EU-DSGVO Dirk Benjowsky
AGENDA DSGVO Inkrafttreten Checkliste Grundsätze und Rechenschaftspflichten für die Verarbeitung personenbez. Daten Verzeichnis der Verarbeitungstätigkeiten TOM Dienstleisterverträge (Auftragsverarbeiter) Datenschutz-Folgenabschätzung Informationspflichten Vorgehen bei Datenschutzverletzungen (Datenpannen) Internetauftritt Datenübertragbarkeit / Datenkopie Datenschutzbeauftragter 2
EU-DSGVO Inkrafttreten der DSGVO am 25. Mai 2018! Was ist zu tun? 3
Grundsätze und Rechenschaftspflichten für die Verarbeitung pbd Überblick über die verarbeiteten Daten verschaffen, Rechtmäßigkeit der Verarbeitung prüfen Rechtfertigungsgrund, auf dem die Verarbeitung beruht (z.b. Vertragserfüllung, Einwilligung bei Verarbeitung besonderer Kategorien pbd nach Art. 9 DSGVO, berechtigte Interessen, Art. 6 Abs. 1 f DSGVO) Widerspruchsrechte des Betroffenen, Art. 21 Abs. 4 DSGVO (Direktwerbung, Verarbeitung aus berechtigtem Interesse) Transparenz der Verarbeitung / Informationspflichten aus Art. 13 und 14 DSGVO Zweckbindung, Dauer und angemessene Sicherheit der Verarbeitung prüfen Dokumentation der Rechtmäßigkeit der Verarbeitung (Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO erfüllen) 5
Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO Grenze: Stellen mit weniger als 250 Mitarbeiter Ein Verzeichnis über die Verarbeitung von Daten ist aber verpflichtend zu führen, wenn pbd nicht nur gelegentlich verarbeitet werden (regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten bereits ausreichend). Bei der Verarbeitung besonderer Datenkategorien (u.a. Gesundheitsdaten) ist ausnahmslos ein Verarbeitungsverzeichnis zu führen. Verpflichtend auch bei Scoring und Überwachungsmaßnahmen Fazit: Fast jeder muss ein solches Verzeichnis führen! 6
Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DSGVO Rechtsfolgen bei Verstoß Verstöße durch eine fehlende oder nicht vollständige Führung eines Verzeichnisses oder das Nichtvorlegen des Verzeichnisses nach Aufforderung durch die Aufsichtsbehörde können nach Art. 83 Abs. 4 a DSGVO mit einer (empfindlichen) Geldbuße sanktioniert werden. 7
TOM 8
Dienstleisterverträge (Auftragsverarbeiter) Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Vertrag entweder in elektronischer oder schriftlicher Form erforderlich. Beispiele für Auftragsverarbeitung: - Externe Lohnbuchhaltung - IT-Wartung mit der Möglichkeit oder Notwendigkeit, auf pbd zuzugreifen - Cloud-Betreiber - E-Mail-Konten-Anbieter (GMX, WEB.DE ect.) Keine Auftragsverarbeiter sind hingegen: - Steuerberater (in ihrer Funktion als solche), Rechtsanwälte, Betriebsärzte, Wirtschaftsprüfer, Banken, Postdienste 9
Datenschutz-Folgenabschätzung Eine Datenschutz-Folgenabschätzung ist grundsätzlich nur durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten Betroffener besteht. Aber wann ist das der Fall? Erforderlichkeit prüfen: - Werden Daten zum Zwecke des Profilings oder in Scoringverfahren verarbeitet? - Werden besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO umfangreich verarbeitet (z.b. Gesundheitsdaten)? - Findet die systematische Überwachung im öffentlichen Raum statt? - Werden Daten außerhalb der EU verarbeitet? Die Datenschutzbehörden werden (künftig ) eine Blacklist veröffentlichen, in der Datenverarbeitungsvorgänge benannt werden, für die eine Datenschutz-Folgenabschätzung zwingend erforderlich ist. 10
