aller au menu aller au contenu

 

GDPR

Zielsetzungen

Ziel der EU Datenschutz-Grundverordnung vom 27. April 2016 (Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) kurz DS-GVO, die keiner nationalen Umsetzung in deutsches Recht bedarf, ist die Harmonisierung und Stärkung der europäischen Gesetzesvorschriften über den Umgang mit, die Speicherung, die Verarbeitung und den Verkehr von personenbezogenen Daten natürlicher Personen. 

Wie bereits bisher im deutschen Bundesdatenschutzgesetz (BDSG) ist auch weiterhin der Umgang mit personenbezogenen Daten nur zulässig, wenn entweder eine Einwilligung der betroffenen Personen oder aber eine entsprechende Gesetzesvorschrift dafür vorliegt.

Die DS-GVO will: 

Die Bestimmungen der Verordnung sind ab 25. Mai 2018 gültig.

In Deutschland ist die zuständige Aufsichtsbehörde die jeweilige Landesdatenschutzaufsicht, für CACEIS Bank S.A., Germany Branch ist dies das Bayerische Landesamt für Datenschutzaufsicht mit Sitz in Ansbach, www.lda.bayern.de. 

Die Datenschutzbeauftragte der CACEIS Bank S.A., Germany Branch ist unter datenschutz@caceis.com zu erreichen

Wichtigste Bestimmungen

Anwendungsbereich

Die Verordnung gilt für jedes in der Europäischen Union ansässige Unternehmen, das personenbezogene Daten erhebt, verarbeitet und speichert, durch deren Nutzung eine natürliche Person direkt oder indirekt identifiziert werden kann, sowie dessen Technologiepartner und Softwaredienstleister. Sie betrifft auch außerhalb der EU ansässige Unternehmen, die Waren und Dienstleistungen für europäische Bürger anbieten oder Daten über europäische Bürger erheben (sog. Marktortprinzip).

Die DSGVO betrifft natürliche Personen und bezieht sich deswegen auf die Daten von Mitarbeitern, Kunden und Interessenten sowie alle anderen personenbezogenen Daten, die von dem Unternehmen genutzt werden (Auftragnehmer, Dienstleister, Besucher usw.). Sie gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person im Rahmen einer rein persönlichen oder häuslichen Tätigkeit oder auch im Rahmen einer Tätigkeit durchgeführt wird, die nicht in den Anwendungsbereich des Unionsrechts fällt.

Allgemeine Grundsätze


  •  Governance-Anforderungen

Wichtigste BestimmungenErläuterungen
Richtigkeit der Daten
  • Personenbezogene Daten müssen korrekt und aktuell sein. Es müssen alle nötigen Schritte unternommen werden um sicherzustellen, dass falsche personenbezogene Daten, mit Hinblick auf den Verwendungszweck, unmittelbar gelöscht oder berichtigt werden.
Zweckbindung
  • Der bei der Datenerhebung festgelegte Zweck muss der weiteren Verwendung entsprechen.
Datenminimierung
  • Es darf nur das für die jeweilige Verarbeitung notwendige Maß an Daten erhoben werden.
Fortlaufende Überwachung
  • Die Einhaltung der DS-GVO durch das Unternehmen muss durch regelmäßige Überwachung gewährleistet werden.
Meldepflicht von Datenpannen
  • Datenpannen sind der zuständigen Aufsichtsbehörde innerhalb von gesetzten Fristen anzuzeigen
Ausdrückliche Einwilligung
  • Für die Verwendung von personenbezogenen Daten ohne entsprechende gesetzliche Grundlage muss von der betroffenen Person eine ausdrückliche Einwilligung eingeholt werden, deren Vorliegen nachzuweisen ist

  • Operative Anforderungen

Wichtigste BestimmungenErläuterungen
Portabilität der Daten
  • Betroffene Personen haben das Recht, die Übermittlung ihrer personenbezogenen Daten an andere Unternehmen zu verlangen
Absicherung der Daten
  • Personenbezogene Daten müssen sicher gespeichert werden.
Löschung der Daten
  • Das Unternehmen hat personenbezogene Daten u.a. dann zu löschen wenn diese für die Zwecke, für die sie erhoben wurdennicht mehr notwendig sind. Betroffene Personen haben das Recht, die endgültige Löschung ihrer Daten zu verlangen.
Rückverfolgbarkeit der Daten
  • Die Rückverfolgbarkeit von personenbezogenen Daten muss während ihrer gesamten Verarbeitung aufrecht erhalten werden

 

  • Unter die DS-GVO fallende Daten

Unter den Schutzbereich der Normen der DS-GVO fallen:

  • Personenbezogene oder personenbeziehbare Daten natürlicher Person, wie z.B.
    • Personenstand, Alter, Geschlecht, Identität, Identifikationsdaten, Fotos usw.;
    • Privatleben (Lebensgewohnheiten, familiäre Situation usw.);
    • Informationen wirtschaftlicher und finanzieller Art (Einkommen, Finanzlage, steuerliche Situation usw.);
    • Verbindungsdaten (IP-Adresse, Logs usw.);
    • Lokalisierungsdaten (Bewegungsprofil, GPS-Daten, GSM usw.).
  • Besondere „Kategorient“ personenbezogene Daten: Diese Daten sind besonders schützenswert, weil ihre Verwendung mit hohen Risiken bzw. Gefahren für die persönlichen Grundrechte und Freiheiten verbunden ist. Zu diesen Daten zählen:
    • Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; 
    • genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlich en Person;
    • Gesundheitsdaten;
    • Daten zum Sexualleben oder der sexuellen Orientierung;
    • Daten über strafrechtliche Verurteilungen und Straftaten;
  • Generell dürfen solche Daten nicht erhoben bzw. verarbeitet werden, in manchen Fällen sind jedoch Ausnahmen möglich.  Zu diesen Ausnahmen zählt u.a. ein ausdrückliches Einverständnis der betroffenen Person zu Verwendung der Daten oder die gesetzmäßige Erfassung der Daten durch bestimmte Organisationen oder Institutionen (z.B. Gerichte).

HERAUSFORDERUNGEN UND LÖSUNGEN

CACEIS wird die DSGVO einhalten, um den Schutz personenbezogener Daten zu gewährleisten, die in ihren Systemen verarbeitet werden, unabhängig davon, ob dies Daten unserer Kunden oder Mitarbeiter sind.

Auswirkungen und Vorbereitung von CACEIS

CACEIS hat seine Group Data Protection and Security Policy veröffentlicht.

Als Antwort auf die wichtigsten Herausforderungen, die vor uns liegen, stellt CACEIS seinen dreijährigen Plan zur Informationssicherheit vor, um Lösungen zum Schutz der Unternehmenswerte, einschließlich personenbezogener Daten und Cybersicherheit, zu identifizieren.

Dieser Plan 2016-2018 fasst insbesondere zusammen:

  • Vier strategische Ziele und zehn flankierende Maßnahmen, einschließlich Maßnahmen, die im Einklang mit dem BIPR getroffen wurden (Ziff. 1.4),
  • Umsetzung der Politik durch effektives Ressourcenmanagement, klare Kommunikation und Leistungsbewertung.

Für weitere Informationen steht Ihnen Ihr gewohnter Ansprechpartner im Vertrieb zur Verfügung.

WEITERE INFORMATIONEN

> In unseren die Regulierungsüberwachung betreffenden Dokumenten Décryptage und Scanning veröffentlichen wir in französischer und englischer Sprache die jüngsten Entwicklungen bei bestehenden oder künftigen Vorschriften. Sie können diese Dokumente gerne zu Rate ziehen.

> Andere Links von Interesse:

  • Leitfaden- Europäische Kommission

Leitfaden der Kommission zur unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung

  • Fragen-Antworten - Europäische kommission

Die Europäische Kommission hat eine neue Fragen und Antworten-Website eingerichtet, um sicherstellen, dass alle Beteiligten - Regierungen, die nationale Datenschutzbehörden, die Unternehmen und die Bürger - bereit sind.

Wichtige Daten