DAS NEUE DATENSCHUTZRECHT
TAGESSEMINAR AM 11.04.2018
NACH DER EU-DATENSCHUTZ-GRUNDVERORDNUNG
HALLE.LAW, MAXIM-GORKI-STR. 10. 06114 HALLE (SAALE), EMAIL: [email protected]
EINLEITUNG
Teil I Anwendungsbereich, Ziele und Grundsätze der DS-GVO
Teil II Betroffenenrechte
Teil III Besonderheiten der neuen Auftragsverarbeitung allgemein und Verarbeitung im Nicht-EU-Ausland und in den USA
Teil IV Behandlung von Datenschutzverletzungen, Bestellung eines Datenschutzbeauftragten (intern oder extern), dessen Haftung und Neuregelung zu Sanktionen und Bußgeldern
Teil V Das neue BDSG und Neues zur Videoüberwachung und Datenschutzfolgeabschätzung
Teil VI Datenschutzmanagement – mit Corporate Governance zur Datenschutz Compliance
Teil VII Ausblick
DAS NEUE DATENSCHUTZRECHT
TEIL I
Anwendungsbereich
Ziele
Grundsätze der DS-GVO
TEIL I
ANWENDUNGSBEREICH
Ab dem 25.05.2018 gilt in den europäischen Mitgliedsstaaten die EU-Datenschutz-Grundverordnung
Diese Verordnung gilt für alle Unternehmen und deren Niederlassungen in der Union (räumlicher
Anwendungsbereich), die personenbezogene Daten verarbeiten (sachlicher Anwendungsbereich)
Vortrag richtet sich daher an Unternehmen der Privatwirtschaft, die sog. „Verantwortlichen“, und deren
rechtsberatende Berufsgruppen (persönlicher Anwendungsbereich)
Vortrag soll insbesondere kleinen und mittelständischen Unternehmen einen Einblick in die Materie erleichtern
und einen Überblick über notwenige Schritte zur Umsetzung der Verordnung vermitteln
TEIL I
ZIELE UND DATENSCHUTZSTRUKTUR
Datenschutzziele, Art. 5 DS-GVO
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
Datenschutz-Governance-Struktur
• Zuweisung der Verantwortlichkeit
• Geeignete Arbeitsteilung und Einsatz qualifizierter Ressourcen
• Zentrale und dezentrale Verteilung von Aufgaben
Datenschutzleitlinien
• Schriftliche Dokumentation der definierten Datenschutzziele und der Governance-Struktur
• Strukturierung z.B. in: Einführung/Motivation, Benennung der Vorschriften, Anweisungen, Zuständigkeiten und/oder Konsequenzen bei Verstößen
Aufbauorganisation
TEIL I
ZIELE UND DATENSCHUTZPROZESSE
Ablauforganisation
Datenschutzkonforme Datenverarbeitung - Zulässigkeit der Verarbeitung
Sicherstellung der Betroffenenrechte - Informationspflicht
Handhabung von Datenschutzverletzungen
TEIL I
GRUNDSÄTZE DER DS-GVO
Zulässigkeit der Verarbeitung
Bei dem Prozess der datenschutzkonformen Datenverarbeitung stellt sich die Frage, welche Anforderungen ein Unternehmen erfüllen muss, damit die Verarbeitung personenbezogener Daten im Einklang mit der DS-GVO steht
Einhaltung der Datenschutzgrundsätze, Art. 5 Abs. 1, 2 DS-GVO
Rechtmäßigkeit der Verarbeitung auf Basis einer Rechtsgrundlage, Art. 6 DS-GVO
Transparenz bei der Erhebung durch angemessene Information der betroffenen Personen, Art. 12 DS-GVO
Sicherheit der Verarbeitung durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen, Art. 24, 32 DS-GVO
TEIL I
GRUNDSÄTZE DER DS-GVO
Rechenschaftspflicht
„Accountability“
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz; Zweckbindung
Datenminimierung, Richtigkeit
Speicherbegrenzung; Integrität und Vertraulichkeit
Grundsätze der Datenverarbeitung nach Art. 5 DS-GVO
TEIL I
GRUNDSÄTZE DER DS-GVO
Rechtmäßigkeit nach Art. 6 DS-GVO Einwilligung und Vertragserfüllung
Berechtigtes Interesse und Schutz lebenswichtiger Interessen
Wahrung öffentlicher Interessen / Etc.
TEIL I
GRUNDSÄTZE DER DS-GVO
Einwilligung nach Art. 6 Abs. 1 a) DS-GVO
Bedingung für rechtmäßige Verarbeitung personenbezogener Daten aus Katalog des Art. 6 Abs. 1 DS-GVO
Bedingungen für Einwilligung geregelt in Art. 7 DS-GVO
Eindeutige bestätigende und freiwillige Handlung betroffener Person erforderlich (kein Stillschweigen)
Bei mehreren Verarbeitungszwecken, mehrere Einwilligungen erforderlich
Nachweispflicht (extern) und Informationspflicht (gegenüber Betroffenen) des Verantwortlichen
Jederzeitiges Widerrufsrecht betroffener Person, muss ebenso einfach sein wie Erteilung der Einwilligung
Besonderheit: Einwilligung eines Kindes, Art. 8 DS-GVO
TEIL I
GRUNDSÄTZE DER DS-GVO
Grundsatz des Umgangs mit personenbezogenen Daten für zulässige
Verarbeitung
Datenschutzkonforme Auftragsverarbeitung, u.a. durch geeignete
technische und organisatorische Maßnahmen, Art. 28 DS-GVO
Sicherstellung des Schutzniveaus bei der Übermittlung
personenbezogener Daten in Drittländer, Art. 44 DS-GVO
Dokumentation der Verarbeitungstätigkeiten, Art. 30 DS-GVO
TEIL I
GRUNDSÄTZE DER DS-GVO
Datenschutzdokumentation
Für die Datenverarbeitung hat der Verantwortliche Dokumente für explizite und für implizite Nachweispflichten
zu führen
Spricht die Verordnung von „Nachweis“, ist dies eine explizite Nachweispflicht (Bsp.: Einwilligung, Identifizierung,
Auftragsverarbeiter)
Von implizite Nachweispflicht spricht man hingegen, wenn der Verantwortliche den Prüfungsanforderungen einer
Aufsichtsbehörde nicht Rechnung tragen kann, ohne über eine entsprechende Dokumentation zu verfügen (Bsp.:
Benennung der Rechtsgrundlage, Sicherheit der Verarbeitung)
TEIL I
GRUNDSÄTZE DER DS-GVO
Datenschutzdokumentation
Zweck der Dokumentation
Schaffung von Transparenz und Effizienz intern und extern
Sensibilisierung und Schulung von Mitarbeitern
Prozessmanagement der Unternehmensführung
Datenschutzkonformität sicherstellen und nachweisen können
Wesentlicher Bestandteil von Audits
Grundlage für Zertifizierungen
Kommunikationsmittel gegenüber der Aufsichtsbehörde
Vertragsmanagement
Externe Kommunikation gegenüber Dritte
TEIL I
GRUNDSÄTZE DER DS-GVO
Nicht vergessen: Mitarbeiterdatenschutz
Auch personenbezogene Daten von Mitarbeitern genießen Schutz der DS-GVO
Personenbezogene Daten von Bewerbern
Personenbezogene Daten gegenwärtiger Mitarbeiter
Personenbezogene Daten ausgeschiedener Mitarbeiter
Exkurs: Verfahren, wenn ein Mitarbeiter ausscheidet: Verwehrung von Zugang und Zugriff zu personenbezogenen
Daten
DAS NEUE DATENSCHUTZRECHT
TEIL II
Betroffenenrechte
TEIL II
BETROFFENENRECHTE
Transparenz – Recht auf Information
Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten bei Betroffenem, Art. 13:
Name und Kontaktdaten des Verantwortlichen
Ggf. Kontaktdaten des Datenschutzbeauftragten
Zweck der Verarbeitung und Rechtsgrundlage
Ggf. Berechtigte Interessen des Verantwortlichen (bei Verarbeitung nach Art. 6 Abs. 1 f))
Ggf. Empfänger oder Kategorien von Empfängern personenbezogener Daten
Ggf. Absicht des Verantwortlichen der Übermittlung in Drittland (inkl. Grundlage der Übermittlung, siehe Teil III Auftragsverarbeitung)
Speicherdauer
Hinweis auf Rechte betroffener Person (Auskunft, Löschung, Einschränkung, Widerspruch, Widerruf bei Einwilligung, Beschwerde)
Information dazu, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche mögliche Folgen die Nichtbereitstellung hätte
Bestehen automatisierter Entscheidungsfindung, einschließlich Profiling gem. Art. 22 Abs. 1 und 4
TEIL II
BETROFFENENRECHTE
Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten bei Betroffenem, Art. 13:
Maßgeblicher Zeitpunkt: bei Erhebung personenbezogener Daten
Sonderregelung Abs. 3:
Bei Absicht, personenbezogene Daten für anderen Zweck weiterzuverarbeiten, als für den diese erhoben wurden:
Verantwortlicher muss Betroffenem bei Weiterverarbeitung anderen Zweck und oben genannte Informationen übermitteln
Einschränkung des Art. 13:
Abs. 4: keine Informationspflicht, wenn/soweit Betroffener bereits über diese Information verfügt
Einschränkung Abs. 3: § 32 BDSG neu bei
Weiterverarbeitung analog gespeicherter Daten bei analoger Kommunikation mit geringem Interesse d. Betroffenen
Beeinträchtigung der Geltendmachung, Ausübung, Verteidigung rechtlicher Ansprüche bei überwiegendem Interesse d. Verantwortlichen
TEIL II
BETROFFENENRECHTE
Transparenz – Recht auf Information
Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten nicht bei Betroffenem, Art. 14:
Name und Kontaktdaten des Verantwortlichen
Ggf. Kontaktdaten des Datenschutzbeauftragten
Zweck der Verarbeitung und Rechtsgrundlage
Kategorien personenbezogener Daten, die verarbeitet werden
Empfänger
Speicherdauer
Ggf. Berechtigte Interessen des Verantwortlichen oder Dritten (bei Verarbeitung nach Art. 6 Abs. 1 f))
Hinweis auf Rechte betroffener Person (Auskunft, Löschung, Einschränkung, Widerspruch, Widerruf bei Einwilligung, Beschwerde)
Information dazu, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist und welche mögliche Folgen die Nichtbereitstellung hätte
TEIL II
BETROFFENENRECHTE
Informationspflicht für Verantwortlichen bei Erhebung personenbezogener Daten bei Betroffenem, Art. 14:
Maßgeblicher Zeitpunkt: innerhalb angemessener Frist
Sonderregelung:
Bei Absicht, personenbezogene Daten für anderen Zweck weiterzuverarbeiten, als für den diese erhoben wurden:
Verantwortlicher muss Betroffenem bei Weiterverarbeitung anderen Zweck und oben genannte Informationen übermitteln
Einschränkung des Art. 14:
Abs. 5: keine Informationspflicht, wenn/soweit Betroffener bereits über diese Information verfügt
oder Erteilung dieser Information unmöglich/unverhältnismäßiger Aufwand (insb. bei Verarbeitung zu Archivzwecken im öff. Interesse, wissensch./hist. oder statistische Zwecke)
oder Erlangung/Offenlegung durch Gesetz, dem Verantwortlicher unterliegt, ausdrücklich geregelt
oder Daten unterliegen gem. Gesetz Berufsgeheimnis und müssen vertraulich behandelt werden
§ 33 BDSG: wenn Beeinträchtigung der Geltendmachung, Ausübung, Verteidigung zivilrechtlicher Ansprüche
TEIL II
BETROFFENENRECHTE
Recht auf Auskunft, Art. 15 (dazu sogleich)
Recht auf Berichtigung unrichtiger personenbezogener Daten, Art. 16
Recht auf Löschung („Recht auf Vergessenwerden“), Art. 17 (dazu sogleich)
Recht auf Einschränkung der Verarbeitung, Art. 18
Recht auf Datenübertragbarkeit, Art. 20
Recht auf Widerspruch, Art. 21 (dazu sogleich)
Recht, nicht einer automatischen Einzelentscheidung unterworfen zu sein, Art. 22
Recht auf Widerruf einer Einwilligung, Art. 7
TEIL II
BETROFFENENRECHTE
Recht auf Auskunft, Art. 15
Betroffener hat Recht, Bestätigung zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden
Wenn dem so ist, hat er Recht auf Auskunft über diese Daten und folgende Information:
Verarbeitungszwecke
Kategorien personenbezogener Daten
Empfänger, insb. bei Empfängern in Drittländern (dann entsprechende geeignete Garantien)
Bestehen des Rechts auf Berichtigung oder Löschung und Beschwerde
Herkunft der Daten (wenn Erhebung durch Dritte)
Bestehen automatisierter Entscheidungsfindung einschließlich Profiling
TEIL II
BETROFFENENRECHTE
Recht auf Auskunft, Art. 15
Verantwortlicher stellt Kopie personenbezogener Daten zur Verfügung (erste ist unentgeltlich)
Bei elektronischem Antrag: Informationen in gängigem elektrischem Format zur Verfügung zu stellen
Hierbei Rechte und Freiheiten anderer Personen (Geschäftsgeheimnisse oder Rechte des geistigen Eigentums, z.B.
Urheberrecht an Software) beachten
TEIL II
BETROFFENENRECHTE
Recht auf unverzügliche Löschung bei Vorliegen von Löschungsgrund, Art. 17 Abs. 1
Wegfall des Zwecks
Widerruf der Einwilligung und fehlen anderer Rechtsgrundlage
Widerspruch gegen Verarbeitung gem. Art. 21
Unrechtmäßigkeit der Verarbeitung
Löschung zur Erfüllung gesetzlicher Verpflichtung, der Verantwortlicher unterliegt, erforderlich
Verarbeitung aufgrund Einwilligung eines Kindes gem. Art. 8 Abs. 1
TEIL II
BETROFFENENRECHTE
Ausnahmen zu Art. 17 Abs. 1:
freie Meinungsäußerung
Erfüllung einer rechtlichen Verpflichtung, der Verantwortlicher unterliegt
öffentliches Interesse
Archivzweck
Forschungszweck
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Nach § 35 BDSG:
Bei Unmöglichkeit oder unverhältnismäßig hohem Aufwand der Löschung und geringem Interesse des Betroffenen bei nicht automatisierter Datenverarbeitung
Wenn Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen
TEIL II
BETROFFENENRECHTE
Recht auf Einschränkung der Verarbeitung, Art. 18
Datenverarbeitung dann nur mit Einwilligung oder zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen oder zum Schutz anderer natürlicher/juristischer Person oder aus wichtigem öffentlichen Interesse
Bei Vorliegen folgender Voraussetzungen:
Richtigkeit der personenbezogenen Daten wird von Betroffenen bestritten
Unrechtmäßigkeit der Verarbeitung, wobei Betroffener Löschung ablehnt
Verarbeitungszweck entfallen, aber Betroffener diese zur Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen benötigt
Einlegung eines Widerspruchs gegen Verarbeitung gem. Art. 21 Abs.1, bis feststeht, ob berechtigte Gründe des Verantwortlichen überwiegen
TEIL II
BETROFFENENRECHTE
Widerspruchsrecht, Art. 21
Jederzeitiges Widerspruchsrecht d. Betroffenen gegen Verarbeitung aufgrund von Wahrnehmung einer Aufgabe im
öffentlichen Interesse oder zur Ausübung öffentlicher Gewalt und Verarbeitung aufgrund Wahrung berechtigter Interessen
des Verantwortlichen oder Dritten, sofern nicht Interessen/Grundrechte/Grundfreiheiten d. Betroffenen überwiegen
Verantwortlicher verarbeitet Daten nicht mehr
Ausnahme: Nachweis zwingender schutzwürdiger Gründe für Verarbeitung, die Interessen/Rechte/Freiheiten des Betroffenen
überwiegen
Jederzeitiges Widerspruchsrecht bei Verarbeitung für Direktwerbung und Profiling
Verantwortlicher verarbeitet Daten nicht mehr
TEIL II
BETROFFENENRECHTE
Antrag
Tätig werden = ja
Maßnahmen ergreifen
Unverzügliche Unterrichtung über ergriffene Maßnahmen,
spätestens aber innerhalb eines Monats
Tätig werden= nein
Unverzügliche Unterrichtung unter Angaben der Gründen,
spätestens aber innerhalb eines Monats
Dies erfordert eine strukturierte und systematische Annahme von Anträgen, eine angemessene
Verifikation der Identität und konsistente Bearbeitung von Anträgen
Anträge von Betroffenen
TEIL II
BETROFFENENRECHTE
Maßnahmen zur Umsetzung
Implementierung eines zentralen Annahmeprozesses für Anfragen und Anträge
Implementierung eines Rückmeldeprozesses
Implementierung von Eskalationsverfahren
Verfolgung des Fortschritts/ Bearbeitungsstandes und Dokumentation
Arbeitsschritte: Erfasst – Geprüft – Ausgewertet – Erstellt – Bearbeitet
DAS NEUE DATENSCHUTZRECHT
TEIL III
Auftragsverarbeitung allgemein
Verarbeitung im Nicht-EU-Ausland
Verarbeitung in den USA
TEIL III
AUFTRAGSVERARBEITUNG
Nach Art. 4 Nr. 8 DS-GVO ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
Typischer Bereich: Cloud-Computing, IT-Wartung
Haftung des Auftragsverarbeiters in Art. 82 Abs. 2 S. 2 DS-GVO geregelt:
Haftung des Auftragsverarbeiters dann, wenn auferlegten Pflichten nicht nachgekommen ist oder rechtmäßig erteilte
Anweisungen des Verantwortlichen nicht beachtet wurden oder gegen diese Anweisungen gehandelt wurde
Beispiele: ohne Zustimmung des Verantwortlichen darf kein Unterauftragsverarbeiter miteinbezogen werden,
Auftragsverarbeiter darf nur im Rahmen der dokumentierten Weisungen des Verantwortlichen Daten verarbeiten,
Auftragsverarbeiter muss sicherstellen, dass Personen, die zur Verarbeitung von personenbezogenen Daten
autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder Auftragsverarbeiter muss dokumentieren
TEIL III
AUFTRAGSVERARBEITUNG
• Verantwortlicher
• Muss Datenschutzverpflichtung unterschreiben lassen
Vertrag
• Auftragsverarbeiter
• Muss Datenschutzverpflichtung unterschreiben und unterschreiben lassen
• Haftet für Unterauftragsverantwortlicher
Vertrag• Unterauftragsverarbeiter
• Muss Datenschutzverpflichtung unterschreiben
Datenverarbeitung
TEIL III
AUFTRAGSVERARBEITUNG
Datenschutz-Audit bei Auftragsverarbeitung
Jede Auftragsverarbeitung bedarf eines Vertrages!
Daraus muss hervorgehen, dass:
Personenbezogene Daten nur auf dokumentierte Weisung von Seiten des Verantwortlichen verarbeitet werden
Das Personal des Auftragsverarbeiters zur Vertraulichkeit verpflichtet ist
Der Schutz der Verarbeitung eingehalten wird
Dem Verantwortlichen die Sicherstellung der Rechte der Betroffenen mittels technischer und/oder organisatorischer
Maßnahmen ermöglicht wird
TEIL III
AUFTRAGSVERARBEITUNG
Auftragsverarbeitung im Nicht-EU-Ausland
Bei Absicht, personenbezogene Daten in Drittland zu übermitteln, muss Betroffenen informieren
Verantwortlicher muss garantieren, Daten DS-GVO- konform zu behandeln
Kommission beschließt gem. Art. 45 DS-GVO, dass Drittland angemessenes Schutzniveau bietet
Aktuell: Norwegen, Island, Liechtenstein, Andorra, Argentinien, Kanada, Schweiz, Färöer-Inseln, Guernsey, Israel,
Isle of Man, Jersey, Neuseeland, Uruguay (Webseite der Kommission)
Datenübermittlung vorbehaltlich geeigneter Garantien gem. Art. 46 DS-GVO (z.B. Vertragsklauseln)
Datenübermittlung gem. Art. 49 DS-GVO (Ausnahmekatalog, bes. wichtig: ausdrückliche Einwilligung des
Betroffenen nach Unterrichtung über mögliche Risiken)
TEIL III
AUFTRAGSVERARBEITUNG
Besonderheit: Verarbeitung in den USA
Annahme EU-Kommission am 12.07.2016: EU-US Datenschutzschild, engl.: Privacy Shield
Im Rahmen des Privacy Shields verpflichten sich US-Unternehmen die in den Dokumenten festgelegten
datenschutzrechtlichen Vorgaben einzuhalten
US-Handelsministerium erteilt Bescheinigungen und trägt in entsprechende Liste auf Webseite ein
Bei erfolgter Zertifizierung wird angemessenes Datenschutzniveau fingiert
Somit keine geeigneten Garantien mehr erforderlich
Einzusehen auf Privacy-Shield-Liste aktuell 2788 Unternehmen
DAS NEUE DATENSCHUTZRECHT
TEIL IV
Behandlung von Datenschutzverletzungen
Bestellung eines Datenschutzbeauftragten
Haftung des Datenschutzbeauftragen
Aufsichtsbehörden
Neuregelung zu Sanktionen und Bußgeldern
TEIL IV
BEHANDLUNG VON DATENSCHUTZVERLETZUNGEN
Eine Verletzung des Schutzes personenbezogener Daten ist gemäß Art. 4 Nr. 12 DS-GVO eine
Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten
Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt
Ein Verantwortlicher muss in der Lage sein, sofort festzustellen, ob eine Datenschutzverletzung vorliegt
und die Aufsichtsbehörde und die Betroffenen umgehend zu unterrichten
TEIL IV
BEHANDLUNG VON DATENSCHUTZVERLETZUNGEN
Inhalt der Meldung
Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
Art der Verletzung des Schutzes personenbezogener Daten
Kategorien und ungefähre Anzahl von betroffenen Personen und von personenbezogenen Datensätze, soweit
möglich
Wahrscheinliche Folgen der Verletzung
Vom Verantwortlichen ergriffene oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf.
Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen
TEIL IV
BEHANDLUNG VON DATENSCHUTZVERLETZUNGEN
Zweistufiges Vorgehen bei Datenschutzverletzungen
> Reaktionsplanung bei Datenschutzverletzungen
TEIL IV
BEHANDLUNG VON DATENSCHUTZVERLETZUNGEN
Zweistufiges Vorgehen bei Datenschutzverletzungen
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Rolle des Datenschutzbeauftragten:
Unterstützung der Verantwortlichen und Auftragsverarbeiter bei der Überwachung der internen Einhaltung der
Bestimmungen der DS-VGO und des neuen Bundesdatenschutzgesetzes
„Anlaufstelle“ für die Aufsichtsbehörde mit der Verarbeitung zusammenhängenden Fragen
Fungiert als Berater für betroffene Personen
Der Datenschutzbeauftragte kann freiwillig benannt werden oder es besteht eine Benennungspflicht
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Benennungspflicht
Verantwortliche oder Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen gemäß Art. 37 Abs. 1
DS-GVO, wenn
Die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs
und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen
erforderlich macht (z.B. Social Media Plattformen)
Oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO (Daten,
die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten
usw.)oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht (z.B. private Labore
oder private Krankenhäuser, insbesondere mit Transplantationsschwerpunkt oder Unternehmen, die in anderen
Unternehmen die Funktion der Personalabteilung ausübt)
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Benennungspflicht
In Deutschland hat der Gesetzgeber die Benennungspflicht erweitert, so heißt es in § 38 BDSG neue Fassung:
(I) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und
der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel
mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen
der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel
35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck
der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie
unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen
Datenschutzbeauftragten zu benennen.
Dies wird eine Vielzahl von Unterhemen betreffen!
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Voraussetzungen für die Bestellung
Bestellt werden können interne und externe Datenschutzbeauftragte, die neben dieser Tätigkeit andere Aufgaben
und Pflichten wahrnehmen können
Er muss die erforderliche Fachkunde und Zuverlässigkeit besitzen
Für die erforderliche Fachkunde braucht es berufliche Qualifikation, Fachwissen und die Eignung. Diese erreicht
man durch langjährige Tätigkeiten im Bereich des Datenschutzes oder durch Schulungen
Die Zuverlässigkeit umfasst die persönliche Integrität, so kann keiner Datenschutzbeauftragter sein, der schon
wegen Verstößen gegen das Datenschutzgesetz aufgefallen ist oder in einem Interessenkonflikt steht
(Geschäftsführer, Vorstand, leitendes Personal)
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Stellung eines Datenschutzbeauftragten
Der Datenschutzbeauftragte ist Anlaufstelle, Berater und Unterstützer, er ist daher frühzeitig und ordnungsgemäß
in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen durch Verantwortliche und
Auftragsverarbeiter einzubinden
Wiederum müssen Verantwortliche und Auftragsverarbeiter den Datenschutzbeauftragten unterstützen (z.B.
Zugang zu Verarbeitungsvorgängen gewähren oder Mittel bereit stellen)
Der Datenschutzbeauftragte ist unabhängig, er unterliegt der Weisungsfreiheit (im Bezug auf seine
Datenschutzaufgaben), dem Benachteiligungsverbot (Kündigungsschutz) und der Berichtpflicht gegenüber der
Managementebene
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Aufgaben des Datenschutzbeauftragten
Unterrichtung und Beratung des Verantwortlichen und des Auftragsverarbeiters
Überwachung des Datenschutzes (Einhaltung der geltenden Normen)
Umstritten: Sensibilisierung und Schulung, es sollte dazu eine vertragliche Vereinbarung aufgesetzt werden
Zusammenarbeit mit der Aufsichtsbehörde (Austausch von Informationen, Datenschutz-Folgenabschätzung)
Problem: Doppelnatur des Datenschutzbeauftragten – Er steht zwischen Aufsichtsbehörde und Verantwortlichen
oder Auftragsverarbeiter
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Abberufung des Datenschutzbeauftragen
Nachträglicher Wegfall der Benennungspflicht, etwa weil nur noch acht Personen ständig mit der automatisierten
Verarbeitung personenbezogener Daten beschäftigt sind
Eingetretene Unzuverlässigkeit
Wegfall des Fachwissens (z.B. durch Krankheit)
Umstritten: bei Nicht- oder Schlechtleistung – überwiegend nur als aller letztes Mittel vorgesehen und geht mit
der Unzuverlässigkeit so sehr einher, dass man die Nicht- oder Schlechtleistung nicht als eigenständiges
Abberufungsmittel benötigt
TEIL IV
DATENSCHUTZBEAUFTRAGTER
Haftung des Datenschutzbeauftragten
Interner Datenschutzbeauftragter: Haftung im Innenverhältnis aus Pflichtverletzung
des Arbeitsvertrags – Haftungserleichterung durch die Grundsätze zum
innerbetrieblichen Schadensausgleich
Externer Datenschutzbeauftragter: Pflichtverletzung unter dem
Geschäftsbesorgungsvertrag ohne Haftungserleichterung
TEIL IV
AUFSICHTSBEHÖRDE
Aufgaben der Aufsichtsbehörde
Die Anwendung der DS-GVO zu überwachen und durchzusetzen
Anfragen und Beschwerden von Betroffenen zu bearbeiten
Unternehmen bzgl. Ihrer Datenschutzpflicht zu sensibilisieren
Untersuchungen über die Anwendung des DS-GVO durchzuführen
TEIL IV
AUFSICHTSBEHÖRDE
Befugnisse der Aufsichtsbehörde
Beschwerdeprüfung
Konzeptionsprüfung
Angemessenheitsprüfung
Wirksamkeitsprüfung
Abhilfebefugnis (Verwarnungen, Verbote oder Geldbußen)
Genehmigungs- und Beratungsbefugnisse
TEIL IV
NEUREGELUNGEN ZU SANKTIONEN UND BUßGELDERN
Bußgelder der Datenschutzbehörde (Art. 83 f. DS-GVO)
bis zu 20 Mio. EUR
bis zu 4% des Konzern-Weltumsatzes
je nach dem, welcher Wert höher ist
bisher maximal 300.000 EUR
Strafvorschriften können die Mitgliedsstaaten per nationalem Recht regeln
Weitere Sanktionsmöglichkeiten:
Anordnungen, Rügen, Anweisungen, begrenztes oder endgültiges Verbot der Datenverarbeitung
DAS NEUE DATENSCHUTZRECHT
TEIL V
Das neue BDSG – was ändert sich?
Neues zur Videoüberwachung, Datenschutzfolgeabschätzung
TEIL V
DAS NEUE BDSG
Was ändert sich?
Altes BDSG tritt am 25.05.2018 außer Kraft
Zeitgleich tritt das Datenschutz-Anpassungs- und –Umsetzungsgesetz EU (DSAnp-UG-EU) in Kraft – ein Artikelgesetz, welches seinerseits ein neues BDSG einführt
Grundsätzlich gilt: Anwendungs- und Geltungsvorrang von EU-Recht
(DSGVO geht nationalem Datenschutzrecht vor)
Aber: DSGVO enthält zahlreiche Öffnungsklauseln, von denen der dt. Gesetzgeber Gebrauch gemacht hat
Deshalb gilt: BDSG (neu) flankiert DSGVO, präzisiert und konkretisiert sie
TEIL V
DAS NEUE BDSG
Neuregelungen zur Videoüberwachung (dazu sogleich)
Präzisierung der Verarbeitung von besonderen Kategorien personenbezogener Daten, hauptsächlich
Gesundheitsdaten (§ 22 BDSG neu)
Vorschriften zur Datenverarbeitung bei wissenschaftlichen, historischen und statistischen Zwecken (§ 27 BDSG
neu)
die zulässige Zweckänderung bei der Datenverarbeitung wird ergänzt (zur Gefahrenabwehr für die staatliche und
öffentliche Sicherheit, zur Strafverfolgung und zur Ausübung oder Verteidigung zivilrechtlicher Ansprüche, § 24
BDSG neu)
TEIL V
DAS NEUE BDSG
Neuregelung des Beschäftigten-Datenschutzes (§ 26 BDSG neu)
explizite Bezugnahme auf Tarifverträge und Betriebsvereinbarungen
Präzisierung der Freiwilligkeit von Einwilligungen
ansonsten weitestgehend bisherige Regelung übernommen
Regelungen zu Scoring und Auskunfteien (§ 31 BDSG neu)
TEIL V
DAS NEUE BDSG
Einschränkung von Informationspflichten, Auskunfts- und Löschpflichten (§§ 32 ff. BDSG neu)
präzisiere Regeln zur automatisierten Einzelentscheidung bei Versicherungen (§ 22 BDSG neu)
Pflicht zur Datenschutz-Folgeabschätzung für Markt- und Meinungsforschungsinstitute (§ 38 BDSG neu)
verschärfte Regeln zum Datenschutzbeauftragen (wie vor)
TEIL V
VIDEOÜBERWACHUNG
geregelt in § 4 BDSG neu
prinzipiell gilt: bisher bekannte Regeln nach § 6b BDSG alt gelten fort
aber: erhebliche Erleichterungen für Überwachung "öffentlich zugänglicher großflächiger Anlagen"
Sportanlagen, Versammlungsstätten, Vergnügungsparks, Parkplätze, EKZ, etc.
TEIL V
VIDEOÜBERWACHUNG
Zulässigkeit von Videoüberwachung:
zur Aufgabenerfüllung öffentlicher Stellen
zur Wahrnehmung des Hausrechts
zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
soweit erforderlich
kein Überwiegen schutzwürdiger Interesse der Betroffenen
TEIL V
VIDEOÜBERWACHUNG
Informationspflichten des Überwachers:
auf Videoüberwachung muss hingewiesen werden (z.B. durch Schilder)
Name und Kontaktdaten des Überwachers müssen kenntlich gemacht werden
geeignete Maßnahmen genügen
zum frühestmöglichen Zeitpunkt
TEIL V
DATENSCHUTZFOLGEABSCHÄTZUNG
Art. 35 DS-GVO
Begriff:
spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher
Personen bei der Verarbeitung personenbezogener Daten
Voraussetzungen:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
TEIL V
DATENSCHUTZFOLGEABSCHÄTZUNG
Insbesondere:
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte
Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung
gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DS-GVO
(biometrische Daten, Gesundheitsdaten o.Ä.) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und
Straftaten gemäß Artikel 10 DS-GVO
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
TEIL V
DATENSCHUTZFOLGEABSCHÄTZUNG
Risiko für Schadenseintritt insbesondere durch
Identitätsdiebstahl
Diskriminierung
Finanzieller Verlust
Rufschädigung
Hinderung an der Datenkontrolle
Profilbildung inkl. Geodaten
TEIL V
DATENSCHUTZFOLGEABSCHÄTZUNG
Welche Datenverarbeitungen sind konkret betroffen?
Enthalten in “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a
high risk” for the purposes of Regulation 2016/679”
Beispielsweise:
Daten zur Bewertung, zum Scoring oder zum Profiling, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit,
persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort
Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten
Daten schutzbedürftiger Personen wie Kindern, älteren Menschen, Patienten oder Mitarbeitern
IoT-Daten („Internet of Things“)
Datentransfers außerhalb der EU
usw.
TEIL V
DATENSCHUTZFOLGEABSCHÄTZUNG
Inhalt der Datenschutzfolgeabschätzung:
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls
einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und
Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese
Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger
Betroffener Rechnung getragen wird
DAS NEUE DATENSCHUTZRECHT
TEIL VI
Datenschutzmanagement
Corporate Governance
Risikomanagement
Datenschutzcomliance
Datenschutzbewusstsein schaffen
TEIL VI
CORPORATE GOVERNANCE UND MANAGEMENTSYSTEM
Corporate Governance und Managementsystem
Unter dem Begriff Governance wird das Steuerungs- und Regelungssystem im Sinne von Strukturen einer Einheit
bzw. Organisation verstanden. Dabei gelten im Bereich des Datenschutzes die Grundsätze:
Rechenschaftspflicht
Verantwortlichkeit
Offenheit und Transparenz von Strukturen und Prozesse
Anständigkeit
Das Managementsystem sollte sich dabei an die „Internationale Organisation für Normung“ (ISO) orientieren
TEIL VI
DATENSCHUTZRISIKOMANAGEMENT
Risikobezug in der DS-GVO
Risikomanagement
TEIL VI
DATENSCHUTZRISIKOMANAGEMENT
Risikobezug in der DS-GVO
Physischer, materieller oder immaterieller Schaden (Diskriminierung, Rufschädigung, finanzieller Verlust oder
Identitätsdiebstahl)
Einschränkung der Rechte (Betroffene werden daran gehindert eigene personenbezogene Daten zu kontrollieren)
Sensible Daten (Gesundheitsdaten, genetische Daten, Strafrechtliche Verurteilungen)
Profilerstellung (Arbeitsleistungen, wirtschaftliche Lage, Gesundheit)
Besonders schutzbedürftige Personen (Daten von Kindern)
Große Reichweite (Menge an Daten oder Anzahl von Personen)
TEIL VI
RISIKOMANAGEMENT
Risikomanagementgrundsätze
Risikomanagementsystem
Risikomanagementprozess
TEIL VI
RISIKOMANAGEMENT
Grundsätze
Schafft Werte
Ist integraler Bestandteil aller Geschäftsprozesse
Ist Teil der Entscheidungsfindung
Adressiert gezielt die Unsicherheit
Ist systematisch, strukturiert und zeitgerecht
Basiert auf den bestverfügbarsten Informationen
Ist maßgeschneidert
Berücksichtigt soziale und kulturelle Faktoren
Ist transparent und integrativ
Ist dynamisch, iterativ und reagiert gezielt auf Veränderungsprozesse
Erleichtert kontinuierliche Verbesserung
TEIL VI
RISIKOMANAGEMENT
Auftrag und Selbstverpflichtung
Entwicklung eines Systems für das Managen von Risiken (PLAN)
Einführung des Risikomanagements (DO)
Überwachung und Überprüfung des Systems (CHECK)
Kontinuierliche Verbesserung des Systems (ACT)
TEIL VI
RISIKOMANAGEMENT
Prozess
Festlegung des Kontextes
Risikobeurteilung
Risikobehandlung
Risikoüberwachung und –überprüfung
Risikokommunikation und -konsultation
TEIL VI
DATENSCHUTZCOMPIANCE
Was muss die Geschäftsführung nun beachten?
Compliance mit der EU-Datenschutz-Grundverordnung ist „Chefsache“
Interdisziplinäres Team zusammenstellen
Sich mit der Datenschutz-Grundverordnung vertraut machen
Bestandsaufnahme
Überarbeitung des Verzeichnisses der Verarbeitungstätigkeiten
Überprüfung der Rechtsgrundlagen für die Verarbeitung
Überprüfung der Informations- und Mitteilungspflichten
Überprüfung der technischen und organisatorischen Maßnahmen
TEIL IV
DATENSCHUTZCOMPLIANCE
Was muss die Geschäftsführung nun beachten?
Überprüfung der Auftragsverarbeitung, insbesondere die Verschwiegenheitsverpflichtungen
Überprüfung der Übermittlung in Drittländer
Datenschutz prozessorientiert und risikobasiert betrachten
Die zuständige Aufsichtsbehörde konsultieren
Möglicherweise einen Datenschutzbeauftragten schulen und/oder benennen
TEIL VI
DATENSCHUTZBEWUSSTSEIN
Datenschutz
bewusstsein
Sensibilisierung (Aufmerksam
machen)
Schulung (Lösungen vermitteln)
Training (Lösungen üben)
Datenschutzsensibilisierung, -training und -schulungen
DAS NEUE DATENSCHUTZRECHT
TEIL VII
Ausblick
TEIL VII
AUSBLICK
Datenschutz Datenschutzmanagement Datenschutzmanagementsystem
TEIL VII
AUSBLICK
Der Datenschutz wird sich zu einen Datenschutzmanagementsystem weiterentwickeln und mehr sein,
als die Summe der Normen, die den Datenschutz umfassen
Es wird ein gesellschaftlich Vorausgesetztes und gelebtes Selbstverständnis für Unternehmen werden
Möglicherweise werden Unternehmen sich höhere Maßstäbe setzten, als gesetzlich Notwendig ist, um
sich von Konkurrenten abzusetzen und Vertrauen am Markt zu gewinnen
ENDE
Vielen Dank für Ihre Aufmerksamkeit!Sie erreichen uns unter: [email protected]
Diese Keynote können Sie hier herunterladen: https://bit.ly/2qqgo11