W i e w i r d e r a b d e m 2 5. M a i d i e We l t v e r ä n d e r n?

Transkript

1 1 EU-Datenschutz W i e w i r d e r a b d e m 2 5. M a i d i e We l t v e r ä n d e r n? W i r t s c h a f t s b e i r a t B a y e r n M ü n c h e n, d e n 7. F e b r u a r T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Wesentliche Neuerungen der DS-GVO aus Sicht einer Aufsichtsbehörde 1 2 Rolle und Zuständigkeit der behördlichen Aufsicht 3 Anforderungen an die Unternehmen zur Herstellung der Compliance 4 Empfehlungen aus der Sicht der

3 3 Datenschutz morgen

4 4 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Sanktionen

5 5 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Rechenschaftspflicht

6 6 Anforderungen an die Datenverarbeitung Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Liegt eine Einwilligung vor oder Erfolgt Verarbeitung zur Erfüllung von Vertrag oder Ist Verarbeitung zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen?

7 7 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

8 Anforderungen an die Datenverarbeitung Informationspflichten (Art. 13, 14) beinhalten: Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter Garantien (z.b. Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung, ) Beschwerderecht bei der sbehörde u.a. 8

9 9 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz/Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Rechenschaftspflicht

10 10 Anforderungen an die Datenverarbeitung Sicherheit der Verarbeitung (Art. 32) Sind unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; Pseudonymisierung, Verschlüsselung Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit sicherstellen Verfügbarkeit wieder herstellen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

12 12 Anforderungen an die Datenverarbeitung Auftrags(daten)verarbeitung, Art 28 Ist die Verarbeitung personenbezogener Daten outgesourct? Wenn Ja, gibt es dafür ausreichende Verträge zur Auftragsdatenverarbeitung (Muster siehe:

14 14 Anforderungen an die Datenverarbeitung Rechenschaftspflicht Wie prüfen wir: Zeig mal!! Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten ( Beweislastumkehr ) (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

16 16 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf nicht automatisierte Entscheidung Recht auf Widerruf einer Einwilligung

17 17 Verfahren zur - Sicherstellung der Betroffenenrechte Prozessorientierter Ansatz: Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung (siehe Auskunftsprojekt 2016) Check Act: Kontinuierliche Verbesserung

19 19 Verzeichnis der Verarbeitungstätigkeiten Haben Sie einen Überblick, welche personenbezogenen Daten in Ihrem Unternehmen verarbeitet werden??

20 20 Verzeichnis der Verarbeitungstätigkeiten Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250 Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250 Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.b. Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.b. regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.

21 21 Verzeichnis der Verarbeitungstätigkeiten

23 23 Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

24 24 Umgang mit Datenschutzverletzungen Prozessorientierter Ansatz: Plan: Identifizierung einer Datenschutzverletzung; Festlegung des Meldewegs Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check

26 26 Sanktionen morgen Art. 83 DS-GVO bis EUR oder 2 % Weltjahresumsatz ( formelle Verstöße ) bis EUR oder 4 % Weltjahresumsatz ( materielle Verstöße ) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

27 27 Agenda One-Stop-Shop und Megabuße Wesentliche Neuerungen der DS-GVO 1 2 Rolle und Zuständigkeit der behördlichen Aufsicht 3 Anforderungen an die Unternehmen zur Herstellung der Compliance 4 Empfehlungen aus der Sicht der

28 Art. 52 Abs. 4 DS-GVO Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können

29 Art 57 DS-GVO Aufgaben Abs. 1 Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet a) Die Anwendung der Verordnung überwachen und durchsetzen; b) bis u) sensibilisieren, beraten, zusammenarbeiten, Untersuchungen durchführen, maßgebliche Entwicklungen verfolgen, Zertifizierungen billigen, Kriterien veröffentlichen, BCR genehmigen, v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen. Abs. 2 Jede Aufsichtsbehörde erleichtert das Einreichen von Beschwerden durch Beschwerdeformular, das auch elektronisch ausgefüllt Abs. 3 Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich

30 30 Art 58 DS-GVO Befugnisse Befugnisse Untersuchungsbefugnisse Abhilfebefugnisse Genehmigungsbefugnisse

31 31 Wer erstellt Anwendungshinweise? Kurzpapiere der Datenschutzkonferenz Veröffentlicht: 1. Verz. von Verarbeitungstätigkeiten 2. Aufsichtsbefugnis/Sanktionen 3. Werbung 4. Datenübermittlung in Drittländer 5. Datenschutz-Folgeabschätzung 6. Auskunftsrecht 7. Marktortprinzip 8. Maßnahmenplan 9. Zertifizierung 10. Info bei Dritt- und Direkterhebung 11. Recht auf Vergessenwerden 12. Datenschutzbeauftragte 13. Auftragsverarbeitung 14. Beschäftigtendatenschutz 15. Videoüberwachung PLANUNG 16. Rechte und Freiheiten, Risiko 17. Privacy by Design und Default 18. Besondere Kategorien pbd 19. Gemeinsame Verantwortliche 20. Datenschutzverletzungen 21. Verhaltensregeln

32 Was machen die Aufsichtsbehörden mit Blick auf die DS-GVO? Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 32

33 33 Was macht z.zt.?

34 Webseite Unsere Reichweite (Traffic lda.bayern.de) Kontinuierlicher Anstieg der Abrufe unseres Webangebots Gründe: Online-Services werden verstärkt wahrgenommen Vergrößerung des Angebots an Informationsmaterial und Mustervorlagen Schwerpunktthemen zur DS-GVO sind gefragt Quelle: basierend auf den Zugriffszahlen des Webservers 34

35 Webseite Interesse am laut Google DS-GVO-Tool DS-GVO-Papiere Online-Datenpannenmeldung LDA-Kurzpapiere Smart-TV-Prüfung -Server-Prüfung Apps-Prüfung Quelle: Google Trends 35

36 Webseite Wer Datenschutz im Internet sucht findet... Suche nach Datenschutz Beschwerde : als zweiter Treffer Suche nach : als erster Treffer Suche nach Datenschutz Bayern DSGVO : als erster Treffer Suche nach Datenschutz Prüfungen : als erster Treffer Quelle: Google 36

37 37 Was macht z.zt.? Ehmann / Kranig Erste Hilfe zur Datenschutz- Grundverordnung Zielgruppe: Inhaber kleinerer Unternehmen; Vereinsvorsitzende; Datenschutzverantwortliche in kleineren Unternehmen und in Vereinen; datenschutzinteressierte Vereinsmitglieder. 5,50 EUR Erscheinungsdatum: Nov. 2017

39 Anforderungen an die Unternehmen zur Herstellung der Compliance bewusst machen, was kommt Team bilden, das das Projekt DS- GVO angeht (nicht nur Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Handlungsbedarf untersuchen Schulungen vorbereiten Feuerwehrübungen durchführen 39

40 40 Anforderungen an die Unternehmen zur Herstellung der Compliance Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.b. Verträge zur Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf. Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum Umgang mit Beschäftigtendaten geregelt

41 Anforderungen an die Unternehmen zur Herstellung der Compliance Handlungsbedarf eruieren, insbesondere in den Bereichen (1) Rechtsgrundlagen klären, z.b. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen Informationspflichten und Rechte Betroffener Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a) Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35) 41

42 42 Anforderungen an die Unternehmen zur Herstellung der Compliance Handlungsbedarf eruieren, insbesondere in den Bereichen (2): Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden in Arbeit Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde in Arbeit Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten

43 Anforderungen an die Unternehmen zur Herstellung der Compliance Aufbauorganisation Ablauforganisation Datenschutzverletzungen Datenschutzziele Datenschutz- Governance- Struktur Planung Datenverarbeitung Verbesserung Sicherstellung der Betroffenenrechte Durchführung Datenschutzleitlinie Bewertung Siehe: Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger-Verlag,

45 Empfehlung aus Sicht der Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie ganz schnell Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO, wenn Sie es nicht schon haben) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan verplant. Act Plan Check Do sonst werden Sie 45

46 46 d.h. in genau 107 Tagen

47 47 d.h. in 107 Tagen URL = UmsetzungsRestLaufzeit 107 Tage (= ca. 15 Wochen) abzgl.: 15 Samstage abzgl.: 15 Sonntage abzgl.: 4 Feiertage abzgl.: 4 Urlaubstage abzgl.: 1 Krankheitstage abzgl.: 1 Geburtstag abzgl.: 2 Fortbildungstage abzgl.: 5 Dienstreisetage Summe: ziemlich viel Rest: nicht mehr ganz so viel Pack ma s an!!

48 48 Die Erleuchtung kommt mit der Praxis

49 49 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Bayer. Landesamt für