Datenschutzrecht; To-Dos und

Transkript

1 1 Vorbereitung auf das neue Datenschutzrecht; To-Dos und Handlungsempfehlungen für Praktiker F a c h f o r u m D a t e n s c h u t z - G r u n d v e r o r d n u n g, I H K S c h w a b e n, M a n f r e d I l g e n f r i t z, R e f e r a t s l e i t e r b e i m B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

3 3 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

4 4 Datenschutz heute

5 Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) verkündet im Amtsblatt der Europäischen Union vom 4. Mai

6 6 Datenschutz morgen d.h. in nur mehr ca. 7 Monaten

7 7 Datenschutz morgen AEUV = Vertrag über die Arbeitsweise der EU Rechtsnatur: Verordnung (Art. 288 AEUV)

8 8 Datenschutz morgen AEUV = Vertrag über die Arbeitsweise der EU BDSG-neu (BGBl. I 2017 S ff.) Das bisherige BDSG wird mit Ablauf des aufgehoben und durch ein BDSG-neu ersetzt, welches die DS- GVO -in notwendigen Punkten ausfüllt (z. B. zu den deutschen Aufsichtsbehörden, zur Vertretung im künftigen EDSA) sowie -in einem von der DS-GVO vorgegebenen Rahmen ergänzt (z. B. zum DSB, zu den Rechten betroffener Personen usw.).

9 Datenschutz morgen Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 9

10 10 Datenschutz morgen Art. 29 Gruppe Working Papers (= konsensuale Arbeitsgemeinschaft der Europäischen Datenschutzbehörden) Datenschutz- Ausschuss Leitlinien (Art. 70 DS- GVO) (= institutionalisiertes Gremium der der Europäischen Datenschutzbehörden) Empfehlung Orientierung

11 11 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

12 12 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

13 13 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

14 14 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

15 15 Anforderungen an die Datenverarbeitung Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen

16 16 Anforderungen an die Datenverarbeitung Rechtmäßigkeit bedeutet (u.a.): Einwilligung liegt vor Einwilligung ist insbesondere wirksam, wenn über Inhalt und Folgen ausreichend (ggfls. in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache ) informiert, sie freiwillig (problematisch bei Über-/Unterordnungsverhältnis oder bei Koppelungsgeschäften) erteilt und über jederzeitiges Widerrufsrecht ausreichend informiert wurde. Verantwortlicher muss Vorliegen der Einwilligung nachweisen können.

17 17 Anforderungen an die Datenverarbeitung Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zu Einwilligungen veröffentlichen, siehe auf der Website der EU-Kommission / Artikel-29-Gruppe, Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DS-GVO (bisher nur auf Englisch): Datenschutzbeauftragter Anspruch auf Datenportabilität federführende Behörde Datenschutzfolgenabschätzung (data protection impact assessment)

18 18 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

19 Anforderungen an die Datenverarbeitung Informationspflichten (Art. 13, 14) beinhalten: Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter Garantien (z.b. Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung, ) Beschwerderecht bei der sbehörde u.a. 19

20 20 Anforderungen an die Datenverarbeitung Transparenz am praktischen Beispiel von Apps Apps beinhalten Informations-, Marketing-, Trackingmöglichkeiten App-Entwickler muss sich u.a. überlegen, welchen Zweck hat die App, welche Daten erhebe ich vom Nutzer der App, brauche ich alle Daten in personenbezogener Form, um meinen Zweck zu erreichen, oder geht es zumindest teilweise auch ohne Personenbezug, habe ich Nutzer über Zweck und Umfang der Datenverarbeitung transparent informiert (und halte ich mich auch daran auch an evtl. Löschungsversprechen) und biete ich eine sichere Verbindung an

21 21 Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

22 22 Anforderungen an die Datenverarbeitung Verarbeitung personenbezogener Daten muss auf das notwendige Maß beschränkt sein ( Datenminimierung ) d.h. Löschen von Daten muss möglich und von Anfang an geplant sein (Privacy by Design), vollzogen werden und nachweisbar sein

23 23 Anforderungen an die Datenverarbeitung Auftrags(daten)verarbeitung, Art 28 Anforderungen: Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei 11 BDSG-alt, in einigen Details aber Unterschiede, z.b. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) o zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4 Unternehmen müssen bestehende ADV-Verträge prüfen und soweit nötig an die Anforderungen der DS-GVO anpassen. Dauerbrenner Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist.

24 24 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

25 25 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf nicht automatisierte Entscheidung Recht auf Widerruf einer Einwilligung

26 26 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

27 Verzeichnis der Verarbeitungstätigkeiten (VVT) Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250 Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250 Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die o ein Risiko für Rechte & Freiheiten Betroffener bergen (z.b. Videoüberwachung, Scoring, Betrugsprävention) o oder nicht nur gelegentlich erfolgen (z.b. regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten) o oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen / Straftaten betreffen Fazit: die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden. 27

28 28 Verzeichnis der Verarbeitungstätigkeiten Inhalt und Umfang des VVT bei Verantwortlichen: Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten Verarbeitungszwecke Kategorien der Daten und Kategorien Betroffener Kategorien von Empfängern bei Übermittlung in Drittländer: alle Empfänger (nicht nur Kategorien) sowie die konkrete Angabe der Drittländer grundsätzlich Speicherdauer (Löschfristen) allg. Beschreibung der technischen und organisatorischen Maßnahmen

29 29 Verzeichnis der Verarbeitungstätigkeiten Inhalt und Umfang des VVT bei Auftragsverarbeitern: Name und Kontaktdaten des Auftragsverarbeiters und des Datenschutzbeauftragten Kategorie von Verarbeitungen (getrennt nach Auftraggebern) bei Übermittlung in Drittländer: alle Empfänger (nicht nur Kategorien) sowie die konkrete Angabe der Drittländer allg. Beschreibung der technischen und organisatorischen Maßnahmen

30 Verzeichnis der Verarbeitungstätigkeiten Einzelverzeichnisse erforderlich, getrennt nach Anwendungen, z.b. o Personalaktenführung o Lohnabrechnung o Arbeitszeiterfassung o Videoüberwachung o Reisemanagement o Kundenstammdatenverwaltung Darin jeweils Trennung nach Betroffenen-Kategorien (Kunden, Beschäftigte, ) und Daten-Kategorien o z.b. Mitarbeiter: Stammdaten (Adressdaten, Bankverbindung, ), Arbeitszeugnisse (Adressdaten, Beurteilungsdaten,.) 30

31 31 Verzeichnis der Verarbeitungstätigkeiten Erste Hinweise zum VVT (getrennt für Verantwortliche / Auftragsverarbeiter) sind veröffentlicht, z. B. unter Diese sollen demnächst insbesondere zu den technischen und organisatorischen Maßnahmen noch spezifiziert werden.

32 32 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

33 33 Umgang mit Datenschutzverletzungen Art. 33 Abs. 1 DS-GVO Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche.

34 34 Umgang mit Datenschutzverletzungen Beispiele für Meldepflicht Hacking Verlust Diebstahl Fehlversand Softwarefehler Schadcode Fehlentsorgung Vernichtung Verlust Sonstiges?

35 35 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

36 36 Artikel 35: Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden

37 37 Datenschutz-Folgenabschätzung Artikel 35: Datenschutz-Folgenabschätzung (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

38 38 Datenschutz-Folgenabschätzung Siehe Leitlinien der Artikel-29-Gruppe (Guidelines on Data Protection Impact Assessment = Working Paper / WP248, Allgemeines: Kurzpapier der Datenschutzkonferenz siehe auch: Kurzpapier Nr. 18 des, Mindestinhalt DSFA: Art. 35 Abs. 7 Aufsichtsbehörden werden eine Liste von Vorgängen veröffentlichen, für die DSFA durchzuführen ist (Art. 35 Abs. 4)

