Informa(ons- und Meldepflichten nach der DS-GVO

Transkript

1 Informa(ons- und Meldepflichten nach der DS-GVO Maria Wilhelm, Referen(n der Stabsstelle Europa beim LfDI BadenWürDemberg 25. April 2018 BvD-Verbandstage

2 Meldepflichten nach der DS-GVO - Art. 33, 34 DS-GVO -

3 Meldepflichten bei Datenpannen Abgestufte Meldepflichten: Art. 33 DS-GVO, Meldung an die Aufsichtsbehörde: negative Risikoprognose Verletzung führt nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen Art. 34 DS-GVO, Meldung an die betroffene Person: positive Risikoprognose voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen

4 Zweck und Bedeutung Transparenz Betroffener soll rechtzei(g und angemessen reagieren können Präven=ve Wirkung (Anreiz für Maßnahmen zur Verhinderung meldepflich(ger Ereignisse) Schlüsse auf zukünaige Gefahren möglich 4

5 Grundlegende Neuerungen Kein numerus clausus meldepflich(ger Daten (zuvor Begrenzung auf Risikodaten) Kein Vorrang von angemessenen Maßnahmen zur Sicherung der Daten Kein Vorrang der Sicherstellung der Strafverfolgung Meldepflicht bei AuXragsdatenverarbeitung, Art. 33 Abs. 2 DS-GVO Achtung: Art. 33 Abs. 1 DS-GVO, Frist: 72 Stunden!! 5

6 Erfüllung der Meldepflicht als Prozess Plan: Iden(fizierung einer Datenschutzverletzung, Festlegung des Meldewegs, Plan Do: Implemen(erung von Verfahren zur Meldung von Datenschutzverletzungen Check: Feuerwehrübung Act Do Act: Kon(nuierliche Verbesserung (incl. Präven(varbeit zur Verhinderung von Datenschutzverletzungen) Check 6

7 Prinzip: Risikobasierter Ansatz Prognoserisiko trägt der Verantwortliche (P) Meldepflicht beim Drohen bloßer Vermögensschäden (+) Schutzzweck EWG 85 Bereits implemen(erte Prozesse zur ErmiDlung und Abschätzung von Risiken können hier angewendet werden (Risikoprüfung bei DS-FA) 7

8 Prinzip: Risikobasierter Ansatz Faktoren nach Ar(kel-29-Datenschutzgruppe: Spezifische Umstände: Wahrscheinlichkeit des RisikoeintriDs Schwere der Verletzung Poten(elle Auswirkungen Art der Verletzung Natur, Sensibilität und Menge der betroffenen Daten 8

9 Prinzip: Risikobasierter Ansatz Faktoren nach Ar(kel-29-Datenschutzgruppe: Iden(fizierungsaufwand bezgl. Einzelner Personen Schwere der Konsequenzen für Einzelne Spezieller Charakter der betroffenen Personen Anzahl der betroffenen Personen Natur und Rolle des Verantwortlichen 9

10 Risikoprüfung im Einzelfall Beispiel 1 (nach Guideline/Art. 29-DS-Gruppe): - Verschlüsselte CD wird verloren - Verschlüsselung entspricht Stand der Technik - Backups exis(eren Meldung an die Aufsichtsbehörde (-) Meldung an die betroffene Person (-) 10

11 Risikoprüfung im Einzelfall Beispiel 2 (nach Guideline/Art. 29-DS-Gruppe): - Cyber-ADacke auf sichere Verkaufs-Website - Website wird vom Verantwortlichen betrieben - Nur Kunden innerhalb eines EU-Mitgliedstaates Meldung an die Aufsichtsbehörde (+) Meldung an die betroffene Person (+/-) 11

12 Risikoprüfung im Einzelfall Beispiel 3 (nach Guideline/Art. 29-DS-Gruppe): - Interna(onaler Online-Marktplatz unterliegt Cyber-ADacke - Benutzernamen, Zugangsdaten und Kaupistorie werden online veröffentlicht Meldung an die Aufsichtsbehörde (+) Meldung an die betroffene Person (+) 12

13 Informationspflichten nach der DS-GVO - Art. 13, 14 DS-GVO -

14 Informa=onspflichten, Überblick Ausgangspunkte: RechenschaAspflicht nach Art. 5 Abs. 2 DS- GVO Grundsatz der transparenten und nachvollziehbaren (fairen) Datenverarbeitung nach Art. 5 Abs. 1 lit. a DS-GVO 14

15 Informa=onspflichten, Überblick Art. 12 DS-GVO ( Wie ) Art. 13, 14 DS-GVO ( Was ) => Unterscheidung nach Direkt- und Fremderhebung Vorabinforma(onspflichten bei Zweckänderung, Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO 15

16 Allgemeine Informa=onsinhalte Art. 13 Abs. 1 und Art. 14 Abs. 1 DS-GVO: Basisinhalte der Informa=onspflicht (Name) und Kontaktdaten des Verantwortlichen + ggf. Vertreter Kontaktdaten des DatenschutzbeauXragten Rechtsgrundlage der Verarbeitung Zwecke der Verarbeitung berech(gte Interessen nach Art. 6 Abs. 1 f (Art. 13 Abs. 1 DS-GVO) Kategorien personenbezogener Daten (Art. 14 Abs. 1DS-GVO) Empfänger und Kategorien von Empfänger Absicht DriDlandtransfer + Garan(en

17 Allgemeine Informa=onsinhalte Art. 13 Abs. 2 und Art. 14 Abs. 2: Infos um ein faires, transparentes Verarbeitung zu gewährleisten Speicherdauer berech(gte Interessen nach Art. 6 Abs. 1 f (nur bei Art. 13 DS-GVO) Belehrung über Betroffenenrechte/Beschwerderechte Belehrung über Widerrufsrecht Einwilligung Belehrung über Recht auf Beschwerde bei Behörde Hinweis auf Pflicht zur Bereitstellung der Daten (bei Art. 13 DS-GVO) / Datenquelle (bei Art. 14 DS-GVO) Bei automat. Entscheidung / Profiling über Logik, Tragweite,

18 Ausnahmen von der Informa=onspflicht Art. 13 Abs. 4 DS-GVO und Art. 14 Abs. 5 lit. a DS-GVO: betroffene Person verfügt bereits über die Informa(onen 18

19 Ausnahmen von der Informa=onspflicht Art. 14 Abs. 5 lit. b lit. d DS-GVO Unmöglichkeit der Informa(onserteilung Unverhältnismäßiger Aufwand der Informa(onserteilung Informa(onserteilung würde Verwirklichung der Ziele der Verarbeitung unmöglich machen o. ernsthax beeinträch(gen Erlangung oder Offenlegung durch RechtsvorschriA ausdrücklich geregelt Daten unterliegen einem Berufsgeheimnis 19

20 Ausnahmen von der Informa=onspflicht Weitere Ausnahmen nach BDSG-neu: Direkterhebung: Art. 32 BDSG-neu DriDerhebung: Art. 33 BDSG-neu 20

21 Art und Weise der Informa=on SchriXlich oder in anderer Form (ggf. elektronisch) zur Verfügung zu stellen Wird elektronisch verfügbare Form gewählt, muss diese leicht auffindbar sein Visualisierung durch zusätzliche standardisierte Bildsymbole möglich (Art. 12 Abs. 7-8 DS-GVO) Medienbrüche mögl., wenn leichte Zugänglichkeit (+); Kerninforma(onen müssen direkt gegeben werden 21

22 Bildsymbole des alten Entwurfs des Europäischen Parlaments 22

23 Praxisfall 1: Messekontakte Bei Firmenmesse werden Visitenkarten übergeben, die unternehmensintern in Kontaktlisten eingepflegt werden. Fall der Direkterhebung Betroffenen verfügt über Informa(on (Art. 13 Abs. 4 DS-GVO) 23

24 Praxisfall 2: Zuliefererlisten Die Daten von Zulieferern eines bes(mmten Baubestandteils werden aus dem Internet gezogen und in einer Kontaktliste abgespeichert. Fall der DriDerhebung Natürliche/Juris(sche Personen betroffen? Art. 14 Abs. 3 lit. b DS-GVO (zeitlich nachgelagerte Informa(on mögl.) Art. 14 Abs. 5 lit. b DS-GVO (Ausnahme wegen Unverhältnismäßigkeit) 24

25 Praxisfall 3: Informa=onen auf Website Wich(ge Punkte: Einbindung von Cookies (auch DriDanbieter!) Analyseprogramme (bspw. Einbindung von Google Analy(cs) Social-Media-Plugins Doppel-Klick-Lösung / Sichere Einbindung! Weitergabe von Daten im Fall von Werbung 25

26 Praxisfall 3: Informa=onen auf Website Wich(ge Punkte: Leichte Auffindbarkeit, nicht lediglich im Impressum Informa(on bei Online-Kontakzormularen notwendig DauerhaX auffindbarer BuDon Datenschutzerklärung 26

27 Praxisfall 3: Informa=onen auf Website Achtung! Ihre Website ist Ihre dauerhaxe SchniDstelle mit der Außenwelt Neugestaltung der Informa(onen erhöht Datenschutzniveau und kann als WeDbewerbsvorteil Kunden binden Kein Risiko von Abmahnfällen 27

28 Wich=ge Praxishilfen DSK-Papiere Guidelines der Ar(kel-29-Gruppe (wp250 Guidelines on Personal data breach nozica(on under Regula(on 2016/679) Fortlaufende Veröffentlichung von Praxishilfen auf Homepage des LfDI BW 28

29 Vielen Dank für Ihre Aufmerksamkeit! 29