Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Kooperationsveranstaltung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland – Pfalz „DSGVO – Neue Beispiele aus der täglichen Praxis“
Termin: Montag, 28. Oktober 2019, 14:00 – 18.00 Uhr Veranstaltungsort: BASF SE, Gutsbetrieb Rehhütte, 67117 Limburgerhof
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Councel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss
Erfahrungen mit und Entwicklungen bei der
Datenschutz-Grundverordnung
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Rheinland-Pfalz
Folie: 4Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
1. Einschätzungen der DS-GVO
Steigerung der Präsenz und Beachtung des Datenschutzes in der
Öffentlichkeit
Die DS-GVO als Vorbild auf der internationalen Ebene
Materielle Lösungen – Der „Gold-Standard“
Einheitliche Standards in international aufgestellten Unternehmen
Unsicherheiten in Einzelfragen
Änderungen der Bewertung von Sozialadäquanz?
Folie: 5Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
2. Hilfestellungen und Orientierung
Europäischer Datenschutzausschuss
Working Paper
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder (DSK)
Kurzpapiere
Positionsbestimmungen
LfDI
www.datenschutz.rlp.de
Folie: 6Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
3.1. Rechtsprechung des EuGH
Schrems II – Internationaler Datentransfer
EuGH: facebook- Fanpages
Folie: 7Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
3.2. Innerstaatliche Rechtsprechung
BVerwG
Interessenabwägung
Videoüberwachung
Verwaltungsgerichtsbarkeit
VG Mainz, Festsetzung von Zwangsgeld
Zivilgerichtsbarkeit
Ordnungswidrigkeitenverfahren
Amtsgericht zu Geldbußen
Folie: 8Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
3. Europäische Kooperationen
Stand: 1. Oktober 2019
Grenzüberschreitende Fälle: IMI
Plattformlösung
Feststellung der Zuständigkeit (Art. 56 DS-GVO)
1193 Verfahren, davon 394 aus D
Federführende Aufsichtsbehörde
65 Meldungen aus D
Folie: 9Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
3. Europäische Kooperationen
Stand: 1. Oktober 2019
Zusammenarbeit (Art. 60 DS-GVO)
390 Verfahren
Amtshilfe (Art. 61 DS-GVO)
1928 Verfahren
Kohärenzverfahren (Art. 64 DS-GVO)
41 Verfahren
Folie: 10Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
4.1. Entwicklungen der Aufsichtspraxis
Beschwerden
Bearbeitungspflicht innerhalb bestimmter Fristen
Online-Formular des LfDI
1.1.2018 bis 24.5.2018: 403
25.5.2018 bis 31.12.2018: 704
1.1.2019 bis 16.10.2019: 789
Folie: 11Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
4.2. Entwicklungen der Aufsichtspraxis
Beratungen und Stellungnahmen
Unterstützung von betroffenen Personen und Verantwortlichen
Telefonische Beratungen nicht gezählt
Verkürzung der Sprechzeiten
1.1.2018 bis 24.5.2018: 413
25.5.2018 bis 31.12.2018: 1031
1.1.2019 bis 16.10.2019: 703
(restriktivere Praxis – keine Einzelberatung mehr)
Folie: 12Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
4.3. Entwicklungen der Aufsichtspraxis
Meldungen von Verletzungen (Art. 33)
Meldewege im Unternehmen
Online-Formular des LfDI
1.1.2018 bis 24.5.2018: 10
25.5.2018 bis 07.05.2019: 105
1.1.2019 bis 16.10.2019: 191
Folie: 13Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.1. Befugnisse des LfDI
Untersuchungsbefugnisse (Art. 58 Abs. 1)
Zugang zu allen Daten und Geschäftsräumen
Datenschutzüberprüfungen
Vor-Ort-Untersuchungen
Abhilfebefugnisse (Art. 58 Abs. 2)
Verwarnung, Anweisung usw.
Genehmigungsbefugnisse (Art. 58 Abs. 3)
Folie: 14Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.2. Ausübung der Befugnisse
Verwarnung
Verstoß in der Vergangenheit
Beanstandung nach LDSG gegenüber öffentlichen Stellen
Vom Einzelfall zur Regelreaktion
Anweisung und Anordnung
Verhinderung von Verstößen in der Zukunft
Geldbußen, Art. 83
Folie: 15Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.3. Ausübung der Befugnisse
Verwaltungsverfahren
Mittel des Verwaltungsaktes
Ermittlung des Sachverhalts
Anhörung des Betroffenen
Dauer
Rechtsschutz
Folie: 16Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.4. Ausübung der Befugnisse
Beanstandungen (gegen öffentliche Stellen)
LDSG RP
25.5.2018 bis 31.12.2018: 9
1.1.2019 bis 16.10.2019: 19
Festsetzung von Zwangsgeldern
Wegen Nichtbeantwortung von Informationsersuchen
25.5.2018 bis 31.12.2018: 3
1.1.2019 bis 16.10.2019: 3
Folie: 17Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.4. Ausübung der Befugnisse
Warnungen
25.5.2018 bis 31.12.2018: 2
1.1.2019 bis 07.05.2019: 1
Verwarnungen
25.5.2018 bis 31.12.2018: 16
1.1.2019 bis 16.10.2019: 22
Folie: 18Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
5.4. Ausübung der Befugnisse
Anordnungen
25.5.2018 bis 31.12.2018: 1
1.1.2019 bis 16.10.2019: 12
Bsp.: Übermittlung von Analysedaten ohne Einwilligung
Geldbußen
25.5.2018 bis 31.12.2018: 3
1.1.2019 bis 16.10.2019: 8
Bsp.: Videoüberwachung
Folie: 19Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
6.1. Schwerpunkte der Aufsichtspraxis in RP
Vor Ort Untersuchungen
Insb. Videoüberwachung
25.5.2018 bis 7.5.2019: 26 (teils gebündelt)
Kaum Beschwerden gegen Vereine
Folie: 20Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
6.1. Schwerpunkte der Aufsichtspraxis in RP
Verweigerung oder Nichterteilung der Auskunft (Art. 15)
Steigende Fallzahlen bei Verstößen im Internet
Ansprüche auf Löschung (Art. 17)
Steigerung der Fälle mit grenzüberschreitendem oder
internationalem Bezug
Facebook, Google usw.
Folie: 21Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
7.1. Kernpunkte der Diskussion zur DS-GVO
Reichweite der Rechtsgrundlagen
Vertrag, Art. 6 Abs. 1 lit. b
EDSA Guidelines 2/2019
Einwilligung, Art. 6 Abs. 1 lit. a
Berechtigtes Interesse, Art. 6 Abs. 1 lit. f
Informationspflichten, Art. 13, 14
Zu detailliert?
Zu undifferenziert?
Folie: 22Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
7.1. Kernpunkte der Diskussion zur DS-GVO
Reichweite des Rechts auf Auskunft, Art. 15
Recht auf Kopie
Gemeinsame Verantwortlichkeit, Art. 26
Anwendungsfälle d. Auftragsverarbeitung, Art. 28
Probleme im privaten Geschäftsverkehr
Folie: 23Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
7.1. Kernpunkte der Diskussion zur DS-GVO
Führen des Verzeichnisses der Verarbeitungstätigkeiten, Art. 30
Ausgestaltung der Meldepflicht, Art. 33
Akkreditierung und Zertifizierung, Art. 42, 43
§ 39 BDSG, DAkkS
Folie: 24Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
7.2. Kernpunkte der weiteren Diskussion
Brexit ePrivacy-Verordnung
Harmonisierung der Anwendungspraxis durch die
Datenschutzaufsichtsbehörden in Europa
Folie: 25Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
8. Künstliche Intelligenz und Datenschutz
Hambacher Erklärung zur Künstlichen Intelligenz
1. KI darf Menschen nicht zum Objekt machen
vollständig automatisierte Entscheidungen; Profiling;
Entscheidungen mit rechtlicher Wirkung
2. Einsatz nur für verfassungsrechtlich legitimierte Zwecke
Grundsatz der Zweckbindung
Folie: 26Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
8. Künstliche Intelligenz und Datenschutz
Hambacher Erklärung zur Künstlichen Intelligenz
3. Transparenz, Nachvollziehbarkeit, Erklärbarkeit
im Hinblick auf die Prozesse und das Zustandekommen
von Entscheidungen
4. Vermeidung von Diskriminierung
5. Grundsatz der Datenminimierung
Folie: 27Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
8. Künstliche Intelligenz und Datenschutz
Hambacher Erklärung zur Künstlichen Intelligenz
6. Verantwortlichkeit
der Beteiligten muss ermittelt und kommuniziert werden
7. Technische und organisatorische Standards
z.B. Pseudonymisierung
Folie: 28Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
9. Fazit und Ausblick
Die DS-GVO ist ein Erfolg !
Wirksamer Datenschutz fordert alle
Folie: 29Prof. Dr. Dieter Kugelmann
Erfahrungen und Entwicklungen
Vielen Dank für die Aufmerksamkeit
Quelle: alle Grafiken stammen von Pixabay
Prof. Dr. Dieter Kugelmann
Landesbeauftragter für den Datenschutz
und die Informationsfreiheit Rheinland-Pfalz
Postanschrift: Postfach 30 40
55020 Mainz
Büroanschrift: Hintere Bleiche 34
55116 Mainz
Telefon: +49 (6131) 208-2449
Telefax: +49 (6131) 208-2497
E-Mail: [email protected]
Web: www.datenschutz.rlp.de
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS?Vortrag ist leider nicht zur Veröffentlichung freigegeben
Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss
Vernichtung
Verlust
unbefugte Offenlegung
unbefugter Zugang
Veränderung
Verarbeitung personenbezogener
Daten
Verletzung der Sicherheit
Behörde informieren?
Betroffene informieren?
Data Breach – Was ist das?
Kriterien
Richtiger Meldezeitpunkt?
Welche Risikostufe?
Länder übergreifend?
Mögliche Maßnahmen?
Anzahl der Betroffenen?
Datenschutzvorfall/ sonstiger Complianceverstoß?
Mögliche Auswirkungen?
Wie bewerten wir einen Datenschutzvorfall?
37Data Breach_Timo Ahland_28.10.2019
38
Formular (3)DPO dokumentiert die Risikoanalyse und die eventuellen Meldungen
Data Breach_Timo Ahland_28.10.2019
• Non-compliance durch Mitarbeiter, aber kein Data Breach
• Großteil: menschliches Versagen Einzelner
• Fälle, die im Verantwortungsbereich separater Verantwortlicher liegen
• Fälle sind zu über 80 % HR-Ereignisse, 5 % Medizin, 15 % diverse
• Nur Fälle der Fallgruppen unberechtigter Zugriff, unberechtigte Offenlegung
• HR: Großteil von Ereignissen im Bereich unstrukturierter Datenverarbeitung
Folgende Trends und Muster erkennen wir
Data Breach_Timo Ahland_28.10.2019 39
• Uneinheitliches Meldeverhalten in Europa: Zeitraum May 18-März 19➢ Italien – 946 Fälle
➢ Spanien – 547 Fälle
➢ Frankreich – 1.170 Fälle
➢ Bayern – 4.200 Fälle
➢ Rheinland-Pfalz?
• Einheitliche Kriterien für Meldungen in D und EU durch “Task Force der DSK –Input aus der Praxis ist seitens LDA Bayern erwünscht!
• Prüfung von Risiko und Eintrittswahrscheinlichkeit des Risikos findet häufig nichtstatt!
Was uns aufgefallen ist
Data Breach_Timo Ahland_28.10.2019 40
• Geldbuße bei mitgeteiltem Verstoß?
➢ Bayern: nein wegen § 43 Abs. 4 BDSG 2018
➢ BaWü: ja! Keine Anwendung von § 43 Abs. 4 BDSG 2018
➢ Rheinland-Pfalz?
• Statt Diskussion über 72-Stunden-Frist: unverzügliche Meldung und ggf. Darlegung, warum nicht innerhalb von 72 Stunden gemeldet wurde
• Dokumentation aller Ereignisse notwendig und warum kein Risiko angenommenund keine Meldung erfolgt
• Durchführung der Meldung ist nicht Aufgabe des DSB
Was uns aufgefallen ist
Data Breach_Timo Ahland_28.10.2019 41
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss
Überwachungsaufgabe des DSB
Zusammenspiel mit dem Datenschutz-Managementsystem bei SCHOTT
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Agenda
SCHOTT im Überblick
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Compliance (Datenschutz) Management System@SCHOTT
Aufgaben des DSB@SCHOTT
SCHOTT AGMainz
Tochtergesellschaften
Carl Zeiss AGOberkochen
Tochtergesellschaften
CARL-ZEISS STIFTUNGHeidenheim an der Brenz und Jena
Beteiligungsträgerstiftung
100% 100%
Nachhaltiges Unternehmensmodell
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Breites Produktportfolio für viele Branchen
Hausgeräteindustrie Life Sciences Automobilindustrie
Pharma Elektronik Astronomie
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Konzernumsatz
2,08 Mrd. Euro
EBIT
274 Mio. Euro
Jahresergebnis
208 Mio. Euro
Eigenkapitalquote
35 %
Sachinvestitionen
185 Mio. Euro
Mitarbeiter
15.500
Unser Ziel ist nachhaltiges WachstumGeschäftsjahr 2017/18
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Supervisory Board /
Audit Committee
CEO SCHOTT AG
General Counsel &
Chief Compliance Officer
Head of Compliance &
Security (CL-C) Supplementary Topics
Core Topics
CL-C
• Anti-Corruption
• Antitrust
• Information Protection
• Data Protection
• Anti Money Laundering
CL-CE
• Export Control
• Customs
CL-CD
• Data Protection Officer
SCHOTT AG
Compliance Management System (CMS)
Prevention Detection Response
Compliance
Committee
CL-C
• Information Protection
• Travel Risk Management
• Classified Information
Security TSI-6
• Site Security
• Crises
Management
Compliance Representatives (Regional/BU/Site)
Christoph Dahl
Lars Steineck
Christoph Dahl Andreas Hollstein Jonas RaltschitschBrian RaßfeldYvonne Thierolf Nikola Mohr
Compliance Management System | Organisation
Karl Rengstorf
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Compliance Management System | Übersicht
Vorbeugen
• Risikoanalysen
• Regelwerke
• Trainings
• Kommunikation
• Integration in Personalprozesse
Erkennen
• Compliance-Untersuchungen
• Compliance Self-Assessments
• Compliance Risk-Assessments
• Compliance Checks (im Rahmen von Routine-Audits durch Auditing)
Reagieren
• Systematisches & einheitliches Vorgehen bei Compliance-Fällen
• Beseitigen von Schwachstellen bei Prozessen & Kontrollen
• Ergreifen angemessener Maßnahmen (inkl. Sanktionen)
SCHOTT AG Vorstand: „Tone from the Top“
Organisation: Compliance Office & Compliance Beauftragte (Regional/BU/Site)
Integrity Helpline (Hinweisgeber System)
Compliance Committee (bei wesentlichen Sachverhalten*)
* Wesentlicher Sachverhalt liegt vor bei hohem Schadenspotential (finanziell/ Reputation/ Sonstiges), überregionalen Vorgängen, behördlichen
Ermittlungen, Sanktionen auf hohem Management Level.
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Datenschutz Management System | Übersicht
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Unternehmen müssen die Einhaltung der DSGVO
über ein DSMS sicherstellen
Abgedeckt durch Compliance@SCHOTT
DSKs in den BUs, Functions & an allen EU-Standorten
Weltweiter Ausbau geplant
Umfasst die vollständige Dokumentation der
Einhaltung der Datenschutzbestimmungen
Überwacht und beraten durch den DSB
Aufgaben DSB | Kontrolle & Überwachung
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
▪ Unterrichtung und Beratung hinsichtlich der Pflichten
▪ Zusammenarbeit mit Behörden + Ansprechpartner
▪ Überwachung der Einhaltung der DSGVO bzw. BDSG
▪ Eigene Fortbildung
▪ Datenschutzrechtliche Beratung
▪ Überprüfung der Auftragsverarbeiter
▪ Vertragsgestaltung
▪ Projektbegleitung
▪ Schulungen/Training
▪ Weltweiter Roll-out der BCR
Aufgaben DSB | Kontrolle & Überwachung
Konzept zur Überwachung und Kontrolle der Einhaltung der Datenschutzregeln bei
SCHOTT gemeinsam mit CL-C und CL-A erarbeitet
Maßnahmen GJ 2019/2020
Compliance Self-Assessment der Einheiten in der EU zum Thema Datenschutz (verantwortlich:
CL-C)
Prüfung des Datenschutzmanagementsystems der SCHOTT AG in Deutschland (verantwortlich:
CL-A)
Risikoorientierte Prüfung der gemeldeten Verarbeitungstätigkeiten – entspricht die Meldung der
gelebten Praxis (verantwortlich: CL-CD)
Fortlaufende Prüfung der neu gemeldeten Verarbeitungstätigkeiten auf Vollständigkeit und
Rechtmäßigkeit (verantwortlich: CL-CD)
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Vielen Dank für Ihre Aufmerksamkeit!
Haben Sie noch Fragen?
© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019
Nikola Mohr, LL.M. Compliance ManagerE-Mail: [email protected]
Telefon:+49 6131 66-2843
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss
Kooperationsveranstaltung
DSGVO - Neue Beispiele aus der Praxis
Verträge
zur Auftragsverarbeitung***
Alexandra Haug (BASF Chief Data Protection Officer Europe)
Dr. Jürgen Höffler (BASF Senior Legal Counsel)
Verträge zur Auftragsverarbeitung
▪ Auftragsverarbeiter ist weisungsgebunden
▪ Auftragsverarbeiter ist nicht Dritter im Sinne desArt. 4 Nr. 10 DS-GVO
▪ Auftragsverarbeiter ist Empfänger im Sinne vonArt. 4 Nr. 9 DS-GVO
➢ Informationspflichten, Art. 13 I, lit. e) DS-GVO
➢ Auskunftsrechte, Art. 15 I, lit. c) DS-GVO
➢ Mitteilungspflichten, Art. 19 DS-GVO
➢ Dokumentation, Art. 30 I, lit. d) DS-GVO
▪ Notwendiger Inhalt des Vertrages
▪ Einsatz von Unterauftragnehmern
➢ Vorherige schriftliche Genehmigung vonUnterauftragnehmern
➢ Mitteilungspflicht bei Änderungen mit Veto-Recht
➢ Weitergabe von Datenschutzpflichten anUnterauftragnehmer
➢ Prüfung hinreichender Garantien für geeignete TOM
➢ Haftung für Unterauftragnehmer wie für eigenesVerschulden
▪ Unterstützungspflicht bei Durchführung vonDatenschutz-Folgenabschätzung und UmsetzungBetroffenenrechte
Auftragsverarbeitung nach DS-GVO Auftragsverarbeitungsvertrag, Art. 28 DS-GVO
Verträge zur Auftragsverarbeitung
Umsetzungsprobleme
▪ ADV bereits jahrelange Praxis in Deutschland
▪ Änderungen in Art. 28 DS-GVO machen häufig Nachbesserung bestehender Verträge notwendig
➢ Was tun mit Verweigerern?
▪ Neue Vertragsmuster „Auftragsverarbeitungsverträge“ AVV
➢ Wessen Vorlage wird genommen?
Verträge zur Auftragsverarbeitung
Kritische AVV-Regelungen
▪ Kostentragung für Unterstützungsleistungen (Art. 28 III Satz 2 lit. e) und lit. f) DS-GVO)
▪ Kostenbeteiligung an Verarbeitungsverzeichnis
▪ Dauerbrenner: Entgelt für die Durchführung von Kontrollen (Art. 28 III Satz 2 lit. h) DS-GVO)
➢ Erste Indikation / Argumentationshilfe: BayLDA „Aktuelle Kurzinformation 6 - Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“
▪ Regelungen zu Unterauftragnehmern
➢ Umsetzung Hinweispflicht durch Informationswebseite
➢ Ausgestaltung allgemeine schriftliche Genehmigung mit Einspruchsmöglichkeit
▪ Haftungsausschluss (wegen Art. 82 DS-GVO)
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
EU/EWR Angemessenheits-
beschluss
Sonstige
Drittstaaten
Auftragsverarbeiter
Sub-
Auftragsverarbeiter
AG
Art 28 AVV
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
EU/EWR Angemessenheits-
beschluss
Sonstige
Drittstaaten
Auftragsverarbeiter
Sub-
Auftragsverarbeiter
AG
Art 28 AVV
Art 28 IV Sub-AVV
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
EU/EWR Angemessenheits-
beschluss
Sonstige
Drittstaaten
Auftragsverarbeiter
Sub-
Auftragsverarbeiter
AG
Art 28 AVV
Standard-Datenschutzklauseln ?
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
EU/EWR Angemessenheits-
beschluss
Sonstige
Drittstaaten
Auftragsverarbeiter
Sub-
Auftragsverarbeiter
AG
Art 28 AVV
Standard-Datenschutzklauseln ?
Nicht ausreichend, da
Auftragsverarbeiter kein
„data exporter“ iSd. SCC,
sondern nur AGArt. 3c Kommissionsentscheidung 2010/87/EG
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
Sonstige
Drittstaaten
Auftragsverarbeiter
Sub-
Auftragsverarbeiter
AG
Art 28 AVV
Standard-DS-Klauseln
„Direktvertragslösung“
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -
Herausforderungen:
▪ Ergänzung der Standardvertragsklauseln um zusätzliche Voraussetzungen des Art. 28 III DSGVO ?
➢ Genügen die Standardvertragsklauseln (Arg. Übergangsvorschrift Art. 45 V, Satz 2 DSGVO zur Rechtssicherheit) versus Überlagerung durch Art. 28 III DSGVO
➢ Wie weit dürfen Ergänzungen gehen ohne Genehmigungspflicht?
(kein Widerspruch zu Standardvertragsklauseln + keine Beschneidung der Grundrechte und Grundfreiheiten der Betroffenen)
Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -Herausforderungen:
▪ EuGH (Schrem II, C-311/18)
➢ Halten die Standardvertragsklauseln einer Überprüfung vor dem EuGH stand?(Vorwurf: u.a. keine ausreichenden Rechtsmittel für Nutzer)
➢ Was kommt danach?o EU/US-Privacy-Shield? Parallelverfahren vor dem EuGH (Quadrature du Net et al. / EU-Kommission)
o Neue Standarddatenschutzklauseln der Kommission, die nach Prüfverfahren gem. Art. 92 II DSGVO erlassen werden?
o Neue Standarddatenschutzklauseln einer Aufsichtsbehörde, die nach Prüfverfahren gem. Art. 92 II DSGVO angenommen werden?
AGENDA Referent / Unternehmen, Behörde
Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE
Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE
Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)
Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law
Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim
Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO
Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG
Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH
Pause
Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH
Ausklang mit Stehimbiss