Verzeichnisführungspflicht

Transkript

1 Verzeichnisführungspflicht Art 30 DS-GVO Tagung Das neue Datenschutzrecht, 1. Februar 2018 Sebastian Krempelmeier FB Öffentliches Recht, Völker- und Europarecht (Verfassungs- und Verwaltungsrecht)

2 1 Inhalt 1) Allgemeines 2) Aufbau des Artikel 30 3) Wer muss ein Verzeichnis führen? 4) Was muss ein Verzeichnis enthalten? 5) Wie muss ein Verzeichnis aussehen? 6) Welche Folgen kann die Nichteinhaltung haben? 7) Zusammenfassung

3 2 Allgemeines VVT-Pflicht löst Pflicht zur DVR-Meldung ab Hauptzweck: Nachweis der Einhaltung der DS-GVO und Kontrollmöglichkeit durch die Aufsichtsbehörde Anknüpfungspunkt für Erfüllung anderer Pflichten

4 3 Aufbau des Artikel 30 Abs 1: Verzeichnis des Verantwortlichen Abs 2: Verzeichnis des Auftragsverarbeiters Abs 3: Form des Verzeichnisses Abs 4: Herausgabe an Aufsichtsbehörde Abs 5: Ausnahmebestimmung

5 4 Wer muss ein Verzeichnis führen? Art 30 Abs 1, 2 und 5 DS-GVO Jeder Verantwortliche und ggf. dessen Vertreter Jeder Auftragsverarbeiter und ggf. dessen Vertreter hinsichtlich aller Verarbeitungstätigkeiten, außer es liegen die Voraussetzungen für eine Befreiung vor.

6 Ausnahme Art 30 Abs 5 DS-GVO Ausgenommen sind nur Verarbeitungstätigkeiten von 1. Unternehmen oder Einrichtungen mit 2. weniger als 250 Mitarbeitern, die außerdem 3. nur gelegentlich erfolgen und 4. keine sensiblen Daten (Art 9/10) betreffen und 5. kein Risiko für Rechte und Freiheiten der betroffenen Personen darstellen. 5

7 6 Probleme der Ausnahmebestimmung (1) Keine Erleichterung für KMU: Jede Verarbeitungstätigkeit muss einzeln geprüft werden (2) Anwendungsbereich minimal: jede nicht nur gelegentliche (= laufende/regelmäßige?) Datenverarbeitung muss dokumentiert werden

8 7 Wer muss ein Verzeichnis führen? Zusammenfassung Fast jeder Verantwortliche und fast jeder Auftragsverarbeiter hinsichtlich fast jeder Verarbeitungstätigkeit. Ausgenommen ist fast keine Verarbeitungstätigkeit.

9 8 Was muss ein Verzeichnis enthalten? Verzeichnis des Verantwortlichen (Art 30 Abs 1 DS-GVO) 1. Bezeichnung der Verarbeitungstätigkeiten 2. Name und Kontaktdaten des Verantwortlichen (u.a.) 3. Zwecke der Verarbeitungstätigkeiten 4. Betroffene Personengruppen 5. Datenkategorien 6. Empfängergruppen 7. Empfänger in Drittstaaten 8. Löschungsfristen 9. Datensicherheitsmaßnahmen

10 9 Was ist eine Verarbeitungstätigkeit? Keine Legaldefinition in der DS-GVO Verarbeitung (Art 4 Z 2): Vorgang oder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (zb Erfassen, Speichern) Verarbeitungstätigkeit: Bündel von Verarbeitungen mit gemeinsamem Zweck/gemeinsamen Zwecken

11 Beispielverzeichnis 10 Verarbeitungstätigkeit: Personalverwaltung

12 11 Angaben zur Verarbeitungstätigkeit 1/4 a) Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen seines Vertreters des Datenschutzbeauftragten b) Zweck(e) der Verarbeitungstätigkeit möglichst vollständig und konkret Zweck: Ziel/beabsichtigtes Ergebnis einer Verarbeitung(stätigkeit) werden vom Verantwortlichen festgelegt

13 12 Beispielverzeichnis Verarbeitungstätigkeit: Personalverwaltung Zweck(e): Lohnverrechnung; Bewerberverwaltung Kontaktdaten: (Name) (Adresse)

14 13 Angaben zur Verarbeitungstätigkeit 2/4 c) Kategorien betroffener Personen ( Personengruppen ) Ansatz für Kategoriebildung: Welche Datenarten fallen bei welchen Personen an? Kategorien personenbezogener Daten ( Datenarten ) Ansatz für Kategoriebildung (?): Welche Löschfristen fallen bei welchen Datenarten an?

15 Beispielverzeichnis 14 Verarbeitungstätigkeit: Personalverwaltung Zweck(e): Lohnverrechnung; Bewerberverwaltung Kontaktdaten: (Name) (Adresse) Personengruppe Datenkategorie Arbeitnehmer, Lehrlinge, ( ) Bewerber Personendaten Adressdaten SVNR Personendaten

16 15 Angaben zur Verarbeitungstätigkeit 3/4 d) Kategorien von Empfängern ( Empfängergruppen ) - Empfänger: Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden - auch Abteilungen innerhalb desselben Rechtsträgers e) Übermittlungen in Drittland/an internationale Organisation - Erweiterte Pflichten gegenüber lit d

17 Beispielverzeichnis 16 Verarbeitungstätigkeit: Personalverwaltung Zweck(e): Lohnverrechnung; Bewerberverwaltung Übermittlungen in Drittland: keine Kontaktdaten: (Name) (Adresse) Personengruppe Datenkategorie Empfängergruppe Arbeitnehmer, Lehrlinge, ( ) Personendaten Adressdaten SVNR Intern Extern 1, Extern 2 Int., Ext.1, Ext.2 Int., Ext.1, Ext.2 Bewerber Personendaten Int. Empfängerkategorien: Intern (Unternehmensleitung, Rechnungswesen) Extern (Ext.1 = Sozialvers., Ext.2 = Gläubiger)

18 Angaben zur Verarbeitungstätigkeit 4/4 f) vorgesehene Löschungsfristen - Grundsatz der Speicherbegrenzung (Art 5 Abs 1 lit e) - Verweis auf gesetzliche Grundlage genügt nicht g) allgemeine Beschreibung der Sicherheitsmaßnahmen gem. Art 32 Abs 1 - Zentraler Verweis auf IT-Sicherungskonzept 17

19 Beispielverzeichnis 18 Verarbeitungstätigkeit: Personalverwaltung Zweck(e): Lohnverrechnung; Bewerberverwaltung Übermittlungen in Drittland: keine Sicherheitsmaßnahmen: Siehe ISMS. Kontaktdaten: (Name) (Adresse) Personengruppe Datenkategorie Empfängergruppe Löschfrist Arbeitnehmer, Lehrlinge, ( ) Personendaten Intern Extern 1, Extern 2 30 Jahre Adressdaten Int., Ext.1, Ext.2 30 Jahre SVNR Int., Ext.1, Ext.2 3 Jahre Bewerber Personendaten Int. 6 Monate Empfängerkategorien: Intern (Unternehmensleitung, Rechnungswesen) Extern (Ext.1 = Sozialvers., Ext.2 = Gläubiger)

20 Beispielverzeichnis 19 Verarbeitungstätigkeit: Personalverwaltung Zweck(e): Lohnverrechnung; Bewerberverwaltung Übermittlungen in Drittland: keine Sicherheitsmaßnahmen: Siehe ISMS. Kontaktdaten: (Name) (Adresse) Personengruppe Datenkategorie Empfängergruppe Löschfrist Arbeitnehmer, Lehrlinge, ( ) Personendaten Intern Extern 1, Extern 2 30 Jahre Adressdaten Int., Ext.1, Ext.2 30 Jahre SVNR Int., Ext.1, Ext.2 3 Jahre Bewerber Personendaten Int. 6 Monate Empfängerkategorien: Intern (Unternehmensleitung, Rechnungswesen) Extern (Ext.1 = Sozialvers., Ext.2 = Gläubiger)

21 20 Wie muss ein Verzeichnis aussehen? Art 30 Abs 3 DS-GVO Schriftlich oder elektronisch - Tabellendokument - Textdokument (mit Formularen) - (Kombination aus Formular und Tabelle) - Spezielle Software

22 Welche Folgen kann die Nichteinhaltung haben? Geldbuße (Art 83 Abs 4 lit a): bis zu 10 Mio oder 2 % des weltweiten Jahresumsatzes - Verstoß gegen Verzeichnisführungspflicht genügt; Rechtswidrigkeit der Verarbeitung nicht erforderlich. - Tatbestandsmäßige Sachverhalte: Fehlendes Verzeichnis Unvollständiges Verzeichnis Unrichtiges Verzeichnis - Adressat: Verantwortlicher/Auftragsverarbeiter Verwarnung gem Art 58 Abs 2 lit b DS-GVO (?) 21

23 22 Zusammenfassung Wer muss ein Verzeichnis führen? Was muss ein Verzeichnis enthalten? Wie muss ein Verzeichnis aussehen? Folgen der Nichteinhaltung

24 Fragen und Diskussion 23