Post on 25-Oct-2019
transcript
26.06.2018
1
© P
auly
& P
artn
er 2
018
Das neue Datenschutzrecht:Erste Schritte und Praxiserfahrungen
Dr. Matthias LachenmannRechtsanwalt / Datenschutzbeauftragter (UDISzert)
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Ihr Referent: RA Dr. Matthias Lachenmann
� Rechtsanwalt mit Schwerpunkt im Datenschutzrecht
� geprüfter Datenschutzbeauftragter (UDISzert)
� Promotion zur „Datenübermittlung im Konzern“
� Ausbilder von Datenschutzbeauftragten (UDIS),mit Schwerpunkt DSGVO
� Dozent bei der Telelex GmbH mit Online-Seminaren in der Ausbildung von Fachanwälten für IT-Recht und Arbeitsrecht
� regelmäßige Veröffentlichungen zum Datenschutzrecht mit Schwerpunkt DSGVO (z.B. zum Beschäftigtendatenschutz in Besgen/Prinz, Arbeiten 4.0; Kommentar zur ePrivacy-VO)
� Herausgeber „Formularhandbuch Datenschutzrecht“ bei C.H. Beck, 2. Aufl. zur DSGVO
2
26.06.2018
2
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
BASICS –ZENTRALE THEMEN
3
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Umfassender Anpassungsbedarf im Datenschutzrecht besteht!
� Ziele der DSGVO:
� Vereinheitlichung der Datenschutzbestimmungen innerhalb
der EU – derzeit: erhebliche Unterschiede
� Anpassung an Herausforderungen der Digitalisierung (Big
Data / Internet der Dinge)
� Erfassung US-amerikanischer Unternehmen: Erstreckung des
Anwendungsbereiches auf ausländische Unternehmen, die
Daten von EU-Bürgern verarbeiten
� technikneutrale Ausgestaltung
� Anpassung BDSG / TMG notwendig
� parallel: Überarbeitung Datenschutzrichtlinie Elektronische
Kommunikation („Cookie-Richtlinie“) in „ePrivacy-VO“
4
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
26.06.2018
3
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Worum geht es beim Datenschutz?
� alle Datenschutzgesetze sollen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird(vgl. § 1 Abs. 1 BDSG a.F.)
� nicht: Schutz von Daten, sondern: Schutz der Entscheidungsbefugnis des Einzelnen über die Verwendung seiner Daten
� personenbezogene Daten sind
� Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren lebenden Person (Betroffener)
� auch wenn zunächst nur eine Kennziffer vorhanden ist, diese aber einer Person zugeordnet werden kann, handelt es sich um personenbezogene Daten
5
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Was wird geschützt?
� alle Arten von Daten, insbesondere:
� Kunden und Interessenten
� Website-Besucher und Social Media-Nutzer
� Lieferanten, Einkauf
� Händler, Vertrieb
� Facility Management-Dienstleister
� externe Berater
� Beschäftigte
� Grundsatz: alle personenbezogenen Daten werden gleich behandelt
� Erleichterung: bei B2B-Daten ist Schutzbedürfnis geringer
� Daten von Endkunden stehen im Fokus der Aufsichtsbehörden
6
26.06.2018
4
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Sanktionen
� Bußgelder: bis zu 20 MIO EUR oder 4 % des Jahresumsatzes der Gruppe
� Bußgelder müssen effektiv, verhältnismäßig und abschreckend sein
� Bußgelder sollen bei Verstößen verhängt werden, Verzicht nur bei geringen Verstößen (ErwG 148)
� Ansprüche durch einzelne Betroffene (inkl. Schmerzensgeld!)
� eingeschränkt: Abmahnungen von Verbraucherschutzverbänden und Konkurrenten
� Abmahnungen von Datenschutzvereinen
7
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Verpflichtungen für Unternehmennach der DSGVO
8
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
26.06.2018
5
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Verpflichtungen der Unternehmen(Auszug)� Rechenschaftspflicht/Accountability, Art. 5, 24
� Erlaubnistatbestände der Datenverarbeitung, Art. 6-9
� Gewährleistung der Betroffenenrechte, Art. 12 ff.
� neue Transparenz- und Informationspflichten, Art. 13 f.
� Datenminimierung, Art. 25
� Beauftragung externer Dienstleister (Auftragsverarbeitung), Art. 28
� Verzeichnis von Verarbeitungstätigkeiten, Art. 30
� Umsetzung IT-Sicherheitsmaßnahmen, Art. 32
� Kontrollpflichten/Verpflichtung auf das Datengeheimnis, Art. 32
� Data breach notification, Art. 33 f.
� Datenschutz-Folgenabschätzung, Art. 35 f.
� Bestellpflicht eines Datenschutzbeauftragten, Art. 37 ff.
� Absicherung von Datentransfers in Drittstaaten, Art. 45 ff.
9
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Rechenschaftspflichten -von Unternehmen immer zu beachten!
� „Der Verantwortliche ist für die Einhaltung des Absatzes 1
verantwortlich und muss dessen Einhaltung nachweisen können
("Rechenschaftspflicht").“
� der Erlass von internen Richtlinien ist erforderlich, sofern es im
Hinblick auf die Datenverarbeitung verhältnismäßig ist
� Compliance-Prozess erforderlich:
� Review und Aktualisierung der Vorgaben sind geboten
� Nachweis kann durch entsprechende Zertifikate erfolgen
� erfasst: Archivierungs- und Löschkonzept
10
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
26.06.2018
6
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Zulässigkeit derDatenverarbeitung
11
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Erlaubnistatbestände für die Datenverarbeitung
� Artikel 6 Absatz 1 Satz 1 DSGVO - besondere Relevanz:
� Erfüllung vertraglicher Verpflichtungen, Buchst. b !
� Interessenabwägung, Buchst. f:
schutzwürdige
Interessen des
Betroffenen
berechtigte Interessen
der verantwortliche
Stelle
12
26.06.2018
7
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Unter welchen Voraussetzungen sind klassische Werbeformen erlaubt?
13
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Einwilligung in die Datenverarbeitung
� folgende Erfordernisse müssen nach der DSGVO beachtet werden (Art. 6 Abs. 1 lit. a, Art. 7):
� eindeutige Willensbetätigung des Betroffenen
� klare und eindeutige Formulierung der Einwilligung
� freiwillige Zustimmung; separates Anklicken/ Zustimmung zur Datenverarbeitung; keine voreingestellten Haken (ErwG 32)
� Nachweispflicht beachten!
� bisher eingeholte Einwilligungen: Gelten nur fort, sofern sie den Bedingungen der DSGVO entsprechen (ErwG 171)
� Prüfung aller bestehenden Einwilligungen nötig!
14
26.06.2018
8
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Einwilligung in die Datenverarbeitung - Text
� Einwilligungstext muss bestimmte Angaben enthalten:
�Wer soll die Daten nutzen dürfen?
�Welche Daten soll er nutzen dürfen?
�Zu welchem/-n Zweck(en) soll er die Daten nutzen?
�Darf er die Daten weitergeben und, wenn ja, an wen?
15
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
Einwilligung in die Datenverarbeitung - Nachweis
� Empfänger muss Einwilligung tatsächlich abgegeben haben
� Darstellung des Inhalts der Einwilligung
� Speicherung der E-Mails in Blackbox, Druckmöglichkeit
16
26.06.2018
9
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Compliance-Pflichtenfür Unternehmen
17
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Betroffenenrechte
� Zielsetzung: Stärkung der Betroffenenrechte
� dazu: Einführung neuer Rechte
� zustehende Rechte:
� Recht auf Auskunft
� Recht auf Berichtigung oder Löschung
� Recht auf „Vergessenwerden“
� Recht auf Einschränkung der Verarbeitung
� Recht auf Widerspruch gegen die Verarbeitung
� Recht auf Datenübertragbarkeit
� Verantwortliche müssen entsprechende Prozesse etablieren, um
Anfragen zu beantworten & Umsetzung nachzuhalten
(Frist: 4 Wochen)!
18
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
26.06.2018
10
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Informationspflichten
� Informationen müssen bei Datenerhebung erteilt werden, sofern
Daten beim Betroffenen erhoben werden
� Information muss grundsätzlich schriftlich erfolgen oder auf eine
andere Weise - sofern angemessen - in elektronischer Form
� keine Datenerhebung beim Betroffenen - dann spätestens zur
Verfügung stellen, Art. 14:
� bei Weitergabe an andere Empfänger mit Zeitpunkt der
Weitergabe
� bei Kommunikation mit Betroffenen mit der ersten Mitteilung
� sonst innerhalb eines Monats
� Ausnahme: unverhältnismäßiger Aufwand für Erteilung
� im Zweifel: abgestufte Information, Art. 29-Gruppe, WP 100
19
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
20
Betroffenenrechte
26.06.2018
11
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
21
Betroffenenrechte
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
22
26.06.2018
12
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
23
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
24
und Datenschutz
26.06.2018
13
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Auftragsverarbeitung
� Auftragsverarbeitung bei weisungsgebundenen Tätigkeiten
� Vertrag muss bestimmte inhaltliche Kriterien erfüllen, u.a.:
� Gegenstand der Datenverarbeitung
� Dauer, Zweck und Art der Datenverarbeitung
� Datenkategorien und Betroffenen
� Regelung zur Beauftragung von Subdienstleistern
� Verschwiegenheitspflicht für alle Mitarbeiter
� alle erforderlichen Vorgaben zur IT-Sicherheit
� Verantwortlicher muss sich überzeugen, dass Einhaltung der
Vorgaben gewährleistet ist („Accountability“)
� Dienstleister muss alle Informationen liefern, um die
Einhaltung der Vorgaben des Vertrags nachzuweisen
� Überprüfungen durch den Controller sollen ermöglicht werden
25
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Auftragsverarbeitung bei Shopsystemen
26
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
26.06.2018
14
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
27
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Verzeichnis von Verarbeitungstätigkeiten
28
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
� Verantwortliche müssen wie bisher ein Verzeichnis von
Verarbeitungstätigkeiten führen
� betrifft alle Datenverarbeitungen, die in der Zuständigkeit des
Verantwortlichen liegen
� Verzeichnis von Verarbeitungstätigkeiten muss der
Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden
� Vorgaben für Dienstleister: auch Auftragsverarbeiter müssen eine
Übersicht zu Datenverarbeitungsaktivitäten führen, die sie für
Auftraggeber vornehmen
� inhaltliche Vorgaben reduziert:
� Kontaktdaten
� Kategorien der Datenverarbeitung
� Übermittlungen in Drittland
� Datensicherheitsmaßnahmen
26.06.2018
15
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
29
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Bestellung eines Datenschutzbeauftragten
30
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
� Pflicht zur Bestellung eines Datenschutzbeauftragten, sofern
folgende Voraussetzungen vorliegen (DSGVO und BDSG-neu):
� Kernaktivitäten liegen in der systematischen Beobachtung
von Betroffenen in großer Anzahl oder
� die Kernaktivitäten beruhen auf einer Datenverarbeitung von
sensitiven Daten in einer großen Anzahl oder
� mindestens 10 Mitarbeiter im Unternehmen sind mit
Datenverarbeitungsvorgängen beschäftigt oder
� wenn Datenverarbeitungsvorgänge durchgeführt werden, bei
denen eine Datenschutz-Folgenabschätzung durchgeführt
wird
� freiwillige Bestellung stets möglich
� konzernweite Bestellung eines DSB möglich
� Meldung des DSB an die zuständige Aufsichtsbehörde
� Fachkenntnisse im Datenschutz durch DSB erforderlich
26.06.2018
16
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Fazit: Vergleich zum BDSG
31
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
DSGVO – Aufgaben für KMU
32
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
� Bestellung eines Datenschutzbeauftragten prüfen
� Gewährleistung der Betroffenenrechte
� insbesondere Datenschutzerklärungen
� auf Website, für Kunden, für Mitarbeiter, für Bewerber
� Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
� Erlass Datenschutzrichtlinie im Unternehmen
� Einwilligungen überprüfen/einholen, insbes. bei Newslettern
� Auftragsverarbeitungsverträge bei Beauftragung externer
Dienstleister
� Meldepflichten bei Datenschutzverstößen bedenken
� gelungene Übersicht für KMU: https://www.lda.bayern.de/de/kleine-
unternehmen.html
26.06.2018
17
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
DSGVO – Musterformulare
33
1. Basics – Zentrale Themen
2. Verpflichtungen für Unternehmen nach der DSGVO
3. Zulässigkeit der Datenverarbeitung
4. Compliance-Pflichten für Unternehmen
5. Fazit
� Möglichkeiten zur Selbsteinschätzung durch Aufsichtsbehörden:
� https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf
� https://www.lda.bayern.de/tool/start.html
� Vertragsmuster Auftragsverarbeitung:
� https://www.lda.bayern.de/media/muster_adv.pdf
� https://www.gdd.de/downloads/praxishilfen/Mustervertrag_zur
_Auftragsverarbeitung_DS-GVO.docx
� Verzeichnis von Verarbeitungstätigkeiten:
� https://www.bitkom.org/NP-Themen/NP-Vertrauen-
Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-
Verarbeitungsverzeichnis-online.pdf
� https://www.gdd.de/downloads/praxishilfen/Muster_VVT.docx
� diverse Praxishilfen der GDD e.V.:
� https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-
gvo/praxishilfen-ds-gvo
© P
auly
& P
artn
er 2
018
Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann
Unser Netzwerk –Datenschutz in guten Händen
34