Vertrauen ist gut ist Kontrolle besser?

Transkript

1 1 Vertrauen ist gut ist Kontrolle besser? I H K W ü r z b u r g S c h w e i n f u r t S c h w e i n f u r t, d e n 2 5. S e p t e m b e r T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Die DS-GVO 1 2 verlangt konkret 3 bedeutet für die 4 Vertrauen ist gut Kontrolle ist besser stimmt das wirklich?

3 3 Agenda 1 One-Stop-Shop Die DS-GVO und Megabuße 2 verlangt konkret 3 bedeutet für die 4 Vertrauen ist gut Kontrolle ist besser stimmt das wirklich?

4 4 Was haben wir nun? d.h. seit nunmehr 124 Tagen

5 Die DS-GVO DS-GVO ist Text mit vielen Unbekannten Was will die DS-GVO uns sagen? Was will das BDSG uns sagen? (Darf es uns z.b. bei Videoüberwachung überhaupt etwas sagen?) Was wollen die Landesdatenschutzgesetze uns sagen? Warum brauchen wir ein Omnibus- gesetz mit 140 Plätzen? 5

7 7 Die DS-GVO verlangt konkret Neue Prinzipien im Datenschutzrecht Verantwortlichkeit (Art. 4 Nr. 7 DS-GVO) "Verantwortlicher" [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

8 Die DS-GVO verlangt konkret Beweislastumkehr 1 Grundsätze der Verarbeitung pbd Art. 5 Abs. 1 Verantwortlicher muss rechtmäßigen Datenumgang nachweisen (Rechenschaftspflicht, Art. 5 Abs. 2) neu 2 Verantwortung des Verantwortlichen Art. 24 DV by design & by default Art. 25 Verzeichnis Art. 30 Auftragsverarbeiter Art. 28 Verletzung Art. 33, 34 Sicherheit der Verarb. Art. 32 DS-Folgenabschätzung Art. 35, 36 Datenschutzbeauftragter Art Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO 8

9 Die DS-GVO verlangt konkret nicht neu, aber 3 Rechte der betroffenen Person Art Transparente Information, Kommunikation und Modalitäten Art. 12 Erhebung Art. 13, 14 Auskunft Art. 15 Widerspruch Art. 21 Berichtigung Löschung Einschränkung Art Datenübertragbarkeit Art. 20 Automat. Entscheid. Art. 22 Verletzung Art. 34 Information Kommunikation Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO 9

10 Die DS-GVO verlangt konkret PDCA-Zyklus Planung Datenverarbeitung Verbesserung Sicherstellung der Betroffenenrechte Durchführung Datenschutzverletzungen Bewertung Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO 10

11 Die DS-GVO verlangt konkret PDCA-Zyklus Planung Datenverarbeitung Verbesserung Sicherstellung der Betroffenenrechte Durchführung Datenschutzverletzungen Selbstkontrolle Bewertung Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO 11

12 Die DS-GVO verlangt konkret 1 Grundsätze der Verarbeitung pbd Art. 5 Abs. 1 Verantwortlicher muss rechtmäßigen Datenumgang nachweisen (Rechenschaftspflicht, Art. 5 Abs. 2) 3 Rechte der betroffenen Person Art Transparente Information, Kommunikation und Modalitäten Art Verantwortung des Verantwortlichen Art. 24 DV by design & by default Art. 25 Verzeichnis Art. 30 Auftragsverarbeiter Art. 28 Verletzung Art. 33, 34 Sicherheit der Verarb. Art. 32 DS-Folgenabschätzung Art. 35, 36 Erhebung Art. 13, 14 Auskunft Art. 15 Berichtigung Löschung Einschränkung Art Datenübertragbarkeit Art. 20 Widerspruch Art. 21 Automat. Entscheid. Art. 22 Verletzung Art. 34 Datenschutzbeauftragter Art Information Kommunikation 12

