Erste Erfahrungen mit der Datenschutz-Grundverordnung€¦ · DSGVO-GERÜCHTE – ABMAHN-ANGST –...
Transcript of Erste Erfahrungen mit der Datenschutz-Grundverordnung€¦ · DSGVO-GERÜCHTE – ABMAHN-ANGST –...
Erste Erfahrungen mit der neuen Datenschutz-
Grundverordnung
Marit HansenLandesbeauftragte für Datenschutz
Schleswig-Holstein
Fachtagung VNW, Lübeck, 23.10.2018
www.datenschutzzentrum.de
LÄUFT.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
LÄUFT.
NOCH NICHT GANZ RUND.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Erste Erfahrungen mit der DSGVO
NOCH NICHT GANZ RUND.
Bild: utroja0 via Pixabay
www.datenschutzzentrum.de
Überblick
1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht
2. Anwendung der DSGVO –Fälle
3. Ausblick
Erste Erfahrungen mit der DSGVO
Bild: utroja0 via Pixabay
www.datenschutzzentrum.de
BESCHWERDEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
KNAPP 300 FÄLLE.
+ WEITERLEITUNGEN AN ANDERE ZUSTÄNDIGE AUFSICHTSBEHÖRDEN
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
DATENPANNEN.
ART. 33-MELDUNGENDES VERANTWORTLICHEN
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
MELDUNGEN TÄGLICH.
CA. 80 FÄLLE.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
DATENSCHUTZ-BEAUFTRAGTE.
ART. 37-MELDUNGEN
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
8.000 MELDUNGEN.
VIELE FEHLEN NOCH.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
ANFRAGEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
> 5.000.
WEITERHIN HOHES NIVEAU.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
INSTRUMENTE.
ART. 58
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
HINWEISE
WARNUNGEN
VERWARNUNGEN
ANORDNUNGEN
BUSSGELDERErste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
PRÜFUNGEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
RESSOURCEN, RESSOURCEN,
RESSOURCEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
KOOPERATION
DE / EU.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
SPIELT SICH EIN.
DOPPELTER FÖDERALISMUS IN DE,
SPRACHEN,
KLEIN-KLEIN VS. STRATEGISCH.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
WIDRIGKEITEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
STORY-TELLINGRECHTSUNSICHERHEIT
DSGVO-GERÜCHTE – ABMAHN-ANGST – GESCHÄFTSMODELLE
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
NON-COMPLIANCE „BY DESIGN“
HERSTELLER WARTEN AB – MACHT DER GLOBAL PLAYER
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
CHANCEN.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
RISIKO IM GRIFF
PROZESSE AUFRÄUMEN
EXPORT VON LÖSUNGEN
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Überblick
1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht
2. Anwendung der DSGVO –Fälle
3. Ausblick
Erste Erfahrungen mit der DSGVO
Bild: utroja0 via Pixabay
www.datenschutzzentrum.de
KLINGEL-
SCHILDER.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Frage: Datenschutz an der Hauswand
Erste Erfahrungen mit der DSGVO
Bild: GregMontani via Pixabay
www.datenschutzzentrum.de
Klingelschilder – Rechtsgrundlagen?
• DSGVO überhaupt einschlägig? „Dateisystem“• Blick in Art. 6 DSGVO
Einwilligung? Vertrag?Berechtigte Interessen?
ErscheinungsbildBesucherLieferungenRettungssanitäter, Polizei
• Unterschiede Österreich / Deutschland?
Erste Erfahrungen mit der DSGVO
Namen korrekt + aktuell?Nur Nachname?Alle Mitbewohner?Risiken: Stalking, VIPs, …
Ergebnis: Nix Neues
insb. Einholen von Einwilligungen nicht nötig
www.datenschutzzentrum.de
MIETER-WAHL.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Frage: Zuverlässigkeit der Mieter
Erste Erfahrungen mit der DSGVO
Bild: qimono via Pixabay
www.datenschutzzentrum.de
Auswahl der Mieter – wie?
Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressentinnen“ (Stand: 30.01.2018)• Welche Daten erforderlich? Abhängig vom Zeitpunkt:
BesichtigungsterminIdentifikation, ggf. Angaben aus Wohnberechtigungsschein, keine Kopien fertigen
vorvertragliche Phase mit MietinteressentenAnzahl der Erwachsenen/Kinder, laufendes Insolvenzverfahren, Einkommensverhältnisse (sofern nicht direkt von anderer Stelle übernommen)
Entscheidung der künftigen Vermieter für bestimmte MietinteressentenNachweis Einkommensverhältnisse, ggf. weitere Informationen zum Nachweis der Bonität
• RG: Art. 6 Abs. 1 lit. b + f DSGVO, idR keine EinwilligungErste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
SMART METER.
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Frage: Smart Meter
Erste Erfahrungen mit der DSGVOBilder: geralt via Pixabay
www.datenschutzzentrum.de
Smart Meter – noch am Anfang
• Stromzähler mit Kommunikationseinheit
• Rechtsgrundlage Messstellenbetriebsgesetz / EU-Recht, Einbaupflichteinmal pro Jahr digitale Meldung der Verbrauchswertekürzere Intervalle möglich, aber nicht häufiger als 15 min
• Information der Betroffenen wichtig!Was genau passiert? Wer hat Zugriff auf was?
• Noch keine zertifizierten Smart Meter (Sicherheitsanforderungen des BSI + einige Datenschutzkriterien für das Smart Meter Gateway)
• Mehrwert? Für wen?Eigene AuswertungenFernzugriff
Erste Erfahrungen mit der DSGVO
Risiken?Analyse: wer ist wann zu Hause, typisches / geändertes Verhalten
www.datenschutzzentrum.de
Erste Erfahrungen mit der DSGVO
Quelle: http://www.swr.de/swrinfo/smart-meter-datenschuetzer-warnen-der-spion-aus-der-steckdose/-/id=7612/did=15941340/nid=7612/45y324/
Datenschutzrisiken Stromzähler: Genauigkeit
www.datenschutzzentrum.de
Erste Erfahrungen mit der DSGVO
Quelle: http://www.swr.de/swrinfo/smart-meter-datenschuetzer-warnen-der-spion-aus-der-steckdose/-/id=7612/did=15941340/nid=7612/45y324/
Datenschutzrisiken Stromzähler: Genauigkeit
www.datenschutzzentrum.de
Datenschutzrisiken Stromzähler
Erste Erfahrungen mit der DSGVO
Quelle: Greveler, Ulrich, Benjamin Justus und Dennis Löhr (2012). Forensic content detection through power consumption. In: IEEE International Workshop on Security and Forensics in Communication Systems, 6759-6763. Ottawa: IEEE Computer Society Press.
www.datenschutzzentrum.de
Datenschutzrisiken Stromzähler
Auch bei 15-Minuten-Messung:
• Wann geht eine Person zu Bett?
• Wann steht sie auf?
• Gibt es nächtliche Toilettenbesuche?
• Wie häufig wird gekocht?
• Wann verlässt sie das Haus, wann kehrt sie zurück?
• Verändern sich Lebensgewohnheiten (Nachwuchs, Besuch)?
Erste Erfahrungen mit der DSGVO
Quelle: Müller, Klaus J. (2010). Gewinnung von Verhaltensprofilen am intelligenten Stromzähler. In: Datenschutz und Datensicherheit 34, Nr. 6: 359-364. doi:10.1007/s11623-010-0107-2.
www.datenschutzzentrum.de
Blick ins Recht für Stromzähler
Erste Erfahrungen mit der DSGVO
§ 52 MsbG (Messstellenbetriebsgesetz)
§ 60 MsbG
www.datenschutzzentrum.de
Blick ins Recht für Stromzähler
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Blick ins Recht für Stromzähler
Erste Erfahrungen mit der DSGVO
§ 21 Abs. 1 Nr. 4 MsbG
www.datenschutzzentrum.de
Datenschutzlösungen?
• Pseudonymisierung: Identifikatoren ersetzen mit dem Ziel, dass die Zuordnung zur Person nicht ohne zusätzliche Informationen herstellbar ist
• Anonymisierung: Personenbezug irreversibel entfernen„Gleichmacherei“ von allem IdentifizierendenAggregation:
JahreswerteWohnblockwerte (Wohnblock-Verteiler als Proxy)Puffer (z.B. Batterien)
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de
Überblick
1. Die DSGVO – Blick hinter die Kulissen der Datenschutzaufsicht
2. Anwendung der DSGVO –Fälle
3. Ausblick
Erste Erfahrungen mit der DSGVO
Bild: utroja0 via Pixabay
www.datenschutzzentrum.de
Von der Pflicht zur Chance
• Selbstüberprüfung der eigenen Prozesse
Beurteilung des RisikosSortieren + aufräumenVerbesserungspotenziale
• Eingebauter DatenschutzAnbieten und nachfragenMarktbewegungZertifizierung möglich
• Vertrauenswürdigkeit:Kundschaft kann Spreu vom Weizen trennen
Erste Erfahrungen mit der DSGVO
Bild: congerdesign via Pixabay
GESTALTEN STATT
MECKERN.
Marit Hansenhttps://www.datenschutzzentrum.de/
www.datenschutzzentrum.de
Weitere Informationen
Erste Erfahrungen mit der DSGVO
www.datenschutzzentrum.de/meldungen/
www.datenschutzzentrum.de/dsgvo/
www.datenschutzzentrum.de
Weitere Informationen• https://www.datenschutzzentrum.de/dsgvo/• Kurzpapiere zu vielen Themen der DSGVO
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVOAufsichtsbefugnisse/SanktionenVerarbeitung personenbezogener Daten für WerbungDatenübermittlung in DrittländerDatenschutz-Folgenabschätzung nach Art. 35 DS-GVOAuskunftsrecht der betroffenen Person, Art. 15 DS-GVOMarktortprinzip – Regelungen für außereuropäische UnternehmenMaßnahmenplan „DS-GVO“ für UnternehmenZertifizierung nach Art. 42 DS-GVOInformationspflichten bei Dritt- und DirekterhebungRecht auf Löschung / „Recht auf Vergessenwerden“DatenschutzbeauftragterAuftragsverarbeitung nach Art. 28 DS-GVOBeschäftigtendatenschutzVideoüberwachungGemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVOBesondere Kategorien personenbezogener DatenRisiko für die Rechte und Freiheiten natürlicher PersonenUnterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO
• DSGVO + BDSG: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf
Erste Erfahrungen mit der DSGVO