Die neue Datenschutz-Grundverordnung

Transkript

1 Die neue Datenschutz-Grundverordnung Was sind die Auswirkungen für B2B-Shopbetreiber und um was müssen Sie sich jetzt kümmern? 7. E-Commerce-Expertenwoche IntelliShop AG somartin - Fotolia

2 Präsentation 2

3 Datenschutz-Grundverordnung (DSGVO) Noch 276 Tage bis Inkrafttreten der DSGVO 3

4 Datenschutz-Grundverordnung (DSGVO) Stichtag ist der Es gibt keine weitere Übergangsfrist - Die DSGVO tritt am in Kraft bzw. wird wirksam. - Sie müssen sich also bis zum um Uhr auf die neue Rechtslage eingestellt haben. Die bisherigen, nationalen Gesetze fallen weg oder werden ersetzt: - Ca. 50 Öffnungsklauseln in der DSGVO (-> DSAnpUG-EU): Entwurf des neuen BDSG wurde vom Bundestag beschlossen und ging am durch den Bundesrat 4

5 Datenschutz-Grundverordnung (DSGVO) und es wird teuer! Je nach Verstoß können Bußgelder verhängt werden - bis zu 10 Mio. EUR bzw. - bis zu 20 Mio. EUR bzw. - oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes, - je nachdem, welcher Betrag höher ist. Oliver Boehmer - bluedesign 5

6 Datenschutz-Grundverordnung (DSGVO) Und: Flucht ist keine Option! Die DSGVO gilt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden Senoldo Fotolia.com / durch Unternehmen mit Niederlassung in der EU, auch wenn die Datenverarbeitung außerhalb der EU stattfindet, / durch Unternehmen mit Niederlassung außerhalb der EU bei Datenverarbeitung im Zusammenhang mit dem (auch kostenlosen) Anbieten von Waren oder Dienstleistungen der Beobachtung des Verhaltens von Bürgern innerhalb der EU 6

7 Tipp 1 Fangen Sie an, ein Verfahrensverzeichnis aufzubauen!

8 Tipp 1 - Verfahrensverzeichnis Es kommen umfangreiche Dokumentationspflichten auf Sie zu, die Sie bereits JETZT vorbereiten müssen! / Bislang gab es im BDSG schon die (öffentlichen) Verfahrensverzeichnisse, zuständig war der Datenschutzbeauftragte. / Jetzt neu: Verzeichnis von Verarbeitungstätigkeiten (nicht mehr öffentlich) / Neu: Zuständig ist der Verantwortliche, d.h. die Unternehmensführung Jan Engel@Fotolia.com 8

9 Tipp 1 - Auflistung aller Prozesse Dokumentationspflichten: Einschränkung für kleine Unternehmen mit < 250 Mitarbeitern, WENN / die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, / oder die Verarbeitung nur gelegentlich erfolgt, / oder keine sensitive Daten verarbeitet werden (z. B. Gesundheitsdaten, Daten aus Strafregistern ) Für solche Verfahren ist kein Verfahrensverzeichnis erforderlich, sonst schon! 9

10 Tipp 1 - Verfahrensverzeichnis Dokumentationspflichten: Was muss ins Verzeichnis? irina - Fotolia / Zweck der Datenverarbeitung; / Beschreibung der Kategorien der betroffenen Personen und der personenbezogener Daten; / Kategorien von Empfängern, ggü. denen die Daten offengelegt wurden und noch werden (auch im Ausland) / Fristen für die Löschung der Daten; / Ggf. Datenübermittlung in Drittstaaten / Beschreibung der TOMs, die die Datensicherheit gewährleisten / 10

11 To Do 1 - Verfahrensverzeichnis Dokumentationspflichten: Was also genau tun? / Zuständigkeiten/Team im Unternehmen festlegen (Datenschutzbeauftragter?), aber Haftung bleibt beim Verantwortlichen! / Mustervorlage der Arbeitsgruppe der deutschen Aufsichtsbehörden sollte bis ca. Mitte 2017 veröffentlicht werden / Infos unter 11

12 Tipp 2 Bereiten Sie neue Auftragsverarbeitungsverträge vor!

13 Tipp 2 Verträge mit Cloud-Anbietern anpassen Neu nach Art. 28 DSGVO: Auftragsverarbeitungsverträge / Beispiele: Google Analytics, Newsletter- Dienstleister in der Cloud, Managed Hosting / Es ist nur noch ein Auftragsverhältnis bezüglich der Datenverarbeitung erforderlich und darauf, ob der Auftragsnehmer dabei weisungsgebunden arbeitet oder nicht (auch wenn das der Fall sein sollte), kommt es nicht mehr an. / Auch der Auftragnehmer haftet jetzt und hat eigene, gesetzliche Pflichten. Vladislav Kochelaevs - Fotolia 13

14 To Do 2 - Verträge mit Cloud-Anbietern anpassen Was ist also genau zu tun? / Zuständigkeiten/Team im Unternehmen festlegen (Datenschutzbeauftragter?), aber Haftung bleibt beim Verantwortlichen (=Geschäftsführung); Rechtsabteilung hinzuziehen. / Standardvertragsklauseln der EU-Kommission bzw. der Aufsichtsbehörden nach Art. 28 Abs. 7 und 8 DSGVO liegen noch nicht vor / Bereits jetzt: Listung aller ADV und Vorbereitung neuer Verträge mit den Vertragspartnern 14

15 Tipp 3 So dürfen Sie nach dem weiterhin Cloud-Anwendungen von US-Unternehmen nutzen

16 Tipp 3 Cloud-Anwendungen von US-Unternehmen Es gab mal ein Safe-Habor-Abkommen Jakub Jirsk - Fotolia 16

17 Tipp 3 Cloud-Anwendungen von US-Unternehmen Seit Sommer 2016 Privacy Shield: / Regeln Sie vertraglich, dass die Datenverarbeitung einschließlich Backup innerhalb der EU/des EWR stattfindet. / Datenverarbeitung außerhalb der EU/des EWR: / Zertifikat? / Nutzen Sie die EU-Standardvertragsklauseln oder Binding Corporate Rules, die von den Aufsichtsbehörden genehmigt wurden Alex White - Fotolia 17

18 Tipp 3 Cloud-Anwendungen von US-Unternehmen Und: Gilt das Privacy Shield auch noch nach Inkrafttreten der DSGVO? / Antwort EU-Kommission auf eine Anfrage einer Abgeordneten des EU-Parlaments am : Das Privacy-Shield erfüllt die Anforderungen der DSGVO, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen. Alex White - Fotolia 18

19 To Do 3 Cloud-Anwendungen von US-Anbietern Was ist also genau zu tun? / Erst einmal Nichts! / Beobachten Sie aber die News, ob es bei der Einschätzung der EU- Kommission bleibt / oder nutzen Sie gleich Cloud-Angebote von Anbietern mit Servern innerhalb der EU/des EWR 19

20 Tipp 4 Prüfen Sie bei allen Ihren Prozessen, wann eine Einwilligung der Betroffenen erforderlich ist oder ob andere Erlaubnistatbestände greifen.

21 Tipp 4 Die neuen Erlaubnistatbestände Art. 6 ff. DSGVO, u.a.: Es ist alles verboten, außer es ist erlaubt! / Einwilligung des Betroffenen; / berechtigtes Interesse an der Datenverarbeitung + schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen; / Erforderlichkeit / zur Erfüllung eines Vertrags; / für vorvertragliche Maßnahmen auf eine Anfrage hin; / zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen; Pixel - Fotolia 21

22 Tipp 4 - Die neuen Erlaubnistatbestände Das berechtigte Interesse nach Art. 6 Abs. 1 f DSGVO / Berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen; / Dass es sich bei den Werbeinteressen der Onlinebranche um berechtigte Interessen im Sinne der DSGVO handeln kann, ergibt sich aus dem Erwägungsgrund 47. Dieser stellt ausdrücklich klar, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. / ABER ACHTUNG! Im -Marketing gilt weiterhin 7 UWG! 22

23 Tipp4 Die neuen Erlaubnistatbestände Darstellung/Informationspflicht für Shopbetreiber Unternehmen müssen über den Zweck die Rechtsgrundlage der DV informieren: / in der Datenschutzinformation des Shops (Art. 13, 14 DSGVO) / im Verfahrensverzeichnis (Art. 30 DSGVO) Pixel - Fotolia 23

24 To Do 4 Die neuen Erlaubnistatbestände Was ist also genau zu tun? / Überprüfen Sie alle Prozesse Ihrer bisherigen Datenverarbeitung dahingehend, ob Sie diese stützen können auf / Einwilligungen / Ihr berechtigtes Interesse an der Datenverarbeitung / Erforderlichkeit zur Erfüllung eines Vertrags, für vorvertragliche Maßnahmen oder zur Erfüllung einer rechtlichen Pflicht. / Fangen Sie an, die Datenschutzinfo und das Verfahrensverzeichnis zu formulieren. 24

25 Tipp 5 Messen Sie alle Prozesse an den (teils) neuen Datenschutzgrundsätzen

26 Tipp 5 Die Datenschutzgrundsätze Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5 DSGVO / Rechtmäßigkeit / Treu und Glauben / Transparenz / Zweckbindung / Datensparsamkeit / Richtigkeit / Begrenzte Speicherung / Integrität und Vertraulichkeit Pixel - Fotolia 26

27 Tipp 5 Die Datenschutzgrundsätze Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5 DSGVO / Rechtmäßigkeit / Treu und Glauben / Transparenz / Zweckbindung / Datensparsamkeit / Richtigkeit / Begrenzte Speicherung / Integrität und Vertraulichkeit Pixel - Fotolia 27

28 To Do 5 Die Datenschutzgrundsätze Was ist also genau zu tun? Legen Sie zu jedem Prozess (im Verfahrensverzeichnis) z. B. fest / Zweckbindung: Zu welchem Zweck erfolgt die Datenverarbeitung: Werbe-Zwecke? / Datensparsamkeit: Ist die Abfrage der einzelnen Daten zur Erreichung des Zwecks erforderlich (z.b. bei der Newsletter- Anmeldung, im Lead-Management usw)? / Wann wird was gelöscht? 28

29 Tipp 6 So müssen Sie die neuen Einwilligungen ab dem einholen

30 Tipp 6 - Einwilligungen ab dem Das ist wichtig zur Einwilligung (Art. 7, 8 DSGVO + 51 BDSG): / Nachweisbar - also mit Protokollierung und Double Opt-In! / Betroffener muss bei Einwilligung (also im Onlineformular) darüber informiert werden, dass er ein Widerrufsrecht hat zu welchem Zweck die Datenverarbeitung erfolgt wer der Verantwortliche ist / nicht vorab angeklickte Checkbox Untätigkeit/Schweigen reicht nicht aus. mipan@fotolia.com 30

31 To Do 6 - Einwilligungen ab dem Was ist also genau zu tun? / Stellen Sie sämtliche Einwilligungsprozesse sofort um! 31

32 Tipp 7 So können Sie Alteinwilligungen weiterhin nutzen

33 Tipp7 Alte Einwilligungen weiterhin nutzen Erwägungsgrund 171/ Beschluss Düsseldorfer Kreis Alte Einwilligungen gelten über den hinaus und dürfen weiter genutzt werden, wenn sie / gem. der EU-DSRL 95/46/EG eingeholt wurden / und bereits jetzt den Anforderungen der DSGVO entsprechen: / Freiwilligkeit der Einwilligung: Kein Verstoß gegen Koppelungsverbot / Hinweis auf jederzeitiges Widerrufsrecht / Protokollierung/Nachweis mipan Fotolia.com 33

34 To Do 7 Alte Einwilligungen weiterhin nutzen Was ist also genau zu tun? / Prüfen Sie zu den bisherigen Einwilligungen, ob sie alle Rechtsanforderungen erfüllen: Freiwilligkeit, Hinweis auf das Widerrufsrecht, Nachweisbarkeit, Checkbox? - Ggf. sofortige Umstellung / Vorbereitung auf die Frage: Was soll mit unzulässigen Datenbeständen passieren? 34

