Upload
vanngoc
View
213
Download
0
Embed Size (px)
Citation preview
europäische datenschutz-grundverordnung
interpretationsbedarfe für unternehmen und erste lösungen
Berlin, den 14.06.2016
Dr. Claus-Dieter Ulmer, SVP, Global Data Privacy Officer
2 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
herausforderungen der digitalen zukunft meistern
personenbezogene daten
In the 60 seconds you've been on this page, approximately 1354440 GB of data was transferred over the internet.
3 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
datenschutz-grundverordnung (dsgvo)
2017 2016 2015
Q2 2018 Anwendung
Dezember 2015 Abschluß
Trilogverhandlung
Übergangsfrist (zwei Jahre)
u.a. Anpassung nationaler Gesetze
Formale Beschlussfassung im Europäischen Parlament und Ministerrat im April 2016
Anwendbarkeit 24. Mai 2018 Rechtsbereinigung (notwendige Anpassungen
Deutschen Rechts); Gesetzentwurf soll bis August 2016 vorliegen
Gestaltungsmöglichkeiten für Mitgliedstaaten durch Öffnungsklauseln z.B. bei der Verarbeitung von Gesundheitsdaten
Konsultationsverfahren zur ePrivacy-Richtline
Sachstand DSGVO - Update
Q2 2016 In -Kraft -Treten
Konkretisierung auslegungsbedürftiger
Rechtsbegriffe Begleitung von Gesetzgebungsverfahren zu
Öffnungsklauseln Internationales Umsetzungsprojekt im Konzern
zur DSGVO ePrivacy-Richtlinie Review
Maßnahmen Deutsche Telekom
2018
4 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
datenschutz-grundverordnung (dsgvo)
Aussagen aus der Politik – sinngemäß -:
Der Harmonisierungsgedanke steht im Vordergrund. Daher wird sich die Bundesregierung zunächst auf die Öffnungsklauseln für den öffentlichen Bereich fokussieren. Im nicht öffentlichen Bereich sollen die Öffnungsklauseln nur zurückhaltend und wohl auch erst nach der nächsten Bundestagswahl angegangen werden.
Am Besten ist es, wenn von den Öffnungsklauseln gar kein Gebrauch gemacht wird.
die datenschutz-grundverordnung (dsgvo) chancen und risiken
6 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
datenschutz-grundverordnung (dsgvo) auswirkungen auf geschäftsmodelle
Chancen
Positive Auswirkungen auf Geschäftsmodelle des Konzerns
Cloud Business, Zertifizierung erleichtert den Nachweis der Compliance z.B. für Cloud -Anbieter und kann damit erheblich administrative Aufwände reduzieren.
Big Data, erweiterter Anwendungsbereich für Big Data Auswertungen unter Verwendung pseudonymer Daten, die Kunden haben ein Widerspruchsrecht (z.B. Internet of Things, Nutzerpofile bei Connected Car). Bislang nur in Ausnahmefällen möglich.
EU-Geschäftsmodelle und Lösungen, verbesserte Voraussetzungen für europäische Projekte durch eine zentral zuständige Aufsichtsbehörde in Europa.
Level Playing Field, soziale Netzwerke und OTTs müssen bei der Verarbeitung von Daten, die in Europa erhoben werden, das europäische Datenschutzrecht anwenden.
Risiken
Deutlich erhöhter Sanktionsrahmen: Bußgelder für Unternehmen von bis zu 4 % des weltweiten Jahres-umsatzes bei erheblichen Verstößen
die datenschutz-grundverordnung (dsgvo) auswirkung auf geschäftsmodelle an ausgewählten beispielen
8 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
datenschutzgrundverordnung kerninhalte und auswirkungen Kerninhalte Beschreibung Beispiele
Compliance mit DSGVO kann durch Zertifizierung nachgewiesen werden (auch von Nicht-EU-Unternehmen)
Erleichterte Zusammenarbeit mit Partnern (Auftraggeber/Auftragnehmer) auf Basis von Zertifikaten
Zukünftig können Aufwände, die Auftraggebern und -nehmern bei der Überprüfung der Datenschutzcompliance entstehen, durch verlässliche Standards und Zertifikate stark reduziert werden (z.B. Cloud Marketplaces). Kunden müssen heute noch die Auftragnehmer umfangreich prüfen. Die Auftragsverarbeitungsverträge können zukünftig auch elektronisch abgeschlossen werden.
Cloud Computing
9 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
datenschutzgrundverordnung kerninhalte und auswirkungen Kerninhalte Beschreibung Beispiele
Pseudonymisierung ermöglicht erweiterte Datenverarbeitung, da pseudonyme Datenverarbeitung als kompatibel mit dem ursprünglichen Zweck und daher zulässig gewertet wird
Die Kunden haben ein Widerspruchsrecht (opt-out)
Ermöglichung von Geschäfts-modellen, basierend auf Pseudonymisierung
Rahmenbedingungen für Pseudonymisierung noch zu konkretisieren
Telekom Entertain -Nutzungsstatistiken – heute nur im engen Rahmen von Spezialgesetzen möglich
Zukünftig können vergleichbare Modelle auch in anderen Anwendungsbereichen umgesetzt werden, ohne das eine Einwilligung eingeholt werden muss (Bsp: Hinterlegung von Nutzerprofilen bei Car-Sharing)
Big Data
10 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Kerninhalte Beschreibung Beispiele Einwilligung muss grundsätzlich
zweckbezogen eingeholt werden
Verträge dürfen nicht davon abhängig gemacht werden, dass in die Verarbeitung von Daten eingewilligt wird, die zur Vertragserfüllung nicht erforderlich sind (Koppelungsverbot)
Bundesdatenschutzgesetz und die ePrivacy-Richtlinie definieren bereits heute vergleichbare Anforderungen für Unternehmen
Zukünftig Einschränkung bei Geschäftsmodellen durch Koppelungsverbot
Bsp. Deutsche Telekom: Konzerneinwilligungsklausel - KEK (Analyse von Vertragsdaten für Werbung über Vertragszweck hinaus) ist etabliert.
Bsp. Over The Top-Anbieter (OTT‘s): Bislang verwendete pauschale Einwilligungen für viele Zwecke in AGBs (faktischer Opt-Out) einiger OTT‘s sind zukünftig nicht mehr zulässig
datenschutzgrundverordnung kerninhalte und auswirkungen
Einwilligung
11 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Kerninhalte Beschreibung Beispiele
Marktortprinzip („Level Playing Field“): Daten, die in der EU erhoben werden, unterliegen immer der DSGVO
Gilt auch für Processing oder Remote Access in bzw. von Drittstaaten
Deutliche Erweiterung des Adressatenkreises der DSGVO, somit steigende Anforderungen vor allem an OTTs, die Verarbeitung von Daten von EU-Bürgern nur in Drittstaaten (z.B. USA) vornehmen
Für Anbieter, die keine Niederlassung in der EU haben, ist bspw. der Verweis auf US-Recht als geltendes Datenschutzrecht bei Angeboten für europäische Bürger nicht mehr zulässig
Für Anbieter wird es schwieriger, Ausweichmöglichkeiten über EU-Mitgliedsstaaten zu nutzen, die Defizite im Vollzug europäischen Daten-schutzrechts haben (z.B. Irland)
Einführung eines verpflichtenden „Data Protection Impact Assessments“ bei risiko-behafteten Datenverar-beitungsmodellen
Verbindliche Vorgaben zu „Privacy by Design“
Neue Anforderungen sollen die operative Umsetzung der gesetzlichen Anforderungen in den Unternehmen sicherstellen
Bsp. Deutsche Telekom: Prozess „Privacy & Security Assessment“ (PSA) vorhanden
OTTs
datenschutzgrundverordnung kerninhalte und auswirkungen
IT/NT
12 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Kerninhalte Beschreibung Beispiele
Durch One-Stop-Shop-Mechanismus muss bei internationalen Projekten nur noch mit einer Aufsichtsbehörde Kontakt aufgenommen werden
Aufsichtsbehörden müssen Sachverhalte einheitlich bewerten (Kohärenzverfahren)
Bei Streitfragen entscheidet die Europäische Datenschutzkommission
Reduktion des administrativen Aufwands für internationale Großprojekte
Aufsichtsbehörden stimmen sich untereinander ab, Unternehmen muss nur einmal Unterlagen vorlegen
Unterschiedliche Auslegungen werden einer einheitlichen, europaweiten Regelung zugeführt
Einheitliche IP- oder IT-Plattformen in Europa
Einheitliche Geschäftsmodelle
Einheitliche Bewertung auch von Incidents
EU-Geschäfts-modelle und Lösungen
datenschutzgrundverordnung kerninhalte und auswirkungen
13 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Kerninhalte Beschreibung Beispiele
Deutlich erhöhter Sanktions-rahmen, Bußgelder in Höhe von bis zu 4 % des weltweit-en Jahresumsatzes bei erheblichen Verstößen gegen DSGVO Regelungen möglich
Antrieb zur Einhaltung gesetzlicher Vorschriften soll erhöht werden
Sanktionen unterliegen dem Verhältnismäßigkeitsprinzip
Nach bisherigen Datenschutzgesetzen max. Bußgeldhöhe von 300.000 €, die kumuliert auch höher ausfallen konnte.
Beispiele
• LIDL 1,46 Mio. €
• DEBEKA 1,3 Mio. €
• Deutsche Bahn 1,1 Mio. €
• Google145.000 €
• DT Haftstrafe und Spende an gemeinnützige Vereinigung
Verstöße gegen die Rechte der Kunden z.B. unvollständige / fehlende Information der Kunden oder fehlerhaft eingeholte Einwilligungen können dem 4%-Sanktions-Rahmen unterliegen
datenschutzgrundverordnung kerninhalte und auswirkungen
Sanktionen und Haftung
die datenschutz-grundverordnung (dsgvo) einzelne interpretationsbedarfe und auslegungsmöglichkeiten
15 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
auslegungsfragen
Die DSGVO stellt ein Verhandlungsergebnis nach drei Jahren harter Verhandlungen verschiedener Interessenvertreter dar. Die Auslegung der Regelungen stellt uns daher vor besondere Herausforderungen.
Die Auslegungshoheit – so es keinen vorab-Konsens gibt – liegt im Einzelfall zunächst bei den Aufsichtsbehörden. Später gegebenenfalls bei den Gerichten.
Die nachfolgenden Aussagen haben daher im Wesentlichen Empfehlungscharakter ...
16 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Anwendungsbereich
Art. 3 – auf Unternehmen, die ihre Dienste in Europa anbieten oder auf Betroffene, die sich in Europa befinden … “The Google Case”? – Grundrechte europäischer Bürger haben weltweite Geltung?
auslegungsfragen
Einwilligungs-anforderungen
Art. 6/7 i.V.m. Art. 4 Ziff. 11
“in Form einer Erklärung oder sonst eindeutigen Handlung” – also keine konkludente Einwilligung möglich.
In Abgrenzung zu Art. 9 – bei besonderen Kategorien personenbezogener Daten
“ausdrücklich” bezieht sich auf die Verarbeitung der besonderen Daten. Diese müssen in der Einwilligung zumindest abstrakt genannt sein.
17 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Weiterverarbeitung
Art. 6 Abs. 4 … zulässig ohne erneute Einwilligung oder andere Rechtsgrundlage zu Zwecken, die mit dem ursprünglichen kompatibel sind (bei Beachtung u.a. der Rahmenbedingungen in lit. a – e). Dabei kommt es auf die “vernünftigen Erwartungen” des Betroffenen an und die Folgen für ihn. Ist Direktmarketiing bei bestehendem Kundenverhältnis kompatibel, d.h. erwartbar? Im Zweifel kann auf die Rechtsgrundlagen in Art. 6 Abs. 1 zurück gegriffen warden.
auslegungsfragen
Pseudonymisierung
Art. 6 Abs. 4 lit. e und andere
Welche Wirkung hat Pseudonymisierung? – Risikominimierung und Erleichterung der Verarbeitung.
Was ist Pseudonymisierung? – Art. 4 Ziff. 5: … nicht einer feststellbaren Person zugewiesen werden?
Welche Betroffenenrechte gibt es? – Transparenz und Widerspruchsrecht, vgl. § 15 Abs. 3 TMG.
Wie ist zu pseudonymisieren? - darf ohne Hinzuziehung zusätzlicher Informationen nicht identifizierbar sein.
18 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
auslegungsfragen
Icons Art. 12 – Transparente Information etc.
Vorschlag des Parlaments – nicht ausdrücklich in der DSGVO geregelt.
Aber in Abs. 8 delegierter Rechtsakt an die Kommission zur Ausgestaltung von “standardisierten Bildsymbolen” – Mitgestaltung durch die Wirtschaft?
Auftragsverarbeitung
Art. 28 – Auftragsverarbeiter
es wird vertreten, dass die Privilegierung der Auftragsverarbeitung, die wir nach dem deutschen Recht kennen, durch die DSGVO weggefallen ist. Das trifft nicht zu.
Aber: Art. 4 Ziff. 10: “Dritter ist …, außer … dem Auftragsverarbeiter …”.
Art. 28 Abs. 10 – AV ist dann verantwortliche Stelle, wenn er eigenmächtig Daten verarbeitet.
19 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Rolle und Haftung des Auftragsverarbeiters
Art. 30 - Verzeichnis von Verarbeitungstätigkeiten, Abs. 2: der Auftragsverarbeiter hat kein Verfahrenverzeichnis im Sinne eines inernen des BDSG für die Verarbeitungen der Auftraggebers zu führen. “die Kategorien von Verarbeitungen” reichen aus. Art. 82 Abs. 2 und 3 – Exculpation (Beweislastumkehr) möglich. Echte gesamtschuldnerisch Haftung nach Abs. 4 nur bei grundsätzlich bestehender Haftung.
auslegungsfragen
Datenschutz-beauftragter Art. 39 – Aufgaben des Datenschutzbeauftragten
lit. b), Überwachung der Einhaltung dieser Verordnung, …” – hat der DSB eine Garantenstellung wie für den Compliance Officer angenommen wird? – Keine Sicherstellungsfunktion. Kein “Hinwirken”. Accountability liegt ganz klar bei der verantwortlichen Stelle.
20 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Zertifizierung
Art. 42 – Zertifizierungen zum Nachweis der Compliance mit den Anforderungen aus der DSGVO. Die Klassifizierung als Europäisches Datenschutzsiegel ist nach Abs. 5 möglich. Dadurch höchste Rechtssicherheit und Verlässlichkeit. Geeignet auch zum Nachweis eines angemessenen Datenschutzniveaus bei Übermittlungen in Drittländer.
auslegungsfragen
Code of Conducts
Art. 40 - Verhaltensregeln
Chance, an der Ausgestaltung der Anforderungen der DSGVO aktiv mitzuwirken. Verhaltensregeln – etwa zur Pseudonymisierung – können von der Kommission verbindlich erklärt warden.
Art. 40 Abs. 1, Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen … vertreten – Interessengemeinschaften?
21 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
auslegungsfragen
Geheimnisträger Art. 90 – Geheimhaltungspflichten
Öffnungsklausel für Regelungen zur Auftragsverarbeitung bei Geheimnisträgern, wie Krankenhäusern, Anwälten, etc. Neuregelung zu § 203 StGB möglich.
Geldbußen und Sanktionen Art. 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen
“Unternehmen” im Sinne von Abs. 4 und 5 - Erwägungsgrund 150: Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff "Unternehmen" im Sinne der Artikel 101 und 102 AEUV verstanden werden.
was müssen unternehmen tun?
23 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
was müssen unternehmen jetzt tun?
Analyse Umsetzungszeitraum für DSGV beträgt zwei Jahre Prüfung aller relevanten Unternehmensprozesse auf Einhaltung der Regelungen
Implementierung Aufsetzen eines Umsetzungsprojekts Einbeziehung aller betroffenen Unternehmen einer Unternehmensgruppe – ggf.
unterschiedliche Reife des Datenschutz-Management-Systems
Check Compliance-Prüfung vor Abaluf der Implementierungsfrist Datenschutz-Organisation oder ggf. Revision
datenschutz-compliance managementsystem
25 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
Ein Compliance-Management-System beschreibt die Grundsätze und Maßnahmen eines Unternehmens, die ein regelkonformes Verhalten des Unternehmens entsprechend den gesetzlichen Regelungen und unternehmensinternen Richtlinien sicherstellen sollen.
Überprüfung und Zertifizierung des Compliance-Management-Systems durch den Prüfstandard (PS) 980 des Instituts der Wirtschaftsprüfer (IDW) .
datenschutz compliance-management-system
26 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
kernelemente eines datenschutz compliance-managementsystems nach idw ps 980
Datenschutz-Kultur - Datenschutzbeirat, Tone from the top, Vor-Ort Besuche …
Datenschutz-Ziele - Ziele des CMS, Strategie Group Privacy …
Datenschutz-Risiken - risiobasierte Auditplanung …
Datenschutz-Programm - Binding Corporate Rules Privacy, Schulungen …
Datenschutz-Organisation -
Datenschutz-Kommunikation - Richtlinien, Datenschutz-Anforderungen,Transparenzbericht …
Datenschutz-Kontrolle - Konzerndatenschutzaudit, Audits, Verfahrensverzeichnis, KPIs
6
3
7
5
2
4
1
zentral & dezentral, Privacy-Security Assessment, Auftrags-management, Prozesshandbuch, Privacy Life Cycle Management …
27 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
ergebnis und zertifizierungsbericht
ergebnis und zertifizierungsbericht Das Ergebnis der Prüfung wird in einem Bericht festgehalten.
Mögliches Ergebnis der Prüfung ist: Zertifizierung Zertifizierung mit Empfehlungen Zertifizierung mit Feststellungen keine Zertifizierung, da Feststellungen zu erheblich
Der Zertifizierungsbericht dient dem Nachweis, dass den Aufsichts-, Sorgfalts- und Organisations-pflichten in Bezug auf das Compliance-Management System nachgekommen wurde.
28 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe
vielen dank!
www.telekom.com/datenschutz www.telekom.com/privacy