1 Die europäische Datenschutz-Grundverord n u n g - Wa s i s t j e t z t z u t u n? - I H K N ü r n b e r g f ü r M i t t e l f r a n k e n E r l a n g e n, d e n 2 0. J u l i 2 0 1 7 T h o m a s K r a n i g B a y e r. L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
2 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung
3 Datenschutz heute
4 Datenschutz heute
Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) verkündet im Amtsblatt der Europäischen Union vom 4. Mai 2016 5
6 Datenschutz morgen d.h. in nur mehr ca. 10 Monaten
Datenschutz morgen 21 22 23 24 25 20 19 18 17 16 15 Europäischer Datenschutzausschuss 1) 1 28/ 26 27 UK EU- EDPS KOMM 14 13 12 2 3 4 11 10 9 8 7 6 5 1) der unabhängigen sbehörden 7
8 Datenschutz morgen Art. 29 Gruppe Working Papers (= konsensuale Arbeitsgemeinschaft der Europäischen Datenschutzbehörden) Datenschutz- Ausschuss Leitlinien (Art. 70 DS- GVO) (= institutionalisiertes Gremium der der Europäischen Datenschutzbehörden) Empfehlung Orientierung
9 Art. 29-Gruppe bzw. Datenschutz-Ausschuss Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zur Einwilligung veröffentlichen. Wo? -> auf der Website der EU-Kommission / Artikel-29-Gruppe, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083. Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DSGVO (bisher nur auf Englisch): Datenschutzbeauftragter Anspruch auf Datenportabilität federführende Behörde (noch nicht als Endfassung) Datenschutzfolgenabschätzung (data protection impact assessment)
10 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung
11 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
12 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
13 Anforderungen an die Datenverarbeitung Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen
14 Anforderungen an die Datenverarbeitung Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
Anforderungen an die Datenverarbeitung Informationspflichten (Art. 13, 14) beinhalten: Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter Garantien (z.b. Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung, ) Beschwerderecht bei der sbehörde u.a. 15
16 Anforderungen an die Datenverarbeitung Rechenschaftspflicht Wie prüfen wir: Zeig mal!! Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten ( Beweislastumkehr ) (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).
Anforderungen an die Datenverarbeitung Auftrags(daten)verarbeitung, Art 28 Anforderungen: Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei 11 BDSG-alt, in einigen Details aber Unterschiede, z.b. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4 Unternehmen müssen bestehende ADV-Verträge an die Anforderungen der DS-GVO anpassen. Dauerbrenner Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist. 17
18 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
19 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf nicht automatisierte Entscheidung Recht auf Widerruf einer Einwilligung
20 Verfahren zur - Sicherstellung der Betroffenenrechte Prozessorientierter Ansatz: Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung (siehe Auskunftsprojekt 2016) Check Act: Kontinuierliche Verbesserung
21 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
22 Verzeichnis der Verarbeitungstätigkeiten Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250 Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250 Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.b. Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.b. regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.
23 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
24 Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
25 Umgang mit Datenschutzverletzungen Prozessorientierter Ansatz: Plan: Identifizierung einer Datenschutzverletzung; Festlegung des Meldewegs Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check
26 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
27 Datenschutz-Folgenabschätzung Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden
28 Wesentliche Herausforderungen durch die DS-GVO Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
29 Sanktionen morgen Art. 83 DS-GVO bis 10.000.000 EUR oder 2 % Weltjahresumsatz ( formelle Verstöße ) bis 20.000.000 EUR oder 4 % Weltjahresumsatz ( materielle Verstöße ) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)
30 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung
Was kann / soll man heute schon tun? bewusst machen, was kommt Team bilden, das das Projekt DS- GVO angeht (nicht nur Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Handlungsbedarf untersuchen Schulungen vorbereiten Feuerwehrübungen durchführen 31
32 Was kann / soll man heute schon tun? Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.b. Verträge zur Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf. Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum Umgang mit Beschäftigtendaten geregelt
33 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (1) Rechtsgrundlagen klären, z.b. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen Informationspflichten und Rechte Betroffener Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a) Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)
34 Was kann / soll man heute schon tun? Handlungsbedarf eruieren, insbesondere in den Bereichen (2): Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden in Arbeit Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde in Arbeit Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten
35 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung
36 Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.
37 Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.
38 Neue Prüfkonzeption.
39 Agenda One-Stop-Shop und Megabuße Datenschutz heute und morgen 1 2 Datenschutz-Grundverordnung was kommt auf uns zu? 3 Was können/sollen/müssen Unternehmen heute schon unternehmen? 4 Was machen wir Aufsichtsbehörden heute und morgen? 5 Unsere Empfehlung
Unsere Empfehlung Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan verplant. Act Plan Check Do sonst werden Sie 40
41 Vielen Dank für Ihre Aufmerksamkeit Thomas Kranig, Bayer. Landesamt für www.lda.bayern.de