Erste Erfahrungen mit der Datenschutz-Grundverordnung€¦ · DSGVO-GERÜCHTE – ABMAHN-ANGST –...

Erste Erfahrungen mit der neuen Datenschutz-

Grundverordnung

Marit HansenLandesbeauftragte für Datenschutz

Schleswig-Holstein

Fachtagung VNW, Lübeck, 23.10.2018

www.datenschutzzentrum.de

LÄUFT.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

LÄUFT.

NOCH NICHT GANZ RUND.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Erste Erfahrungen mit der DSGVO

NOCH NICHT GANZ RUND.

Bild: utroja0 via Pixabay

www.datenschutzzentrum.de

Überblick

1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht

2. Anwendung der DSGVO –Fälle

3. Ausblick

Erste Erfahrungen mit der DSGVO

Bild: utroja0 via Pixabay

www.datenschutzzentrum.de

BESCHWERDEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

KNAPP 300 FÄLLE.

+ WEITERLEITUNGEN AN ANDERE ZUSTÄNDIGE AUFSICHTSBEHÖRDEN

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

DATENPANNEN.

ART. 33-MELDUNGENDES VERANTWORTLICHEN

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

MELDUNGEN TÄGLICH.

CA. 80 FÄLLE.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

DATENSCHUTZ-BEAUFTRAGTE.

ART. 37-MELDUNGEN

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

8.000 MELDUNGEN.

VIELE FEHLEN NOCH.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

ANFRAGEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

> 5.000.

WEITERHIN HOHES NIVEAU.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

INSTRUMENTE.

ART. 58

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

HINWEISE

WARNUNGEN

VERWARNUNGEN

ANORDNUNGEN

BUSSGELDERErste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

PRÜFUNGEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

RESSOURCEN, RESSOURCEN,

RESSOURCEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

KOOPERATION

DE / EU.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

SPIELT SICH EIN.

DOPPELTER FÖDERALISMUS IN DE,

SPRACHEN,

KLEIN-KLEIN VS. STRATEGISCH.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

WIDRIGKEITEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

STORY-TELLINGRECHTSUNSICHERHEIT

DSGVO-GERÜCHTE – ABMAHN-ANGST – GESCHÄFTSMODELLE

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

NON-COMPLIANCE „BY DESIGN“

HERSTELLER WARTEN AB – MACHT DER GLOBAL PLAYER

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

CHANCEN.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

RISIKO IM GRIFF

PROZESSE AUFRÄUMEN

EXPORT VON LÖSUNGEN

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Überblick

1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht

2. Anwendung der DSGVO –Fälle

3. Ausblick

Erste Erfahrungen mit der DSGVO

Bild: utroja0 via Pixabay

www.datenschutzzentrum.de

KLINGEL-

SCHILDER.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Frage: Datenschutz an der Hauswand

Erste Erfahrungen mit der DSGVO

Bild: GregMontani via Pixabay

www.datenschutzzentrum.de

Klingelschilder – Rechtsgrundlagen?

• DSGVO überhaupt einschlägig? „Dateisystem“• Blick in Art. 6 DSGVO

Einwilligung? Vertrag?Berechtigte Interessen?

ErscheinungsbildBesucherLieferungenRettungssanitäter, Polizei

• Unterschiede Österreich / Deutschland?

Erste Erfahrungen mit der DSGVO

Namen korrekt + aktuell?Nur Nachname?Alle Mitbewohner?Risiken: Stalking, VIPs, …

Ergebnis: Nix Neues

insb. Einholen von Einwilligungen nicht nötig

www.datenschutzzentrum.de

MIETER-WAHL.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Frage: Zuverlässigkeit der Mieter

Erste Erfahrungen mit der DSGVO

Bild: qimono via Pixabay

www.datenschutzzentrum.de

Auswahl der Mieter – wie?

Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressentinnen“ (Stand: 30.01.2018)• Welche Daten erforderlich? Abhängig vom Zeitpunkt:

BesichtigungsterminIdentifikation, ggf. Angaben aus Wohnberechtigungsschein, keine Kopien fertigen

vorvertragliche Phase mit MietinteressentenAnzahl der Erwachsenen/Kinder, laufendes Insolvenzverfahren, Einkommensverhältnisse (sofern nicht direkt von anderer Stelle übernommen)

Entscheidung der künftigen Vermieter für bestimmte MietinteressentenNachweis Einkommensverhältnisse, ggf. weitere Informationen zum Nachweis der Bonität

• RG: Art. 6 Abs. 1 lit. b + f DSGVO, idR keine EinwilligungErste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

SMART METER.

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Frage: Smart Meter

Erste Erfahrungen mit der DSGVOBilder: geralt via Pixabay

www.datenschutzzentrum.de

Smart Meter – noch am Anfang

• Stromzähler mit Kommunikationseinheit

• Rechtsgrundlage Messstellenbetriebsgesetz / EU-Recht, Einbaupflichteinmal pro Jahr digitale Meldung der Verbrauchswertekürzere Intervalle möglich, aber nicht häufiger als 15 min

• Information der Betroffenen wichtig!Was genau passiert? Wer hat Zugriff auf was?

• Noch keine zertifizierten Smart Meter (Sicherheitsanforderungen des BSI + einige Datenschutzkriterien für das Smart Meter Gateway)

• Mehrwert? Für wen?Eigene AuswertungenFernzugriff

Erste Erfahrungen mit der DSGVO

Risiken?Analyse: wer ist wann zu Hause, typisches / geändertes Verhalten

www.datenschutzzentrum.de

Erste Erfahrungen mit der DSGVO

Quelle: http://www.swr.de/swrinfo/smart-meter-datenschuetzer-warnen-der-spion-aus-der-steckdose/-/id=7612/did=15941340/nid=7612/45y324/

Datenschutzrisiken Stromzähler: Genauigkeit

www.datenschutzzentrum.de

Erste Erfahrungen mit der DSGVO

Quelle: http://www.swr.de/swrinfo/smart-meter-datenschuetzer-warnen-der-spion-aus-der-steckdose/-/id=7612/did=15941340/nid=7612/45y324/

Datenschutzrisiken Stromzähler: Genauigkeit

www.datenschutzzentrum.de

Datenschutzrisiken Stromzähler

Erste Erfahrungen mit der DSGVO

Quelle: Greveler, Ulrich, Benjamin Justus und Dennis Löhr (2012). Forensic content detection through power consumption. In: IEEE International Workshop on Security and Forensics in Communication Systems, 6759-6763. Ottawa: IEEE Computer Society Press.

www.datenschutzzentrum.de

Datenschutzrisiken Stromzähler

Auch bei 15-Minuten-Messung:

• Wann geht eine Person zu Bett?

• Wann steht sie auf?

• Gibt es nächtliche Toilettenbesuche?

• Wie häufig wird gekocht?

• Wann verlässt sie das Haus, wann kehrt sie zurück?

• Verändern sich Lebensgewohnheiten (Nachwuchs, Besuch)?

Erste Erfahrungen mit der DSGVO

Quelle: Müller, Klaus J. (2010). Gewinnung von Verhaltensprofilen am intelligenten Stromzähler. In: Datenschutz und Datensicherheit 34, Nr. 6: 359-364. doi:10.1007/s11623-010-0107-2.

www.datenschutzzentrum.de

Blick ins Recht für Stromzähler

Erste Erfahrungen mit der DSGVO

§ 52 MsbG (Messstellenbetriebsgesetz)

§ 60 MsbG

www.datenschutzzentrum.de

Blick ins Recht für Stromzähler

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Blick ins Recht für Stromzähler

Erste Erfahrungen mit der DSGVO

§ 21 Abs. 1 Nr. 4 MsbG

www.datenschutzzentrum.de

Datenschutzlösungen?

• Pseudonymisierung: Identifikatoren ersetzen mit dem Ziel, dass die Zuordnung zur Person nicht ohne zusätzliche Informationen herstellbar ist

• Anonymisierung: Personenbezug irreversibel entfernen„Gleichmacherei“ von allem IdentifizierendenAggregation:

JahreswerteWohnblockwerte (Wohnblock-Verteiler als Proxy)Puffer (z.B. Batterien)

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de

Überblick

1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht

2. Anwendung der DSGVO –Fälle

3. Ausblick

Erste Erfahrungen mit der DSGVO

Bild: utroja0 via Pixabay

www.datenschutzzentrum.de

Von der Pflicht zur Chance

• Selbstüberprüfung der eigenen Prozesse

Beurteilung des RisikosSortieren + aufräumenVerbesserungspotenziale

• Eingebauter DatenschutzAnbieten und nachfragenMarktbewegungZertifizierung möglich

• Vertrauenswürdigkeit:Kundschaft kann Spreu vom Weizen trennen

Erste Erfahrungen mit der DSGVO

Bild: congerdesign via Pixabay

GESTALTEN STATT

MECKERN.

Marit Hansenhttps://www.datenschutzzentrum.de/

www.datenschutzzentrum.de

Weitere Informationen

Erste Erfahrungen mit der DSGVO

www.datenschutzzentrum.de/meldungen/

www.datenschutzzentrum.de/dsgvo/

www.datenschutzzentrum.de

Weitere Informationen• https://www.datenschutzzentrum.de/dsgvo/• Kurzpapiere zu vielen Themen der DSGVO

Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVOAufsichtsbefugnisse/SanktionenVerarbeitung personenbezogener Daten für WerbungDatenübermittlung in DrittländerDatenschutz-Folgenabschätzung nach Art. 35 DS-GVOAuskunftsrecht der betroffenen Person, Art. 15 DS-GVOMarktortprinzip – Regelungen für außereuropäische UnternehmenMaßnahmenplan „DS-GVO“ für UnternehmenZertifizierung nach Art. 42 DS-GVOInformationspflichten bei Dritt- und DirekterhebungRecht auf Löschung / „Recht auf Vergessenwerden“DatenschutzbeauftragterAuftragsverarbeitung nach Art. 28 DS-GVOBeschäftigtendatenschutzVideoüberwachungGemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVOBesondere Kategorien personenbezogener DatenRisiko für die Rechte und Freiheiten natürlicher PersonenUnterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO

• DSGVO + BDSG: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf

Erste Erfahrungen mit der DSGVO