Informationspflichten (Art. 13 & 14 EU-DSGVO) Erstellung von Informationsblättern für sämtliche Verarbeitungsvorgänge von pbd u.a. hinsichtlich: Kontaktdaten der verantwortlichen Stelle Ggf. Kontaktdaten des Datenschutzbeauftragten Speicherdauer von Daten (muss konkret benannt werden) Zweck der Datenverarbeitung Empfänger der Daten bei Datenweitergabe Rechtsgrundlage der Datenverarbeitung Datenspeicherung in Drittland (Mitteilungspflicht!) Rechte der Betroffenen (Auskunft, Beschwerderecht, Widerruf von Einwilligungen) Angaben zur Verpflichtung über die Bereitstellung von Daten und Rechtsfolgen Wann und wie sind die Informationen zur Verfügung zu stellen? Die Informationen sind zum Zeitpunkt der Erhebung der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form schriftlich, gegebenenfalls elektronisch zu erteilen. 11
Vorgehen bei Datenschutzverletzungen (Datenpannen) 1. Zeitraum oder Zeitpunkt des Vorfalls mit möglichst präziser Zeitangabe 2. Zeitpunkt der Feststellung des Vorfalls 3. Ursache bzw. Ort der Datenpanne 4. Welche Dritten haben Kenntnis erlangt bzw. hatten Möglichkeit zur Kenntnisnahme? 5. Art und Inhalt der betroffenen personenbezogenen Daten 6. Technische und organisatorische Maßnahmen, die die meldepflichtige Stelle ergriffen hat 7. Anzahl der Betroffenen (ggf. Schätzung) 8. Mögliche Folgen bzw. nachteilige Auswirkungen für Betroffene (z. B. finanzieller Schaden) Wann hat eine Meldung zu erfolgen? Besteht für Betroffene ein hohes Risiko besteht insoweit eine Informationspflicht gem. Art. 34 DSGVO gegenüber der Datenschutzbehörde. Die Meldung muss i.d.r. innerhalb von 72 Stunden erfolgen. 12
Internetauftritt Fast alle Website-Betreiber müssen sich auf die neuen, verschärften Regelungen bei Nutzung von Komponenten wie einfachen Kontaktformularen, Analyse-Werkzeugen oder Social-Media Plug-Ins vorbereiten. Außerdem sind die neuen Informationspflichten zu beachten, insbesondere auch Hinweise auf bestehende Widerrufs- und Widerspruchsrechte. Betroffen: Alle Website-Betreiber (mit Ausnahme rein privater Websites), denn zwangsläufig werden die IP-Adressen der Besucher an den Webserver übertragen, was nach der DSGVO regelmäßig als Verarbeitung personenbezogene Daten einzustufen sein dürfte. Strengere Informationspflichten auf der Website Betroffen sind das Kontaktformular, Newsletter, Cookies, Analyse-Tools, Social-Media-Plug- Ins, Hinweise auf Rechte und Ansprüche der Nutzer, was u.a. zur Folge hat, dass die Datenschutzerklärung grundlegend zu überarbeiten ist. 13
Internetauftritt Was ist bei Kontaktformularen künftig zu beachten? - Datenübermittlung nur mit aktuellen Verschlüsselungsverfahren (DSGVO fordert angemessene Sicherheit" der personenbezogenen Daten) - Grundsatz der Datenminimierung bzw. Datensparsamkeit beauchten. (nur solche Daten erheben, die für den jeweiligen Zweck benötigt werden) - Angabe des Zwecks der Datenverarbeitung als Hinweistext im Kontaktformular Newsletter: Es wird nur die E-Mail-Adresse benötigt, nicht aber weitere persönliche Daten. Felder zur Erfassung dieser Pflichtangaben sind eindeutig zu kennzeichnen. Dass weitere Angaben freiwillig sind, muss ersichtlich sein. 14
Internetauftritt Kein E-Mail-Newsletter-Versand ohne wirksame Einwilligung - Verpflichtung, eine explizite Einwilligung des Nutzers einzuholen - Einwilligung muss freiwillig und in unmissverständlicher Weise erfolgen - Versender muss darüber informieren, in welchem Umfang, zu welchem Zweck und von wem die personenbezogenen Daten verarbeitet werden Nachweis, dass der Nutzer einer E-Mail-Adresse einen Newsletter auch tatsächlich (selbst) abonniert hat: Versand des Newsletters erst nach Rückfrage bei der angegebenen E-Mail-Adresse und nach Zugang der Bestätigungs-Mail (Double-Opt-In-Prinzip). 15
Internetauftritt Auch Cookies fallen unter die DSGVO - Wiedererkennung der Nutzer durch entsprechende Techniken = pbzg. Daten - Einwilligung (derzeit) nicht zwingend, wenn berechtigte Interessen (z.b. Nutzungskomfort der Website) die Verarbeitung pbzg. Daten rechtfertigen (sonst Einwilligung erforderlich) Erforderlich ist aber nach 15 Abs. 3 Telemediengesetz (TMG), dass der Nutzer über die Verwendung von Cookies zu informieren und darauf hinzuweisen ist, dass er ein Widerspruchsrecht gegen deren Verwendung hat (sog. Opt-Out Verfahren). 16
Internetauftritt Analyse-Tools Hinzuweisen ist auf den Einsatz von Analyse-Tools wie etwa Google Analytics. Die Nutzer sind nicht nur über den Einsatz des Tools in den Datenschutzhinweisen zu informieren, es ist auch ein Widerspruchsrecht einzuräumen. Google Analytics ist so einzustellen, dass erfasste IP-Adressen anonymisiert werden (mittels Google-Erweiterung möglich). Außerdem ist ein Vertrag zur Auftragsverarbeitung mit Google erforderlich. 17
Social-Media-PIug-Ins und DSGVO Internetauftritt Über die Erweiterungen sammeln die sozialen Netzwerke, ähnlich wie andere Analyse- und Tracking-Werkzeuge, Daten mit Hinweisen zum Surfverhalten der Nutzer und können daraus Nutzerprofile erstellen. Es werden auch Daten nicht eingeloggter oder nicht registrierter Webseitenuser erfasst, insbes. die IP-Adresse, so dass der Anwendungsbereich der DSGVO eröffnet sein kann. - Rechtfertigungsgrund berechtigte Interessen aus Art. 6 Abs. 1 f DSGVO? Antwort: Nein. - Rechtfertigungsgrund Einwilligung? Antwort: Ja, aber Umsetzungsaufwand aufgrund Nachweispflichten und Widerrufsrecht - Lösung: 2-Klick-Lösung mit Double-opt-in oder Shariff Lösung 18
Internetauftritt Fazit: Die Aktualisierung des Internetauftritts sollte bis 25. Mai 2018 abgeschlossen sein. Es drohen nicht nur Bußgelder durch die Datenschutzbehörden, sondern auch Abmahnungen, die durch rechtzeitiges Handeln vermieden werden können. 19
Datenübertragbarkeit (Art. 20 EU-DSGVO) Bereitstellung der Daten für Betroffene bei Ausübung ihres Rechts auf Datenübertragbarkeit: Analyse aller Systeme auf die Speicherung von Betroffenendaten (Kundendaten / Mitarbeiterdaten) Je nach Größe des Unternehmens Entwicklung automatisierter Abfragen zur Zusammenstellung der benötigten Daten (andernfalls müssen die Daten manuell zusammengestellt werden) Bereitstellung der Daten für den betroffenen in einem strukturierten, maschinenlesbaren Format Ggf. direkte Übermittlung der Daten an einen neuen Anbieter 20
Datenschutzbeauftragter 38 BDSG-neu: Datenschutzbeauftragter Erforderlich, sobald sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht. Eine Kerntätigkeit ist anzunehmen, wenn die Verarbeitung personenbezogener Daten primärer Geschäftszweck eines Unternehmens ist oder die Erfüllung des primären Geschäftszwecks ohne die Verarbeitung personenbezogener Daten nicht erreicht werden kann und es sich hierbei nicht um herkömmliche Unternehmensaufgaben handelt, die unabhängig vom eigentlichen Geschäftszweck anfallen. 21
Kontakt Dirk Benjowsky Rechtsanwalt Geprüfter Datenschutzbeauftragter der Versicherungswirtschaft (DVA) Externer Datenschutzbeauftragter Ligusterweg 27 76337 Waldbronn 07243 3587469 0170 5348892 datenschutz@anwalt-waldbronn.de 22