Auswirkungen auf die Praxis
SPEAKER Steffen Niesel Fachanwalt für IT-Recht Ulf Riechen Dipl.-Ing. für Informationstechnik 2
Einleitung Wann tritt die Datenschutzgrundverordnung (DS-GVO) in Kraft? 25. Mai 2018 Wie wirkt die DS-GVO in Deutschland? direkt, ein nationales Umsetzungsgesetz ist nicht erforderlich aber: die DS-GVO enthält zahlreiche obligatorische und fakultative Öffnungsklauseln die Folge: BDSG-neu zur Ausfüllung der Öffnungsklauseln 3
Einleitung Beispiele nationaler Regelungen: Bestellung eines betrieblichen Datenschutzbeauftragten in Unternehmen mit mehr als neun Angestellten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind ( 38 BDSG-neu) Beschäftigtendatenschutz ( 26 BDSG-neu) Einwilligungen von Kindern unter 16 Jahren (Art. 8 Abs. 1 DS- GVO) Verbandsklagen durch Verbraucherschutzorganisationen (Art. 80 Abs. 2 DS-GVO, bereits Anfang 2016 umgesetzt durch Änderung u.a. des Unterlassungsklagengesetzes 4
Die wichtigsten Änderungen Räumlicher Anwendungsbereich (Art. 3 DS-GVO): Betroffen sind alle Unternehmen, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten, auch wenn sie außerhalb der EU sitzen. zahlreiche neue Begriffsdefinitionen (insb. in Art. 4 DS-GVO) höhere Anforderungen an die Wirksamkeit und geringe Anforderungen an den Widerruf einer Einwilligung (Art. 7 DS-GVO) 5
Die wichtigsten Änderungen Verschärfung des Kopplungsverbotes (Art. 7 Abs. 4 DS-GBO): Der Abschluss eines Vertrages darf nicht von der Erteilung einer Einwilligung abhängig gemacht werden, wenn dies für die Durchführung des Vertrages nicht erforderlich ist. Erweiterung der Informations- und Auskunftspflichten (Art. 12 ff. DS-GVO) Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) 6
Die wichtigsten Änderungen Recht auf Vergessenwerden (Art. 17 DS-GVO) Erweiterung des Widerspruchsrechts z.b. bei Direktwerbung einschl. der Profilbildung für diesen Zweck (Art. 21 Abs. 2 DS-GVO) Erweiterung der Pflichten bei der Auftragsdatenverarbeitung einschließlich der direkten Haftung des Auftragsverarbeiters gegenüber den Betroffenen (Art. 28 und 82 DS-GVO) Führung eines Verarbeitungsverzeichnisses (Art. 30 DS-GVO) 7
Die wichtigsten Änderungen Einführung einer umfangreichen Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) die Bestimmung der angemessenen technischen und organisatorischen Maßnahmen bedarf einer umfassenden Risikoeinschätzung einschließlich deren Dokumentation (Art. 32 DS-GVO) besonders risikobehaftete Datenverarbeitungen erfordern eine Datenschutz-Folgeabschätzung (Art. 35 DS-GVO) 8
Die wichtigsten Änderungen Ausweitung der Meldepflichten bei Datenpannen an die Aufsichtsbehörde und die Betroffenen (Art. 33 und 34 DS-GVO) drastische Erhöhung der möglichen Geldbußen für Verstöße (Art. 83 DS-GVO): 10 Millionen bzw. 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DS-GVO) 20 Millionen bzw. 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DS-GVO) Anspruch der Betroffenen auf Ersatz materieller und immaterieller Schäden (Art. 82 DS-GVO) 9
Was ist zu tun? Folgende Prozesse und Dokumente sind zu überprüfen, zu überarbeiten oder einzurichten/zu erstellen: Dokumentation der Datenverarbeitungsprozesse im Unternehmen Datenschutzerklärungen (Erweiterung der Informationspflichten) Einwilligungserklärungen (Verschärfung der formalen Vorgaben), Prozess für den Widerruf der Einwilligung Prozesse zur Umsetzung von Widersprüchen Vereinbarungen zur Auftragsverarbeitung 10
Was ist zu tun? Prozess bei Datenpannen überarbeiten Verfahren, um Daten in gängigem elektronischen Format übertragen zu können Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DS-GVO und den eigenen Prozessen Einführung einer Risikobewertung zur Festlegung geeigneter technisch-organisatorischer Maßnahmen einschließlich einer Datenschutz-Folgenabschätzung Anpassung der Betriebsvereinbarungen an DS-GVO 11
DSGVO Art. 32 Sicherheit der Verarbeitung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten 12
Informations-Sicherheits-Management- System (ISMS) Sicherheitsstrategie Leitlinie zur Informationssicherheit (Security Policy) Hilfsmittel zur Umsetzung Sicherheitskonzept Beschreibung des Informationsverbundes Risikobewertung Risikobehandlung Sicherheitsorganisation Regeln, Anweisungen Prozesse, Abläufe Strukturen 13
Risikobewertung Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. 14
Risikoanalyse 15
Behandlung von Risiken 16
ISO 27001 17
64 BDSG (neu) Anforderungen an die Sicherheit der Datenverarbeitung Nur für öffentliche Stellen Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. 18
BSI Grundschutz Schutzbedarfsfeststellung (Schadenshöhe) Datenschutz: Standard-Datenschutz-Modell nutzen! Notfallmanagement: Business Impact Analyse (BIA) durchführen Bausteine Gefährdungen (pauschalisierte Risiken ohne Eintrittswahrscheinlichkeit) Anforderungen Umsetzungshinweise Bewertung über Soll-Ist-Vergleich Risikoanalyse bei Schutzbedarf hoch oder sehr hoch 19
Learn IT. Watch IT. Do IT! Angebote zu IT-Security B e r a t u n g s u n t e r s t ü t z u n g P r o j e k t u n t e r s t ü t z u n g T r a i n i n g s w w w. s o f t e d. d e / i t - s e c u r i t y