Post on 17-Sep-2018
transcript
Seite 2
International reach – local knowledge EY Law = 50 jurisdictions and over 1000 lawyers
Neues von der EU-Datenschutzverordnung
EY Law jurisdictions
Austria
Azerbaijan
Australia
Belarus
Belgium
Bulgaria
Cameroon
Chad
Chile
China
Colombia
Congo-B.
DR Congo
Estonia
Equa. Guinea
Finland
France
Gabon
Georgia
Germany
Greece
Guinea Conakry
Hong Kong
Hungary
India
Italy
Ivory Coast
Japan
Kazakhstan
Lithuania
Luxembourg
Mexico
Netherlands
New Zealand
Norway
Peru
Poland
Portugal
Romania
Russia
Senegal
Spain
Switzerland
Turkey
Ukraine
Vietnam
Seite 6
Entwurf einer EU-Datenschutzverordnung – Wegfall nationaler Implementierung
► Im Januar 2012 Entwurf vorgestellt.
► Vollharmonisierung – Wegfall BDSG
► Accountability (policies and procedures –
Beweislastumkehr)
► Privacy Impact Assessment
► Right to be foregotten (digitaler Radiergummi)
► Datenportabilität
► Datenschutzbeauftragter auch außerhalb
Deutschlands
► Data breach notification
Viviane Reding
Neues von der EU-Datenschutzverordnung
Seite 8
Beschluss des EU-Parlaments (Innenausschuss LIBE) nach intensiven Diskussionen
Neues von der EU-Datenschutzverordnung
► Nach 4000 Änderungsanträgen, Beschluss des LIBE am 21. Oktober 2013
► 5% des Gesamtumsatzes/ 100 Mio. EUR als Maximalsanktion
► Right to erasure
► Explicit consent ohne Junktim
► Profiling limitiert
► Datenportabilität entfallen
► Pflicht zu IT-Security
► Berichtspflicht in Jahresabschluss
► Auditpflicht
► Genehmigungspflicht für Auskunft in EU-Ausland
► Weiterhin Öffnungsklausel für Beschäftigtendatenschutz
Seite 9
► Art. 30 Security of processing:
1. The controller and the processor shall implement appropriate technical and organisational measures to
ensure a level of security appropriate to the risks represented by the processing.
1a. Having regard to the state of the art and the cost of implementation, such a security policy shall:
(a) ensure that the integrity of the personal data is validated;
(b) ensure the ongoing confidentiality, integrity, availability and resilience of systems
(c) restore the availability and access to data in the event of a physical or technical incident
(e) include a process for regularly testing, assessing and evaluating the effectiveness of security policies,
procedure
► Art. 31 Notification of a personal data breach to the supervisory authority (accidental
or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data
transmitted, stored or otherwise processed):
1. In the case of a personal data breach, the controller shall without undue delay
notify the personal data breach to the supervisory authority.
2. The processor shall alert and inform the controller without undue delay after the
establishment of a personal data breach.
► Art. 32 Communication of a personal data breach to the data subject:
Hinweispflicht auch gegenüber der betroffenen Person, wenn die Verletzung geeignet ist, deren
Interessen negativ zu beeinflussen
Datensicherheit gemäß EU-Datenschutzverordnung
Neues von der EU-Datenschutzverordnung
Seite 10
Beschluss des Europäischen Rates: Inkrafttreten bis 2015
Neues von der EU-Datenschutzverordnung
Seite 11
Was kommen dürfte
► Pflicht zur Datenschutzorganisation
► Datenschutzfolgeabschätzung
(Privacy Impact Assessment)
► Hohe Sanktionen
► Data breach notification
Compliance Compliance Non-Compliance Non-Compliance
Compliance Non-Compliance
Neues von der EU-Datenschutzverordnung
Seite 12
NSA und Prism und aktuelles Datenschutzrecht
► Transfer von Daten außerhalb EU nur unter bestimmten
Voraussetzungen
► Sicherer Drittstaat
► Standardvertragsklauseln
► Binding Corporate Rules
► Safe Harbour (US)
► Implementierung von Datenschutz im Drittland!
► Strenge Vorgaben für Outsourcing (Auftragsdatenverarbeitung)
► Schriftform
► Kontrolle und Audit des Outsourcers
► Gilt auch für Cloud Computing
► Neben Outsourcing in MaRisk
► Archivierungs- und Löschkonzepte
Neues von der EU-Datenschutzverordnung
Seite 13
► Pflicht zu IT Security schon vor NSA und Prism
► Technische und organisatorische Maßnahmen nach
§ 14 DSG - Verschlüsselung
► Allgemeine Managementpflichten (§ 70 AktG),
Risikofrüherkennung (§ 82 AktG),
Internes Kontrollsystem (§ 84 AktG)
► Sektorspezifisches Recht (Banken: MaRisk, Healthcare)
► Informationssicherheit im daily business
► Risikoorientiert und verhältnismäßig
► Praktikabel
► In der „Mannschaft“ verankert
NSA und Prism und Datensicherheit/ IT-Security
Neues von der EU-Datenschutzverordnung