NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND BEHÖRDEN

Ähnliche Dokumente
DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

BvD. Management-Summary. Überblick in 10 Schritten

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutz in Schulen

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Die neue Grundverordnung des europäischen Datenschutzes

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Ihre externen Datenschutzbeauftragten

Auftragsdatenverarbeitung

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

EU-DatenschutzGrundverordnung. in der Praxis

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG - Rechenzentrum

Vorschlag der Bundesregierung

1 Gewinnspiel. 2 Teilnehmer

Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können.

Datenschutzvereinbarung

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenverarbeitung im Auftrag

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

DE 098/2008. IT- Sicherheitsleitlinie

Datenschutz und Datensicherheit im Verein/ in der Sektion. Häufig gestellte Fragen. (c) Prof. Dr. Rolf Lauser

Quo vadis, Datenschutz?

Information ChCC Ergebnis der AG. Rechtliche Checkliste. zum Einsatz von Cloud Computing

Allgemeine Geschäftsbedingungen für Besucherführungen der Duisburger Versorgungs- und Verkehrsgesellschaft mbh

Vertragsanlage zur Auftragsdatenverarbeitung

Datenschutz und IT-Sicherheit an der UniBi

Datenschutz in der Anwaltskanzlei

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Grundlagen des Datenschutzes

Kundencheckliste zur DIN EN ISO 9001

Rechtliche Grundlagen der Datensicherung

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Checkliste zum Datenschutz

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Erläuterungen zum Abschluss der Datenschutzvereinbarung


Newsletter. Juni. Datenschutz & Datenschutzkomformes Unternehmen

Die Neuerungen bei den Anforderungen nach dem DStV-Qualitätssiegel. Anforderungen nach dem DStV-Qualitätssiegel

Anlage zur Auftragsdatenverarbeitung

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

Webseiten Aushängeschild und Angriffsziel Nummer Eins zugleich

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten

Datenschutz beim Umgang mit Datenbanken

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Workshops. Inhalt: Rechtlicher Rahmen Datenschutzkommission Datenverarbeitungsregister Privacy by Design Technische Umsetzungsmöglichkeiten

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Cookie Cookie Name Zweck Ablaufzeitpunkt

Cloud Computing und Datenschutz

Datenschutz im Web

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Einführung in die Datenerfassung und in den Datenschutz

Privacy Conference Datenschutzverordnung & Privacy Shield

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutz muss nicht trocken sein

Datenschutzaudit. Einhaltung gesetzlicher. Datenschutz. Copyright DQS GmbH. DQS GmbH

EU-Datenschutz-Grundverordnung

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Grundlagen des Datenschutzes und der IT-Sicherheit

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

AGB Newsletter. (Stand: )

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Vorabkontrolle gemäß 4d Abs. 5 BDSG

GDD GDD-Stellungnahme zum neuen Datenschutzkonzept der EU-Kommission

Software as a Service und Datenschutz Die Erfahrungen der UB Mannheim bei der Einführung von Alma

- Datenschutz im Unternehmen -

Berliner Beauftragter für Datenschutz und Informationsfreiheit

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Selbstverständlich haben Sie das Recht auf Zugang zu Ihren Daten bzw. die Korrektur nicht korrekter Daten.

Öffentliches Verfahrensverzeichnis

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1)

Ansätze für datenschutzkonformes Retina-Scanning

Allgemeine Geschäftsbedingungen für die Erstattung von Gutachten

EINLADUNG Expertentag Code of Conduct Datenschutz

Betriebliche Organisation des Datenschutzes

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Know-how-Schutz in Zeiten moderner Wirtschaftsspionage

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß 291g Absatz 4 SGB V. zwischen

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutzunterweisung kompakt

NomosPraxis. Handbuch Datenschutz im Sport. Nomos. Sreball Schmidt Hermonies. Formulare Erläuterungen Gesetze

Datenschutz im Web viel mehr als nur lästige Pflicht

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Transkript:

NEUES DATENSCHUTZRECHT FÜR UNTERNEHMEN UND BEHÖRDEN Thomas Müthlein, Dr. Niels Lepperhoff Im Mai dieses Jahres hat die EU das Datenschutzrecht in der EU mit der Datenschutz-Grundverordnung (DS-GVO) vereinheitlicht. Ab 25.5.2018 gilt sie für alle Unternehmen und Behörden in der EU und ist durch sie umzusetzen. Gleichzeitig werden die bisherigen nationalen Datenschutzgesetze der Mitgliedsstaaten wie das deutsche Bundesdatenschutzgesetz (BDSG) außer Kraft gesetzt. Unter Compliance Aspekten kommen mit der DS-GVO auf die Unternehmen neue Anforderungen zu. Durch eine gesetzlich verankerte Rechenschaftspflicht (Accountability) müssen Unternehmen und Behörden zukünftig jederzeit nachweisen können, dass sie im Hinblick auf die Datenverarbeitung insbesondere von Kunden und Mitarbeitern rechtmäßig im Sinne der DS-GVO handeln. Hierdurch entfällt für die Datenschutzaufsichtsbehörden - soweit dieser Nachweis nicht erbracht werden kann - die Notwendigkeit, ein Verschulden zu ermitteln. Die in diesen Fällen drohenden Bußgelder von bis zu 20 Millionen Euro oder sofern höher 4% des weltweiten Jahresumsatzes erreichen in neue Dimensionen und finden ihre Vorbilder im Kartellrecht. Daher ist es geboten, frühzeitig die Anforderungen der DS-GVO mit Blick auf das eigene Unternehmen zu analysieren und die notwendigen Anpassungen vorzunehmen. Neben der Nachweispflicht und dem erhöhten Bußgeldrahmen betreffen die Neuerungen insbesondere folgende Bereiche: Transparenz: Erweiterte Informationspflichten gegenüber Konsumenten und Mitarbeitern in Verbindung mit neuen Rechten Erlaubnis zur Datenverarbeitung: neue Anforderungen an die Art und Weise des Datenumgangs, die bisherigen gesetzlichen Erlaubnisse insbesondere für Marketingaktivitäten entfallen Outsourcing: neue Anforderungen an Verträge mit Dienstleistern, gesamtschuldnerische Haftung von Auftraggebern und Auftragnehmern in Datenschutzfragen, neue Verantwortlichkeiten von Auftragnehmern IT-Sicherheit: Pflicht zur Erstellung eines IT-Sicherheitskonzepts und zur Durchführung von Wirksamkeitstests. 1 Rechenschaftspflicht (Accounability) Im Rahmen der neu eingeführten Rechenschaftspflicht muss ein Unternehmen jederzeit nachweisen können, dass es sicherstellt, dass alle Vorgaben aller Vorschriften der DS-GVO beim Umgang insbesondere mit Kunden- und Mitarbeiterdaten eingehalten werden. Seite 1 von 5

Solche Nachweise können sich insbesondere aus folgenden Dokumentationen ergeben: Datenschutzkonzept, IT-Sicherheitskonzept, Beschreibung aller Prozesse, die personenbezogene Daten verarbeiten, Arbeitsanweisung und Belehrungen zum Umgang mit personenbezogenen Daten, Darstellung der rechtlichen Zulässigkeit der Datenverarbeitung pro Datum sowie Löschfrist pro Datum. Dafür reicht es allerdings nicht, diese Dokumente einmal zu erstellen. Sie müssen auch stets auf einem aktuellen Stand gehalten werden. Änderungen in Prozessen, Softwaresystemen, aber auch Werbe- und Marketingmaßnahmen bedürfen regelmäßig sowohl einer Prüfung auf ihre rechtliche Zulässigkeit als auch die Anpassung der Dokumentation. 2 Informationspflichten Eines der Hauptanliegen der DS-GVO ist es, betroffenen Personen wie Mitarbeitern oder Kunden deutlich mehr Transparenz über den Umgang mit ihren Daten zu geben. Aus diesem Grund sind künftig Personen bei der Erhebung Ihrer Daten umfassend über den geplanten Umgang mit den Daten sowie ihre Rechte zu informieren. Soweit Daten nicht bei den Betroffenen selbst - zum Beispiel bei einem Vertragsabschluss - erhoben werden, sondern auf andere Art und Weise - zum Beispiel durch Weitergabe von Adressdaten zu Marketingzwecken an ein Tochterunternehmen - gewonnen werden, sind sie in nahezu den gleichen Umfang in einem Zeitraum von maximal einem Monat zu informieren. Ausnahmen von diesen Informationspflichten sind nahezu keine vorgesehen. Auch wenn diese Informationspflichten erst ab 2018 verbindlich werden, wird man mit der Umstellung schon früher beginnen müssen. Zum Stichtag müssen alle Formulare zur Datenerhebung, wie zum Beispiel bei Bestellungen, Verträgen, Anträgen, ob online oder offline den Anforderungen genügen. Gerade bei Druckwerken wie zum Beispiel Katalogen mit einer längeren Vorlaufzeit für die Produktion sind diese Anforderungen im Rahmen der beiliegenden Bestellformulare frühzeitig zu berücksichtigen. Im Rahmen der Informationspflichten ist z. B. künftig auch das Datum oder die Frist der Datenlöschung anzugeben. Wer bisher Daten insbesondere von Kunden oder Mitarbeitern nicht oder nur nach sehr langen Fristen löscht, wird hier nachbessern müssen. Die Löschfristen sind pro Datum zu bestimmen, d.h. einige Kundendaten sind schneller zu löschen als andere. Auf die Gestaltung der Informationen wird man sich Gedanken machen müssen, da sie in klarer und einfacher Sprache transparent gegeben werden müssen. Dies schließt wohl ein Verstecken in den AGB oder in einer Datenschutzerklärung auf der Webseite aus. Da Verbraucher zukünftig immer wieder insbesondere auf Ihre Beschwerderechte hingewiesen werden müssen, und auch Verbraucherverbände diesbezüglich mit eigenen Rechten ausgestattet werden, steigt das Risiko für Seite 2 von 5

