DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Transkript

1 DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

2 Zeitplan der DSGVO 25. Mai 2016: Inkrafttreten der EU-DSGVO Ablauf der 2-jährigen Übergangsfrist am 24. Mai 2018 ab 25. Mai 2018: Anwendung der Neuregelung Ablösung der national unterschiedlichen Datenschutzgesetze durch die EU-DSGVO DSGVO = Allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung ( Durchgriffswirkung ) Öffnungsklauseln für nationale Gesetzgeber in bestimmten Bereichen 2

3 Ziele der EU-DSGVO Schutz der Grundrechte natürlicher Personen ohne Einschränkung des freien Verkehrs der personenbezogenen Daten Harmonisierung des Datenschutzniveaus innerhalb der EU 3

4 Grundsätze der DSGVO Rechtmäßigkeit, Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht Der Verantwortliche ist für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss dessen Einhaltung nachweisen können! 4

5 Rechenschaftspflicht des Verantwortlichen Privacy by design/default Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (TOM s) Datenschutz-Folgenabschätzung Risikobewertung immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte zur Folge hat (z.b. Einsatz neuer Technologien) Vorherige Konsultation der Aufsichtsbehörde Ergibt DSFA ein hohes Risiko, muss Aufsichtsbehörde vorab konsultiert werden Dokumentation Verzeichnis von Verarbeitungstätigkeiten (Ausnahme: unter 250 MA, nur gelegentliche Verarbeitung, kein Risiko für Betroffene, keine besonderen Datenkategorien) 5

6 Begriffsdefinitionen Personenbezogene Daten Begriff sehr weit gefasst (z.b. Name, Adresse, Tel.-Nr., Autokennzeichen, IP-Adresse). Ausreichend, dass die Information einer Person irgendwie zugeordnet und so ein Personenbezug hergestellt werden kann. Automatisierte Verarbeitung Verarbeitung unter Einsatz von Computer, Smartphone, Kamera, Scanner Nichtautomatisierte Verarbeitung Verarbeitung ohne Einsatz obiger Hilfsmittel, z.b. handschriftliche Aufzeichnung Verarbeitung z.b. Erheben, Erfassen, Organisation, Ordnen, Speicherung, Veränderung, Verbreitung, Löschen, Vernichten personenbezogener Daten 6

7 Rechtmäßigkeit der Datenverarbeitung Grundsatz: Verbotsgesetz mit Erlaubnisvorbehalt! Einwilligung des Betroffenen Vertrag und vorvertragliche Maßnahmen Rechtliche Verpflichtung Wahrung lebenswichtiger Interessen Aufgaben im öffentlichen Interesse oder Ausübung öffentlicher Gewalt Abwägung bei berechtigtem Interesse 7

8 Rechte der Betroffenen Informationsrecht Auskunftsrecht Recht auf Berichtigung und Löschung Recht auf Datenübertragbarkeit 8

9 Datenschutzbeauftragter Pflicht zur Bestellung nach DSGVO Wenn Kerntätigkeit des Verantwortlichen die Durchführung von Verarbeitungsvorgängen ist, welche aufgrund Art, Umfang oder Zweck eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern, oder wenn Kerntätigkeit des Verantwortlichen die umfangreiche Verarbeitung besonderer Kategorien von Daten (z.b. rassische Herkunft, politische Meinung, religiöse Zugehörigkeit, genetische/biometrische Daten, Gesundheitsdaten) ist Pflicht zur Bestellung nach BDSG (neu) mindestens 10 Personen sind ständig mit der automatisierten DV beschäftigt oder unabhängig von der Anzahl der Beschäftigten bei einer Verarbeitung, die eine DS-Folgenabschätzung erfordert 9

10 Auftrags(daten)verarbeitung Definition Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer gemäß den Weisungen des Auftraggebers auf Grundlage eines Vertrags zwingender Inhalt eines Vertrages zur Auftrags(daten)verarbeitung neue Haftungsregelung: gemeinsame Haftung von Verantwortlichem und Auftragsverarbeiter Verzeichnis über Verarbeitungstätigkeiten auch vom Auftragsverarbeiter zu führen 10

11 Meldepflicht Verletzungen des Schutzes personenbezogener Daten müssen grundsätzlich an die zuständige Aufsichtsbehörde (in Bayern: Landesamt für Datenschutzaufsicht) und den Betroffenen gemeldet werden, außer ein Risiko für Rechte von Betroffenen ist unwahrscheinlich. Die Meldung hat nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung, möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen. 11

12 Verschärfung der Bußgeldvorschriften Bußgeldhöhe bislang: bis zu EUR ,00 pro Einzelfall EU-DSGVO: bis zu EUR 20 Mio. oder bis zu 4 % des Jahresumsatzes Feststellung von bußgeldbewehrten Sachverhalten - Proaktive Überprüfungstätigkeit der Aufsichtsbehörden - Beschwerde durch (unzufriedene) Mitarbeiter - Beschwerde durch (potentiellen) Kunden - Presse 12

13 Handlungsempfehlungen Prozesse zur Umsetzung von Widersprüchen Vertragsmanagement Auftragsverarbeitung Prozesse bei Datenpannen Prozesse zur Datenübertragbarkeit Anpassung Betriebsvereinbarungen professionelle Beratung Dokumentation der Verarbeitungsprozesse Schulungen Einwilligungserklärungen/ Prozess für Widerruf Überarbeitung Datenschutzerklärungen Verarbeitungsprozesse bei Auftragsverarbeitern Risikobeurteilung Dokumentation organisieren Benennung Datenschutzbeauftragter Monitoring nationaler Gesetzgebung Festlegung technischer und organisatorischer Maßnahmen 13

14 Roman Geier Rechtsanwalt Fachanwalt für IT-Recht Wolter & Musselmann Rennweg Passau Tel 0851/ Fax 0851/