Agenda Fachkundig beraten Datenschutzgestaltung durch Technik Eine Kurzeinführung Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht it-sa, Nürnberg, den 20.10.2016 Rödl & Partner 06.12.2012 1
Agenda 01 Worum geht es? 02 Was ist neu? 03 Was heißt dies in der praktischen Umsetzung? 04 Was bedeutet dies für die IT-Praxis? 2
Agenda 01 Worum geht es? 02 Was ist neu? 03 Was heißt dies in der praktischen Umsetzung? 04 Was bedeutet dies für die IT-Praxis? 3
Agenda 1. Worum geht es? Compliance und Haftungsrisiken Verantwortlichkeit der Geschäftsleitung für pd/ud 91 Abs. 2 AktG 41 Abs. 2 GmbHG 130, 30 OWiG Vorstand Geschäftsführer Geschäftsleitung, leitende Angestellte Folge bei schuldhaftem Verstoß persönliche Haftung der Geschäftsleitung 4
1.Worum Agenda geht es? Neues, verschärftes Sanktionsregime: Erhebliche Anhebung der Bußgelder: 10 Mio. / 2 % des weltweiten Jahresumsatzes 20 Mio. / 4 % des weltweiten Jahresumsatzes Beschwerderecht Betroffener, Art. 77 DSGVO Gerichtlicher Rechtsbehelf Betroffener gegen Verantwortlichen, Art. 79 DSGVO Verbandsklagerecht, Art. 80 DSGVO Schadensersatzansprüche auch für Vermögensschaden, Art. 82 DSGVO Erweiterte Untersuchungs- und Abhilfebefugnisse der Aufsichtsbehörden, Art. 58 f. DSGVO 5
Agenda 1. Worum geht es? die Einhaltung folgender Grundsätze und Anforderungen: Allgemeine Grundsätze, Art. 5 DSGVO Widerspruchsrechte, Art. 21 DSGVO Zweckbindung und Rechtmäßigkeit, Art. 5 (1) b) DSGVO, Art. 6 DSGVO Erlaubnistatbestände und Interessenabwägung, Art. 6 DSGVO Informationspflichten, Art. 13 ff. DSGVO Werbemaßnahmen und Direktmarketing, Art. 6 Abs. 1 ff. DSGVO, EG (47) Automatisierte Entscheidungen, Art. 22 DSGVO Datensparsamkeit, Art. 5 (1) c) DSGVO Profiling, Art. 4 DSGVO Privacy-by-Design / -Default, Art. 25 DSGVO Einhaltung technisch organisatorischer Maßnahmen, Art. 32 DSGVO Einhaltung genehmigter Verhaltensregeln und Zertifizierung, Art. 40, 41 DSGVO Datenschutzfolgenabschätzung, Art. 35 DSGVO Auftragsverarbeitung / Joint Controllership, Art. 26, 28 DSGVO Datenübermittlung, insbesondere international, Art. 44 ff. DSGVO 6
Agenda 1. Worum geht es? durch die neuen Anforderungen zur it-technischen Absicherung des Datenschutzes: BDSG DSGVO weitere Neuerungen technisch-organisatorische Maßnahmen 9 + Anlage zu 9 BDSG Art. 32 DSGVO: Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen mit verschärften Anforderungen Art. 24 DSGVO, technisch organisatorische Maßnahmen + Datenschutzvorkehrungen Art. 25 DSGVO Privacy-by-Design Privacy-by-Default Genehmigte Verhaltensregeln / Zertifizierungen, Art. 40, 41 DSGVO Datenschutzfolgenabschätzung, Art. 35 DSGVO 7
Agenda 01 Worum geht es? 02 Was ist neu? 03 Was heißt dies in der praktischen Umsetzung? 04 Was bedeutet dies für die IT-Praxis? 8
2. Agenda Was ist neu? Pflicht zur Pseudonymisierung, Art. 32 Abs. 1 a) DSGVO als Mittel der Datensicherung (neben der Verschlüsselung) spezielle Pflicht zur Datensicherung, Art. 32 Abs. 1 b) DSGVO zur Ermöglichung einer raschen Wiederherstellung, Art. 32 Abs. 1 c) DSGVO durch Verfügbarkeit und Belastbarkeit regelmäßige Prüfung + Evaluierung, Art. 32 Abs. 1 d) DSGVO Relevanz: Bußgeld bei Verstoß: 10 Mio. / 2 % des weltweiten Jahresumsatzes Berücksichtigung bei Schwere eines (anderen) Datenschutzverstoßes, Art. 83 Abs. 2 d) DSGVO 9
