- Wa s i s t j e t z t z u t u n? -

Transkript

1 1 Die europäische Datenschutz-Grundverord n u n g - Wa s i s t j e t z t z u t u n? - I H K N ü r n b e r g f ü r M i t t e l f r a n k e n E r l a n g e n, d e n 2 0. J u l i T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

3 3 Datenschutz heute

4 4 Datenschutz heute

5 Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) verkündet im Amtsblatt der Europäischen Union vom 4. Mai

6 6 Datenschutz morgen d.h. in nur mehr ca. 10 Monaten

7 Datenschutz morgen Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 7

8 8 Datenschutz morgen Art. 29 Gruppe Working Papers (= konsensuale Arbeitsgemeinschaft der Europäischen Datenschutzbehörden) Datenschutz- Ausschuss Leitlinien (Art. 70 DS- GVO) (= institutionalisiertes Gremium der der Europäischen Datenschutzbehörden) Empfehlung Orientierung

9 9 Art. 29-Gruppe bzw. Datenschutz-Ausschuss Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zur Einwilligung veröffentlichen. Wo? -> auf der Website der EU-Kommission / Artikel-29-Gruppe, Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DSGVO (bisher nur auf Englisch): Datenschutzbeauftragter Anspruch auf Datenportabilität federführende Behörde (noch nicht als Endfassung) Datenschutzfolgenabschätzung (data protection impact assessment)

11 11 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

12 12 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

13 13 Anforderungen an die Datenverarbeitung Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen

14 14 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

15 Anforderungen an die Datenverarbeitung Informationspflichten (Art. 13, 14) beinhalten: Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter Garantien (z.b. Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung, ) Beschwerderecht bei der sbehörde u.a. 15

16 16 Anforderungen an die Datenverarbeitung Rechenschaftspflicht Wie prüfen wir: Zeig mal!! Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten ( Beweislastumkehr ) (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

17 Anforderungen an die Datenverarbeitung Auftrags(daten)verarbeitung, Art 28 Anforderungen: Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei 11 BDSG-alt, in einigen Details aber Unterschiede, z.b. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4 Unternehmen müssen bestehende ADV-Verträge an die Anforderungen der DS-GVO anpassen. Dauerbrenner Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist. 17

19 19 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf nicht automatisierte Entscheidung Recht auf Widerruf einer Einwilligung

20 20 Verfahren zur - Sicherstellung der Betroffenenrechte Prozessorientierter Ansatz: Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung (siehe Auskunftsprojekt 2016) Check Act: Kontinuierliche Verbesserung

22 22 Verzeichnis der Verarbeitungstätigkeiten Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250 Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250 Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.b. Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.b. regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.

24 24 Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

25 25 Umgang mit Datenschutzverletzungen Prozessorientierter Ansatz: Plan: Identifizierung einer Datenschutzverletzung; Festlegung des Meldewegs Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check

27 27 Datenschutz-Folgenabschätzung Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden

29 29 Sanktionen morgen Art. 83 DS-GVO bis EUR oder 2 % Weltjahresumsatz ( formelle Verstöße ) bis EUR oder 4 % Weltjahresumsatz ( materielle Verstöße ) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

31 Was kann / soll man heute schon tun? bewusst machen, was kommt Team bilden, das das Projekt DS- GVO angeht (nicht nur Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Handlungsbedarf untersuchen Schulungen vorbereiten Feuerwehrübungen durchführen 31

32 32 Was kann / soll man heute schon tun? Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.b. Verträge zur Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf. Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum Umgang mit Beschäftigtendaten geregelt

33 33 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (1) Rechtsgrundlagen klären, z.b. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen Informationspflichten und Rechte Betroffener Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a) Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)

34 34 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (2): Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden in Arbeit Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde in Arbeit Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten

36 36 Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.

37 37 Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.

38 38 Neue Prüfkonzeption.

40 Unsere Empfehlung Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan verplant. Act Plan Check Do sonst werden Sie 40

41 41 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Bayer. Landesamt für