Das neue Datenschutzrecht: Erste Schritte und Praxiserfahrungen

Transkript

1 Das neue Datenschutzrecht: Erste Schritte und Praxiserfahrungen Dr. Matthias Lachenmann Rechtsanwalt / Datenschutzbeauftragter (UDISzert) Ihr Referent: RA Dr. Matthias Lachenmann Rechtsanwalt mit Schwerpunkt im Datenschutzrecht geprüfter Datenschutzbeauftragter (UDIS zert ) Promotion zur Datenübermittlung im Konzern Ausbilder von Datenschutzbeauftragten (UDIS), mit Schwerpunkt DSGVO Dozent bei der Telelex GmbH mit Online-Seminaren in der Ausbildung von Fachanwälten für IT-Recht und Arbeitsrecht regelmäßige Veröffentlichungen zum Datenschutzrecht mit Schwerpunkt DSGVO (z.b. zum Beschäftigtendatenschutz in Besgen/Prinz, Arbeiten 4.0; Kommentar zur eprivacy-vo) Herausgeber Formularhandbuch Datenschutzrecht bei C.H. Beck, 2. Aufl. zur DSGVO 2 (c) Dr. Matthias Lachenmann; Pauly & Partner 1

2 BASICS ZENTRALE THEMEN 3 Umfassender Anpassungsbedarf im Datenschutzrecht besteht! Ziele : Vereinheitlichung der Datenschutzbestimmungen innerhalb der EU derzeit: erhebliche Unterschiede Anpassung an Herausforderungen der Digitalisierung (Big Data / Internet der Dinge) Erfassung US-amerikanischer : Erstreckung des Anwendungsbereiches auf ausländische, die Daten von EU-Bürgern verarbeiten technikneutrale Ausgestaltung Anpassung BDSG / TMG notwendig parallel: Überarbeitung Datenschutzrichtlinie Elektronische Kommunikation ( Cookie-Richtlinie ) in eprivacy-vo 4 (c) Dr. Matthias Lachenmann; Pauly & Partner 2

3 Worum geht es beim Datenschutz? alle Datenschutzgesetze sollen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (vgl. 1 Abs. 1 BDSG a.f.) nicht: Schutz von Daten, sondern: Schutz der Entscheidungsbefugnis des Einzelnen über die Verwendung seiner Daten personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren lebenden Person (Betroffener) auch wenn zunächst nur eine Kennziffer vorhanden ist, diese aber einer Person zugeordnet werden kann, handelt es sich um personenbezogene Daten 5 Was wird geschützt? alle Arten von Daten, insbesondere: Kunden und Interessenten Website-Besucher und Social Media-Nutzer Lieferanten, Einkauf Händler, Vertrieb Facility Management-Dienstleister externe Berater Beschäftigte Grundsatz: alle personenbezogenen Daten werden gleich behandelt Erleichterung: bei B2B-Daten ist Schutzbedürfnis geringer Daten von Endkunden stehen im Fokus der Aufsichtsbehörden 6 (c) Dr. Matthias Lachenmann; Pauly & Partner 3

4 Sanktionen Bußgelder: bis zu 20 MIO EUR oder 4 % des Jahresumsatzes der Gruppe Bußgelder müssen effektiv, verhältnismäßig und abschreckend sein Bußgelder sollen bei Verstößen verhängt werden, Verzicht nur bei geringen Verstößen (ErwG 148) Ansprüche durch einzelne Betroffene (inkl. Schmerzensgeld!) eingeschränkt: Abmahnungen von Verbraucherschutzverbänden und Konkurrenten Abmahnungen von Datenschutzvereinen 7 Verpflichtungen für nach 8 (c) Dr. Matthias Lachenmann; Pauly & Partner 4

5 Verpflichtungen der (Auszug) Rechenschaftspflicht/Accountability, Art. 5, 24 Erlaubnistatbestände der, Art. 6-9 Gewährleistung der Betroffenenrechte, Art. 12 ff. neue Transparenz- und Informationspflichten, Art. 13 f. Datenminimierung, Art. 25 Beauftragung externer Dienstleister (Auftragsverarbeitung), Art. 28 Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Umsetzung IT-Sicherheitsmaßnahmen, Art. 32 Kontrollpflichten/Verpflichtung auf das Datengeheimnis, Art. 32 Data breach notification, Art. 33 f. Datenschutz-Folgenabschätzung, Art. 35 f. Bestellpflicht eines Datenschutzbeauftragten, Art. 37 ff. Absicherung von Datentransfers in Drittstaaten, Art. 45 ff. 9 Rechenschaftspflichten - von immer zu beachten! Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht"). der Erlass von internen Richtlinien ist erforderlich, sofern es im Hinblick auf die verhältnismäßig ist Compliance-Prozess erforderlich: Review und Aktualisierung der Vorgaben sind geboten Nachweis kann durch entsprechende Zertifikate erfolgen erfasst: Archivierungs- und Löschkonzept 10 (c) Dr. Matthias Lachenmann; Pauly & Partner 5

6 Rechenschaftspflichten - von immer zu beachten! 11 Zulässigkeit der 12 (c) Dr. Matthias Lachenmann; Pauly & Partner 6

7 Erlaubnistatbestände für die Artikel 6 Absatz 1 Satz 1 DSGVO - besondere Relevanz: Erfüllung vertraglicher Verpflichtungen, Buchst. b! Interessenabwägung, Buchst. f: schutzwürdige Interessen des Betroffenen berechtigte Interessen der verantwortliche Stelle 13 Unter welchen Voraussetzungen sind klassische Werbeformen erlaubt? 14 (c) Dr. Matthias Lachenmann; Pauly & Partner 7

8 Einwilligung in die folgende Erfordernisse müssen nach beachtet werden (Art. 6 Abs. 1 lit. a, Art. 7): eindeutige Willensbetätigung des Betroffenen klare und eindeutige Formulierung der Einwilligung freiwillige Zustimmung; separates Anklicken/ Zustimmung zur ; keine voreingestellten Haken (ErwG 32) Nachweispflicht beachten! bisher eingeholte Einwilligungen: Gelten nur fort, sofern sie den Bedingungen entsprechen (ErwG 171) Prüfung aller bestehenden Einwilligungen nötig! 15 Einwilligung in die - Text Einwilligungstext muss bestimmte Angaben enthalten: Wer soll die Daten nutzen dürfen? Welche Daten soll er nutzen dürfen? Zu welchem/-n Zweck(en) soll er die Daten nutzen? Darf er die Daten weitergeben und, wenn ja, an wen? 16 (c) Dr. Matthias Lachenmann; Pauly & Partner 8

9 Einwilligung in die - Nachweis Empfänger muss Einwilligung tatsächlich abgegeben haben Darstellung des Inhalts der Einwilligung Speicherung der s in Blackbox, Druckmöglichkeit 17 Compliance-Pflichten für 18 (c) Dr. Matthias Lachenmann; Pauly & Partner 9

10 Betroffenenrechte Zielsetzung: Stärkung der Betroffenenrechte dazu: Einführung neuer Rechte zustehende Rechte: Recht auf Auskunft Recht auf Berichtigung oder Löschung Recht auf Vergessenwerden Recht auf Einschränkung der Verarbeitung Recht auf Widerspruch gegen die Verarbeitung Recht auf Datenübertragbarkeit Verantwortliche müssen entsprechende Prozesse etablieren, um Anfragen zu beantworten & Umsetzung nachzuhalten (Frist: 4 Wochen)! 19 Informationspflichten Informationen müssen bei Datenerhebung erteilt werden, sofern Daten beim Betroffenen erhoben werden Information muss grundsätzlich schriftlich erfolgen oder auf eine andere Weise - sofern angemessen - in elektronischer Form keine Datenerhebung beim Betroffenen - dann spätestens zur Verfügung stellen, Art. 14: bei Weitergabe an andere Empfänger mit Zeitpunkt der Weitergabe bei Kommunikation mit Betroffenen mit der ersten Mitteilung sonst innerhalb eines Monats Ausnahme: unverhältnismäßiger Aufwand für Erteilung im Zweifel: abgestufte Information, Art. 29-Gruppe, WP (c) Dr. Matthias Lachenmann; Pauly & Partner 10

11 Betroffenenrechte 21 Betroffenenrechte 22 (c) Dr. Matthias Lachenmann; Pauly & Partner 11

12 23 Auftragsverarbeitung Auftragsverarbeitung bei weisungsgebundenen Tätigkeiten Vertrag muss bestimmte inhaltliche Kriterien erfüllen, u.a.: Gegenstand der Dauer, Zweck und Art der Datenkategorien und Betroffenen Regelung zur Beauftragung von Subdienstleistern Verschwiegenheitspflicht für alle Mitarbeiter alle erforderlichen Vorgaben zur IT-Sicherheit Verantwortlicher muss sich überzeugen, dass Einhaltung der Vorgaben gewährleistet ist ( Accountability ) Dienstleister muss alle Informationen liefern, um die Einhaltung der Vorgaben des Vertrags nachzuweisen Überprüfungen durch den Controller sollen ermöglicht werden 24 (c) Dr. Matthias Lachenmann; Pauly & Partner 12

13 25 Verzeichnis von Verarbeitungstätigkeiten Verantwortliche müssen wie bisher ein Verzeichnis von Verarbeitungstätigkeiten führen betrifft alle en, die in der Zuständigkeit des Verantwortlichen liegen Verzeichnis von Verarbeitungstätigkeiten muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden Vorgaben für Dienstleister: auch Auftragsverarbeiter müssen eine Übersicht zu saktivitäten führen, die sie für Auftraggeber vornehmen inhaltliche Vorgaben reduziert: Kontaktdaten Kategorien der Übermittlungen in Drittland Datensicherheitsmaßnahmen 26 (c) Dr. Matthias Lachenmann; Pauly & Partner 13

14 27 Bestellung eines Datenschutzbeauftragten Pflicht zur Bestellung eines Datenschutzbeauftragten, sofern folgende Voraussetzungen vorliegen (DSGVO und BDSG-neu): Kernaktivitäten liegen in der systematischen Beobachtung von Betroffenen in großer Anzahl oder die Kernaktivitäten beruhen auf einer von sensitiven Daten in einer großen Anzahl oder mindestens 10 Mitarbeiter im sind mit svorgängen beschäftigt oder wenn svorgänge durchgeführt werden, bei denen eine Datenschutz-Folgenabschätzung durchgeführt wird freiwillige Bestellung stets möglich konzernweite Bestellung eines DSB möglich Meldung des DSB an die zuständige Aufsichtsbehörde Fachkenntnisse im Datenschutz durch DSB erforderlich 28 (c) Dr. Matthias Lachenmann; Pauly & Partner 14

15 Fazit: Vergleich zum BDSG 29 DSGVO Aufgaben für KMU Bestellung eines Datenschutzbeauftragten prüfen Gewährleistung der Betroffenenrechte insbesondere Datenschutzerklärungen auf Website, für Kunden, für Mitarbeiter, für Bewerber Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten Erlass Datenschutzrichtlinie im Einwilligungen überprüfen/einholen, insbes. bei Newslettern Auftragsverarbeitungsverträge bei Beauftragung externer Dienstleister Meldepflichten bei Datenschutzverstößen bedenken gelungene Übersicht für KMU: 30 (c) Dr. Matthias Lachenmann; Pauly & Partner 15

16 DSGVO Musterformulare Möglichkeiten zur Selbsteinschätzung durch Aufsichtsbehörden: Vertragsmuster Auftragsverarbeitung: _Auftragsverarbeitung_DS-GVO.docx Verzeichnis von Verarbeitungstätigkeiten: Sicherheit/Datenschutz/FirstSpirit LF- Verarbeitungsverzeichnis-online.pdf diverse Praxishilfen der GDD e.v.: 31 Unser Netzwerk Datenschutz in guten Händen 32 (c) Dr. Matthias Lachenmann; Pauly & Partner 16