Datenschutzgrundverordnung Umstellung der Unternehmensprozesse bis 2018

Transkript

1 Datenschutzgrundverordnung Umstellung der Unternehmensprozesse bis 2018 DB AG Bettina Robrecht, Leiterin Beschäftigten- und Kundendatenschutz,

2 1. Überblick DSGVO Nicht alles Neu macht der Mai! Regelung des Ob und Wie der Datenverarbeitung: Ob?! Verbot mit Erlaubnisvorbehalt! Erforderlichkeit! Zweckbindung! Transparenz Wie?! Datenschutzmanagement (bdsb, Verfahrensverzeichnis, Vorabkontrolle)! TOM! Regelungen für ADV Ob?! Rechtmäßigkeit der Verarbeitung! Erforderlichkeit! Zweckbindung! Transparenz Wie?! Datenschutzmanagement! Stärkere Verantwortlichkeit von Datenverarbeiter & Auftragsdatenverarbeiter! Datenschutzfreundliche Technik & Voreinstellung " Vieles ist bekannt " Manches ist zu schärfen (Informationspflichten, Prozesse Betroffenenrechte) " Manches ist besser zu dokumentieren (Nachweis der getroffenen Maßnahmen) " IT-Systeme sind auf DSGVO-Tauglichkeit zu prüfen und ggf. anzupassen Öffnungsklauseln: Deutscher Gesetzgeber! Muss Regelungen treffen zu Aufsichtsbehörden und Sanktionen u. a.! Kann Regelungen treffen zu Beschäftigtendatenschutz u. a.! Hat im November einen Referentenentwurf für ein DSAnpUG vorgelegt 2

3 Relevante Normen der DSGVO Gliederung und Auswahl relevanter Normen (I) Kapitel Relevante Normen Bemerkung Kapitel I: Allgemein Art. 3 Räumlicher Anwendungsbereich Art. 4 Begriffsbestimmungen Anwendbarkeit (+), wenn Dienste sich an EU- Bürger richten oder EU-Bürger beobachten Einzelne Abweichungen Kapitel II: Grundsätze Art. 5 Grundsätze Art. 6 Rechtmäßigkeit Ähnlich wie heute Art. 7 Einwilligung Voraussetzungen geschärft Kapitel III: Rechte der Betroffenen Art. 8 Einwilligung eines Kindes Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der Betroffenen Art. 13 Informationspflichten bei der Direkterhebung Art. 14 Informationspflichten bei Erhebung bei Dritten In D Altersgrenze vs. 14 Jahre Prozesse zur Information und zu Betroffenenrechten etablieren Erheblich ausgeweiteter Informationskatalog, vergleichbar dem heutigen Verfahrensverzeichnis Erheblich ausgeweiteter Informationskatalog, vergleichbar dem heutigen Verfahrensverzeichnis Art. 15 Auskunftsrecht Neu: Anspruch auf Kopie der gespeicherten Daten 3

4 Relevante Normen der DSGVO Gliederung und Auswahl relevanter Normen (II) Kapitel Relevante Normen Bemerkung Kapitel IV Verantwortlicher und Auftragsverarbeiter (AV) Art. 17 Recht auf Löschung und Vergessenwerden Art. 20 Recht auf Datenübertragbarkeit Art. 22 Profiling Art. 24 Verantwortung des Verantwortlichen Art. 25 Datenschutz durch Technik & Voreinstellungen Art. 26 Gemeinsame Verantwortliche Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen & Auftragsverarbeiter (AV) Recht auf Vergessenwerden nicht ganz neu, schon heute Pflicht zur Information der Empfänger bei Korrektur oder Löschung Neu! Wechsel von einem Netzwerk zum anderen, aber auch von einem Kundenkonto/Arbeitgeber zum anderen? Ähnlich 6a, 28b BDSG Nachweis der EU DS GVO-Compliance durch geeignete und angemessene TOM, Genehmigte Verhaltensregeln oder Zertifizierungen zum Nachweis geeignet Pseudonymisierung als Mittel zur Datenminimierung; restriktive Voreinstellungen bei Datenerhebung und Veröffentlichung (Lex facebook-party: keine versehentliche Veröffentlichung) Gemeinsame Verantwortung; Festlegung, wer welche Verpflichtung übernimmt ins. Mit Blick auf die Betroffenenrechte Verbindlicher Ansprechpartner für Betroffene & Aufsichtsbehörden 4

5 Relevante Normen der DSGVO Gliederung und Auswahl relevanter Normen (III) Kapitel Relevante Normen Bemerkung Art. 30 Verarbeitungsverzeichnis Art. 33 Meldepflicht bei Datenpannen Art. 35, 36 Datenschutzfolgenabschätzung und vorherige Konsultation Erforderlich für Verantwortlichen & AV, Ausnahmeregelung für Unternehmen > 250 MA Aber: Informationen aus dem Verfahrensverzeichnis erforderlich für Informationspflichten! Ähnlich wie heute, aber heute verbindliche Frist von 72 h Ähnlich wie heute Vorabkontrolle Zusätzlich: ggf. Standpunkt der Betroffenen oder ihrer Vertreter einholen (Fahrgastverbände, Verbraucherzentralen, Betriebsräte) Wenn Datenschutzfolgenabschätzung hohes Risiko ergibt und keine Maßnahmen zur Risikominimierung getroffenen werden, ist AB zu konsultieren Kapitel V Übermittlung an Drittländer und intern. Organisationen Art Datenschutzbeauftragter: Benennung, Stellung und Aufgaben Art Ähnlich wie heute Kapitel VI Unabhängige Aufsichtsbehörden Art Ähnlich wie heute, aber one-stop-shop = federführende Aufsichtsbehörde Kapitel VII Zusammenarbeit & Kohärenz Art Internationale Prozesse & Abstimmungen 5

6 Relevante Normen der DSGVO Gliederung und Auswahl relevanter Normen (IV) Kapitel Relevante Normen Bemerkung Kapitel VIII Rechtsbehelfe und Sanktionen Art : Beschwerderecht, gerichtl. Rechtsbehelf gegen AB, gerichtl. Rechtsbehelf gegen Verantwortliche und AV Art. 80 Vertretung des Betroffenen Art. 82 Schadensersatz Art. 83 Geldbußen Betroffener kann sich von gemeinnützigen Vereinen vor der AB & den Gerichten vertreten lassen, ggf. auch Schadensersatz zu verlangen Jeder Verantwortliche haftet auf den gesamten Schaden 10 Mio oder bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens 20 Mio oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens Kapitel IX Besondere Verarbeitungssituationen Art. 85 Meinungs- und Informationsfreiheit Art. 88 Datenverarbeitung im Beschäftigungsverhältnis Auftrag an deutschen Gesetzgeber 32 als Rechtsgrundlage erhalten! Weiterhin BVen und TVe als Rechtsgrundlage möglich Art. 99 Inkrafttreten 6 Anwendung 25. Mai

7 2. Die Arbeitsgruppe DSGVO im Konzerdatenschutz Road Map-Koordinator für die Umsetzung Bis April 2016 Monitoring des Entstehungsprozesses der DSGVO Bis Mai 2018 Austausch mit internen und externen Gremien, AGs, Vertretern der DSO Zusammenarbeit mit anderen Fachbereichen, um an vorhandene Instrumente anzuknüpfen UAG Auftragsverarbeitung UAG Meldepflicht bei Datenpannen AG DSGVO Umsetzungsvorschläge entlang priorisierter Schwerpunktthemen UAG DatenschutzFolgenabschätzung UAG Data Protection by Design/by Default und Löschkonzept 7 Erstellung von Mustern, Vorlagen, Merkblättern, Leitfäden

8 3. Die Unterarbeitsgruppen (UAG) Einbindung der verantwortlichen Stellen 1. UAG Auftragsverarbeitung - Internationaler Datenschutz - Mitarbeiterdatenschutz - Interne Dienstleister - Personal - DB Station&Service AG - IT - Interner Kommunikationsdienstleister - DB Regio AG 2. UAG Informationspflichten/ Widerspruchsrecht (Kunden/MA) und Betroffenenrechte: Auskunft/Berichtigung/ Löschung - 3. UAG Data Protection by Design/by Default - Technischer Datenschutz - Internationaler Datenschutz - Logistik - DB Engineering & Consulting GmbH Kundendatenschutz DB Fernverkehr AG DB Regio AG DB Vertrieb GmbH Interne Dienstleister Personal DB Station&Service AG DB Netz AG 5. UAG Auftragnehmerprüfungen 6. UAG Verarbeitungsverzeichnisse 7. UAG Meldepflicht bei Datenpannen - Datenschutz-audit - Interner Arbeitsmarkt - DB Fahrzeuginstandhaltung - DB Regio AG - - Technischer Datenschutz - DB Fernverkehr AG - Logistik - DB Energie GmbH 8 Personal Technischer Datenschutz Mitarbeiterdatenschutz Datenschutzaudit DB Fahrzeuginstandhaltung GmbH - DB Vertrieb GmbH - DB Regio AG 4. UAG Vertragsmanagement außerhalb der EU 8. UAG DatenschutzFolgenabschätzu ng - Datenschutzaudit - Mitarbeiterdatenschutz 9. UAG Datenverarbeitung im Beschäftigtenverhältnis - Datenschutzaudit - Personal

9 5. Meilensteinplan Top-Themen Verantwortliche Themenpaten der AG Vsl. Umsetzungstermin Monroe, Garbo Q4 2016/Q2 2017/Q Garbo Q Garbo, Day Q Datenauskunft (Art. 15) Garbo Q Datenübertragbarkeit (Art. 20) Garbo Q Widerspruchsrecht (Art. 21) Garbo Q Sinatra, Dietrich Noch offen Garbo Q Vertragsmanagement andere Verträge (Art. 26) Hepburn, Monroe Q Auftragsverarbeitung (Art. 28) Hepburn, Monroe Q Q Vertragsmanagement allgemein: Vertragspartner außerhalb der EU Standardvertragsklauseln Hepburn, Monroe Noch offen Auswahl u. Auftragnehmerprüfung (Art. 28) Hepburn, Monroe Q Hepburn Q Sinatra, Dietrich Q Grant, Sinatra, Dietrich Q Datenschutzbeauftragter/Datenschutzorganisation (Art. 37) Hepburn Q Unabhängige Aufsichtsbehörden (Art ) Hepburn Q Zusammenarbeit u. Kohärenz (Art ) Hepburn Q Datenverarbeitung im Beschäftigtenverhältnis (Art. 88) Monroe Q Rahmenrichtlinie 112 Hepburn Noch offen Davis, Garland Fortlaufend Relevante Normen bzw. Änderungsbedarfe Allgemeines, Rechtsgrundlagen, Einwilligung (Art. 1-10) Berechtigte Interessen (Art. 6f) Informationspflichten (Art. 12 ff.) Data Protection by Design / by Default Joint Controllership (Art. 26) Verarbeitungsverzeichnisse (Art. 30) Meldepflicht bei Datenpannen (Art. 33) Datenschutz-Folgenabschätzung und vorherige Konsultation (Art. 35, 36) Kommunikations- und Schulungsmaßnahmen 9

10 Praxishilfen und andere Fundstellen!