Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen?

Transkript

1 Berlin Düsseldorf Frankfurt/Main Hamburg München 0 Die Europäische Datenschutz-Grundverordnung Fluch oder Segen für Unternehmen? Congress@it-sa Der sichere Hafen für Ihre Unternehmens IT Dr. Oliver Hornung, Rechtsanwalt und Partner Benjamin Spies, Rechtsanwalt und Partner SKW Schwarz Rechtsanwälte Nürnberg, 18. und 20. Oktober 2016

2 Berlin Düsseldorf Frankfurt/Main Hamburg München Einführung EU-DSGVO Instrumente des internationalen Datentransfers nach dem BDSG Instrumente des internationalen Datentransfers nach der EU-DSGVO 4 EU-US Privacy Shield 5 Handlungsempfehlungen

3 Berlin Düsseldorf Frankfurt/Main Hamburg München 2 1 Einführung EU-DSGVO

4 Berlin Düsseldorf Frankfurt/Main Hamburg München 3 Entwicklungsgeschichte und aktueller Stand Januar 2012 Gesetzesvorschlag der EU-Kommission Über 4000 Änderungsanträge der beratenden Ausschüsse Juli 2015 April 2016 Juni Mai 2018 Trilog (Europäisches Parlament, Europäischer Kommission, Europäischer Rat) Veröffentlichung der finalen Textfassung; 14. April 2016 Europäisches Parlament beschließt EU-DSGVO Inkrafttreten der EU-DSGVO Anwendbares Recht in allen 28 Mitgliedstaaten, wirkt direkt und unmittelbar, 288 Abs. 2 Satz 2 AEUV

5 Berlin Düsseldorf Frankfurt/Main Hamburg München 4 Hintergrund Problem "Datenschutz-Flickenteppich": Ungleiche Datenschutzniveaus in der EU durch unterschiedliche Umsetzung der DSRL 95/46/EG Lösung Einführung der EU-DSGVO Europaweit verbindlicher Rechtsakt der EU In den Regelungsbereichen, in denen die Verordnung vorrangig ist, wird das BDSG verdrängt; nationale Regelungen können nur gelten, wenn die EU-DSGVO Öffnungsklauseln vorsieht, dann sind Ausführungsgesetze zulässig, z.b. im Beschäftigtendatenschutz; einen ersten Entwurf zu einem Ausführungsgesetz gibt es bereits, datiert vom 5. August 2016

6 Berlin Düsseldorf Frankfurt/Main Hamburg München 5 Ziele des Verordnungsgebers Europaweit einheitlicher und hoher Datenschutzstandard Gleiche Wettbewerbsbedingungen auf der Basis hoher Datenschutzstandards Schutz der natürlichen Person bei der Verarbeitung personenbezogener Daten Gewährleistung des freien Datenverkehrs, insbesondere Erhebung des Rechts auf Datenschutz zu einem europäischen Grundrecht, wie dies in Deutschland bereits seit 1983 anerkannt ist Unterbindung der Weitergabe personenbezogener Daten aus der EU an Strafverfolgungsbehörden und Nachrichtendienste von Drittstaaten Pflicht zur Bestellung eines Datenschutzbeauftragten für alle Unternehmen, die innerhalb eines Jahres Daten von mehr als Betroffen verarbeiten

7 Berlin Düsseldorf Frankfurt/Main Hamburg München 6 Zentrale Kernpunkte - Überblick Recht auf Vergessenwerden und Datenportabilität Informierte Einwilligung als Eckpfeiler Informationsrechte und Transparenz Zukunftstaugliche Definitionen Harte Sanktionen Privacy by Design & Privacy by Default Weniger Bürokratie Einheitliche Rechtsdurchsetzung Ein fester Ansprechpartner für ganz Europa Datenübermittlung an Drittstaaten

8 Berlin Düsseldorf Frankfurt/Main Hamburg München 7 Überblick über die Vorschriften der EU-DSGVO Kapitel 10 / 11: Delegierte Rechtsakte, Schlussbestimmungen Kapitel 1: Allgemeine Bestimmungen Kapitel 2: Grundsätze Kapitel 9: Vorschriften für besondere Verarbeitungen Struktur der EU-DSGVO Kapitel 3: Betroffenenrechte Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe Kapitel 4: Verantwortlicher und Auftragsverarbeiter Kapitel 6 / 7: Aufsichtsbehörden Kapitel 5: Übermittlungen in Drittländer

9 Berlin Düsseldorf Frankfurt/Main Hamburg München 8 Zentrale Neuerungen 1/11 Erweiterte internationale Anwendbarkeit (Art. 3) Anwendung auf jede Datenverarbeitung im Zusammenhang mit Produkten und Dienstleistungen für EU-Bürger, unabhängig vom Sitz des Unternehmens bzw. der Nutzung technischer Mittel in der EU und unabhängig von einer Zahlungspflicht Beispiele: Shop mit Angeboten für EU-Bürger; Website mit Registrierungsmöglichkeit für EU-Bürger; Website mit Informationen speziell für EU- Bürger Anwendung bei Überwachung des Verhaltens von Bürgern, soweit dies in der EU stattfindet (einschließlich deren Internetaktivität) Beispiele: Webanalyse auf Websites für EU-Bürger; Profiling (z. B. für personalisierte Werbung) von EU-Bürgern Anwendung auf Auftragsdatenverarbeiter mit Sitz in der EU auch bei Nicht-EU- Auftraggeber (bisher nur eingeschränkte Prüfpflicht)

10 Berlin Düsseldorf Frankfurt/Main Hamburg München 9 Zentrale Neuerungen 2/11 Verarbeitungsvoraussetzungen Erhöhte Anforderungen an Einwilligung Betroffener in Datenverarbeitung (Art. 7) Einwilligung jederzeit widerruflich Bei Kopplung an Vertrag kann Einwilligung unwirksam sein Zentrale Erlaubnisnorm: Interessenabwägung (Art. 6 I f): "die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich um ein Kind handelt." Strengere Zweckbindung (Art. 6 IV) Neuer Zweck muss mit ursprünglichem "kompatibel" sein

11 Berlin Düsseldorf Frankfurt/Main Hamburg München 10 Zentrale Neuerungen 3/11 Verarbeitungsvoraussetzungen Strenge Anforderungen für "qualifiziertes Profiling" (Art. 22) Keine Unterwerfung einer auf ausschließlich automatisierter Verarbeitung einschl. Profiling beruhenden Entscheidung Bspw. für Bonitätsscoring oder Profiling zur Betrugserkennung Gilt voraussichtlich nicht für werbliches Profiling (personalisierte Werbung) Auftragsdatenverarbeitung Erhöhte Pflichten (Art. 28) Haftungsregeln des Auftragsdatenverarbeiters unmittelbar gegenüber Betroffenen (Art. 82)

12 Berlin Düsseldorf Frankfurt/Main Hamburg München 11 Zentrale Neuerungen 4/11 Nutzerfreundlichkeit Erweiterte Transparenz- und Informationspflichten der Anbieter ggü. Nutzern (Art ) Information mittels klarer, verständlicher Sprache und Symbole Einführung eines "Rechts auf Löschung" (Art. 17) Anspruch auf Löschung von Daten Bei Veröffentlichung muss verantwortliche Stelle auch Dritte, die Daten übernommen haben, informieren Ausnahmen unter Aspekten der freien Meinungsäußerung/Informationsfreiheit Recht auf Datenübertragbarkeit (Art. 20) Allgemeines Widerspruchsrecht gegen Datenverarbeitung und Profiling (Art. 21)

13 Berlin Düsseldorf Frankfurt/Main Hamburg München 12 Zentrale Neuerungen 5/11 Nutzerfreundlichkeit Privacy by Design (Datenschutz durch Technik) und Privacy by Default (datenschutzfreundliche Voreinstellungen) (Art. 25) Minderjährige: Zustimmungserfordernis der Eltern für Verträge über "Dienste der Informationsgesellschaft" (Art. 8) Bspw. für Eröffnung eines "Social-Media"-Kontos Altersgrenze flexibel zwischen 13 und 16 (Öffnungsklausel)

14 Berlin Düsseldorf Frankfurt/Main Hamburg München 13 Zentrale Neuerungen 6/11 Technisch-organisatorischer Datenschutz Detaillierte Regelungen zu Datensicherheit (Art. 32) Umfassende Meldepflichten bei Datensicherheitspannen gegenüber Behörden und Betroffenen, Meldefrist Behörde 72 h (Art. 33 und 34) Bei Datenverarbeitung "insbesondere bei Verwendung neuer Technologien" mit "hohem Risiko für die persönlichen Rechte und Freiheiten" muss Datenschutz- Folgenabschätzung durchgeführt werden (Art. 35) Beispiele: Scoring, Profiling, Videoüberwachung Bei verbleibenden Risiken: Pflicht zur Konsultation der Datenschutzbehörde (Art. 36) Pflicht der Unternehmen, Datenschutzbeauftragte zu benennen nur, wenn Datenverarbeitung die Kerntätigkeit ist (Art. 37 ff.), sonst nur, wenn Unionsrecht oder Recht des Mitgliedstaates dies erfordert

15 Berlin Düsseldorf Frankfurt/Main Hamburg München 14 Zentrale Neuerungen 7/11 Ko-Regulierung und Zertifizierung Verbände können Verhaltensregelungen zur Präzisierung der EU-DSGVO (Art. 40) ausarbeiten z. B. zu berechtigtem Interesse, Betroffenenrechten, Unterrichtung und Schutz von Kindern, Datentransfers in Drittstaaten, Meldepflichten Verhaltensregelungen müssen von zuständiger Behörde genehmigt werden Bei Bedeutung für mehrere EU-Staaten findet behördenseitig Koordinierung statt (über sog. Kohärenzverfahren, Art. 66 ff.) Kommission kann Verhaltensregelungen für allgemeingültig erklären Überprüfung durch Behörden und durch akkreditierte Stellen Unternehmen können sich zertifizieren lassen (Art. 42) Zertifizierungen werden von zuständiger Aufsichtsbehörde oder von akkreditierter Zertifizierungsstelle erteilt

16 Berlin Düsseldorf Frankfurt/Main Hamburg München 15 Zentrale Neuerungen 8/11 Sanktionen Bußgelder für den Fall der Nichteinhaltung durch Unternehmen (bis zu 10 bzw. 20 Mio. EUR oder 2 bzw. 4 % des Jahresumsatzes im Konzern) (Art. 83) Verstöße gegen Zertifizierungen bzw. anerkannte Verhaltensregelungen wirken straferhöhend, Beachtung wirkt strafmildernd Sanktionen stehen nicht im Ermessen der Behörde Mitgliedstaaten können eigene Sanktionen bestimmen (Art. 84) Verantwortliche Stellen und Auftragsdatenverarbeiter haften ggü. Betroffenen auf Schadensersatz für materielle und immaterielle Schäden infolge der Verletzung der DS- GVO (Art. 82)

17 Berlin Düsseldorf Frankfurt/Main Hamburg München 16 Zentrale Neuerungen 9/11 Sanktionen Beispiele bis zu 10 Mio. / 2 %: Verstoß gegen Vorgaben zur Einwilligung Minderjähriger Verstoß gegen "Privacy by Design" bzw. "Privacy by Default" (NEU!) Ungenügender AV-Vertrag bzw. ungenügende Prüfung TOMs des Verarbeiters Kein Verfahrensverzeichnis Ungenügende Datensicherheit (NEU!) Verstoß gegen Meldepflichten bei Datensicherheitspannen Ungenügende DS-Folgenabschätzung bzw. Konsultation (NEU!) Verstoß gegen Regelungen zu Stellung des DSB / Aufgaben des DSB (NEU!)

18 Berlin Düsseldorf Frankfurt/Main Hamburg München 17 Zentrale Neuerungen 10/11 Sanktionen Beispiele bis zu 20 Mio. / 4 %: Verstoß gegen Datenschutzprinzipien (Zweckbindung, Transparenz) (als selbstständiger Verstoß teilweise NEU!) Verarbeitung ohne hinreichende Erlaubnisnorm Verstoß gegen Vorgaben für Einwilligung (als selbstständiger Verstoß NEU!) Verstoß gegen Vorgaben zur Verarbeitung besonderer Arten von Daten (als selbstständiger Verstoß NEU!) Verstoß gegen Informationspflichten Verstoß gegen Betroffenenrechte, Recht auf Datenübertragung bzw. Löschung (NEU!) Verstoß gegen Widerspruchsrecht Verstoß gegen Profiling-Vorgaben (als selbstständiger Verstoß NEU!) Verstoß gegen Regelungen zu internat. Datentransfers (als selbstständiger Verstoß NEU!) Verstoß gegen nationale Datenschutzbestimmungen (z. B. ArbN-Datenschutzrecht)

19 Berlin Düsseldorf Frankfurt/Main Hamburg München 18 Zentrale Neuerungen 11/11 Durchsetzung Durchsetzung federführend durch zuständige nationale Datenschutzbehörden ("lead authority"- Modell bzw. "one-stop-shop") (Art. 51) Aber: Verbraucher können sich bei jeder Behörde beschweren Ggf. Zusammenarbeit verschiedener nationaler Behörden erforderlich Komplexes Abstimmungsverfahren u.a. mittels Europäischem Datenschutzausschuss (EDPB) Verbandsklagerecht (Art. 80) Mit Öffnungsklausel zu näherer Ausgestaltung in den Mitgliedsstaaten War Voraussetzung für geändertes Unterlassungsklagengesetz (UKlaG)

20 Berlin Düsseldorf Frankfurt/Main Hamburg München 19 2 Instrumente des internationalen Datentransfers nach dem BDSG

21 Berlin Düsseldorf Frankfurt/Main Hamburg München 20 Der internationale Datentransfer Innerhalb der EU/EWR Keine Besonderheiten: zulässig bei gesetzlichem Erlaubnistatbestand, Einwilligung oder Auftragsdatenverarbeitung (ADV) in Drittstaaten Stufe 1 Stufe 2 Rechtsgrundlage: gesetzlicher Erlaubnistatbestand o. Einwilligung Beachte: Gem. DS-Behörden auch bei ADV Rechtsgrundlage erforderlich, da Empfänger "Dritter" i.s.d. BDSG (Umkehrschluss 3 Abs. 8 S. 3 BDSG) (umstritten) Angemessenes Datenschutzniveau, 4b Abs. 3 BDSG Gesetzliche Erlaubnistatbestände, 4c Abs. 1 S. 1 Nr. 1-6 BDSG Ergreifen zusätzlicher Maßnahmen, 4c Abs. 2 BDSG Sonderfall USA: EU-US Privacy Shield

22 Berlin Düsseldorf Frankfurt/Main Hamburg München 21 Stufe 2: "Angemessenes Datenschutzniveau" Entscheidung der Kommission z.b. CH, Kanada, Argentinien, Israel, Uruguay EU-US Privacy Shield Individueller Vertrag Nur mit Genehmigung der Behörde Angemessenes Datenschutzniveau Standardvertragsklauseln der Kommission (SCC) Für USA in der Kritik seit Safe Harbor-Urteil des EuGH Binding Corporate Rules (BCR) Rechtlich verbindliche Implementierung von Unternehmensregelunge n zum Umgang mit personenbezogenen Daten im Konzern Nur mit Genehmigung der Behörde(n) Für USA in der Kritik seit Safe Harbor-Urteil des EuGH

23 Berlin Düsseldorf Frankfurt/Main Hamburg München 22 3 Instrumente des internationalen Datentransfers nach der EU-DSGVO

24 Berlin Düsseldorf Frankfurt/Main Hamburg München 23 Instrumente des internationalen Datentransfers 1/3 Datenübermittlung an Drittstaaten, Kapitel V EU-DSGVO Die nach der DSRL bestehenden Möglichkeiten der Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen werden beibehalten: Instrument des Angemessenheitsbeschlusses durch die Kommission (Art. 45) Verwendung von EU-Standardvertragsklauseln der Kommission (Art. 46 II lit. c) Verwendung und Freigabe verbindlicher unternehmensinterner Vorschriften durch die zuständige Aufsichtsbehörde (Art. 47 I, BCR) die Genehmigung individueller Vereinbarungen durch die zuständige Aufsichtsbehörde (Art. 46 II lit. d)

25 Berlin Düsseldorf Frankfurt/Main Hamburg München 24 Instrumente des internationalen Datentransfers 2/3 1. Instrument des Angemessenheitsbeschlusses durch die Kommission (Art. 45) NEU: Explizite Festlegung, dass nicht nur ein Drittland als Ganzes, sondern auch ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands Gegenstand eines Angemessenheitsbeschlusses sein können. NEU: Regelmäßigen Überprüfung der Angemessenheitsbeschlüsse einer durch die EU-Kommission (Erwägungsgrund 106) 2. Verwendung von EU-Standardvertragsklauseln der Kommission (Art. 46 II lit. c) NEU: Einsetzung der EU-Standardvertragsklauseln ohne vorherige Genehmigung der jeweils zuständigen nationalen Datenschutzbehörde 3. Verwendung und Freigabe verbindlicher unternehmensinterner Vorschriften durch die zuständige Aufsichtsbehörde (Art. 47 I, BCR) NEU: Die Anforderungen an verbindliche unternehmensinterne Datenschutzvorschriften werden konkreter und klarer geregelt

26 Berlin Düsseldorf Frankfurt/Main Hamburg München 25 Instrumente des internationalen Datentransfers 3/3 4. NEU: Möglichkeit des Einsatzes von genehmigten Verhaltensregeln (Art. 40) und genehmigten Zertifizierungsmechanismen (Art. 42) 5. NEU: Eine Übermittlung an ein Drittland oder eine internationale Organisation darf auch dann erfolgen, wenn die Wahrung zwingender berechtigter Interessen des Datenverarbeiters diese erforderlich machen (Art 49 I lit. h), wenn die Übermittlung nicht wiederholt erfolgt, sie nur eine begrenzte Zahl von betroffenen Personen betrifft, die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.

27 Berlin Düsseldorf Frankfurt/Main Hamburg München 26 Fazit: Licht und Schatten Einheitliche Regelungen EU-weit Geltung für alle Unternehmen, die in der EU tätig werden Viele unklare/auslegungs-bedürftige Begriffe bei drastischen Sanktionen Stärkerer Schutz für Rechte der Betroffenen Aber viele, z.t. unklare Öffnungsklauseln Aber Sanktionierung von Drittstaatenunternehmen faktisch weiterhin schwierig Aber Ko-Regulierung durch verbindliche Verhaltensregelungen sowie Zertifizierung möglich Hoher bürokratischer Aufwand Bisherige Datenschutzbehörde bleibt federführend zuständig

28 Berlin Düsseldorf Frankfurt/Main Hamburg München 27 4 EU-US Privacy Shield

29 Berlin Düsseldorf Frankfurt/Main Hamburg München 28 EU-US Privacy Shield - Überblick Abkommen zwischen der Europäischen Union und den USA als Nachfolger für das vom EuGH für ungültig erklärte Safe-Harbor Abkommen; in Kraft getreten am 12. Juli 2016 US-Unternehmen können sich seit dem 1. August 2016 eine Bescheinigung vom US- Handelsministerium ausstellen lassen, die den Datenaustausch zwischen Unternehmen der EU und dem US-Unternehmen erlaubt, ohne dass es einer weiteren Rechtsgrundlage bedarf (wie ggf. Binding Corporate Rules oder EU- Standardvertragsklauseln). Als Voraussetzung ist die Einhaltung strenger Auflagen erforderlich und nachzuweisen. EU-US Privacy Shield gewährleistet "angemessenes Datenschutzniveau" i.s.d. 4b Abs. 2 BDSG Jährliche Re-Zertifizierung erforderlich Aktuelle Übersicht über zertifizierte Unternehmen abrufbar unter:

30 Berlin Düsseldorf Frankfurt/Main Hamburg München 29 EU-US Privacy Shield - Grundsätze 1/2 Strenge Auflagen für US-Unternehmen Regelmäßige Überprüfung der Unternehmen auf Einhaltung der Regeln durch das US- Handelsministerium Sanktionen sowie Streichung von der Privacy Shield Liste im Falle der Nichteinhaltung Umfangreiche Schutzmaßnahmen und Transparenzpflichten bei Zugriff auf Daten durch US Behörden Schriftliche Zusicherung der USA, dass Zugriffe von Behörden auf personenbezogene Daten klaren Beschränkungen, Schutzmaßnahmen und Aufsichtsmechanismen unterliegen Bestätigung der US-Behörden, dass keine willkürliche oder Massenüberwachung erfolgt Ombudsstelle im US-Außenministerium als Anlaufstelle für EU-Bürger mit Rechtsschutzbegehren, unabhängig von den Nachrichtendiensten

31 Berlin Düsseldorf Frankfurt/Main Hamburg München 30 EU-US Privacy Shield - Grundsätze 2/2 Schutz der Rechte des Betroffenen Unternehmen müssen innerhalb von 45 Tagen auf Beschwerden reagieren Kostenloses Verfahren der alternativen Streitbeilegung Zusammenarbeit der Datenschutzbehörde mit dem US-Handelsministerium und der US-Bundeshandelskommission, um Lösungen für Beschwerden von EU-Bürgern sicherzustellen Ultima ratio: Schiedsverfahren, um eine durchsetzbare Entscheidung zu garantieren Jährliche Überprüfung Durch EU-Kommission und US-Handelsministerium Jährlicher Datenschutzgipfel mit Nichtregierungsorganisationen und Interessenvertreten von Entwicklungen im Bereich des US-Datenschutzrechts und dessen Auswirkungen auf EU-Bürger Öffentlicher Bericht der EU-Kommission an das EU-Parlament und den Rat

32 Berlin Düsseldorf Frankfurt/Main Hamburg München 31 EU-US Privacy Shield - Kritik und Risiken Kritik Form des EU-US Privacy Shield Abkommens: Kein verbindlicher Vertrag, lediglich Ansammlung von Briefen und Stellungnahmen Keine Offenlegungspflicht bei Eingriffen durch US-Behörden Kritische Beurteilung der Art. 29 Datenschutzgruppe, da anlasslose Überwachung durch US-Behörden nicht ausdrücklich ausgeschlossen wird Risiko US-Wahlkampfergebnis als Risiko für das EU-US Privacy Shield Abkommen

33 Berlin Düsseldorf Frankfurt/Main Hamburg München 32 Handlungsempfehlung für Datenübermittlung in die USA 1. Versuch, EU-Standardvertragsklauseln oder ggf. Binding Corporate Rules mit dem US-Unternehmen zu unterzeichnen 2. Falls nicht möglich, Datenübermittlung auch zulässig, wenn das US-Unternehmen durch das US-Handelsministerium nach den Regeln des EU-US Privacy Shield Abkommens zertifiziert worden ist 3. Wurden weder EU-Standardvertragsklauseln (ggf. Binding Corporate Rules) unterzeichnet, noch das US-Unternehmen nach den Regelungen des EU-US Privacy Shield Abkommens zertifiziert, ist eine Datenübermittlung an Unternehmen in den USA unzulässig

34 Berlin Düsseldorf Frankfurt/Main Hamburg München 33 5 Handlungsempfehlungen

35 Berlin Düsseldorf Frankfurt/Main Hamburg München 34 Was müssen verantwortliche Stellen jetzt tun? 1/5 Verarbeitungsvoraussetzungen prüfen Übersicht über alle Verarbeitungsvorgänge erstellen (Grundlage: aktuelles Verfahrensverzeichnis) Prüfen, ob Vorgaben des "Privacy by Design" (Datensparsamkeit) und "Privacy by Default" (datenschutzfreundliche Voreinstellungen) umgesetzt sind Prüfen, ob bisherige Erlaubnistatbestände ausreichen Insbesondere Zweckänderungen problematisch unter der DS-GVO Reichweite von Einwilligungen prüfen und ggf. auf Interessabwägung umstellen Kopplungen (Einwilligung als Voraussetzung für Vertragsschluss) prüfen und ggf. ersetzen durch Einwilligung ohne Kopplung oder Interessenabwägung

36 Berlin Düsseldorf Frankfurt/Main Hamburg München 35 Was müssen verantwortliche Stellen jetzt tun? 2/5 Informationspflichten prüfen und umsetzen In Verträgen, Online-Datenschutzbestimmungen und im Zusammenhang mit Einwilligungen Formatvorgaben beachten Zeitpunkt der Informationspflichten prüfen und beachten Auch versteckte Informationspflichten beachten (z. B. Pflicht zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten) Betroffenenrechte Standardisiertes Auskunftsverfahren nach DS-GVO schaffen Prüfen, ob und wie "Recht auf Löschung" umgesetzt werden kann Standardisierte Verfahren zur Löschung / Berichtigung v. Daten entwickeln Online "technischen" Widerspruch ermöglichen

37 Berlin Düsseldorf Frankfurt/Main Hamburg München 36 Was müssen verantwortliche Stellen jetzt tun? 3/5 Technische und organisatorische Maßnahmen ("TOMs") Risikobewertung zur Ermittlung der benötigten TOMs Ausführliche Dokumentation der Risikobewertung (Nachweispflicht!) Ggf. Erwerb von Zertifizierung, sobald vorhanden bzw. Verpflichtung auf verbindliche Verhaltensregelungen Verlagerung der Pflicht zur Führung des Verfahrensverzeichnisses vom Datenschutzbeauftragten auf die Geschäftsleitung Datensicherheitspannen Einführung standardisierter Prozesse zur Identifizierung und Eskalation Festlegung von Ansprechpartnern und Erreichbarkeit (Notfallmanagement) zwingend erforderlich wg. kurzer Meldefrist (72 h)

38 Berlin Düsseldorf Frankfurt/Main Hamburg München 37 Was müssen verantwortliche Stellen jetzt tun? 4/5 Datenschutz-Folgenabschätzung Einführung standardisierter Prozesse zur Folgenabschätzung bei allen neuen Prozessen Ggf. Konsultation mit zuständiger Behörde Auftragsdatenverarbeitung Neues Muster entwickeln für Einschaltung von Auftragsdatenverarbeitern ("Standard- ADV") TOMs des Verarbeiters sorgfältig prüfen und dokumentieren, ggf. Zertifizierung verlangen Internationale Datentransfers Klare Vorgaben treffen für Transfers in Drittstaaten C2C und C2P-Transfers (Checkliste) C2P-Transfers: EU-Standardvertragsklauseln einbeziehen in Standard-ADV

39 Berlin Düsseldorf Frankfurt/Main Hamburg München 38 Was müssen verantwortliche Stellen jetzt tun? 5/5 Zertifizierungen Sobald vorhanden: Anbieter sichten und ggf. Zertifizierung erwerben "One stop-shop"-mechanismus Bei Niederlassungen/Tochtergesellschaften in verschiedenen EU-Staaten kann es von Vorteil sein, federführende Aufsichtsbehörde zu haben ("lead authority") Prüfung, welche Behörde sich dafür eignet Ggf. entsprechende Verlagerung von Geschäftsprozessen (unter Beachtung etwaiger anderer Auswirkungen, z. B. steuerlicher Art) Ko-Regulierung Ggf. Kontaktaufnahme zum zuständigen Branchenverband zur Anregung Durchführung bzw. Beteiligung an Ko-Regulierung Ggf. später: Selbstverpflichtung auf Ko-Regulierung der eigenen Branche

40 Berlin Düsseldorf Frankfurt/Main Hamburg München 39 Prozessschritte zur Einführung und Umsetzung der EU-DSGVO (1) Aufstellen eines Projektteams Festlegung von Projektzielen Ressourcen- und Budgetplanung Risikoanalyse EU-DSGVO Bestandsaufnahme vorhandener Datenschutzprozesse GAP-Analyse zwischen IST- und SOLL-Zustand

41 Berlin Düsseldorf Frankfurt/Main Hamburg München 40 Prozessschritte zur Einführung und Umsetzung der EU-DSGVO (2) Einbindung Datenschutzbeauftragter in sämtlichen Projektphasen Datenschutzkommunikation im Unternehmen Schulungen zum Datenschutz Frühzeitige Kommunikation mit dem Betriebsrat Prüfung und Neuverhandlung von Betriebsvereinbarungen Planung einzelner in der EU-DSGVO vorausgesetzter Prozesse

42 Berlin Düsseldorf Frankfurt/Main Hamburg München 41 Vielen Dank für Ihre Aufmerksamkeit! Dr. Oliver Hornung Rechtsanwalt Partner T F E o.hornung@skwschwarz.de Benjamin Spies Rechtsanwalt Partner T F E b.spies@skwschwarz.de