2. Agenda Was ist neu? Allgemeine Verpflichtung zum Ergreifen technischer und organisatorischer Maßnahmen, Art. 24 Abs. 1 DSGVO Pflicht zu Datenschutzvorkehrungen, Art. 24 Abs. 2 DSGVO Ausdrückliche Verpflichtung zu Privacy-by-Design / Default zur Einhaltung der Grundsätze der DSGVO Ausdrückliche Verpflichtung zur Datenschutzfolgenabschätzung, Art. 35 DSGVO Absicherung des Datenschutzes über genehmigte Verhaltensregeln und Zertifizierungen, Art. 40, 41 DSGVO 10
Agenda 01 Worum geht es? 02 Was ist neu? 03 Was heißt dies in der praktischen Umsetzung? 04 Was bedeutet dies für die IT-Praxis? 11
3. Agenda Titel Was heißt dies in der praktischen Umsetzung? Datensicherung technisch-organisatorische Maßnahmen ist insbesondere durch sind nachzuweisen durch Pseudonymisierung / Verschlüsselung Datenschutz-Richtlinien Belastbarkeit Dokumentation der Verfügbarkeit Evaluierung und Prüfung zu implementieren dokumentieren in der Praxis zu leben Umsetzung + Einhaltung der richtlinienkonformen Abläufe 12
Agenda 3. Was heißt dies in der praktischen Umsetzung? IT-Systeme / -Applikationen / -Infrastrukturen müssen technisch so ausgestaltet sein, dass DSGVO-Anforderungen erfüllt werden Sämtliche ERP-Systeme ebenso wie HR-Systeme, CRM-Systeme, Software- Applikationen sind im Hinblick auf die Datenschutzanforderungen zu konzipieren und designen Genehmigte Verhaltensregeln / Zertifizierungen können dabei unterstützen Datenschutzfolgenabschätzung zwingt dazu, die Grundsätze zu berücksichtigen Bei Verstoß drohen Bußgelder von 10 / 20 Mio., 2 % / 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres 13
Agenda 3. Was heißt dies in der praktischen Umsetzung? Fazit: Datenschutz ist bei der Auswahl / Konzeptionierung / dem Design neuer IT mit zu denken und zu implementieren Datensicherheit mittels Verschlüsselung, Pseudonymisierung, Verfügbarkeit und Belastbarkeit erhält eine neue Bedeutung für den Datenschutz durch Technikgestaltung 14
Agenda 01 Worum geht es? 02 Was ist neu? 03 Was heißt dies in der praktischen Umsetzung? 04 Was bedeutet dies für die IT-Praxis? 15
Agenda 4. Was bedeutet dies für die IT-Praxis? Diese Frage beantwortet nun Herr Maximilian Schrems 16
Ihr Agenda Ansprechpartner Bild Dr. Christiane Bierekoven Rechtsanwältin Fachanwältin für IT-Recht Rödl & Partner Äußere Sulzbacher Str. 100 D-90491 Nürnberg Telefon +49 (911) 9193-1507 Fax +49 (911) 9193-1599 christiane.bierekoven@roedl.com Jeder Einzelne zählt bei den Castellers und bei uns. Menschentürme symbolisieren in einzigartiger Weise die Unternehmenskultur von Rödl & Partner. Sie verkörpern unsere Philosophie von Zusammenhalt, Gleichgewicht, Mut und Mannschaftsgeist. Sie veranschaulichen das Wachstum aus eigener Kraft, das Rödl & Partner zu dem gemacht hat, was es heute ist. Força, Equilibri, Valor i Seny (Kraft, Balance, Mut und Verstand) ist der katalanische Wahlspruch aller Castellers und beschreibt deren Grundwerte sehr pointiert. Das gefällt uns und entspricht unserer Mentalität. Deshalb ist Rödl & Partner eine Kooperation mit Repräsentanten dieser langen Tradition der Menschentürme, den Castellers de Barcelona, im Mai 2011 eingegangen. Der Verein aus Barcelona verkörpert neben vielen anderen dieses immaterielle Kulturerbe. 17