Dokumentationspflichten im neuen Datenschutzrecht

Transkript

1 Dokumentationspflichten im neuen Datenschutzrecht Boris Reibach, LL.M. Zentrum Recht der Informationsgesellschaft, Universität Oldenburg Augsburg, 23. Oktober 2017

2 Agenda Neues Recht Alles dreht sich um die Rechenschaftspflicht Pflichtenunterschiede Herangehensweisen Accountability Tool Bsp.1: Erweitertes Verarbeitungsverzeichnis Bsp. 2: Datenpannen 2

3 Neues Recht I Altes Recht: Der für die Verarbeitung Verantwortliche hat für die Einhaltung der Datenschutzgrundsätze zu sorgen. Neues Recht: Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss deren Einhaltung nachweisen können ( Rechenschaftspflicht ). 3

4 Neues Recht II Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 4

5 Neues Recht III Der Verantwortliche muss nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die getroffenen Maßnahmen wirksam sind. 5

6 Neues Recht IV Festlegung von internen Strategien und Maßnahmen für Privacy by Default und Privacy by Design, um die Einhaltung der Verordnung nachzuweisen. 6

7 Neues Recht V Altes Recht: Bußgeld bis zu EUR. Neues Recht: Bußgeld bis zu EUR. 7

8 Alles dreht sich um die Rechenschaftspflicht Accountability Demonstration of Compliance Die zentrale Verantwortung des Unternehmens steht im Mittelpunkt 8

9 Betroffene Bereiche (Auszug) Rechtmäßigkeitsbewertung Verarbeitungsverzeichnis Einwilligungen, ggfs. Altersprüfung Transparenzmaßnahmen Betroffenenrechte 9

10 Betroffene Bereiche (Auszug) II Technische Maßnahmen Richtlinien Sensibilisierungen Drittlandtransfers Datenschutzfolgenabschätzung 10

11 Betroffene Bereiche (Auszug) III Vorherige Konsultation Fristenmanagement Datenschutzpannen-Management Auftragsdatenverarbeitung Verpflichtungen zur Verschwiegenheit 11

12 Betroffene Bereiche (Auszug) IV Vereinbarungen der gemeinsam Verantwortlichen Datenschutzbeauftragter Datenschutzaudits 12

13 Rechenschaftspflicht gilt für alle Kein Unterschied zwischen kleinen, mittleren und großen Betrieben Lediglich für das Verarbeitungsverzeichnis gelten für Unternehmen unter 250 Mitarbeitern Ausnahmen, wenn nur gelegentliche Datenverarbeitung, keine besondere Datenkategorien und keine hohen Risiken für die Betroffenen. 13

14 Pflichtenunterschiede I Harte Dokumentationsanforderungen z.b. Verarbeitungsverzeichnis Weiche Dokumentationsanforderungen z.b. Einhaltung der Datenschutzgrundsätze 14

15 Pflichtenunterschiede II Absolute Dokumentationspflichten z.b. Datenschutzpannen Relative Dokumentationspflichten z.b. Einwilligung 15

16 Herangehensweisen Individuelle Ausgestaltung, beispielsweise unter Zuhilfenahme behördlicher Muster Accountability Tool Datenschutzmanagementsystem DSGVO-Projekt 16

17 Accountability Tool - Überblick Ziel: zentrale Dokumentationsplattform für Rechenschaftspflicht nach DSGVO im Unternehmen Unterschiedliche Formate, z.b. Web-/lokale Anwendung Tabellenblätter Datenbanken 17

18 Accountability Tool technische Anforderungen Zugriffsmanagement Protokollierung und Nachverfolgbarkeit von Änderungen Versionierung Integration von Dokumententypen Erweiterbarkeit/Anpassbarkeit Extraktionsmöglichkeiten 18

19 Accountability Tool Mögliche Inhalte I Erweitertes Verarbeitungsverzeichnis Transparenzmaßnahmen Einwilligungen Dienstleister/Vertragspartner inkl. Vertrag/Weisungen Datenschutz-Folgenabschätzung Datenschutz-Pannen 19

20 Accountability Tool Mögliche Inhalte II Technische und organisatorische Maßnahmen Betroffenenanfragen Schulungen Audits Richtlinien/Prozessbeschreibungen 20

21 Erweitertes Verarbeitungsverzeichnis I Gesetzliche Inhalte Datenflüsse Rechtsgrundlage, ggfs. berechtigte Interessen Zweckänderungen Einhaltung der Datenschutzgrundsätze Einwilligungs-Check 21

22 Erweitertes Verarbeitungsverzeichnis II Erfüllung der Transparenzpflichten Check der Betroffenenrechte Dienstleister-Check Privacy by Design Privacy by Default 22

23 Erweitertes Verarbeitungsverzeichnis III Check der technischen und organisatorischen Maßnahmen Check der Risiken, ggfs. Datenschutzfolgenabschätzung 23

24 Dokumentation von Datenpannen I Jede Datenpanne ist zu dokumentieren, unabhängig von Risiken für die Betroffenen Erst anschließende Meldepflicht an Aufsichtsbehörde und Betroffenem ist jeweils abhängig von Risiken für die Betroffenen 24

25 Dokumentation von Datenpannen II Beschreibung des Vorfalls (was, wann, mögliche Ursachen, etc.) Kategorie und Anzahl der Betroffenen und der Datensätze Wahrscheinliche Folgen der Datenpanne Maßnahmen zur Behebung und ggf. zur Abmilderung der nachteiligen Auswirkungen 25

26 Dokumentation von Datenpannen III Bewertung, ob Risiko für Betroffene besteht Bewertung, ob hohes Risiko für Betroffene besteht Bewertung, ob Ausnahmetatbestände eingreifen Fristeinhaltung bzw. Gründe für Verhinderung Abgesandtes Schreiben 26

27 Betroffene Bereiche (Auszug) Rechtmäßigkeitsbewertung Verarbeitungsverzeichnis Einwilligungen, ggfs. Altersprüfung Transparenzmaßnahmen Betroffenenrechte 27

28 Betroffene Bereiche (Auszug) II Technische Maßnahmen Richtlinien Sensibilisierungen Drittlandtransfers Datenschutzfolgenabschätzung 28

29 Betroffene Bereiche (Auszug) III Vorherige Konsultation Fristenmanagement Datenschutzpannen-Management Auftragsdatenverarbeitung Verpflichtungen zur Verschwiegenheit 29

30 Betroffene Bereiche (Auszug) IV Vereinbarungen der gemeinsam Verantwortlichen Datenschutzbeauftragter Datenschutzaudits 30

31 Viel Erfolg bei der Datenschutzdokumentation! 31