RITTERSHAUS. DS-GVO, BDSG (neu) & Co. Änderungen des datenschutzrechtlichen Rahmens als Herausforderung für die Praxis?

Transkript

1 DS-GVO, BDSG (neu) & Co. Änderungen des datenschutzrechtlichen Rahmens als Herausforderung für die Praxis? Workshop Erfolgreicher Einsatz von Legal Tech in der Rechtsabteilung Frankfurt am Main, 22. November 2017

2 Profil Kanzlei & Referent 1969 in Mannheim gegründet, Büros derzeit in Mannheim, Frankfurt/Main* und München Schwerpunkte im Handels- und Gesellschaftsrecht einschließlich steuerrechtlicher Bezüge weitere Kompetenzfelder: Arbeits-, Wettbewerbs- und Öffentliches Recht sowie IP/IT, Datenschutz und Compliance Referent: RA Mark Oliver Kühn, LL.M. seit 1997 bei tätig zugelassen in Deutschland seit 2000, Attorney at Law (NY) seit 2001 Beratungsschwerpunkt auf IT/IP-Recht, insb. - Softwarevertragsrecht - Outsourcing - E-Commerce - ehealth / Telematik - Datenschutz / Datensicherheit - Compliance RA Mark Oliver Kühn, LL.M. (Denver) * auch Notare

3 Rechtliche Hinweise Die in dieser Präsentation enthaltenen Informationen sind genereller Natur und zielen nicht auf spezielle Fallgestaltungen und/oder Anforderungen einzelner juristischer oder natürlicher Personen, Behörden, Institutionen oder sonstiger Dritter ab. Obwohl der Autor fortlaufend bemüht ist, ausschließlich inhaltlich zutreffende und zeitlich aktuelle Darstellungen in seinen Präsentationen zu berücksichtigen, kann hierfür keine Gewähr übernommen werden. Es wird ausdrücklich dazu geraten, über die nachfolgenden allgemeinen Folien hinaus bei sämtlichen praktischen Gestaltungen fundierte, professionelle Beratung einzuholen und die erforderliche Einzelfallprüfung anhand der jeweils geltenden rechtliche und steuerliche Rahmenbedingungen vornehmen zu lassen.

4 Agenda Ausgangssituation & gesetzlicher Rahmen Wesentliche neue Regelungsbereiche Meldepflichten und Sanktionen Maßnahmen aus Unternehmenssicht zur effizienten Umsetzung der DS-GVO

5 Ausgangssituation Datenschutzziele und gesetzlicher Rahmen

6 Spanungsfeld Informationstechnologie & Recht Ursache organisatorisch (wachsende Bedeutung der IT- Infrastruktur für Unternehmen Rückgrat Wirkung Vielzahl gesetzlicher und regulatorischer KonTraG UStG/ Basel HGB/ UWG Euro- UrhG TMG SigG TKG BDS IT- Standards infrastrukturell (ITIL,Cobit StGB SOX BSI UStR SOX AO GII usw.) Vorschriften anwendungs- und prozessbezogen

7 Datenschutzrechtlicher Rahmen (aktuell) Datenschutzrichtlinie 95/46/EG vom Richtlinie 2002/58/EG (Cookie-Richtlinie) vom Richtlinie 2006/24/EG (Vorratsdatenspeicherung) vom Bundesdatenschutzgesetz (BDSG) Telemediengesetz (TMG) Nationaler Gesetzgeber XY Nationaler Gesetzgeber D BDSG EU Ziel: Gemeinsamer Datenschutz Spezial gesetz A Spezial gesetz B Telekommunikationsgesetz (TKG)

8 Kernproblematik des EU-Datenschutzrechts EU-Datenschutzrecht in Form von Richtlinien bedurfte nationaler Umsetzung (in Deutschland: u.a. BDSG, TMG) BDSG Spezial gesetz B Vielfältige Gestaltungen und Auslegungsthemen, z.b. - Personenbezug und Anwendungsbereich - Meldepflichten / Datenschutzbeauftragter Lösung? DS-GVO Stichtag: 25. Mai 2018 Nationaler Gesetzgeber XY Nationaler Gesetzgeber D EU Ziel: Gemeinsamer Datenschutz Spezial gesetz A

9 Verfahren zur EU-Datenschutz-Grundverordnung Gesetzesinitiative für die DS-GVO (EU-Kommission) Änderungsvorschlag Juni 2013 > 4000 Änderungsanträge geänderten Entwurf vom Parlament angenommen => Eintritt in Verhandlungen im Ministerrat keine Einigung => Verschiebungen der DS-GVO Einigung über Entwurfsfassung im Ministerrat => Eintritt in den sog. Trilog (Abstimmungsverhandlungen zwischen Rat, EP und Kommission) Einigung auf endgültigen Entwurf Annahme des Entwurfs durch Innen- und Rechtsausschuss Zustimmung des Europäischen Parlaments Veröffentlichung im Amtsblatt (Verordnung (EU) 2016/679 und Richtlinie (EU) 2016/680) BR-Beschluss des Gesetzes zur Anpassung u.a. des BDSG [DSAnpUG-EU] Wirksamwerden DS-GVO

10 Ziele der DS-GVO Wortlaut Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DS-GVO) freier Verkehr personenbezogener Daten (Art. 1 Abs. 3 DS-GVO) Europäischen Kommission mehr Konsistenz bei der Anwendung des EU-Datenschutzrechts mehr Kontrolle über Daten für Betroffene Globaler Standard für den Datenschutz Harmonisierung des Binnenmarktes (EUR 2,3 Milliarden Einsparungen) vereinfachte Meldepflichten (EUR 130 Millionen Einsparung) Vermeidung von forum-shopping One-stop-shop Rahmenbedingungen für effizientere Kooperation der Datenschutzaufsichtsbehörden

11 Wesentliche (neue) Regelungsbereiche

12 Wesentliche (neue) Regelungsbereiche Erweiterte Verantwortlichkeiten und Sanktionen: Terminologie, Grundsätze und Gesetzessystematik Accountability ein Compliance -Ansatz Anforderungen an Einwilligungen, Informationspflichten Verantwortlichkeit als Auftragsdatenverarbeiter Neue Konzepte data privacy by design / by default Recht auf Vergessenwerden / Recht auf Datenmitnahme Datenschutzfolgenabschätzung ( data protection impact assessment ) Meldepflichten und Sanktionen Datenschutzbeauftragter Erleichterungen / Vereinheitlichungen? One-Stop-Shop Konzern-orientierter Datenschutz

13 Meldepflichten und Sanktionen

14 Meldepflichten bei Datenschutzverstößen BDSG DS-GVO 42a nur bei Datenschutzverletzungen bzgl. besonderer personenbezogener Daten Zunächst Meldepflicht nur an Aufsichtsbehörden und erst an Betroffene, wenn Strafverfolgung nicht mehr gefährdet Art. 33, 34 Maßstab hohes Risiko (?) Konkret zu benennende Informationen aufgezählt (Angaben u.a. zu voraussichtlich betroffenen Personen und Kategorien der Daten) Benennung von Maßnahmen des Schutzes (bzw. vorgeschlagene Maßnahmen) Meldung innerhalb von 72 Std. unverzügliche Benachrichtigung der Betroffenen

15 Meldepflichten bei Datenschutzverstößen Klare Empfehlung, zuständige Behörden einzubinden [ soll ( ) in enger Absprache, vgl. Erwägungsgrund 86, 88] Grundsätzlich formfrei, aber Mindestinhalte zur eigenen Einschätzung durch den Betroffenen erforderlich To-Do: klare interne Vorgaben bzgl. Datenpannen erstellen bzw. bestehende aktualisieren

16 Erweiterte Sanktionen (I) BDSG DS-GVO 43 (3) max EUR, mit möglicher Überschreitung bei höherem wirtschaftlichen Vorteil 44 Strafvorschriften Art. 83 Gestaffelte Höhe von Geldbußen abhängig vom Verstößen (2% / 10 Mio. EUR bis 4% / 20 Mio. EUR des vom Unternehmen weltweit erzielten Jahresumsatzes Weitergehende Sanktionen richten sich nach nationalem Recht [Art. 84 DS-GVO]

17 Erweiterte Sanktionen (I) Anknüpfung in Ausgestaltung und Höhe an Erfahrungen des Kartellrechts Umfangreiches Ermessen: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. [Art. 83 (1)] Leitlinie des Europäischen Datenschutzausschusses soll Vereinheitlichung bringen [Art 70 (1) k), 58 (2) i)] bislang nur Working Paper der Artikel 29 Gruppe Datenportabilität, WP 242 Datenschutzbeauftragter, WP 243 Zuständige Aufsichtsbehörde, WP 244 Datenschutz-Folgeabschätzung, WP 248 Bußgelder, WP 253

