EU-Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz Was Unternehmen nun umsetzen müssen

Transkript

1 EU-Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz Was Unternehmen nun umsetzen müssen 14. Fachtagung Abfallrecht Sonderabfall-Management- Gesellschaft Rheinland-Pfalz mbh 14. Juni 2018 in Budenheim Dr. Thomas Lapp, Frankfurt am Main Rechtsanwalt und Mediator, Fachanwalt für Informationstechnologierecht

2 Wichtige Schritte zum Datenschutz Eid des Hippokrates 1970 Hess. Datenschutz G, LDSGe, 1977 BDSG Recht auf informationelle Selbstbestimmung BVerfG 1983 EU-RiLi Datensch EU-Charta Grundrechte 2009

3 seit 25. Mai 2018

4 Zukunft

5 Gegenstand und Ziele EU DSGV Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Art. 1 Abs. 1 EU DSGV Leute_by_S. Hofschlaeger_pixelio.de

6 Sanktionen, Rechtsfolgen bei Verstoß WARUM MUSS MAN DS-GVO BEACHTEN?

7 43 BDSG (aktuell) Bußgeld bis bzw Ausgleich auch des wirtschaftl. Vorteils 1,3 Mio 0,6 Mio Lidl 1,5 Mio DB 1,1 Mio

8 Art. 83 Geldbußen Aufsichtsbehörden stellen sicher, dass sie Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind

9 Relevanz für Unternehmen

10 Grundsätze, Art. 5 Abs. 1 DSGV Rechtmäßigkeit Transparenz Zweckbindung Datenminimierung Richtigkeit, Integrität und Vertraulichkeit Nicht völlig neu, aber so anders, dass gehandelt werden muss Paragraphenmännlein_by_Stephanie Hofschlaeger_pixelio

11 Rechtmäßigkeit Art. 6 DSGVO Einwilligung des Betroffenen Verarbeitung ist erforderlich Thorben Wengert_pixelio

12 Art. 6 DSGVO: Verarbeitung ist erforderlich für die Erfüllung eines Vertrages Erfüllung einer rechtlichen Verpflichtung zur Wahrung der berechtigten Interessen, soweit nicht entgegenstehende Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen

13 Einwilligung Art. 4 Nr. 11 DSGVO Willenserklärung der betroffenen Person Auch als bestätigende Handlung möglich Einverständnis mit der Datenverarbeitung Freiwillig für den bestimmten Fall In informierter Weise und unmissverständlich Keine Einwilligung anfordern, wenn es eine andere Rechtsgrundlage gibt

14 Erster Schritt zur DSGVO: Betriebliche Datenschutzbeauftragte Bestellungspflicht, Aufgaben, Meldepflicht

15 Pflicht zur Bestellung 38 Abs. 1 BDSG-neu Verantwortliche Stellen oder Auftragsverarbeiter, die in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen Soweit nach Art. 35 DSGVO eine Datenschutz- Folgenabschätzung erforderlich ist Verarbeitung besonderer Kategorien personenbezogener Daten, Art. 9 DS-GVO

16 Besondere Kategorien Art. 9 DS-GVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

17 Pflicht zur Bestellung Art. 37 Abs. 2 DSGVO Durchführung von Verarbeitungsvorgängen, die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern Verarbeitung besonders sensibler Daten, Art. 9 und 10 Verarbeitung personenbezogener Daten muss Kerntätigkeit des Unternehmens, nicht bloße Nebentätigkeit sein = entscheidend für die Unternehmensstrategie und nicht bloße routinemäßige Verwaltungsaufgabe

18 Datenschutzbeauftragte (extern oder intern) Anforderungen nach Art. 37 Abs. 5 DSGVO Grundlage: berufliche Qualifikation und Fachwissen Datenschutzrecht Datenschutzpraxis Fähigkeit, die Aufgaben nach Art. 39 DSGVO zu erfüllen

19 Aufgaben des Datenschutzbeauftragten Unterrichtung und Beratung zu datenschutzrechtl. Pflichten Überwachung der Einhaltung des Datenschutzrechts Sensibilisierung und Schulung der Mitarbeiter Beratung und Überwachung bei Folgenabschätzung Zusammenarbeit mit Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde

20 Stellung des Datenschutzbeauftragten Frühzeitige Einbindung in alle IT-Planungen Anspruch auf Unterstützung, Ressourcen und Weiterbildung Weisungsfreiheit in Erfüllung seiner Aufgabe Unmittelbar an höchste Managementebene berichten andere Aufgaben > kein Interessenkonflikt Ansprechpartner für betroffene Personen

21 Zweiter Schritt: TRANSPARENZ UND INFORMATIONSPFLICHTEN

22 Transparenzgebot, Art. 12 I 1 EU DSGV Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten

23 Informationspflichten, Art. 13/14 DS-GVO Unternehmen müssen bei Erhebung personenbezogener Daten Informationspflichten gegenüber den Betroffenen erfüllen: Namen und die Kontaktdaten des Verantwortlichen gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten

24 Informationspflichten - Art. 13/14 DS-GVO Zwecke und Rechtsgrundlage der Verarbeitung Gegebenenfalls berechtigte Interessen für Verarbeitung (Kategorien) von Empfängern Gegebenenfalls Weitergabe in Drittländer Falls die Daten nicht von der betroffenen Person erhoben werden: Kategorien der personenbezogenen Daten

25 Datenschutzerklärung für Webseite Besonders zu beachten sind alle eingebundenen externen Inhalte und alle Verweise auf externe Seiten: Google-analytics, Google Maps, Google Web Fonts, YouTube, Facebook Like, Google+ etc. Erst nach genauer Prüfung der Inhalte der Website kann die Datenschutzerklärung formuliert werden Jedes Update von WordPress etc. kann Überraschungen bringen

26 Datenschutzerklärung Für jede Datenverarbeitung ist eine Rechtsgrundlage erforderlich, das ist nicht die Datenschutzerklärung Beispiel: Google Maps Bereits mit Aufruf der Seite wird die IP-Adresse an Google übertragen Fraglich, ob dies zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist

27 Datenschutzerklärung Zusätzlich zu den Informationen nach der Dienstleistungs- Informationspflicht Verordnung DLInfoV sind auch die Informationen nach der Datenschutz Grundverordnung DSGVO zu geben zum Zeitpunkt der Erhebung der personenbezogenen Daten

28 Datenschutzerklärung, Art. 14 DS-GVO Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden, innerhalb angemessener Frist längstens innerhalb eines Monats, Wenn die Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens mit der ersten Mitteilung

29 Fristen: Art. 12 I 3/4 EU DSGV Innerhalb eines Monats sind der betroffenen Person auf Antrag die verlangten Informationen zugänglich zu machen oder die Frist um maximal zwei Monate zu verlängern oder unter Angabe von Gründen abzulehnen und auf Möglichkeit der Beschwerde bei der Aufsichtsbehörde oder gerichtliche Rechtsbehelfe hinzuweisen Unternehmen müssen Verfahren vorbereiten!

30 Dritter Schritt zur DS-GVO-Compliance VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN

31 Verzeichnis von Verarbeitungstätigkeiten Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Videoüberwachung, , Telefonanlage, Kundendatenbank, Zeiterfassung, CRM, Personaldatenverarbeitung, Lohnbuchhaltung etc. Ausnahme für kleine Unternehmen mit weniger als 250 Mitarbeiter und nur geringer Umfang an Verarbeitung und keine besonderen Datenkategorien

32 Was muss in das Verzeichnis: Alle Verarbeitungstätigkeiten müssen beschrieben werden Daten zum Verantwortlichen incl. Datenschutzbeauftragten Kategorien der betroffenen Personen und der personenbezogenen Daten Kategorien von Empfängern Übermittlung in Drittländer Fristen für die Löschung personenbezogener Daten

33 Vierter Schritt: Sicherheit der Datenverarbeitung TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

34 TOM die Pseudonymisierung und Verschlüsselung Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherstellen Verfügbarkeit der personenbezogenen Daten und schnelle Wiederherstellung nach Crash Regelmäßige Evaluierung der Maßnahmen

35 Fünfter Schritt: Verträge mit Dritten AUFTRAGSVERARBEITUNG

36 Auftrags(daten)verarbeitung natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Art. 4 Nr. 8 DSGVO Privilegierung von Outsourcing/Cloud Computing Anforderungen sind verändert worden: Alle Auftragsverhältnisse und alle Verträge sind zu prüfen, inwieweit die DSGV eingehalten wird

37 Auftrags(daten)verarbeitung Abgrenzung zu gemeinsamer Verantwortung (Joint Control) keine Abgrenzung zur Funktionsübertragung Auftragsverarbeiter ist kein Dritter, es erfolgt keine Übermittlung von Daten, es braucht keine Rechtfertigung nach Art. 6 EU DSGVO

38 Auftrags(daten)verarbeitung Art. 28 DSGVO Gegenstand: Auftragsverarbeiter: darf personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten Mitarbeiter sind zur Verschwiegenheit verpflichtet Techn. und organisatorische Maßnahmen Art. 32 DSGVO etc.

39 Auftrags(daten)verarbeitung Art. 28 DSGVO Grundlage: Vertrag mit folgenden Festlegungen: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen

40 Weitere Schritte WAS SONST ZU BEACHTEN IST

41 Neu: Folgen- bzw. Risikoabschätzung Datenschutz-Folgenabschätzung nach Art. 35 DSGV ersetzt die Vorabkontrolle, ist aber deutlich umfangreicher Risiko-Abschätzung wird an mehreren Stellen der DSGV gefordert Art. 24 DSGV Verantwortung etc. Erwägungsgrund 75 benennt diese Risiken

42 Meldepflichten Verstöße gegen datenschutzrechtliche Vorschriften sind der Aufsichtsbehörde spätestens innerhalb von 72 Stunden zu melden. Unternehmen müssen Prozesse definieren und Vorkehrungen treffen, damit im Ernstfall entsprechend Art. 33 DS-GVO gehandelt werden kann

43 Dokumente Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat Hinweise und Musterformulare zu Verarbeitungsverzeichnissen gem. Art. 30 DSGVO erstellt.

44 Dr. Thomas Lapp Rechtsanwalt und Mediator, Fachanwalt für IT-Recht IT-Kanzlei dr-lapp.de Corinna Lapp Rechtsanwältin und Mediatorin, Fachanwältin für IT-Recht Berkersheimer Bahnstraße Frankfurt Tel.: 069/ Fax: 069/ anwalt@dr-lapp.de