Arnd Böken

EU-Datenschutz-Grundverordnung

– Was kommt jetzt auf die

Unternehmen zu?Workshop, SAS Institute GmbH, 9. Februar 2017

gvw.com 2

EU-Datenschutz Grundverordnung

1. Übersicht über EU DSGVO

2. Accountability

3. Betroffenenrechte

4. Datensicherheit

5. Big Data Analytics

gvw.com 3

1. Übersicht über EU DSGVO

gvw.com 4

EU Datenschutz Grundverordnung

Übersicht

EU Datenschutz Grundverordnung

• Beschluss vom 27. April 2016

• Geltung ab dem 25. Mai 2018

Verordnung: einheitliches Datenschutzrecht für die EU

• Unmittelbare Geltung der Verordnung

Hohe Bußgelder

• Bisher: 50.000/300.000 Euro, selten verhängt

• DSGVO, Art. 83: bis 10 Mio./2 % oder 20 Mio. bzw. 4 % des

weltweiten Unternehmensumsatzes

Erweiterte Haftung

• Beweislastumkehr, Art. 82 Abs. 3

• Einbeziehung immaterieller Schäden

gvw.com 5

2. Accountability

gvw.com 6

Accountability (Rechenschaftspflicht),

Art. 5 Abs. 2, 24 Abs. 2 (1)

Umkehrung der Verantwortlichkeiten

Verantwortlicher muss künftig den Nachweis für Einhaltung des

Datenschutzrechts erbringen

Probleme

• häufig keine vollständige Übersicht über Datenverarbeitung

vorhanden, fehlendes Verfahrensverzeichnis

• Verfahrensverzeichnis häufig nicht aktuell

gvw.com 7

Accountability (Rechenschaftspflicht),

Art. 5 Abs. 2, 24 Abs. 2 (2)

Notwendige Maßnahmen: Verarbeitungsverzeichnis, Art. 30

• Kontaktdaten

• Zwecke der Verarbeitung

• Kategorien betroffener Personen und personenbezogener

Daten

• Kategorien von Empfängern, insbesondere in Drittstaaten

• Löschfristen für die verschiedenen Datenkategorien

• Ggf. Beschreibung der technischen und organisatorischen

Maßnahmen zur Datensicherheit

Wichtig:

• Vollständiger Überblick über die gesamte Datenverarbeitung

• Verzeichnis laufend aktualisieren

gvw.com 8

3. Betroffenenrechte

gvw.com 9

Betroffenenrechte

• Informationspflichten

• Recht auf Auskunft

• Löschpflichten, Recht auf Vergessenwerden

• Einschränkung der Verarbeitung

• Datenübertragung

• Widerspruch gegen Verarbeitung

Bußgeld bei Verstößen: 20 Mio/4%

gvw.com 10

Informationspflichten, Art. 13 u. 14

Erhebung bei Betroffenen oder Dritten, Information über

• Kategorien der erhobenen Daten

• Rechtsgrundlage der Erhebung, auch berechtigte Interessen,

automatisierte Entscheidungen, Zweckänderungen

• Herkunft der Daten (wenn nicht beim Betroffenen erhoben)

• Geplante Übermittlung an Dritte

• Dauer der Speicherung

• Belehrung über Betroffenenrechte

Notwendige Maßnahmen:

• Überblick, in welchen Prozessen Daten erhoben werden

• Sicherstellen, dass Information erfolgt

gvw.com 11

Recht auf Auskunft, Art. 15

Inhalt der Auskunft

• Entsprechend Informationspflichten nach Art. 13, 14

• Überlassung einer Kopie, Art. 15 Abs. 3

Notwendige Maßnahmen:

• Prozess für Anfragen einrichten

• Vollständige Übersicht über gespeicherte Daten

• Formular für Auskunft

gvw.com 12

Löschpflichten und Recht auf

Vergessenwerden, Art. 17 (1)

Löschpflichten, Art. 17 Abs. 1 (Auswahl)

• Zweckerledigung

• Widerruf einer Einwilligung

• Widerspruch gegen weitere Verarbeitung, insbesondere bei

Direktwerbung

• Daten von Kindern

Grenzen der Löschpflicht

• Rechtspflicht zur Speicherung

• Geltendmachung von Rechtsansprüchen, Meinungsfreiheit,

Archivzwecke u. a.

Daten an Dritte übermittelt

• Information der Dritten über Löschungsverlangen

• Information des Betroffenen über Empfänger

gvw.com 13

Löschpflichten und Recht auf

Vergessenwerden, Art. 17 (2)

Notwendige Maßnahmen:

• Löschkonzept erstellen und implementieren, d. h. Daten mit

Löschfristen verknüpfen

• Wirksames Löschen an allen Speicherorten

• Weitergabe an Dritte dokumentieren

• Prozess einrichten zur regelmäßigen Prüfung

gvw.com 14

4. Datensicherheit

gvw.com 15

Datensicherheit, Art. 33 (1)

Künftig erheblich größere Bedeutung:

• Bußgeld bei Verstößen: 10 Mio./2 % vom Umsatz

• Erweiterte Haftung für Verantwortliche und

Auftragsverarbeiter, Einbeziehung immaterieller Schäden, Art.

82

• Dokumentationspflicht und Beweislastumkehr, Art. 24, 82

• Erweiterte Benachrichtigungspflichten, Art. 33, 34

gvw.com 16

Datensicherheit, Art. 33 (2)

Notwendige Maßnahmen:

• Risikoanalyse, -bewertung und Schutzmaßnahmen

• Prozesse zur Gewährleistung der Datensicherheit einführen und

dokumentieren

• Prozesse zur rechtzeitigen Benachrichtigung von DSB und

Betroffenen (innerhalb von 72 Stunden)

• Verschlüsselung

• Interne Zugriffs- und Rechtekonzepte

gvw.com 17

5. Big Data Analytics

gvw.com 18

Big Data Analytics (1)

Profiling

• Weite Definition, Art. 4 Ziff. 4: Bewertung von persönlichen

Aspekten wie Arbeitsleistung, wirtschaftliche Lage,

Gesundheit, Interessen, Verhalten, Aufenthaltsort, u. a.

• Widerspruchsrechte: Art. 21

• Einschränkung automatischer Einzelentscheidungen, Art. 22

• Datenschutzfolgeabschätzung, Art. 35

gvw.com 19

Big Data Analytics (2)

Pseudonymisierung: Art. 4 Ziff. 5, EG 29

• Gesonderte Aufbewahrung der Schlüsselinformationen

• Schutz durch technische und organisatorische Maßnahmen

Anonymisierung: EG 26

• Sämtliche Mittel bei Verantwortlichem oder Dritten

• Wahrscheinlich zur Identifizierung genutzt: Kosten,

Zeitaufwand, verfügbare Technologien und künftige

Entwicklungen

gvw.com 20

Big Data Analytics (3)

Notwendige Maßnahmen:

• Identifizierung der Anwendungen

• Prozesse zur Prüfung der Rechtmäßigkeit incl.

Datenschutzfolgeabschätzung

• Prozesse zur Pseudonymisierung (Schlüsselinformationen,

Schutz durch technische und organisatorische Maßnahmen)

• Prozesse zur Anonymisierung (Löschen von Identifikatoren,

Aggregrieren u.a)

gvw.com 21

Arnd Böken

Partner

Rechtsanwalt und Notar

Potsdamer Platz 8

10117 Berlin

T +49 30 726111-0

F +49 30 726111-333

A.Boeken@gvw.com

gvw.com 22

Kontakt

Berlin

Potsdamer Platz 8

10117 Berlin

T + 49 30 726111-0

F + 49 30 726111-333

berlin@gvw.com

Düsseldorf

Königsallee 61

40215 Düsseldorf

T + 49 211 56615-0

F + 49 211 56615-123

duesseldorf@gvw.com

Frankfurt am Main

Ulmenstrasse 23-25

60325 Frankfurt/Main

T + 49 69 8008519-0

F + 49 69 8008519-99

frankfurt@gvw.com

Hamburg

Poststrasse 9 – Alte Post

20354 Hamburg

T + 49 40 35922-0

F + 49 40 35922-123

hamburg@gvw.com

München

Maximiliansplatz 10

Im Luitpoldblock

80333 München

T + 49 89 689077-0

F + 49 89 689077-100

muenchen@gvw.com

Brüssel

9 Rond Point Schuman

1040 Brüssel

T + 32 2 54103-30

F + 32 2 54103-39

bruessel@gvw.com

Istanbul

Kanyon Ofis Binası Kat. 6

Büyükdere Cad. No. 185

34394 İstanbul, Türkiye

T + 90 212 38180-00

F + 90 212 38180-48

istanbul@gvw.com

Shanghai

Chong Hing Finance Center, Room 906

288 West Nanjing Road

Shanghai 200003

T + 86 21 6322-3131

F + 86 21 6322-2430

shanghai@gvw.com