Lauter hohe Bußgelder?- Die Datenschutzaufsicht nach der Datenschutz-Grundverordnung

Transkript

1 1 Lauter hohe Bußgelder?- Die nach der Datenschutz-Grundverordnung V o r t r a g s r e i h e D a t e n s c h u t z r e c h t P r a x i s S a a r b r ü c k e n, d e n 7. J u n i T h o m a s K r a n i g, P r ä s i d e n t d e s B a y e r. L a n d e s a m t s f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Bußgelder, Sanktionen, was bringt s? 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was macht die heute und morgen? 4 Ein fiktiver Fall Was macht die Aufsichtsbehörde konkret? 5 (M)Ein Ausblick

3 3 1 Bußgelder, Sanktionen, was bringt s?

4 4 1 Bußgelder, Sanktionen, was bringt s? Art. 83 Abs. 1 DS-GVO: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

5 5 1 Bußgelder, Sanktionen, was bringt s? 1. Es gibt fast keinen Verstoß gegen die Vorschriften der DS-GVO, der nicht mit einem Bußgeld belegt ist. 2. Die Höhe der Bußgelder beträgt bis zu EUR oder 2 % des Weltjahresumsatzes für formelle Verstöße und bis EUR oder 4 % des Weltjahresumsatzes für materielle Verstöße 3. Kann die Höhe der Bußgelder wirklich sicherstellen, dass den Vorschriften der DS-GVO Rechnung getragen wird?

7 7 2 Datenschutz-Grundverordnung was kommt auf uns zu? Datenschutz-Grundverordnung (DS-GVO) verkündet im Amtsblatt der Europäischen Union vom 4. Mai 2016

8 8 2 Datenschutz-Grundverordnung was kommt auf uns zu? d.h. in nicht mehr ganz 12 Monaten

9 9 2 Datenschutz-Grundverordnung was kommt auf uns zu? AEUV = Vertrag über die Arbeitsweise der EU Rechtsnatur: Verordnung (Art. 288 AEUV)

10 10 2 Datenschutz-Grundverordnung was kommt auf uns zu? Welche (neue) Grundsätze hat die DS-GVO für den Datenschutz im 21. Jahrhundert?

11 11 2 Datenschutz-Grundverordnung was kommt auf uns zu? Zielsetzung der Grundverordnung

12 12 2 Datenschutz-Grundverordnung was kommt auf uns zu? Die EU-DSGVO im Überblick: Allgemeine Bestimmungen Grundsätze Betroffenenrechte Verantwortliche und Auftragsverarbeiter (Internationaler) Datentransfer Aufsichtsbehörden Haftung und Sanktionen Besondere Verarbeitungssituationen Durchführungsrechtsakte Schlussbestimmungen

13 13 2 Datenschutz-Grundverordnung was kommt auf uns zu? Rechenschaftspflicht Kapitel 2: Grundsätze - Artikel 5 Die Rechenschaftspflicht näher betrachtet: Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

14 14 2 Datenschutz-Grundverordnung was kommt auf uns zu? Rechenschaftspflicht Kapitel 2: Grundsätze - Artikel 5 Die Rechenschaftspflicht näher betrachtet: Wie prüfen wir: Zeig mal!! ( Beweislastumkehr ) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

15 15 2 Datenschutz-Grundverordnung was kommt auf uns zu? Internationaler Datentransfer Datenschutzkonforme Verarbeitung Rechenschaftspflicht Datenschutzkonforme Technik Datenschutzkonforme Sicherheit Datenschutzkonforme Auftragsdatenverarbeitung Datenschutzfolgeabschätzung

16 16 2 Datenschutz-Grundverordnung was kommt auf uns zu? Bitte den Nachweis der Einhaltung erbringen: Dokumentation Wirksamkeit Zertifikate Verhaltensregeln Verstöße gegen die Nachweispflicht sind bußgeldbewährt: Max. 4% des Umsatzes oder 20 Mio. Aufsichtsbehörde

17 17 2 Datenschutz-Grundverordnung was kommt auf uns zu? Neue Rechte des Betroffenen? Betroffenenrechte Transparente Information Rechte auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung Recht auf Datenübertragbarkeit Widerspruchsrecht Recht, keinem Profiling unterworfen zu sein (mit Ausnahmen)

18 18 2 Datenschutz-Grundverordnung was kommt auf uns zu? Neue Regelung für Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden

19 19 2 Datenschutz-Grundverordnung was kommt auf uns zu? Neue Regelung für Datenschutzverletzungen Hacking Verlust Diebstahl Fehlversand Softwarefehler Datenschutzverletzungen können zu Meldepflicht bei Aufsichtsbehörde und/oder betroffenen Personen führen. Schadcode Fehlentsorgung Vernichtung Verlust Sonstiges?

20 20 2 Datenschutz-Grundverordnung was kommt auf uns zu? Neue Herangehensweise für den Datenschutz Prozessorientierter Ansatz: Plan Plan: Identifizierung einer Anforderung nach DS-GVO Do: Implementierung von Verfahren zur Erfüllung der Anforderungen Check: Feuerwehrübung Act: Kontinuierliche Verbesserung Act Check Do

21 2 Datenschutz-Grundverordnung was kommt auf uns zu? Aufbauorganisation Ablauforganisation Datenschutzverletzungen Datenschutzziele Datenschutz- Governance- Struktur Planung Datenverarbeitung Verbesserung Sicherstellung der Betroffenenrechte Durchführung Datenschutzleitlinie Bewertung Siehe: Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger-Verlag,

23 23 3 Was macht die heute und morgen? 27 Aufsichtsbehörden in der EU und zusätzlich (mind.) 18 Aufsichtsbehörden in Deutschland

24 24 3 Was macht die heute und morgen? Heute Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt. Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam

25 25 3 Was macht die heute und morgen? Heute Morgen Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt. Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam Einheitliches Recht in Europa - mit Leitlinien als Vollzugshilfe Verpflichtung zur Kohärenz incl. verbindlicher Mehrheitsentscheidung Koordinierte Prüfungen verbessern Wahrnehmung Zertifizierung und Code of Conduct schaffen Rechtssicherheit Sanktionen sollen erfolgen und werden weh tun

26 3 Was macht die heute und morgen? Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 26

27 27 3 Was macht die heute und morgen? Art. 29 Gruppe Working Papers Datenschutz- Ausschuss Leitlinien (= konsensuale Arbeitsgemeinschaft der Europäischen Datenschutzbehörden) (= institutionalisiertes Gremium der der Europäischen Datenschutzbehörden) Empfehlung Orientierung

28 28 3 Was macht die heute und morgen? Working Papers Leitlinien (Guidelines) Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters Leitlinien in Bezug auf Datenschutzbeauftragte ( DSB ) Leitlinien zur Datenübertragbarkeit

29 29 3 Was macht die heute und morgen? Leitlinien für Datenschutz- Folgeabschätzung (DPIA) Leitlinien für Zertifizierung Leitlinien für Einwilligung Leitlinien für Profiling Leitlinien für Datenexporte in Drittstaaten Leitlinien für Datenschutzverletzungen Leitlinien für Sanktionen (evtl.) Kriterien für Akkreditierung von Zertifizierungsstellen Leitlinien für Regelungen für Kinder Leitlinien für BCR (Anpassung bestehender WPs) Kriterien für Transparenz Leitlinien für Überwachung von Beschäftigten

30 30 3 Was macht die heute und morgen? Notwendigkeit der Abstimmung innerhalb Deutschlands und Europas, um der Harmonisierung, die durch die DS-G VO erreicht werden soll, Rechnung tragen zu können.

32 32 4 Ein fiktiver Fall Was macht die Aufsichtsbehörde konkret? Tendenz Beschwerden Beratungen Bürger Beratungen Unternehmen Bußgeldverfahren Datenpannen

33 4 Ein fiktiver Fall Was macht die Aufsichtsbehörde konkret? Beschwerdefall: Der alleinstehende Fulltimemanager A.G. hatte sich am im Rahmen einer Online-Buchbestellung (Titel: Wie finde ich in fünf Tagen meine Traumfrau? ) damit einverstanden erklärt, weitere Information über sonstige interessante Produkte des Partnerschaftsverlages zu bekommen. Nachdem der Verlag seine Ausrichtung auf juristische Werke umgestellt hatte, widerrief A.G. am seine Einwilligung zur Zusendung von Werbung und verlangt Auskunft über seine beim Verlag gespeicherten Daten. Am 31. Mai 2018 erhielt A.G. vom Verlag Werbung für die 2. Auflage des neuen Rechtshandbuchs Cloud Computing von Georg Borges u.a. Auf Beschwerden von A.G. reagiert der Verlag nicht. Am 30. Juni 2018 las A.G. in der Wirtschaftswoche einen Bericht, dass der Partnerschaftsverlag gehackt worden sei und sowohl die Bestellhistorie als auch Zahlungsdaten interessanter Kunden, u.a. auch von Fulltimemanagern, im Internet verfügbar seien. Verlag macht nichts. A.G. wendet sich am 30. August 2018 hilfesuchend an die sbehörde. Was ist zu tun? 33

34 34 4 Ein fiktiver Fall Was macht die Aufsichtsbehörde konkret? Beschwerdefall (Teil 1): Am 31. Mai 2018 erhielt A.G. vom Verlag Werbung für die 2. Auflage des neuen Rechtshandbuchs Cloud Computing von Georg Borges u.a. Auf Beschwerden von A.G. reagiert der Verlag nicht und erteilt auch keine Auskunft. Aufsichtsbehörde kann u.a. Folgendes veranlassen: Aufforderung des Partnerschaftsverlages zur Stellungnahme wegen Missachtung des Werbewiderspruchs Anforderung eines Nachweises über Rechtmäßigkeit der Verarbeitung Anforderung eines Nachweises über Fähigkeit, der Geltendmachung von Betroffenenrechten zeitnah nachkommen zu können Vor-Ort-Kontrolle des Verlages Bußgeld wegen unzulässiger Werbung

35 35 4 Ein fiktiver Fall Was macht die Aufsichtsbehörde konkret? Beschwerdefall (Teil 2): Am 30. Juni 2018 las A.G. in der Wirtschaftswoche einen Bericht, dass der Partnerschaftsverlag gehackt worden sei und sowohl die Bestellhistorie als auch Zahlungsdaten interessanter Kunden, u.a. auch von Fulltimemanagern, im Internet verfügbar seien. Verlag macht nichts. Aufforderung des Verlags zur Stellungnahme wegen Nichtmeldung einer Datenschutzverletzung Anforderung eines Nachweises über Risikoabschätzung dieser Datenschutzverletzung Aufforderung zur Information der betroffenen Personen Bußgeld wegen unterlassener Meldung einer Datenschutzverletzung

37 37 5 Mein Ausblick Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan verplant. Act Plan Check Do sonst werden Sie

38 38 5 Mein Ausblick.

39 39 Die Erleuchtung komt mit der Praxis: Packen wir es an!!

40 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Präsident des 40