Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dighealth:div:ds [2022/07/22 10:41] – [Eckpunkte Einwilligung] fjh
+++ dighealth:div:ds [2023/01/21 11:40] (aktuell) – [Übermittlung pbD an Drittländer] fjh
@@ Zeile 28: / Zeile 28: @@
   * [[https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf|Muster-Vorlage]] der DSK
+  * [[https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf|Kurzpapier der DSK]] zum Thema
   * [[https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf|Hinweise]] der DSK
+===== Technisch-organisatorische Maßnahmen Art. 30 Abs. 1 S. 2 lit. g DSGVO =====
+Maßnahmen sind im Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher zu dokumentieren.
+  * Hinweise dazu in "[[https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf|Hinweise zum
+Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO]]" der DSK, Ziffer 6.7
+  * Standard-Datenschutzmodell
+  * Leitlinien und Orientierungshilfen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und der Artikel-29-Arbeitsgruppe
+  * bestehende nationale und internationale Standards (BSI-Grundschutz, ISO-Standards...)
+Ist bei der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zu erwarten, hat die Bestimmung der Maßnahmen bereits im Rahmen einer Datenschutz-Folgenabschätzung gemäß Art.
+DS-GVO zu erfolgen.
+===== Anonymität =====
+  *[[https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Konsultationsverfahren/1_Anonymisierung/Positionspapier-Anonymisierung.pdf?__blob=publicationFile&v=4|Positionspaper BfDI]]
+===== Datenschutzbeauftragter =====
+  * Darf keinen Interessenkonflikt haben, sonst Bußgeld.((vgl. [[https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf]].))
+===== Übermittlung pbD an Drittländer =====
+Ohne weitere über die Rechtsgrundlage für die Übermittlung von pbD hinausgehende Rechtsgrundlage ist die Übermittlung in Länder der EU und Länder des EWR gem. Art. 1 Abs. 3 DSGVO zulässig.
+Eine Übermittlung von pbD in Drittländer erfordert neben der Rechtmäßigkeit der Verarbeitung (nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO) eine zusätzliche Legitimation (Art. 44 ff. DSGVO):
+  * **Angemessenheitsbeschluss** der EU-Kommission (Art. 45 DSGVO)
+  * **geeignete Garantien** und den betroffenen Personen zustehende durchsetzbare Rechte und wirksame Rechtsbehelfe (Art. 46 DSGVO)
+      * Verbindliche interne Datenschutzvorschriften (**Binding Corporate Rules** (BCR)) (Art. 47 DSGVO)
+      * **Standarddatenschutzklauseln**
+      * genehmigte **Verhaltensregeln** (Art. 40 DSGVO)
+      * genehmigter **Zertifizierungsmechanismus** (Art. 42 DSGVO)
+      * genehmigte **Vertragsklauseln**
+  * Ausnahmen in bestimmten Fällen (Art. 49 DSGVO)
+      * **ausdrückliche Einwilligung** der betroffenen Person, nach Info über mögliche Risiken (Art. 49 Abs. 1 lit. a DSGVO)
+      * Abschluss oder **Erfüllung eines Vertrages** mit der betroffenen Person bzw. **vorvertragliche Maßnahmen** auf Antrag der betroffenen Person (Art. 49 Abs. 1 lit. b DSGVO)
+      * Abschluss oder** Erfüllung eines Vertrages im Interesse der betroffenen Person** (Art. 49 Abs. 1 lit. c DSGVO)
+      * wichtige Gründe des **öffentlichen Interesses**, die im Unionsrecht oder dem Recht des Mitgliedstaates anerkannt sind (Art. 49 Abs. 1 lit. d i.V.m. Art. 49 Abs. 4 DSGVO)
+      * die Geltendmachung, Ausübung oder Verteidigung von **Rechtsansprüchen** (Art. 49 Abs. 1 lit.e DSGVO)
+      * der **Schutz lebenswichtiger Interessen**, sofern die betroffene Person außerstande ist ihre Einwilligung zu geben (Art. 49 Abs. 1 lit. f DSGVO)
+      * die **Übermittlung aus einem Register**, das zur Information der Öffentlichkeit bestimmt ist (Art. 49 Abs. 1 lit. g DSGVO)
+  * **Einmalige Übermittlung** gem. Art. 49 Abs. 1 S. 2 DSGVO
+<note>Der Angemessenheitsbeschluss für die USA bzw. den **EU-US-Privacy-Shield**, eine Form der freiwillgigen Selbstzertifizierung für Organisationen wurde zum 16.7.2020 für ungültig erklärt. Der EU-Privacy-Shield stellt somit keine Legitimation für Übermittlungen pbD in die USA mehr dar! Gemäß einer [[https://www.bitkom.org/Presse/Presseinformation/Datenschutz-deutsche-Wirtschaft-2022-DS-GVO-wenig-Wettbewerbsvorteile|repräsentativen Umfrage des Digitalverbandes Bitkom]] stützen sich 91 % der befragten Organisationen auf Standardvertragsklauseln</note>
+<note important>Verwaltungsgericht Neustadt: Hosting durch US-Unternehmen führt nicht automatisch zum Rechtsverstoß: https://www.linkedin.com/pulse/verwaltungsgericht-neustadt-hosting-durch-f%25C3%25BChrt-nicht-hessel-ll-m-/</note>
+==== Datenübertragung in die USA ====
+s. https://www.faz.net/aktuell/wirtschaft/eu-erleichtert-datentransfer-in-die-usa-18608666.html?GEPC=s3&s
+===== Zur Datenschutzdebatte =====
+  * Lobo, Sascha. [[https://www.spiegel.de/netzwelt/netzpolitik/datenschutz-als-verhinderungswaffe-der-fortschritt-und-seine-feinde-kolumne-a-0cd491dd-425f-4f17-b204-581fc0a0b947|Der Fortschritt und seine Feinde]], Spiegel, 7.9.2022 => "real existierender Datenschutz"
+  * Weichert, Thilo. [[https://netzpolitik.org/2022/replik-auf-sascha-lobo-datenschutz-ist-unentbehrlich/|Replik auf Sascha Lobo: Datenschutz ist unentbehrlich]], netzpolitik.org, 9.9.2022. => "irrationale Empfindungen"
+  * "Datenschutzjakobinertum", PharmaR 2022, 546, 555