Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
15.10.18
1
DATENSCHUTZWELTEN Die DSGVO: DATENSCHUTZ für ganz EUROPA (und die Schweiz)
© Antoine Parrella – Cancellarius AG & Omnes Group AG, Winterthur © Heiko Maniero - Deutsche Gesellschaft für Datenschutz, Dachau
http://www.datenschutzerklaerung-schweiz.ch - http://www.cancellarius.ch
GEKÜRZTE FASSUNG OHNE FILME, SICHERHEIT, AUDIT
Datenschutz-Experte, System- / Software-Engineer, Dozent Systemsicherheit
Projekte in Zusammenhang mit hoher Datensicherheit und Datenschutz: SNB- Wertkartenproduktion & DV (EC, MC, VISA, Post-Chipkarte, Amexco, Signia)
Banken – Software (LKB, WPB, BCI, Bank von Enst) KMU – Einführung IT-Systeme (Firewall, Datenbanken, Zugangssysteme,
Überwachung, Datensicherheit und Integrität) WEB - Portale (news.ch, wetter.ch, immobilien Portale, st.gallen.ch, branchenbuch.ch,etc.)
Public: Chef Experte in Application Development – World-Skills 2003, Swiss Skills
Antoine Parrella – Datenschutz- und Sicherheitsbeauftragter (> 20 Jahre) (Zertifizierungen: Cisco, Oracle, Microsoft, WiFI Sec, Extricom, Zyxel, Kaspersky, Apache)
MEINE PERSON
15.10.18
2
Generieren Sie eine individuelle Datenschutz-Erklärung welche CH-EU konform ist und publizieren Sie diese auf Ihrer Webseite!
Die klassische Schweizer DS-Erklärung reicht nicht aus!
Gutscheincode für eine Datenschutzerklärung für die SKO Mitglieder über www.datenschutz-erklaerung.ch abrufbar.
Bitte beim Firmennamen „SKO“ hinzufügen.
(Für SKO Mitglieder ist das generieren einer DS-Erklärung bis Ende Dezember 2018 GRATIS, für nicht-Mitglieder nur bis Ende Oktober 2018!)
DATENSCHUTZ-ERKLÄRUNG GENERATOR
ABLAUF
DSGVO – Inkrafttreten und Übersicht für Schweizer KMU
Bussgelder & die Haftung der Geschäftsführer
Aufgaben des Datenschutzbeauftragten
Aufgaben des Verantwortlichen
Grundsätze, Rechtmässigkeit und Definitionen Frage-Pause
Beginn
Verfahrensverzeichnis & Aufsichtsbehörde
15.10.18
3
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 5
DIE DATENSCHUTZ GRUNDVERORDNUNG (DS-GVO) Information
Seit dem 25. Mai 2018 entfaltet die DSGVO zwar nicht für alle, aber doch für zahlreiche Schweizer Unternehmen Wirkung. Ein Schweizer Unternehmen kann unter den Anwendungsbereich fallen, wenn es beabsichtigt, Geschäfte mit Konsumenten in der EU zu betreiben, deren Internetaktivitäten beobachtet oder diese aufzeichnet.
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„SindSieauchunterdenDS-GVOpflichtigenFirmen?“
Diese Frage versuchen wir Heute zu klären!
15.10.18
4
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WaswillEuropaerreichenmitderDS-GVO?“
Art.1-SchutznatürlicherPersonenbeiderVerarbeitungpersonenbezogenerDatenundzumfreienVerkehrsolcherDaten!
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WaswillEuropaerreichenmitderDS-GVO?“
Art.1-DieGrundrechteundGrundfreiheitennatürlicherPersonenundinsbesonderederenRechtaufSchutzpersonenbezogenerDatengewährleisten!
15.10.18
5
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WaswillEuropaerreichenmitderDS-GVO?“
Art.1-DerfreieVerkehrpersonenbezogenerDatendarfbeiderVerarbeitungpersonenbezogenerDatenwedereingeschränktnochverbotenwerden.
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:aufrechtmässigeWeise,nachTreuundGlaubenundineinerfürdiebetroffenePersonnachvollziehbarenWeiseverarbeitetwerden(„Rechtmässigkeit,VerarbeitungnachTreuundGlauben,Transparenz“);
15.10.18
6
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:fürfestgelegte,eindeutigeundlegitimeZweckeerhobenwerdenunddürfennichtineinermitdiesenZweckennichtzuvereinbarendenWeiseweiterverarbeitetwerden;
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:demZweckangemessenunderheblichsowieaufdasfürdieZweckederVerarbeitungnotwendigeMassbeschränktsein(„Datenminimierung“);
15.10.18
7
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:sachlichrichtigunderforderlichenfallsaufdemneuestenStandsein;DatendieimHinblickaufdieZweckeihrerVerarbeitungunrichtigsind,müssenunverzüglichgelöschtoderberichtigtwerden(„Richtigkeit“);
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:ineinerFormgespeichertwerden,diedieIdentifizierungderbetroffenenPersonennursolangeermöglicht,wieesfürdieZwecke,fürdiesieverarbeitetwerden,erforderlichist;
15.10.18
8
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WasistzubeachtenbeiderVerarbeitung?“
Art.5–PersonenbezogenDatenmüssen:ineinerWeiseverarbeitetwerden,dieeineangemesseneSicherheitderpersonenbezogenenDatengewährleistet!
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„WieweitgehtderAnwendungsbereichderDSGVO?“
DerAnwendungsbereichderEU-DSGVOistsehrweitundreichtüberdieGrenzenderEUhinaus!IngewissenKonstellationenistdieEU-DSGVOdeshalbauchfürCH-UnternehmenmitSitzinderSchweizanwendbar!
15.10.18
9
DIE DS-GVO 88 DinA4 Seiten die kein Unternehmer versteht..
„Binich,bzw.meineUnternehmungbetroffen?“
Eine kleine Checkliste als Grundlage!
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 18
BETRIFFT DIE DS-GVO AUCH MEINE UNTERNEHMUNG? Auflagen DS-GVO
¨ HabenSieeineNiederlassung,einenSitzodereineTochtergesellschaftinderEU?¨ LassenSiepersonenbezogeneDatenexternverarbeiten,z.B.Cloud-Dienst?¨ HabenExterne,Kunden,LieferantenoderBusiness-PartnerZugriffaufpersonenbezogeneDaten?¨ BetreibenSieeineWebseite,einenOnline-ShopodereineAppmitBestellmöglichkeitfürinderEU
ansässigePersonen?¨ ExportierenoderversendenSieWarenindieEU?¨ BietenSieDienstleistungeninderEUan?(AuchüberIhrerWebseiteoderz.B.überGoogleAds!)¨ BenutzenSietechnischeHilfezurVerhaltensüberwachungwieTrackingTools?(GoogleAds,Google
Analytics,FacebookPixel,etc.)¨ ErstellenodernutzenSieDatenprofilefürdieKundenanalyseIhrerEU-Kunden?¨ HabenSieKundenoderLieferanteninderEU?¨ SchreibenoderVersendenSieNewsletters,Briefe,WerbungenanPersonenausderEU?
DS-GVO
CHECKLISTE FÜR DAS MANAGEMENT – (FRAGEN IN BEZUG AUF NATÜRLICHE PERSONEN AUS DER EU)
SolltenSieeinedieserFragenmitJAbeantwortethaben,sobetrifftdieDS-GVOauchIhreUnternehmung!CHECKfürIhreUnternehmung
auf:www.datenschutzgenerator.ch
15.10.18
10
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 19
FIRMA MIT SCHWEIZER SITZ (CH + EU KUNDEN) Datenverarbeitung findet in der SCHWEIZ statt
„IchbineinEU-Deutscher!“r
„IchbineinSchweizer!“
SWISSSERV
ICES&PRO
DUCT
SAG
(ZH) „Grüezi!“
DATENVERARBEITUNGPapierund/oderElektronisch
InderSCHWEIZ
CLOUDMarketingGoogleAds,Linkedin,Facebook
Webshop,Webseite
https://www.mein-unternehmen.ch
DSG-CH19.6.1992
DS-GVO25.5.2018
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 20
FIRMA MIT SCHWEIZER SITZ (CH + EU KUNDEN) Datenverarbeitung findet in der SCHWEIZ statt
SWISSSERV
ICES&PRO
DUCT
SAG
(ZH) „Hallo..“
DATENVERARBEITUNGPapierund/oderElektronisch
INDERSCHWEIZ
ANGEBOT990.-CHF
EMAIL,SHOP,..
EUMAILBOX
MAILBOX
CHMAILBOX
EMAIL,SHOP,..
