10 Tipps zur neuen EU-Datenschutz- Grundverordnung DSGVO

Transkript

1 10 Tipps zur neuen EU-Datenschutz- Grundverordnung DSGVO Was ändert sich und um was müssen Sie sich jetzt kümmern? Webinar 6. Juli 2017 somartin - Fotolia

2 Präsentation 2

3 Datenschutz-Grundverordnung (DSGVO) Noch 322 Tage bis Inkrafttreten der DSGVO 3

4 Datenschutz-Grundverordnung (DSGVO) Stichtag ist der Es gibt keine Übergangsfrist - Die DSGVO tritt am in Kraft. - Sie müssen sich also bis zum um Uhr auf die neue Rechtslage eingestellt haben. Die bisherigen, nationalen Gesetze fallen weg oder werden ersetzt: - Ca. 50 Öffnungsklauseln in der DSGVO (-> DSAnpUG-EU): Entwurf des neuen BDSG wurde vom Bundestag beschlossen und ging am durch den Bundesrat 4

5 Datenschutz-Grundverordnung (DSGVO) und es wird teuer! Je nach Verstoß können Bußgelder verhängt werden - bis zu 10 Mio. EUR bzw. - bis zu 20 Mio. EUR bzw. - oder bis zu 4 % des gesamten, weltweit erzielten Jahresumsatzes, - je nachdem, welcher Betrag höher ist. Oliver Boehmer - bluedesign 5

6 Datenschutz-Grundverordnung (DSGVO) Und: Flucht ist keine Option! Die DSGVO gilt, wenn personenbezogene Daten von EU-Bürgern verarbeitet werden Senoldo Fotolia.com / durch Unternehmen mit Niederlassung in der EU, auch wenn die Datenverarbeitung außerhalb der EU stattfindet, / durch Unternehmen mit Niederlassung außerhalb der EU bei Datenverarbeitung im Zusammenhang mit dem (auch kostenlosen) Anbieten von Waren oder Dienstleistungen der Beobachtung des Verhaltens von Bürgern innerhalb der EU 6

7 Tipp 1 Passen Sie die Verträge mit Cloud-Anbietern an

8 Tipp1 Verträge mit Cloud-Anbietern anpassen Bisher: Auftragsdatenverarbeitungsverträge, 11 BDSG / Weisungsgebundene Auftragsdatenverarbeitung durch einen Dienstleister (= Auftragsnehmer) im Auftrag der verantwortlichen Stelle (= Auftragsgeber). / Separater, schriftlicher ADV-Vertrag erforderlich. Vladislav Kochelaevs - Fotolia 8

9 Tipp1 Verträge mit Cloud-Anbietern anpassen Neu nach DSGVO: Auftragsverarbeitungsverträge / Es ist nur noch ein Auftragsverhältnis bezüglich der Datenverarbeitung erforderlich und darauf, ob der Auftragsnehmer dabei weisungsgebunden arbeitet oder nicht, kommt es nicht mehr an. / Auch der Auftragnehmer haftet jetzt und hat eigene, gesetzliche Pflichten. Vladislav Kochelaevs - Fotolia 9

10 To Do 1 - Verträge mit Cloud-Anbietern anpassen Was ist also genau zu tun? / Zuständigkeiten/Team im Unternehmen festlegen (Datenschutzbeauftragter?), aber Haftung bleibt beim Verantwortlichen (=Geschäftsführung); Rechtsabteilung hinzuziehen. / Standardvertragsklauseln der EU-Kommission nach Art. 28 Abs. 7 und 8 DSGVO liegen noch nicht vor / Bereits jetzt: Schon mal Listung aller ADV und Vorbereitung neuer Verträge 10

11 Tipp 2 So dürfen Sie nach dem weiterhin Cloud-Anwendungen von US-Unternehmen nutzen

12 Tipp2 Cloud-Anwendungen von US-Unternehmen Es gab mal ein Safe-Habor-Abkommen Jakub Jirsk - Fotolia 12

13 Tipp2 Cloud-Anwendungen von US-Unternehmen Seit Sommer 2016 Privacy Shield: / Regeln Sie vertraglich, dass die Datenverarbeitung einschließlich Backup innerhalb der EU/des EWR stattfindet. / Datenverarbeitung außerhalb der EU/des EWR: / Zertifikat? / Nutzen Sie die EU-Standardvertragsklauseln oder Binding Corporate Rules, die von den Aufsichtsbehörden genehmigt wurden Alex White - Fotolia 13

14 Tipp2 Cloud-Anwendungen von US-Unternehmen Und: Gilt das Privacy Shield auch noch nach Inkrafttreten der DSGVO? / Antwort EU-Kommission auf eine Anfrage einer Abgeordneten des EU-Parlaments am : Das Privacy-Shield erfüllt die Anforderungen der DSGVO, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen. Alex White - Fotolia 14

15 To Do 2 Cloud-Anwendungen von US-Anbietern Was ist also genau zu tun? / Nichts! / Beobachten Sie die News, ob es bei der Einschätzung der EU- Kommission bleibt / oder nutzen Sie gleich Cloud-Angebote von Anbietern mit Servern innerhalb der EU/des EWR 15

16 Tipp 3 Überprüfen Sie die Zulässigkeit aller Prozesse im Unternehmen anhand der neuen Erlaubnistatbestände

17 Tipp3 Die neuen Erlaubnistatbestände Art. 6 DSGVO, u.a. / Einwilligung des Betroffenen; / berechtigtes Interesse an der Datenverarbeitung + schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen; / Erforderlichkeit / zur Erfüllung eines Vertrags; / für vorvertragliche Maßnahmen auf eine Anfrage hin; / zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen; Pixel - Fotolia 17

18 Tipp3 Die neuen Erlaubnistatbestände Darstellung/Informationspflicht für Unternehmen Unternehmen müssen über den Zweck die Rechtsgrundlage der DV informieren: / in der Datenschutzinformation (Art. 13, 14 DSGVO) / im Verfahrensverzeichnis (Art. 30 DSGVO) Pixel - Fotolia 18

19 To Do 3 Die neuen Erlaubnistatbestände Was ist also genau zu tun? / Überprüfen Sie alle Prozesse Ihrer bisherigen Datenverarbeitung dahingehend, ob Sie diese stützen können auf / Einwilligungen / Ihr berechtigtes Interesse an der Datenverarbeitung / Erforderlichkeit zur Erfüllung eines Vertrags, für vorvertragliche Maßnahmen oder zur Erfüllung einer rechtlichen Pflicht. / Fangen Sie an, die Datenschutzinfo und das Verfahrensverzeichnis zu formulieren. 19

20 Tipp 4 Messen Sie alle Prozesse an den (teils) neuen Datenschutzgrundsätzen

21 Tipp4 Die Datenschutzgrundsätze Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5 DSGVO / Rechtmäßigkeit / Treu und Glauben / Transparenz / Zweckbindung / Datensparsamkeit / Richtigkeit / Begrenzte Speicherung / Integrität und Vertraulichkeit Pixel - Fotolia 21

22 Tipp4 Die Datenschutzgrundsätze Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5 DSGVO / Rechtmäßigkeit / Treu und Glauben / Transparenz / Zweckbindung / Datensparsamkeit / Richtigkeit / Begrenzte Speicherung / Integrität und Vertraulichkeit Pixel - Fotolia 22

23 To Do4 Die Datenschutzgrundsätze Was ist also genau zu tun? Legen Sie zu jedem Prozess (im Verfahrensverzeichnis) z. B. fest / Zweckbindung: Zu welchem Zweck erfolgt die Datenverarbeitung: Werbe-Zwecke? / Datensparsamkeit: Ist die Abfrage der einzelnen Daten zur Erreichung des Zwecks erforderlich (z.b. im Lead-Management)? / Wann wird was gelöscht? 23

24 Tipp 5 So müssen Sie die neuen Einwilligungen ab dem einholen

25 Tipp 5 - Einwilligungen ab dem Das ist wichtig zur Einwilligung (Art. 7, 8 DSGVO): / Nachweisbar - also mit Protokollierung und Double Opt-In! / Betroffener muss bei Einwilligung (also im Onlineformular) darüber informiert werden, dass er ein Widerrufsrecht hat zu welchem Zweck die Datenverarbeitung erfolgt wer der Verantwortliche ist / nicht vorab angeklickte Checkbox Untätigkeit/Schweigen reicht nicht aus. mipan@fotolia.com 25

26 Tipp 5 - Einwilligungen ab dem Exkurs: Das neue berechtigte Interesse nach Art. 6 Abs. 1 f DSGVO / Berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen; / Dass es sich bei den Werbeinteressen der Onlinebranche um berechtigte Interessen im Sinne der DSGVO handeln kann, ergibt sich aus dem Erwägungsgrund 47. Dieser stellt ausdrücklich klar, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. / ABER ACHTUNG! Im -Marketing gilt weiterhin 7 UWG! 26

27 To Do 5 - Einwilligungen ab dem Was ist also genau zu tun? / Stellen Sie sämtliche Einwilligungsprozesse sofort um! 27

28 Tipp 6 So können Sie Alteinwilligungen weiterhin nutzen

29 Tipp6 Alte Einwilligungen weiterhin nutzen Erwägungsgrund 171 Alte Einwilligungen gelten über den hinaus und dürfen weiter genutzt werden, wenn sie / gem. der EU-DSRL 95/46/EG eingeholt wurden / und bereits jetzt den Anforderungen der DSGVO entsprechen: / Freiwilligkeit der Einwilligung: Kein Verstoß gegen Koppelungsverbot / Hinweis auf jederzeitiges Widerrufsrecht / Protokollierung/Nachweis mipan Fotolia.com 29

30 To Do 6 Alte Einwilligungen weiterhin nutzen Was ist also genau zu tun? / Prüfen Sie zu den bisherigen Einwilligungen, ob sie alle Rechtsanforderungen erfüllen: Freiwilligkeit, Hinweis auf das Widerrufsrecht, Nachweisbarkeit, Checkbox? / Ggf. sofortige Umstellung / Vorbereitung auf die Frage: Was soll mit unzulässigen Datenbeständen passieren? 30

31 Tipp 7 Das Wettbewerbsrecht gilt weiterhin

32 Tipp7 Das Wettbewerbsrecht gilt weiterhin Mitbewerber, die Wettbewerbszentrale usw. können direkt wettbewerbsrechtlich gegen den Versender vorgehen Grundsatz: 7 UWG Unzumutbare Belästigungen (2) Eine unzumutbare Belästigung ist stets anzunehmen [ ] Nr. 3 bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. AAA - Fotolia 32

33 Tipp7 Das Wettbewerbsrecht gilt weiterhin Ausnahme nach 7 III UWG: Zulässigkeit von Mails ohne ausdrückliche vorherige Einwilligung ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn 1. die Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung vom Kunden erhalten UND 2. die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet wird UND 3. der Kunde der Verwendung nicht widersprochen hat UND 4. der Kunde bei Erhebung der Adresse auf Verwendung und Widerspruchsmöglichkeit hingewiesen wurde. 33

34 Tipp7 Das Wettbewerbsrecht gilt weiterhin Und wie geht das mit Visitenkarten und so? 34

35 Tipp 8 Stellen Sie das Unternehmen auf die Betroffenenrechte ein

36 Tipp8 Die Betroffenenrechte Können Sie das? Das sind die neuen Rechte der Betroffenen, Art. 15 ff DSGVO / Auskunft / Löschung / Recht auf Vergessenwerden / Recht auf Datenübertragbarkeit / Widerspruchsrecht / Recht auf Einschränkung der Verarbeitung Jamrooferpix - Fotolia 36

37 Tipp8 Die Betroffenenrechte Können Sie das? Können Ihre jetzigen Prozesse das? / Anträge müssen unverzüglich, spätestens innerhalb eines Monats erledigt werden. / Verlängerung um zwei Monate möglich, wenn erforderlich; Mitteilung der Gründe für die Verzögerung an Betroffenen. / Bei Nicht-Tätigwerden: Unterrichtung des Betroffenen spätestens innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen. Jamrooferpix - Fotolia 37

38 Tipp8 Die Betroffenenrechte Können Sie das? Können Sie eigentlich löschen? / In welchen Systemen befinden sich die Datensätze zu einem Betroffenen? Gibt es mehrere? Können alle gleichzeitig gelöscht werden? / Gibt es Daten, die gesetzlich nicht gelöscht werden dürfen? / Alle Daten aktuell und zu einem Betroffenen auffindbar? Jamrooferpix - Fotolia 38

39 To Do 8 Die Betroffenenrechte Können Sie das? Was ist also genau zu tun? / Organisationsanweisung mit Regelung des Prozesses und der Zuständigkeiten / Ggf. Einrichtung eines Onlineformulars für die Anträge der Betroffenen (aber keine Pflicht zur Nutzung!) 39

40 Tipp 9 Stellen Sie sich auf Ihre Informationspflichten ein

41 Tipp9 Informationspflichten Informationspflichten für Unternehmen Art. 13, 14 DSGVO, u. a. / Zweck und Rechtsgrundlage der Datenverarbeitung; sollen z. B. berechtigte Interessen die Rechtsgrundlage sein, ist dazulegen, worin sie bestehen; / ggf. Informationen zum Datentransfer in Drittstaaten einschließlich der Rechtsgrundlage / Angaben zur Speicherdauer personenbezogener Daten bzw. Kriterien, nach denen sich die Speicherdauer bestimmt; Coloures-pic - Fotolia 41

42 Tipp9 Informationspflichten Informationspflichten für Unternehmen Art. 13, 14 DSGVO, u. a. / Information über das Bestehen der Betroffenrechte; / Hinweis, ob der der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist / ggf. Hinweis und Information zum Profiling oder eine andere Art von automatisierter Einzelfallentscheidung; / ggf. Herkunft der Daten: Werden die Daten nicht bei dem Betroffenen erhoben, sind die die Quellen anzugeben. Coloures-pic - Fotolia 42

43 To Do 10 Informationspflichten Was ist also genau zu tun? / Bereiten Sie die Anpassung der Rechtstexte (Datenschutzinfo, Nutzungsbedingungen, AGB) vor / Erarbeiten (oder überarbeiten) Sie Ihr Verfahrensverfahrensverzeichnis 43

44 Tipp 10 Prüfen Sie, ob Sie einen Datenschutzbeauftragten benötigen

45 Tipp10 Datenschutzbeauftragter Erforderlich? Heute / Muss u. a. bestellt werden, wenn 9 Personen personenbezogene Daten automatisiert verarbeiten oder weniger als 20 Personen personenbezogene Daten nicht-automatisiert verarbeiten; Weissblick - Fotolia 45

46 Tipp10 Datenschutzbeauftragter Erforderlich? 38 BDSG neu: DSB ist zu bestellen, wenn / im Unternehmen in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung p.b. Daten beschäftigt sind, / die Datenverarbeitung mit einem hohen Risiko für die Betroffenen verbunden ist / Sie p.b. Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung verarbeiten. Weissblick - Fotolia 46

47 To Do 10 Datenschutzbeauftragter Erforderlich? Was ist also genau zu tun? / Suchen Sie ggf. rechtzeitig nach einem geeigneten DSB 47

48 Präsentation 48

49 Vielen Dank für Ihre Aufmerksamkeit!