99 Tage bis zur DSGVO Umsetzungsprojekt oder Notversorgung

Transkript

1 99 Tage bis zur DSGVO Umsetzungsprojekt oder Notversorgung Merlin Backer LL.M. (Glasgow) HK2 Rechtsanwälte IHK Dortmund EU-Datenschutz-Grundverordnung, RA Karsten U. Bartels LL.M

2 1 Gesetzliche Grundlagen 2 Datenschutz-Grundverordnung Datenschutzprinzipien Neue Anforderungen Technische & organisatorische Maßnahmen 3 Konkreter Umsetzungsbedarf Wesentliche Pflichten Vertragsgestaltung Projektierung

3 Stand der Gesetzgebung DSGVO 2018 BDSG LDSGe Datenschutz + IT-Sicherheit Spezialgesetze DSAnpUG-EU 2017 NIS-Richtlinie IT-Sicherheitsgesetz 2015/2017 KRITIS-VO 2016/2017 UmsetzungsG NIS-RL 2017

4 Datenschutzgesetze BDSG (alt) EU-DSGVO Inkrafttreten Umsetzungfrist Anwendbarkeit BDSG (neu)

5 EU Datenschutz- Grundverordnung in Kraft seit Mai 2016 gilt ab unmittelbare Anwendung in Mitgliedstaaten ersetzt die meisten nationalen Datenschutzgesetze betrifft Unternehmen und Behörden DSAnpUG-EU füllt Gestaltungsspielräume und nicht geregelte Datenschutzbereiche (BDSG-neu)

6 Datenschutzprinzipien, Art. 5 & 25 DSGVO Richtigkeit Integrität & Vertraulichkeit Datenschutzprinzipien Rechtmäßigkeit, & Transparenz Privacy by default Privacy by design Zweckbindung Datenminimierung Speicherbegrenzung

7 Personenbezogene Daten, Art. 4 Abs. 1 DSGVO Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

8 Rechtsgrundlagen der Verarbeitung Grundsatz wie im BDSG: Verbot mit Erlaubnisvorbehalt Verarbeitung aufgrund gesetzlicher Rechtsgrundlage oder Einwilligung Einwilligung Erforderliche Verarbeitung für Vertragserfüllung Berechtigtes Interesse (nicht im Beschäftigtenverhältnis) Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen

9 Rechenschaftspflicht gem. Art. 5 DSGVO (1) Personenbezogene Daten müssen ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) ( Zweckbindung ) ( Datenminimierung ) ( Richtigkeit ) ( Speicherbegrenzung ) geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ) (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

10 IT-Sicherheit in der Datenschutz-Grundverordnung Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Art. 32 Sicherheit der Datenverarbeitung Verweise u. a.: Art. 5 Abs. 1 f) Art. 28 Abs. 3 S. 2 c) Art. 30 Abs. 1 S. 2 g), Abs. 2 d)

11 Technische und organisatorische Maßnahmen TOM

12 Technische und organisatorische Maßnahmen Keine Vorgabe von Maßnahmenkategorien wie in 9 BDSG und Anlage zum BDSG Künftig müssen Vorgaben des Art. 32 DSGVO umgesetzt werden Abwägung der Maßnahmen nach Schutzbedarfsanalyse Anforderungen an Maßnahmen ähnlich den IT-Sicherheitsgesetzen, vgl. 13 Abs. 7 TMG

13 Sicherheit der Verarbeitung Art. 32 DSGVO Gewährleistung eines dem Risiko angemessenen Schutzniveaus Geeignete technische und organisatorische Maßnahmen (TOM) Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung (Schutzbedarfsanalyse) berücksichtigen Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik Implementierungskosten Verschlüsselung, Wiederherstellbarkeit, Wirksamkeitsprüfung, Nachweis Rechenschaftspflicht Art. 5 Abs. 2 genehm. Verhaltensregeln oder Zertifizierungsverfahren

14 Stand der Technik... die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann. [Bartels/ Backer/ Schramm: Der Stand der Technik im IT- Sicherheitsrecht - Wirkung des Verweisungsbegriffs und Lösungsansätze zur legislativen Verwendung, Tagungsband 15. Deutscher IT-Sicherheitskongress, S. 503]

15 Stand von Wissenschaft und Forschung Stand der Technik Anerkannte Regeln der Technik

16 Dokumentation der TOM nach DSGVO

17 Auftrags(daten)verarbeitung: Outsorcing von Datenverarbeitung 17

18 Auftragsverarbeitung Art. 28 DSGVO

19 Auftragsverarbeitung mit Unterauftragnehmern Art. 28 DSGVO

20 Auftragsverarbeitungs- Vereinbarung, Art. 28 DSGVO Auftragsverarbeiter verarbeitet nur nach Weisung, unterliegt Kontroll- und Mitteilungspflichten Auftragsverarbeiter muss eigene TOM umsetzen (gem. Abs. 3 c): Stand der Technik zu berücksichtigen) Bislang ADV nach 11 BDSG Ab 2018: AV nach Art. 28 DSGVO Direkte Haftung des Verarbeiters ggü. Betroffenen Abschluss der AV-Vereinbarung auch in Textform Keine Beschränkung auf Datentransfer innerhalb EU/ EWR

21 Datenschutz-Folgeabschätzung (DSFA) Art. 35 DSGVO Voranalyse Bei vorrausichtlich hohem Risiko der Verarbeitung (Prognose), insbesondere, bei Verwendung neuer Technologien nach Art, Umfang, Umstände und Zwecke der Verarbeitung Immer bei systematischer u. umfassender Bewertung persönlicher Aspekte natürlicher Personen Verarbeitung bes. Kategorien v. personenbezogenen Daten Überwachung öffentlich zugänglicher Bereiche Ausdrückliche Bestimmung durch Aufsichtsbehörde Nie bei Datenschutz- Folgenabschätzung Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke Bewertung von Notwendigkeit und Verhältnismäßigkeit Bewertung der Risiken Geplante Abhilfemaßnahmen Ausdrückliche Bestimmung durch Aufsichtsbehörde Hohes Risiko Normales Risiko Empfehlungen Konsultation mit Aufsichtsbehörde Verarbeitung

22 Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO Verzeichnis aller Verarbeitungstätigkeiten Neu: gesondert auch vom Auftragsverarbeiter zu führen Allgemeine Beschreibung der TOM gemäß Art. 32 Ausnahmeregelung mit sehr engem Anwendungsbereich (Abs. 5)

23

24 Informationspflichten Art. 13, 14 DSGVO Informationspflichten für jede Datenerhebung Pflicht zur Auskunft über Umstände der Erhebung, insbesondere: Zwecke und Rechtsgrundlage der Verarbeitung Berechtigtes Interesse nach Art. 6 Abs. 1 f), sofern sich hierauf berufen wird Empfänger der Daten Absicht der Übermittlung in Drittland Speicherdauer Datenschutzerklärung muss künftig sämtliche Verarbeitungsprozesse erfassen, auch den Umgang im Rahmen von Werbung

25 Informationspflichten Art. 13, 14 DSGVO gegenüber Kunden Interessenten Empfängern Nutzern der Online-Angebote Beschäftigten

26 Verträge mit Bezügen zum Datenschutz und zur IT-Sicherheit Kunden Partner Dienstleister Zulieferer Vereinbarungen Berater

27 Sicherungsklauseln Konkrete Verpflichtung auf den Stand der Technik Kontrolle durch: Information Dokumentation Offenlegung/ Zugang Zugriff Audit Anpassung während der Laufzeit Absicherung durch Vertragsstrafen, Schadenspauschalen etc. Geheimhaltungsklauseln

28 Folgen von Verstößen Art. 83 Abs. 4, 5 DSGVO Bußgelder bis EUR bzw. EUR oder 2 % bzw. 4 % des weltweiten Vorjahresumsatzes BDSG DSGVO Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Abs. 1)

29 Haftung der Geschäftsführer Die Geschäftsleitung ist verantwortlich für die Organisation des Unternehmens. Bei Verletzung der Pflicht ist die Geschäftsleitung dem Unternehmen zum Ersatz der daraus resultierenden Schäden verpflichtet = Schadensersatz Es sind geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. = Risikomanagement Datenschutz = Teil des Risikomanagements

30 Datenschutzbeauftragte/r Art. 37 Abs. 1 DSGVO: Pflicht zur Bestellung, wenn Kerntätigkeit des nichtöffentlichen Verarbeiters eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 besteht. 38 BDSG-neu Übernahme bestehender Regelungen zum DSB Pflicht ab 10 Personen, die i.d.r. ständig mit Datenverarbeitung befasst sind

31 DSGVO operationalisieren.

32 To-Do bis Mai 2018: 4 Phasen in 4 Monaten 1. Phase 2. Phase 3. Phase 4. Phase Bestandsaufnahme Gap-Analyse Planung/ Organisatorisches Technische und organisatorische Maßnahmen Dokumentation Übersichten der Verarbeitungstätigkeiten A(D)V-Umstellung Schulungen Einwilligungsmanagement Risikobasierte Prozesse (DSFA) Datenschutzerklärungen Prozesse Betroffenenansprüche Mitarbeiterverpflichtungen

33 Faktoren im Fokus Art und Umfang der Daten Rechtsgrundlage für Verarbeitung Größe des Unternehmens Gefährdungspotential Übermittlung ins Ausland

34 @MerlinBacker