LibCat » Книги » Приключения » unrecognised » David Klein - DS-GVO/BDSG

David Klein - DS-GVO/BDSG

Здесь есть возможность читать онлайн «David Klein - DS-GVO/BDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DS-GVO/BDSG
Автор:
David Klein
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
4 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 80
- 1
- 2
- 3
- 4
- 5

DS-GVO/BDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DS-GVO/BDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Sind Sie bereit für das neue Datenschutzrecht?Am 25. Mai 2018 haben die Europäische Datenschutz-Grundverordnung (DS-GVO) sowie das Datenschutzanpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) das bisherige Datenschutzrecht ersetzt. Für die tägliche Datenschutzpraxis brachte dieser Stichtag weitreichende Änderungen mit sich. So können für Unternehmen Verstöße gegen den Datenschutz künftig sehr kostspielig werden, da Bußgelder in Höhe von bis zu 4 % des Vorjahresumsatzes des betroffenen Unternehmens verhängt werden können. Für Datenschutzverpflichtete gilt es, sicher erkennen zu können, welche Maßnahmen zur Vermeidung von Verstößen gegen das neue Recht ergriffen werden müssen. Eine erfolgreiche Umstellung auf das neue Datenschutzrecht erfordert daher nicht nur profunde Kenntnisse über Auslegung und Anwendung der DS-GVO, sondern auch über das korrespondierende deutsche Datenschutzrecht. Der vorliegende Heidelberger Kommentar bietet der Datenschutzpraxis beides!Den Einstieg in das neue Datenschutzrecht verschafft eine systematische Einführung, die die wichtigsten Änderungen kurz und prägnant vorstellt.Die Kommentierung entspricht durch ihren klaren Aufbau den Anforderungen der täglichen Praxis und ist so exakt auf die Bedürfnisse der Nutzer zugeschnitten. Jedem Artikel der DS-GVO werden die entsprechenden Erwägungsgründe sowie die entsprechende Norm des neuen BDSG zugeordnet und ausführlich kommentiert. Die Änderungen gegenüber dem alten Recht werden deutlich hervorgehoben. Mögliche Problempunkte, Fehlerquellen und Risiken werden dabei herausgearbeitet und konkrete Lösungsmöglichkeiten für die Praxis angeboten. Eine wichtige Informationsquelle für die Praxis sind auch die Beschlüsse der einschlägigen Expertenkreise für den Datenschutz, die innerhalb der Kommentierung berücksichtigt werden.Ergänzt wird die Kommentierung durch Praxishinweise mit ausführlichen Erläuterungen und Best Practice füröffentliche Stellennicht öffentliche Stellenbetroffene PersonenAufsichtsbehördenDatenschutzmanagementDas Autorenteam besteht aus ausgewiesenen Experten aus Wissenschaft, Aufsichtsbehörden sowie aus der Beraterschaft und ist ein Garant für umfassende und ausgewogene Informationen zum neuen Datenschutzrecht. Der vorliegende Kommentar bietet daher Unternehmen, Rechtsanwälten, Wissenschaftlern sowie Angehörigen der Datenschutzaufsicht das ideale Rüstzeug für eine erfolgreiche Umstellung auf das neue Datenschutzrecht.

DS-GVO/BDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DS-GVO/BDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Neben dieser Schutzfunktion trägt die Pseudonymisierung zudem dem Prinzip der Datenminimierung und Datensparsamkeitaus Art. 5 Abs. 1 lit. c[187] Rechnung. Nach dieser Vorschrift müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Insofern adressiert Art. 5 Abs. 1 lit. cdie Pseudonymisierung zwar nicht unmittelbar, sie kommt aber insbesondere dann zum Tragen, wenn ein Personenbezug von Informationen nicht mehr notwendig ist, um die Zwecke der Verarbeitung zu realisieren. Sie ist damit eine konkrete Umsetzung und Ausdruck des Gebotes des sparsamen Umgangs mit personenbezogenen Daten.[188]

Darüber hinaus weist die Pseudonymisierung eine enge Verknüpfung mit dem Datenschutzprinzip des „ Privacy by Design“ aus Art. 25[189] auf. Sie sorgt dafür, dass bereits in einem frühen Stadium durch TOM eine Entkoppelung persönlicher Informationen von anderen Daten erfolgen kann, was zu einem wirksamen Schutz für die Betroffenen führt.[190]

Im Rahmen eines risikobasierten Ansatzes wirkt sich die Pseudonymisierung auch zugunsten des Verantwortlichen aus. So kann sie Verarbeitungen zulässig machen, die ansonsten unzulässig wären. Dies ist insbesondere im Zeitalter von Big Dataund Internet of Thingsvon wesentlicher Bedeutung.[191] Ein wichtiges Anwendungsbeispiel ist dabei Art. 6 Abs. 4[192], der für eine Datenverarbeitung im Falle einer Zweckänderung gilt: Ob der neue (geänderte) Verarbeitungszweck mit dem ursprünglichen Zweck der Datenerhebung/-verarbeitung vereinbar ist, entscheidet eine Abwägung. Ein wichtiges Kriterium im Rahmen dieser Kompatibilitätsprüfung ist das Vorhandensein geeigneter Garantien, wozu auch die Pseudonymisierung zählt (vgl. Art. 6 Abs. 4 lit. e).[193]

Schließlich kommt der Pseudonymisierung auch auf der Rechtsfolgenseite eine große Bedeutung zu: Indem Art. 83 Abs. 2 lit. d[194] im Rahmen der Entscheidung über die Verhängung einer Geldbußeauf Art. 25und die getroffenen TOM abstellt, ist die Pseudonymisierung ein wichtiges Kriterium hinsichtlich der Bemessung der Bußgeldhöhe.

Gemäß ErwG 26 fallen pseudonymisierte Daten in den Regelungsbereich der DS-GVO. Gegenüber sonstigen personenbezogenen Daten sind sie jedoch privilegiert. Dies hat seinen Grund darin, dass pseudonymisierte Daten ohne Kenntnis zusätzlicher, getrennt aufbewahrter Informationen einer identifizierten Person nicht zugeordnet werden können. Die Privilegierung pseudonymisierter Daten ergibt sich insbesondere aus dem oben dargestellten Zusammenspiel verschiedener Normen[195] der DS-GVO, eine ausdrückliche Benennung der Privilegierung pseudonymisierter Daten enthält die DS-GVO indes nicht.[196]

2. Anforderungen an die Pseudonymisierung

Aus der Definition des Art. 4 Nr. 5lassen sich die folgenden drei Anforderungen an eine datenschutzkonforme Pseudonymisierungableiten:[197]

–	Keine Pseudonymisierung liegt vor, wenn die vorhandenen Daten ohne weiteres, z.B. über einen Namen, eine Anschrift oder eine Personalnummer, einer identifizierbaren Person zugeordnetwerden können. Erforderlich ist vielmehr, dass eine Identifizierung der betroffenen Person nur unter Hinzuziehung zusätzlicher Informationen möglich ist.[198]
–	Daten, mit denen die Zuordnung zu einer Person möglich wäre, müssen derart getrennt aufbewahrtwerden, dass sie nicht ohne weiteres zusammengeführt werden können. Die Aufbewahrung der zusätzlichen Daten und Informationen muss dabei laut ErwG 29 S. 1 nicht bei einem anderen Verantwortlichen erfolgen. Andernfalls würde das Verfahren der Pseudonymisierung in der Praxis zu stark eingeschränkt und somit keinen Anreiz mehr für Unternehmen bieten, eine Pseudonymisierung vorzunehmen.[199] Eine getrennte Aufbewahrung der Daten ist bspw. dann gegeben, wenn ein Datensatz nur in Form von Kennziffern vorhanden ist, die übrigen Identifikationsdaten aber weiterhin verfügbar sind.[200] Dies kann z.B. durch eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen erfolgen.[201] Beim Einsatz von Pseudonymisierungsverfahren ist daher stets festzulegen, wer über z.B. Zuordnungstabellen oder Verschlüsselungsverfahren verfügen soll, wer das Pseudonym generiert und unter welchen Voraussetzungen eine Zusammenführung mit den Identifikationsdaten möglich ist.[202] Die Fokusgruppe Datenschutz schlägt hierbei neben einem „Alles-in-einer-Hand“-Modell,bei dem der Verantwortliche sowohl über die personenbezogenen Daten als auch den Zuordnungsschlüssel verfügt ein „ Treuhändermodell“ vor, bei dem ein Dritter außerhalb des Verantwortlichen den Schlüssel zur Re-Identifizierung aufbewahrt.[203] Darüber hinaus kommt im jeweiligen Verarbeitungskontext auch ein Mischmodellin Betracht.[204]
–	Die personenbezogenen Daten sind zudem besonderen TOMzu unterwerfen, die gewährleisten, dass die Daten nicht unmittelbar einer natürlichen Person zugewiesen werden können.[205] Diese Voraussetzung knüpft an die Kernaussagen der ErwG 26 und 28 an. So stellt ErwG 26 klar, dass personenbezogene Daten, die pseudonymisiert wurden, aber durch die Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person[206] betrachtet werden sollen und somit als „personenbeziehbare Daten“ weiterhin in den Anwendungsbereich der DS-GVO fallen.[207] Demzufolge kann eine Pseudonymisierung zwar bei demselben Verantwortlichen erfolgen, gleichwohl muss dieser die notwendigen technischen und organisatorischen Maßnahmen (vgl. Ausführungen zur getrennten Aufbewahrung) vorhalten, um eine unberechtigte Wiederherstellung des Personenbezugs zu verhindern.

Die Fokusgruppe Datenschutz hat in diesem Zusammenhang sowohl ein Arbeitspapier zu den Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen[208] als auch einen Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung[209] vorgelegt. Die Arbeitspapiere enthalten dabei insbesondere folgende Empfehlungen zur Gewährleistung einer DS-GVO konformen Pseudonymisierung:

–	Für die Überwachung der Pseudonymisierung ist in organisatorischer Hinsicht ein Fachverantwortlicherzu benennen, der das technische und organisatorische Fachwissen besitzt und den Prozess der Pseudonymisierung von Daten festlegt und überwacht.[210] Der Begriff des Fachverantwortlichen beinhaltet dabei nicht die datenschutzrechtliche Verantwortlichkeit für die Pseudonymisierung i.S.v. Art. 4 Nr. 7, sondern die interne Verantwortlichkeit für die Organisation und den ordnungsgemäßen Ablauf der Pseudonymisierung.
–	Um eine datenschutzkonforme Pseudonymisierung zu gewährleisten, ist es erforderlich die Art und Risikoklasseder verarbeiteten personenbezogenen Daten festzulegen.[211] Hierbei ist nicht nur entscheidend, ob es sich um personenbezogene Daten nach Art. 4 Nr. 1oder Art. 9handelt, sondern auch zu welchem Zweck bzw. zu welchen Zwecken und in welchem Kontext die Daten verarbeitet werden.[212] Dabei ist auch maßgeblich, ob eine Weitergabe der pseudonymisierten Daten seitens des oder der Verantwortlichen geplant ist.[213]
–	Die einzelnen Prozessschritte der Pseudonymisierung und deren Durchführung sind entsprechend Art. 5 Abs. 2zu dokumentieren.[214] Dies betrifft insbesondere die Zuweisung der Fachverantwortlichkeiten, die Auswahl des geeigneten Pseudonymisierungsverfahrens, die beabsichtigten Verarbeitungszwecke inklusive einer möglicherweise geplanten Weiterverarbeitung, die Prüfung der Erforderlichkeit der Datenverarbeitung (mind. alle zwei Jahre), der Kontext der Pseudonymisierung, Voraussetzungen und Häufigkeit einer Re-Identifizierung sowie die Dokumentation sonstiger Abwägungsentscheidungen.[215]