35 Tipp 8 Stellen Sie das Unternehmen auf die Betroffenenrechte ein

36 Tipp 8 Die Betroffenenrechte Können Sie das? Das sind die neuen Rechte der Betroffenen, Art. 15 ff DSGVO / Auskunft / Löschung / Recht auf Vergessenwerden / Recht auf Datenübertragbarkeit / Widerspruchsrecht / Recht auf Einschränkung der Verarbeitung Jamrooferpix - Fotolia 36

37 Tipp 8 Die Betroffenenrechte Können Sie das? Können Ihre jetzigen Prozesse das? / Anträge müssen unverzüglich, spätestens innerhalb eines Monats erledigt werden. / Verlängerung um zwei Monate möglich, wenn erforderlich; Mitteilung der Gründe für die Verzögerung an Betroffenen. / Bei Nicht-Tätigwerden: Unterrichtung des Betroffenen spätestens innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen. Jamrooferpix - Fotolia 37

38 Tipp 8 Die Betroffenenrechte Können Sie das? Können Sie eigentlich löschen? / In welchen Systemen befinden sich die Datensätze zu einem Betroffenen? Gibt es mehrere? Können alle gleichzeitig gelöscht werden? / Gibt es Daten, die gesetzlich nicht gelöscht werden dürfen? / Alle Daten aktuell und zu einem Betroffenen auffindbar? Jamrooferpix - Fotolia 38

39 To Do 8 Die Betroffenenrechte Können Sie das? Was ist also genau zu tun? / Organisationsanweisung mit Regelung des Prozesses und der Zuständigkeiten / Ggf. Einrichtung eines Onlineformulars für die Anträge der Betroffenen (aber keine Pflicht zur Nutzung!) 39

40 Tipp 9 Bereiten Sie die Änderung Ihrer Rechtstexte vor!

41 Tipp9 Informationspflichten Informationspflichten für Unternehmen Art. 13, 14 DSGVO, u. a. / Zweck und Rechtsgrundlage der Datenverarbeitung; sollen z. B. berechtigte Interessen die Rechtsgrundlage sein, ist dazulegen, worin sie bestehen; / ggf. Informationen zum Datentransfer in Drittstaaten einschließlich der Rechtsgrundlage / Angaben zur Speicherdauer personenbezogener Daten bzw. Kriterien, nach denen sich die Speicherdauer bestimmt; Coloures-pic - Fotolia 41

42 Tipp9 Informationspflichten Informationspflichten für Unternehmen Art. 13, 14 DSGVO, u. a. / Information über das Bestehen der Betroffenrechte; / Hinweis, ob der der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist / ggf. Hinweis und Information zum Profiling oder eine andere Art von automatisierter Einzelfallentscheidung; / ggf. Herkunft der Daten: Werden die Daten nicht bei dem Betroffenen erhoben, sind die die Quellen anzugeben. Coloures-pic - Fotolia 42

43 To Do 9 Informationspflichten Was ist also genau zu tun? / Bereiten Sie die Anpassung der Rechtstexte (Datenschutzinfo, Nutzungsbedingungen, AGB) vor / Erarbeiten (oder überarbeiten) Sie Ihr Verfahrensverfahrensverzeichnis 43

44 Tipp 10 Prüfen Sie, ob Sie einen Datenschutzbeauftragten benötigen

45 Tipp10 Datenschutzbeauftragter Erforderlich? Heute / Muss u. a. bestellt werden, wenn 9 Personen personenbezogene Daten automatisiert verarbeiten oder weniger als 20 Personen personenbezogene Daten nicht-automatisiert verarbeiten; Weissblick - Fotolia 45

46 Tipp10 Datenschutzbeauftragter Erforderlich? 38 BDSG neu: DSB ist zu bestellen, wenn / im Unternehmen in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung p.b. Daten beschäftigt sind, / oder die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist / oder Sie p.b. Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung verarbeiten. 46 Weissblick - Fotolia

47 To Do 10 Datenschutzbeauftragter Erforderlich? Was ist also genau zu tun? / Suchen Sie ggf. rechtzeitig nach einem geeigneten DSB 47

48 Broschüre Die Key-Facts zur neuen Datenschutz-Grundverordnung 48

49 Präsentation 49

50 Vielen Dank für Ihre Aufmerksamkeit!