DS-GVO, BDSG (neu) & Co. Änderungen des datenschutzrechtlichen Rahmens als Herausforderung für die Praxis? Workshop Erfolgreicher Einsatz von Legal Tech in der Rechtsabteilung Frankfurt am Main, 22. November 2017
Profil Kanzlei & Referent 1969 in Mannheim gegründet, Büros derzeit in Mannheim, Frankfurt/Main* und München Schwerpunkte im Handels- und Gesellschaftsrecht einschließlich steuerrechtlicher Bezüge weitere Kompetenzfelder: Arbeits-, Wettbewerbs- und Öffentliches Recht sowie IP/IT, Datenschutz und Compliance Referent: RA Mark Oliver Kühn, LL.M. seit 1997 bei tätig zugelassen in Deutschland seit 2000, Attorney at Law (NY) seit 2001 Beratungsschwerpunkt auf IT/IP-Recht, insb. - Softwarevertragsrecht - Outsourcing - E-Commerce - ehealth / Telematik - Datenschutz / Datensicherheit - Compliance RA Mark Oliver Kühn, LL.M. (Denver) * auch Notare
Rechtliche Hinweise Die in dieser Präsentation enthaltenen Informationen sind genereller Natur und zielen nicht auf spezielle Fallgestaltungen und/oder Anforderungen einzelner juristischer oder natürlicher Personen, Behörden, Institutionen oder sonstiger Dritter ab. Obwohl der Autor fortlaufend bemüht ist, ausschließlich inhaltlich zutreffende und zeitlich aktuelle Darstellungen in seinen Präsentationen zu berücksichtigen, kann hierfür keine Gewähr übernommen werden. Es wird ausdrücklich dazu geraten, über die nachfolgenden allgemeinen Folien hinaus bei sämtlichen praktischen Gestaltungen fundierte, professionelle Beratung einzuholen und die erforderliche Einzelfallprüfung anhand der jeweils geltenden rechtliche und steuerliche Rahmenbedingungen vornehmen zu lassen.
Agenda Ausgangssituation & gesetzlicher Rahmen Wesentliche neue Regelungsbereiche Meldepflichten und Sanktionen Maßnahmen aus Unternehmenssicht zur effizienten Umsetzung der DS-GVO
Ausgangssituation Datenschutzziele und gesetzlicher Rahmen
Spanungsfeld Informationstechnologie & Recht Ursache organisatorisch (wachsende Bedeutung der IT- Infrastruktur für Unternehmen Rückgrat Wirkung Vielzahl gesetzlicher und regulatorischer KonTraG UStG/ Basel HGB/ UWG Euro- UrhG TMG SigG TKG BDS IT- Standards infrastrukturell (ITIL,Cobit StGB SOX BSI UStR SOX AO GII usw.) Vorschriften anwendungs- und prozessbezogen
Datenschutzrechtlicher Rahmen (aktuell) Datenschutzrichtlinie 95/46/EG vom 24.10.1995 Richtlinie 2002/58/EG (Cookie-Richtlinie) vom 31.07.2002 Richtlinie 2006/24/EG (Vorratsdatenspeicherung) vom 13.04.2006 Bundesdatenschutzgesetz (BDSG) Telemediengesetz (TMG) Nationaler Gesetzgeber XY Nationaler Gesetzgeber D BDSG EU Ziel: Gemeinsamer Datenschutz Spezial gesetz A Spezial gesetz B Telekommunikationsgesetz (TKG)
Kernproblematik des EU-Datenschutzrechts EU-Datenschutzrecht in Form von Richtlinien bedurfte nationaler Umsetzung (in Deutschland: u.a. BDSG, TMG) BDSG Spezial gesetz B Vielfältige Gestaltungen und Auslegungsthemen, z.b. - Personenbezug und Anwendungsbereich - Meldepflichten / Datenschutzbeauftragter Lösung? DS-GVO Stichtag: 25. Mai 2018 Nationaler Gesetzgeber XY Nationaler Gesetzgeber D EU Ziel: Gemeinsamer Datenschutz Spezial gesetz A
Verfahren zur EU-Datenschutz-Grundverordnung 25.01.2012 Gesetzesinitiative für die DS-GVO (EU-Kommission) 17.12.2012 Änderungsvorschlag Juni 2013 > 4000 Änderungsanträge 21.10.2013 geänderten Entwurf vom Parlament angenommen => Eintritt in Verhandlungen im Ministerrat 06.12.2013 keine Einigung => Verschiebungen der DS-GVO 15.06.2015 Einigung über Entwurfsfassung im Ministerrat => Eintritt in den sog. Trilog (Abstimmungsverhandlungen zwischen Rat, EP und Kommission) 15.12.2015 Einigung auf endgültigen Entwurf 17.12.2015 Annahme des Entwurfs durch Innen- und Rechtsausschuss 14.04.2016 Zustimmung des Europäischen Parlaments 04.05.2016 Veröffentlichung im Amtsblatt (Verordnung (EU) 2016/679 und Richtlinie (EU) 2016/680) 12.05.2017 BR-Beschluss des Gesetzes zur Anpassung u.a. des BDSG [DSAnpUG-EU] 25.05.2018 Wirksamwerden DS-GVO
Ziele der DS-GVO Wortlaut Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DS-GVO) freier Verkehr personenbezogener Daten (Art. 1 Abs. 3 DS-GVO) Europäischen Kommission mehr Konsistenz bei der Anwendung des EU-Datenschutzrechts mehr Kontrolle über Daten für Betroffene Globaler Standard für den Datenschutz Harmonisierung des Binnenmarktes (EUR 2,3 Milliarden Einsparungen) vereinfachte Meldepflichten (EUR 130 Millionen Einsparung) Vermeidung von forum-shopping One-stop-shop Rahmenbedingungen für effizientere Kooperation der Datenschutzaufsichtsbehörden
Wesentliche (neue) Regelungsbereiche
Wesentliche (neue) Regelungsbereiche Erweiterte Verantwortlichkeiten und Sanktionen: Terminologie, Grundsätze und Gesetzessystematik Accountability ein Compliance -Ansatz Anforderungen an Einwilligungen, Informationspflichten Verantwortlichkeit als Auftragsdatenverarbeiter Neue Konzepte data privacy by design / by default Recht auf Vergessenwerden / Recht auf Datenmitnahme Datenschutzfolgenabschätzung ( data protection impact assessment ) Meldepflichten und Sanktionen Datenschutzbeauftragter Erleichterungen / Vereinheitlichungen? One-Stop-Shop Konzern-orientierter Datenschutz
Meldepflichten und Sanktionen
Meldepflichten bei Datenschutzverstößen BDSG DS-GVO 42a nur bei Datenschutzverletzungen bzgl. besonderer personenbezogener Daten Zunächst Meldepflicht nur an Aufsichtsbehörden und erst an Betroffene, wenn Strafverfolgung nicht mehr gefährdet Art. 33, 34 Maßstab hohes Risiko (?) Konkret zu benennende Informationen aufgezählt (Angaben u.a. zu voraussichtlich betroffenen Personen und Kategorien der Daten) Benennung von Maßnahmen des Schutzes (bzw. vorgeschlagene Maßnahmen) Meldung innerhalb von 72 Std. unverzügliche Benachrichtigung der Betroffenen
Meldepflichten bei Datenschutzverstößen Klare Empfehlung, zuständige Behörden einzubinden [ soll ( ) in enger Absprache, vgl. Erwägungsgrund 86, 88] Grundsätzlich formfrei, aber Mindestinhalte zur eigenen Einschätzung durch den Betroffenen erforderlich To-Do: klare interne Vorgaben bzgl. Datenpannen erstellen bzw. bestehende aktualisieren
Erweiterte Sanktionen (I) BDSG DS-GVO 43 (3) max. 300.000 EUR, mit möglicher Überschreitung bei höherem wirtschaftlichen Vorteil 44 Strafvorschriften Art. 83 Gestaffelte Höhe von Geldbußen abhängig vom Verstößen (2% / 10 Mio. EUR bis 4% / 20 Mio. EUR des vom Unternehmen weltweit erzielten Jahresumsatzes Weitergehende Sanktionen richten sich nach nationalem Recht [Art. 84 DS-GVO]
Erweiterte Sanktionen (I) Anknüpfung in Ausgestaltung und Höhe an Erfahrungen des Kartellrechts Umfangreiches Ermessen: Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. [Art. 83 (1)] Leitlinie des Europäischen Datenschutzausschusses soll Vereinheitlichung bringen [Art 70 (1) k), 58 (2) i)] bislang nur Working Paper der Artikel 29 Gruppe Datenportabilität, WP 242 Datenschutzbeauftragter, WP 243 Zuständige Aufsichtsbehörde, WP 244 Datenschutz-Folgeabschätzung, WP 248 Bußgelder, WP 253
Erweiterte Sanktionen (II) BDSG DS-GVO 7 kein Ersatz immaterieller Schäden (h.m.); allenfalls im Rahmen von 8 (2) BDSG bei schwerwiegenden Verletzungen des Persönlichkeitsrechts durch öffentlichen Stellen Art. 82 explizit sind auch immaterielle Schäden im Datenschutzrecht zu ersetzen [Art. 82 (1)]
Probleme der praktischen Umsetzung
Probleme der praktischen Umsetzung Multiple Öffnungsklauseln, u.a Beschäftigtendatenschutz Verhältnis zur eprivacy-verordnung (Entw. 10.1., Trilog) Erheblicher Überarbeitungsbedarf für Spezialgesetze (Landesdatenschutzgesetze, Sozial-Datenschutz, AMG etc.) Leitlinien, Empfehlungen und bewährte Verfahren des Europäischen Datenschutzausschusses stehen aus zur einheitliche Anwendung der Verordnung zur Handhabung von auf Profiling beruhende Entscheidungen zur Meldung von Verletzungen des Schutzes personenbezogener Daten zu den Umständen, nach denen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person anzunehmen ist ( ) Hilfestellung durch die deutschen Aufsichtsbehörden (nur teilweise abgestimmt), u.a. Webseite BayLDA (www.lda.bayern.de) Schicksal der WPs der Artikel 29-Gruppe unklar
Zentrales Praxisproblem Dokumentation Dokumentation Dokumentation
Maßnahmen aus Unternehmenssicht Benennung Priorisierung des/der Risiko-Management, der Definition zu ergreifenden und Etablierung der Review und Aktualisierung der Projekverantwortlichen Maßnahmen insbesondere Prozesse, Erstellung auf und Basis die in und Fällen des während fortlaufende imeines der Dauer Aktualisierung einer der bestehenden Verarbeitungs- und Bereitstellung Rahmen personeller hohen Datenverarbeitung der Risikos und Erfassung erforderlichen (Datenschutz- die Dokumentation Einhaltung der Verfahrensübersichten finanzieller Ressourcen ermittelten Folgeabschätzung) Datenschutzvorgaben Risikos sicherstellen Quelle: CNIL, 15.3.2017 https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Die 360 Unternehmenssicht IT-Dienstleister Konzernunternehmen Auftragnehmer Unternehmen Beschäftigte Kunden
Verzeichnis der Verarbeitungstätigkeiten Unternehmen mit > 250 Beschäftigten und solche, die regelmäßig oder besondere personenbezogene Daten verarbeiten, haben ein Verzeichnis zu führen Pflicht trifft Verantwortlichen und Auftragsverarbeiter Verzeichnis ist schriftlich/elektronisch zu führen und der Aufsicht auf Anfrage zur Verfügung zu stellen Mindestinhalte Verzeichnis Auftragsverarbeiter: Namen/ Kontaktdaten des bzw. der Auftragsverarbeiter, des Verantwortlichen, in dessen Name der Auftragsverarbeiter tätig wird, der jeweiligen Vertreter sowie des Datenschutzbeauftragten; Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen vorgenommen werden; ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO
Verzeichnis der Verarbeitungstätigkeiten Mindestinhalte Verzeichnis Verantwortlicher: Namen/ Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten; die Zwecke der Verarbeitung; eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Sonderfall Art. 49 beachten); wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO
Datenschutz-Folgeabschätzung BDSG DS-GVO 4d (5) Vorabkontrolle in gesetzliche bestimmten Fällen Art. 35 Datenschutz-Folgeabschätzung (Data Privacy Impact Assessment) (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.
Datenschutz-Folgeabschätzung Erheblich erhöhter Dokumentationsaufwand zu erwarten
Einstieg in die Vorbereitung Quelle: BayLDA
Viel Erfolg! Vielen Dank für Ihre Aufmerksamkeit Q & A Mark Oliver Kühn, LL.M. Rechtsanwalt und Partner Tel. +49 (69) 274040-204 mark-oliver.kuehn@rittershaus.net Mannheim Frankfurt am Main München
www.rittershaus.net Büro Mannheim Harrlachweg 4 68163 Mannheim Tel.: +49 621 4256 0 Fax: +49 621 4256 250 Büro Frankfurt Mainzer Landstraße 61 60329 Frankfurt/Main Tel.: +49 69 274040 0 Fax: +49 69 274040 250 Büro München Maximiliansplatz 10 Im Luitpoldblock 80333 München Tel.: +49 89 121405 0 Fax: +49 89 121405 250