29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 1

© P

auly

& P

artn

er 2

018

Das neue Datenschutzrecht:Erste Schritte und Praxiserfahrungen

Dr. Matthias LachenmannRechtsanwalt / Datenschutzbeauftragter (UDISzert)

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Ihr Referent: RA Dr. Matthias Lachenmann

� Rechtsanwalt mit Schwerpunkt im Datenschutzrecht

� geprüfter Datenschutzbeauftragter (UDISzert)

� Promotion zur „Datenübermittlung im Konzern“

� Ausbilder von Datenschutzbeauftragten (UDIS),mit Schwerpunkt DSGVO

� Dozent bei der Telelex GmbH mit Online-Seminaren in der Ausbildung von Fachanwälten für IT-Recht und Arbeitsrecht

� regelmäßige Veröffentlichungen zum Datenschutzrecht mit Schwerpunkt DSGVO (z.B. zum Beschäftigtendatenschutz in Besgen/Prinz, Arbeiten 4.0; Kommentar zur ePrivacy-VO)

� Herausgeber „Formularhandbuch Datenschutzrecht“ bei C.H. Beck, 2. Aufl. zur DSGVO

2

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 2

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

BASICS –ZENTRALE THEMEN

3

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Umfassender Anpassungsbedarf im Datenschutzrecht besteht!

� Ziele der DSGVO:

� Vereinheitlichung der Datenschutzbestimmungen innerhalb

der EU – derzeit: erhebliche Unterschiede

� Anpassung an Herausforderungen der Digitalisierung (Big

Data / Internet der Dinge)

� Erfassung US-amerikanischer Unternehmen: Erstreckung des

Anwendungsbereiches auf ausländische Unternehmen, die

Daten von EU-Bürgern verarbeiten

� technikneutrale Ausgestaltung

� Anpassung BDSG / TMG notwendig

� parallel: Überarbeitung Datenschutzrichtlinie Elektronische

Kommunikation („Cookie-Richtlinie“) in „ePrivacy-VO“

4

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 3

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Worum geht es beim Datenschutz?

� alle Datenschutzgesetze sollen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird(vgl. § 1 Abs. 1 BDSG a.F.)

� nicht: Schutz von Daten, sondern: Schutz der Entscheidungsbefugnis des Einzelnen über die Verwendung seiner Daten

� personenbezogene Daten sind

� Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren lebenden Person (Betroffener)

� auch wenn zunächst nur eine Kennziffer vorhanden ist, diese aber einer Person zugeordnet werden kann, handelt es sich um personenbezogene Daten

5

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Was wird geschützt?

� alle Arten von Daten, insbesondere:

� Kunden und Interessenten

� Website-Besucher und Social Media-Nutzer

� Lieferanten, Einkauf

� Händler, Vertrieb

� Facility Management-Dienstleister

� externe Berater

� Beschäftigte

� Grundsatz: alle personenbezogenen Daten werden gleich behandelt

� Erleichterung: bei B2B-Daten ist Schutzbedürfnis geringer

� Daten von Endkunden stehen im Fokus der Aufsichtsbehörden

6

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 4

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Sanktionen

� Bußgelder: bis zu 20 MIO EUR oder 4 % des Jahresumsatzes der Gruppe

� Bußgelder müssen effektiv, verhältnismäßig und abschreckend sein

� Bußgelder sollen bei Verstößen verhängt werden, Verzicht nur bei geringen Verstößen (ErwG 148)

� Ansprüche durch einzelne Betroffene (inkl. Schmerzensgeld!)

� eingeschränkt: Abmahnungen von Verbraucherschutzverbänden und Konkurrenten

� Abmahnungen von Datenschutzvereinen

7

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Verpflichtungen für Unternehmennach der DSGVO

8

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 5

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Verpflichtungen der Unternehmen(Auszug)� Rechenschaftspflicht/Accountability, Art. 5, 24

� Erlaubnistatbestände der Datenverarbeitung, Art. 6-9

� Gewährleistung der Betroffenenrechte, Art. 12 ff.

� neue Transparenz- und Informationspflichten, Art. 13 f.

� Datenminimierung, Art. 25

� Beauftragung externer Dienstleister (Auftragsverarbeitung), Art. 28

� Verzeichnis von Verarbeitungstätigkeiten, Art. 30

� Umsetzung IT-Sicherheitsmaßnahmen, Art. 32

� Kontrollpflichten/Verpflichtung auf das Datengeheimnis, Art. 32

� Data breach notification, Art. 33 f.

� Datenschutz-Folgenabschätzung, Art. 35 f.

� Bestellpflicht eines Datenschutzbeauftragten, Art. 37 ff.

� Absicherung von Datentransfers in Drittstaaten, Art. 45 ff.

9

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Rechenschaftspflichten -von Unternehmen immer zu beachten!

� „Der Verantwortliche ist für die Einhaltung des Absatzes 1

verantwortlich und muss dessen Einhaltung nachweisen können

("Rechenschaftspflicht").“

� der Erlass von internen Richtlinien ist erforderlich, sofern es im

Hinblick auf die Datenverarbeitung verhältnismäßig ist

� Compliance-Prozess erforderlich:

� Review und Aktualisierung der Vorgaben sind geboten

� Nachweis kann durch entsprechende Zertifikate erfolgen

� erfasst: Archivierungs- und Löschkonzept

10

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 6

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Rechenschaftspflichten -von Unternehmen immer zu beachten!

11

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Zulässigkeit derDatenverarbeitung

12

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 7

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Erlaubnistatbestände für die Datenverarbeitung

� Artikel 6 Absatz 1 Satz 1 DSGVO - besondere Relevanz:

� Erfüllung vertraglicher Verpflichtungen, Buchst. b !

� Interessenabwägung, Buchst. f:

schutzwürdige

Interessen des

Betroffenen

berechtigte Interessen

der verantwortliche

Stelle

13

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Unter welchen Voraussetzungen sind klassische Werbeformen erlaubt?

14

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 8

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Einwilligung in die Datenverarbeitung

� folgende Erfordernisse müssen nach der DSGVO beachtet werden (Art. 6 Abs. 1 lit. a, Art. 7):

� eindeutige Willensbetätigung des Betroffenen

� klare und eindeutige Formulierung der Einwilligung

� freiwillige Zustimmung; separates Anklicken/ Zustimmung zur Datenverarbeitung; keine voreingestellten Haken (ErwG 32)

� Nachweispflicht beachten!

� bisher eingeholte Einwilligungen: Gelten nur fort, sofern sie den Bedingungen der DSGVO entsprechen (ErwG 171)

� Prüfung aller bestehenden Einwilligungen nötig!

15

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Einwilligung in die Datenverarbeitung - Text

� Einwilligungstext muss bestimmte Angaben enthalten:

�Wer soll die Daten nutzen dürfen?

�Welche Daten soll er nutzen dürfen?

�Zu welchem/-n Zweck(en) soll er die Daten nutzen?

�Darf er die Daten weitergeben und, wenn ja, an wen?

16

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 9

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

Einwilligung in die Datenverarbeitung - Nachweis

� Empfänger muss Einwilligung tatsächlich abgegeben haben

� Darstellung des Inhalts der Einwilligung

� Speicherung der E-Mails in Blackbox, Druckmöglichkeit

17

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Compliance-Pflichtenfür Unternehmen

18

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 10

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Betroffenenrechte

� Zielsetzung: Stärkung der Betroffenenrechte

� dazu: Einführung neuer Rechte

� zustehende Rechte:

� Recht auf Auskunft

� Recht auf Berichtigung oder Löschung

� Recht auf „Vergessenwerden“

� Recht auf Einschränkung der Verarbeitung

� Recht auf Widerspruch gegen die Verarbeitung

� Recht auf Datenübertragbarkeit

� Verantwortliche müssen entsprechende Prozesse etablieren, um

Anfragen zu beantworten & Umsetzung nachzuhalten

(Frist: 4 Wochen)!

19

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Informationspflichten

� Informationen müssen bei Datenerhebung erteilt werden, sofern

Daten beim Betroffenen erhoben werden

� Information muss grundsätzlich schriftlich erfolgen oder auf eine

andere Weise - sofern angemessen - in elektronischer Form

� keine Datenerhebung beim Betroffenen - dann spätestens zur

Verfügung stellen, Art. 14:

� bei Weitergabe an andere Empfänger mit Zeitpunkt der

Weitergabe

� bei Kommunikation mit Betroffenen mit der ersten Mitteilung

� sonst innerhalb eines Monats

� Ausnahme: unverhältnismäßiger Aufwand für Erteilung

� im Zweifel: abgestufte Information, Art. 29-Gruppe, WP 100

20

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 11

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

21

Betroffenenrechte

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

22

Betroffenenrechte

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 12

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

23

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Auftragsverarbeitung

� Auftragsverarbeitung bei weisungsgebundenen Tätigkeiten

� Vertrag muss bestimmte inhaltliche Kriterien erfüllen, u.a.:

� Gegenstand der Datenverarbeitung

� Dauer, Zweck und Art der Datenverarbeitung

� Datenkategorien und Betroffenen

� Regelung zur Beauftragung von Subdienstleistern

� Verschwiegenheitspflicht für alle Mitarbeiter

� alle erforderlichen Vorgaben zur IT-Sicherheit

� Verantwortlicher muss sich überzeugen, dass Einhaltung der

Vorgaben gewährleistet ist („Accountability“)

� Dienstleister muss alle Informationen liefern, um die

Einhaltung der Vorgaben des Vertrags nachzuweisen

� Überprüfungen durch den Controller sollen ermöglicht werden

24

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 13

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

25

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Verzeichnis von Verarbeitungstätigkeiten

26

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

� Verantwortliche müssen wie bisher ein Verzeichnis von

Verarbeitungstätigkeiten führen

� betrifft alle Datenverarbeitungen, die in der Zuständigkeit des

Verantwortlichen liegen

� Verzeichnis von Verarbeitungstätigkeiten muss der

Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden

� Vorgaben für Dienstleister: auch Auftragsverarbeiter müssen eine

Übersicht zu Datenverarbeitungsaktivitäten führen, die sie für

Auftraggeber vornehmen

� inhaltliche Vorgaben reduziert:

� Kontaktdaten

� Kategorien der Datenverarbeitung

� Übermittlungen in Drittland

� Datensicherheitsmaßnahmen

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 14

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

27

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Bestellung eines Datenschutzbeauftragten

28

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

� Pflicht zur Bestellung eines Datenschutzbeauftragten, sofern

folgende Voraussetzungen vorliegen (DSGVO und BDSG-neu):

� Kernaktivitäten liegen in der systematischen Beobachtung

von Betroffenen in großer Anzahl oder

� die Kernaktivitäten beruhen auf einer Datenverarbeitung von

sensitiven Daten in einer großen Anzahl oder

� mindestens 10 Mitarbeiter im Unternehmen sind mit

Datenverarbeitungsvorgängen beschäftigt oder

� wenn Datenverarbeitungsvorgänge durchgeführt werden, bei

denen eine Datenschutz-Folgenabschätzung durchgeführt

wird

� freiwillige Bestellung stets möglich

� konzernweite Bestellung eines DSB möglich

� Meldung des DSB an die zuständige Aufsichtsbehörde

� Fachkenntnisse im Datenschutz durch DSB erforderlich

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 15

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Fazit: Vergleich zum BDSG

29

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

DSGVO – Aufgaben für KMU

30

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

� Bestellung eines Datenschutzbeauftragten prüfen

� Gewährleistung der Betroffenenrechte

� insbesondere Datenschutzerklärungen

� auf Website, für Kunden, für Mitarbeiter, für Bewerber

� Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

� Erlass Datenschutzrichtlinie im Unternehmen

� Einwilligungen überprüfen/einholen, insbes. bei Newslettern

� Auftragsverarbeitungsverträge bei Beauftragung externer

Dienstleister

� Meldepflichten bei Datenschutzverstößen bedenken

� gelungene Übersicht für KMU: https://www.lda.bayern.de/de/kleine-

unternehmen.html

29.06.2018

(c) Dr. Matthias Lachenmann; Pauly & Partner 16

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

DSGVO – Musterformulare

31

1. Basics – Zentrale Themen

2. Verpflichtungen für Unternehmen nach der DSGVO

3. Zulässigkeit der Datenverarbeitung

4. Compliance-Pflichten für Unternehmen

5. Fazit

� Möglichkeiten zur Selbsteinschätzung durch Aufsichtsbehörden:

� https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

� https://www.lda.bayern.de/tool/start.html

� Vertragsmuster Auftragsverarbeitung:

� https://www.lda.bayern.de/media/muster_adv.pdf

� https://www.gdd.de/downloads/praxishilfen/Mustervertrag_zur

_Auftragsverarbeitung_DS-GVO.docx

� Verzeichnis von Verarbeitungstätigkeiten:

� https://www.bitkom.org/NP-Themen/NP-Vertrauen-

Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-

Verarbeitungsverzeichnis-online.pdf

� https://www.gdd.de/downloads/praxishilfen/Muster_VVT.docx

� diverse Praxishilfen der GDD e.V.:

� https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-

gvo/praxishilfen-ds-gvo

© P

auly

& P

artn

er 2

018

Unternehmerische Pflichten durch die DSGVO | © RA Dr. Matthias Lachenmann

Unser Netzwerk –Datenschutz in guten Händen

32