes eingehalten werden, und es muss Personen ermöglicht werden, ihre Rechte wahrzunehmen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/risk-based-approach/are-obligations-same-regardless-amount-data-my-company-organisation-handles_de

 

Antwort und Beispiele

Antwort

Unternehmen/Organisationen sind angehalten, zum frühestmöglichen Zeitpunkt der Gestaltung der Verarbeitungsvorgänge technische und organisatorische Massnahmen zu treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren („Datenschutz durch Technikgestaltung“). Durch Voreinstellung sollen Unternehmen/Organisationen sicherstellen, dass personenbezogene Daten mit dem grösstmöglichen Datenschutz (zum Beispiel sollten ausschliesslich benötigte Daten verarbeitet werden, kurze Speicherfristen und begrenzte Zugänglichkeit vorgesehen werden) verarbeitet werden, damit diese Daten von vornherein nicht einer unbestimmten Zahl von Personen zugänglich gemacht werden („datenschutzfreundliche Voreinstellungen“).

 

Beispiele

Datenschutz durch Technikgestaltung
Die Nutzung der Pseudonymisierung (Ersatz personenbezogener Informationen durch künstliche Kennungen) und Verschlüsselung (Kodierung von Nachrichten, damit nur Befugte sie lesen können).

 

Datenschutzfreundliche Voreinstellungen
soziale Medien-Plattformen sollten ermutigt werden, die Voreinstellung der Nutzerprofile auf bestmögliche datenschutzfreundliche Weise vorzunehmen, indem zum Beispiel von Beginn an die Zugänglichkeit zum Nutzerprofil eingeschränkt wird, sodass es nicht durch Voreinstellung einer unbestimmten Zahl von Personen zugänglich ist.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-design-and-default/what-does-data-protection-design-and-default-mean_de

 

Antwort und Beispiele

Antwort

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevantes Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Ihre Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten. Wenn Ihr Unternehmen/Ihre Organisation Auftragsverarbeiter ist, meldet es/sie jede Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen.

Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, so müssen diese ebenfalls informiert werden, sofern keine wirksamen technischen und organisatorischen Massnahmen bzw. sonstigen Massnahmen umgesetzt wurden, die gewährleisten, dass dieses Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.

Es ist entscheidend, als Organisation geeignete technische und organisatorische Massnahmen zu treffen, um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden.

 

Beispiele

Organisation muss Datenschutzbehörde und betroffene Personen unterrichten
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Diese Daten umfassten die Privatadressen, Familienzusammensetzungen, monatlichen Gehälter und Krankenversicherungsansprüche aller Mitarbeiter. Das Textilunternehmen ist hier verpflichtet, die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu unterrichten. Da die personenbezogenen Daten sensible Daten wie Gesundheitsdaten umfassen, muss das Unternehmen seine Mitarbeiter ebenfalls benachrichtigen.

 

Ein Krankenhausmitarbeiter kopiert Patientendaten auf eine CD und veröffentlicht sie im Internet. Das Krankenhaus findet es einige Tage später heraus. Nachdem das Krankenhaus es herausgefunden hat, muss es die Aufsichtsbehörde binnen 72 Stunden darüber unterrichten, und da die personenbezogenen Daten sensible Informationen beinhalten, zum Beispiel darüber, ob ein Patient an Krebs erkrankt ist, schwanger ist usw., muss es auch die Patienten darüber informieren. In diesem Fall würden Zweifel bestehen, ob das Krankenhaus geeignete technische und organisatorische Schutzmassnahmen getroffen hat. Hätte es geeignete Schutzmassnahmen getroffen (zum Beispiel die Verschlüsselung von Daten), wäre das Bestehen eines wesentlichen Risikos unwahrscheinlich und das Krankenhaus könnte von der Pflicht, die Patienten zu unterrichten, befreit sein.

 

Unternehmen muss Kunden unterrichten und diese müssen dann eventuell die Datenschutzbehörde und betroffene Personen informieren
Ein Cloud-Dienst verliert mehrere Festplatten, auf denen personenbezogene Daten von mehreren seiner Kunden gespeichert sind. Er muss diese Kunden unverzüglich unterrichten, wenn ihm die Verletzung des Schutzes personenbezogener Daten bekannt wird. Seine Kunden müssen in Abhängigkeit von den durch den Auftragsverarbeiter verarbeiteten Daten möglicherweise die Datenschutzbehörde und die betroffenen Personen benachrichtigen.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-breaches/what-data-breach-and-what-do-we-have-do-case-data-breach_de

 

 

 

Antwort und Beispiele

Antwort

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschliesslich Profiling;
  • umfangreiche Verarbeitung sensibler Daten;
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Massnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.

