EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Transkript

1 Arnd Böken EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu? Workshop, SAS Institute GmbH, 9. Februar 2017

2 EU-Datenschutz Grundverordnung 1. Übersicht über EU DSGVO 2. Accountability 3. Betroffenenrechte 4. Datensicherheit 5. Big Data Analytics gvw.com 2

3 1. Übersicht über EU DSGVO gvw.com 3

4 EU Datenschutz Grundverordnung Übersicht EU Datenschutz Grundverordnung Beschluss vom 27. April 2016 Geltung ab dem 25. Mai 2018 Verordnung: einheitliches Datenschutzrecht für die EU Unmittelbare Geltung der Verordnung Hohe Bußgelder Bisher: / Euro, selten verhängt DSGVO, Art. 83: bis 10 Mio./2 % oder 20 Mio. bzw. 4 % des weltweiten Unternehmensumsatzes Erweiterte Haftung Beweislastumkehr, Art. 82 Abs. 3 Einbeziehung immaterieller Schäden gvw.com 4

5 2. Accountability gvw.com 5

6 Accountability (Rechenschaftspflicht), Art. 5 Abs. 2, 24 Abs. 2 (1) Umkehrung der Verantwortlichkeiten Verantwortlicher muss künftig den Nachweis für Einhaltung des Datenschutzrechts erbringen Probleme häufig keine vollständige Übersicht über Datenverarbeitung vorhanden, fehlendes Verfahrensverzeichnis Verfahrensverzeichnis häufig nicht aktuell gvw.com 6

7 Accountability (Rechenschaftspflicht), Art. 5 Abs. 2, 24 Abs. 2 (2) Notwendige Maßnahmen: Verarbeitungsverzeichnis, Art. 30 Kontaktdaten Zwecke der Verarbeitung Kategorien betroffener Personen und personenbezogener Daten Kategorien von Empfängern, insbesondere in Drittstaaten Löschfristen für die verschiedenen Datenkategorien Ggf. Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit Wichtig: Vollständiger Überblick über die gesamte Datenverarbeitung Verzeichnis laufend aktualisieren gvw.com 7

8 3. Betroffenenrechte gvw.com 8

9 Betroffenenrechte Informationspflichten Recht auf Auskunft Löschpflichten, Recht auf Vergessenwerden Einschränkung der Verarbeitung Datenübertragung Widerspruch gegen Verarbeitung Bußgeld bei Verstößen: 20 Mio/4% gvw.com 9

10 Informationspflichten, Art. 13 u. 14 Erhebung bei Betroffenen oder Dritten, Information über Kategorien der erhobenen Daten Rechtsgrundlage der Erhebung, auch berechtigte Interessen, automatisierte Entscheidungen, Zweckänderungen Herkunft der Daten (wenn nicht beim Betroffenen erhoben) Geplante Übermittlung an Dritte Dauer der Speicherung Belehrung über Betroffenenrechte Notwendige Maßnahmen: Überblick, in welchen Prozessen Daten erhoben werden Sicherstellen, dass Information erfolgt gvw.com 10

11 Recht auf Auskunft, Art. 15 Inhalt der Auskunft Entsprechend Informationspflichten nach Art. 13, 14 Überlassung einer Kopie, Art. 15 Abs. 3 Notwendige Maßnahmen: Prozess für Anfragen einrichten Vollständige Übersicht über gespeicherte Daten Formular für Auskunft gvw.com 11

12 Löschpflichten und Recht auf Vergessenwerden, Art. 17 (1) Löschpflichten, Art. 17 Abs. 1 (Auswahl) Zweckerledigung Widerruf einer Einwilligung Widerspruch gegen weitere Verarbeitung, insbesondere bei Direktwerbung Daten von Kindern Grenzen der Löschpflicht Rechtspflicht zur Speicherung Geltendmachung von Rechtsansprüchen, Meinungsfreiheit, Archivzwecke u. a. Daten an Dritte übermittelt Information der Dritten über Löschungsverlangen Information des Betroffenen über Empfänger gvw.com 12

13 Löschpflichten und Recht auf Vergessenwerden, Art. 17 (2) Notwendige Maßnahmen: Löschkonzept erstellen und implementieren, d. h. Daten mit Löschfristen verknüpfen Wirksames Löschen an allen Speicherorten Weitergabe an Dritte dokumentieren Prozess einrichten zur regelmäßigen Prüfung gvw.com 13

14 4. Datensicherheit gvw.com 14

15 Datensicherheit, Art. 33 (1) Künftig erheblich größere Bedeutung: Bußgeld bei Verstößen: 10 Mio./2 % vom Umsatz Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter, Einbeziehung immaterieller Schäden, Art. 82 Dokumentationspflicht und Beweislastumkehr, Art. 24, 82 Erweiterte Benachrichtigungspflichten, Art. 33, 34 gvw.com 15

16 Datensicherheit, Art. 33 (2) Notwendige Maßnahmen: Risikoanalyse, -bewertung und Schutzmaßnahmen Prozesse zur Gewährleistung der Datensicherheit einführen und dokumentieren Prozesse zur rechtzeitigen Benachrichtigung von DSB und Betroffenen (innerhalb von 72 Stunden) Verschlüsselung Interne Zugriffs- und Rechtekonzepte gvw.com 16

17 5. Big Data Analytics gvw.com 17

18 Big Data Analytics (1) Profiling Weite Definition, Art. 4 Ziff. 4: Bewertung von persönlichen Aspekten wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort, u. a. Widerspruchsrechte: Art. 21 Einschränkung automatischer Einzelentscheidungen, Art. 22 Datenschutzfolgeabschätzung, Art. 35 gvw.com 18

19 Big Data Analytics (2) Pseudonymisierung: Art. 4 Ziff. 5, EG 29 Gesonderte Aufbewahrung der Schlüsselinformationen Schutz durch technische und organisatorische Maßnahmen Anonymisierung: EG 26 Sämtliche Mittel bei Verantwortlichem oder Dritten Wahrscheinlich zur Identifizierung genutzt: Kosten, Zeitaufwand, verfügbare Technologien und künftige Entwicklungen gvw.com 19

20 Big Data Analytics (3) Notwendige Maßnahmen: Identifizierung der Anwendungen Prozesse zur Prüfung der Rechtmäßigkeit incl. Datenschutzfolgeabschätzung Prozesse zur Pseudonymisierung (Schlüsselinformationen, Schutz durch technische und organisatorische Maßnahmen) Prozesse zur Anonymisierung (Löschen von Identifikatoren, Aggregrieren u.a) gvw.com 20

21 Arnd Böken Partner Rechtsanwalt und Notar Potsdamer Platz Berlin T F A.Boeken@gvw.com gvw.com 21

22 Kontakt Berlin Potsdamer Platz Berlin T F berlin@gvw.com Hamburg Poststrasse 9 Alte Post Hamburg T F hamburg@gvw.com Brüssel 9 Rond Point Schuman 1040 Brüssel T F bruessel@gvw.com Düsseldorf Königsallee Düsseldorf T F duesseldorf@gvw.com München Maximiliansplatz 10 Im Luitpoldblock München T F muenchen@gvw.com Istanbul Kanyon Ofis Binası Kat. 6 Büyükdere Cad. No İstanbul, Türkiye T F istanbul@gvw.com Frankfurt am Main Ulmenstrasse Frankfurt/Main T F frankfurt@gvw.com Shanghai Chong Hing Finance Center, Room West Nanjing Road Shanghai T F shanghai@gvw.com gvw.com 22