Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Größe: px

Ab Seite anzeigen:

Download "Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M."

Hajo Blau
vor 7 Jahren
Abrufe

1 Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M. 12. Mai 2016

2 Paradigmenwechsel (1) 1. Datenschutz bisher kompliziert für Unternehmen viel grau, wenig Klartext zahnlose Sanktionen überforderte Behörden mittelbare Durchsetzung über Wettbewerbsrecht nur zurückhaltend Ankommen ist alles KÜMMERLEIN Rechtsanwälte & Notare 1

3 Paradigmenwechsel (2) 2. Datenschutz künftig kompliziert für Unternehmen viel grau, wenig Klartext drastische Sanktionen Behörden finanzieren sich (von) selbst über Bußgelder zusätzliche Durchsetzung über Verbraucherschützer / Class Actions (schon) der Weg ist das Ziel KÜMMERLEIN Rechtsanwälte & Notare 2

4 Sanktionen in der Datenschutz-Grundverordnung (1) 1. Rechtsbehelfe des Betroffenen Beschwerde bei der Aufsichtsbehörde (Art. 77 DS-GVO) Rechtsbehelf gegen Entscheidung oder Untätigkeit der Aufsichtsbehörde (Art. 78 DS-GVO) Rechtsbehelf gegen den/die Verantwortlichen oder gegen einen Auftragsverarbeiter, insb. Unterlassung ( 823 Abs. 2, 1004 BGB analog i.v.m. Art. 82 DS-GVO) Schadensersatz (Art. 82 DS-GVO; Verschulden wird vermutet; mehrere haften als Gesamtschuldner) KÜMMERLEIN Rechtsanwälte & Notare 3

5 Sanktionen in der Datenschutz-Grundverordnung (2) 2. Befugnisse der Behörden Untersuchungsbefugnisse (Art. 58 Abs. 1 DS-GVO), z. B. Zugang zu allen Informationen und personenbezogenen Daten Zugang zu Geschäftsräumen und Computern Anordnungsbefugnisse (Art. 58 Abs. 2 DS-GVO), z. B. Verwarnung Änderungen von Datenverarbeitungsprozessen Verbot von Datenverarbeitungsprozessen Löschung von personenbezogenen Daten Verhängung drakonischer Geldbußen (Art. 83 DS-GVO) bei Verstößen gegen Dokumentations- und Informationspflichten: bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes bei unrechtmäßiger Datenverarbeitung: bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes KÜMMERLEIN Rechtsanwälte & Notare 4

6 Sanktionen in der Datenschutz-Grundverordnung (3) 3. Befugnisse von Verbraucherschützern Vertretung von Betroffenen bei Durchsetzung derer Rechte (einschließlich Schadensersatzansprüchen) mit deren Mandat (Art. 80 Abs. 1 DS-GVO), unabhängig von individuellem Mandat: Durchsetzung von Unterlassungsansprüchen, soweit im nationalen Recht vorgesehen Dies ist völlig unabhängig von der DS-GVO neuerdings bereits jetzt im deutschen Recht vorgesehen ( 2 Abs. 2 Nr. 11 UKlaG; seit in Kraft)! KÜMMERLEIN Rechtsanwälte & Notare 5

7 Sanktionen in der Datenschutz-Grundverordnung (4) 4. Befugnisse von Wettbewerbern Durchsetzung von Unterlassungsansprüchen (per Abmahnung und ggf. gerichtlich per einstweiliger Verfügung/Klage; 8 Abs. 1, 3 Nr. 1, 3 Abs. 1, 3a UWG i.v.m. der jeweils verletzten Datenschutznorm) Voraussetzung: Datenschutznorm als Marktverhaltensregel hierhin geht die Tendenz in der Rechtsprechung bereits heute (vgl. jüngst z. B. LG Düsseldorf vom zum Facebook- Gefällt mir -Button) allerdings in der DS-GVO offen KÜMMERLEIN Rechtsanwälte & Notare 6

8 Haftung (1) 1. Haftung des Unternehmens selbst als Verantwortlicher als gemeinsam Verantwortlicher bußgeldrechtlich nach eigenem Anteil zivilrechtlich gesamtschuldnerische Haftung für kompletten Schaden, ggf. Regress im Innenverhältnis als Auftragsverarbeiter bei Verstoß gegen Pflichten des Auftragsverarbeiters (z. B. fehlende Dokumentation gemäß Art. 30 DS-GVO) bei Überschreitung der durch den Auftrag gesetzten Grenzen (z. B. Verarbeitung für eigene Zwecke) KÜMMERLEIN Rechtsanwälte & Notare 7

9 Haftung (2) 2. Persönliche Haftung von Unternehmensvertretern Geschäftsführer/Vorstände zivil- ( 43 Abs. 1 GmbhG, 93 Abs. 1 AktG) und ordnungswidrigkeitenrechtlich ( 130, 9 OWiG) aber auch Datenschutzbeauftragter stärker im Haftungsrisiko Bisher ( 4 g Abs. 1 S. 1 BDSG): Der Beauftragte für den Datenschutz wirkt auf die Einhaltung [der] Vorschriften über den Datenschutz hin. Neu (Art. 39 Abs. 1 lit. b) DS-GVO): Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: [ ] Überwachung der Einhaltung [von] Datenschutzvorschriften [ ] einschließlich der diesbezüglichen Überprüfungen. Damit stärkere und laufende Mitverantwortung für die Rechtmäßigkeit der Verarbeitung KÜMMERLEIN Rechtsanwälte & Notare 8