 

Beispiele

Datenschutz-Folgenabschätzung erforderlich
Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen.

 

Datenschutz-Folgenabschätzung nicht erforderlich
Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in grossem Umfang erfolgt.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/impact-assessments/when-data-protection-impact-assessment-dpia-required_de

 

Antwort und Beispiele

Antwort

Ihr Unternehmen/Ihre Organisation muss als Verantwortlicher oder Auftragsverarbeiter einen Datenschutzbeauftragten ernennen, wenn seine/ihre Kerntätigkeiten die Verarbeitung sensibler Daten in grossem Umfang bzw. die regelmässige systematische Überwachung von Personen in grossem Umfang umfassen. Die Überwachung des Verhaltens betroffener Personen umfasst in diesem Zusammenhang jegliche Form der Verfolgung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung.

 

Öffentliche Behörden haben (mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit) grundsätzlich eine Verpflichtung, einen Datenschutzbeauftragten zu ernennen.

 

Der Datenschutzbeauftragte kann Beschäftigter Ihrer Organisation sein oder auf der Grundlage eines Dienstleistungsvertrags extern beauftragt werden. Der Datenschutzbeauftragte kann eine Person oder Organisation sein.


Beispiele

Datenschutzbeauftragter zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist zum Beispiel zwingend vorgeschrieben, wenn Ihr Unternehmen/Ihre Organisation:

  • ein Krankenhaus ist, das sensible Daten in grossem Umfang verarbeitet;
  • eine Sicherheitsfirma ist, die für die Überwachung von Einkaufszentren und öffentlichen Plätzen verantwortlich ist;
  • eine kleine Personalberatung ist, die Profile von Personen erstellt.

 

Datenschutzbeauftragter nicht zwingend vorgeschrieben
Ein Datenschutzbeauftragter ist nicht zwingend vorgeschrieben, wenn

  • Sie ein Gemeindearzt sind und die personenbezogenen Daten Ihrer Patienten verarbeiten;
  • Sie eine kleine Anwaltskanzlei haben und die personenbezogenen Daten Ihrer Mandanten verarbeiten.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_de

 

Antwort

Antwort

Der Datenschutzbeauftragte unterstützt den Verantwortlichen oder Auftragsverarbeiter in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und ihrer Beschäftigten hinsichtlich ihrer Pflichten nach der Datenschutzverordnung;
  • Überwachung der Einhaltung aller Datenschutzvorschriften durch die Organisation einschliesslich Überprüfungen, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter;
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Tätigkeit als Anlaufstelle für Anfragen von Personen in mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte zusammenhängenden Fragen;
  • Zusammenarbeit mit den Datenschutzbehörden und Tätigkeit als Anlaufstelle für Datenschutzbehörden in mit der Verarbeitung zusammenhängenden Fragen.

 

Die Organisation muss den Datenschutzbeauftragten frühzeitig einbinden. Der Datenschutzbeauftragte darf vom Verantwortlichen oder Auftragsverarbeiter keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhalten. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene der Organisation.

 

Europäische Kommission; 28.02.2018; bow

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/what-are-responsibilities-data-protection-officer-dpo_de

Mit Bundesdatenschutzgesetz 2018

 

Autoren: Flemming Moos, Jens Schefzig, Marian Arning

ISBN-10: 3110338505

Grundlagen - Dimensionen - Verflechtungen

 

Autor: Nikolaus Marsch

ISBN-10: 3161554221

Haben Sie eine Weiterbildung mit einem Titel gemacht, dessen Aufrechterhaltung eine Weiterbildungspflicht beinhaltet?

Gerne bestätigen wir Ihnen als Ausbildungsinstitut die Anzahl besuchter Stunden an einem unserer Lehrgänge oder Themenkurse.

Diese Bestätigung können Sie bei Ihrer Organisation, die Ihnen den Zertifikatstitel vergeben hat, vorlegen. Diese Organisationen entscheiden frei, ob Sie und wie viele Anzahl CPE Hours oder CPE Credits (continuing professional education) erhalten.

Bitte senden Sie uns die nötigen Angaben zu Ihrem besuchten Swiss Infosec AG-Anlass. Der Weiterbildungsnachweis wird Ihnen nach interner Prüfung zugestellt.

