Die europäische Datenschutz-Grundverordnung · Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen . Bayerisches

Bayerisches Landesamt für

Datenschutzaufsicht BayLDA

1

Die europä ische Datenschutz -Grundverordnung

- Wa s i s t j e t z t z u t u n ? -

T h o m a s K r a n i g

B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

I H K N ü r n b e r g f ü r M i t t e l f r a n k e n

E r l a n g e n , d e n 2 0 . J u l i 2 0 1 7



2

Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1

Datenschutz-Grundverordnung – was kommt auf uns zu? 2

3

Was machen wir Aufsichtsbehörden heute und morgen? 4

Agenda

Unsere Empfehlung 5

Was können/sollen/müssen Unternehmen heute schon unternehmen?



3

Datenschutz heute



4

Datenschutz heute



5

Datenschutz-Grundverordnung (DS-GVO)

verkündet im

Amtsblatt der Europäischen Union

vom

4. Mai 2016

Datenschutz morgen



6

Datenschutz morgen

d.h. in nur mehr ca. 10

Monaten



7

Europäischer Datenschutzausschuss1)

18

5

10

19 17 20

8

16 15

21

22

27 28/UK

1 2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS

EU-KOMM

Datenschutz morgen

1) … der unabhängigen Datenschutzaufsichtsbehörden



8

Datenschutz morgen

Art. 29 Gruppe

Working Papers

(= konsensuale Arbeitsgemeinschaft der

Europäischen Datenschutzbehörden)

Datenschutz-Ausschuss

Leitlinien (Art. 70 DS-

GVO)

(= institutionalisiertes Gremium der der

Europäischen Datenschutzbehörden)

„Empfehlung“ „Orientierung“



9

Art. 29-Gruppe bzw. Datenschutz-Ausschuss

Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zur Einwilligung veröffentlichen. Wo? -> auf der Website der EU-Kommission / Artikel-29-Gruppe, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083. Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DSGVO (bisher nur auf Englisch): • Datenschutzbeauftragter • Anspruch auf Datenportabilität • federführende Behörde • (noch nicht als Endfassung) Datenschutzfolgenabschätzung (data

protection impact assessment)

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083















10



3


Agenda

Unsere Empfehlung 5




11

Wesentliche Herausforderungen durch die DS-GVO

Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen



12

Anforderungen an die Datenverarbeitung

Rechtmäßigkeit Transparenz /

Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten



13


Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag

erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher

Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten

Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen



14


Rechtmäßigkeit Transparenz / Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten



15


Informationspflichten (Art. 13, 14) beinhalten:

Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines

berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter „Garantien“ (z.B.

Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung,…) Beschwerderecht bei der Datenschutzaufsichtsbehörde u.a.



16


Rechenschaftspflicht

Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen

a) … auf rechtmäßige Weise … („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

b) … für festgelegte, eindeutige und legitime Zwecke … („Zweckbindung“) c) … auf das notwendige Maß beschränkt … („Datenminimierung“) d) … sachlich richtig … („Richtigkeit“) e) … erforderlich … („Speicherbegrenzung“) [und mit] f) … angemessener Sicherheit … („Integrität und Vertraulichkeit“) [verarbeitet werden.]

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Wie prüfen wir:

Zeig mal !!

(„Beweislastumkehr“)



17


Auftrags(daten)verarbeitung, Art 28 Anforderungen:

Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) Vertragsinhalte in vielen Teilen ähnlich wie bei § 11 BDSG-alt, in einigen

Details aber Unterschiede, z.B. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4

Unternehmen müssen bestehende ADV-Verträge an die Anforderungen der DS-GVO anpassen.

„Dauerbrenner“ Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie § 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist.



18





19

Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf „nicht automatisierte Entscheidung“ Recht auf Widerruf einer Einwilligung

Sicherstellung der Betroffenenrechte



20

Prozessorientierter Ansatz:

Plan:

Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung

Do:

Implementierung von Verfahren zur Erfüllung der Betroffenenrechte

Check:

„Feuerwehrübung“ (siehe „Auskunftsprojekt BayLDA“ 2016)

Act:

Kontinuierliche Verbesserung

Plan

Do

Check

Act

Verfahren zur - Sicherstellung der Betroffenenrechte



21





22

Verzeichnis der Verarbeitungstätigkeiten

Verpflichtung zur Erstellung eines VVT besteht für jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250

Mitarbeitern auch Verantwortliche / Auftragsverarbeiter mit weniger als 250

Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die ein Risiko für Rechte & Freiheiten Betroffener bergen (z.B.

Videoüberwachung, Scoring, Betrugsprävention) oder nicht nur gelegentlich erfolgen (z.B. regelmäßige Verarbeitung

von Kunden- und/oder Beschäftigtendaten) oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder Daten über

strafrechtliche Verurteilungen / Straftaten betreffen Fazit: Die meisten Unternehmen müssen ein VVT erstellen, da meistens

regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.



23





24

Umgang mit Datenschutzverletzungen

„Verletzung des Schutzes

personenbezogener Daten“

ist eine Verletzung der Sicherheit, die, ob

unbeabsichtigt oder unrechtmäßig, zur

Vernichtung, zum Verlust, zur Verände-

rung, oder zur unbefugten Offenlegung von

beziehungsweise zum unbefugten Zugang

zu personenbezogenen Daten führt, die

übermittelt, gespeichert oder auf sonstige

Weise verarbeitet wurden.



25

Umgang mit Datenschutzverletzungen

Prozessorientierter Ansatz:

Plan: Identifizierung einer Datenschutz-

verletzung; Festlegung des Meldewegs …

Do: Implementierung von Verfahren zur

Meldung von Datenschutzverletzungen

Check: „Feuerwehrübung“

Act: Kontinuierliche Verbesserung (incl.

Präventivarbeit zur Verhinderung von Datenschutzverletzungen)

Plan

Do

Check

Act



26





27

Datenschutz-Folgenabschätzung

Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung

neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden



28





29

Art. 83 DS-GVO

bis 10.000.000 EUR oder 2 % Weltjahresumsatz („formelle Verstöße“)

bis 20.000.000 EUR oder 4 % Weltjahresumsatz („materielle Verstöße“)

Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)

Sanktionen morgen



30



3


Agenda

Unsere Empfehlung 5




31

Was kann / soll man heute schon tun?

bewusst machen, was kommt

Team bilden, das das „Projekt DS-GVO“ angeht (nicht nur Daten-schutzbeauftragte)

Datenumgang erfassen (Verarbei-tungsverzeichnis, Risikoprüfung)

Handlungsbedarf untersuchen

Schulungen vorbereiten

„Feuerwehrübungen“ durchführen



32


Bestandsaufnahme: derzeitige Prozesse, mit denen personenbezogene Daten

verarbeitet werden Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen Datenschutzorganisation Dienstleistungsbeziehungen, z.B. Verträge zur

Auftragsdatenverarbeitung Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf.

Datenschutzkonzepte, IT-Sicherheitskonzepte) etwaige Betriebsvereinbarungen, sofern darin Regelungen zum

Umgang mit Beschäftigtendaten geregelt



33


Handlungsbedarf eruieren, insbesondere in den Bereichen (1)

Rechtsgrundlagen klären, z.B. entsprechen Einwilligungen den Anforderungen der DSGVO? ggf. neue Einwilligungen einholen

Informationspflichten und Rechte Betroffener

Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an Anforderungen nach Art. 28, 29 DS-GVO anpassen

Dokumentationspflichten: Verarbeitungsverzeichnis (Art. 30) Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a)

Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)



34


Handlungsbedarf eruieren, insbesondere in den Bereichen (2):

Meldepflichten Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden „in Arbeit“

Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde „in Arbeit“

Datensicherheit Muss ein Datenschutzbeauftragter bestellt werden? ggf. Zertifizierung Anforderungen an Zertifizierungsverfahren werden allerdings erst nach

und nach von den Aufsichtsbehörden definiert werden ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten



35



3


Agenda

Unsere Empfehlung 5




36

Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.



37

Was rechtmäßig ist bzw. was in Zukunft als rechtmäßig angesehen wird, steht leider noch nicht fest.



38

.

„Neue“ Prüfkonzeption



39



3


Agenda

Unsere Empfehlung 5




40

Datenschutz ist Chefsache (sowohl beim Vorbeugen und

Entscheiden als auch bei Sanktionen)

Datenschutz geht alle an (und geht nur, wenn alle

mitmachen)

Datenschutz gilt von Anfang an („privacy by design“ –

beziehen Sie den Datenschutz immer mit ein)

Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeich-

nis nach Art. 30 DS-GVO)

Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann

[muss] Sie beraten – und schafft Ihnen Rechtssicherheit)

Haben Sie einen Plan … sonst werden Sie verplant.

Unsere Empfehlung

Plan

Do

Check

Act



41

Vielen Dank für Ihre Aufmerksamkeit

Thomas Kranig, Bayer. Landesamt für Datenschutzaufsicht

www.lda.bayern.de

http://www.lda.bayern.de/

Documents

Die europäische Datenschutz-Grundverordnung · Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen . Bayerisches