Unternehmen bei Verstößen gegen die Transparenzpflichten zu Rechenschaft gezogen zu werden. 3 Erlaubnis zur Datenverarbeitung insbesondere bei Marketing und Werbeaktionen Bisher konnten sich in Deutschland Unternehmen bei ihren Marketing und Werbeaktionen auf besondere Regelungen im Bundesdatenschutzgesetz (BDSG) stützen. Diese Regelungen entfallen im Rahmen der DS-GVO. Dies betrifft insbesondere den erleichterten Umgang mit Daten aus öffentlich zugänglichen Quellen wie zum Beispiel Telefon- oder Adressbüchern. Das bedeutet, dass für die Beschaffung, Aufbereitung und Auswertung von Daten für Marketingsaktionen neue Rechtsgrundlagen gefunden werden müssen, die die Durchführung dieser Marketingaktivitäten gestatten. Dabei ist nicht auszuschließen, dass hierzu zukünftig noch mehr als bisher eine Einwilligung der Betroffenen erforderlich ist. Das gilt nicht nur für B2C- sondern auch für B2B-Bereich. Im Hinblick auf die Schwierigkeit, Einwilligungen nachträglich einzuholen, sollte frühzeitig geprüft werden ob gegebenenfalls erforderliche Einwilligungen bereits mit einer Bestellung oder einem Vertragsabschluss eingeholt werden können. Soweit künftig eine Datenverarbeitung ohne datenschutzrechtliche legitimierende Rechtsgrundlage erfolgt, drohen Bußgelder bis zu 20 Millionen Euro oder sofern höher 4% des weltweiten Jahresumsatzes. Daneben kann ein Betroffener Schadensersatzansprüche für materielle oder immaterielle Schäden z.b. für den mit der Verarbeitung einhergehenden Grundrechtseingriff geltend machen. Die neben den datenschutzrechtlichen Vorschriften im Bereich des Marketings zu beachtenden Regelungen des UWG sowie die Regelungen im Telekommunikationsrecht und für Telemediendienste (Webseiten, Webstatistiken) bleiben grundsätzlich bestehen. 4 Outsourcing Längst ist die Einbeziehung von Dienstleistern in Unternehmensprozesse üblich. Besondere im Hinblick auf die rasant steigende Nutzung von Cloud Dienstleistungen werden zunehmend auch personenbezogene Daten wie zum Beispiel von Kunden oder Mitarbeitern durch Dienstleister verarbeitet. An eine solche Auftragsverarbeitung stellt die DS-GVO ähnliche Anforderungen wie nach geltendem Recht. Allerdings ist auch hier ihre Nichteinhaltung wie zum Beispiel eine Beauftragung ohne hinreichend konkretisierten Datenschutzvertrag bußgeldbewehrt. Die Bußgeldbewehrung aber nicht nur den Auftraggeber sondern auch einen Auftragnehmer. Die DS-GVO sieht eigene - bußgeldbewehrte - datenschutzrechtliche Pflichten der Auftragnehmer vor. So verstößt zum Beispiel ein Dienstleister gegen Seite 3 von 5

