Das neue Datenschutzrecht. Stand: 08. März 2018

Transkript

1 Das neue Datenschutzrecht Stand: 08. März

2 I. Datenschutzgesetze in Deutschland Meilensteine: 1970: erstes Datenschutzgesetz der Welt: Landesdatenschutzgesetz Hessen 1977: Bundesdatenschutzgesetz (BDSG) 1990: Anpassung des BDSG an das Volkszählungsurteil 1995 Datenschutz-Richtlinie 95/46/EG 2000: Artikel 8 der EU-Grundrechtecharta 2009: 3 Datenschutznovellen (Arbeitnehmerdatenschutz, Auskunfteien und Scoring, Auftragsdatenverarbeitung) 2018: EU-Datenschutzgrundverordnung 2

3 I. Inkrafttreten und unmittelbare Geltung der DS-GVO: Bereits im April 2016 Verabschiedung der Datenschutzgrundverordnung DS-GVO durch die EU Die DS-GVO wird ergänzt/ausgefüllt durch das Datenschutz-Anpassungs-und -Umsetzungsgesetz EU DSAnpUGEU -, welches an die Stelle des bisherigen Bundesdatenschutzgesetz (BDSG) tritt. Inkrafttreten ab dem Als Verordnung unmittelbare Wirkung in den Mitgliedstaaten der EU. Die Verordnung ist unmittelbar geltendes Recht und geht den Regelungen des DSAnpUGEU vor. Hinweis: Für die Rechtsanwendung müssen damit sowohl die Regelungen der DS-GVO und des DSAnpUGEU geprüft werden müssen. Im Internet sind synoptische Gegenüberstellungen verfügbar. 3

4 I. Inkrafttreten, unmittelbare Geltung und Ziele der DS-GVO: Ziele der DS-GVO: Anpassung des Datenschutzrechts an den technologischen Fortschritt, Vereinfachung der Verfahren, europaweite Vereinheitlichung des Rechts und dessen Anwendung, Stärkung der Betroffenenrechte, umfangreiche Verpflichtungen der verantwortlichen Stellen zur Dokumentation und Compliance. 4

5 I. Inkrafttreten, unmittelbare Geltung und Ziele der DS-GVO: Anpassungsbedarf nach Art. 52 Abs. 4 DS-GVO?? 5

6 II. Anwendungsbereich: Verarbeitung von Daten: Erfassen Verbreiten Bereitstellen Weitergeben Erheben Verknüpfen Auslesen Abgleichen Speichern Verwenden Verändern Übermitteln Einschränken Anpassen Organisieren Abfragen Ordnen Vernichten Löschen 6

7 II. Anwendungsbereich: Anwendung auf die Verarbeitung personenbezogener Daten, die gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DS-GVO). Personenbezogene Daten sind solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO). Für die Identifizierbarkeit einer betroffenen Person genügt die Möglichkeit zur indirekten, d. h. unter Nutzung von Zusatzwissen erfolgenden Identifizierung. Zu berücksichtigen ist auch Wissen, das bei Dritten vorhanden ist. Beispiel: Über das KFZ-Kennzeichen und die Möglichkeit der Halterabfrage bei den KFZ- Zulassungsstellen kann eine Identifizierung des Halters ermöglicht werden. Insofern ist bereits das KFZ-Kennzeichen ein personenbezogenes Datum. 7

8 Rechtfertigung für Datenerhebung und verarbeitung Die Datenerhebung und -verarbeitung muss wie nach geltendem Recht gerechtfertigt sein ( Verbot mit Erlaubnisvorbehalt ). Erlaubnistatbestände sind: Einwilligung (Art. 6 Abs. 1 Satz 1 lit. a DS-GVO), Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Satz 1 lit. b DS-GVO), Verarbeitung aufgrund rechtlicher Verpflichtungen (Art. 6 Abs. 1 Satz 1 lit. c DS-GVO), Verarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). 8

9 Die Verarbeitung personenbezogener Daten ohne Rechtfertigungsgrund verpflichtet bei Vorliegen eines Schadens zum Schadenersatz und zur Haftung (Art. 82 DS-GVO). Darüber hinaus ist die Aufsichtsbehörde zur Verhängung einer Geldbuße berechtigt. 9

10 Rechenschafts- und Dokumentationspflichten erhebliche Änderungen im Bereich der Organisationspflichten (Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO) Der Verantwortliche ist für die Einhaltung [der Grundsätze für die Verarbeitung personenbezogener Daten] des Absatzes 1 verantwortlich und muss dessen Einhaltung [d. h. die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1] nachweisen können [,Rechenschaftspflicht ]. Handlungsbedarf:Vor dem Hintergrund der Haftungsgefahr sowie der Rechenschafts-und Dokumentationspflichten sollten die personenbezogenen Daten, die im Unternehmen verarbeitet werden, identifiziert und der jeweilige Rechtfertigungsgrund für ihre Verarbeitung dokumentiert werden. 10

11 Inhalt der Rechenschaftspflicht Die Unternehmen müssen jederzeit den Nachweis erbringen können, dass sie bei der Verarbeitung von personenbezogenen Daten die technisch-organisatorischen Anforderungen und die Datenschutzgrundsätze der DS-GVO einhalten. Folge ist eine Beweislastumkehr gegenüber den Aufsichtsbehörden und u. U. auch in sonstigen (z.b. zivilrechtlichen) Streitigkeiten wegen Datenschutzverstößen. Dies bedeutet, dass sich zukünftig die Unternehmen entlasten müssen. Dazu ist eine entsprechende Dokumentation vorzulegen. 11

12 Inhalt der Datenschutz-Dokumentation : die Grundsätze für die Verarbeitung personenbezogener Daten im Unternehmen, Risiko-und Datenschutzfolgeabschätzungen zu allen relevanten Verarbeitungstätigkeiten im Unternehmen, bereits eventuell identifizierte Datenschutzrisiken, Nachweise über die jeweils durchgeführten Datenschutzschulungen von Mitarbeitern und deren Dokumentation, Regeln für Kontrollen, Optimierung und Anpassung aller Datenschutzmaßnahmen. 12

13 Handlungsbedarf:Es besteht dringender Handlungsbedarf. Es sollte zügig mit der Vorbereitung einer Datenschutz-Dokumentation begonnen werden. Bestandsaufnahme bestehender Datenschutzstrukturen und Inventarisierung personenbezogener Daten im Unternehmen, Identifikation der Systeme, in welchen personenbezogene Daten gespeichert sind, Analyse der Verarbeitungsprozesse und deren Dokumentation. Ggf. identifizierte Datenschutzrisiken sind zu minimieren. Verpflichtung zur Errichtung eines Datenschutz-Managementsystem nach dem Vorbild eines Compliance-Managementsystems?? 13

14 Verfahrensverzeichnis Aktuelle Rechtslage : Aktuell hat der Datenschutzbeauftragte ein öffentliches Verfahrensverzeichnis zu erstellen und zu führen ( 4g Abs. 2 BDSG). Das Verfahrensverzeichnis ist eine Übersicht über die laufenden Datenverarbeitungen eines Unternehmens. Künftiges Recht: Künftig sind die Verantwortlichen (und nicht mehr der Datenschutzbeauftragte) verpflichtet, ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten im Unternehmen ( Verfahrensverzeichnis ) zu führen (Art. 30 Abs. 1 DS-GVO). 14

15 Davon erfasst sind z. B. personenbezogene Daten in: der Personaldatenverwaltung (einschließlich z. B. Zeiterfassung, Lohnbuchhaltung, Personalinformations- und Entwicklungssysteme etc.), Mandantendatenbanken eventuell im Unternehmen genutzten Customer-Relations-Systeme, -Systemen, Internetanschlüssen und Videoüberwachungssystemen. 15

16 Das Verfahrensverzeichnis hat folgende Pflichtangaben zu enthalten: Name und Kontaktdaten des Verantwortlichen sowie seines etwaigen Datenschutzbeauftragten, die jeweiligen Zwecke der Verarbeitung, die Kategorien von betroffenen Personen (z. B. Beschäftigte, Kunden und deren Mitarbeiter etc.) und die Kategorien von personenbezogenen Daten (z. B. Namen, Anschriften, - Adressen, Personalstammdaten, Standortdaten, Gesundheitsdaten etc.), Kategorien von Empfängern, gegenüber denen personenbezogene Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern, 16

17 Das Verfahrensverzeichnis hat folgende Pflichtangaben zu enthalten: Übermittlungen von personenbezogenen Daten in Drittländer, wenn möglich, die Fristen für die Löschung der personenbezogenen Daten. wenn möglich, eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen, die das Unternehmen nach Art. 32 DS-GVO vorsieht. 17

18 Hinweis: Da die Aufsichtsbehörden künftig bei Kontrollen zunächst nach dem Verzeichnis der Verarbeitungstätigkeiten fragen werden (gem. Art. 30 Abs. 4 DS-GVO ist das Verzeichnis den Behörden auf Verlangen vorzulegen), sollte dieses Verzeichnis sorgfältig erstellt und gepflegt werden. Die deutschen Aufsichtsbehörden haben eine Muster-Vorlage sowie weitere Hinweise für ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO bereitgestellt (Kurzpapiere der Datenschutzkonferenz, Kurzpapier Nr. 1 Verzeichnis von Verarbeitungstätigkeiten Art. 30 DS- GVO; presseinformationen/auslegungshilfen_zum_neuen_datenschutzrecht/auslegungshilfen-zum-neuendatenschutzrecht html) 18

19 Datenschutz- Folgenabschätzung und Konsultationspflicht Datenschutz durch Technik ( privacybydesign ) und durch datenschutzfreundliche Voreinstellungen ( privacy by default ) Stärkung der Rechte der Betroffenen Pflicht zur Information Nach aktuellem Recht bestehen lediglich eingeschränkte Informationspflichten gegenüber den Betroffenen ( 33 BDSG). Nach der Neuregelung (Art. 12 DS-GVO) müssen die von einer Datenverarbeitung betroffenen Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in Art. 13 und Art. 14 DS-GVO genannten Informationen unterrichtet werden. 19

20 Podolski geht nach Japan Der deutsche Fußball-Spieler Lukas Podolskispielt demnächst in einem anderen Verein. Der Verein ist in dem Land Japan. Er heißt Vissel Kobe. Podolski hat gesagt: Das ist eine neue Heraus- Forderung für mich. Der Vorsitzende von dem Verein VisselKobe heißt Hiroshi Makitani. Er hat gesagt: Wir freuen uns auf Lukas Podolski. 20

21 Als Beispiel für eine Information in präziser, transparenter, verständlicher und klaren und einfachen Sprache werden häufig die Datenschutzhinweise der Deutschen Telekom AG genannt (noch auf der Grundlage der aktuell geltenden Rechtslage). Grds. sind folgende Informationen mitzuteilen (Art. 13 DS-GVO): die Kontaktdaten des Verantwortlichen, den Datenschutzbeauftragten, die Zwecke der Datenverarbeitung, die Empfänger der Daten, ggf. bestehende Absicht der Übermittlung der Daten in ein Drittland, die Dauer der Speicherung der Daten sowie Hinweise auf die Rechte der DS-GVO nach Art (z.b. auf Auskunft und Berichtigung oder Löschung). 21

22 22

23 Recht auf Auskunft Recht auf Erhalt einer Kopie Pflicht zur Berichtigung Pflicht zur Löschung (einschließlich des neuen Rechts auf Vergessenwerden ) Pflicht zur Benachrichtigung Recht auf Sperrung Recht auf Datenübertragbarkeit 23

24 technischen und organisatorischen Maßnahmen ( TOMs ), Handlungsbedarf:Von höherer Priorität. Handlungsbedarf besteht danach insbesondere in Bezug auf die beiden neuen Punkte, die Pseudonymisierung und die Verfahren zur Überprüfung, Bewertung und Evaluierung der TOMs. Auftragsdatenverabeitung Bestehende Auftragsdatenverarbeitungsverträge sind im Hinblick auf die Neuregelungen aus der DS-GVO zu überprüfen und ggf. zu überarbeiten. Handlungsbedarf:Zunächst von geringerer Priorität. Die Verträge müssen im Mai 2018 überarbeitet sein. Dazu sind die Literatur und insbesondere auch die Veröffentlichungen der Aufsichtsbehörden zu verfolgen, welche Empfehlungen für den künftig geltenden Vertragstext gegeben werden. 24

25 IV. Rechtsfolgen bei Datenschutzverstößen: Eine weitere deutliche Änderung tritt bei der Haftungfür Verstöße gegen das neue Datenschutzrecht ein. Verstöße können sich z.b. aus dem Nichtvorhalten der notwendigen Dokumentation, einer Verarbeitung ohne Rechtfertigungsgrundlage, wie z.b. dem Fehlen der wirksamen Einwilligung, der Nichtgewährung der Rechte der Betroffenen oder Verstößen gegen allgemeine Grundsätze der Datenverarbeitung ergeben. Aktuell besteht ein Bußgeldrahmen von maximal , der im Ermessen der Aufsichtsbehörde steht ( 43 Abs. 3 BDSG). Künftig können Bußgelder bis zu 4 % des global erzielten Unternehmensumsatzes des jeweils vergangenen Jahres oder alternativ bis zu 20 Mio. betragen. 25

26 V. Datenschutzverletzung Meldepflichten: Führt eine Schutzverletzungvoraussichtlich zu einem Risiko für persönliche Rechte und Freiheiten der betroffenen Personen, dann meldet der Verantwortliche ohne unangemessene Verzögerung (höchstens 72 Stunden) an die Aufsichtsbehörde. Führt die Schutzverletzung zu einem hohen Risiko für persönliche Rechte und Freiheiten, dann benachrichtigt der Verantwortliche die betroffene Person ohne unangemessene Verzögerung. Ausnahmen: Daten sind verschlüsselt ODER es ist durch geeignete Maßnahmen sichergestellt, dass ein hohes Risiko aller Wahrscheinlichkeit nach nicht mehr besteht. Information der betroffenen Person kann durch öffentliche Bekanntmachung erfolgen 26

27 V. Datenschutzverletzung Meldepflichten: Inhalt der Meldung: Beschreibung der Art der Schutzverletzung Angabe der Kategorien der personenbezogenen Daten der betroffenen Person Anzahl der betroffenen Personen betroffene Datenkategorien Anzahl der betroffenen Datensätze Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners 27

28 V. Datenschutzverletzung Meldepflichten: Beschreibung der wahrscheinlichen Folgen Beschreibung der ergriffenen/vorgeschlagenen Gegenmaßnahmen Beschreibung der ergriffenen/vorgeschlagenen Maßnahmen zur Eindämmung möglicher nachteiliger Auswirkungen Darüberhinaus: Dokumentation der Schutzverletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Jede Schutzverletzung muss dokumentiert werden! 28

29 VI. Datenschutzbeauftragter: Wenn i.d.r. mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist eindatenschutzbeauftragter zu bestellen (Art. 37 DS-GVO, 38 DSAnpUG EU). Handlungsbedarf:Soweit noch nicht erfolgt, sollte bei Vorliegen der gesetzlichen Voraussetzungen ein Datenschutzbeauftragter bestellt werden. Diesem muss Gelegenheit gegeben werden, sich mit dem neuen Recht auseinanderzusetzen und Mitarbeiterschulungen vorzubereiten und umzusetzen. 29

30 Referent: RA/StB Alexander Hamminger Tel.: