Olswang Session Die EU-Datenschutzreform in 120 Minuten
Die EU-Datenschutzreform in 120 Minuten AGENDA I. Stand des Gesetzgebungsverfahrens; Inhaltsverzeichnis II. Übergangsregelungen; Fortgeltung altes Recht III. Einwilligung und Rechtfertigungsgründe IV. One-Stop Shop V. Datenschutzbeauftragter, Stellverterter VI. Rechte der Betroffenen VII. Auftragsdatenverarbeiter VIII. Internationale Datenübermittlungen IX. Governance X. Beschäftigtendatenschutz und andere Ausnahmen XI. GDPR Readiness Plan XII. FAQ und Diskussion 2
Stand des Gesetzgebungsverfahrens Januar März 2016 Juli 2016 Juli 2018 Heute: GDPR EU Doc 15039/15 https://www.janalbrecht.eu/fileadmin/materi al/dokumente/gdpr_consolidated_libevote-2015-12-17.pdf 2. Februar 2016: Meeting Art 29 zu Intl. Data Transfers Übersetzung der Sprachversionen Januar Juli 2016 Annahme der DGVO durch EP und Rat (März 2016) xx Juli 2016 : Veröffentlichung der DGVO im Official Journal xx Juli 2016 + 20 Tage: DGVO tritt in Kraft ( enter into force ) xx Juli 2018 + 20 Tage GDPR gilt ( shall apply ) 3
Inhaltsverzeichnis 4
Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich (1) Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich personenbezogene Daten BDSG, LDSG, etc. Anwendungsbereich (sachlich) Übergangsregelungen DGVO, BDSG (?) LDSG (?) Ab wann gilt welches Gesetz? 5
https://upload.wikimedia.org/wikipedia/commons/ 6/62/EU_member_states_2014.PNG Die EU-Datenschutzreform in 120 Minuten Übergangsregelungen, Fortgeltung altes Recht, Anwendungsbereich (2) Die DGVO findet Anwendung, wenn Art. 3 Abs. 1 Art. 3 Abs. 2 Art. 3 Abs. 2 die verantwortliche Stelle oder der Auftragsdatenverarbeiter in der EU niedergelassen ist. Ort der Datenverarbeitung ist nicht relevant. 6 Verantwortliche Stelle / Auftragsdatenverarbeiter die verantwortliche Stelle oder der Auftragsdatenverarbeiter nicht in der EU niedergelassen ist; der Betroffene in der EU ist; und ihm Waren/Dienstleistungen angeboten werden. Betroffene die verantwortliche Stelle oder der Auftragsdatenverarbeiter nicht in der EU niedergelassen ist; der Betroffene in der EU ist; und sein Verhalten in der EU überwacht wird. Datenverarbeitung
Einwilligung und Rechtfertigungsgründe (1) Rechtfertigung Grundsatz (Art. 6 Abs. 1) Verbot mit Erlaubnisvorbehalt Rechtfertigungsgründe (Art. 6 Abs. 1) Einwilligung Vertragsdurchführung, Antrag des Betroffenen Erfüllung von Rechtspflichten Öffentliches Interesse, hoheitliche Gewalt Wahrung lebenswichtiger Interessen des Betroffenen oder Dritte berechtigtes Interesse P: Listenprivileg, Werbung, Arbeitnehmerdatenschutz Direkterhebung? Kein Vorrang der Direkterhebung P: Öffentliche Quellen? Lediglich Hinweispflichten (Art. 14a) Zweckbindung (Art. 5 Abs. 1 b) grundsätzlich nur zweckgebundene Verarbeitung Zweckänderung darf ursprünglichem Zweck nicht zuwiderlaufen (Art. 6 Abs. 3a) 7
Einwilligung und Rechtfertigungsgründe (2) Rechtfertigung (Fortsetzung) Besondere Arten personenbezogene Daten (Art. 9 Abs. 1) Verarbeitung grundsätzlich unzulässig Rechtfertigung (Art. 9 Abs. 2) Erforderlich für Beschäftigung und Soziales Daten von Mitgliedern und nahestehende Personen von gemeinnützigen Vereinen, Religionsgemeinschaften, etc. Wahrung lebenswichtiger Interessen des Betroffenen oder Dritter Gerichtliche Anordnung diverse gesundheitliche, medizinische Gründe Straftaen und Verurteilungen, Sicherungsmaßnahmen (Art. 9a) Grundsätzlich unzulässig Ausnahme: Verarbeitung unter behördliche Aufsicht oder nach nationalem Rech Anpassungen erforderlich? Wenig Bedarf, bei Datenverarbeitung gestützt auf 28 Abs. 1 Nr. 1 und Nr. 2 BDSG 32 BDSG (Beschäftigtendatenschutz) Erhöhter Bedarf, bei Datenverarbeitung gestützt auf 28 Abs. 1 Nr. 3 BDSG (Daten aus öffentlichen Quellen 28 Abs. 3 BDSG (Listenprivileg) 8
