- Wa s b e d e u t e t d a s f ü r U n t e r n e h m e n? -

Transkript

1 1 E u ropäische Datenschutz-Grundverord n u n g - Wa s b e d e u t e t d a s f ü r U n t e r n e h m e n? - I H K N ü r n b e r g f ü r M i t t e l f r a n k e n N ü r n b e r g e r I n i t i a t i v e f ü r K o m m u n i k a t i o n s w i r t s c h a f t ( N I K e. V. ) N ü r n b e r g, d e n 1 3. N o v e m b e r 2017 T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

2 2 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung

4 4 Datenschutz heute

5 5 Datenschutz heute

6 Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) verkündet im Amtsblatt der Europäischen Union vom 4. Mai

7 7 Datenschutz morgen d.h. in nur mehr ca. 7 Monaten

9 9 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Risiko / Datenschutz-Folgenabschätzung Sanktionen

11 11 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

12 12 Anforderungen an die Datenverarbeitung Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen

13 13 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten

14 Anforderungen an die Datenverarbeitung Informationspflichten (Art. 13, 14) beinhalten: Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter Garantien (z.b. Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung, ) Beschwerderecht bei der sbehörde u.a. 14

15 15 Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

16 16 Anforderungen an die Datenverarbeitung Rechenschaftspflicht Wie prüfen wir: Zeig mal!! Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten ( Beweislastumkehr ) (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

17 Anforderungen an die Datenverarbeitung Auftrags(daten)verarbeitung, Art 28 Anforderungen: Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei 11 BDSG-alt, in einigen Details aber Unterschiede, z.b. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4 Unternehmen müssen bestehende ADV-Verträge an die Anforderungen der DS-GVO anpassen. Dauerbrenner Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist. 17

19 19 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf nicht automatisierte Entscheidung Recht auf Widerruf einer Einwilligung

20 20 Verfahren zur - Sicherstellung der Betroffenenrechte Prozessorientierter Ansatz: Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung (siehe Auskunftsprojekt 2016) Check Act: Kontinuierliche Verbesserung

22 22 Verzeichnis der Verarbeitungstätigkeiten Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250 Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250 Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.b. Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.b. regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.

23 23 Verzeichnis der Verarbeitungstätigkeiten

24 24 Verzeichnis der Verarbeitungstätigkeiten

25 25 Verzeichnis der Verarbeitungstätigkeiten Eine Reihe von sbehörden (darunter ) wird in Kürze die o.g. Hinweise zum VVT (getrennt für Verantwortliche / Auftragsverarbeiter) und entsprechende Muster (einschließlich Muster für die Beschreibung der TOM) veröffentlichen.

27 27 Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

28 28 Umgang mit Datenschutzverletzungen Beispiele für Meldepflicht Hacking Verlust Diebstahl Fehlversand Softwarefehler Schadcode Fehlentsorgung Vernichtung Verlust Sonstiges?

29 29 Umgang mit Datenschutzverletzungen Prozessorientierter Ansatz: Plan: Identifizierung einer Datenschutzverletzung; Festlegung des Meldewegs Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check

31 31 Datenschutz-Folgenabschätzung Art. 24 DS-GVO (Verantwortung des für die Verarbeitung Verantwortlichen) und Art. 32 DS-GVO (Sicherheit der Verarbeitung) Schwere des möglichen Schadens Groß Risikobewertung Risikobasierter Ansatz der DS-GVO Gravierend Jeder Verarbeiter muss vor Beginn der Verarbeitung personenbezogener Daten prüfen, ob und mit welchem Risiko für die Rechte und Freiheiten (insbes. Grundrechte) natürlicher Personen die Verarbeitung verbunden ist ( Schwellwertanalyse ). Überschaubar Geringfügig Eintrittswahrscheinlichkeit Jeder Verarbeiter muss die erforderlichen Maßnahmen treffen, um das Risikos zu senken. Geringes Risiko Risikobereiche nach DS-GVO Risiko Hohes Risiko

32 32 Datenschutz-Folgenabschätzung Art. 35 Abs. 1 DS-GVO: Datenschutz- Folgenabschätzung Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Schwere des möglichen Schadens Groß Gravierend Überschaubar Geringfügig Risikobewertung Eintrittswahrscheinlichkeit Risikobereiche nach DS-GVO Geringes Risiko Risiko Hohes Risiko

34 34 Sanktionen heute 43 BDSG bis EUR ( formelle Verstöße ) bis EUR ( materielle Verstöße ) kein Bußgeld bei Verstößen gegen Datensicherheit ( 9 BDSG)

35 35 Sanktionen morgen Art. 83 DS-GVO bis EUR oder 2 % Weltjahresumsatz ( formelle Verstöße ) bis EUR oder 4 % Weltjahresumsatz ( materielle Verstöße ) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