10 Exemplarisch: Dokumentationspflichten (1) 1. Verbot mit Erlaubnisvorbehalt wie im bisherigen Recht trägt der Verantwortliche die Darlegungsund Beweislast für die (ausnahmsweise) Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 DS-GVO: Die Verarbeitung ist nur rechtmäßig, wenn [ ]) betrifft Einwilligung (Art. 7 Abs. 1 DS-GVO) betrifft sonstige Erlaubnistatbestände (Art. 6 DS-GVO) KÜMMERLEIN Rechtsanwälte & Notare 9

11 Exemplarisch: Dokumentationspflichten (2) 2. Nachweispflicht für Einhaltung sonstiger Bestimmungen Art. 24 Abs. 1 DS-GVO: Der Verantwortliche setzt [ ] technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. dies ist neu kehrt bisheriges Recht ins Gegenteil schon die nicht nachgewiesenen Maßnahmen begründen damit einen isolierten Rechtsverstoß KÜMMERLEIN Rechtsanwälte & Notare 10

12 Exemplarisch: Dokumentationspflichten (3) 3. Dokumentation bei Verstößen (Art. 33 Abs. 5 DS-GVO) Meldepflicht gegenüber der Aufsichtsbehörde binnen 72 Stunden bei Sicherheitsvorfällen, die zu Vernichtung, Verlust, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten führen (Art. 33 Abs. 1 DS-GVO) Art. 33 Abs. 5 DS-GVO: Der Verantwortliche dokumentiert Verletzungen [ ] einschließlich aller im Zusammenhang [ ] stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung [ ]. damit müssen Unternehmen Beweismittel gegen sich selbst schaffen und der Behörde übergeben! nemo tenetur? KÜMMERLEIN Rechtsanwälte & Notare 11

13 Exemplarisch: Dokumentationspflichten (4) 4. Datenschutzverträge (Art. 28 DS-GVO) Einschaltung von Auftragsverarbeitern nur auf Basis von Vertrag/vergleichbarem Rechtsinstrument (Art. 28 Abs. 3 DS-GVO) Dokumentation insb. von Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien von Betroffenen Pflichten und Rechten des Verantwortlichen Weisungen zur Verarbeitung Verpflichtung zur Vertraulichkeit/Verschwiegenheit Verpflichtung auf technische Sicherheitsmaßnahmen Einschaltung von Subunternehmern KÜMMERLEIN Rechtsanwälte & Notare 12

14 Exemplarisch: Dokumentationspflichten (5) Pflicht des Auftragsverarbeiters, dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen schriftlich oder elektronisch KÜMMERLEIN Rechtsanwälte & Notare 13

15 Exemplarisch: Dokumentationspflichten (6) 5. Folgenabschätzung (Art. 35 DS-GVO) Wenn Verarbeitung (insb. bei neuen Technologien) hohe Risiken für Betroffenen birgt, muss Verantwortlicher eine Folgenabschätzung vornehmen und dokumentieren Insbesondere bei systematischer und umfassender Bewertung persönlicher Aspekte auf Basis von Profiling (Bsp.: Kreditscoring, Targeting bei Werbung etc.) umfangreicher Verarbeitung sensibler Daten (z. B. Gesundheitsdaten) systematischer und umfangreicher Überwachung öffentlicher Bereiche (z. B. Videoüberwachung) Weitere Beispiele können zukünftig durch Behörden ausdrücklich festgelegt werden KÜMMERLEIN Rechtsanwälte & Notare 14

16 Exemplarisch: Dokumentationspflichten (7) In der Folgenabschätzung zu dokumentieren systematische Beschreibung der geplanten Verarbeitungsvorgänge Zwecksetzung/Interessen Bewertung der Notwendigkeit und Verhältnismäßigkeit Bewertung der Risiken für Freiheitsrechte des Betroffenen Gegenmaßnahmen, durch die der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird Überprüfungen notwendig, insb. bei Änderungen KÜMMERLEIN Rechtsanwälte & Notare 15

17 Exemplarisch: Dokumentationspflichten (8) 6. Verzeichnis der Verarbeitungsaktivitäten (Art. 30 DS-GVO) entspricht weitgehend dem alten Verfahrensverzeichnis Inhalt: Name und Kontaktdaten Zweck der Verarbeitung Kategorien von Daten und Betroffener Kategorien von Empfängern im In- und Ausland Übermittlungen außerhalb des EWR Löschungsfristen Technische und organisatorische Maßnahmen schriftlich oder elektronisch bei Unternehmen <250 Mitarbeiter nur eingeschränkt KÜMMERLEIN Rechtsanwälte & Notare 16

18 Was ist zu tun? Anforderungen erfassen Was muss ich erfüllen? Bestandsaufnahme Was habe ich schon? Gap-Analyse Was fehlt noch? Lücken schließen, z. B. Anreicherung Verfahrensverzeichnis Verträge zur Auftragsdatenverarbeitung aktualisieren Datenschutz-Folgenabschätzung dokumentieren Technische und organisatorische Maßnahmen dokumentieren (bisherige Struktur nach 9 BDSG kann dabei helfen) Leitfaden für Sicherheitsverstöße erstellen KÜMMERLEIN Rechtsanwälte & Notare 17

19 Kontakt KÜMMERLEIN Rechtsanwälte & Notare RA Jens Nebel, LL.M. Fachanwalt für Informationstechnologierecht Messeallee Essen Germany Phone: Fax: Internet: jens.nebel@kuemmerlein.de KÜMMERLEIN Rechtsanwälte & Notare 18

Ähnliche Dokumente

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt