Upload
trinhcong
View
217
Download
0
Embed Size (px)
Citation preview
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
1
Vorbereitung auf das neue
Datenschutzrecht ; „To-Dos“ und
Handlungsempfehlungen für Prakt iker
M a n f r e d I l g e n f r i t z , R e f e r a t s l e i t e r b e i m
B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
F a c h f o r u m D a t e n s c h u t z -
G r u n d v e r o r d n u n g ,
I H K S c h w a b e n , 2 3 . 1 0 . 2 0 1 7
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
2
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
3
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
4
Datenschutz heute
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
5
Datenschutz-Grundverordnung (DS-GVO)
verkündet im
Amtsblatt der Europäischen Union
vom
4. Mai 2016
Datenschutz morgen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
6
Datenschutz morgen
d.h. in nur mehr ca. 7
Monaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
7
Rechtsnatur: Verordnung (Art. 288 AEUV)
Datenschutz morgen AEUV = Vertrag über
die Arbeitsweise der EU
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
8
BDSG-neu (BGBl. I 2017 S. 2097 ff.) Das bisherige BDSG wird mit Ablauf des 24.05.2018 aufgehoben und durch ein „BDSG-neu“ ersetzt, welches die DS-GVO -in notwendigen Punkten ausfüllt (z. B. zu den deutschen Aufsichtsbehörden, zur Vertretung im künftigen EDSA) sowie -in einem von der DS-GVO vorgegebenen Rahmen ergänzt (z. B. zum DSB, zu den Rechten betroffener Personen usw.).
Datenschutz morgen AEUV = Vertrag über
die Arbeitsweise der EU
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
9
Europäischer Datenschutzausschuss1)
18
5
10
19 17 20
8
16 15
21
22
27 28/UK
1 2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS
EU-KOMM
Datenschutz morgen
1) … der unabhängigen Datenschutzaufsichtsbehörden
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
10
Datenschutz morgen
Art. 29 Gruppe
Working Papers
(= konsensuale Arbeitsgemeinschaft der
Europäischen Datenschutzbehörden)
Datenschutz-Ausschuss
Leitlinien (Art. 70 DS-
GVO)
(= institutionalisiertes Gremium der der
Europäischen Datenschutzbehörden)
„Empfehlung“ „Orientierung“
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
11
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
12
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
13
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
14
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit Transparenz /
Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
15
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit (Art. 6 ff. DSGVO) bedeutet: Einwilligung liegt vor oder Verarbeitung ist zur Erfüllung von Vertrag
erforderlich oder Verarbeitung ist zur Erfüllung rechtlicher
Verpflichtung erforderlich oder Verarbeitung ist zur Wahrung der berechtigten
Interessen eines Verantwortlichen oder eines Dritten erforderlich, sofern nicht Interessen des Betroffenen überwiegen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
16
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit bedeutet (u.a.): Einwilligung liegt vor Einwilligung ist insbesondere wirksam, wenn
über Inhalt und Folgen ausreichend (ggfls. „in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache“) informiert,
sie freiwillig (problematisch bei Über-/Unterordnungsverhältnis oder bei Koppelungsgeschäften) erteilt und
über jederzeitiges Widerrufsrecht ausreichend informiert wurde.
Verantwortlicher muss Vorliegen der Einwilligung nachweisen können.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
17
Anforderungen an die Datenverarbeitung
Die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) werden (wohl noch in 2017) Leitlinien zu Einwilligungen veröffentlichen, siehe auf der Website der EU-Kommission / Artikel-29-Gruppe, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 . Dort finden sich auch schon veröffentlichte Leitlinien zu folgenden Themen der DS-GVO (bisher nur auf Englisch): • Datenschutzbeauftragter • Anspruch auf Datenportabilität • federführende Behörde • Datenschutzfolgenabschätzung (data protection impact assessment)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
18
Anforderungen an die Datenverarbeitung
Rechtmäßigkeit Transparenz /
Informationspflichten Sicherheit der Verarbeitung Auftrags(daten)verarbeitung Übermittlung in Drittstaaten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
19
Anforderungen an die Datenverarbeitung
Informationspflichten (Art. 13, 14) beinhalten:
Name (Firmenname) und Kontaktdaten des Verantwortlichen Kontaktdaten des Datenschutzbeauftragten (falls vorhanden) Zwecke der Datenverarbeitung das berechtigte Interesse, sofern die Datenerhebung aufgrund eines
berechtigten Interesses erfolgt ggf. die Empfänger(kategorien) bei Übermittlung in Drittländer: die Arten verwendeter „Garantien“ (z.B.
Standarddatenschutzklauseln) geplante Speicherdauer die Betroffenenrechte (Auskunft, Löschung,…) Beschwerderecht bei der Datenschutzaufsichtsbehörde u.a.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
20
Anforderungen an die Datenverarbeitung
Transparenz am praktischen Beispiel von Apps Apps beinhalten Informations-, Marketing-,
Trackingmöglichkeiten
App-Entwickler muss sich u.a. überlegen, welchen Zweck hat die App, welche Daten erhebe ich vom Nutzer der App, brauche ich alle Daten in personenbezogener Form, um meinen Zweck zu
erreichen, oder geht es zumindest teilweise auch ohne Personenbezug, habe ich Nutzer über Zweck und Umfang der Datenverarbeitung „transparent“ in-
formiert (und halte ich mich auch daran – auch an evtl. Löschungsversprechen) und biete ich eine sichere Verbindung an …
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
21
Anforderungen an die Datenverarbeitung
Rechenschaftspflicht (accountability)
Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen
a) … auf rechtmäßige Weise … („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
b) … für festgelegte, eindeutige und legitime Zwecke … („Zweckbindung“) c) … auf das notwendige Maß beschränkt … („Datenminimierung“) d) … sachlich richtig … („Richtigkeit“) e) … erforderlich … („Speicherbegrenzung“) [und mit] f) … angemessener Sicherheit … („Integrität und Vertraulichkeit“) [verarbeitet werden.]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
22
Anforderungen an die Datenverarbeitung
Verarbeitung personenbezogener Daten muss auf das notwendige Maß beschränkt sein („Datenminimierung“)
… d.h. Löschen von Daten
muss möglich und von Anfang an geplant sein (Privacy by Design), vollzogen werden und nachweisbar sein
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
23
Anforderungen an die Datenverarbeitung
Auftrags(daten)verarbeitung, Art 28 Anforderungen: • Vertrag über weisungsgebundene Tätigkeit (schriftl./elektronisch, Abs. 9) • Vertragsinhalte in vielen Teilen ähnlich wie bei § 11 BDSG-alt, in einigen
Details aber Unterschiede, z.B. jetzt detailliertere Regelung zur Einschaltung weiterer (Unter-)Auftragsverarbeiter (Art. 28 Abs. 2) o zum vorgeschriebenen Inhalt siehe Art. 28 Abs. 3 und 4
• Unternehmen müssen bestehende ADV-Verträge prüfen und soweit nötig an die Anforderungen der DS-GVO anpassen.
• „Dauerbrenner“ Wartung von IT-Systemen: zwar in der DS-GVO keine vergleichbare Regelung wie § 11 Abs. 5 BDSG-alt. Dennoch liegt Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen ist.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
24
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
25
Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch Recht auf „nicht automatisierte Entscheidung“ Recht auf Widerruf einer Einwilligung
Sicherstellung der Betroffenenrechte
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
26
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
27
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Verpflichtung zur Erstellung eines VVT besteht für • jeden Verantwortlichen / Auftragsverarbeiter mit mindestens 250
Mitarbeitern • auch Verantwortliche / Auftragsverarbeiter mit weniger als 250
Mitarbeitern, sofern Verarbeitungen durchgeführt werden, die o ein Risiko für Rechte & Freiheiten Betroffener bergen (z.B.
Videoüberwachung, Scoring, Betrugsprävention) o oder nicht nur gelegentlich erfolgen (z.B. regelmäßige
Verarbeitung von Kunden- und/oder Beschäftigtendaten) o oder besondere Datenkategorien gem. Art. 9 Abs. 1 oder
Daten über strafrechtliche Verurteilungen / Straftaten betreffen
Fazit: die meisten Unternehmen müssen ein VVT erstellen, da meistens regelmäßig Kunden- und/oder Beschäftigtendaten verarbeitet werden.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
28
Verzeichnis der Verarbeitungstätigkeiten
Inhalt und Umfang des VVT bei Verantwortlichen: • Name und Kontaktdaten des Verantwortlichen und des
Datenschutzbeauftragten • Verarbeitungszwecke • Kategorien der Daten und Kategorien Betroffener • Kategorien von Empfängern • bei Übermittlung in Drittländer: alle Empfänger (nicht
nur Kategorien) sowie die konkrete Angabe der Drittländer
• grundsätzlich Speicherdauer (Löschfristen) • allg. Beschreibung der technischen und
organisatorischen Maßnahmen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
29
Verzeichnis der Verarbeitungstätigkeiten
Inhalt und Umfang des VVT bei Auftragsverarbeitern: • Name und Kontaktdaten des Auftragsverarbeiters und
des Datenschutzbeauftragten • Kategorie von Verarbeitungen (getrennt nach
Auftraggebern) • bei Übermittlung in Drittländer: alle Empfänger (nicht
nur Kategorien) sowie die konkrete Angabe der Drittländer
• allg. Beschreibung der technischen und organisatorischen Maßnahmen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
30
Verzeichnis der Verarbeitungstätigkeiten
• „Einzelverzeichnisse“ erforderlich, getrennt nach Anwendungen, z.B. o Personalaktenführung o Lohnabrechnung o Arbeitszeiterfassung o Videoüberwachung o Reisemanagement o Kundenstammdatenverwaltung
• Darin jeweils Trennung nach Betroffenen-Kategorien (Kunden, Beschäftigte,…) und Daten-Kategorien o z.B. Mitarbeiter: Stammdaten (Adressdaten,
Bankverbindung,…), Arbeitszeugnisse (Adressdaten, Beurteilungsdaten,….)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
31
Verzeichnis der Verarbeitungstätigkeiten
• Erste Hinweise zum VVT (getrennt für Verantwortliche / Auftragsverarbeiter) sind veröffentlicht, z. B. unter http://www.lfd.niedersachsen.de/download/120050 .
