Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
1
Die europä ische Datenschutz -Grundverordnung
- Wa s i s t j e t z t z u t u n ? -
T h o m a s K r a n i g
B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
I H K N ü r n b e r g f ü r M i t t e l f r a n k e n
E r l a n g e n , d e n 2 0 . J u l i 2 0 1 7
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
2
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
3
Datenschutz heute
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
4
Datenschutz heute
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
5
Datenschutz-Grundverordnung (DS-GVO)
verkündet im
Amtsblatt der Europäischen Union
vom
4. Mai 2016
Datenschutz morgen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
6
Datenschutz morgen
d.h. in nur mehr ca. 10
Monaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
7
Europäischer Datenschutzausschuss1)
18
5
10
19 17 20
8
16 15
21
22
27 28/UK
1 2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS
EU-KOMM
Datenschutz morgen
1) … der unabhängigen Datenschutzaufsichtsbehörden
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
8
Datenschutz morgen
Art. 29 Gruppe
Working Papers
(= konsensuale Arbeitsgemeinschaft der
Europäischen Datenschutzbehörden)
Datenschutz-Ausschuss
Leitlinien (Art. 70 DS-
GVO)
(= institutionalisiertes Gremium der der
Europäischen Datenschutzbehörden)
„Empfehlung“ „Orientierung“
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
9
Art. 29-Gruppe bzw. Datenschutz-Ausschuss
Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zur Einwilligung veröffentlichen. Wo? -> auf der Website der EU-Kommission / Artikel-29-Gruppe, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083. Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DSGVO (bisher nur auf Englisch): • Datenschutzbeauftragter • Anspruch auf Datenportabilität • federführende Behörde • (noch nicht als Endfassung) Datenschutzfolgenabschätzung (data
protection impact assessment)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
10
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
11
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
12
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit Transparenz /
Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
13
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag
erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher
Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten
Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
14
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
15
Anforderungen an die Datenverarbeitung
Informationspflichten (Art. 13, 14) beinhalten:
Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines
berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter „Garantien“ (z.B.
Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung,…) Beschwerderecht bei der Datenschutzaufsichtsbehörde u.a.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
16
Anforderungen an die Datenverarbeitung
Rechenschaftspflicht
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen
a) … auf rechtmäßige Weise … („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
b) … für festgelegte, eindeutige und legitime Zwecke … („Zweckbindung“) c) … auf das notwendige Maß beschränkt … („Datenminimierung“) d) … sachlich richtig … („Richtigkeit“) e) … erforderlich … („Speicherbegrenzung“) [und mit] f) … angemessener Sicherheit … („Integrität und Vertraulichkeit“) [verarbeitet werden.]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Wie prüfen wir:
Zeig mal !!
(„Beweislastumkehr“)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
17
Anforderungen an die Datenverarbeitung
Auftrags(daten)verarbeitung, Art 28 Anforderungen:
Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei § 11 BDSG-alt, in einigen
Details aber Unterschiede, z.B. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4
Unternehmen müssen bestehende ADV-Verträge an die Anforderungen der DS-GVO anpassen.
„Dauerbrenner“ Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie § 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
18
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
19
Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf „nicht automatisierte Entscheidung“ Recht auf Widerruf einer Einwilligung
Sicherstellung der Betroffenenrechte
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
20
Prozessorientierter Ansatz:
Plan:
Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung
Do:
Implementierung von Verfahren zur Erfüllung der Betroffenenrechte
Check:
„Feuerwehrübung“ (siehe „Auskunftsprojekt BayLDA“ 2016)
Act:
Kontinuierliche Verbesserung
Plan
Do
Check
Act
Verfahren zur - Sicherstellung der Betroffenenrechte
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
21
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
22
Verzeichnis der Verarbeitungstätigkeiten
Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250
Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250
Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.B.
Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.B. regelmäßige Verarbeitung
von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über
strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens
regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
23
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
24
Umgang mit Datenschutzverletzungen
„Verletzung des Schutzes
personenbezogener Daten“
ist eine Verletzung der Sicherheit, die, ob
unbeabsichtigt oder unrechtmäßig, zur
Vernichtung, zum Verlust, zur Verände-
rung, oder zur unbefugten Offenlegung von
beziehungsweise zum unbefugten Zugang
zu personenbezogenen Daten führt, die
übermittelt, gespeichert oder auf sonstige
Weise verarbeitet wurden.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
25
Umgang mit Datenschutzverletzungen
Prozessorientierter Ansatz:
Plan: Identifizierung einer Datenschutz-
verletzung; Festlegung des Meldewegs …
Do: Implementierung von Verfahren zur
Meldung von Datenschutzverletzungen
Check: „Feuerwehrübung“
Act: Kontinuierliche Verbesserung (incl.
Präventivarbeit zur Verhinderung von Datenschutzverletzungen)
Plan
Do
Check
Act
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
26
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
27
Datenschutz-Folgenabschätzung
Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung
neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
28
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
29
Art. 83 DS-GVO
bis 10.000.000 EUR oder 2 % Weltjahresumsatz („formelle Verstöße“)
bis 20.000.000 EUR oder 4 % Weltjahresumsatz („materielle Verstöße“)
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)
Sanktionen morgen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
30
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
31
Was kann / soll man heute schon tun?
bewusst machen, was kommt
Team bilden, das das „Projekt DS-GVO“ angeht (nicht nur Daten-schutzbeauftragte)
Datenumgang erfassen (Verarbei-tungsverzeichnis, Risikoprüfung)
Handlungsbedarf untersuchen
Schulungen vorbereiten
„Feuerwehrübungen“ durchführen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
32
Was kann / soll man heute schon tun?
Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten
verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.B. Verträge zur
Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf.
Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum
Umgang mit Beschäftigtendaten geregelt
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
33
Was kann / soll man heute schon tun?
Handlungsbedarf eruieren, insbesondere in den Bereichen (1)
Rechtsgrundlagen klären, z.B. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen
Informationspflichten und Rechte Betroffener
Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen
Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a)
Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
34
Was kann / soll man heute schon tun?
Handlungsbedarf eruieren, insbesondere in den Bereichen (2):
Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden „in Arbeit“
Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde „in Arbeit“
Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach
und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
35
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
36
Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
37
Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
38
.
„Neue“ Prüfkonzeption
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
39
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
40
Datenschutz ist Chefsache (sowohl beim Vorbeugen und
Entscheiden als auch bei Sanktionen)
Datenschutz geht alle an (und geht nur, wenn alle
mitmachen)
Datenschutz gilt von Anfang an („privacy by design“ –
beziehen Sie den Datenschutz immer mit ein)
Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeich-
nis nach Art. 30 DS-GVO)
Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann
[muss] Sie beraten – und schafft Ihnen Rechtssicherheit)
Haben Sie einen Plan … sonst werden Sie verplant.
Unsere Empfehlung
Plan
Do
Check
Act
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
41
Vielen Dank für Ihre Aufmerksamkeit
Thomas Kranig, Bayer. Landesamt für Datenschutzaufsicht
www.lda.bayern.de