37 Was kann / soll man heute schon tun? bewusst machen, was kommt Team bilden, das das Projekt DS- GVO angeht (nicht nur Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Handlungsbedarf untersuchen Schulungen vorbereiten Feuerwehrübungen durchführen 37

38 38 Was kann / soll man heute schon tun? Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.b. Verträge zur Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf. Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum Umgang mit Beschäftigtendaten geregelt

39 39 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (1) Rechtsgrundlagen klären, z.b. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen Informationspflichten und Rechte Betroffener Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a) Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)

40 40 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (2): Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden in Arbeit Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde in Arbeit Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten

41 Was kann / soll man heute schon tun? Aufbauorganisation Ablauforganisation Datenschutzverletzungen Datenschutzziele Datenschutz- Governance- Struktur Planung Datenverarbeitung Verbesserung Sicherstellung der Betroffenenrechte Durchführung Datenschutzleitlinie Bewertung Siehe: Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger-Verlag,

42 Was kann / soll man heute schon tun? Unternehmensleitlinien Informationssicherheit Marketing Finanzen... Datenschutz -Leitlinie Bestehende Unternehmensleitlinien Wenn möglich Erweiterung bzw. Ergänzung Siehe: Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger-Verlag,

44 Nachtragshaushalt 2018??? Der Freistaat Bayern hat 12,7 Mio. Einwohner 20 Planstellen Der Freistaat Bayern hat ca Unternehmen 44

45 45 Was machen Art. 29-Gruppe und Datenschutzkonferenz z.zt.?..

46 46 Was machen Art. 29-Gruppe und Datenschutzkonferenz z.zt.? Kurzpapiere der Datenschutzkonferenz 1. Verz. von Verarbeitungstätigkeiten 2. Aufsichtsbefugnis/Sanktionen 3. Werbung 4. Datenübermittlung in Drittländer 5. Datenschutz-Folgeabschätzung 6. Auskunftsrecht 7. Marktortprinzip 8. Maßnahmenplan 9. Zertifizierung 10. Info bei Dritt- und Direkterhebung 11. Recht auf Vergessenwerden PLANUNG 12. Rechte und Freiheiten, Risiko 13. Privacy by Design und Default 14. Videoüberwachung (!!) 15. Besondere Kategorien pbd 16. Datenschutzbeauftragter 17. Beschäftigtendatenschutz 18. Gemeinsame Verantwortliche 19. Datenschutzverletzungen 20. Verhaltensregeln

47 Was machen Art. 29-Gruppe und Datenschutzkonferenz z.zt.? Europäischer Datenschutzausschuss 1) 1 28/ UK EU- EDPS KOMM ) der unabhängigen sbehörden 47

48 Was machen Art. 29-Gruppe und Datenschutzkonferenz z.zt.? Noch viel wichtiger als unsere bayerischen und deutschen Kurpapiere sind aber WORKING PAPERS der Art. 29-Gruppe bzw. in Zukunft des Europäischen Datenschutzausschusses Verabschiedet (und nun teilweise auch in deutsch verfügbar) sind: WP 242 Datenportabilität WP 243 Datenschutzbeauftragter WP 244 Federführende Aufsichtsbehörde WP 248 Datenschutz-Folgeabschätzung (z.zt. nur auf englisch verfügbar) Zur Kommentierung veröffentlicht sind: WP 250 Meldung von Datenschutzverletzungen WP 251 Profiling In Planung sind u.a.: Sanktionen (Art. 83 DS-GVO) Dringlichkeitsverfahren (insb. Art. 66 DS-GVO) Beschäftigtendatenschutz 48

49 49 Was macht z.zt.?.

50 50 Was macht das Vorbereitung von Online-Kommunikation Online-Beschwerdeformular (Art. 57 Abs. 2 DS-GVO) Online-Mitteilungsmöglichkeit der Datenschutzbeauftragten (Art. 37 Abs. 7 DS-GVO) in Arbeit Online-Meldemöglichkeit für Verletzungen des Schutzes personenbezogener Daten (Art. 33 DS-GVO)

51 51 Was macht z.zt.? Ehmann / Kranig Erste Hilfe zur Datenschutz- Grundverordnung Zielgruppe: Inhaber kleinerer Unternehmen; Vereinsvorsitzende; Datenschutzverantwortliche in kleineren Unternehmen und in Vereinen; datenschutzinteressierte Vereinsmitglieder. 5,50 EUR Erscheinungsdatum: Nov. 2017

53 Empfehlung zum Schluss bewusst machen, was kommt Team bilden, das das Projekt DS- GVO angeht (nicht nur Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Handlungsbedarf untersuchen Schulungen vorbereiten Feuerwehrübungen durchführen 53

54 Unsere Empfehlung Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan verplant. Act Plan Check Do sonst werden Sie 54

55 55 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Bayer. Landesamt für