EU Datenschutz-Grundverordnung Datenschutz durch Technikgestaltung (by design) und datenschutzfreundliche Voreinstellungen (by default) Datenübertragbarkeit Daniela Duda Datenschutzbeauftragte GDDcert. Zertifikatslehrgang Datenschutzrecht / Carl von Ossietzky Universität Datenschutzbeauftragte edsb TÜV Systemischer Coach 14.10.2017
EU Datenschutz-Grundverordnung Art. 25 und Art. 20 DS-GVO Worum geht es? Inhalte Datenschutz durch Technikgestaltung (by design) Datenschutz durch datenschutzfreundliche Voreinstellungen (by default) Datenübertragbarkeit 2
Datenschutz durch Technikgestaltung (by design)
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Grundsatz und rechtliche Ausgestaltung Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DS-GVO): Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DS-GVO) Datenschutzgrundsätze wirksam umzusetzen notwendigen Garantien in die Verarbeitung aufnehmen = Anforderungen dieser Verordnung zu genügen = Rechte der betroffenen Personen zu schützen 4 = eingebauter Datenschutz
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Maßnahmen Erwägungsgrund 78 DS-GVO Check! Minimierung der Verarbeitung pers.bez. Daten sichergestellt Pseudonymisierung pers.bez.. Daten so schnell wie möglich sichergestellt Transparenz in Bezug auf Funktionen und Verarbeitung pers.bez. Daten hergestellt Überwachung der Verarbeitung der pers.bez. Daten durch die betroffene Person ermöglicht Der Verantwortliche ist in die Lage versetzt, Sicherheitsfunktionen zu schaffen und zu verbessern. 5
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Verantwortung und Auswirkung Verantwortlichkeit beim Verantwortlichen (Art. 25 Abs. 1 DS-GVO) beim Auftragsverarbeiter (Art. 28 Abs. 1 DS-GVO) Verpflichtung des Verantwortlichen, dass Auftragsverarbeiter DS-GVO im Einklang mit DS-GVO verarbeitet -> damit auch Art. 25 DS-GVO Auswirkung sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden. (ErwG 78) Berücksichtigung bei der Entscheidung über Verhängung von Geldbußen (Art. 83 Abs. 2 Buchstabe d DS-GVO) Bußgeld (10Mio/2%) bei Verstoß gegen Pflichten der Verantwortlichen und der 6 Auftragsverarbeiter (Art. 83 Abs. 4 Buchstabe a DS-GVO)
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Umsetzung und Nachweis Was tun? Interne Strategien festlegen Maßnahmen ergreifen die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Wie Nachweisen? Dokumentieren der Strategien Dokumentieren der Maßnahmen Beleg eines anerkannten Zertifizierungsverfahrens (Art. 42 DS-GVO) 7
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Umgebung Einflussgrößen Stand der Technik Implementierungskosten Art, Umfang, Umstände und Zwecke der Verarbeitung unterschiedliche Eintrittswahrscheinlichkeiten Schwere der mit der Verarbeitung verbundenen Risiken Gestaltungsspielraum geeignete technische und organisatorische Maßnahmen Garantien 8
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutz durch Technikgestaltung Umgebung Einflussgrößen Stand der Technik laufend zu überprüfen Implementierungskosten kein Einbezug der Folgekosten im Gesetz Art, Umfang, Umstände und Zwecke der Verarbeitung unterschiedliche Eintrittswahrscheinlichkeiten Schwere der mit der Verarbeitung verbundenen Risiken risikobasierter Ansatz analog Art. 32 Abs. 1 Sicherheit der Verarbeitung 9
Datenschutzfreundliche Voreinstellungen (by default)
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutzfreundliche Voreinstellungen Grundsatz und rechtliche Ausgestaltung Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DS-GVO): Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein Datenschutzfreundliche Voreinstellung (Art. 25 Abs. 2 DS-GVO) Geeignete technische und organisatorische Maßnahmen Sicherstellung, das konforme Voreinstellungen gegeben sind grundsätzlich nur pers.bez. Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, 11 verarbeitet werden.
EU Datenschutz-Grundverordnung Art. 25 Abs. 1 Datenschutzfreundliche Voreinstellungen Ziel Artikel 25 Abs. 2 GS-GVO Check! Maßnahmen müssen insbesondere sicherstellen, dass pers.bez. Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. 12
EU Datenschutz-Grundverordnung Art. 25 Abs. 2 Datenschutzfreundliche Voreinstellungen Maßnahmen Umsetzungsmaßnahmen automatisch datensparsamste Verarbeitung per Voreinstellung keine Opt-Outs durch User notwendig strikte Begrenzung der Erhebung, Verarbeitung und Weitergabe nicht mehr als Mindestmaß für den angestrebten Zweck Umsetzungsgegenstand Menge der erhobenen Daten Umfang der Verarbeitung Dauer der Speicherung 13 Zugänglichkeit der Daten
EU Datenschutz-Grundverordnung Art. 25 Abs. 2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Was ist zu tun? Überprüfung bestehender Datenverarbeitungssysteme und Datenflüsse Entwicklung von Strategien und konkreten Prozessen für die Berücksichtigung von bei der Implementierung in Produkte, Dienste und Anwendungen Risikoanalyse Beurteilung der Dienste (eigene & beauftragte) Beurteilung geeigneter technischer und organisatorischer Maßnahmen 14
EU Datenschutz-Grundverordnung Art. 25 Abs. 2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Nachweis und regelmäßige Überprüfung Dokumentation interne Strategie zur Datenminimierung frühestmögliche Pseudonymisierung transparente Darstellung der Funktionen der Datenverarbeitung Möglichkeit der Überwachung der Verarbeitung durch Betroffene 15
EU Datenschutz-Grundverordnung Art. 25 Abs. 2 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen - Lesestoff weitere Quellen Artikel-29-Datenschutzgruppe: Opinion 8/2014 on Internet of Things Opinion 1/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones nationale Aufsichtsbehörden: BfDI Privacy by Design in: Identity in the Information Society DSK-Papier wahrscheinlich Veröffentlichung Anfang/Mitte November in Auszügen: 16 IT-Grundschutzkatalog Standard-Datenschutzmodell
Datenübertragbarkeit
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Grundsatz und rechtliche Ausgestaltung Recht der betroffenen Person (Art. 20 Abs. 1 DS-GVO): Betroffene Person muss von dieser bereitgestellte pers.bez. Daten erhalten können bzw. durch diese Person zu einem anderen Verantwortlichen übermittelt werden können. sofern (Art. 20 Abs. 1 Buchstaben a,b DS-GVO) Einwilligung gem. Art. 6 Abs. 1 Buchstabe a DS-GVO Einwilligung (besondere pers.bez. Daten) gem. Art. 9 Abs. 2 Buchstabe a DS-GVO Vertrag gem. Art. 6 Abs. 1 Buchstabe b DS-GVO und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. 18
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Format Datenbereitstellung in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 Abs. 1 DS- GVO) ( ) und interoperablen Format (ErwG. 68 DS-GVO) Übermittlung oder sonstige Form der Bereitstellung Gewährung von Zugang zu Daten wird nicht ausreichen keine konkrete Formatvorgabe gängig : i.d.r an Marktgegebenheiten und Stand der Technik orientiert 19
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Gegenstand Übertragungsgegenstand bereitgestellte Daten = Übermittlung, Verbreitung oder eine andere Form der Bereitstellung aktives, wissentliches Zurverfügungstellen der Daten durch den Betroffenen beinhaltet auch: aktives Gestatten eines Zugriffs auf personenbezogene Daten [den Antragsteller] betreffende personenbezogene Daten kein Anspruch auf Übertragung zugunsten Dritter Recht auf Empfang der Daten läßt die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt. 20 damit: Prüfpflichten für Verantwortlichen zum Ausschluss von Daten mit Drittbezug
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Datenübermittlung Datenübermittlung - unentgeltlich indirekt zwischen Verantwortlichem und Betroffenem (Art. 20 Abs. 1 DS-GVO) Recht auf Annahme durch künftige Verantwortliche? direkt von Verantwortlichem zu Verantwortlichem (Art. 20 Abs. 2 DS-GVO) soweit technisch machbar = Kompatibilität keine Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten (ErwG. 68 DS-GVO) Vertrauen auf Marktprozesse Ausnahmen: öffentliches Interesse, öffentliche Gewalt, Rechte und Freiheiten Dritter ( ) 21 exzessive Anträge (ggf. gegen angemessenes Entgelt)
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Verantwortung und Auswirkung Verantwortlichkeit beim Verantwortlichen (Art. 20 DS-GVO) Auswirkung Bußgeld (20Mio/4%) bei Verstoß gegen Pflichten der Verantwortlichen (Art. 83 Abs. 5 Buchstabe b DS-GVO) Schadensersatz (Art. 82 DS-GVO) Motivation: Stärkung der Betroffenenrechte Vermeidung von Lock-in Effekten Kontrolle über digitale Daten 22
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit Was ist zu tun? way to compliance first steps Überprüfung bestehender Datenverarbeitungen Entwicklung von Prozessen für Prüfung der Anspruchsgrundlage und in Frage kommende Daten Datenaustausch mit künftigen Verantwortlichen Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. 23
EU Datenschutz-Grundverordnung Art. 20 Recht auf Datenübertragbarkeit - Lesestoff Quelle Artikel-29-Datenschutzgruppe, WP 242 rev.01: Guidelines on the right to data portability https://www.ec.europa.eu/newsroom/document.cfm?doc_id=44099 24
Herzlichen Dank! rehm Datenschutz GmbH Daniela Duda Geschäftsführerin Datenschutzbeauftragte GDDcert. 089 / 6080 7600 kontakt@rehm-datenschutz.de www.rehm-datenschutz.de Eugen-Sänger-Ring 13 85649 Brunnthal 25