39 39 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen

40 40 Sanktionen heute 43 BDSG bis EUR ( formelle Verstöße ) bis EUR ( materielle Verstöße ) kein Bußgeld bei Verstößen gegen Datensicherheit ( 9 BDSG)

41 41 Sanktionen morgen Art. 83 DS-GVO bis EUR oder 2 % Weltjahresumsatz ( formelle Verstöße ) bis EUR oder 4 % Weltjahresumsatz ( materielle Verstöße ) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

42 42 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

43 43 Was kann / soll man heute schon tun? Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.b. Verträge zur Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf. Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum Umgang mit Beschäftigtendaten geregelt

44 44 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (1) Rechtsgrundlagen klären, z.b. entsprechen Einwilligungen den Anforderungen der DSGVO? o ggf. neue Einwilligungen einholen Informationspflichten und Rechte Betroffener Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen Dokumentationspflichten: o Verarbeitungsverzeichnis (Art. 30) o Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) o Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a) Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)

45 45 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (2): Meldepflichten o Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden in Arbeit o Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde in Arbeit Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten

46 46 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

47 47 Was machen wir Aufsichtsbehörden heute und morgen Heute Morgen Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt. Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam Einheitliches Recht in Europa - mit Leitlinien als Vollzugshilfe Verpflichtung zur Kohärenz incl. verbindlicher Mehrheitsentscheidung Koordinierte Prüfungen verbessern Wahrnehmung Zertifizierung und Code of Conduct schaffen Rechtssicherheit Sanktionen sollen erfolgen und werden weh tun

48 48 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

49 49 Unsere Empfehlung Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO)

50 50 Was kann / soll man heute schon tun? Zusammenfassend Relevante Fragen für KMU s, zu denen Sie gut aufgestellt sein sollten, sind z. B.: Haben Sie schon einen Datenschutzbeauftragten im Hinblick auf Art. 37 DS-GVO sowie 38 BDSG-neu benannt oder eine Benennung vorbereitet? Ist das nach Art. 30 DS-GVO notwendige Verzeichnis der Verarbeitungstätigkeiten schon angelegt oder die Anlegung ausreichend vorbereitet?

51 51 Was kann / soll man heute schon tun? Umsetzungsarbeiten für die Datenschutz-Grundverordnung Sind die datenschutzrechtlichen Verantwortlichkeiten geregelt? Ist im Sinne von Art. 32 Abs. 4 DS-GVO sichergestellt, dass die Beschäftigten personenbezogene nur nach Anweisung verarbeiten? Verpflichtung durchgeführt? Sind die Datenschutz- und Datensicherheitsrisiken identifiziert sowie die dazu notwendigen Maßnahmen installiert?

52 52 Was kann / soll man heute schon tun? Haben Sie die Texte von Datenschutzinformationen nach Art. 13 DS-GVO und Einwilligungserklärungen nach Art. 7 DS-GVO an die neuen rechtlichen Anforderungen angepasst? Entsprechen die Verträge mit Auftragsverarbeitern (IT-Dienstleister, Cloud- Anbieter, Support- und Archivierungsdiensten, Datenträger-Entsorgern usw.) inhaltlich den Anforderungen von Art. 28 Abs. 3 DS-GVO? Haben Sie geprüft, ob wegen Verarbeitungen, die mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden sind, eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich ist, und wenn ja, die notwendigen Schritte eingeleitet?

53 53 Was kann / soll man heute schon tun? Sind Sie auf eine fristgerechte Meldung von Datenpannen ( Verletzungen des Schutzes personenbezogener Daten ) an die Aufsichtsbehörde innerhalb von 72 Stunden ausreichend vorbereitet? Es gibt viel zu tun bis zum 25. Mai 2018, packen Sie es an!

54 54 Vielen Dank für Ihre Aufmerksamkeit Manfred Ilgenfritz, Bayer. Landesamt für