Fit für die Europäische Datenschutz-Grundverordnung? -Zirkeltraining für den Datenschutz-

Transkript

1 Fit für die Europäische Datenschutz-Grundverordnung? -Zirkeltraining für den Datenschutz- Lydia Kämpfe Referentin beim Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

2 Die Staatsministerin für Digitales Dorothee Bär: Wichtig ist, dass wir in der digitalen Champions League spielen Ich will keinen hören, der sagt, dass es nicht geht

3

4

5 BVerfG Urteil vom 15. Dezember 1983 Az. 1 BvR 209/83 (Volkszählungsurteil) Wer nicht überschauen kann, welche Informationen zu seiner Person in seinem sozialen Umwelt bekannt sind kann in seiner Freiheit wesentlich gehemmt werden, frei zu planen oder zu entscheiden.

6 BVerfG Urteil vom 15. Dezember 1983 Az. 1 BvR 209/83 (Volkszählungsurteil) In einer demokratischen Gesellschaft muss jeder jederzeit wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.

7 Europäische Datenschutz-Grundverordnung VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung DS-GVO) Seit 25. April 2016 in Kraft Ab dem 25. Mai 2018 unmittelbar anzuwenden!

8 Wirkungen der DS-GVO Art. 99: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat. die DS-GVO ist eine Regelung mit unmittelbarer innerstaatlicher Geltung -> sog. Durchgriffswirkung ersetzt nationales Datenschutzrecht, führt grds. zur Unanwendbarkeit entgegenstehender nationaler Regelungen Ab dem 25. Mai 2018 anzuwenden!!! BDSG LDSG

9 Basics: Sachlicher Anwendungsbereich Die DS-GVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen

10 Basics: Wer ist Verantwortlicher? Grundsatz: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Mehrere Verantwortliche können gemeinsam verarbeiten. Dann muss in einer transparenten Vereinbarung geregelt werden, wen welche Pflichten treffen (Art. 26 DS-GVO)

11 Basics: Personenbezogene Daten Im Sinne dieser Verordnung (DS-GVO) bezeichnet der Ausdruck: personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann

12 Basics: Verarbeiten Im Sinne dieser Verordnung (DS-GVO) bezeichnet der Ausdruck Verarbeitung : jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

13 Zirkeltraining für den Datenschutz 9 Stationen auf dem Weg zur DS-GVO:

14 1 Station: Check-up Bestandsaufnahme und Sensibilisierung Alle an einen Tisch! Mitarbeiter und Führungskräfte sollten gemeinsam analysieren, wer wie was und warum mit personenbezogenen Daten tut. Das schult und sensibilisiert Verantwortliche und Mitarbeiter!

15 7 Fragen, die Sie beim Check-up unbedingt klären sollten Wer ist Verantwortlicher? Was machen Sie mit personenbezogenen Daten? Zu welchen Zwecken verarbeiten Sie die Daten? Rechtsgrundlage der Datenverarbeitung? Wer kommt mit den personenbezogenen Daten in Berührung? Drittländer? Wie lange speichern Sie personenbezogen Daten?

16 2. Station: Die grundlegenden Spielregeln Lesen Sie sich die Artikel 5, 6 und 9 DS-GVO zumindest 1x durch!

17 Zu den grundlegenden Spielregeln: Grundsätze der Datenverarbeitung (Art. 5) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Richtigkeit Datenminimierung Integrität und Vertraulichkeit Speicherbegrenzung Rechenschaftspflicht

18 Zu den grundlegenden Spielregeln: Rechtmäßigkeit der Datenverarbeitung (Art. 6) Es geht um Leben und Tod Öffentliches Interesse (Art. 6 Abs. 1 lit. c, e i.v.m. 4 DSG M-V i.v.m. Fachgesetz) Einwilligung Vertrag Berechtigte Interessen (nicht bei sensiblen Daten)

19 Zu den grundlegenden Spielregeln: Verarbeitung sensibler Daten (Art. 9 Abs. 1) Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

20 Zu den grundlegenden Spielregeln: Verarbeitung sensibler Daten (Art. 9 Abs. 2) Zusätzlich zur Rechtsgrundlage nach Art. 6 muss eine weitere nach Art. 9 gegeben sein: Es geht um Leben und Tod Daten, die die betroffene Person selbst öffentlich gemacht hat Verarbeitung von Mitgliederdaten durch Vereine, Gewerkschaften Einwilligung Vertrag (Behandlungsvertrag) Gesetz im Mitgliedstaat Kollektivvereinbarung Verfolgung von Rechtsansprüchen

21 Zu den grundlegenden Spielregeln: Rechtsgrundlage konkret Grundsätzlich erfolgt die Behandlung auf Grundlage eines Behandlungsvertrages: Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DS-GVO Achtung: Die Patientendatenverarbeitung darf hier nur durch Personen erfolgen, die einem Berufsgeheimnis unterliegen (Art. 9 Abs. 3 DS- GVO)

22 Zu den grundlegenden Spielregeln: 203 Abs. 4 StGB (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Arzt, Zahnarzt, ( ) anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (4) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer unbefugt ein fremdes Geheimnis offenbart, das ihm bei der Ausübung oder bei Gelegenheit seiner Tätigkeit als mitwirkende Person ( ) bekannt geworden ist. Ebenso wird bestraft, wer 1. als in den Absätzen 1 und 2 genannte Person nicht dafür Sorge getragen hat, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde; dies gilt nicht für sonstige mitwirkende Personen, die selbst eine in den Absätzen 1 oder 2 genannte Person sind ( )

23 Zu den grundlegenden Spielregeln: Zweckbindung Der Zweck der Datenverarbeitung muss dokumentiert werden (z. Bsp.: Verzeichnis über die Verarbeitungstätigkeiten, Teil der Informationspflichten) Eine Abweichung von diesem Zweck ist grds. nur mit Einwilligung oder einer speziellen Rechtsgrundlage möglich Vorsicht bei Übermittlungen!!!

24 Zu den grundlegenden Spielregeln: Speicherbegrenzung Es muss ein Löschkonzept erstellt werden Es müssen Speicherhöchstfristen festgelegt werden Sind gesetzliche Mindestspeicherfristen geregelt, muss festgelegt werden, wann diese beginnt Über die Speicherfristen muss informiert werden Speicherfristen sind grds. auch im Verfahrensverzeichnis anzugeben Die Angaben sind verbindlich

25 Zu den grundlegenden Spielregeln: Speicherbegrenzung 10 Abs. 3 Berufsordnung M-V / 57 Abs. 2 Bundesmantelvertrag: Mindestens 10 Jahre 28 Abs. 3 Röntgenverordnung: Röntgenbilder von Erwachsenen: 10 Jahre / Aufzeichnungen über Röntgenbehandlung 30 Jahre 14 Abs. 3 Transplantationsgesetz: Jahre

26 3. Station: Das Spielsystem Es müssen klare Funktionen und Rollen definiert werden! Wer ist Verantwortlicher? Wer verarbeitet nur auf Weisung (Auftragsverarbeiter und/oder Mitarbeiter)? Wer ist Empfänger? Wer ist Dritter? (z.bsp.: bei Forderungsabtretung)

27 4. Station: Klare Anweisungen Sind die Rollen klar verteilt, muss dies in Vereinbarungen und Verträgen festgehalten werden: Schriftliche Weisungen zur Datenverarbeitung für Mitarbeiter Verträge zur Auftragsverarbeitung anpassen Bei gemeinsamer Verantwortlichkeit Vereinbarung zur Aufgabenverteilung

28 Weisungen für Mitarbeiter natürlichen Personen, die die Datenverarbeitung vornehmen sollen, müssen nach dem Kriterium ihrer potentiellen Zuverlässigkeit anweisungsgemäß zu handeln, ausgewählt werden konkrete Verhaltensvorgaben in Form von Betriebs- oder Dienstanweisungen z. Bsp.: zur Nutzung privater Geräte, zu soziale Medien (ein Verstoß kann arbeitsrechtlich geahndet werden) Unterweisung der einzelnen natürlichen Person im Sinne einer Einführung in den persönlichen Arbeitsplatz oder Aufgabenbereich der Datenverarbeitung Weisungen bezogen auf den Einzelfall Zuwiderhandeln gegen Weisungen macht den Mitarbeiter selbst zum Verantwortlichen!!!

29 Verträge zur Auftragsverarbeitung (

30 5. Station: Informationen -> Informationspflichten nach Art. 13, 14 DS-GVO Alle Informationen, die Sie hier benötigen, haben Sie im Check-up gesammelt!

31 Infoblatt nach Art. 13 Abs. 1, 2 Wir empfehlen 3 Teile: Warum wir Ihre Daten verarbeiten (Art. 13 Abs. 1 lit. c, d; Abs. 2 lit. a, e DS-GVO) Wer Ihre personenbezogene Daten verarbeitet (Art. 13 Abs. 1 lit. a, e DS-GVO) Wie Sie die Verarbeitung kontrollieren und dagegen vorgehen können (Betroffenenrechte)

32 Zum Warum? Hier nennen Sie: Zweck (Erfüllung des Behandlungsvertrages) Rechtsgrundlage (Art. 6 Abs. 1 lit. b, Art. 9 Abs. 2 lit. h DS-GVO) Bei Vertrag erklären Sie, ob die Bereitstellung der personenbezogenen Daten durch die betroffene Person danach erforderlich ist und was passiert, wenn Ihnen die Daten verweigert werden Nennen Sie die erforderliche Information zur Speicherdauer

33 Zum Wer Hier nennen Sie: den Verantwortlichen mit Namen und Kontaktdaten Personen, die auf Ihre Weisung noch mit der Datenverarbeitung betraut sind (zuständige eigene Mitarbeiter und ggf. externe Dienstleister/Auftragsverarbeiter) falls beabsichtigt an wen Sie die Daten übermitteln

34 Zu den Betroffenenrechten Beruht die Datenverarbeitung auf einem Behandlungsvertrag, haben Patientinnen und Patienten das Recht, sich jederzeit unter an den Datenschutzbeauftragten zu wenden (falls vorhanden) sich beim Landesbeauftragten für Datenschutz und Informationsfreiheit M-V zu beschweren Auskunft über die Verarbeitung ihrer Daten in der Praxis zu erhalten (Art. 15 DS-GVO) die Berichtigung falscher Daten zu beantragen (Art. 16 DS-GVO) die Löschung ihrer Daten in der Praxis zu beantragen die Einschränkung der Verarbeitung zu beantragen (Art. 18 DS-GVO)

35 Zu den Infopflichten: ein Infoblatt kann die Beratung vor Ort nicht ersetzen Ein Aushang reicht nicht die Aushändigung des Infoblattes sollte dokumentiert werden

36 Station 6: Die Abwehr muss stehen Dokumentation dient vor allem Ihrer Verteidigung im Streitfall und kann die Aufsichtsbehörde auf Abstand halten Beweislastumkehr (Art. 82 Abs. 3 DS-GVO) Aufsichtsbehörde führt idr zunächst ein schriftliches Verfahren und fordert Dokumentation an

37 Ausgestaltete Formate für die Dokumentation Verzeichnis von Verarbeitungstätigkeiten (Art. 30) Immer bei der Verarbeitung sensibler Daten Datenschutz-Folgenabschätzung (Art. 35) Nur bei hohem Risiko oder umfangreicher Verarbeitung sensibler Daten Nutzen Sie den Check-up und bestehende Verfahrensverzeichnisse und/oder Sicherheitskonzepte!

38 Hilfe auf unserer Homepage

39 Hilfe auf unserer Homepage

40 Datenschutz- Folgenabschätzung Wann? Harte Fakten: Eine bestimmte Verarbeitung in der Praxis steht auf der sogenannten Blacklist Umfangreiche Verarbeitung sensibler Daten (jedenfalls bei mind. 10 Personen, die verarbeiten) weiche Kriterien: Kriterien des WP 248 (in Zweifelsfällen wird eine DSFA immer empfohlen, bei 2 oder mehr zutreffenden Kriterien sollte eine DSFA durchgeführt werden) Relevanzschwellenanalyse

41 Kriterien des WP Bewertungen und Begutachten, Scoring und Profiling 2. Automatische Entscheidungen mit rechtlichen Auswirkungen 3. Systematische Überwachung 4. Verarbeitung sensibler Daten 5. Umfangreiche Datenverarbeitung 6. Verknüpfung von Daten zu anderen Zwecken oder anderen Verantwortlichen 7. Verarbeitung personenbezogener Daten Schutzbedürftiger (auch Patienten, Kinder, Mitarbeiter ) 8. Nutzung innovativer oder neuer Technologien 9. Ein Verarbeitungsprozess schließt bestimmte Personen von der Nutzung oder Eingehung eines Vertrages oder der Ausübung ihrer Rechte aus

42 Relevanzschwellen-Analye

43 7. Station: Der Letzte Mann Ein Datenschutzbeauftragter muss bestellt werden: Bei mind. 10 Personen, die Daten verarbeiten ( 38 BDSG-neu) Bei Behörden Wenn eine Datenschutz-Folgenabschätzung gemacht werden muss ( 38 BDSG-neu) Der Datenschutzbeauftragte ist nicht Verantwortlicher!!!

44 8. Station: Kontrolle der Ausrüstung Geeignete technische und organisatorische Maßnahmen müssen den Torfall verhindern abhängig von: Stand der Technik Kosten Art, Umfang, Umstände und die Zwecke der Verarbeitung Gefahren für die betroffene Person

45 Dokumentation und Nachweise (u.a. Art. 5 Abs. 2, Überwachung durch den Datenschutzbeauftragten (Art DS-GVO & 38 BDSG-neu) Organisatorische Absicherung (Art , DS-GVO) Standards und Zertifizierung (Art DS-GVO) Schutzkonzept der DS-GVO 30 DS-GVO) Technische Absicherung (Art. 25, 32 DS-GVO) Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

46 Verhalten bei Datenpannen Datenpanne: Verlust, unberechtigter Zugriff etc. Meldepflicht an Aufsichtsbehörde binnen 72 h (Art. 33 DS- GVO) und Unterrichtung der betroffenen Personen (Art. 34 DS-GVO) entfällt, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt Abwägung muss dokumentiert werden!

47 9. Station: Verhältnis zum Schiedsrichter Was tut die Aufsichtsbehörde: Bei unklarer Rechtslage verhelfen Bußgelder den betroffenen noch nicht zu ihrem Recht! -> Beratung und Verwarnung -> Konkrete Anordnungen zur Datenverarbeitung als VA -> Bußgelder sind nur eine mögliche Maßnahme! Weitreichende Befugnisse der Aufsichtsbehörde: Grds. Auskunftspflicht ggü. Aufsichtsbehörde Zutritt zu Geschäftsräumen

48 Wie wir prüfen:

49 Was ist das SDM? Methode zur Datenschutzberatung und -prüfung auf der Basis der einheitlichen Gewährleistungsziele Datenminimierung Verfügbarkeit Integrität Vertraulichkeit Nichtverkettung Transparenz Intervenierbarkeit

50 generische SDM-Referenzmaßnahmen

51 Weitere Infos zum SDM auf unserer Homepage

52 Weitere Informationen: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Schloss Schwerin, Schwerin Tel.: Fax: info@datenschutz-mv.de