Einwilligung und Rechtfertigungsgründe (3) Einwilligung Definition (Art. 4 Abs. 8) freiwillig bestimmt informiert eindeutige Willensbekundung Erklärung, eindeutige Handlung P: Opt-out, alte Einwilligungen, Asset Deal? Anforderungen (Art. 7) Nachweispflicht der verantwortlichen Stelle (Abs. 1) Gemeinsam mit anderen schriftlichen Erklärungen (Abs. 2) leicht zugänglich verständlich, einfache Sprache P: Bei Verstoß ist die Einwilligung unverbindlich (not binding) unterscheidbar von anderen Erklärungen Widerrufsrecht und Hinweispflicht (Abs. 3) Allgemeine Informationspflichten Art. 14 und 14a Besondere Anforderungen an Freiwilligkeit (Abs. 4) Einwilligung Voraussetzung für Vertragsschluss oder Inanspruchnahme einer Leistung? Einwilligung notwendig? 9
Einwilligung und Rechtfertigungsgründe (4) Einwilligung (Fortsetzung) Einwilligungen von Kindern (Art. 8) Kinder unter 16 Jahren (Abs. 1) Einwilligung oder Zustimmung durch Erziehungsberechtigten Senkung des Alters auf 13 Jahre möglich Nachprüfung durch verantwortliche Stelle (Abs. 1a) P: Zumutbar; vorhandene Technologie? Zumutbare Anstrengungen Berücksichtigung der vorhandenen Technologie Besondere Arten von PD (Art. 9) Weitere Einwilligungstatbestände Einwilligung möglich (Abs. 2) Profiling Art. 20 Abs. 1a Verbot durch nationales Recht möglich Datenübermittlung in Drittländer Art. 44 Abs. 1a Anpassungen erforderlich? Wenig Bedarf Einwilligung genügt auch 7 Abs. 2 Nr. 3 UWG Erhöhter Bedarf Opt-Out, insbesondere AGB Fehlende/unvollständige Information gem. Art. 14 Einwilligungen von Kindern 10
Einwilligung und Rechtfertigungsgründe (5) Und jetzt? Data mapping Identifizierung der Datenverarbeitung im Unternehmen Feststellen, auf welcher Grundlage Daten verarbeitet werden Prüfen, ob die rechtliche Grundlage auch unter der DGVO gilt (s.o.) Ja keine Änderung notwendig Nein Änderung des Vertrags, Einholung neue Einwilligung 11
One-Stop Shop (1) Art. 51a II Prinzip der zentralen Anlaufstelle Zuständigkeit allein DPA am Ort der Hauptniederlassung Art. 4 Nr. 13 Definition Hauptniederlassung Beschwerde nicht zwangsläufig am Ort der Hauptniederlassung Kooperation EDPB zwischen Hauptaufsichtsbehörde und nat. DPAs Entscheidung durch EDPB bei abweichenden Ansichten zwischen Hauptaufsichtsbehörde und nat. DPAs 12
One-Stop Shop (2) rein nat. Fall Gerichtl. Überprüfung Entscheidung durch nat. DPA (nat.) Gericht im Mitgliedsstaat Grenzüberschr. Fall Kooperation DPAs Gemeinsame Entscheidung der DPAs bei unterschiedl. Ansichten der DPAs: EDPB Gerichtl. Überprüfung bei Übereinstimmung der DPAs: nat. Anwendung vor (nat.) Gericht im Mitgliedsstaat Entscheidung des EDPB: EuGH 13
Datenschutzbeauftragter, Stellvertreter Erfordernis (Art. 35) Stellvertreter (Art. 25) Anforderungen (Art.35 ) Abweichungen Add Datenschutzbeauftragter Art. 35 ff Beauftragung (Art. 35) Stellung (Art.36) Pflichten (Art. 37) Add Stellvertreter Art. 25 14
Datenschutzbeauftragter, Stellvertreter TO DOs zur Vorbereitung (Auswahl) Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss; Alte bzw. bestehende Verträge überprüfen und Ergänzungsbedarf feststellen; Prüfen, ob das Erfordernis eines Stellvertreters besteht. 15
Rechte der Betroffenen (1) Datenverlust (Art. 31) Einwilligung (Art. 7) Minderjährige (f. Internetdienste) (Art. 8) Profiling (Art. 20) besondere Arten personenbezogener Daten (Art. 9) Widerspruchsrecht (Art. 19) Betroffener 123 Daten zu Strafverfahren (Art. 9 a) Datenportabilität (Art. 18) Berichtigung, Löschung, Right to be forgotten (Art. 16 f) Auskunft (Art. 12 (2), 15) Transparenz / Information (Art 12, 14 ff) 16
Rechte der Betroffenen (2) TO DOs zur Vorbereitung (Auswahl) Aktualisierung der Datenschutzerklärungen / Infos Interne Prozesse zur Umsetzung - Info (Direkterhebung / indirekte Erhebung) - Auskunft - Widerspruch - Löschung / Right to be forgotten - Datenportabilität - Data Breach Response Plan 17
Auftragsdatenverarbeiter (1) Grundsätzliches Haftung (Art.77) Anforderungen (Art.26) Stellvertreter (Art.25) Datenschutzbe auftragter (Art.35) Add Auftragsdatenverarbeiter Auftragsverhältnis (Art. 26) Unterauftragsverarbeitung (Art.26) Pflichten/ Aufgaben (Art. 26 ff.) 18
Auftragsdatenverarbeiter (2) Pflichten/Aufgaben Eigene Verantwortung für Sicherheit der Verarbeitung zu sorgen (Art. 30). Mitwirkung an Zertifizierungen (Art.26 (II) lit.h). Ausbau der technisch-organisatorischen Maßnahmen (Art.30). Fiktion als verantwortliche Stelle (Art.26 (IV)). Regelmäßige Überprüfung der Maßnahmen auf ihre Effizienz und ggf. Anpassungen. Grundsatz der Datensparsamkeit, präventive Maßnahmen ergreifen (z.b. privacy by design/ by default) (Art.23). Weisungsgebundenheit kraft Gesetz (Art.27), Dokumentation der Weisungen (Art.26 (II) lit.a) und DV-Vorgängen (Art.28 IIa). Unterstützung der verantwortlichen Stelle z.b. bei der Umsetzung der Betroffenenrechte (Art.26 (II) lit.e,f). Meldepflicht ggü. der verantwortlichen Stelle im Falle von Datenangriffen (Art.31 (II)). Voraussetzungen für Unterauftragsverarbeitung (Art.26 (Ia)(Iia)). Ernennung eines Datenschutzbeauftragten (Art.35) und Stellvertreters (Art. 25), wenn erforderlich. Kooperation mit der Aufsichtsbehörde. Eigene und direkte Haftung (Art.77). Direkter Adressat von Bußgeldern (Art.79). Informationspflicht ggü. verantwortlicher Stelle, wenn Verarbeitung gg. datenschutzrtl. Vorschriften verstößt (Art. 26 (II) lit.h). Rückgabe und Löschung der Daten nach Auftragsende (Art.26 (II) lit.g). 19
Auftragsdatenverarbeiter (3) TO DOs zur Vorbereitung (Auswahl) Alte bzw. bestehende Verträge überprüfen; Überprüfen, ob das Erfordernis eines Datenschutzbeauftragten besteht; Überprüfen, ob das Erfordernis der Bestellung eines Stellvertreters besteht; Verantwortlichkeiten klären im Hinblick auf bestehende haftungsrechtliche Fragen. 20
International Data Transfers (1) EU/EWR Angemessenes Datenschutzniveau Data Transfer Vehicles: Standardverträge (Komm), BCR, Safe Harbor (4000 US) NEU GDPR: Codes of Conduct (Art. 38), Standardverträge (Behörde) Akzeptierte Drittstaaten, z.b. Schweiz, Kanda, Israel, Argentinien NEU GDPR: Mal-schnell-einpaar-Daten -Ausnahme (Art. 44 1h) Rest der Welt z.b. USA, China, Australien, Indien Kein angemessenes DS-Niveau Ausnahmen (z.b.): Vertragserfüllung, Einwilligung, Verteidigung von Rechtsansprüchen, etc. 21
Governance (1) Data Protection Impact Assessment bei hohem Risiko für Betroffene (Art. 33) Einhaltung von Codes of Conducts (Art. 38) oder Zertifizierungsmechanismen (Art. 39), um Compliance nachzuweisen (Art. 22 (2 b)) Datenschutzrichtlinien, um Compliance-TOMs zu implementieren (Art. 22 (2a) Data Security Risk Assessment (Art. 30 (1 d)) Verfahrensverzeichnis (Art. 28) 22
Governance (2) TO DOs zur Vorbereitung (Auswahl) Entwurf Datenschutzrichtlinien / Verfahrensverzeichnisse; Prüfung Einhaltung von Codes of Conducts / Zertifizierungsmechanismen; Verfahren für Data Protection Impact Assessment. 23
Beschäftigtendatenschutz und andere Ausnahmen Art. 82 Einwilligung Einzige Vorschrift zum Beschäftigten-DS; lediglich Öffnungsklausel Nutzung von Daten für Durchführung eines Arbeitsverhältnisses zulässig Grundsatz der Zweckbindung Grundsatz der Datensparsamkeit Grundsatz der Datenrichtigkeit und -aktualität Bes. sensible Daten Informationspflichten Art. 9: Grds. Verbot der Verarbeitung, aber Rückausnahme für das Arbeitsleben Art. 12 ff. Profilerstellung, Art. 20 Arbeitnehmer muss nicht hinnehmen, dass Arbeitsleistung analysiert wird 24
GDPR Readiness Plan! Einen Plan haben.und Bussgelder vermeiden 25
FRAGEN!? Dr. Andreas Splittgerber Partner / CIPP/E +49 89 206 02 8404 Andreas.Splittgerber@olswang.com München +49 89 206 028 400 Brüssel +32 2 647 4772 London +44 20 7067 3000 Madrid +34 91 187 1920 Thames Valley +44 20 7071 7300 Singapur +65 6720 8278 Paris +33 17 091 8720 Olswang: Changing Business.