13 13 Die DS-GVO verlangt konkret Verantwortlichkeit - Compliance Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DS-GVO) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht"). Beweislastumkehr Rechtmäßigkeit Zweckbindung Datenminimierung Beweis Aufsicht Nachweis Verantwortlicher Zweckbindung Rechtmäßigkeit Datenminimierung

15 15 Die DS-GVO bedeutet für die Aufsichtsbehörde Verordnung überwachen und durchsetzen Öffentlichkeit sensibilisieren Art. 57 DS-GVO Aufgaben Verantwortliche und Auftragsverarbeiter sensibilisieren betroffene Personen informieren mit Beschwerden befassen Untersuchungen durchführen und noch viele andere Aufgaben

16 Die DS-GVO bedeutet für die Aufsichtsbehörde Der Freistaat Bayern hat 12,7 Mio. Einwohner 24 Planstellen Der Freistaat Bayern hat ca Unternehmen 16

17 Die DS-GVO bedeutet für die Aufsichtsbehörde sbehörden in Deutschland LfD BW LfD BY Berliner BDI LDA BDB LfDI Bremen BfDI HH BD Hessen LfD Meck-Pom. Bundesbeauftragte für Datenschutz und Informationsfreiheit Wie kommen wir im Vollzug unter ein Dach? LfD NDS LfDI NRW LfD Rh-Pf LfD Saarland DB Sachsen LfD Sa-Anh ULD SH LfD THÜ 17

18 Die DS-GVO bedeutet für die Aufsichtsbehörde Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 18

19 19 Die DS-GVO bedeutet für die Aufsichtsbehörde Wie stellen wir sicher, dass andere die DS-GVO so verstehen wie wir? EDSA: Guidelines DSK: Kurzpapiere Problem der Erstellung nicht immer parxistauglich anstrengend : Kurzpapiere : FAQ leicht und schnell aber rechtssicher? wir müssen runterbrechen

20 Die DS-GVO bedeutet für die Aufsichtsbehörde Befugnisse nach Art. 58 DS-GVO Untersuchungsbefugnis Infos anfordern Prüfungen durchführen Zertifizierung überprüfen Zugang erhalten Verwarnen Anweisen Verbieten Löschung u.a. anordnen Zertifizierung widerrufen Geldbuße verhängen Abhilfe- befugnis Genehmigungs- befugnis auch jede Menge 20

22 22 Vertrauen ist gut - ist Kontrolle besser? Vertrauen ist gut und in vielen wirtschaftlichen Bereichen notwendig (Onlineshopping, Geldanlage, Hausbau, ), aber als alleiniges Kriterium zu wenig, und kann nur dann Erfolg haben, wenn (durch Kontrollen) diejenigen, die das Vertrauen missbrauchen, ermittelt und sanktioniert werden.

23 23 Vertrauen ist gut - ist Kontrolle besser? wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer kontrolliert?

24 24 Vertrauen ist gut - ist Kontrolle besser? wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer kontrolliert? intern

25 25 Vertrauen ist gut - ist Kontrolle besser? Chefin oder Chef: Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel interne Kontrolle Datenschutzbeauftragte/r Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich

26 26 Vertrauen ist gut - ist Kontrolle besser? Mitteilung Datenschutzbeauftragte (1) Mitteilungsportal ist mit Verzögerung online gegangen. Stand sind Datenschutzbeauftragte üb er das Meldeportal gemeldet, davon interne DSB: (38 %) davon externe DSB: (62 %) Noch unbestimmte Zahl offener alter Meldungen und Portalverweigerern

27 27 Vertrauen ist gut - ist Kontrolle besser? Mitteilung Datenschutzbeauftragte (2) Art. 37 Abs. 7 DS-GVO: Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. und nicht der DSB selbst Nachweis und Vollmacht

28 28 Vertrauen ist gut - ist Kontrolle besser? wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer kontrolliert? extern

29 29 Vertrauen ist gut- ist Kontrolle besser? Anforderungen zur Harmonisierung des Datenschutzrechts in der EU One-Stop-Shop (eine Aufsichtsbehörde ist für einen Verantwortlichen zuständig d.h. Irland für Facebook, Google, Microsoft u.a.; Luxemburg für Amazon, Paypal u.a.) Kohärenzverfahren (alle Aufsichtsbehörden sollen mitwirken, damit Vollzug einheitlich wird.)

30 Vertrauen ist gut - ist Kontrolle besser? Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 30

31 31 Vertrauen ist gut - ist Kontrolle besser? Sitz unserer Behörde ist Ansbach.

32 32 Vertrauen ist gut - ist Kontrolle besser? Aktuelle Situation des

33 Was machen wir? oder was macht man mit uns? Welche Chancen hat momentan? Statistik ( ) Abweichung 2017 zu 2018 Trend Summe davon bis 25.Mai davon seit 25.Mai Beratungen Vereine, Unternehmen Beratungen Privatpersonen ) Beschwerden Bußgeldverfahren Datenpannen ) zzgl. Hotline 33

34 Was machen wir? Beratungen Diskussion der Aufsichtsbehörden, ob Beratung (der Verantwortlichen und Auftragsverarbeiter) noch eine Pflichtaufgabe ist (Tendenz: nein) Verschärfte Anforderung des Nachweises unserer Zuständigkeit: Ich habe einen Mandanten mit Sitz in Bayern, darf aber den Namen nicht nennen und wüsste gerne... sollte nicht mehr funktionieren Schwerpunkt der Beratung sollte bei Verbänden, ERFA- Kreisen u.a. liegen. 34

35 35 Was machen wir? Meldung Datenschutzverletzungen (1) Datenpannen nach Art. 33 DS-GVO in 2018: vom bis = 115 Tage, d.h. 9,9 Meldungen /Tag Prognose Art. 33 DS-GVO in Rest 2018: vom bis = 105 Tage mit 9,9 Meldungen /Tag: Befürchtetes Ergebnis: = 2.178

36 36 Was machen wir? Meldung Datenschutzverletzungen (2) Kategorisierung der Meldungen nach Art. 33 DS-GVO Cyberangriff: Ransomware: Malware: Phishing: Softwarefehler: Hacking: 10 % Diebstahl: Verlust: Fehlversendung: 70 % Fehlentsorgung: Fehlerhafte Löschung: Sonstiges:

37 Vertrauen ist gut - ist Kontrolle besser? Wir müssen Prioritäten setzen: Bearbeitung von Beschwerden Anfragen aus dem europäischen Ausland Genehmigung von Zertifizierungen Genehmigung von BCR Kontrollen (anlasslose) Bußgeldverfahren und nicht mehr (im bisherigen Umfang) Beratungen 37

38 Vertrauen ist gut - ist Kontrolle besser? Unser Plan für Prüfungen ist allgemein: Wir machen unsere Prüfungen transparent, d.h. wir stellen alle Prüffragebogen auf unsere Homepage und dokumentieren, was wir prüfen. Wir prüfen zunächst nur stichprobenartig, um nicht unsere eigenen Kapazitäten lahm zu legen. Wenn wir Verstöße feststellen, werden wir hoheitlich tätig (Anordnung und/oder Sanktion), um den Einzelfall zu lösen und im Allgemeinen Rechtssicherheit zu schaffen. 38

39 39 Vertrauen ist gut - ist Kontrolle besser? Unser Plan für Prüfungen ist konkret: : Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen : Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen) : Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen) : Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten : Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen) : Nikolausprüfung

40 40 Unser Plan für Prüfungen ist konkret: : Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen Dürfen St. Nikolaus und Knecht Rupprecht die Informationen verarbeiten, mit denen Sie Jahr für Jahr Kinder in Angst und Vertrauen ist gut - ist Kontrolle besser? Schrecken versetzen? Sind Art. 13 und 14 DS-GVO eingehalten? : Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen) : Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen) : Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten : Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen) : Nikolausprüfung

41 41 Mein Fazit: Vertrauen ist gut, aber ohne Kontrolle droht Vertrauen (jedenfalls im Datenschutz) baden zu gehen.

42 42 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Bayer. Landesamt für