1 Die Umsetzung der EU Datenschutz-Grundverordnung im Unternehmen. Hennickendorf, 20. März 2018 Dr. Carlo Piltz Reusch Rechtsanwälte, Berlin 2 1
Anwendungsbereich. 3 Anwendungsbereich - sachlich. Sachlicher Anwendungsbereich. Art. 2 Abs. 1: Ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Weiterhin gilt diese auch für nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Art. 4 Nr. 1: Personenbezogene Daten. Schlüsselbegriff für Anwendbarkeit. Aber: DSGVO gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und für die Verarbeitung personenbezogener Daten von verstorbenen Personen. (Aber: Öffnungsklausel für Mitgliedstaaten). 4 2
Anwendungsbereich - sachlich. Sachlicher Anwendungsbereich. DSGVO nicht auf anonymisierte Daten (Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen) anwendbar, ErwG 26. Problem: keine Definition. Begriff Personenbezug : weit zu verstehen. ErwG 26: ( ) es sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, ( ). 5 Grundsatz: Erlaubnistatbestand. 6 3
Erlaubnistatbestand. Art. 6 Abs. 1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Einwilligung des Betroffenen. Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. 7 Rechenschaftspflicht. 8 4
Rechenschaftspflicht. Art. 5 Abs. 2. Verantwortlicher ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss ihre Einhaltung auch Dritten gegenüber, insbesondere den Aufsichtsbehörden, nachweisen können. Rechenschaftspflicht ist in der Praxis eine Dokumentations- und Nachweispflicht. Und: Verantwortlicher ist beweisbelastet. Art. 24 Abs. 1. Einsatz von technischen und organisatorischen Maßnahmen, um und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Folge: Dokumentation der DSGVO-Compliance ist entscheidend! Dies kann sich auch bei Verstößen und möglichen Bußgeldern auswirken. 9 Rechenschaftspflicht. Art. 24 Abs. 1. Einsatz von technischen und organisatorischen Maßnahmen, um und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Bedeutet: Compliance-System zur Einhaltung der Vorgaben der DSGVO erforderlich ( Datenschutzmanagementsystem ). Risiko: Organisationspflichtverletzung durch Leitung der datenverarbeitenden Stelle. 10 5
Datenschutzgrundsätze. Die Datenschutzgrundätze. Art. 5 Abs. 1 lit. a): Rechtmäßigkeit. Also: Erlaubnistatbestand für jede Verarbeitung erforderlich. Art. 5 Abs. 1 lit. b): Zweckbindung & -bestimmung. Zweck muss zum Zeitpunkt der Erhebung feststehen. Art. 5 Abs. 1 lit. c): Datenminimierung. Verarbeitung ist auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken. Art. 5 Abs. 1 lit. d): Richtigkeit. Sachlich richtig und erforderlichenfalls auf dem neuesten Stand. 11 Datenschutzgrundsätze. Art. 5 Abs. 1 lit. e): Speicherbegrenzung. Identifizierende Speicherung nur so lange, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist. Art. 5 Abs. 1 lit. f): Integrität und Vertraulichkeit. Angemessene Sicherheit der personenbezogenen Daten gewährleisten (technische und organisatorische Maßnahmen). 12 6
Auftragsverarbeitung. 13 Auftragsverarbeitung. Art. 4. Nr. 8. Auftragsverarbeiter. Natürliche oder juristische Person die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für eine Auftragsdatenverarbeitung kommen insbesondere folgende Aufgaben infrage: Wartung von Hardware Beschaffung, Installation und Betreuung der Bürokommunikation (User-Help-Desk) Bereitstellung von Backup-Systemen Abwicklung einzelner DV-Arbeiten (z.b. Programmierarbeiten, Datenpflege, Erledigung von Massenarbeiten wie Mailingaktionen, Erhebung und Auswertung von Daten) Transport von Informationen und Datenträgern Lagerung, Archivierung und Verfilmung von Unterlagen 14 7
Auftragsverarbeitung. Pflichten hinsichtlich des Auftragsverhältnisses (Vertrag). Existenz des Vertrages wird verlangt (Art. 28 Abs. 3). Inhalt wird vom Gesetz vorgegeben (Gegenstand und die Dauer der Verarbeitung sowie Art und Zweck der Verarbeitung und auch die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen). Formerfordernis: schriftlich oder elektronisches Format. Weitere Auftragsverarbeiter nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen. 15 Anforderungen an die Auftragsverarbeitung. Art. 28 Abs. 1: Anforderungen an den Auftragsverarbeiter. Muss hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Art. 28 Abs. 3: Die Verarbeitung durch einen Auftragsverarbeiter erfolgt entweder auf der Grundlage eines Vertrags oder nach dem Unionsrecht oder dem Recht der Mitgliedstaaten. Compliance: Verstoß gegen Art. 28 kann mit einem Bußgeld bis zu 10 Mio. EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden (Art. 83 Abs. 4 lit. a)). 16 8
Anforderungen an die Auftragsverarbeitung. Auftragsverarbeitung. Art. 28. Anforderungen an den Vertrag (Abs. 3): Vorliegen wird verlangt. Ist aber nicht konstitutiv für die Auftragsverarbeitung. Gegenstand und Dauer der Verarbeitung. Art und Zweck der Verarbeitung. Kategorien betroffener Personen. Pflichten und Rechte des Verantwortlichen. Grundsätzlich: Dokumentationspflicht des Auftragsverarbeiters. Verarbeitung nur auf der Grundlage dokumentierter Weisungen. 17 Transparenz- und Informationspflichten. 18 9
Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Systematik. Art. 12 stellt die Grundsätze und Formalitäten für alle Informationspflichten auf. Art. 13: Situation der Direkterhebung. Art. 14: Situation der Erhebung bei Dritten. 19 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erteilen. Schriftlich oder auch elektronisch. In der Praxis: Datenschutzerklärungen auf Webseiten und in Apps weiterhin möglich. Im Vergleich zum BDSG / TMG: Erweiterte Informationspflichten in den Art. 13 und 14. Bedeutet: Anpassung aktuell eingesetzter Datenschutzerklärungen. 20 10
Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Direkterhebung, Art. 13 Abs. 1 (neue Informationspflichten): Kontaktdaten des Datenschutzbeauftragten. Berechtigtes Interesse ist konkret zu nennen (im Fall der Verarbeitung nach Art. 6 Abs. 1 lit. f)). Rechtsgrundlage der Verarbeitung. Absicht der Datenübermittlung in Drittstaaten plus eingesetzte Maßnahme für das angemessene Schutzniveau. 21 Transparenz- und Informationspflichten. Transparenz- und Informationspflichten. Erhebung bei Dritten, Art. 14. Abs. 1 (neue Informationspflichten): Kontaktdaten des Datenschutzbeauftragten. Absicht der Datenübermittlung in Drittstaaten plus eingesetzte Maßnahme für das angemessene Schutzniveau. 22 11
Betroffenenrechte. 23 Rechte der Betroffenen. Die Rechte der betroffenen Person sind: Recht auf Unterrichtung. Recht auf Zugang zu personenbezogenen Daten. Recht auf Berichtigung. Recht auf Löschung personenbezogener Daten, einschließlich des "Rechts auf Vergessenwerden". Recht auf Einschränkung der Verarbeitung. Recht auf Datenübertragbarkeit. Widerspruchsrecht. Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruht. 24 12
Rechte der Betroffenen. Art. 12 Abs. 2: Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte. Grundsatz: Frist von einem Monat für Erfüllung der Anfragen (Art. 12 Abs. 3); ausnahmsweise Verlängerung um zwei Monate. Bedeutet: intern Prozesse zur Pflichtenerfüllung vorsehen (Informationen sammeln und z. B. elektronisch Auskunft erteilen). Ziel der DSGVO: Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen (ErwG 11). 25 Verzeichnis von Verarbeitungstätigkeiten. 26 13
Verzeichnis von Verarbeitungstätigkeiten. Art. 30: Sowohl der Verantwortliche als auch der Auftragsverarbeiter müssen ein Verzeichnis führen. Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Der Aufsichtsbehörde ist das Verzeichnis auf Anfrage zur Verfügung zustellen. 27 Verzeichnis von Verarbeitungstätigkeiten. Ausnahme für KMUs. Weniger als 250 Mitarbeiter. Aber: Rückausnahme. Verarbeitung birgt ein Risiko für Betroffene. Verarbeitung von besonderen Kategorien personenbezogener Daten. Verarbeitung erfolgt nicht nur gelegentlich. 28 14
Verzeichnis von Verarbeitungstätigkeiten. Verzeichnis des Verantwortlichen, Art. 30 Abs. 1. Namen und die Kontaktdaten des Verantwortlichen. Namen und die Kontaktdaten des Datenschutzbeauftragten. Zwecke der Verarbeitung. Beschreibung der Kategorien betroffener Personen. Beschreibung der Kategorien personenbezogener Daten. Kategorien von Empfängern. Wenn möglich, vorgesehene Löschfristen. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. 29 Sanktionen. 30 15
Sanktionen. Art. 82: Haftung auf Schadenersatz. Sowohl ein Recht auf Ersatz sämtlicher immaterieller als auch materieller Schäden. Adressat der Haftungspflicht nach Art. 82 Abs. 1 ist sowohl der Verantwortliche als auch der Auftragsverarbeiter. Abs. 3: Exkulpationsmöglichkeit. Erforderlich ist der Nachweis, dass der Verantwortliche oder Auftragsverarbeiter in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Gemeinsame Schadensersatzhaftung von mehreren Verantwortlichen oder Auftragsverarbeitern ist möglich (Art. 82 Abs. 4). 31 Sanktionen. Art. 83: Generelle Vorgaben zu Geldbußen. Art. 83. Art. 83 Abs. 1: Die Verhängung muss in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Art. 83. Abs. 2: Zu berücksichtigende Vorgaben bei der Verhängung von Geldbußen. Bzgl. des ob und wenn ja in welcher konkreten Höhe eine Geldbuße verhängt wird, verfügt die zuständige Aufsichtsbehörde über einen Ermessensspielraum. Art. 83 Abs. 4 6: Verschiedenen Bußgeldtatbestände. 32 16
Sanktionen. Die verschiedenen Bußgeldtatbestände. Art. 83 Abs. 4, 5 und 6. Grundsätzlich: Höhe der Geldbuße wird von einem fixen Maximalbetrag bis zu oder im Fall eines Unternehmens von dem gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs abhängig gemacht. Problem: Unternehmensbegriff. Auf wessen Umsatz ist abzustellen? Unternehmen. Legal definiert in Art. 4 Nr. 18. ErwG 150 S. 3: Begriff Unternehmen im Sinne der Art. 101 und 102 AEUV; kartellrechtlicher Unternehmensbegriff (wirtschaftliche Einheit, die rechtlich aus mehreren natürlichen oder juristischen Personen gebildet werden kann). Unternehmensgruppe. Legal definieret in Art. 4 Nr. 19. BayLDA, LfDI Berlin & Hessen: gesamte Unternehmensgruppe. Zur Risikoeinschätzung kann der Katalog des Art. 83 Abs. 2 genutzt werden, der eine Orientierungshilfe bei der Bußgeldbemessung bietet. 33 Das neue BDSG. Insbesondere: Datenschutzbeauftragter. 34 17
Das neue BDSG. 38 BDSG: Datenschutzbeauftragter. Benennung, wie derzeit, verpflichtend, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Verarbeitung betroffen, die einer Datenschutz-Folgenabschätzung (hohes Risiko) unterliegt oder bei Verarbeitung zum Zweck der Markt- und Meinungsforschung. Daneben sind die Voraussetzungen zur Bestellung der DSGVO zu beachten (Art. 37 DSGVO). Verarbeitung durch Behörde oder öffentliche Stelle. Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters: umfangreiche Verarbeitung besonderer Kategorien von Daten. 35 Das neue BDSG. 38 BDSG: Datenschutzbeauftragter. Die Abberufung des Datenschutzbeauftragten ist nur in entsprechender Anwendung des 626 BGB zulässig (Kündigungsschutz). Kündigung nur aus wichtigem Grund möglich. Aber: nur wenn Benennung verpflichtend vorgesehen (vgl. 38 Abs. 2 S. 2 BDSG). Keine Formvorschriften für die Benennung. Fachliche Anforderungen des Art. 37 Abs. 5 DSGVO berücksichtigen. berufliche Qualifikation und insbesondere Fachwissen, auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. 36 18
Berlin Rosenthaler Straße 40-41 Hackesche Höfe 10178 Berlin T +49 30 2332895-0 F +49 30 2332895-11 Saarbrücken Hochstraße 63 66115 Saarbrücken T +49 681 859160-0 F +49 681 859160-11 info@reuschlaw.de www.reuschlaw.de 19