100 Tage EU Datenschutz-Grundverordnung Erste Erfahrungen und Ausblick Fachtagung Assekuranz 20.09.2018 Rechtsanwalt Michael Kamps
Datenschutz plötzlich in aller Munde! DSGVO September 2018 Quellen: impulse.de; handelsblatt.com, daserste.de 2
Datenschutz aus der Nische zur Hysterie? DSGVO September 2018 Quelle: twitter.com 3
DSGVO Thesen Die DSGVO ist nicht der Anfang des Datenschutzes! Die DSGVO ist nicht das Ende (der Werbung, aller geschäftlichen Tätigkeit, )! ABER: Die DSGVO verstärkt bereits vorhandene Regulierungsansätze, z.b. Sanktionen z.b. interne Dokumentation z.b. Transparenz & Betroffenenrechte 100 Tage DSGVO September 2018 4
Sanktionen Materiell < 20 Mio. oder < 4% weltweiter Vorjahresumsatz Materiell < 300.000 Formal < 50.000 Formal < 10 Mio. oder < 2% weltweiter Vorjahresumsatz 100 Tage DSGVO September 2018 5
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ( ) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. (Artikel 4 Nr. 1 DSGVO)
Datenschutzrechtliches Grundprinzip Die Verarbeitung personenbezogener Daten ist verboten es sei denn, sie ist erlaubt durch gesetzliche Vorschrift oder Einwilligung des Betroffenen. DSGVO September 2018 7
DSGVO Wesentliche Anforderungen Verantwortlicher Formale Anforderungen WIE müssen Daten verarbeitet werden?? Materielle Anforderungen Ist Datenverarbeitung erlaubt? = OB Dokumentation z.b. Verzeichnis von Verarbeitungstätigkeiten, Vereinbarungen über Auftragsverarbeitung Transparenz z.b. Information von Betroffenen Betroffenenrechte z.b. Auskunft, Berichtigung, Löschung, Widerspruch, Datenportabilität 100 Tage DSGVO September 2018 8
Zulässigkeitsalternativen Datenschutzrechtliche Zulässigkeit Gesetzliche Vorschrift Einwilligung Freiwillig! Widerruflich! Erforderlich zur Durchführung eines Vertrages mit dem Betroffenen Erforderlich zur Erfüllung einer rechtlicher Verpflichtung Erforderlich zur Wahrung berechtigter Interessen + keine überwiegenden Gegeninteressen des Betroffenen 100 Tage DSGVO September 2018 9
100 Tage DSGVO Aufsichtsbehörden Betroffene Personen Markt Politik DSGVO September 2018 10
Aufsichtsbehörden DSGVO September 2018 Quelle: Google Street View 11
Aufsichtsbehörden Bislang keine (öffentlich bekannten) Bußgelder in Deutschland, UK, Frankreich Erstes DSGVO-Bußgeld in Österreich: EUR 4.800 wg. Videoüberwachung ABER Insgesamt wohl erhöhtes Aufkommen an Beschwerden von betroffenen Personen an Aufsichtsbehörden (+ 50% ICO UK, CNIL FR) Wohl erhöhtes Aufkommen an Meldungen zu Datenschutzverletzungen "Planprüfungen", z.b. Bayern Rechenschaftspflicht (09/2018 drei Großunternehmen), Informationspflicht im Bewerbungsverfahren (10/2018 25 Unternehmen), Datenschutzverletzungen und internationale Sub-Dienstleister (11/2018 fünf Großunternehmen) Weiterhin: Auslegungshilfen, Tätigkeitsberichte 100 Tage DSGVO September 2018 12
Betroffene Personen 100 Tage DSGVO September 2018 13
Betroffene Personen Insgesamt wohl steigende Anzahl an Betroffenenanfragen Auskunft, Löschung, Widerspruch, Datenportabilität Schwerpunkte wohl e-commerce, "Digitalunternehmen" Microsoft: 5 Millionen, 200 Länder Auch: Beschäftigtendaten, "sensible Daten" (Gesundheitsdaten) Insgesamt auch steigende Anzahl an Beschwerden bei Aufsichtsbehörden Bislang keine (öffentlich bekannten) Schadensersatzansprüche 100 Tage DSGVO September 2018 14
Markt Offensichtlich keine "DSGVO-Abmahnwelle" ABER: 100 Tage DSGVO September 2018 Quellen BVDW, zeit.de 15
Politik Deutschland: Anpassung des nationalen Rechts Datenschutzrecht Zivilrecht? (demnächst im Bundestag ) Europäische Union Gesetzgebungsverfahren eprivacy 100 Tage DSGVO September 2018 16
Mind the (legal) gap! Operativ sinnvoll Technisch möglich rechtlich zulässig DSGVO September 2018 17
Michael Kamps Rechtsanwalt CMS Hasche Sigle Kranhaus 1 Im Zollhafen 18 50678 Köln T +49 221 7716 372 F +49 221 7716 235 E michael.kamps@cms-hs.com DSGVO September 2018
CMS Hasche Sigle ist eine der führenden wirtschaftsberatenden Anwaltssozietäten. Mehr als 600 Anwälte sind in acht wichtigen Wirtschaftszentren Deutschlands sowie in Brüssel, Moskau, Peking und Shanghai für unsere Mandanten tätig. CMS Hasche Sigle ist Mitglied der CMS Legal Services EEIG, einer europäischen wirtschaftlichen Interessenvereinigung zur Koordinierung von unabhängigen Anwaltssozietäten. CMS EEIG ist nicht für Mandanten tätig. Derartige Leistungen werden ausschließlich von den Mitgliedssozietäten in den jeweiligen Ländern erbracht. CMS EEIG und deren Mitgliedssozietäten sind rechtlich eigenständige und unabhängige Einheiten. Keine dieser Einheiten ist dazu berechtigt, im Namen einer anderen Verpflichtungen einzugehen. CMS EEIG und die einzelnen Mitgliedssozietäten haften jeweils ausschließlich für eigene Handlungen und Unterlassungen. Der Markenname "CMS" und die Bezeichnung "Sozietät" können sich auf einzelne oder alle Mitgliedssozietäten oder deren Büros beziehen. www.cmslegal.com CMS-Standorte: Aberdeen, Algier, Amsterdam, Antwerpen, Barcelona, Belgrad, Berlin, Bratislava, Bristol, Brüssel, Budapest, Bukarest, Casablanca, Dubai, Düsseldorf, Edinburgh, Frankfurt / Main, Genf, Glasgow, Hamburg, Istanbul, Kiew, Köln, Leipzig, Lissabon, Ljubljana, London, Luxemburg, Lyon, Madrid, Mailand, Maskat, Mexiko-Stadt, Moskau, München, Paris, Peking, Podgorica, Prag, Rio de Janeiro, Rom, Sarajevo, Sevilla, Shanghai, Sofia, Straßburg, Stuttgart, Tirana, Utrecht, Warschau, Wien, Zagreb und Zürich. CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbb, Sitz: Berlin (AG Charlottenburg, PR 316 B), Liste der Partner: s. Website. www.cms-hs.com