Düsseldorf, 11. April Die neue Datenschutzgrundverordnung - Grundlagen für die Unternehmenspraxis

Transkript

1 Düsseldorf, 11. April 2018 Die neue Datenschutzgrundverordnung - Grundlagen für die Unternehmenspraxis

2 Begleitet als Teil der Stabstelle Datenschutz die Lindner Unternehmensgruppe GmbH & Co. KG bei der Umsetzung der DS-GVO Mathias Iking Rechtsanwalt für Datenschutzrecht Datenschutzbeauftragter (TÜV) unter Einbeziehung der EU-DSGVO 2

3 Ziel der DS-GVO laut EU-Kommission: freien Datenverkehr im gesamten digitalen Binnenmarkt ermöglichen besserer Schutz der Privatsphäre aller EU-Bürger Vertrauen und die Sicherheit der Verbraucher steigern gleichzeitig vor allem für kleinere Unternehmen neue Möglichkeiten eröffnen 3

4 Rechtshistorischer Hintergrund zur DS-GVO: Jahr 1970: Datenschutzgesetz in Hessen Jahr 1977/78: Bundesdatenschutzgesetz(BDSG; Inkrafttreten überw. 1. Januar 1978) Jahr : Europarat beschließt Abkommen zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten (Inkrafttreten 1985) 4

5 Rechtshistorischer Hintergrund zur DS-GVO: Jahr 1995: Richtlinie 95/46/EG(Datenschutzrichtlinie) Umsetzung erfolgt über BDSG Jahr : Charta der Grundrechte der Europäischen Union Art. 7 GRCh: Achtung des Privat- und Familienlebens Art. 8 GRCh: Schutz personenbezogener Daten 5

6 Rechtshistorischer Hintergrund zur DS-GVO: 24. Mai 2016: Inkrafttreten der DS-GVO Übergangsphase von zwei Jahren 25. Mai 2018: DS-GVO ist anzuwenden und Datenschutzrichtlinie tritt außer Kraft. Flankierung durch BDSG neu (Inkrafttreten 25. Mai 2018) 6

7 Rechtsdogmatischer Unterschied der Datenschutzrichtlinie zur DS-GVO: Datenschutzrichtlinie bedurfte der Umsetzung durch nationales Recht z.b. in FormdesBDSGoderdesUWG. Dagegen stellt DS-GVO höherrangiges, geltendes Recht dar, welches allenfalls in dem der Verordnung vorgesehenen Rahmen (sog. Öffnungsklauseln) von speziellem nationalem Recht näher präzisiert oder verdrängt werden darf. 7

8 Aufbau der DS-GVO Zweiteiliger Aufbau 1. Rechtsvorschriften in 11 Kapiteln, insgesamt 99 Artikel Erwägungsgründe auf deren Basis die Rechtsvorschriften erlassen wurden und die bei der Auslegung der DS-GVO zwingend heranzuziehen sind. 8

9 Kapitel 1: Allgemeine Bestimmungen (Art. 1-4 DS-GVO) Art. 1 DS-GVO: Gegenstand und Ziele der Verordnung Art. 2, 3 DS-GVO: sachlich-räumlicher Anwendungsbereich Art. 4 DS-GVO: Begriffsbestimmungen 9

10 Kapitel 1: Allgemeine Bestimmungen (Art. 1-4 DS-GVO) Art. 4 Nr. 1 DS-GVO: Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen(..); als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, genetischen, sozialen Identität, dieser natürlichen Person sind, identifiziert werden kann 10

11 Kapitel 2: Grundsätze der Verordnung (Art DS-GVO) Art. 5 DS-GVO: Grundprinzipien der DS-GVO Art. 6 DS-GVO: Rechtmäßigkeit der Verarbeitung Art. 7 DS-GVO: Bedingungen für Einwilligungen Art. 9 DS-GVO: Verarbeitung besonderer Kategorien 11

12 Kapitel 2: Grundsätze der Verordnung (Art DS-GVO) Art. 5 DS-GVO: Grundprinzipien der DS-GVO Art. 5 Abs. 1 a): Rechtmäßigkeit, Treu und Glauben und Transparenz Art. 5 Abs. 1 b): Zweckbindung Art. 5 Abs. 1 c): Datenminimierung Art. 5 Abs. 1 f): Integrität und Vertraulichkeit 12

13 Kapitel 2: Grundsätze der Verordnung (Art DS-GVO) Art. 5 DS-GVO: Grundprinzipien der DS-GVO Art. 5 Abs. 2 DS-GVO: Rechenschaftspflicht Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können. Wichtige Beweislastumkehr im Vergleich zur Datenschutzrichtlinie!!! 13

14 Kapitel 2: Grundsätze der Verordnung (Art DS-GVO) Art. 6 DS-GVO: Rechtmäßigkeit der Verarbeitung Grundsatz: Verbot mit Erlaubnisvorbehalt Art. 6 Abs. 1 DS-GVO Einwilligung der betroffenen Person (Auffangtatbestand) Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen Erfüllung einer rechtlichen Verpflichtung Schutz lebenswichtiger Interessen Wahrnehmung einer Aufgabe im öffentlichen Interesse Erforderlichkeit aufgrund einer Interessenabwägung 14

15 in Bezug auf: Kapitel 3: Rechte der Betroffenen (Art DS-GVO) Transparenz (Art DS-GVO) Berichtigung (Art. 16 DS-GVO) Löschung (Art. 17 DS-GVO) Einschränkung (Art. 18 DS-GVO) Mitteilung bei Berichtigung, Löschung, Einschränkung (Art. 19 DS-GVO) Datenübertragbarkeit (Art. 20 DS-GVO) Widerspruch (Art. 21 DS-GVO) Profiling(Art. 22 DS-GVO) 15

16 Kapitel 4: Verantwortlicher und Auftragsverarbeiter (Art DS-GVO) Art DS-GVO: Pflichten der Verantwortlichen und Auftragsverarbeiter Art DS-GVO: Regelungen zu Musterverhaltensregeln bzw. Zertifizierungen 16

17 Kapitel 4: Verantwortlicher und Auftragsverarbeiter (Art DS-GVO) Haben die Verarbeitung gemäß der DS-GVO sicherzustellen: Einsatz geeigneter tom s(art. 24 Abs. 1 DS-GVO) Datenschutzfreundliche Technikgestaltung und Voreinstellung Privacy bydesign / Privacy bydefault (Art. 25 Abs. 1, 2 DS-GVO) Verzeichnis aller Verarbeitungstätigkeiten (Art. 30 DS-GVO) Risikobasierte Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) Vereinbarungen in Bezug auf Auftragsverarbeitung (Art. 28 Abs. 3 DS-GVO) Benennung eines Datenschutzbeauftragen (Art. 37 Abs. DS-GVO i.v.m. 38 BDSG neu) 17

18 Exkurs: Ist das Kapitel abschließend? Nein! Zur Erinnerung: Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) Erfüllung der Betroffenenrechte (Art. 13 bis Art 22 DS-GVO) Auch: Einhaltung des Datenschutzes durch Mitarbeiter! zu entnehmen aus Art. 5, Art. 24, Art. 29, Art. 32, Art. 39 Abs. 1 lit. a) und b) Regelungen zu finden u.a.in 1 VerpflG, 35 SGB I, 88 TKG 18

19 Kapitel 5: Datenübermittlung an Drittländer (Art DS-GVO) Zulässigkeit der Datenübermittlung in ein Drittland Angemessenheitsbeschluss (Art. 45 DS-GVO) Geeignete Garantien des Unternehmens (Art. 46, 47 DS-GVO) Ausnahmefälle (Art. 49 DS-GVO) Entwicklungen zum EU-US-Privacy Shield beachten! 19

20 Kapitel 6, 7: Aufsichtsbehörden (Art DS-GVO) Art DS-GVO: Zuständigkeit, Aufgaben, Rechte und Pflichten der Aufsichtsbehörden Art DS-GVO: Zusammenarbeit zwischen den Aufsichtsbehörden 20

21 Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe (Art DS-GVO) Art. 77 DS-GVO: Beschwerderecht der betroffenen Person Art. 78 DS-GVO: gerichtliche Überprüfung von Beschwerden Art. 79 DS-GVO: Rechtsbehelfe gegen mögliche Datenschutzverstöße Art. 82 DS-GVO: Haftung und Schadensersatz Art. 83 DS-GVO: Verhängung von Bußgeldern Art. 84 DS-GVO: Sanktionen 21

22 Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe (Art DS-GVO) Art. 82 DS-GVO: Haftung und Schadensersatz u.u. kumulative Haftung der Verantwortlichen und Auftragsverarbeiter Art. 83 DS-GVO: Verhängung von Bußgeldern Geldbußen sollen grundsätzlich wirksam, verhältnismäßig und abschreckend sein! (Art. 83 Abs. 1 DS-GVO) Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes, je was höher ist! (Art. 83 Abs. 4 und 5 DS-GVO) 22

23 Kapitel 9: Vorschriften für besondere Verarbeitungen (Art DS-GVO) Art. 85 DS-GVO: Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit Art. 88 Abs. 2 DS-GVO: Datenverarbeitung im Beschäftigungskontext 23

24 Kapitel 10, 11: DeligierteRechtsakte; Schlussbestimmungen (Art DS-GVO) Verbindliche und unmittelbare Anwendung der Vorschriften ab dem 25. Mai 2018 Art. 99 Abs. 2 DS-GVO 24

25 Die Zeit läuft! Handeln Sie jetzt! 25

26 Etablierung eines Datenschutzmanagementsystems 26

27 Struktur und Verantwortlichkeit im Unternehmen Bewusstsein im Unternehmen, dass Datenschutz Chefsache ist Beschreibung der Datenschutzziele Regelung der Verantwortlichkeiten Bewusstsein über Datenschutzrisiken Transparenz über Zielkonflikte 27

28 Haben wir uns das ausgedacht? NEIN!!! Maßstab des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) Quelle: 28

29 Außenwirkung beachten Unternehmenswebsiten sind Aushängeschilder! Fehler auf der eigenen Homepage sind Einfallstore für weitere Nachforschungen der Aufsichtsbehörde oder Abmahnungen durch Mitbewerber Überarbeitung / Neuausrichtung der Webpräsenz nach DS-GVO-Standards 29

30 Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) Erstellung des Verzeichnisses bedarf besonderer Aufmerksamkeit: wichtiges Werkzeug zur Erfüllung der Rechenschaftspflichten kann Umgang mit Betroffenenrechten erleichtern auf Anfrage der Aufsichtsbehörde vorzulegen Ausführliches Verzeichnis von Verarbeitungstätigkeiten anlegen 30

31 Umgang mit Betroffenenrechten Vorsicht geboten! Leichtfertiger Umgang kann die Aufsichtsbehörde alarmieren Art. 12 Abs. 3 DS-GVO beachten Erfüllung der Betroffenenrechte binnen eines Monats Effektiven Prozess zum Umgang mit Betroffenenrechten entwickeln 31

32 Benennung eines Datenschutzbeauftragten Ab 10 Beschäftigten Benennungspflicht (Art. 37 Abs. DS-GVO i.v.m. 38 BDSG neu ) Kriterien in Art. 37 Abs. 5 DS-GVO beachten: berufliche Qualifikation und Fachwissen Fähigkeit zur Erfüllung seiner Aufgaben Datenschutzbeauftragten benennen, der Ansprüchen gerecht wird 32

33 Auftragsverarbeiter Fragenkatalog: Bedient man sich externer Dienstleister? Sind diese zur Verarbeitung personenbezogener Daten beauftragt? Sind diese Dienstleister sensibilisiert? Welche Vereinbarungen liegen mit diesen vor? Vereinbarungen nach Art. 28 Abs. 3 DS-GVO abschließen 33

34 Umgang mit eigenen Mitarbeitern Mitarbeiter müssennach Tätigkeitsfeld sensibilisiert und auf das Datengeheimnis verpflichtet werden! Effektiven Prozess zur Sensibilisierung und Verpflichtung entwickeln 34

35 Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) Risikoabwägung zwischen Auswirkung und Eintrittswahrscheinlichkeit 35

36 Vielen Dank für Ihre Aufmerksamkeit! 36

37 Haben Sie noch Fragen? Wir sind gern für Sie da! Wilmesmeyer&Cie. Rechtsanwaltsgesellschaft mbh Sitz der Gesellschaft und Registergericht: Düsseldorf HRB Geschäftsführer: Frank Wilmesmeyer Emanuel-Leutze-Straße Düsseldorf Fon Fax