• Diese sollen demnächst insbesondere zu den technischen und organisatorischen Maßnahmen noch spezifiziert werden.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
32
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
33
Umgang mit Datenschutzverletzungen
Art. 33 Abs. 1 DS-GVO
Im Falle einer
Verletzung des Schutzes
personenbezogener Daten
meldet der Verantwortliche ….
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
34
Umgang mit Datenschutzverletzungen
Hacking
Verlust
Diebstahl
Fehlversand
Softwarefehler
Schadcode
Fehlentsorgung
Vernichtung Verlust
Sonstiges?
Beispiele für Meldepflicht
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
35
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
36
Datenschutz-Folgenabschätzung
Artikel 35: Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
37
Datenschutz-Folgenabschätzung
Artikel 35: Datenschutz-Folgenabschätzung … (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte
natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
38
Datenschutz-Folgenabschätzung
• Siehe Leitlinien der Artikel-29-Gruppe (Guidelines on Data Protection Impact Assessment = Working Paper / WP248, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083)
• Allgemeines: Kurzpapier der Datenschutzkonferenz • siehe auch: Kurzpapier Nr. 18 des BayLDA,
https://www.lda.bayern.de/de/datenschutz_eu.html
• Mindestinhalt DSFA: Art. 35 Abs. 7 • Aufsichtsbehörden werden eine Liste von Vorgängen
veröffentlichen, für die DSFA durchzuführen ist (Art. 35 Abs. 4)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
39
Wesentliche Herausforderungen durch die DS-GVO
Anforderungen an die Datenverarbeitung Sicherstellung Betroffenenrechte Verzeichnis der Verarbeitungstätigkeiten Umgang mit Datenschutzverletzungen Datenschutz-Folgenabschätzung Sanktionen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
40
§ 43 BDSG
bis 50.000 EUR („formelle Verstöße“) bis 300.000 EUR („materielle Verstöße“)
kein Bußgeld bei Verstößen gegen Datensicherheit
(§ 9 BDSG)
Sanktionen heute
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
41
Art. 83 DS-GVO
bis 10.000.000 EUR oder 2 % Weltjahresumsatz („formelle Verstöße“)
bis 20.000.000 EUR oder 4 % Weltjahresumsatz („materielle Verstöße“)
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen … in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Art. 83 Abs. 1 DS-GVO)
Sanktionen morgen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
42
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
43
Was kann / soll man heute schon tun?
Bestandsaufnahme: • derzeitige Prozesse, mit denen personenbezogene Daten
verarbeitet werden • Rechtsgrundlagen der Verarbeitungen nach DS-GVO prüfen • Datenschutzorganisation • Dienstleistungsbeziehungen, z.B. Verträge zur
Auftragsdatenverarbeitung • Dokumentation (Verfahrensverzeichnisse, Vorabkontrollen, ggf.
Datenschutzkonzepte, IT-Sicherheitskonzepte) • etwaige Betriebsvereinbarungen, sofern darin Regelungen zum
Umgang mit Beschäftigtendaten geregelt
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
44
Was kann / soll man heute schon tun?
Handlungsbedarf eruieren, insbesondere in den Bereichen (1) • Rechtsgrundlagen klären, z.B. entsprechen Einwilligungen den
Anforderungen der DSGVO? o ggf. neue Einwilligungen einholen
• Informationspflichten und Rechte Betroffener • Dienstleistungsbeziehungen, insb. bestehende ADV-Verträge: an
Anforderungen nach Art. 28, 29 DS-GVO anpassen • Dokumentationspflichten:
o Verarbeitungsverzeichnis (Art. 30) o Dokumentation von Datenschutzverletzungen (Art. 33 Abs. 5) o Dokumentation von Weisungen bei ADV (Art. 28 Abs. 3 lit. a)
• Datenschutz-Folgenabschätzung mit Dokumentation (Art. 35)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
45
Was kann / soll man heute schon tun?
Handlungsbedarf eruieren, insbesondere in den Bereichen (2): • Meldepflichten
o Meldung Kontaktdaten des DSB an die Aufsichtsbehörde (Art. 37 Abs. 7) Online-Formular derzeit bei den Aufsichtsbehörden „in Arbeit“
o Meldung von Datenschutzverletzungen (Art. 33 Abs. 1) Konzept zum Umgang mit Datenschutzverletzungen erarbeiten Online-Formular zur Meldung an die Aufsichtsbehörde „in Arbeit“
• Datensicherheit • Muss ein Datenschutzbeauftragter bestellt werden? • ggf. Zertifizierung
• Anforderungen an Zertifizierungsverfahren werden allerdings erst nach und nach von den Aufsichtsbehörden definiert werden
• ggf. Datenschutz-Leitlinie für das Unternehmen erarbeiten
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
46
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
47
Was machen wir Aufsichtsbehörden heute und morgen
Heute Morgen
Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden)
Koordiniertes Zusammen-wirken findet (fast) nicht statt.
Unternehmen können erfolgreich „Forum-Shopping“ betreiben
Sanktionen sind nicht wirklich wirksam
Einheitliches Recht in Europa - mit Leitlinien als Vollzugshilfe
Verpflichtung zur Kohärenz incl. verbindlicher Mehr-heitsentscheidung
Koordinierte Prüfungen verbessern Wahrnehmung
Zertifizierung und Code of Conduct schaffen Rechtssicherheit
Sanktionen sollen erfolgen und werden weh tun
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
48
Datenschutzaufsicht One-Stop-Shop und Megabuße Datenschutz heute und morgen 1
Datenschutz-Grundverordnung – was kommt auf uns zu? 2
3
Was machen wir Aufsichtsbehörden heute und morgen? 4
Agenda
Unsere Empfehlung 5
Was können/sollen/müssen Unternehmen heute schon unternehmen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
49
Datenschutz ist Chefsache (sowohl beim Vorbeugen und
Entscheiden als auch bei Sanktionen)
Datenschutz geht alle an (und geht nur, wenn alle
mitmachen)
Datenschutz gilt von Anfang an („privacy by design“ –
beziehen Sie den Datenschutz immer mit ein)
Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeich-
nis nach Art. 30 DS-GVO)
Unsere Empfehlung
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
50
Was kann / soll man heute schon tun?
Zusammenfassend
Relevante Fragen für KMU‘s, zu denen Sie gut aufgestellt sein sollten, sind z. B.:
Haben Sie schon einen Datenschutzbeauftragten im Hinblick auf Art. 37 DS-GVO
sowie § 38 BDSG-neu benannt oder eine Benennung vorbereitet?
Ist das nach Art. 30 DS-GVO notwendige Verzeichnis der Verarbeitungstätigkeiten
schon angelegt oder die Anlegung ausreichend vorbereitet?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
51
Was kann / soll man heute schon tun? Umsetzungsarbeiten für die Datenschutz-Grundverordnung
Sind die datenschutzrechtlichen Verantwortlichkeiten geregelt?
Ist im Sinne von Art. 32 Abs. 4 DS-GVO sichergestellt, dass die Beschäftigten
personenbezogene nur nach Anweisung verarbeiten? Verpflichtung durchgeführt?
Sind die Datenschutz- und Datensicherheitsrisiken identifiziert sowie die dazu
notwendigen Maßnahmen installiert?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
52
Was kann / soll man heute schon tun?
Haben Sie die Texte von Datenschutzinformationen nach Art. 13 DS-GVO und
Einwilligungserklärungen nach Art. 7 DS-GVO an die neuen rechtlichen
Anforderungen angepasst?
Entsprechen die Verträge mit Auftragsverarbeitern (IT-Dienstleister, Cloud-
Anbieter, Support- und Archivierungsdiensten, Datenträger-Entsorgern usw.)
inhaltlich den Anforderungen von Art. 28 Abs. 3 DS-GVO?
Haben Sie geprüft, ob wegen Verarbeitungen, die mit einem hohen Risiko für die
Rechte und Freiheiten der betroffenen Personen verbunden sind, eine
Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erforderlich ist, und wenn
ja, die notwendigen Schritte eingeleitet?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
53
Was kann / soll man heute schon tun?
Sind Sie auf eine fristgerechte Meldung von Datenpannen („Verletzungen des
Schutzes personenbezogener Daten“) an die Aufsichtsbehörde innerhalb von 72
Stunden ausreichend vorbereitet?
Es gibt viel zu tun bis zum 25. Mai 2018, packen Sie es an!
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
54
Vielen Dank für Ihre Aufmerksamkeit
Manfred Ilgenfritz, Bayer. Landesamt für Datenschutzaufsicht
www.lda.bayern.de