Informationsveranstaltung zur DSGVO 05. Dezember preferred partners

Transkript

1 Informationsveranstaltung zur DSGVO 05. Dezember 2017

2 Wir unterstützen Sie gerne bei der Umsetzung der DSGVO in Ihrem Unternehmen Franz PIRSTINGER, BSc IT-Experte Zertifizierter Datenschutzbeauftragter (CIS) Dr. Ullrich SAURER Rechtsanwalt und Partner bei hba Dr. Hannes OBERSCHMID Manager bei AUSTIN BFP MMag. Katrin MARGREITER Rechtsanwaltsanwärterin Zertifizierte Datenschutzbeauftragte (CIS) 1

3 In der vergangenen Jahren ist eine Zunahme der Cyberkriminalität in Österreich zu beobachten Wozu Datenschutz? 72 % der Unternehmen in Österreich waren 2017 Opfer von Cyberangriffen 50 % litten in Folge unter einer Unterbrechung der Geschäftsprozesse Schlüsselerkenntnisse aus der Studie Spitzenreiter Industrieunternehmen Größe nicht relevant kleine Unternehmen immer beliebteres Ziel Cyberkriminelle machen sich die Sorglosigkeit, Unbedarftheit und Neugier der Menschen zunutze Zielgerichtete Angriffe Cyber Security ist Chefsache Bedrohung von innen wird unterschätzt 36 % kennen die Auswirkungen des Angriffes nicht Quelle: Studie KPMG Quelle: Quelle: Schweizer Radio und Fernsehen 2

4 Auch die Datenschutzbehörde ist nicht gefeit vor Datenpannen Datenpannen Quelle: Quelle: welt.de 3

5 Verschiedenste Risiken können im Zusammenhang mit Daten auftreten Risiken 4

6 Unter Datenschutz versteht man das Abwehrrecht gegen Eingriffe von Dritten Was ist Datenschutz? Abwehrrecht gegen Eingriffe von Dritten Grundrecht Erwägungsgrund 1 DSGVO Art 8 EMRK jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten 5

7 DSGVO und DSG treten mit 25. Mai 2018 in Kraft Rechtsquellen Datenschutz DSG 2000 Datenschutz-Landesgesetze Kundmachung Datenschutz- Anpassungsgesetz DSG (2018) Inkrafttreten DSGVO und DSG Außerkrafttreten DSG 2000 und DS-LG Geltung DSG 2000 Kundmachung Datenschutz- Grundverordnung DSGVO Geltung DSGVO & DSG Tage Countdown TKG, UWG, KSchG 6

8 Das Ziel ist ein harmonisiertes Datenschutzniveau in der EU Datenschutz- Grundverordnung Harmonisiertes Datenschutzniveau in der EU Unmittelbare Anwendbarkeit in allen Mitgliedstaaten Verdrängt nationales Recht Enthält Vorschriften zum Schutz personenbezogener Daten Grundsatz: Verwendungsverbot Verarbeitung nur bei Vorliegen einer Rechtsgrundlage zulässig 99 Artikel / 173 Erwägungsgründe 7

9 Aus der DSGVO resultieren erweiterte Pflichten für Unternehmen Überblick Neuerungen Erweiterte Pflichten Datenschutzbeauftragter Datenverarbeitungsverzeichnis Datenschutz- Folgenanalyse Information Dokumentation Ausdehnung der Rechte Auskunftsrecht Widerspruchsrecht Recht auf Löschung Recht auf Berichtigung Beschwerderecht Strengere Sanktionen Höhere Strafrahmen Verhältnismäßig aber abschreckend und wirksam 8

10 Personenbezogene Daten sind alle Informationen die sich auf eine natürliche Person beziehen Begriffe der DSGVO Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen = informationeller Bezug zu einem Menschen Bsp: Name, Adresse, Geburtsdatum, IP-Adresse, Sozialversicherungsnummer, Kontonummer, Beruf, Körpergröße, Standortdaten, Interesse, Einkommen, ZMR- Nummer, Gesundheitsdaten, CT-Aufnahme, Blutprobe Datenverarbeitung Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang izm personenbezogenen Daten Bsp: erheben, ordnen, erfassen, speichern, lesen, verändern, verwenden, abgleichen, abfragen, löschen, verbreiten, verknüpfen, vernichten, einschränken, anpassen, bereitstellen 9

11 Bei sensiblen Daten ist ein besonderer Rechtfertigungsgrund erforderlich Besondere Kategorien personenbezogener Daten Begriffe der DSGVO Sensible Daten Rassische & ethnische Herkunft Politische Meinung, Religion Sexuelle Orientierung Genetische Daten Biometrische Daten Gesundheitsdaten Voraussetzungen der Verarbeitung Besonderer Rechtfertigungsgrund erforderlich sowie erschwerte Verarbeitungsvoraussetzungen Verarbeitung nur von Fachpersonal, welches einem Berufsgeheimnis unterliegt Keine Interessenabwägung Einwilligung erforderlich 10

12 Die Beteiligte der DSGVO lassen sich wie folgt darstellen Betroffener Person, deren Daten verarbeitet werden DSB Verantwortlicher natürl./jur. Person Herr der Daten Sub- Auftragsverarbeiter Sub- Auftragsverarbeiter Auftragsverarbeiter Person, die im Auftrag des Verantwortlichen Daten verarbeitet 11

13 Die Grundsätze der Datenverarbeitung müssen eingehalten werden Integrität Transparenz Grundsätze Rechenschaftspflicht Richtigkeit Aktualität Datenminimierung Speicherdauerbegrenzung Rechtmäßigkeit Zweckbindung 12

14 Für den Verantwortlichen ergeben sich eine Reihe von Aufgaben Aufgaben für den Verantwortlichen Verantwortung für die Zulässigkeit der Datenverarbeitung Informationspflichten Treffen geeigneter Datensicherheitsmaßnahmen Schriftliche Vereinbarung mit Auftragsverarbeiter Vereinbarung bei gemeinsamer Verantwortlichkeit Wahrung der Betroffenenrechte Risikobasierter Ansatz & Rechenschaftspflicht Meldung eines Datenmissbrauchs Erstellung Verzeichnis von Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung Benennung eines Datenschutzbeauftragten 13

15 Unsere Vorgehensweise ermöglicht einen sicheren Umgang mit dem schwierigen Thema Datenschutz In 4 Schritten zu mehr Sicherheit 1 Schutzbedarf feststellen Sicherheit nach DSGVO 4 Nachweise erbringen Die konkrete Umsetzung der DSGVO ist für viele Unternehmen noch ein ungelöstes Rätsel: Wie? Wer? Wann? 2 3 Risiken bewerten Maßnahmen treffen Für die Umsetzung entscheidend ist ein einfacher und transparenter Prozess, der trotzdem sämtliche datenschutzrelevanten Risiken behandelt. Entscheidend für das Projekt ist jedoch insbesondere ein ausreichendes COMMITMENT DES MANAGEMENT 14

16 Schritt 1: Schutzbedarf feststellen In 4 Schritten zu mehr Sicherheit 1 Schutzbedarf feststellen Sicherheit nach DSGVO 2 3 Risiken bewerten Maßnahmen treffen 4 Nachweise erbringen Kick-Off mit Auftraggeber Basics zum Datenschutz, Datenschutzgrundsätze Projektteamzusammensetzung Vorstellung Projektablauf Daten- und Rechtsgrundlagenerhebung (erfolgt hauptsächlich durch Auftraggeber) Erfassung von Verarbeitungstätigkeiten und dazugehörigen Daten (vorhandene Tools) Erfassung der Rechtsgrundlagen für die Verarbeitung der Daten (Einwilligung, Vertragserfüllung, etc.) Beurteilung ob Datenschutzbeauftragter notwendig Auswertung der Erfassungsergebnisse gemeinsam mit AUSTIN BFP Ziel: Erhebung sämtlicher relevanter Verarbeitungstätigkeiten 15

17 Eine freiwillige Bestellung zum Datenschutzbeauftragten ist möglich Datenschutzbeauftragter Datenschutzbeauftragter ist zu bestellen wenn es sich um eine Behörde oder öffentliche Stelle handelt Kerntätigkeit (=Haupttätigkeit) in umfangreicher Datenverarbeitung besteht und eine regelmäßige und systematische Überwachung von Betroffenen erforderlich macht (zb Banken, Versicherungen, Energielieferant, Kundenbindungsprogramme, Krankenhaus) sensible oder strafrechtliche Daten verarbeitet werden Freiwillige Bestellung ist möglich Intern oder Extern 16

18 Schritt 2: Risiken bewerten In 4 Schritten zu mehr Sicherheit 1 Schutzbedarf feststellen Sicherheit nach DSGVO 2 3 Risiken bewerten Maßnahmen treffen 4 Nachweise erbringen Erarbeitung des Datenverarbeitungsverzeichnisses (DVV) Risikoidentifikation und Risikobewertung Durchführung einer Datenschutzfolgenanalyse (wenn notwendig) Datenschutz-Checks Einhaltung der Datenschutz-Grundsätze Betroffenenrechte Einwilligungen Informationsverpflichtung Auftragsverarbeiter (Dienstleisterverträge) Ziel: Erkennung und Bewertung der Datenschutzrisiken 17

19 Grundsätzlich besteht ein Verwendungsverbot Rechtsgrundlagen Aufzählung der zulässigen Rechtsgrundlagen in Art 6 Abs 1 lit a-f DSGVO Einwilligung Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen auf Initiative der betroffenen Person Erfüllung einer rechtlichen Verpflichtung Lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person Aufgabe im öffentlichen Interesse / Ausübung öffentlicher Gewalt Verarbeitung aufgrund berechtigtem Interesse des Verantwortlichen oder eines Dritten erforderlich 18

20 Das Datenverarbeitungsverzeichnis ersetzt DVR- Meldungen an die Datenschutzbehörde Datenverarbeitungsverzeichnis Ausnahme: Unternehmen < 250 Mitarbeiter Außer: die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen die Verarbeitung erfolgt nicht nur gelegentlich es werden sensible oder strafrechtliche Daten verarbeitet Auflistung sämtlicher Verarbeitungstätigkeiten Name und Kontaktdaten des Verantwortlichen sowie Datenschutzbeauftragten Zwecke der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfängern Übermittlung in Drittland Frist für Löschung gewisser Datenkategorien Beschreibung von Datensicherheitsmaßnahmen (TOM) 19

21 Unternehmen müssen die Betroffenenrechte in ihren Prozessen berücksichtigen Betroffenheitsrechte Auskunftsrecht Widerspruchsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung Recht auf Datenübertragbarkeit 20

22 Schritt 3: Maßnahmen treffen In 4 Schritten zu mehr Sicherheit 1 Schutzbedarf feststellen Sicherheit nach DSGVO 2 3 Risiken bewerten Maßnahmen treffen 4 Nachweise erbringen Einführung eines Prozesses zur Wahrung von Betroffenenrechten (zeitliche Komponente!) zur Erfüllung der Informationspflichten zum Einholen von (korrekten) Einwilligungen (+ Nachholen) für eine data breach notification Technische und Organisatorische Maßnahmen (TOM) Datensicherheitsmaßnahmen isd DSVGO data protection by design data protection by default Erarbeitung einer internen Datenschutzpolicy Ziel: Maßnahmen zur Reduktion der zuvor ermittelten Risikofaktoren 21

23 In der Praxis lassen sich folgende Empfehlungen zu IT-Sicherheit und Datenschutz zusammenfassen EPU KMU Mittlere und größere Unternehmen Passwortschutz auf allen Endgeräten (auf PC, Notebook, Smartphone, Tablet, etc.) Tägliche Sicherung der Daten Antivirus-System Gängiges Betriebssystem und aktuelle Updates Zutrittsregeln für Räumlichkeiten Verpflichtender IT-Partner + laufende Wartung Antivirus-System und Firewall Regelmäßige Erneuerung der Hardware Richtlinien zu Passwörtern Externe Mitarbeiterschulung (min. 1x jährlich) Interne Compliance-Maßnahmen bzgl. Datenschutz Laufende Offsite-Sicherungen Brandschutz Ständig erreichbarer IT- Servicepartner VPN für externe Mitarbeiter Zugangskontrolle für Serverräume Backup-Verschlüsselung Wiederherstellungsrichtlinien für Ernstfälle Quelle: WKO Bis zum 25. Mai 2018 müssen Unternehmen DSGVO-fit sein! 22

24 Bestehende Einwilligungen müssen auf DSGVO- Konformität geprüft werden Einwilligungsprozess Erfüllung der Informationspflichten VOR Einwilligung ab Nachweispflicht gesonderte Einwilligung bei verschiedenen Verarbeitungsvorgängen Einwilligung in verständlicher und leicht zugänglicher Form, klarer und einfacher Sprache Widerrufsrecht Betroffene Person kann jederzeit widerrufen Information über Widerruf muss vor Abgabe der Einwilligung erfolgen Widerruf muss so einfach sein wie Einwilligung Koppelungsverbot Überprüfung der bestehenden Einwilligungen auf DSGVO-Konformität 23

25 Versteckte Einwilligungen in den AGB haben keine Gültigkeit Einwilligungsprozess Keine gültige Einwilligung Stillschweigen vorab angekreuzte Kästchen Untätigkeit der betroffenen Person Einwilligung in AGB versteckt unbestimmter Zweck zum Beispiel Koppelungen Belohnungen Verzicht auf Betroffenenrechte Gültige Einwilligung Einwilligung durch Erklärung Ankreuzen eines Kästchens aktives Tun der betroffenen Person Hervorhebung in AGBs konkreten Fall beschreiben 24

26 Schritt 4: Nachweise erbringen In 4 Schritten zu mehr Sicherheit 1 Schutzbedarf feststellen Sicherheit nach DSGVO 2 3 Risiken bewerten Maßnahmen treffen 4 Nachweise erbringen Ausreichende Dokumentation der durchgeführten Risikoabschätzung der durchgeführten Maßnahmen der Wahrung von Betroffenenrechten Vorhandene Dokumentation nach DSGVO Prozess Datenverarbeitungsverzeichnis Datenschutzfolgenabschätzung Vereinbarung Auftragsverarbeiter Einwilligungserklärung Dokumentierte Prozessabläufe Maßnahmendokumentation Ziel: Transparente Dokumentation des DSGVO-konformen Verhaltens 25

27 Bei der Verarbeitung personenbezogener Daten soll die DSGVO zu größerer Transparenz verpflichten Auswahl Koppelungsverbot Zweckbindung Website Eine Leistung darf nicht mit der Einwilligung zur Datenverarbeitung gekoppelt werden, wenn diese für die Erbringung nicht erforderlich ist. Die Teilnahme an Gewinnspielen ist häufig an die Preisgabe und Verarbeitung von persönlichen Daten gekoppelt unter der DSGVO nicht mehr zulässig. Für jede personenbezogene Datenverarbeitung muss ein Zweck angegeben werden. Datensammeln ohne einen legitimen Zweck dahinter ist nicht zulässig. Auch muss die Verarbeitung dem Zweck angemessen eingeschränkt sein (Datenminimierung). Ein Hinweis auf Nutzung von Cookies und weiterführend eine Datenschutzerklärung auf der Website wird empfohlen. Es ist abzuklären ob der Website Tracking Anbieter und Hosting-Anbieter Daten anonymisieren. Marketing Social Media Werbung Datenschutzerklärung Das Double-opt-in-Verfahren (2x bestätigen, dass man Sendungen erhalten will) bei zusendungen bleibt die Best Practice im Marketing hier gibt es keine Änderung durch die DSGVO. Es dürfen keine CRM-Daten (z.b. E- Mailadressen) ohne Einwilligung der Nutzer bei Facebook und Co hochgeladen werden das ist nicht DSGVO-konform! Eine Zustimmung kann zwar über die AGB eingeholt werden, wenn die Klausel leicht verständlich und hervorgehoben ist. Eine ausdrückliche Einwilligung ist notwendig (keine vorangekreuzten Kästchen) am besten werden zwei Einwilligungen für AGB und Datennutzung eingeholt. Quelle: Pc-Web.at 26

28 Aus der DSGVO resultieren eine Vielzahl von Chancen und Risiken Chancen und Risiken Chancen Wildwuchs im System aufräumen Dokumentation von gelebtem Datenschutz Verringerung des Risikos von Datenverlust, Datenmissbrauch, Datenschutzverletzung Risiken Aufsichtsbehörde ist angehalten, dass die Geldbußen in jedem Einzelfall wirksam verhältnismäßig abschreckend sind Geldbuße in DSGVO zielt auf Unternehmen ab Maximal EUR ,00 oder 2% des weltweiten Jahresumsatzes z.b. Verstöße gegen Verzeichnis der Verarbeitung, Datenschutz-Folgenabschätzung, Datenschutzbeauftragter Maximal EUR ,00 oder 4% des weltweiten Jahresumsatzes z.b. Verstöße gegen Grundsätze der Datenverarbeitung, die Rechte der betroffenen Person [Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung] 27

29 Die Höchstbußen werden mit der DSGVO deutlich angehoben Beispiele der DSB Sanktionen Verstoß Höchstbuße DSG 2000 Höchstbuße DSGVO Verletzung Auskunftsrecht EUR 500,00 EUR ,00 oder 4% des Umsatzes Verletzung Löschungsrecht EUR 500,00 EUR ,00 oder 4% des Umsatzes Unrechtmäßige Datenspeicherung Nicht strafbar EUR ,00 oder 4% des Umsatzes Fehlender DPO Nicht strafbar EUR ,00 oder 2% des Umsatzes Fehlende DPIA Nicht strafbar EUR ,00 oder 2% des Umsatzes Kein Verarbeitungsverzeichnis EUR ,00 EUR ,00 oder 2% des Umsatzes 28

30 Conclusio Die DSGVO schickt uns ohne konkrete Anleitungen auf die Reise, allein nach dem Motto funktionieren muss es 29

31 AUSTIN BFP preferred partners 8010 Graz Schubertstraße Wien Teinfaltstraße Linz Peter-Behrens-Platz 2