• Vortrag zur Datenschutzgrundverordnung (EU DSGVO) – Hostsharing eG – die Hosting-Genossenschaft
    https://www.hostsharing.net/blog/2018/03/20/vortrag-zur-datenschutzgrundverordnung-dsgvo

    Hostsharing-Vorstandsmitglied Dr. Martin Weigele ging im Vortrag nach einem kurzen Überblick über Hostsharing zunächst auf die Frage ein, warum die EU DSGVO z.B. bei Hostsharing anwendbar ist, wie das Zusammenspiel zwischen EU und deutschem Recht funktioniert, und was die grundlegende Konfliktlage zwischen technischen und juristischen Normen im internationalen Umfeld auszeichnet. Die EU DSGVO schafft hierfür erstmals einen einheitlichen Rechts- und Durchsetzungsraum innerhalb der EU, allerdings zu dem Preis oftmals sehr unbestimmter, stark auslegungsbedürftiger Rechtstexte als Ergebnis eines langwierigen politischen Kompromisses.
    EU-DSGVO Checkliste

    Im Anschluss daran wies Martin Weigele auf einige Punkte hin, die in einer Datenschutz-Checkliste nicht fehlen sollten.
    Gültigkeit klären

    Zunächst ist zu klären, ob die Datenverarbeitung überhaupt von der EU DSGVO betroffen ist. Denn die Verordnung gilt grundsätzlich für personenbezogene Daten im Zusammenhang mit Waren- und Dienstleistungsangeboten innerhalb der EU.

    Bei rein privaten Zwecken ist eine Gültigkeit nicht von vorne herein anzunehmen. Eine genaue Abgrenzung muss die Rechtsprechung übernehmen.
    Rollen prüfen

    Wichtig ist bei der konkreten Anwendung vor allem, sich die jeweiligen Rollen bei der Verarbeitung personenbezogener Daten, wie etwa Betroffener, oder Verantwortlicher, je nach konkretem Datenverarbeitungsvorgang klar zu machen. Daneben kennt die Verordnung auch den Auftragsverarbeiter und die gemeinsam Verantwortlichen.

    Eine Definition dieser Rollen findet man in der Verordnung selbst, u.a. in Artikel 4 EU DSGVO
    Erlaubte Rechtfertigungsgründe prüfen
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern
    Martin Weigele nach dem Vortrag im Gespräch mit Zuhörern

    Ausgehend von der Klärung dieser Rollen ist der Grundsatz, wie schon beim Bundesdatenschutzgesetz, das Verbot der Verarbeitung personenbezogener Daten. Es müssen deshalb stets die erlaubten Rechtfertigungsgründe abgeprüft werden.

    Was sind solche Gründe neben der (widerruflich) erklärten Einwilligung des Betroffenen?

    Hier kommen zunächst einmal gesetzliche Regelungen oder geschlossene Verträge in Frage.

    In einem Vertragsverhältnis dürfen die für seine Erfüllung erforderlichen Daten natürlich auch verarbeitet werden.

    Beispiele für gesetzliche Gründe sind gesetzliche Pflichten zur Erhebung oder Aufbewahrung von Sozialversicherungs- oder steuerlichen Daten oder Aufbewahrungspflichten zu geschäftlicher Korrespondenz, also auch E-Mails, nach dem Handelsgesetzbuch.

    Zur Gefahrenabwehr dürfte in der dritten Erlaubniskategorie, dem Vorliegen eines berechtigten Interesses, das gegenüber den Interessen des Betroffenen überwiegt, die zeitweise Speicherung von IP-Adressen von Webseitenbesuchern zulässig sein.

    Der Bundesgerichtshof hat im vergangenen Jahr entschieden, dass IP-Adressen von Webseitenbesuchern personenbezogene Daten sind, weil die dazugehörigen Betroffenen im Rahmen von rechtlichen Verfahren ans Tageslicht kommen können. Somit bedarf es für Logfiles einer rechtlichen Rechtfertigung.
    Auftragsdatenverarbeitung bzw. Auftragsverarbeitung

    Eine Besonderheit stellt die DGSVO-Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) dar, die es prinzipiell ermöglicht, auch ohne Vorliegen solcher Gründe personenbezogene Daten zu verarbeiten. Dafür müssen beim Auftraggeber die genannten Rechtfertigungsgründe vorliegen. Allerdings treffen den Auftragsverarbeiter erweiterte Sorgfalts- und Haftungspflichten gegenüber der früheren Regelung.

    Diese Spielart dürfte aber bei selbstgestaltetem Hosting, bei dem die Datenverarbeitungstätigkeit auch technisch weitgehend selbst kontrolliert wird, meist keine große Rolle spielen. Hier muss allerdings die Entwicklung der Rechtsprechung genau beobachtet werden.
    Betroffenenrechte

    Im Anschluss erläuterte Weigele die Rechte der Betroffenen. Diese sind vor Informationsrechte (Art. 13 und 14 DSGVO) , Werbe-Einwilligungerklärungen (Art. 7 und 13 DSGVO), die Einrichtung eines Auskunftsverfahren für Betroffene (Art. 15 in Verbindung mit Art. 12 DSGVO), das Recht auf eine Berichtigung von Daten und ihre Löschung (Art. 16 und 17 DSGVO), das Recht einer Speicherung zu widersprechen (Art. 21 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
    Risikomanagement, Datenschutz-Folgenabschätzung, Meldepflichten

    Ferner erklärte er, welche Faktoren in einem datenschutzrechtlichen Risikomanagement beachtet werden müssen. Hier gilt es vor allem den Nachweispflichten zu entsprechen.

    In bestimmten Fällen sind Datenverarbeiter sogar zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet.

    Und schließlich müssen Prozesse implementiert werden, durch die sichergestellt wird, dass Datenschutzverletzungen erkannt und rechtzeitig der zuständigen Datenschutzbehörde gemeldet werden.

    Règlement européen sur la protection des données : ce qui change pour les professionnels | CNIL
    https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-profess

    Microsoft : EU-Datenschutz-Grundverordnung : Sind Sie vorbereitet ?
    https://www.microsoft.com/de-de/aktion/IT-Sicherheit/eu-datenschutz-grundverordnung.aspx

    Ab dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (DSGVO) Anwendung (international bezeichnet als General Data Protection Regulation, kurz GDPR). Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit Personen in der Union erfassen und analysieren.

    Durch den neuen gemeinsamen und gemeinschaftlichen Datenschutzstandard soll das Schutzniveau insgesamt angehoben und länderübergreifend verbessert werden; zudem bietet er Vorteile im EU-weiten Warenverkehr. Das Ziel hinter der DSGVO ist ein EU-weit einheitliches Schutzniveau für personenbezogene Daten natürlicher Personen in der Union.

    Organisationen sollten jetzt die erforderlichen Schritte einleiten, um ihre Compliance mit der DSGVO zu sichern.

    #SPIP et le RGPD
    https://contrib.spip.net/SPIP-et-le-RGPD

    #RGDP #DSGVO