Die DSGVO aber wissen Sie denn genau, was Sie da tun? Up!date // event 3. April 2018, München
Gliederung 1. DSGVO allgemein 2. Zulässige Datenverarbeitung 3. Pflichten des Verantwortlichen 4. Anwendung der DSGVO (Beispiele) 5. Handlungsbedarf 6. Ausblick (E-Privacy-Verordnung) 2
1. DSGVO allgemein 1.1 Inkrafttreten DSGVO Datenschutz-Grundverordnung (EU-Verordnung) am 25.5.2016 in Kraft getreten, seitdem Übergangsphase 99 Artikel, 173 Erwägungsgründe Öffnungsklauseln = Gestaltungsspielraum für den nationalen Gesetzgeber Unmittelbare Geltung ab 25.5.2018 Ablösung nationaler Regelungen aus BDSG, TMG und TKG BDSG-neu Unsicherheitsfaktor für Anwender: eprivacy-verordnung Angleichung der Bestimmungen zum Persönlichkeitsschutz im Bereich der elektronischen Kommunikation 3
1. DSGVO allgemein 1.2 Räumlicher Geltungsbereich Verarbeitung personenbezogener Daten, im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters mit Niederlassung in der Union NEU! von betroffenen Personen in EU, durch einen nicht in EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn Datenverarbeitung im Zusammenhang damit steht diesen Personen in EU Waren oder Dienstleistungen anzubieten das Verhalten dieser Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. 4
1. DSGVO allgemein 1.3 Gegenstand des Datenschutzes PERSONENBEZOGENE DATEN (Art. 4 Nr. 1 DSGVO) alle Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen; Person ist identifizierbar, wenn direkte oder indirekte Identifizerung möglich ist, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. 5
1. DSGVO allgemein 1.3 Gegenstand des Datenschutzes PERSONENBEZOGENE DATEN (Art. 4 Nr. 1 DSGVO) Durch Verordnung nun eindeutig bestimmt: Online Kennungen / Online Identifier haben Personenbezug! Cookie-IDs, User-IDs, IP-Adressen, Mac-Adressen, etc. die Endgeräte, Softwareanwendungen und Protokolle liefern! Auch pseudonymisierte Daten sind personenbezogene Daten, wenn sie durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten! 6
2. Zulässige Datenverarbeitung 2.1 Grundprinzip des Datenschutzrechts Grds. Recht auf informelle Selbstbestimmung vgl. Art. 2 Abs. 1 i.v.m. Art. 1 Abs.1 GG VERBOT MIT ERLAUBNISVORBEHALT Katalog der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO Verarbeitung im Bereich insbes. zulässig, wenn Einwilligung des Betroffenen oder Durchführung eines Vertrages oder vorvertraglicher Maßnahmen auf Anfrage des Betroffenen oder Wahrung berechtigter Interessen des Unternehmens und Interessen oder Grundrechte des Betroffenen dem nicht entgegenstehen. 7
2. Zulässige Datenverarbeitung 2.2 Einwilligung Wirksame Einwilligung erfordert eine eindeutige Bestätigungshandlung. Keine bloße Verfügbarkeit eines Opt-Out-Verfahrens! Ausdrücklich, wenn besondere Arten personenbezogener Daten oder Drittländertransfer ihre Widerrufbarkeit. eine Information über Zweck und Umfang der Verarbeitung und den Verantwortlichen Freiwilligkeit. nicht im Rahmen eines Koppelgeschäftes Datenhingabe ist nicht Voraussetzung für eine Leistung, insbes. nicht für ansonsten unentgeltlichen Internetdienst 8
2. Zulässige Datenverarbeitung 2.3 Erlaubnisvorbehalt Online-Marketing-Klausel, Art. 6 Abs. 1 f. DSGVO Einwilligung erfolgt freiwillig, und nach Vorabinformationen, Datenschutzinformationen, Widerrufsbelehrung, Zweckbindung Berechtigtes Interesse des Verantwortlichen: jedes legale auch wirtschaftliche Interesse, geeignetes Interesse richtet sich nach Verarbeitungszweck z.b. Direktmarketing / Onlinewerbezwecke Kein Überwiegen der Interessen der Betroffenen Maßgeblich: vernünftigen Erwartungen der betroffenen Person" (-) z.b. wenn personenbezogene Daten verarbeitet werden, obwohl betroffene Person vernünftigerweise nicht mit weiterer Verarbeitung rechnen muss. 9
2. Zulässige Datenverarbeitung 2.4 Widerrufs- und Widerspruchsrecht Widerrufsrecht bei Einwilligung, Art. 7 Abs. 3 DSGVO Widerspruchsrecht bei berechtigten Interessen, Art. 21 Abs. 1 DSGVO Ausdrücklich Widerspruchsrecht bei Direktwerbung und damit in Zusammenhang stehendem Profiling, Art. 21 Abs. 2 und 3 DSGVO Begründung für Widerspruch nicht notwendig, da Weiterverarbeitung nicht vorgesehen -> stets Opt-out-Möglichkeit für den Nutzer bei Direktmarketing Zudem Recht zur Beschränkung der Verarbeitung gem. Art. 18 DSGVO 10
2. Zulässige Datenverarbeitung 2.4 Widerrufs- und Widerspruchsrecht Für das Widerspruchsrecht gelten besondere Informations- und Hinweispflichten Art. 21 Abs. 4 DSGVO: Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte (Widerspruchs-) Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. Information außerhalb der Datenschutzerklärung oder mindestens hervorgehoben fett, farbig, umrandet 11
2. Zulässige Datenverarbeitung 2.4 Art und Weise der Verarbeitung Grundprinzipien des Datenverarbeitung Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Datenvermeidung und Datensparsamkeit Verarbeitung personenbezogener Daten muss dem Zweck angemessen und sachlich relevant sein, sowie auf notwendiges Maß beschränkt sein. Zweckbindung Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. 12
2. Zulässige Datenverarbeitung 2.5 Art und Weise der Verarbeitung Transparenz Erkennbarkeit für den Betroffenen, dass ihn betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden Angabe von Umfang, in dem die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Informationen und Mitteilungen zur Verarbeitung in leicht zugänglicher und verständlicher Form Identität des Verantwortlichen und Zwecke der Verarbeitung Recht des Betroffenen, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden. 13
2. Zulässige Datenverarbeitung 2.6 Betroffenenrechte Mindestinhalt der Datenschutzinformation an den Betroffenen: Proaktive Benachrichtigungen Kontaktdaten des Verantwortlichen Verarbeitungszwecke und Rechtsgrundlagen - Ggf. die berechtigten Interessen an einer Datenverarbeitung Auskunftsrecht Auskunft über Art der Daten, Empfänger der Daten, evtl. Herkunft der Daten Angabe zur Dauer der Speicherung Hinweis des Betroffenen auf Recht Berichtigung / Vervollständigung Recht zur Löschung Recht auf Vergessenwerden, wenn die Daten öffentlich gemacht wurden Möglichkeit zur Einschränkung der Verarbeitung Recht auf Datenübertragung Widerrufsrecht / Widerspruchsrecht 14
3. Pflichten des Verantwortlichen 3.1 TOM Technische und organisatorischer Maßnahmen (TOM) Privacy by Design / Privacy by Default Sicherstellung, dass nur personenbezogene Daten verarbeitet werden, die erforderlich sind. Pseudonymisierung Zugriffsbeschränkungen Wer darf sehen? Wer darf bearbeiten? Kunden-/Patienten-/Mandanten-Daten Mitarbeiterdaten Bewerberdaten Sicherstellung der Wiederherstellbarkeit bei Datenverlust 15
3. Pflichten des Verantwortlichen 3.1 TOM Technische und organisatorischer Maßnahmen Auftragsverarbeitung Auftragsverarbeiter muss hinreichend Garantie dafür bieten, dass geeignete TOM so durchgeführt werden, dass Verarbeitung im Einklang mit DSGVO und Schutz der Rechte der betroffenen Person gewährleistet ist. Auftraggeber ist zu sorgfältiger Auswahl des Auftragsverarbeiters und laufender Überprüfung der Eignung verpflichtet. Einhaltung der Verpflichtungen des Auftragsverarbeiters kann durch Einhaltung genehmigter Verhaltensregeln (Code of Conduct) oder durch eine Zertifizierung nachgewiesen werden. (Art. 28 Abs. 5 DSGVO). 16
3. Pflichten des Verantwortlichen 3.2 Pflicht zur Meldung Meldung über Datenschutzverletzungen Verletzungen des Schutzes personenbezogener Daten sind möglichst innerhalb 72 Stunden an zuständige Aufsichtsbehörde melden (Art. 33 Abs. 1 DSGVO) Benachrichtigung an den Betroffenen Ausnahme lediglich, wenn Verletzung nicht zu Risiko für persönliche Rechte und Freiheiten des Betroffenen führt. Risiko kann z.b. durch eine geeignete Verschlüsselung personenbezogener Daten ausgeschlossen werden; dann keine Möglichkeit zur Kenntnisnahme der Daten durch Dritte. Kommt es bei Auftragsverarbeiter zu Datenschutzverstoß, muss dieser seinen Auftraggeber informieren. 17
3. Pflichten des Verantwortlichen 3.3 Pflicht zur Folgeabschätzung Datenschutz-Folgeabschätzungen muss bereits vorab erfolgen wenn hohes Risiko, Konsultation Datenschutzaufsichtsbehörde erforderlich wenn voraussichtlich ein hohes Risiko für persönliche Rechte und Freiheiten z.b. im Fall von Profiling, Verarbeitung besonders sensibler Daten (Krankenakten o.ä.) oder umfangreicher Videoüberwachung 18
3. Pflichten des Verantwortlichen 3.4 Konsequenzen der DSGVO Umkehrung der Beweislast für die Einhaltung der Datenschutzgesetze Pflicht zum Führen und Vorlage von Verfahrensverzeichnissen Umfassende Rechenschaftspflichten Verschärfte Pflicht zur Meldung von Datenschutzverstößen Sanktionen Ausweitung des Bußgeldrahmens (Art. 83 DSGVO) Bußgelder bis zu 4% des Jahresumsatzes Bis zu 20 Mio. EUR 19
4. Anwendung der DSGVO 4.1 Beispiel: Tracking Personenbezug: im Zweifel immer gegeben auch bei Psydonomisierung, Kürzung-/Maskierung der IP-Adresse Erforderlich: Konkretes Assessment von Notwendigkeit und beidseitigem Interessen für jede Trackingmethode Schutz der Daten erforderlich (TOM) Anpassung der Datenschutzerklärung Umsetzung von Opt-out-Möglichkeit Zusätzliche Einwilligung nur bei Freiwilligkeit = echte Wahlmöglichkeit Umsetzung in Cookie-Bar mit Weiternutzung als Zustimmung durch schlüssiges Handeln 20
4. Anwendung der DSGVO 4.1 Beispiel: E-Mail Marketing Double-Opt-in Interessent trägt seine Email-Adresse in Formular zur Anforderung eines Newsletters o.ä. ein und schickt Anfrage ab System übersendet an diese Adresse Bestätigung mit der Bitte um erneute Bestätigung Einwilligung in die Werbung per E-Mail enthält weiterhin Einwilligung in die Verarbeitung der Daten zu Werbezwecken Aber ergänzend erforderlich: Belehrung über Identität des Verantwortlichen Angaben zu den Zwecken, denen die Datenverarbeitung dient Recht auf Widerruf der Einwilligung Allgemeine Informationspflichten, Art. 13 DSGVO 21
5. Handlungsbedarf 5.1 Erforderliche Prozesse Gibt es Prozesse zur Ermittlung von Datenschutzverletzungen, die zu einem schnellen Ergebnis führen (z.b. zur Data Loss Prevention (DLP))? um personenbezogene Daten aufzuspüren und zu klassifizieren? um personenbezogene Daten fristgerecht zu löschen? um die Daten betroffener Personen, Datenquellen und Verarbeitungszwecken zuzuordnen? zur Bearbeitung der Anfragen Betroffener? zur fristgerechten Meldung von Datenschutzverletzungen? Gibt es ein Verzeichnis der Verarbeitungstätigkeiten? 22
5. Handlungsbedarf 5.2 Projekt DSGVO Bestandsaufnahme Bereits vorhandene Prozesse? Welche Daten? Wer erfasst und verarbeitet? Geeignete Auftragsverarbeiter? Rechtsgrundlage prüfen! Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ( Privacy-by-Design" und Privacy-by-Default") umsetzen Verträge checken (Nötige Änderungen oder Ergänzungen?) Datenschutzfolgeabschätzung implementieren Prozesse aufsetzen / anpassen, Verantwortung verteilen Melde- und Konsultationspflichten organisieren Betroffenenrechte und Informationspflichten umsetzen Dokumentation organisieren 23
6. Ausblick 6.1 eprivacy-verordnung eprivacy-vo folgt eprivacy-richtlinie Ziel: umfassender Schutz der Privatsphäre sowie Vertraulichkeit der Kommunikation bei Nutzung elektronischer Kommunikationsmitteln Inkrafttreten gleichzeitig mit DGSVO zum 25.05.2018 noch ungewiss Bereits jetzt z.b.: Setzen von Cookies nur bei Einwilligung statt lediglich Möglichkeit des Widerspruchs Zu erwartende Änderungen durch eprivacy-vo Anwendbarkeit der Verordnung auf internetbasierte Kommunikationsdienste (OTT-Dienste wie WhatsApp, Skype, Web-E-Mailanbieter) Klare Regelung des Online- und Offline-Tracking sowie Stärkung der Nutzerrechte (z.b. weitergehender Einwilligungsvorbehalt) Ausweitung der Datenschutzbehörden bei Sanktionen und Verwaltungsanordnungen in Anlehnung an die DSGVO 24
Vielen Dank für Ihre Aufmerksamkeit! 25
Martin Erlewein Rechtsanwalt, Steuerberater, Fachanwalt für Steuerrecht Alte Poststr. 28b 42555 Velbert Telefon: +49 (0) 2052 8352343 Mobil:: +49 (0) 176 85614332 E-Mail: info@kanzlei-erlewein.de Internet: www.kanzlei-erlewein.de 26