DSG-CH19.6.1992
DS-GVO25.5.2018
BDSG25.5.2018
15.10.18
11
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 21
FIRMA MIT SCHWEIZER SITZ (CH + EU KUNDEN) Datenverarbeitung findet in der SCHWEIZ statt
SWISSSERV
ICES&PRO
DUCT
SAG
(ZH)
„HalloHerrMeier“
EUMAILBOX
„Interessiert!“
KUNDENKARTEI(EUBürger)• Geb.Datum,• Personalien• Unterschrift
DS-GVO
DATENVERARBEITUNGPapierund/oderElektronisch
INDERSCHWEIZ
DIE DS-GVO (EUROPA) 88 DinA4 Seiten die kein Unternehmer versteht..
Was müssen Sie als europäischer Unternehmer tun?
ü Audit / Ist- Analyse ü Verfahrensverzeichnisse ü Kategorieverzeichnisse ü Datenschutz-Folgenabschätzung ü Verträge mit Auftragsverarbeitern ü Dokumentation aller Prozesse
„IchbineinEuropäer!“
15.10.18
12
DIE DS-GVO (EUROPA-CH) 88 DinA4 Seiten die kein Unternehmer versteht..
Was müssen Sie als ausschliesslicher Schweizer Unternehmer tun?
Audit / Ist- Analyse ? (NEIN) Verfahrensverzeichnisse ? (NEIN) Kategorieverzeichnisse ? (NEIN) Datenschutz-Folgenabschätzung ? (NEIN) Verträge mit Auftragsverarbeitern ? (NEIN) Dokumentation aller Prozesse ? (NEIN)
„IchbinenreineEidgenosse!“
DIE DS-GVO (CH) 88 DinA4 Seiten die kein Unternehmer versteht..
Was müssen Sie als Schweizer Unternehmer tun welcher Personendaten aus der EU verarbeitet?
Audit / Ist- Analyse ? (JA) Verfahrensverzeichnisse ? (JA) Kategorieverzeichnisse ? (JA) Datenschutz-Folgenabschätzung ? (JA) Verträge mit Auftragsverarbeitern ? (JA) Dokumentation aller Prozesse ? (JA)
„IchbinenBilaterale!“
15.10.18
13
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 25
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
Berät, Unterrichtet, Pflichten DSGVO
DATENSCHUTZBEAUFTRAGTER
nach Art. 28 DS-GVO
AUFTRAGSVERARBEITER
Berät, Unterrichtet, Pflichten DSGVO
DATENSCHUTZVERANTWORTLICHER
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 26
AUFGABEN DES DATENSCHUTZBEAUFTRAGTEN Begleitung beim Aufbau einer datenschutzkonformen Unternehmensstruktur und kontinuierliche Verbesserung.
Über unser Online-Audit-System ermöglichen wir die Auditierung auf Basis der DS-GVO sowie anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten. – Art. 39 I lit. b DS-GVO
ÜBERWACHUNG DER EINHALTUNG
Es gilt Richtlinien festzulegen und die Mitarbeiter entsprechend zu informieren. Hinzu kommen Betriebsvereinbarungen und die persönliche Beratung der Geschäftsleitung. – Art. 39 I lit. a DS-GVO
UNTERRICHTUNG UND BERATUNG
Wir kümmern uns um die Dokumentation und die entsprechende Zuweisung der Zuständigkeiten in Bezug auf das ausgearbeitete Datenschutzkonzept. – Art. 39 I lit. b DS-GVO
ZUWEISUNG VON ZUSTÄNDIGKEITEN
Sämtliche Mitarbeiter, die an den Verarbeitungsvorgängen beteiligt sind, werden über unser Online-Portal geschult. Anschliessend erfolgt eine Prüfung. – Art. 39 I lit. b DS-GVO
SENSIBILISIERUNG UND SCHULUNG
Erstellung der Datenschutz-Folgenabschätzungen (Art. 35 DS-GVO) und der Verfahrens- & Verarbeitungsverzeichnisse in unseren Online-Systemen. – Art. 39 I lit. c DS-GVO
BERATUNG UND UMSETZUNGSÜBERWACHUNG
Wir arbeiten eng mit der Geschäftsleitung zusammen und treten als Anlaufstelle für die Aufsichtsbehörde auf. – Art. 39 I lit. d und e DS-GVO
ANSPRECHPARTNER FÜR AUFSICHTSBEHÖRDEN
15.10.18
14
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 27
AUFGABEN DES VERANTWORTLICHEN die nicht von den gesetzlichen Aufgaben des Datenschutzbeauftragten abgebildet sind.
nach unterschiedlichen Vorschriften aus der DS-GVO und nationalen Rechtsvorschriften
DATENSCHUTZ-DOKUMENTATION
nach Art. 30 Abs. 1 DS-GVO VERFAHRENSVERZEICHNISSE
nach Art. 30 Abs. 2 DS-GVO KATEGORIEVERZEICHNISSE
nach Art. 28 DS-GVO
VERTRÄGE MIT AUFTRAGSVERARBEITERN
nach Art. 35 DS-GVO
DATENSCHUTZ-FOLGENABSCHÄTZUNGEN
nach Art. 15-21 DS-GVO GEWÄHRLEISTUNG DER BETROFFENENRECHTE
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 28
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
nach unterschiedlichen Vorschriften aus der DS-GVO und nationalen Rechtsvorschriften
DATENSCHUTZ-DOKUMENTATION
nach Art. 30 Abs. 1 DS-GVO
VERFAHRENSVERZEICHNISSE
nach Art. 30 Abs. 2 DS-GVO KATEGORIEVERZEICHNISSE
nach Art. 28 DS-GVO
VERTRÄGE MIT AUFTRAGSVERARBEITERN
nach Art. 35 DS-GVO
DATENSCHUTZ-FOLGENABSCHÄTZUNGEN
nach Art. 15-21 DS-GVO GEWÄHRLEISTUNG DER BETROFFENENRECHTE
15.10.18
15
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 29
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
nach unterschiedlichen Vorschriften aus der DS-GVO DATENSCHUTZ-DOKUMENTATION
VerpflichtungfolgendeDokumentationenzuführenüber:- VerfahrenwieDatenverarbeitetwerden(Automatisch,manuell,..)- VerletzungendesSchutzesderPersonenbezogenDaten(strukturierteFormularez.B.)- DerenAuswirkungenunddenergriffenenAbhilfe-Massnahmen(Checklistenz.B.)- Datenkategorien,dieungefähreAnzahlderbetroffenenDatensätzeundPersonen- Datenschutzerklärung(Webseite,App‘s,Software)- VerträgemitKunden,Dienstleister,Arbeitsverträge- TechnischeRichtlinien(gegenüberKunden,DienstleisteroderIntern)
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 30
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
JederVerantwortlicheführteinVerzeichnisallerVerarbeitungstätigkeitenwiez.B.:- NameunddieKontaktdaten(Verantwortlichen,VertreterundDatenschutzbeauftragten)- ZweckderVerarbeitung- BeschreibungderDaten-KategorienbetroffenerPersonenundKategorien- BeschreibungtechnischeundorganisatorischeMassanahmen- ÜbermittlungenvonpersonenbezogenenDatenaneinDrittlandoderOrganisation
nach Art. 30 Abs. 2 DS-GVO VERFAHRENSVERZEICHNISSE
15.10.18
16
VERFAHRENSVERZEICHNIS PRAXISBEISPIEL
DS-GVO
DOKUMENTIEREN!KONTROLLIEREN!DOKUMENTIEREN!
(PERIODISCH)
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 32
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
JederAuftragsverabeiterführteinVerzeichnisallerKategorienwiez.B.:- KategorienvonVerarbeitungen- ZweckderVerarbeitung- BeschreibungderDaten-KategorienbetroffenerPersonenundKategorien- BeschreibungtechnischeundorganisatorischeMassanahmen- NameDatenschutzbeauftragter
nach Art. 30 Abs. 2 DS-GVO KATEGORIEVERZEICHNISSE
15.10.18
17
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 33
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
ErfolgteineVerarbeitungimAuftrageinesVerantwortlichen,soarbeitetdiesernurmitAuftragsverarbeitern,dieGarantiendafürbieten..,dassdieVerarbeitungimEinklangmitdenAnforderungen..unddenSchutzderRechtederbetroffenenPersongewährleistet:- AllehierfürnotwendigenMassnahmenwerdenergriffen- DokumentedürfennuraufdokumentierteWeisungdesVerantwortlichenverarbeitet
werden- NachdemerbringenderVerarbeitungsleistungsollenallepersonenbezogenenDaten
durchdenVerarbeiternachWahldesVerantwortlichengelöschtwerden- DerVerarbeiterinformiertdenVerantwortlichenumgehend,fallseineWeisunggegen
dieseVerordnungodergegendieDS-GVOderUnionverstosst.
nach Art. 28 DS-GVO
VERTRÄGE MIT AUFTRAGSVERARBEITERN
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 34
BEGRIFFSERKLÄRUNG Auflagen DS-GVO
HateineFormderVerarbeitung,...,aufgrundderArt,desUmfangs,derUmstände...einhohesRisikofürdieRechteundFreiheitennatürlicherPersonenzurFolge,soführtderVerantwortliche...eineAbschätzungderFolgender..Verarbeitungsvorgänge..durch:- SystematischeundumfassendeBewertungpersönlicherAspektenatürlicherPersonen- UmfangreicheVerarbeitungbesondererKategorienvonpersonenbezogenenDaten- EineBewertungderRisikenfürdieRechteundFreiheitenderbetroffenenPersonen- BewältigungderRisikengeplantenAbhilfemassnahmen,einschliesslichGarantien,
SicherheitsvorkehrungenundVerfahren,durchdiederSchutzpersonenbezogenerDaten
nach Art. 35 DS-GVODATENSCHUTZ-FOLGENABSCHÄTZUNGEN
15.10.18
18
© Cancellarius AG - DATENSCHUTZKONZEPT
QUO VADIS ?
WAS MACHT DIE SCHWEIZ?
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 36
SCHWEIZ ALS DS-GVO BINNENSTAAT ? SCHWEIZ – QUO VADIS ?
Handelspartner
Handelspartner
HandelspartnerHandelspartner
Handelspartner
1)Die(DSGVO)unddassichinRevisionbefindendeSchweizerDatenschutzgesetz(DSG)bauendieRechtenatürlicherPersonenbeiderKontrolleihrerpersonenbezogenenDatenausundführensoauchzuadministrativemMehraufwandfürUnternehmen.2)DieSchweizkannsichdeninternationalenEntwicklungenbeimDatenschutznichtverschliessenundtutdahergutdaran,sichanderRegulierungihrerwichtigstenHandelspartnerzuorientieren.
15.10.18
19
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 37
SCHWEIZ ALS DS-GVO BINNENSTAAT ? SCHWEIZ – QUO VADIS ?
Handelspartner
Handelspartner
HandelspartnerHandelspartner
Handelspartner
3)DasDatenschutzrechtschütztpersonenbezogeneDaten.UnternehmenverarbeitenpersonenbezogeneInformationenaufunterschiedlicheArtundWeise.Datenschutzistdaherallgegenwärtig.
38 © Cancellarius AG - DATENSCHUTZKONZEPT
DAS AUDIT
15.10.18
20
39 © Cancellarius AG - DATENSCHUTZKONZEPT
GELDBUSSEN BEI VERSTÖSSEN Nichtkonformität oder Missachtung führt zu Konsequenzen für Unternehmen
Verstösse gegen datenschutzrechtliche Vorschriften können sich aufgrund der hohen Geldbussen existenzbedrohlich auswirken.
BIS ZU: 10.000.000 €
Auftragsverarbeiter-Vertrag: Es wurde kein Vertrag mit dem Auftragsverarbeiter geschlossen, Art. 28 Abs. 3 Alt. 1 DS-GVO.
Beispiele von Verstössen:
Benennung: Es wird kein Datenschutzbeauftragter oder eine unqualifizierte Person benannt, Art. 37 V DS-GVO.
Verfahrensverzeichnis: Es wurden keine Verfahrensverzeichnisse geführt, Art. 30 Abs. 1 DS-GVO.
40 © Cancellarius AG - DATENSCHUTZKONZEPT
GELDBUSSEN BEI VERSTÖSSEN Nichtkonformität oder Missachtung führt zu Konsequenzen für Unternehmen
Verstösse gegen datenschutzrechtliche Vorschriften können sich aufgrund der hohen Geldbussen existenzbedrohlich auswirken.
BIS ZU: 20.000.000 €
Beispiele von Verstössen:
Betroffenenrechte: Die Betroffenenrechte sind nicht gewährleistet, Art. 15-21 DS-GVO.
Übermittlung: Es wurde kein Standardvertrag mit einem Empfänger in einem Drittstaat geschlossen, sofern keine sonstigen geeigneten Garantien bestehen, Art. 46 Abs. 2 lit. c DS-GVO.
Fehlende Rechtsgrundlage: Personenbezogene Daten wurden unerlaubterweise verarbeitet, Art. 6 Abs. 1 lit. a-f DS-GVO.
15.10.18
21
41
DIE QUELLENANGABEN
1. Hak5 LLC, https://hakshop.com/
2. YouTube LLC, https://www.youtube.com/
© Cancellarius AG - DATENSCHUTZKONZEPT
Bei Cancellarius stehen wir für eine transparente Kommunikation mit unseren Mandanten.
BEGRIFFS- DEFINITIONEN
15.10.18
22
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 43
DER VERARBEITUNGSBEGRIFF Wer weiss was Verarbeitung bedeutet, kann im Datenschutz bessere Entscheidungen treffen.
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, Art. 4 Nr. 2 DS-GVO.
LEGALDEFINITION
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 44
DER VERANTWORTLICHE Es gilt den Verantwortlichen aufzudecken und ihn festzuhalten.
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden, Art. 4 Nr. 7 DS-GVO.
LEGALDEFINITION
15.10.18
23
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 45
DER AUFTRAGSVERARBEITER Es gilt zu wissen, wer an der Verarbeitung beteiligt ist.
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Art. 4 Nr. 8 DS-GVO.
LEGALDEFINITION
© Cancellarius AG – DATENSCHUTZKONZEPT (www.cancellarius.ch - www.datenschutz-erklaerung.ch) 46
DIE EINWILLIGUNG Es gilt darauf zu achten, das zu einer Verarbeitung das Einverständnis gegeben wird oder eine andere Rechtsgrundlage vorhanden ist.
Einwilligung ist jede unmissverständlich freiwillig für den bestimmten Fall, in informierter Weise und abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, Art. 4 Nr. 11 DS-GVO.
LEGALDEFINITION
15.10.18
24
DIE GRUNDSÄTZE DER VERARBEITUNG Art. 5 DS-GVO
DIE GRUNDSÄTZE DER VERARBEITUNG Art. 5 DS-GVO
15.10.18
25
DIE GRUNDSÄTZE DER VERARBEITUNG Art. 5 DS-GVO
DIE RECHTMÄSSIGKEIT DER VERARBEITUNG Art. 6 DS-GVO
15.10.18
26
DIE RECHTMÄSSIGKEIT DER VERARBEITUNG Art. 6 DS-GVO
52 © Cancellarius AG - DATENSCHUTZKONZEPT
DIE PFLICHT DER BENENNUNG (DS-BEA) Art. 37 DS-GVO - Benennung eines Datenschutzbeauftragten
AUSZUG: EU DATENSCHUTZ- GRUNDVERORDNUNG
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus dem unionalen Recht, Art. 37 DS-GVO.
Der Verantwortliche und der Auftragsverarbeiter haben in Ergänzung zu Art. 37 Abs. 1 lit. b und c DS-GVO einen
Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, § 38 Abs. 1 Satz 1 BDSG-NF. Dies entspricht auch der gegenwärtigen Rechtslage nach § 4f Abs. 1 BDSG-AF.
RECHTSLAGE: DEUTSCHLAND
15.10.18
27
53 © Cancellarius AG - DATENSCHUTZKONZEPT
DIE PFLICHT DER BENENNUNG (EXTERNER DS-BEA) Art. 37 DS-GVO - Benennung eines Datenschutzbeauftragten
AUSZUG: EU DATENSCHUTZ- GRUNDVERORDNUNG
Es ist eine sowohl rechtlich als auch fachlich qualifizierte natürliche Person zum Datenschutzbeauftragten zu benennen, Art. 37 Abs. 5 DS-GVO.
Die Benennung eines externen Datenschutzbeauftragten ist möglich, Art. 37 Abs. 6 DS-GVO.
RECHTSLAGE EXTERNER DATENSCHUTZBEAUFTRAGTER
© Cancellarius AG - DATENSCHUTZKONZEPT
Art.5,6,7,8,9,11,12,13,14,15,16,17,18,19,20,21,22,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,44,45,46,47,48,49DS-GVO
beideneneinBussgeldnachArt.83Abs.4und5DS-GVOmöglichwäre……
ZAHLREICHE NORMEN
15.10.18
28
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT Bei Rückfragen oder Fragen zum Audit oder für Mandate als externer Datenschutz-Experte können Sie uns gerne ansprechen!
Pflanzschulstrasse 3, 8400 Winterthur
Tel.: +41 58 100 09 70
Kontakt
http://www.datenschutzerklaerung-schweiz.ch
http://www.datenschutzgenerator.ch