Die Swiss Infosec AG unterstützt Sie auf Ihrem Weg zu mehr Sicherheitskompetenz und steht Ihnen auch gerne beratend zur Seite. Zögern Sie deshalb nicht, uns zu kontaktieren: +41 41 984 12 12, infosec@infosec.ch


Ausbildungsnachweis
Natürlich 100% vertraulich, kostenfrei und unverbindlich!


Grundlagen über die datenschutzrechtlichen Anforderungen gemäss Schweizer Datenschutzgesetz.
Dieser Kurs wird von Digicomp durchgeführt.

Überblick, Grundlagen und praktische Anwendung des Datenschutzgesetzes der Schweiz.

Schulung über die Aufgaben des Datenschutzbeauftragten (DPO). (DSGVO Professional)

Erweiterte Grundlagen und Praxiswissen spezifisch für Schweizer Unternehmen. (DSGVO Advanced)

Lehrgang für Betriebliche Datenschutz-Verantwortliche (BDSV) gemäss Schweizer Datenschutzgesetz (DSG).

Antwort und Beispiele

Die Datenschutz-Grundverordnung gilt für

  • ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet; oder
  • ein Unternehmen, das ausserhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.

 

Wenn Ihr Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten gemäss den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die „Kerntätigkeiten“ Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.

 

Beispiele

Anwendungsbereich der Verordnung eröffnet
Ihr Unternehmen ist ein kleines Unternehmen im Bereich der Hochschulbildung und ist mit einer Niederlassung mit Sitz ausserhalb der EU online tätig. Es hat in erster Linie Universitäten mit spanischer und portugiesischer Sprache in der EU als Zielgruppe. Es bietet kostenlose Beratung für eine Reihe von Studiengängen, und die Studenten benötigen für den Zugriff auf Ihre Online-Materialien einen Benutzernamen und ein Kennwort. Ihr Unternehmen stellt diesen Benutzernamen und das Kennwort bereit, sobald die Studenten ein Anmeldeformular ausgefüllt haben.

 

Anwendungsbereich der Verordnung nicht eröffnet
Ihr Unternehmen ist ein Dienstleister mit Sitz ausserhalb der EU. Es bietet Kunden ausserhalb der EU Dienstleistungen an. Seine Kunden können seine Dienste nutzen, wenn sie in andere Länder reisen, auch innerhalb der EU. Sofern Ihr Unternehmen seine Dienste nicht gezielt auf Personen in der EU ausrichtet, fällt es nicht unter die Vorschriften der Datenschutz-Grundverordnung.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/who-does-data-protection-law-apply_de

Antwort

Ja, die Anwendung der Datenschutz-Grundverordnung ist nicht von der Grösse Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig. Tätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, lösen die Anwendung strengerer Vorschriften aus, egal ob ein KMU oder eine grosse Gesellschaft diese Tätigkeiten ausüben. Einige der Pflichten der Datenschutz-Grundverordnung gelten jedoch möglicherweise nicht für alle KMU.

 

Unternehmen mit weniger als 250 Mitarbeitern müssen zum Beispiel kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmässige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten bzw. Strafregister betrifft.

 

KMU müssen nur dann einen Datenschutzbeauftragten ernennen, wenn die Verarbeitung ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (zum Beispiel die Beobachtung von Personen oder die Verarbeitung sensibler Daten oder von Strafregistern) darstellt, insbesondere, da sie in grossem Umfang stattfindet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-rules-apply-smes_de

Antwort

Nein, die Vorschriften gelten ausschliesslich für personenbezogene Daten natürlicher Personen, sie regeln nicht die Daten von Unternehmen oder anderen juristischen Personen. Einpersonengesellschaften betreffende Informationen können jedoch personenbezogene Daten darstellen, wenn sie die Identifizierung einer natürlichen Person ermöglichen.

Die Vorschriften gelten ebenfalls für alle personenbezogenen Daten von natürlichen Personen in Ausübung einer beruflichen Tätigkeit, zum Beispiel geschäftliche E-Mail-Adressen wie „vorname.nachname@unternehmen.eu“ oder die beruflichen Telefonnummern der Mitarbeiter.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_de

Antwort und Beispiel

Die Art und Anzahl der personenbezogenen Daten, die ein Unternehmen/eine Organisation verarbeiten kann, hängt vom Grund ihrer Verarbeitung (rechtlicher Grund) und der beabsichtigen Nutzung ab. Das Unternehmen/die Organisation muss mehrere wesentliche Vorschriften beachten, unter anderem:

  • müssen personenbezogene Daten auf rechtmässige und nachvollziehbare Weise verarbeitet werden, und gegenüber den Personen, deren Daten verarbeitet werden, muss Fairness gewährleistet sein („Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden; ein Unternehmen/eine Organisation darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben („Zweckbindung“);
  • das Unternehmen/die Organisation darf ausschliesslich jene personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind („Datenminimierung“);
  • das Unternehmen/die Organisation muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand hinsichtlich der Zwecke sind, für die sie verarbeitet werden, und sie berichtigen, wenn dies nicht der Fall ist („Richtigkeit“);
  • das Unternehmen/die Organisation darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck der Erhebung vereinbar sind;
  • das Unternehmen/die Organisation muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden („Speicherbegrenzung“);
  • das Unternehmen/die Organisation muss angemessene technische und organisatorische Garantien einbauen, mit denen die Sicherheit der personenbezogenen Daten, einschliesslich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird („Integrität und Vertraulichkeit“).

 

Beispiel

Ihr Unternehmen/Ihre Organisation betreibt ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren. Die Verarbeitung sollte so angepasst werden, dass die wesentlichen Datenschutzgrundsätze eingehalten werden.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/overview-principles/what-data-can-be-processed-and-under-which-conditions_de

Antwort

Nein. Der Zweck der Verarbeitung personenbezogener Daten muss bekannt sein und die Personen, deren Daten verarbeitet werden, müssen darüber unterrichtet werden. Es ist nicht möglich, einfach anzugeben, dass personenbezogene Daten erhoben und verarbeitet werden. Dieser Grundsatz wird als „Zweckbindung“ bezeichnet.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-data-be-processed-any-purpose_de

Antwort und Beispiele

Ja, aber nur in bestimmten Fällen. Wenn ein Unternehmen/eine Organisation Daten auf der Grundlage eines berechtigten Interesses, eines Vertrags oder lebenswichtiger Interessen erhoben hat, dürfen diese für einen anderen Zweck verwendet werden, aber erst, nachdem überprüft wurde, dass der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.

 

Folgendes sollte berücksichtigt werden:

  • die Verbindung zwischen dem ursprünglichen und neuen/zukünftigen Zweck;
  • der Zusammenhang, in dem die Daten erhoben wurden (Welche Beziehung besteht zwischen Ihrem Unternehmen/Ihrer Organisation und der betroffenen Person?);
  • die Art der Daten (Sind es sensible Daten?);
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung (Welche Auswirkungen hat sie für die betroffene Person?);
  • das Vorhandensein geeigneter Garantien (wie Verschlüsselung oder Pseudonymisierung).

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten für Statistiken oder wissenschaftliche Forschung nutzen möchte, ist es nicht erforderlich, die Vereinbarkeitsprüfung durchzuführen.

 

Wenn Ihr Unternehmen/Ihre Organisation die Daten auf der Grundlage einer Einwilligung oder einer rechtlichen Bestimmung erhoben hat, ist eine Weiterverarbeitung über die durch die ursprüngliche Einwilligung oder rechtliche Bestimmung abgedeckten Bereiche hinaus nicht möglich. Für die weitere Verarbeitung wäre die Einholung einer neuen Einwilligung oder eine neue Rechtsgrundlage erforderlich.

 

Beispiele

Weiterverarbeitung möglich

Eine Bank verfügt über einen Vertrag mit einem Kunden, der dem Kunden ein Bankkonto und ein Privatdarlehen gewährt. Am Ende des ersten Vertragsjahrs verwendet die Bank die personenbezogenen Daten des Kunden, um zu überprüfen, ob er für eine bessere Darlehensvariante und einen Sparplan infrage kommt. Sie unterrichtet den Kunden. Die Bank darf die Kundendaten erneut verarbeiten, da der neue Zweck mit den ursprünglichen Zwecken vereinbar ist.

 

Weiterverarbeitung nicht möglich

Dieselbe Bank möchte die Kundendaten auf der Grundlage des genannten Vertrags für ein Bankkonto und ein Privatdarlehen an ein Versicherungsunternehmen weitergeben. Diese Verarbeitung ist ohne die ausdrückliche Einwilligung des Kunden unzulässig, da der Zweck nicht mit dem ursprünglichen Zweck der Datenverarbeitung vereinbar ist.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de

Antwort und Beispiel

Personenbezogene Daten sollten nur verarbeitet werden, wenn es nach allgemeinem Ermessen unmöglich ist, die Verarbeitung auf andere Weise durchzuführen. Sofern es möglich ist, sollten möglichst anonyme Daten verwendet werden.

 

Wenn personenbezogene Daten erforderlich sind, sollten diese dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“). Es obliegt der Verantwortung Ihres Unternehmens/Ihrer Organisation, als Verantwortlicher zu bewerten, wie viele Daten erforderlich sind, und zu gewährleisten, dass nicht relevante Daten nicht erhoben werden.

 

Beispiel

Ihr Unternehmen/Ihre Organisation bietet Car Sharing-Dienstleistungen für Privatpersonen an. Für diese Dienste benötigt es/sie Name, Adresse und Kreditkartennummer der Kunden und eventuell Informationen darüber, ob die Person eine Behinderung hat (also Gesundheitsdaten), nicht aber über die rassische Herkunft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/data-minimisation/how-much-data-can-be-collected_de

Antwort und Beispiel

Daten müssen so kurz wie möglich gespeichert werden. Der Zeitraum sollte die Gründe für die Verarbeitung der Daten sowie rechtliche Verpflichtungen zur Aufbewahrung der Daten für einen festgelegten Zeitraum (zum Beispiel wenn das nationale Arbeits-, Steuer- oder Betrugsbekämpfungsrecht vorsieht, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten der Mitarbeiter für einen festgelegten Zeitraum aufbewahren muss, Dauer der Produktgewährleistung, usw.) berücksichtigen.

 

Ihr Unternehmen/Ihre Organisation sollte Fristen zur Löschung oder Überprüfung der gespeicherten Daten festlegen.

 

Ausnahmsweise dürfen personenbezogene Daten zu Archivzwecken im öffentlichen Interesse oder bei wissenschaftlicher oder historischer Forschung länger aufbewahrt werden, sofern geeignete technische und organisatorische Massnahmen (wie Anonymisierung, Verschlüsselung usw.) getroffen werden.

 

Ihr Unternehmen/Ihre Organisation muss zudem sicherstellen, dass die aufbewahrten Daten sachlich richtig und auf dem neuesten Stand sind.

 

Beispiel

Daten wurden zu lange ohne Aktualisierung aufbewahrt

Ihr Unternehmen/Ihre Organisation betreibt eine Arbeitsvermittlung und sammelt zu diesem Zweck die Lebensläufe von Personen, die eine Beschäftigung suchen und Ihnen für Ihre Vermittlungsdienstleistungen ein Entgelt zahlen. Sie planen, die Daten 20 Jahre lang aufzubewahren, und treffen keine Massnahmen zur Aktualisierung der Lebensläufe. Die Speicherfrist erscheint dem Zweck, kurz- bis mittelfristig Beschäftigung für eine Person zu finden, unangemessen. Die Tatsache, dass Sie keine regelmässige Aktualisierung der Lebensläufe verlangen, macht einige der Suchanfragen für die Beschäftigung suchende Person nach einem gewissen Zeitraum nutzlos (zum Beispiel da die Person neue Qualifikationen erworben hat).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/storage-periods/how-long-can-data-be-kept-and-it-necessary-update-it_de

Antwort

Zum Zeitpunkt der Erhebung ihrer Daten müssen Personen mindestens über Folgendes in klarer Weise informiert werden:

  • wer Ihr Unternehmen/Ihre Organisation ist (Ihre Kontaktdaten und die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend);
  • warum Ihr Unternehmen/Ihre Organisation die personenbezogenen Daten nutzen wird (Zwecke);
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Rechtsgrundlage für die Verarbeitung ihrer Daten;
  • wie lange die Daten aufbewahrt werden;
  • welche weiteren Empfänger die Daten erhalten könnten;
  • ob die personenbezogenen Daten in ein Land ausserhalb der EU übermittelt werden;
  • dass sie das Recht auf eine Kopie der Daten (Auskunftsrecht) sowie weitere grundlegende Rechte im Bereich des Datenschutzes (siehe vollständige Liste der Rechte) haben;
  • das Bestehen ihres Beschwerderechts bei einer Datenschutzbehörde;
  • ihr Recht, die Einwilligung jederzeit zurückzuziehen;
  • sofern zutreffend, das Bestehen einer automatisierten Entscheidungsfindung, nach welcher Logik die entsprechende Verarbeitung erfolgt und welche Auswirkungen sie hat.

 

Siehe die vollständige Liste der bereitzustellenden Informationen.

 

Die Informationen können schriftlich oder mündlich auf Antrag der Person, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde, oder gegebenenfalls auf elektronischem Weg erteilt werden. Ihr Unternehmen/Ihre Organisation muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich übermitteln.

 

Falls Daten durch ein anderes Unternehmen/eine andere Organisation erhoben werden, sollte Ihr Unternehmen/Ihre Organisation der betroffenen Person die oben genannten Informationen spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten erteilen; oder sofern Ihr Unternehmen/Ihre Organisation mit der Person kommuniziert, zum Zeitpunkt, zu dem die Daten zur Kommunikation mit der betroffenen Person verwendet werden; oder falls die Offenlegung an ein anderes Unternehmen beabsichtigt ist, zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.

 

Ihr Unternehmen/Ihre Organisation ist ebenso verpflichtet, die Person über die Kategorien von Daten und darüber zu unterrichten, aus welcher Quelle die personenbezogenen Daten stammen, einschliesslich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen. Unter bestimmten, in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Datenschutz-Grundverordnung aufgeführten Umständen kann Ihr Unternehmen/Ihre Organisation von der Pflicht, die Person zu unterrichten, befreit werden. Prüfen Sie, ob eine solche Befreiung auf Ihr Unternehmen/Ihre Organisation zutrifft.

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/transparency/what-information-must-be-given-individuals-whose-data-collected_de

Antwort und Beispiele

Ihr Unternehmen/Ihre Organisation darf nur unter folgenden Umständen personenbezogene Daten verarbeiten:

  • mit Einwilligung der betroffenen Personen;
  • bei Bestehen einer vertraglichen Verpflichtung (ein Vertrag zwischen Ihrem Unternehmen/Ihrer Organisation und einem Kunden);
  • zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht);
  • wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist;
  • zum Schutz lebenswichtiger Interessen einer Person;
  • aus berechtigten Interessen Ihrer Organisation, aber nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person die Interessen Ihrer Organisation überwiegen, scheidet das berechtigte Interesse Ihrer Organisation als Grundlage für die Datenverarbeitung aus. Die Bewertung, ob das berechtigte Interesse Ihres Unternehmens/Ihrer Organisation an der Verarbeitung die Interessen der betroffenen Personen überwiegt, hängt von den Umständen des Einzelfalls ab.

Beispiele

Einwilligung

Ihr Unternehmen/Ihre Organisation bietet eine Musik-App an und verlangt nach der Einwilligung der Nutzer zur Verarbeitung ihrer musikalischen Vorlieben, um passende Musiktitel und mögliche Konzerte zu empfehlen.

 

Vertragliche Verpflichtung

Ihr Unternehmen/Ihre Organisation verkauft Waren online. Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Massnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.

 

Rechtliche Verpflichtung

Sie führen ein Unternehmen mit Mitarbeitern. Sie sind im Rahmen der Sozialversicherung gesetzlich dazu verpflichtet, der zuständigen Behörde personenbezogene Daten (zum Beispiel wöchentliches Einkommen Ihrer Mitarbeiter) zur Verfügung zu stellen.

 

Öffentliches Interesse

Beispiel: Eine Berufsvereinigung, wie zum Beispiel eine Anwalts- oder Ärztekammer, der die entsprechende öffentliche Gewalt übertragen wurde, kann Disziplinarverfahren gegen ihre Mitglieder durchführen.

 

Lebenswichtiges Interesse einer Person

Ein Krankenhaus behandelt einen Patienten nach einem verheerenden Verkehrsunfall. Das Krankenhaus benötigt nicht die Einwilligung dieser Person, um nach ihrem Ausweis zu suchen, um zu überprüfen, ob in der Datenbank des Krankenhauses die medizinische Vorgeschichte zu finden ist, oder um ihre Angehörigen zu kontaktieren.

 

Die berechtigten Interessen Ihrer Organisation

Ihr Unternehmen/Ihre Organisation stellt die Netzwerksicherheit sicher, indem Sie die Nutzung der IT-Geräte Ihrer Mitarbeiter überwachen. Ihr Unternehmen/Ihre Organisation darf personenbezogene Daten zu diesem Zweck nur dann verarbeiten, wenn Sie die schonendste Methode hinsichtlich der Privatsphäre und Datenschutzrechte Ihrer Mitarbeiter anwenden, zum Beispiel indem Sie den Zugriff auf bestimmte Websites einschränken. (Beachten Sie, dass dies in EU-Mitgliedstaaten, in denen das nationale Recht strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht, nicht möglich ist).

 

Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-can-personal-data-be-processed_de

Formularhandbuch Datenschutzrecht

 

Autoren: Ansgar Koreng (Herausgeber),‎    Matthias Lachenmann (Herausgeber),‎    Bilal Abedin (Bearbeitung),‎    Holger Achtermann (Bearbeitung),‎    Matthias Bergt (Bearbeitung),‎    Nikolaus Bertermann (Bearbeitung),‎    Martin Braun (Bearbeitung),‎    Stefan Brink (Bearbeitung),‎    Christian Diekmann (Bearbeitung),‎    Michael Huth (Bearbeitung),‎    Jörg Jaenichen (Bearbeitung),‎    Olaf Koglin (Bearbeitung),‎    Sascha Kremer (Bearbeitung),‎    Joachim Müller (Bearbeitung),‎    Malaika Nolde (Bearbeitung),‎    Carlo Piltz (Bearbeitung),‎    Frederike Rehker (Bearbeitung),‎    Stefan Sander (Bearbeitung),‎    Stephan Schmidt (Bearbeitung),‎    Sebastian Schwiering (Bearbeitung),‎    Steffen Weiß (Bearbeitung),‎    Bernhard C. Witt (Bearbeitung)

ISBN-10: 3406695426

Grundlagen und Anwendungen (Edition HMD)

 

Autor Matthias Knoll und Autorin Susanne Strahringer

ISBN-10: 3658200588

Digital Banking

 

Autoren Volker Brühl und‎ Joachim Dorschel

ISBN-10: 3658188898

Praxishandbuch zum Arbeitnehmerdatenschutz

 

Autoren Stephan Weth (Herausgeber, Bearbeitung),‎ Maximilian Herberger (Herausgeber, Bearbeitung),‎ Michael Wächter (Herausgeber, Bearbeitung),‎ Christoph Sorge (Herausgeber),‎ Ulrich Baumgartner (Bearbeitung),‎ Thomas Breyer (Bearbeitung),‎ Dominic Broy (Bearbeitung),‎ Philipp Byers (Bearbeitung),‎ Franz Josef Düwell (Bearbeitung),‎ Jan Fritz Geiger (Bearbeitung),‎ Yvonne Gutting (Bearbeitung),‎ Ines M. Hassemer (Bearbeitung),‎ Dennis Heinson (Bearbeitung),‎ Stefan Kramer (Bearbeitung),‎ Sebastian Overkamp (Bearbeitung),‎ Bernd Schmidt (Bearbeitung),‎ Hendrik Schöttle (Bearbeitung),‎ Katharina Sicking (Bearbeitung),‎ Christian Willert (Bearbeitung)

ISBN-10: 3406711863

Big Data – Ein kleiner Überblick

Big Data ist schon seit Längerem ein Schlüsselbegriff für die Digitalisierung, der sowohl für Chancen als auch für Risiken steht. Die Chancen liegen primär im wirtschaftlichen Bereich, und in zweiter Linie bilden Big Data eine Ressource für die zivile Sicherheit.
Die Risiken liegen in der intransparenten Beobachtung und möglichen Fremdsteuerung des Verhaltens von Kunden und Bürgern. Unter Big Data versteht man die Sammlung, Zusammenführung und Auswertung von Daten über alle Lebenszyklen von Gütern und über ihre Umgebungen bei der Beschaffung, Herstellung, Ausführung und beim Vertrieb und Kundendienst. Die Daten kommen aus allen Bereichen über einzelne Firmen, Branchen und Ländergrenzen hinweg zusammen, und zwar sehr schnell – oft online während der Entstehungsprozesse, aus den verschiedensten Quellen und in grosser Menge.

 

Mithilfe von Big Data können Produktions- und Logistiksteuerung von Massenwaren in grossen Produktionsstrassen und Vertriebsnetzen verbessert und kostengünstiger gestaltet werden. Sie erlauben die Optimierung von Dienstleistungen und eine schnellere und sachnähere Bedienung von Kunden.

 

Ein typischer Mechanismus zur Sammlung von Webnutzungsdaten sind Cookies. Das sind kleine Datensätze, die ein Nutzer beim Aufruf einer Webseite in seinem Browser speichert. Cookies enthalten ein Pseudonym des Nutzers (wie eine Garderobenmarke) und die Adresse der gerade aufgerufenen Webseite. Beim nächsten Aufruf der Webseite durch den Nutzer wird das Cookie an den Webserver zurückgeschickt und dieser erkennt seinen Nutzer wieder und kann an die vorherige Sitzung anknüpfen.
Cookies, die mithilfe eingebetteter Bilder oder Logos von Drittanbietern bei verschiedenen Webservices untergebracht sind, erlauben den Drittanbietern die Spurenverfolgung über eben diese verschiedenen Webservices hinweg, das nennt man Tracking. Weit verbreitete Tracker stammen von Doubleclick und Adition mit dem Ziel der personalisierten Werbung und von Google-Analytics zur Erstellung von Statistiken über die Nutzung von Webseiten.
Cookies sind übrigens nicht die einzigen Tracking-Mechanismen. Mit denselben technischen und algorithmischen Mitteln, mit denen Anbieter Kunden und ihr Verhalten auswerten, können Bürger in ihrem Verhalten beobachtet werden, mit dem Ziel, daraus kriminelle oder gar terroristische Tätigkeiten herauszufiltern.

 

Algorithmen müssen sich zwangsläufig an einer jeweiligen Anwendungsaufgabe orientieren. Zum Beispiel leitet ein Werbealgorithmus aus dem Kauf eines Reiseführers und dem Buchen einer Fahrkarte zum selben Reiseziel sowie aus der Kenntnis bisher gebuchter Hotelkategorien ab, dass dieser Nutzer bereit ist, ein Hotel am Reiseziel zu einer gewohnten Hotelkategorie zu buchen. Diese Hotelkategorie wird dann punktgenau angeboten.
Ein Algorithmus zur Kriminalitätsbekämpfung dagegen würde zum Beispiel aus dem Surfen über Waffenangebote und bestimmte Lokale, die als Treffpunkte gewaltbereiter Menschen aufgefallen sind, eine Zugehörigkeit zu einer Gewaltszene ableiten. Das könnte zur polizeilichen Überwachung dieser Person und der auffällig werdenden Lokale führen.

 

Pcwelt.de; Rüdiger Grimm; 20.12.2017
https://www.pcwelt.de/a/datenschutz-und-big-data-daten-nutzen-ohne-die-freiheit-einzuschraenken,3449183

Landes-, Bundes-, Europa- und Völkerrecht

 

Autor Alexander Dix

ISBN-10: 3848742314

Die DSGVO und Sie

Die DSGVO (Datenschutz-Grundverordnung) tritt im kommenden Mai in Kraft und wird damit das Datenschutzrecht der EU vereinheitlichen, aber auch teilweise hier in der Schweiz anwendbar sein. Wie bekannt ist, wird Non-Compliance die Unternehmen sehr teuer zu stehen kommen und die mit der DSGVO einhergehenden organisatorischen Probleme harren bei vielen Unternehmen immer noch der Lösung.

Die DSGVO deckt primär die folgenden Gebiete ab:

  • Recht auf Vergessenwerden: Personenbezogene Daten müssen auf Anfrage durch Organisationen unverzüglich gelöscht werden
  • Privacy by Design: Die eingesetzten IKT-Systeme und -Technologien haben das Prinzip der Datensparsamkeit befolgen
  • Datenpannen: Im Fall der Fälle müssen Organisationen die Aufsichtsbehörden und Betroffenen innerhalb von 72 Stunden informieren
  • Datenschutz-Folgenabschätzung: Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten müssen durch die Organisationen vorgängig bewertet werden
  • Freiwillige Einwilligung: Organisationen müssen eine spezifische und durch die Betroffenen jederzeit widerrufbare Einwilligung zur Sammlung personenbezogener Daten einholen
  • Datenübertragbarkeit: Personenbezogene Daten müssen den Betroffenen in einem gebräuchlichen Format zur Verfügung gestellt werden

Es bleibt nicht mehr viel Zeit bis zum Stichtag – mit den folgenden Themen müssen sich Unternehmen bis dahin noch befassen:

  • Benennung eines EU-DSGVO-Experten, der das Unternehmen und die interne IT-Landschaft genau kennt
  • Einen Überblick über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme erhalten
  • Prüfung einer möglichen Zertifizierung (z.B. nach ISO 27001)
  • Überprüfung der eingesetzten Massnahmen zum Schutz sensibler Daten
  • Schaffung der Voraussetzungen zur DSGVO-Umsetzung
  • Bestimmung und Dokumentation der aus der DSGVO entstehenden erforderlichen Kommunikationsabläufe
  • Überprüfung der Lieferantenvereinbarungen und -verträge bezüglich möglichen Handlungsbedarfs hinsichtlich der DSGVO
  • Datenklassifizierung zur Unterstützung der Datenschutz-Folgenabschätzung
  • Einbindung aller erforderlichen Abteilungen und Bereiche um sicherzustellen, dass alle Anforderungen abgedeckt werden können.

 

Nexus-ag.de; 09.11.2017
https://www.it-daily.net/it-sicherheit/datenschutz/17172-fit-fuer-die-eu-datenschutz-grundverordnung

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK