Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Transkript

1 Die neue Datenschutzgrverordnung Folgen für den Einkauf Dr. Matthias Lachenmann Rechtsanwalt / Datenschutzbeauftragter (UDISzert)

2 1. Vorgeschichte EU-DATENSCHUTZGRUNDVERORDNUNG: VORGESCHICHTE UND AUSWIRKUNGEN

3 1. Vorgeschichte

4 Vorgeschichte Zielsetzung der Novelle 1. Vorgeschichte Vereinheitlichung der Datenschutzbestimmungen innerhalb der EU - derzeit: erhebliche Unterschiede Anpassung an Herausforderungen der Digitalisierung (Big Data / Internet der Dinge) Erfassung US-amerikanischer Unternehmen: Erstreckung des Anwendungsbereiches auf ausländische Unternehmen, die Daten von EU- Bürgern verarbeiten Technikneutrale Ausgestaltung von Datenschutzbestimmungen DSGVO im Mai 2016 in Kraft getreten, unmittelbar anwendbar ab Mai 2018

5 Inhalte DSGVO - Überblick 1. Vorgeschichte Sehr weitgehender Personenbezug festgeschrieben; umfasst regelmäßig: IP-Adressen, Cookie-IDs sonstige Identifier (Ken-Nr. etc.) Andere Vorgaben zur Zulässigkeit der Datenverarbeitung Grsatz der Rechenschaftspflicht ( Accountability ) eingeführt Bekannte Datenschutzansätze fortentwickelt (zb Datenschutz-Folgenabschätzung; Privacy by design) Erweiterung bestehender Einführung neuer Betroffenenrechte (zb Auskunft, Datenportabilität) Erhebliche Ausweitung des Bußgeldrahmens (bis zu 20 Mio. Euro / 4 % weltweiter Konzernjahresumsatz)

6 - Handlungsbedarf 1. Vorgeschichte Erfassung, Dokumentation Bewertung sämtlicher Datenverarbeitungen erforderlich (GAP-Analyse) Einführung eines Datenschutzmanagements Anpassung aktueller DV-Prozesse an die DSGVO, zb: Informationspflichten Umsetzung Betroffenenrechte Interne Dokumentation des Prozesses Auftragsverarbeitungsverträge anpassen Datenschutz-Folgenabschätzung sicherstellen Regelungen zu Data Breach Notification einführen z.b. über Ticket-System IT-Sicherheitsmanagement gefordert

7 1. Vorgeschichte COMPLIANCE-ANFORDERUNGEN IN DEN BEREICHEN DATENSCHUTZ UND IT-SICHERHEIT

8 Rechenschaftspflicht - im Datenschutzrecht neu eingeführt 1. Vorgeschichte Unternehmen müssen die Einhaltung der Datenschutzprinzipien nachweisen können ( Accountability ) Einführung technischer & organisatorischer Maßnahmen zur Einhaltung erforderlich Dokumentation der DV-Prozesse Durchführung von Wirksamkeitskontrollen Risikoorientierter Ansatz: Berücksichtigung von Art, Umfang, Umstände Zwecke der Datenverarbeitung Eintrittswahrscheinlichkeit / Risiken Verstoß: Bußgeld bis 20 MIO EUR / 4% weltweiter Konzernjahresumsatz

9 Informationspflichten gegenüber Betroffenen Kontaktdaten DSB Zweck der Datenverarbeitung Name Kontaktdaten Empfänger / Kategorie Berechtigte Interessen Pflichtinformationen Übermittlung Drittland Allgemeines Widerspruchsrecht Werbewiderspruchrecht

10 Informationspflichten gegenüber Betroffenen Dauer der Datenspeicherung Betroffenenrechte Widerrufsrecht bei Einwilligung Zusätzliche Informationen ( faire & transparente DV ) Pflicht zur Angabe von Daten Automatisierte Einzelentscheidung/Profiling Beschwerde bei Aufsichtsbehörde

11 Graussage zur Datensicherheit 1. Vorgeschichte Die angemessenen technischen organisatorischen Maßnahmen sind zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Berücksichtigung folgender Faktoren: Stand der Technik, Implementierungskosten Art, Umfang Zwecke der Datenverarbeitungen Risiken der Datenverarbeitungen für den Betroffenen Wirksame Verfahren zur regelmäßigen Überprüfung, Bewertung Evaluierung der Wirksamkeit von technischen organisatorischen Maßnahmen Orientierung an 9-Punkte-Katalog aus BDSG möglich

12 Die wesentlichen Punkte im Überblick 1. Vorgeschichte Einführung eines Datenschutz-Managements erforderlich, u.a. Dokumentiertes Konzept Arbeitsanweisungen zum Datenschutz Schulungen Wirksamkeitskontrollen Interne Dokumentation sämtlicher Datenverarbeitungen einschl. der Rechtmäßigkeit Koordination durch Benennung von Datenschutzkoordinatoren in den Abteilungen Anpassung an neue Instrumente, u.a. Datenschutz-Folgenabschätzung Meldepflicht bei Datenverlust Verträge zur Auftragsverarbeitung

13 1. Vorgeschichte FOKUS EINKAUF: WELCHE VORGABEN SIND ALS AUFTRAGGEBER ZU BEACHTEN?

14 1. Vorgeschichte

15 Zulässigkeitsanforderungen im Überblick 1. Vorgeschichte Allgemeine Vorgaben zur Zulässigkeit der Datenverarbeitung in Art. 5 Abs. 1 DSGVO ( Grsätze der Datenverarbeitung ) Nachweispflicht nach Art. 5 Abs. 2 DSGVO Zu folgenden Prinzipien der Datenverarbeitung: Transparenz Rechtmäßigkeit Zweckbindung Erforderlichkeit ( Datenminimierung ) / Datensparsamkeit Richtigkeit der Daten / Löschung falscher Daten Gewährleistung IT-Sicherheit

16 Datenschutz im Strategic Sourcing-Prozess 1. Projektplanung + Start 2. Ermittlung der 3. Marktanalyse 4. Entwicklung Strategie 5. Durchführung Verhandlungen 6. Vertragsschluss 7. Durchführung + Überprüfung Berücksichtigung datenschutzrechtlicher Themen im gesamten Prozess

17 Regelmäßige Datenschutzfragen im Einkauf 1. Vorgeschichte Art des Kaufs Waren ohne Personenbezug (z.b. Papier, Stifte) IT-Einkauf mit Verarbeitung personenbezogener Daten (z.b. Drucker, IT-Systeme) Betroffene Arten personenbezogener Daten Lieferantendaten Finanzdaten (Kosten, Zahlungen) Mitarbeiterdaten Ermittlung der datenerhebenden Stelle Konzerngesellschaft (z.b. in Matrix-Strukturen) Bei Software für Einkaufscontrolling: Einbeziehung Betriebsrat

18 Regelmäßige Datenschutzfragen im Einkauf 1. Vorgeschichte Kritikalität der Daten oft gering Ggf. nur Kontaktdaten von Mitarbeitern der Lieferanten Geringer Aufwand dank risikobasiertem Ansatz Überwiegend unternehmensbezogene Daten Disponentenbewertung Einkaufscontrolling Ausgestaltung der internen Datenbank Anonymisierung Pseudonymisierung Daten zu Einzelkaufleuten Prüfung wirtschaftlicher Leistungsfähigkeit Profiling

19 Berücksichtigung der Datenminimierung 1. Vorgeschichte Datenminimierung als Vorgabe für die Datenschutzpraxis, Art. 5 Abs. 1 Buchst. c, Art. 25 Prüfung über die Verarbeitung weniger personenbezogener Daten (1. Forderung) Nur tatsächlich benötigte Daten Frühzeitige Pseudonymisierung Datenschutzfreliche Voreinstellungen (2. Forderung) Keine Datenübermittlung in Greinstellung Entscheidungsmöglichkeiten des Ken Berücksichtigung in Projektplanung Ausschreibung Gestaltung durch Data Life Cycle Management, mit Löschung Bußgeldbewehrt bis 10 Mio. / 2 % des Konzernjahresumsatzes

20 Datenschutz im Strategic Sourcing-Prozess Projektplanung + Start Ermittlung der Marktanalyse Entwicklung Strategie Durchführung Verhandlungen Vertragsschluss Durchführung + Überprüfung Berücksichtigung im Team: Prüfung von: Prüfung Anbieter: der Zu bedenken: Ziel: Aufnahme Vertrag: in Teil Umsetzung: der Projektkoordinator Datenschutz beauftragter IT- Sicherheitsbeauftragter Rechtsabteilung Datenschutzrelevanz Zulässigkeit der Datenverarbeitung Datenschutz- Folgenabschätzung Datenminimierung ADV-Verträge Technischorganisat. Maßnahmen Berücksichtigung Datenschutz Bestellung Datenschutzbeauftragter Zertifikate/ Siegel Zulässigkeit Datenverarbeitung (Analysen, Scoring) Keine Kostener höhung Ggf.: Zertifizierungen Verpflichtung zur Einhaltung Datenschutz Kontrollrechte Rechenschafts pflicht Wirksamkeitskontrollen Dokumentation Einhaltung Betroffenenrechte

21 1. Vorgeschichte FAZIT FOLGEN DER DSGVO FÜR DEN EINKAUF

22 Folgen für den Einkauf - Zusammenfassung 1. Vorgeschichte Dokumentation verarbeiteter Daten bestehender Datenverarbeitungsprozesse ( Accountability ) Gewährleistung der Zulässigkeit einer Datenverarbeitung Durchführung Datenschutz-Folgenabschätzung Berücksichtigung der Datenminimierung Datensparsamkeit Sicherstellung Betroffenenrechte Aktuelle Verträge zur Auftragsverarbeitung Gewährleistung IT-Sicherheit Beschäftigtendatenschutz (Einkaufscontrolling)

23 1. Vorgeschichte Unser Netzwerk Datenschutz in guten Händen