18 Erweiterte Sanktionen (II) BDSG DS-GVO 7 kein Ersatz immaterieller Schäden (h.m.); allenfalls im Rahmen von 8 (2) BDSG bei schwerwiegenden Verletzungen des Persönlichkeitsrechts durch öffentlichen Stellen Art. 82 explizit sind auch immaterielle Schäden im Datenschutzrecht zu ersetzen [Art. 82 (1)]

19 Probleme der praktischen Umsetzung

20 Probleme der praktischen Umsetzung Multiple Öffnungsklauseln, u.a Beschäftigtendatenschutz Verhältnis zur eprivacy-verordnung (Entw , Trilog) Erheblicher Überarbeitungsbedarf für Spezialgesetze (Landesdatenschutzgesetze, Sozial-Datenschutz, AMG etc.) Leitlinien, Empfehlungen und bewährte Verfahren des Europäischen Datenschutzausschusses stehen aus zur einheitliche Anwendung der Verordnung zur Handhabung von auf Profiling beruhende Entscheidungen zur Meldung von Verletzungen des Schutzes personenbezogener Daten zu den Umständen, nach denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person anzunehmen ist ( ) Hilfestellung durch die deutschen Aufsichtsbehörden (nur teilweise abgestimmt), u.a. Webseite BayLDA ( Schicksal der WPs der Artikel 29-Gruppe unklar

21 Zentrales Praxisproblem Dokumentation Dokumentation Dokumentation

22 Maßnahmen aus Unternehmenssicht Benennung Priorisierung des/der Risiko-Management, der Definition zu ergreifenden und Etablierung der Review und Aktualisierung der Projekverantwortlichen Maßnahmen insbesondere Prozesse, Erstellung auf und Basis die in und Fällen des während fortlaufende imeines der Dauer Aktualisierung einer der bestehenden Verarbeitungs- und Bereitstellung Rahmen personeller hohen Datenverarbeitung der Risikos und Erfassung erforderlichen (Datenschutz- die Dokumentation Einhaltung der Verfahrensübersichten finanzieller Ressourcen ermittelten Folgeabschätzung) Datenschutzvorgaben Risikos sicherstellen Quelle: CNIL,

23 Die 360 Unternehmenssicht IT-Dienstleister Konzernunternehmen Auftragnehmer Unternehmen Beschäftigte Kunden

24 Verzeichnis der Verarbeitungstätigkeiten Unternehmen mit > 250 Beschäftigten und solche, die regelmäßig oder besondere personenbezogene Daten verarbeiten, haben ein Verzeichnis zu führen Pflicht trifft Verantwortlichen und Auftragsverarbeiter Verzeichnis ist schriftlich/elektronisch zu führen und der Aufsicht auf Anfrage zur Verfügung zu stellen Mindestinhalte Verzeichnis Auftragsverarbeiter: Namen/ Kontaktdaten des bzw. der Auftragsverarbeiter, des Verantwortlichen, in dessen Name der Auftragsverarbeiter tätig wird, der jeweiligen Vertreter sowie des Datenschutzbeauftragten; Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen vorgenommen werden; ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO

25 Verzeichnis der Verarbeitungstätigkeiten Mindestinhalte Verzeichnis Verantwortlicher: Namen/ Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten; die Zwecke der Verarbeitung; eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Sonderfall Art. 49 beachten); wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO

26 Datenschutz-Folgeabschätzung BDSG DS-GVO 4d (5) Vorabkontrolle in gesetzliche bestimmten Fällen Art. 35 Datenschutz-Folgeabschätzung (Data Privacy Impact Assessment) (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.

27 Datenschutz-Folgeabschätzung Erheblich erhöhter Dokumentationsaufwand zu erwarten

28 Einstieg in die Vorbereitung Quelle: BayLDA

29 Viel Erfolg! Vielen Dank für Ihre Aufmerksamkeit Q & A Mark Oliver Kühn, LL.M. Rechtsanwalt und Partner Tel. +49 (69) mark-oliver.kuehn@rittershaus.net Mannheim Frankfurt am Main München

30 Büro Mannheim Harrlachweg Mannheim Tel.: Fax: Büro Frankfurt Mainzer Landstraße Frankfurt/Main Tel.: Fax: Büro München Maximiliansplatz 10 Im Luitpoldblock München Tel.: Fax: