Vorbereitung auf das neue - IHK Schwaben · Bayerisches Landesamt für Datenschutzaufsicht BayLDA 3 Datenschutzaufsicht 1 One Datenschutz heute und morgen-Stop-Shop und Megabuße

Bayerisches Landesamt für

Datenschutzaufsicht BayLDA

1

Vorbereitung auf das neue

Datenschutzrecht ; „To-Dos“ und

Handlungsempfehlungen für Prakt iker

M a n f r e d I l g e n f r i t z , R e f e r a t s l e i t e r b e i m

B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

F a c h f o r u m D a t e n s c h u t z -

G r u n d v e r o r d n u n g ,

I H K S c h w a b e n , 2 3 . 1 0 . 2 0 1 7



2

Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1

Datenschutz-Grundverordnung – was kommt auf uns zu? 2

3

Was machen wir Aufsichtsbehörden heute und morgen? 4

Agenda

Unsere Empfehlung 5

Was können/sollen/müssen Unternehmen heute schon unternehmen?



3



3


Agenda

Unsere Empfehlung 5




4

Datenschutz heute



5

Datenschutz-Grundverordnung (DS-GVO)

verkündet im

Amtsblatt der Europäischen Union

vom

4. Mai 2016

Datenschutz morgen



6

Datenschutz morgen

d.h. in nur mehr ca. 7

Monaten



7

Rechtsnatur: Verordnung (Art. 288 AEUV)

Datenschutz morgen AEUV = Vertrag über

die Arbeitsweise der EU



8

BDSG-neu (BGBl. I 2017 S. 2097 ff.) Das bisherige BDSG wird mit Ablauf des 24.05.2018 aufgehoben und durch ein „BDSG-neu“ ersetzt, welches die DS-GVO -in notwendigen Punkten ausfüllt (z. B. zu den deutschen Aufsichtsbehörden, zur Vertretung im künftigen EDSA) sowie -in einem von der DS-GVO vorgegebenen Rahmen ergänzt (z. B. zum DSB, zu den Rechten betroffener Personen usw.).

Datenschutz morgen AEUV = Vertrag über

die Arbeitsweise der EU



9

Europäischer Datenschutzausschuss1)

18

5

10

19 17 20

8

16 15

21

22

27 28/UK

1 2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS

EU-KOMM

Datenschutz morgen

1) … der unabhängigen Datenschutzaufsichtsbehörden



10

Datenschutz morgen

Art. 29 Gruppe

Working Papers

(= konsensuale Arbeitsgemeinschaft der

Europäischen Datenschutzbehörden)

Datenschutz-Ausschuss

Leitlinien (Art. 70 DS-

GVO)

(= institutionalisiertes Gremium der der

Europäischen Datenschutzbehörden)

„Empfehlung“ „Orientierung“



11



3


Agenda

Unsere Empfehlung 5




12

Wesentliche Herausforderungen durch die DS-GVO

Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen



13





14

Anforderungen an die Datenverarbeitung

Rechtmäßigkeit Transparenz /

Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten



15


Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag

erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher

Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten

Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen



16


Rechtmäßigkeit bedeutet (u.a.): Einwilligung liegt vor Einwilligung ist insbesondere wirksam, wenn

über Inhalt und Folgen ausreichend (ggfls. „in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache“) informiert,

sie freiwillig (problematisch bei Über-/Unterordnungsverhältnis oder bei Koppelungsgeschäften) erteilt und

über jederzeitiges Widerrufsrecht ausreichend informiert wurde.

Verantwortlicher muss Vorliegen der Einwilligung nachweisen können.



17


Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zu Einwilligungen veröffentlichen, siehe auf der Website der EU-Kommission / Artikel-29-Gruppe, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 . Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DS-GVO (bisher nur auf Englisch): • Datenschutzbeauftragter • Anspruch auf Datenportabilität • federführende Behörde • Datenschutzfolgenabschätzung (data protection impact assessment)

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083















18


Rechtmäßigkeit Transparenz /

Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten



19


Informationspflichten (Art. 13, 14) beinhalten:

Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines

berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter „Garantien“ (z.B.

Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung,…) Beschwerderecht bei der Datenschutzaufsichtsbehörde u.a.



20


Transparenz am praktischen Beispiel von Apps Apps beinhalten Informations-, Marketing-,

Trackingmöglichkeiten

App-Entwickler muss sich u.a. überlegen, welchen Zweck hat die App, welche Daten erhebe ich vom Nutzer der App, brauche ich alle Daten in personenbezogener Form, um meinen Zweck zu

erreichen, oder geht es zumindest teilweise auch ohne Personenbezug, habe ich Nutzer über Zweck und Umfang der Datenverarbeitung „transparent“ in-

formiert (und halte ich mich auch daran – auch an evtl. Löschungsversprechen) und biete ich eine sichere Verbindung an …



21


Rechenschaftspflicht (accountability)

Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen

a) … auf rechtmäßige Weise … („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

b) … für festgelegte, eindeutige und legitime Zwecke … („Zweckbindung“) c) … auf das notwendige Maß beschränkt … („Datenminimierung“) d) … sachlich richtig … („Richtigkeit“) e) … erforderlich … („Speicherbegrenzung“) [und mit] f) … angemessener Sicherheit … („Integrität und Vertraulichkeit“) [verarbeitet werden.]

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).



22


Verarbeitung personenbezogener Daten muss auf das notwendige Maß beschränkt sein („Datenminimierung“)

… d.h. Löschen von Daten

muss möglich und von Anfang an geplant sein (Privacy by Design), vollzogen werden und nachweisbar sein



23


Auftrags(daten)verarbeitung, Art 28 Anforderungen: • Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) • Vertragsinhalte in vielen Teilen ähnlich wie bei § 11 BDSG-alt, in einigen

Details aber Unterschiede, z.B. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) o zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4

• Unternehmen müssen bestehende ADV-Verträge prüfen und soweit nötig an die Anforderungen der DS-GVO anpassen.

• „Dauerbrenner“ Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie § 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist.



24





25

Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf „nicht automatisierte Entscheidung“ Recht auf Widerruf einer Einwilligung

Sicherstellung der Betroffenenrechte



26





27

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Verpflichtung zur Erstellung eines VVT besteht für • jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250

Mitarbeitern • auch Verantwortliche / Auftragsverarbeiter mit weniger als 250

Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die o ein Risiko für Rechte & Freiheiten Betroffener bergen (z.B.

Videoüberwachung, Scoring, Betrugsprävention) o oder nicht nur gelegentlich erfolgen (z.B. regelmäßige

Verarbeitung von Kunden- und/oder Beschäftigtendaten) o oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder

Daten über strafrechtliche Verurteilungen / Straftaten betreffen

Fazit: die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.



28

Verzeichnis der Verarbeitungstätigkeiten

Inhalt und Umfang des VVT bei Verantwortlichen: • Name und Kontaktdaten des Verantwortlichen und des

Datenschutzbeauftragten • Verarbeitungszwecke • Kategorien der Daten und Kategorien Betroffener • Kategorien von Empfängern • bei Übermittlung in Drittländer: alle Empfänger (nicht

nur Kategorien) sowie die konkrete Angabe der Drittländer

• grundsätzlich Speicherdauer (Löschfristen) • allg. Beschreibung der technischen und

organisatorischen Maßnahmen



29


Inhalt und Umfang des VVT bei Auftragsverarbeitern: • Name und Kontaktdaten des Auftragsverarbeiters und

des Datenschutzbeauftragten • Kategorie von Verarbeitungen (getrennt nach

Auftraggebern) • bei Übermittlung in Drittländer: alle Empfänger (nicht

nur Kategorien) sowie die konkrete Angabe der Drittländer

• allg. Beschreibung der technischen und organisatorischen Maßnahmen



30


• „Einzelverzeichnisse“ erforderlich, getrennt nach Anwendungen, z.B. o Personalaktenführung o Lohnabrechnung o Arbeitszeiterfassung o Videoüberwachung o Reisemanagement o Kundenstammdatenverwaltung

• Darin jeweils Trennung nach Betroffenen-Kategorien (Kunden, Beschäftigte,…) und Daten-Kategorien o z.B. Mitarbeiter: Stammdaten (Adressdaten,

Bankverbindung,…), Arbeitszeugnisse (Adressdaten, Beurteilungsdaten,….)



31


• Erste Hinweise zum VVT (getrennt für Verantwortliche / Auftragsverarbeiter) sind veröffentlicht, z. B. unter http://www.lfd.niedersachsen.de/download/120050 .

• Diese sollen demnächst insbesondere zu den technischen und organisatorischen Maßnahmen noch spezifiziert werden.

http://www.lfd.niedersachsen.de/download/120050



32





33

Umgang mit Datenschutzverletzungen

Art. 33 Abs. 1 DS-GVO

Im Falle einer

Verletzung des Schutzes

personenbezogener Daten

meldet der Verantwortliche ….



34

Umgang mit Datenschutzverletzungen

Hacking

Verlust

Diebstahl

Fehlversand

Softwarefehler

Schadcode

Fehlentsorgung

Vernichtung Verlust

Sonstiges?

Beispiele für Meldepflicht



35





36

Datenschutz-Folgenabschätzung

Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden



37


Artikel 35: Datenschutz-Folgenabschätzung … (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte

natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.



38


• Siehe Leitlinien der Artikel-29-Gruppe (Guidelines on Data Protection Impact Assessment = Working Paper / WP248, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083)

• Allgemeines: Kurzpapier der Datenschutzkonferenz • siehe auch: Kurzpapier Nr. 18 des BayLDA,

https://www.lda.bayern.de/de/datenschutz_eu.html

• Mindestinhalt DSFA: Art. 35 Abs. 7 • Aufsichtsbehörden werden eine Liste von Vorgängen

veröffentlichen, für die DSFA durchzuführen ist (Art. 35 Abs. 4)









39





40

§ 43 BDSG

bis 50.000 EUR („formelle Verstöße“) bis 300.000 EUR („materielle Verstöße“)

kein Bußgeld bei Verstößen gegen Datensicherheit

(§ 9 BDSG)

Sanktionen heute



41

Art. 83 DS-GVO

bis 10.000.000 EUR oder 2 % Weltjahresumsatz („formelle Verstöße“)

bis 20.000.000 EUR oder 4 % Weltjahresumsatz („materielle Verstöße“)

Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

Sanktionen morgen



42



3


Agenda

Unsere Empfehlung 5




43

Was kann / soll man heute schon tun?

Bestandsaufnahme: • derzeitige Prozesse, mit denen personenbezogene Daten

verarbeitet werden • Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen • Datenschutzorganisation • Dienstleistungsbeziehungen, z.B. Verträge zur

Auftragsdatenverarbeitung • Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf.

Datenschutzkonzepte, IT-Sicherheitskonzepte) • etwaige Betriebsvereinbarungen, sofern darin Regelungen zum

Umgang mit Beschäftigtendaten geregelt



44


Handlungsbedarf eruieren, insbesondere in den Bereichen (1) • Rechtsgrundlagen klären, z.B. entsprechen Einwilligungen den

Anforderungen der DSGVO? o ggf. neue Einwilligungen einholen

• Informationspflichten und Rechte Betroffener • Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an

Anforderungen nach Art. 28, 29 DS-GVO anpassen • Dokumentationspflichten:

o Verarbeitungsverzeichnis (Art. 30) o Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) o Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a)

• Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)



45


Handlungsbedarf eruieren, insbesondere in den Bereichen (2): • Meldepflichten

o Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden „in Arbeit“

o Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde „in Arbeit“

• Datensicherheit • Muss ein Datenschutzbeauftragter bestellt werden? • ggf. Zertifizierung

• Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden

• ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten



46



3


Agenda

Unsere Empfehlung 5




47

Was machen wir Aufsichtsbehörden heute und morgen

Heute Morgen

Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden)

Koordiniertes Zusammen-wirken findet (fast) nicht statt.

Unternehmen können erfolgreich „Forum-Shopping“ betreiben

Sanktionen sind nicht wirklich wirksam

Einheitliches Recht in Europa - mit Leitlinien als Vollzugshilfe

Verpflichtung zur Kohärenz incl. verbindlicher Mehr-heitsentscheidung

Koordinierte Prüfungen verbessern Wahrnehmung

Zertifizierung und Code of Conduct schaffen Rechtssicherheit

Sanktionen sollen erfolgen und werden weh tun



48



3


Agenda

Unsere Empfehlung 5




49

Datenschutz ist Chefsache (sowohl beim Vorbeugen und

Entscheiden als auch bei Sanktionen)

Datenschutz geht alle an (und geht nur, wenn alle

mitmachen)

Datenschutz gilt von Anfang an („privacy by design“ –

beziehen Sie den Datenschutz immer mit ein)

Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeich-

nis nach Art. 30 DS-GVO)

Unsere Empfehlung



50


Zusammenfassend

Relevante Fragen für KMU‘s, zu denen Sie gut aufgestellt sein sollten, sind z. B.:

Haben Sie schon einen Datenschutzbeauftragten im Hinblick auf Art. 37 DS-GVO

sowie § 38 BDSG-neu benannt oder eine Benennung vorbereitet?

Ist das nach Art. 30 DS-GVO notwendige Verzeichnis der Verarbeitungstätigkeiten

schon angelegt oder die Anlegung ausreichend vorbereitet?



51

Was kann / soll man heute schon tun? Umsetzungsarbeiten für die Datenschutz-Grundverordnung

Sind die datenschutzrechtlichen Verantwortlichkeiten geregelt?

Ist im Sinne von Art. 32 Abs. 4 DS-GVO sichergestellt, dass die Beschäftigten

personenbezogene nur nach Anweisung verarbeiten? Verpflichtung durchgeführt?

Sind die Datenschutz- und Datensicherheitsrisiken identifiziert sowie die dazu

notwendigen Maßnahmen installiert?



52


Haben Sie die Texte von Datenschutzinformationen nach Art. 13 DS-GVO und

Einwilligungserklärungen nach Art. 7 DS-GVO an die neuen rechtlichen

Anforderungen angepasst?

Entsprechen die Verträge mit Auftragsverarbeitern (IT-Dienstleister, Cloud-

Anbieter, Support- und Archivierungsdiensten, Datenträger-Entsorgern usw.)

inhaltlich den Anforderungen von Art. 28 Abs. 3 DS-GVO?

Haben Sie geprüft, ob wegen Verarbeitungen, die mit einem hohen Risiko für die

Rechte und Freiheiten der betroffenen Personen verbunden sind, eine

Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich ist, und wenn

ja, die notwendigen Schritte eingeleitet?



53


Sind Sie auf eine fristgerechte Meldung von Datenpannen („Verletzungen des

Schutzes personenbezogener Daten“) an die Aufsichtsbehörde innerhalb von 72

Stunden ausreichend vorbereitet?

Es gibt viel zu tun bis zum 25. Mai 2018, packen Sie es an!



54

Vielen Dank für Ihre Aufmerksamkeit

Manfred Ilgenfritz, Bayer. Landesamt für Datenschutzaufsicht

www.lda.bayern.de

http://www.lda.bayern.de/

Documents

Vorbereitung auf das neue - IHK Schwaben · Bayerisches Landesamt für Datenschutzaufsicht BayLDA 3 Datenschutzaufsicht 1 One Datenschutz heute und morgen-Stop-Shop und Megabuße