EU Datenschutz-Grundverordnung (DSGVO) - Welche Auswirkungen hat die neue Verordnung für den Mittelstand? - PALLAS SECURITY-BREAKFAST Köln, den 15. November 2016 Harald Eul HEC GmbH 50321 Brühl Tel 02232 200879 Fax 02232 200884 e-mail: H.Eul@HE-C.de Internet: www.datenschutz-help.de, HEC GmbH All Rights reserved.
Datenschutz wird immer wichtiger (1) 1
Datenschutz wird immer wichtiger (2) 2
Datenschutz wird immer wichtiger (3) 3
Was ändert sich? Heute: Bundesdatenschutzgesetz (BDSG) Ab 25. Mai 2018: EU-Datenschutz-Grundverordnung (DSGVO) = Fallbeil-Regelung 4
EU-Verordnung heißt Gesetz, das in allen EU-Mitgliedsstaaten unmittelbare Wirkung hat. bestehende nationale Gesetze, die im Widerspruch gegen die Verordnung stehen, werden verdrängt 5
Neuerungen mit großer Tragweite BDSG (bis Mai 2018): vergleichsweise wenige Mängel/Tatbestände bußgeldbewährt Höhe der Bußgelder: im Regelfall je nach Vergehen bis zu 300.000,- Euro DSGVO (ab Mai 2018): auch Kleinigkeiten bußgeldbewährt je nach Verstoß Bußgeld bis 20 Mio. Euro oder bis zu 4 % des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) 6
Bußgeld-Bedrohung fast ein 70facher so hoher Bußgeldrahmen als bisher! Art. 83 (1) DSGVO: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen diese Verordnung in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. 7
Änderungen EU-Kommission hatte im Januar 2012 den Entwurf der Datenschutz-Grundverordnung mit einer Bürokratieentlastung und damit verbundenen Ersparnissen von europaweit 2,3 Milliarden begründet. Tatsächlich dürften auf deutsche Unternehmen aufgrund einiger Besonderheiten Mehrkosten von jährlich 1,5 Milliarden * zukommen! (* Studie Statistisches Bundesamt 04/2015) 8
Wesentliche Änderungen (1) 1. Rechenschaftspflichten (Beweislastumkehr): Pflicht des Nachweises des gesetzeskonformen Verhaltens liegt nun beim Unternehmen 2. Erhöhte Prüf- und Dokumentationspflichten 3. Erweiterte Informationspflichten gegenüber den Betroffenen 4. Datenschutz by Design 5. Löschungspflichten 6. Meldepflichten bei Datenpannen 9
Wesentliche Änderungen (2) Zu 1. Rechenschaftspflicht / Accountability Pflicht des Nachweises des gesetzeskonformen Verhaltens Art. 5 Abs. 2 DSGVO: Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 10
Wesentliche Änderungen (3) Zu 2. Erhöhte Prüf- und Dokumentationspflichten mehr Transparenz aber erhöhter Aufwand 11
Wesentliche Änderungen (4) Zu 3. Erweiterte Informationspflichten gegenüber den Betroffenen, u.a. Zwecke und Rechtsgrundlage die berechtigten Interessen Absicht der Übermittlung von Daten in Nicht-EU-Länder Dauer der Datenspeicherung Recht auf Auskunft, Berichtigung oder Löschung, Widerspruchsrecht sowie das Rechts auf Datenübertragbarkeit Beschwerderecht bei einer Aufsichtsbehörde Pflicht der Bereitstellung der Daten Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling 12
Wesentliche Änderungen (5) Zu 4. Datenschutz by Design Art. 25: zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung sind geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung zu treffen, um die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. 13
Wesentliche Änderungen (6) Zu 5. Löschungspflichten Art. 5: es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht werden 14
Wesentliche Änderungen (7) Zu 6. Meldepflichten bei Datenpannen Art. 33: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde 15
Wesentlicher Handlungsbedarf Datenschutz-Policy Datenschutz-Managementsystem Anpassung von Regelungen/Richtlinien/Betriebsvereinbaru ngen / Formularen / Verträgen Regelung für Datenpannen Verzeichnis aller Verarbeitungstätigkeiten Sensibilisierung der Mitarbeiter Datensicherheit Datenschutzfolgenabschätzung Prozesse Betroffenen-Rechte Outsourcing-Verträge 16
Regelprozesse implementieren Plan Act Do Check 17
Die Uhr tickt noch 18 Monate Zeit (1) 18
Die Uhr tickt noch 18 Monate Zeit (1) Hier nur das Wichtigste in aller Kürze (DSGVO hat 99 Artikel und 173 Erwägungsgründe!) Fragen Sie Ihren Datenschutzbeauftragten Geben Sie ihm Freiraum und die Ressourcen, sich mit den neuen Anforderungen vertraut zu machen Nutzen Sie das Jahr 2017 für die notwendigen Anpassungen Damit Ihr Unternehmen zum 25. Mai 2018 risikolos sich weiter auf das Geschäft konzentrieren kann 19
Die Uhr tickt noch 18 Monate Zeit (2) Viel Erfolg! 20