IT-Security Symposium in Stuttgart. Datenschutzgrundverordnung (DSGVO) Herausforderungen und Handlungsempfehlungen zur Umsetzung.

Transkript

1 IT-Security Symposium in Stuttgart Datenschutzgrundverordnung (DSGVO) Herausforderungen und Handlungsempfehlungen zur Umsetzung.

2 (DSGVO) Herausforderungen und Handlungsempfehlungen zur Umsetzung Herzlich willkommen! Referent: Dr. Bernd Schmidt, PLANIT // LEGAL

3 Agenda Anwendungsbereich und nationales Recht Grundsätze und Sanktionen Rechtfertigungstatbestände Neue und alte Pflichten Datenschutzmanagement

4 Anwendungsbereich und nationales Recht Vollharmonisierung des europäischen Datenschutzrechts DSGVO ersetzt nationales Recht weitgehend (insbesondere BDSG und LDSG) Ausnahmen durch zahlreiche Öffnungsklauseln (50-60) Beschäftigtendatenschutz Betroffenenrechte Einwilligung Datenschutzbeauftragter neues Bundesdatenschutzgesetz für private Stellen und öffentliche Stellen des Bundes neue Landesdatenschutzgesetze für öffentliche Stellen der Länder

5 Anwendungsbereich und nationales Recht Allgemeines Datenschutzrecht DSGVO ersetzt die Datenschutzrichtlinie (1995/46/EG) als unmittelbar anwendbares Recht mit Öffnungsklauseln Datenschutzrecht Datenschutz in Telekommunikation und Telemedien eprivacy Richtlinie (2002/58/EG), TK-Rahmenrichtlinie (2002/21/EG), TK-Zugangsrichtlinie (2002/19/EG) Reform geplant (eprivacy VerordnungE) sonstiges Datenschutzrecht z.b. ComputerreservierungsVO (80/2009/EG) BDSG (neu) und LDSG (neu) ersetzen das BDSG und LDSG Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) z.b. SGB, PAuswG

6 Grundsätze und Sanktionen Art. 5 Abs. 1 DSGVO zieht Grundsätze der Verarbeitung vor die Klammer Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit

7 Grundsätze und Sanktionen Sanktionen für Datenschutzverletzungen Art. 83 DSGVO drastisch erhöhter Bußgeldrahmen von EUR auf bis zu EUR 20 Mio. oder 4% des weltweiten Unternehmensumsatzes für jeden Verstoß kartellrechtlicher Begriff des Unternehmens! Konzernumsatz! Katalog von Vergehen (Art. 83 Abs. 4 DSGVO bis zu EUR 10 Mio. oder 2% des Unternehmensumsatzes; Art. 83 Abs. 5 und 6 DSGVO bis zu EUR 20 Mio. oder 4% des Unternehmensumsatzes) 43 Abs. 1 und 2 BDSG (neu) bis zu EUR bei Verstößen gegen Auskunfts- und Unterrichtungspflichten Freiheitsstrafe bis zu 2 bzw. 3 Jahren gemäß 42 BDSG (neu) wissentliche Übermittlung personenbezogener Daten in großem Umfang unberechtigte Verarbeitung oder Erschleichung nicht zugänglicher Daten

8 Rechtfertigungstatbestände Verbotsprinzip bleibt erhalten! Einwilligung und gesetzliche Erlaubnistatbestände müssen beachtet werden normale personenbezogene Daten Art. 6 Abs. 1 DSGVO besondere personenbezogene Daten Art. 9 DSGVO Beschäftigtendaten 26 BDSG (neu) Verbot der Datenverarbeitung als Grundsatz Rechtfertigung als Ausnahme

9 Neue und alte Pflichten Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss stets nachweisen können, dass er datenschutzkonform handelt Erhöhte Anforderungen an die Dokumentation der Datenschutz-Organisation: Wer schreibt, der bleibt! ausdrückliche Dokumentationsanforderungen Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO); entspricht den Verarbeitungsübersichten gemäß 4g Abs. 2 BDSG implizite Dokumentationsanforderungen durch Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

10 Neue und alte Pflichten Datenschutzfolgenabschätzung (Art. 35 DSGVO) Pflicht zur Risikobasierten Bewertung und Behandlung von Folgen der Datenverarbeitung Bezugspunkt: Rechte und Freiheiten der Betroffenen nicht: wirtschaftliche Risiken Vorprüfung: besteht voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen? Datenschutzfolgenabschätzung bei Hochrisikoverfahren Konsultation des Datenschutzbeauftragten systematische Beschreibung der Verarbeitungsvorgänge Bewertung von Notwendigkeit und Verhältnismäßigkeit Bewertung der Risiken und geplanten Abhilfemaßnahmen Eskalation zur Datenschutzaufsichtsbehörde als ultima ratio

11 Neue und alte Pflichten Technisch-organisatorische Maßnahmen (Art. 32 DSGVO) Adressat: Verantwortliche und Auftragsverarbeiter Anforderungen geeignete technisch-organisatorische Maßnahmen Gewährleistung eines dem Risiko angemessenen Schutzniveaus Maßstab Stand der Technik Umstände und Zweck der Verarbeitung Eintrittswahrscheinlichkeit Schwere des Risikos

12 Neue und alte Pflichten Auskunft Art. 15 DSGVO Information Art. 13, 14 DSGVO Berichtigung Art. 16 DSGVO Datenübertragbarkeit Art. 20 DSGVO Löschung und Vergessenwerden Art. 17 DSGVO Einschränkung der Verarbeitung Art. 18 DSGVO

13 Neue und alte Pflichten Löschung und Vergessenwerden Art. 17 DSGVO Löschung, wenn keine Rechtfertigung (mehr) für die fortgesetzte Speicherung besteht Vergessenwerden = erweiterter Löschanspruch Voraussetzung: Der Verantwortliche hat die Daten öffentlich gemacht und ist zur Löschung verpflichtet angemessene Maßnahmen zur Information der Empfänger

14 Webinar zur Datenschutzgrundverordnung Neue und alte Pflichten Datenübertragbarkeit (Data Portability) Art. 20 DSGVO Voraussetzungen: Daten wurden von dem Betroffenen bereitgestellt oder durch sein Verhalten generiert (Trackingdaten) Verarbeitung beruhte auf einer Einwilligung oder diente zur Erfüllung eines Vertrages Rechtsfolge: Anspruch auf Herausgabe und Übermittlung an einen neuen Verantwortlichen in einem strukturierten, gängigem und maschinenlesbaren Format (Anbieterwechsel)

15 Neue und alte Pflichten Bestellung eines Datenschutzbeauftragten Art. 37 DSGVO: jetzt in allen Mitgliedsstaaten Pflicht zur Bestellung 38 BDSG (neu): in Deutschland besteht Bestellpflicht bei 10 oder mehr mit der Verarbeitung personenbezogener Daten Beschäftigter Persönliche Voraussetzungen: Fachkunde und Zuverlässigkeit

16 Neue und alte Pflichten Auftragsverarbeitung Verantwortliche dürfen Dritte zur Verarbeitung personenbezogener Daten einschalten, wenn diese geeignete technisch-organisatorische Maßnahmen getroffen haben und eine Vereinbarung über die Verarbeitung getroffen wurde. Bei Beauftragung von Auftragsverarbeitern in Drittstaaten bestehen weitere Anforderungen. Pflicht zur initialen Kontrolle und laufenden Überwachung

17 Neue und alte Pflichten Meldung an die Aufsichtsbehörde Art. 33 DSGVO Meldung von Datenschutzverletzungen innerhalb von 72 Stunden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen Benachrichtigung der Betroffenen Art. 34 DSGVO Benachrichtigung der Betroffenen bei hohem Risiko für deren Rechte und Freiheiten, es sei denn technisch-organisatorische Maßnahmen schützen die Daten (Verschlüsselung) Maßnahmen zur Risikoverringerung Unverhältnismäßigkeit der Information, dann aber öffentliche Bekanntgabe

18 Datenschutzmanagement Intialisierung Mission Statement Zuweisung von Ressourcen und Verantwortlichkeiten Gap-Analyse Audit Festlegung des Prüfungsumfangs Orientierung z.b. an VdS oder IT-Grundschutz (B 1.5 / M ) Entscheidung zum Umgang mit Delta zu Anforderungen der DSGVO Maßnahmen festlegen und umsetzen Datenschutzkonzept Datenschutzdokumentation Schulung Kontrollen Audit Maßnahmen plan Implementierung

19 Datenschutzmanagement Maßnahmenplan (basierend auf den Audit-Ergebnissen) Risikobasierte Priorisierung Wahrscheinlichkeit des Verstoßes und der Entdeckung Sichtbarkeit Auswirkung (Finanziell, Image, Prozesse) Ergebnis: Roadmap zur Risikominimierung Wahrscheinlichkeit Auswirkung

20 Datenschutzmanagement Bausteine der Datenschutz-Dokumentation Pflichtdokumentation Verzeichnis von Verarbeitungstätigkeiten Pflichtangaben gemäß Art. 30 DSGVO Datenschutzfolgenabschätzung für jedes Verfahren Datenschutzrichtlinie Anweisung zur internen Meldung von Datenschutzvorfällen Anweisung zur Privatnutzung von IT u.a. Technische Dokumentation Konzept zum technischorganisatorischen Datenschutz Löschkonzept IT-Sicherheitskonzept, Netzwerkpläne, Prozessübersichten, u.a.

21 Datenschutzmanagement Richtlinien Zweck: machen Verhaltensanforderungen verbindlich Form: unternehmensüblich und rechtsverbindlich Beispiele Datenschutzrichtlinie Richtlinie für Betroffenenrechte Richtlinie zum Incidentmanagement Löschrichtlinie Management Richtlinien, Anweisungen, Kontrolle Belegschaft

22 Datenschutzmanagement Datenschutzrichtlinie Zuständigkeiten Pflichten Prozesse Regelungsbeispiel Prozess zum Incidentmanagement => Wer meldet intern? => Wie wird gemeldet? => Wer prüft? => Wer entscheidet? => Wer meldet extern? Auftragsverarbeitung => Wer ist verantwortlich? => Was ist zu tun?

23 Datenschutzmanagement Löschrichtlinie und -konzept 1. Schritt: Erfassung der Systeme mit personenbezogenen Daten 2. Schritt: Festlegung von Datenarten 3. Schritt: Ermittlung der Lösch- und Sperrfirsten 3. Schritt: Ermittlung von Vorhaltefristen 4. Schritt: Ermittlung von Aufbewahrungsfristen 5. Schritt: Zusammenfassung von Löschfristen zu Löschklassen Vorhaltefrist (geschäftl. Bedarf) Aufbewahrungsfrist (z.b. nach Handels- und Steuerrecht) Sperrfrist Löschfrist

24 Datenschutzmanagement Schulung Schulungskonzept adressatengerechte Vermittlung von Lerninhalten dauerhafte Sicherung von Datenschutz Know-how in der Organisation Management Fachabteilungen Gesamtbelegschaft

25 Datenschutzmanagement Verzeichnis von Verarbeitungstätigkeiten Adressat Verantwortliche (Art. 30 Abs. 1 DSGVO) Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) Prozess Verfahren zur Verarbeitung personenbezogener Daten identifizieren Angaben gemäß Art. 30 DSGVO dokumentieren regelmäßig aktualisieren

26 Datenschutzmanagement Notwendigkeit der Datenschutzfolgenabschätzung nach Kriterien der Art. 29 Gruppe, WP 248 = 2 aus 9 Bewerten oder Einstufen Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung systematische Überwachung vertrauliche Daten oder höchst persönliche Daten Datenverarbeitung in großem Umfang Abgleichen oder Zusammenführen von Datensätzen Daten zu schutzbedürftigen Betroffenen Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen Hinderung der Betroffenen an der Ausübung eines Rechts, der Nutzung einer Dienstleistung oder der Durchführung eines Vertrags

27 Datenschutzmanagement 1. Schritt: Risikobewertung für jede Verarbeitung (immer) 2. Schritt: Folgenabschätzung gemäß Art. 35 Abs. 7 DSGVO geringes oder mittleres Risiko hohes Risiko Maßnahmen zur Risikoeindämmung Keine Maßnahmen zur Risikoeindämmung Verarbeitung darf durchgeführt werden 3. Schritt: Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO Empfehlung der Aufsichtsbehörde Verarbeitung darf nicht durchgeführt werden

28 Datenschutzmanagement Verfügbarkeitskontrolle Trennungsgebot Auftragskontrolle Zutrittskontrolle Eingabekontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle neu nach DSGVO: Pseudonymisierung & Verschlüsslung Belastbarkeit / Resilienz rasche Wiederherstellung nach Zwischenfällen regelmäßige Überprüfung der Sicherheitsmaßnahmen

29 Datenschutzmanagement Fazit: Bleiben Sie am Ball!

30 Kontakt: Dr. Bernd Schmidt Rechtsanwalt und externer Datenschutzbeauftragter phone: Anne Petzold COMPAREX Akademie phone: +49 (0) web: Besuchen Sie uns auf:

31 Vielen Dank für Ihre Aufmerksamkeit! Besuchen Sie uns auf: