IT-Security-Symposium 2019

Größe: px

Ab Seite anzeigen:

Download "IT-Security-Symposium 2019"

Lilli Waltz
vor 5 Jahren
Abrufe

1 IT-Security-Symposium 2019 I T- S e c u r i t y i m F o k u s IT-Sicherheit und Datenschutz Fazit nach (fast) einem Jahr DSGVO Referent: Dr. Bernd Schmidt, PLANIT // LEGAL

2 Agenda DSGVO in 5 Minuten erklärt Neues von den Aufsichtsbehörden Abmahnungen für Datenschutzverstöße Brexit aktuell

3 DSGVO in 5 Minuten erklärt Vollharmonisierung des europäischen Datenschutzrechts DSGVO ist in Kraft seit dem 25. Mai 2018 DSGVO ersetzt nationales Recht weitgehend Wesentliche Grundsätze des europäischen (und des deutschen Datenschutzrechts) wurden beibehalten Verbotsprinzip Technische und organisatorische Maßnahmen Befugnisse der Aufsichtsbehörden Aber: Relevante Änderungen im Detail Betroffenenrechte Neue Organisationspflichten Drastisches Bußgeldregime

4 DSGVO in 5 Minuten erklärt Art. 5 Abs. 1 DSGVO zieht Grundsätze der Verarbeitung vor die Klammer Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Art. 5 Abs. 2 DSGVO Rechenschaftspflicht Dokumentation von Maßnahmen zur Einhaltung der Grundsätze erforderlich

DSGVO in 5 Minuten erklärt Verbotsprinzip bleibt erhalten! Datenverarbeitung ist illegal. Es sei denn es gibt eine gesetzliche Rechtfertigung für die konkrete Verarbeitung.

5 DSGVO in 5 Minuten erklärt Verbotsprinzip bleibt erhalten! Datenverarbeitung ist illegal. Es sei denn es gibt eine gesetzliche Rechtfertigung für die konkrete Verarbeitung. Einwilligung aber Vorsicht: hohe Anforderungen an Information und Freiwilligkeit und freie Widerufllichkeit Art. 6 DSGVO: gesetzliche Erlaubnistatbestände (z.b. Erfüllung eines Vertrages mit dem Betroffenen) Art. 9 DSGVO: besondere Kategorien personenbezogener Daten (z.b. Erfüllung arbeitsrechtlicher Pflichten) 26 BDSG: Verarbeitung von Beschäftigtendaten Neben der Rechtfertigung muss für jede Verarbeitung Transparenz hergestellt werden.

DSGVO in 5 Minuten erklärt Basics des Datenschutzmanagements: Datenschutzbeauftragten bestellen und der Aufsichtsbehörde melden Sicherstellen, dass Risiken laufend analysiert und verringert werden =>

6 DSGVO in 5 Minuten erklärt Basics des Datenschutzmanagements: Datenschutzbeauftragten bestellen und der Aufsichtsbehörde melden Sicherstellen, dass Risiken laufend analysiert und verringert werden => Art. 32 DSGVO regelmäßige Überprüfung Datenschutz-Dokumentation: Wer schreibt, der bleibt! => Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss stets nachweisen können, dass er datenschutzkonform handelt Prozess zur Risikobewertung und Datenschutzfolgenabschätzung => Art. 35 DSGVO Prozess zur Beauskunftung von Betroffenenanfragen => Art. 12 ff. DSGVO gestärkte Betroffenenrechte und steigende Tendenz der Anfragen Incidentmanagement => Art. 33 DSGVO: Meldung von Datenschutzverstößen innerhalb von 72 Stunden

7 DSGVO in 5 Minuten erklärt Sanktionen für Datenschutzverletzungen Art. 83 DSGVO Bußgeldrahmen bis zu EUR 20 Mio. oder 4% des weltweiten Unternehmensumsatzes für jeden Verstoß => kartellrechtlicher Begriff des Unternehmens! => Konzernumsatz! 43 Abs. 1 und 2 BDSG (neu) bis zu EUR bei Verstößen gegen Auskunfts- und Unterrichtungspflichten Freiheitsstrafe bis zu 2 bzw. 3 Jahren gemäß 42 BDSG (neu) wissentliche Übermittlung personenbezogener Daten in großem Umfang unberechtigte Verarbeitung oder Erschleichung nicht zugänglicher Daten => Nur ein Datenschutzmanagementsystem kann dauerhaft Risiken vermeiden.

Nutzungsbedingungen zu akzeptieren Die Entscheidung ist nicht rechtskräftig.

8 Neues von den Aufsichtsbehörden - Frankreich Januar 2019 CNIL verhängt Bußgeld i.h.v. EUR 50 Mio. Google LLC. Begründung: Unklare Bezeichnung der Rechtfertigungsgrundlage Transparenzpflicht Fehlender Rechtfertigungsgrundlage Zwang, Nutzungsbedingungen zu akzeptieren Die Entscheidung ist nicht rechtskräftig. Google hat Widerspruch eingelegt Konsequenzen aus der Entscheidung: Bußgelder können deutlich über den bisherigen Rahmen hinaus gehen Rechtfertigungsgrundlage für jede Verarbeitung prüfen und klar in Datenschutzinformation benennen

Neues von den Aufsichtsbehörden - Portugal Juli 2018 CDPD verhängt Bußgeld i.h.v. EUR 400.

durch 985 Nutzerprofile für Ärzte; in der Klinik sind nur 296 Ärzte beschäftigt Keine technisch-organisatorischen Maßnahmen getroffen / dokumentiert Konsequenzen aus der Entscheidung:

9 Neues von den Aufsichtsbehörden - Portugal Juli 2018 CDPD verhängt Bußgeld i.h.v. EUR gegen Krankenhaus Begründung: Exzessive Zugriffe auf Patientendaten durch falsch konfigurierte und veraltete Nutzerprofile Inhaltlich nicht eingeschränkter Zugriff auf Patientendaten durch 985 Nutzerprofile für Ärzte; in der Klinik sind nur 296 Ärzte beschäftigt Keine technisch-organisatorischen Maßnahmen getroffen / dokumentiert Konsequenzen aus der Entscheidung: Verantwortliche Stelle muss sicherstellen, dass Datenverarbeitungseinrichtungen in Übereinstimmung mit DSGVO genutzt werden => Privacy by Default Technische und organisatorische Maßnahmen prüfen, dokumentieren und verbessern! Restriktives Zugriffs- und Berechtigungskonzept implementieren

Neues von den Aufsichtsbehörden Baden-Württemberg September 2018 Aufsichtsbehörde BW verhängt Bußgeld i.h.v. EUR 20.000 gegen Social Media Portal Knuddels Begründung: rund 808.

10 Neues von den Aufsichtsbehörden Baden-Württemberg September 2018 Aufsichtsbehörde BW verhängt Bußgeld i.h.v. EUR gegen Social Media Portal Knuddels Begründung: rund Adressen und Pseudonyme und Passwörter waren unverschlüsselt und Gegenstand eines Hackerangriffs Unternehmen hat Aufsichtsbehörde informiert und vorbildlich kooperiert sonst wäre das Bußgeld wohl höher ausgefallen Konsequenzen aus der Entscheidung: Technische und organisatorische Maßnahmen prüfen, dokumentieren und verbessern! => Verschlüsselung Routine zur Meldung von Verstößen => Incident Management Kooperation oder Konfrontation im Fall der Fälle?

Neues von den Aufsichtsbehörden Hamburg / Hessen Dezember 2018 Aufsichtsbehörde Hamburg verhängt Bußgeld i.h.v. EUR 5.

11 Neues von den Aufsichtsbehörden Hamburg / Hessen Dezember 2018 Aufsichtsbehörde Hamburg verhängt Bußgeld i.h.v. EUR wegen fehlendem AV-Vertrag Begründung: Kleines Versandunternehmen nutzte spanischen Dienstleister zur Verarbeitung von Kundendaten, der keinen AV-Vertrag zur Verfügung stellte Unternehmen kontaktierte DS-Aufsichtsbehörde und weigerte sich anwaltlich vertreten, selbst einen AV-Vertrag zu erstellen Aufgabe des Dienstleisters Konsequenzen aus der Entscheidung: Abschluss von AV-Verträgen ist Pflicht des Auftraggebers und des Auftragnehmers! Sicherstellen, dass Dienstleister technisch-organisatorisch angemessene Maßnahmen getroffen haben und dass AV-Verträge abgeschlossen sind Kein AV-Vertrag, keine Daten!

Neues von den Aufsichtsbehörden Baden-Württemberg Februar 2019 Aufsichtsbehörde BW verhängt Bußgeld i.h.v. EUR 2.

Vertraute gesendet, um Stimmungsbild zu einem Antrag für kleinen Landesparteitag zu erstellen Liste war zur Organisation des kleinen

12 Neues von den Aufsichtsbehörden Baden-Württemberg Februar 2019 Aufsichtsbehörde BW verhängt Bußgeld i.h.v. EUR gegen Juso-Politiker Begründung: Früherer Juso Landeschef hatte mit SPD Mitgliederverwaltungssoftware Liste von Delegierten gezogen und an Vertraute gesendet, um Stimmungsbild zu einem Antrag für kleinen Landesparteitag zu erstellen Liste war zur Organisation des kleinen Landesparteitags bestimmt => Verstoß gegen Zweckbindungsgrundsatz Konsequenzen aus der Entscheidung: Umsetzung des Zweckbindungsgrundsatz beachten Prüfen, ob Zweckänderungen gerechtfertigt sind

13 Abmahnungen für Datenschutzverstöße Abmahnfähigkeit von Datenschutzverstößen durch Verbraucherverbände: 2 Abs. 2 Nr. 11 UKlaG: verbraucherschützende Datenschutzregeln => abmahnfähig durch Verbraucherverbände Unterlassungsansprüche durch Betroffene: 1004 Abs. 1 S. 2 BGB analog => abmahnfähig durch Betroffen Möglichkeit der Abmahnung durch Konkurrenten 3a UWG: Marktverhaltensregelung durch die DSGVO? Abschließendes Sanktionsregime durch die DSGVO? => derzeit umstrittenste Frage des neuen Rechts

Abmahnungen für Datenschutzverstöße Rechtsprechung zur Konkurrentenabmahnung LG Würzburg: Informationspflichten sind Marktverhaltensregelungen gem.

14 Abmahnungen für Datenschutzverstöße Rechtsprechung zur Konkurrentenabmahnung LG Würzburg: Informationspflichten sind Marktverhaltensregelungen gem. 3a UWG => Abmahnung war erfolgreich LG Bochum, LG Wiesbaden, LG Magdeburg DSGVO enthält ein abschließendes Sanktionsregime; Datenschutzverstöße können daher nicht gem. 3a UWG abgemahnt werden => Abmahnung war nicht erfolgreich OLG Hamburg Marktverhaltensregelung durch DSGVO möglich und nicht durch DSGVO gesperrt (Beispiel: Datenverarbeitung zur Werbenutzung) Konsequenzen aus dem Meinungsstreit: Be better safe than sorry! Erkennbare Datenschutzverstöße vermeiden Datenschutzerklärung und Impressum prüfen Technische Maßnahmen zum Schutz von Webseiten prüfen

Datenschutzniveau im Drittstaat feststellen Datenexporteur und Datenimporteur können Datenschutzdefizite beim

15 Brexit aktuell Datenübermittlungen in Drittstaaten außerhalb der EU / des EWR bedürfen einer zusätzlichen Rechtfertigung => 2-Stufen-Theorie EU-Kommission kann einen Angemessenheitsbeschluss treffen und ein angemessenes Datenschutzniveau im Drittstaat feststellen Datenexporteur und Datenimporteur können Datenschutzdefizite beim Datenimporteur (vertraglich) beseitigen Problem: Der datenschutzrechtliche Status von Großbritannien nach einem Brexit ist ungeklärt

Brexit aktuell Brexit-Checkliste Ist der Brexit für mich relevant? Gibt es eine Niederlassung oder Dienstleister in GB? Deal oder No-Deal Scenario?

16 Brexit aktuell Brexit-Checkliste Ist der Brexit für mich relevant? Gibt es eine Niederlassung oder Dienstleister in GB? Deal oder No-Deal Scenario? Bei einem No-Deal Scenario wir GB zum unsicheren Drittstaat. Gibt es Regelungen zur Datenübermittlungen für das No-Deal Scenario? EU Standardvertragsklauseln Binding Corpoate Rules Andere Rechtfertigungen

17 Kontakt: Dr. Bernd Schmidt Rechtsanwalt und externer Datenschutzbeauftragter phone: Anne Petzold COMPAREX Akademie phone: +49 (0) web: Besuchen Sie uns auf:

18 Vielen Dank für Ihre Aufmerksamkeit! Besuchen Sie uns auf:

Ähnliche Dokumente

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

1 DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht I H K S c h w a b e n A u g s b u r g, d e n 1 6. A p r i l 2 0 1 8 T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s