seine datenschutzrechtlichen Auflagen, wenn er ohne einen hinreichend konkretisierten Datenschutzvertrag Daten seiner Auftraggeber verarbeitet. Seine Verantwortung geht aber auch in Richtung Unterauftragnehmer weiter. Zum Beispiel ist es ihm nicht nur verboten, die ohne Zustimmung seiner Auftraggeber einzusetzen, sondern er haftet auch mit diesem zusammen gesamtschuldnerisch für deren Datenschutzverstöße direkt gegenüber dem Betroffenen. Auftraggeber wie Auftragsverarbeiter müssen bestehende Dienstleistungsverhältnisse daraufhin überprüfen, ob sie den neuen Anforderungen gerecht werden. Soweit dies nicht der Fall ist, zum Beispiel weil entsprechende Verträge fehlen, ist dies bis zur Geltung der DS-GVO in Mai 2018 zu heilen. 5 IT-Sicherheit Gegenüber dem heute in Deutschland geltenden Datenschutzrecht erhöht die DS- GVO die Anforderungen an die IT-Sicherheit deutlich. Sie setzt voraus, dass ein Unternehmen für die Verarbeitung personenbezogener Daten über ein angemessenes, risikoorientiertes und dokumentiertes IT-Sicherheitskonzept bspw. angelehnt an den Standard 100-2 des BSI verfügt. Eine konzeptlose Aneinanderreihung technischer und organisatorischer Maßnahmen reicht hierzu nicht aus. Auch wenn mit der Angemessenheit und der Risikoorientierung schon zwei Parameter für die Anforderungen an das IT-Sicherheitskonzept vorgegeben werden, fordert die DS-GVO zusätzlich eine Anknüpfung am Stand der Technik. Damit wird zum Beispiel der weitere Einsatz eines Betriebssystems wie Windows XP nicht nur unter Sicherheitsaspekten sondern auch nach den Datenschutzanforderungen zu einem (Bußgeld-) Risiko. Um die Wirksamkeit der Maßnahmen sicherzustellen, haben die Unternehmen regelmäßig dokumentierte Wirksamkeitstests durchzuführen. Soweit ein Unternehmen bisher bereits seine Sicherheit Maßnahmen an etablierten Sicherheitsstandards wie dem BSI-Grundschutz oder der ISO 27001 orientiert, können sie für die künftigen Datenschutzanforderungen auf einer guten Grundlage aufbauen. Dennoch hier eine Abgleich mit den Anforderungen der DS-GVO erforderlich. 6 Erste Schritte zur erfolgreichen Umsetzung Diese knappe Übersicht über die Themen der insgesamt 99 Artikel umfassenden DS- GVO zeigt, dass bis zu ihrer Geltung eine Menge zu tun ist. Es sollte daher bald mit den ersten Schritten auf dem Weg zur Umstellung auf die DS-GVO begonnen werden. Hierzu gehören insbesondere folgende Punkte: Information der relevanten Akteure (Geschäftsführung, Fachabteilungen, IT, Betriebsrat) Aufbau oder Einkauf von Fachwissen über die Anwendung der DS-GVO Erhebung des Ist-Zustands u.a. mit Prozessen und ihrer Beschreibung (z.b. QM-Handbücher), Seite 4 von 5

Zwecken für jedes Datenfeld, Rechtsgrundlagen für jedes Datenfeld und Einschlägigen Löschfristen, Aufbau eines Datenschutzmanagementsystems, Aufbau oder Ausbau eines Dokumentationssystems, Prüfung und Anpassung der Rechtsgrundlagen an DS-GVO, Anpassung aller Verträge zur Auftragsdatenverarbeitung und Prüfung und Anpassung der IT-Sicherheitsmaßnahmen. Angesichts des hohen Anpassungsbedarfs erscheint die zweijährige Übergangszeit eher zu kurz als zu lang. 7 Autoren Thomas Müthlein DMC Datenschutz Management & Consulting GmbH & Co. KG / Vorstand der Gesellschaft für Datenschutz und Datensicherheit e.v. Dr. Niels Lepperhoff Xamit Bewertungsgesellschaft mbh / DSZ Datenschutz Zertifizierungsgesellschaft mbh Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback