Impulsvortrag zurDatenschutz-Grundverordnung

Datenschutz-Grundverordnung (DSGVO)

Die Realität sieht meist anders aus!

Amazon, Ebay und Facebook haben zum Beispiel eine Unmenge an Datenüber ihre Kunden / Nutzer gesammelt und nutzen diese auch zu eigenenZwecken.

Datenschutz-Grundverordnung (DSGVO)

Stichtag war der 25.05.2018

Die bisherigen, nationalen Gesetze werden modifiziert.

− Bundesdatenschutzgesetz (BDSG) -> wird zum 25.05.2018 durch das BDSG neu ersetzt

− Telemediengesetz (TMG) -> fällt nicht weg, wird aber durch Normen der DSGVO verdrängt

− Aber: ca. 50 Öffnungsklauseln in der DSGVO für nationale Regelungen-> Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)

Datenschutz-Grundverordnung (DSGVO)

… und es wird teuer!

Je nach Verstoß können Bußgelder verhängt werden

− bis zu 10 Mio. EUR oder 2% des gesamten, weltweit erzieltenJahresumsatzes bzw.

− bis zu 20 Mio. EUR oder bis zu 4% des gesamten, weltweit erzieltenJahresumsatzes,

je nachdem, welcher Betrag höher ist.

Datenschutz-Grundverordnung (DSGVO)

Grundsätze für die Verarbeitung personenbezogener Daten, Art. 5 DSGVO

− Rechtmäßigkeit− Treu und Glauben− Transparenz− Zweckbindung− Datensparsamkeit− Richtigkeit− Begrenzte Speicherung− Integrität und Vertraulichkeit

Datenschutz-Grundverordnung (DSGVO)

Die Datenverarbeitung ist grundsätzlich erlaubt, wenn eine dieserVoraussetzungen erfüllt ist (Art. 6 DSGVO)

− Es liegt eine Einwilligung der betroffenen Person vor− Es liegt ein berechtigtes Interesse an der Datenverarbeitung vor und

schutzwürdige Interessen des Betroffenen (insbesondere von Kindern)stehen dem nicht entgegen

− Die Datenverarbeitung ist erforderlich− zur Erfüllung eines Vertrags− zur vorvertragliche Maßnahmen auf eine Anfrage hin− zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen− zum Schutz lebenswichtiger Interessen der betroffenen Person oder

einer anderen natürlichen Person− im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt

Datenschutz-Grundverordnung (DSGVO)

Die neue Einwilligung nach Art. 7,8 DSGVO

− Der Verantwortliche muss die Einwilligung nachweisen können

− Ist die Einwilligung Teil weiterer schriftlicher Erklärungen, muss klarunterschieden werden

− Hinweis auf das Widerrufsrecht des Betroffenen bei der Einwilligung

− Widerruf muss so einfach wie die Einwilligung sein

− Kopplungsverbot

− Opt-In: Nicht vorab angeklickte Checkboxen mit Douple-Opt-In

− Fortgeltung von Einwilligungen, vgl. ErwGr 171

Datenschutz-Grundverordnung (DSGVO)

Das neue berechtigte Interesse nach Art. 6 Abs. 1 f DSGVO

− Berechtigtes Interesse an der Datenverarbeitung und schutzwürdigeInteressen des Betroffenen (insbesondere von Kindern) stehen dem nichtentgegen

− Dass es sich bei den Werbeinteressen der Onlinebranche um „berechtigteInteressen“ im Sinne der DSGVO handeln kann, ergibt sich aus demErwägungsgrund 47. Dieser stellt ausdrücklich klar, dass die Durchführungvon Direktmarketing als berechtigtes Interesse betrachtet werden kann

Datenschutz-Grundverordnung (DSGVO)

Das sind die neuen Informationspflichten für UnternehmenArt. 13, 14 DSGVO – 1/2

− Namen und Kontaktdaten der verantwortlichen Stelle und ggf. desVertreters

− ggf. Kontaktdaten des Datenschutzbeauftragten− Zweck und Rechtsgrundlage der Datenverarbeitung; sollen z.B.

„berechtigte Interessen“ die Rechtsgrundlage sein, ist darzulegen, worinsie bestehen

− ggf. die Empfänger oder Kategorien von Empfängern derpersonenbezogenen Daten

− ggf. Informationen zum Datentransfer in Drittstaaten einschließlich derRechtsgrundlage

− Angaben zur Speicherdauer personenbezogener Daten bzw. Kriterien,nach denen sich die Speicherdauer bestimmt

Datenschutz-Grundverordnung (DSGVO)

Das sind die neuen Informationspflichten für UnternehmenArt. 13, 14 DSGVO – 2/2

− Information über das Bestehen des Auskunfts-, Berichtigungs-,Löschungs-, Einschränkungs-, Widerspruchs- oder ggf. Widerrufsrechtsowie das Recht auf Übertragbarkeit der Daten und das Recht aufBeschwerde bei einer Aufsichtsbehörde

− Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellungpersonenbezogener Daten verpflichtet ist

− ggf. Hinweis und Information zum Profiling oder eine andere Art vonautomatisierter Einzelfallentscheidung

− ggf. Herkunft der Daten: Werden die Daten nicht bei dem Betroffenenerhoben, sind die Quellen anzugeben

Datenschutz-Grundverordnung (DSGVO)

Das sind die neuen Rechte der BetroffenenArt. 15 ff. DSGVO

− Erweitertes Auskunftsrecht mit Recht auf Kopie− Berichtigung− Löschung− Recht auf Vergessenwerden− Recht auf Datenübertragbarkeit− Widerspruchsrecht− Recht auf Einschränkung der Verarbeitung

Datenschutz-Grundverordnung (DSGVO)

Die „Auftragsdatenverarbeitung“ nach dem jetzigen BDSG wird zurAuftragsverarbeitung

− Beispiele:

− Lohnbuchhaltung in der Cloud− Nutzen einer CRM-Anwendung in der Cloud− Versendung von Newslettern und Mailings über einen Cloud-Anbieter− Nutzen eines externen Call-Centers für den Kundenservice− Nutzen eines Anrufdienstes für eingehende Anrufe− Durchführung von Gewinnspielen über eine externe Agentur− Managed Hosting von Websiten/Onlineshops

To do 1Auflistung aller Prozesse im Unternehmen, in denen personen-bezogene Daten erhoben und verarbeitet werden

To do 1 – Auflistung aller Prozesse

Dokumentationspflichten:Was muss ins Verzeichnis?

− Zweck der Datenverarbeitung− Beschreibung der Kategorien der betroffenen Personen und der

personenbezogenen Daten− Kategorien von Empfängern, ggü. denen die Daten offengelegt wurden

und noch werden (auch im Ausland)− Fristen für die Löschung der Daten− Ggf. Datenübermittlung in Drittstaaten− Beschreibung der TOMs, die die Datensicherheit gewährleisten− …

To do 2Anpassung sämtlicher Rechtstexte wie Einwilligungstexte, Datenschutzinfor-mationen, ggf. Allgemeine Geschäfts-bedingungen oder sonstige Informationstexte (online, offline) in Bezug auf die Informationspflichten

To do 2 – Informationspflichten

Änderung der Rechtstexte

− Verantwortlicher muss informieren über (siehe oben) …

− Zweck und Rechtsgrundlage der Datenverarbeitung

− ggf. die Empfänger oder Kategorien von Empfängern derpersonenbezogenen Daten

− Datentransfer in Drittstaaten einschließlich der Rechtsgrundlage

− Speicherdauer

− Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-,Widerspruchs- oder ggf. Widerrufsrecht sowie das Recht aufÜbertragbarkeit der Daten und das Recht auf Beschwerde bei einerAufsichtsbehörde.

− usw.

To do 2 – Informationspflichten

Hinweistexte bei Kontaktformularen

Datenschutz-Hinweis am Ende des Kontaktformulars vor dem ‚Senden‘-Button:„Ihre Angaben werden selbstverständlich vertraulich behandelt. Wir nutzenIhre persönlichen Daten ausschließlich zum Zweck der Bearbeitung IhrerAnfrage und geben Ihre persönlichen Daten nicht an Dritte weiter. DieDatenübertragung erfolgt verschlüsselt.“

Hinweis in der Datenschutz-Erklärung der Website:

Kontaktaufnahme

Bei der Kontaktaufnahme mit dem Anbieter (zum Beispiel perKontaktformular oder E-Mail) werden die Angaben des Nutzers zwecksBearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen,gespeichert.

To do 3Überprüfung aller Erlaubnistatbestände und Einwilligungsprozesse

To do 3 – Erlaubnistatbestände und Einwilligungen

Sie erinnern sich? Die Datenverarbeitung ist nur erlaubt,

− wenn die Einwilligung des Betroffenen vorliegt

− oder ein berechtigtes Interesse an der Datenverarbeitung besteht undschutzwürdige Interessen des Betroffenen dem nicht entgegen stehen

− oder die Datenverarbeitung erforderlich ist

− zur Erfüllung eines Vertrags− für vorvertragliche Maßnahmen auf eine Anfrage hin− zur Erfüllung einer rechtlichen Verpflichtung− …

To do 3 – Erlaubnistatbestände und Einwilligungen

Das ist wichtig zur Einwilligung:

− Nachweisbar – also mit Protokollierung und Double Opt-In!

− Betroffener muss bei Einwilligung (also im Onlineformular) darüberinformiert werden,

− dass er ein Widerrufsrecht hat− zu welchem Zweck die Datenverarbeitung erfolgt− wer der Verantwortliche ist

− nicht vorab angeklickte Checkbox− Untätigkeit/Schweigen reicht nicht aus

To do 4Überprüfung und Anpassung allerAuftragsverarbeitungsverträge

To do 4 – Auftragsdatenverarbeitung

… wird zur „Auftragsverarbeitung“

− Verträge sind mit neuen Pflichten und TOMs zu aktualisieren, u.a.

− Zusammenarbeit mit der Datenschutzaufsicht− Unterstützung des Auftraggebers

− bei TOMs zur Datensicherheit− bei der Meldung von Datenpannen− bei der Durchführung von Folgenabschätzungen

− …

To do 5Richten Sie Ihre Prozesse auf dieneuen Betroffenenrechte ein

To do 5 – Betroffenenrechte

Können Ihre jetzigen Prozesse das?

− Auskunftsrecht dazu, ob und welche personenbezogene Daten verarbeitetwerden

− Berichtigungsrecht

− Löschungsrecht

− Recht auf Vergessenwerden

− Recht auf Datenübertragbarkeit

− Widerspruchsrecht

− …

To do 5 – Betroffenenrechte

Können Ihre Mitarbeiter „Anträge“?

− Eingehende Anträge von Betroffenen müssen überhaupt als „Anträge“erkannt und dann innerhalb der Frist bearbeitet werden.

To do 5 – Betroffenenrechte

Können Sie eigentlich löschen?

− In welchen Systemen befinden sich die Datensätze zu einem Betroffenen?Gibt es mehrere? Können alle gleichzeitig gelöscht werden?

− Gibt es Daten, die nicht gelöscht werden dürfen? – z.B. vertragliche Datenmit gesetzlichen Aufbewahrungsfristen?

− Sind alle Daten in allen Systemen aktuell, so dass Sie den Betroffenenüberhaupt noch wiederfinden?

Kontakt:

Herr RechtsanwaltMarkus StockRathsberger Str. 691054 Erlangen 09131/78 80 0 09131/78 80 80m.stock@schorr-partner.de www.schorr-partner.de

Vielen Dank für Ihre Aufmerksamkeit!