Die EU-Datenschutzgrundverordnung: Eine Annäherung...

Transkript

1 Dr. Christian Wolff Geschäftsführer compolicy GmbH Fachanwalt für IT-Recht Fachanwalt für Urheber- und Medienrecht Lassen Sie Ihre sensiblen Daten nicht zur Bedrohung werden Die EU-Datenschutzgrundverordnung: Eine Annäherung...

2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG EU Datenschutzgrundverordnung EU-Datenschutzgrundverordnung compolicy Seite 2

3 EU-Datenschutzgrundverordnung compolicy Seite 3

4 EU-Datenschutzgrundverordnung compolicy Seite 4

5 D E S CLO Datenschutz in der Apotheke Seite 5

6 Darum geht s: Persönlichkeitsrecht, Art. 1, 2 GG Recht auf informationelle Selbstbestimmung, Urteil des BVerfG vom gilt für öffentliche und private Stellen Schutz des Einzelnen vor Datennutzung Schutz der Daten des Unternehmens Verpflichtung des Unternehmens gegenüber Dritten und der Mitarbeiter gegenüber dem Unternehmen Verantwortung der Unternehmensleitung Prävention vor Strafbarkeit EU-Datenschutzgrundverordnung compolicy Seite 6

7 Datenschutz national, international, sch...egal? BDSG ( ALT ): Datenvermeidung, Datensparsamkeit, 3a BDSG Bestellung eines Datenschutzbeauftragten, 4f BDSG Mitarbeiterschulungen Verarbeitungsübersicht und Jedermannverzeichnis, 4g BDSG technische/organisatorische Maßnahmen, Anlage zu 9 BDSG; Dokumentation, Prüfung Überwachung von Dienstleistern Auftragsdatenverarbeitung, 11 BDSG Personaldatenschutz, 32 BDSG Wenn Sie dies erfüllen, ist der Schritt zur DSGVO eher klein... EU-Datenschutzgrundverordnung compolicy Seite 7

8 Datenschutz national, international, sch...egal? Artikel 8 Charta der Grundrechte der Europäischen Union Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. EU-Datenschutzgrundverordnung compolicy Seite 8

9 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Pseudonymisierung, Integrität und Vertraulichkeit (Art. 5 Abs. 1 DSGVO) Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ( Accountability ): Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können. technische/organisatorische Maßnahmen (Art. 24 DSGVO): Auch hier: Nachweispflicht gem. Art. 24 Abs. 1 S.1 DSGVO Die Highlights Compliancepflicht: Auf Anforderung muss ein Unternehmen künftig jederzeit nachweisen, dass es datenschutzkonform im Sinne der Grundverordnung ist. Datenschutzmanagementsystem wird quasi vorausgesetzt. Compliancepflicht erfasst auch den Bereich der IT-Security (technische/ organisatorische Maßnahmen) à Integrität, Vertraulichkeit und Art. 24, 32 DSGVO. Wie geht eigentlich Datenportabilität, Art. 20 DSGVO? Wann braucht wer eine Datenschutzfolgenabschätzung, Art. 35 DSGVO? Auftragsverarbeitung, Art. 28 Abs. 10 DSGVO à Die Verantwortlichkeit droht! EU-Datenschutzgrundverordnung compolicy Seite 9

10 Datenschutz Verarbeitungsverzeichnis, Art. 30 DSGVO Technische/organisatorische Maßnahmen + Dokumentation (Accountability), Art. 24, 32 DSGVO privacy by design and by default, Art. 25 Abs. 3 DSGVO Datenvermeidung, Datensparsamkeit, Art. 5 Abs. 1 c) DSGVO Benennung eines Datenschutzbeauftragten, 38 BDSG, Art. 37 DSGVO; Veröffentlichung der Kontaktdaten des DSB und Meldung an die Aufsichtsbehörde, Art. 37 Abs. 7 DSGVO allgemeine Informationspflichten, Art. 13 DSGVO Mitarbeiterschulungen, Art. 39 DSGVO Überwachung von Dienstleistern, Auftragsverarbeitung, Art. 28 DSGVO Datenschutzfolgenabschätzung, Art. 35 DSGVO Personaldatenschutz, 26 BDSG, Art. 88 DSGVO Datenportabilität, Art. 20 DSGVO Erweiterte Meldepflichten bei Pannen, Art. 33, 34 DSGVO EU-Datenschutzgrundverordnung compolicy Seite 10

11 IT Auswahl von Dienstleistern (Vergabe, Zuverlässigkeit, Vertragsgestaltung) Sicherstellung von Verfügbarkeiten Berechtigungskonzept Sicherheit (Firewall, Virenschutz, Datensicherung etc.) Softwarelizenzcompliance Ggf. Auditrechte in Softwareverträgen? Websitegestaltung (Impressumsangaben, Datenschutzerklärung, Analysedienste, social media, Zugriffsmöglichkeiten, Infopflichten) EU-Datenschutzgrundverordnung compolicy Seite 11

12 Datenschutzbeauftragter (DSB) erforderlich? Persönliche Verantwortung des Inhabers für die datenschutzkonforme Gestaltung des Unternehmens + vollständige Rechenschaftspflicht für die Erfüllung der Anforderungen an die EU-DSGVO: Transparenz, Zweckbindung, Datenminimierung, Integrität Vertraulichkeit Förmliche Benennung des DSB UND Bekanntmachung auf der Website? à NEUE Pflichtangabe à Achtung: Abmahngefahr! Interessenkollisionen ausgeschlossen (IT-Leiter etc.)? DSB den Mitarbeitern bekannt? Tätigkeitsnachweise bzw. -berichte des DSB (zb Prüfungen, Stellungnahmen)? Fachkunde und Zuverlässigkeit des DSB nachweisbar (Schulungen etc.)? Aktuelles Verarbeitungverzeichnis mit rechtlicher Bewertung erstellt, dokumentiert und nachweisbar? Technische/organisatorische Maßnahmen zum Datenschutz dokumentiert und umgesetzt/ nachweisbar? Mitarbeiter auf Datengeheimnis schriftlich verpflichtet (Doku in Personalakte)? Mitarbeiterschulungen durchgeführt und Teilnahme EU-Datenschutzgrundverordnung compolicy Seite 12 dokumentiert?

13 Datenschutz: Beispiele aus der (schlechten) Praxis... Und wie kommt s raus? anonyme Eingaben bei der Datenschutzaufsichtsbehörde durch ehemalige Mitarbeiter, Konkurrenten, unzufriedene Kunden (à sehr wahrscheinlich) Mitarbeiter nutzen den - Account und Internetzugang auch privat... Rund-Mail mit Empfängern in cc... frustrierte oder ängstliche Datenschutzbeauftragte informieren die Datenschutzaufsicht (zunehmend wahrscheinlicher) öffentlichkeitswirksame Datenlecks/ Hacks/Medienberichterstattung (unkalkulierbar) anlasslose Prüfungen der Datenschutzaufsicht (à NOCH sehr unwahrscheinlich, Entwicklung nach der DSGVO bleibt abzuwarten.) Der IT-Dienstleister arbeitet ohne ADV-Regelung... Website-Formulare sind unverschlüsselt... Videoüberwachung WhatsApp-Einsatz... Versand unverschlüsselter s... EU-Datenschutzgrundverordnung compolicy Seite 13

14 Datenschutz als Compliance-Pflicht. Datenschutz-Compliance: Einhaltung der speziell die IT betreffenden Regelwerke, Policies und Gesetze Gewährleistung der Rechenschaftspflicht nach Art. 5 DSGVO durch Dokumentation Überwachung Protokollierung Prozessgestaltung z.b.: - Allgemeine Gesetze - Datenschutzgrundverordnung - Desaster Recovery Policy - Lizenzmanagement - Filtermaßnahmen, etc... EU-Datenschutzgrundverordnung compolicy Seite 14

15 IT-Compliance/Datenschutz: Typische Vorbehalte. So kann ich nicht arbeiten! Zu viel Administration, zu viel Technik! Zu teuer! Medialer Supergau Geldbußen Haftung Schadenersatz EU-Datenschutzgrundverordnung compolicy Seite 15

16 Umsetzung des Datenschutzpakets DSGVO: Vorgespräche, Bestandsaufnahme vor Ort Analyse und Besprechung der Ergebnisse, Erstellung eines Projektplans Ggf. sukzessive Erledigung der einzelnen identifizierten Punkte sofern erforderlich Führung von Gesprächen mit Betriebsrat, Begleitung der Verhandlung von Betriebsvereinbarungen Mitarbeiterschulung, ggf. Nachholung ordnungsgemäßer Verpflichtung auf das Datengeheimnis Erstellung einer Datenschutzdokumentation zur Erfüllung aller gesetzlichen Anforderungen und künftig Ausrichtung auf DSGVO Durchführung der Datenschutzfolgeabschätzung (DSGVO) laufende Beratung der Geschäftsleitung Gesprächspartner für Mitarbeiter bei datenschutzrelevanten Fragen Einbindung bei datenschutzrelevanten Projekten EU-Datenschutzgrundverordnung compolicy Seite 16

17 Und nun? Compliance- Management des Datenschutzes im Unternehmen wird im Ergebnis unverzichtbar. Risiken sind überschaubar, wenn rechtzeitig die erforderlichen Maßnahmen ergriffen werden. Enge Zusammenarbeit zwischen Geschäftsführung, Datenschutzbeauftragtem und IT-Sicherheitsverantwortlichem ist unabdingbar. Nicht empfehlenswert, Vorgaben, Muster, Handreichungen o.ä. der Aufsichtsbehörden abzuwarten. Die Zeit für die Umsetzung drängt. Kein Jedermannverzeichnis (ex 4 BDSG) mehr Auftragsverarbeitung nicht mehr schriftformgebunden Erkenntnisse aus der Anfertigung des Verarbeitungsverzeichnisses können auch anderweitig sinnvoll genutzt werden. EU-Datenschutzgrundverordnung compolicy Seite 17

18 Lassen Sie Ihre sensiblen Daten nicht zur Bedrohung werden Vielen Dank für Ihre Aufmerksamkeit!