„Vertrauen ist gut – ist Kontrolle besser?“ · ist Kontrolle besser?“ ... bedeutet für die...

Bayerisches Landesamt für

Datenschutzaufsicht BayLDA

1

„Vertrauen ist gut –

ist Kontrolle besser?“

T h o m a s K r a n i g

B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t

I H K W ü r z b u r g S c h w e i n f u r t

S c h w e i n f u r t , d e n 2 5 . S e p t e m b e r 2 0 1 8



2

Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1

… verlangt konkret 2

3

Agenda

… bedeutet für die Datenschutzaufsicht

4 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?



3



3

Agenda





4

Was haben wir nun?

d.h. seit nunmehr

124 Tagen



5

Die DS-GVO …

DS-GVO ist Text mit vielen Unbekannten

Was will die DS-GVO uns sagen?

Was will das BDSG uns sagen? (Darf es uns z.B. bei Videoüberwachung überhaupt etwas sagen?)

Was wollen die Landesdatenschutzgesetze uns sagen?

Warum brauchen wir ein „Omnibus-“gesetz mit 140 Plätzen?



6



3

Agenda





7

Die DS-GVO … verlangt konkret

„Neue“ Prinzipien im Datenschutzrecht

Verantwortlichkeit (Art. 4 Nr. 7 DS-GVO)

"Verantwortlicher" [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;



8

Grundsätze der Verarbeitung pbD Art. 5 Abs. 1

Verantwortlicher muss rechtmäßigen Datenumgang nachweisen

(Rechenschaftspflicht, Art. 5 Abs. 2)

Verantwortung des Verantwortlichen Art. 24

DV by design & by default

Art. 25

Sicherheit der Verarb.

Art. 32

Auftrags-verarbeiter

Art. 28

Verzeichnis Art. 30

DS-Folgen-abschätzung

Art. 35, 36

Verletzung Art. 33, 34

Datenschutzbeauftragter Art. 37 - 39

1

2

Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO

Beweislastumkehr

neu




9


Rechte der betroffenen Person Art. 12 - 23

Transparente Information, Kommunikation und Modalitäten

Art. 12

Erhebung Art. 13, 14

Verletzung Art. 34

Auskunft Art. 15

Berichtigung Löschung

Einschränkung Art. 16 - 19

Datenüber-tragbarkeit

Art. 20

Widerspruch Art. 21

Automat. Entscheid.

Art. 22

Information Kommunikation

3

nicht neu, aber …




10


Planung

Durchführung

Bewertung

Verbesserung


PDCA-Zyklus

Datenverarbeitung

Sicherstellung der Betroffenenrechte

Datenschutz-verletzungen



11


Planung

Durchführung

Bewertung

Verbesserung


PDCA-Zyklus

Selbstkontrolle

Datenverarbeitung

Sicherstellung der Betroffenenrechte

Datenschutz-verletzungen



12


Grundsätze der Verarbeitung pbD Art. 5 Abs. 1

Verantwortlicher muss rechtmäßigen Datenumgang nachweisen

(Rechenschaftspflicht, Art. 5 Abs. 2)

Verantwortung des Verantwortlichen Art. 24

DV by design & by default

Art. 25

Sicherheit der Verarb.

Art. 32

Auftrags-verarbeiter

Art. 28

Verzeichnis Art. 30

DS-Folgen-abschätzung

Art. 35, 36

Verletzung Art. 33, 34

Datenschutzbeauftragter Art. 37 - 39

Rechte der betroffenen Person Art. 12 - 23

Transparente Information, Kommunikation und Modalitäten

Art. 12

Erhebung Art. 13, 14

Verletzung Art. 34

Auskunft Art. 15

Berichtigung Löschung

Einschränkung Art. 16 - 19

Datenüber-tragbarkeit

Art. 20

Widerspruch Art. 21

Automat. Entscheid.

Art. 22

Information Kommunikation

1

2

3



13

Verantwortlichkeit - Compliance

Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DS-GVO)

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").

• Rechtmäßigkeit

• Zweckbindung

• Datenminimierung

Beweis

Aufsicht

• Zweckbindung

• Rechtmäßigkeit

• Datenminimierung

Nachweis Verantwortlicher

Beweislastumkehr




14



3

Agenda





15

Die DS-GVO … bedeutet für die Aufsichtsbehörde

Art. 57 DS-GVO Aufgaben

Verordnung überwachen und durchsetzen

Öffentlichkeit sensibilisieren

Verantwortliche und Auftragsverarbeiter sensibilisieren

betroffene Personen informieren

mit Beschwerden befassen

Untersuchungen durchführen

… und noch viele andere Aufgaben



16

24 Planstellen

Der Freistaat Bayern hat

12,7 Mio. Einwohner

Der Freistaat Bayern hat

ca. 700.000 Unternehmen




17

Bundesbeauftragte für Daten- schutz und Informationsfreiheit

LfD BW

LfD BY

Berliner BDI

LDA BDB

LfDI Bremen

BfDI HH

BD Hessen

LfD Meck-Pom.

LfD NDS

LfDI NRW

LfD Rh-Pf

LfD Saarland

DB Sachsen

LfD Sa-Anh

ULD SH

LfD THÜ

BayLDA

Datenschutzaufsichtsbehörden in Deutschland

Wie kommen wir im Vollzug

unter ein Dach

?




18

Europäischer Datenschutzausschuss1)

18

5

10

19 17 20

8

16 15

21

22

27 28/UK

1 2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS

EU-KOMM

1) … der unabhängigen Datenschutzaufsichtsbehörden




19


Wie stellen wir sicher, dass andere die DS-GVO so verstehen wie wir?

EDSA: Guidelines

DSK: Kurzpapiere

BayLDA: Kurzpapiere

BayLDA: FAQ

Problem der Erstellung – nicht immer parxistauglich

„anstrengend“

leicht und schnell – aber rechtssicher?

… wir müssen runterbrechen



20


Untersuchungs-befugnis

Genehmigungs-

befugnis

Abhilfe-

befugnis

Befugnisse nach Art. 58 DS-GVO

Infos anfordern Prüfungen

durchführen Zertifizierung

überprüfen Zugang erhalten

Verwarnen Anweisen Verbieten Löschung u.a.

anordnen Zertifizierung

widerrufen

Geldbuße verhängen

… auch jede

Menge



21



3

Agenda





22

Vertrauen ist gut - ist Kontrolle besser?

Vertrauen ist gut

und in vielen wirtschaftlichen Bereichen notwendig (Onlineshopping, Geldanlage, Hausbau, …),

aber als alleiniges Kriterium zu wenig,

und kann nur dann Erfolg haben, wenn (durch Kontrollen) diejenigen, die das Vertrauen missbrauchen, ermittelt und sanktioniert werden.



23

… wer kümmert sich darum, dass der Datenschutz eingehalten wird

und wer kontrolliert?




24

… wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer

kontrolliert?

intern




25

Chefin oder Chef: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel …


Datenschutzbeauftragte/r

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) … b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich …

interne Kontrolle



26

Mitteilung Datenschutzbeauftragte (1)

Mitteilungsportal ist mit Verzögerung online gegangen.

Stand 18.09.2018 sind 14.905 Datenschutzbeauftragte üb er das Meldeportal gemeldet, davon interne DSB: 5.593 (38 %) davon externe DSB: 9.312 (62 %)

Noch unbestimmte Zahl offener alter Meldungen und „Portalverweigerern“




27

Mitteilung Datenschutzbeauftragte (2)

… und nicht der DSB selbst

… Nachweis und Vollmacht

Art. 37 Abs. 7 DS-GVO: Der Verantwortliche oder der Auftragsverarbeiter ver-öffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der

Aufsichtsbehörde mit.




28

… wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer

kontrolliert?

extern




29

Vertrauen ist gut- ist Kontrolle besser?

Anforderungen zur Harmo-nisierung des Datenschutz-rechts in der EU One-Stop-Shop (eine

Aufsichtsbehörde ist für einen Verantwortlichen zuständig – d.h. Irland für Facebook, Google, Microsoft u.a.; Luxemburg für Amazon, Paypal u.a.)

Kohärenzverfahren (alle Aufsichtsbehörden sollen mitwirken, damit Vollzug einheitlich wird.)



30

Europäischer Datenschutzausschuss1)

18

5

10

19 17 20

8

16 15

21

22

27 28/UK

1 2 3 4

14

6

7

9

13 12 11

23

24

25

26 EDPS

EU-KOMM

1) … der unabhängigen Datenschutzaufsichtsbehörden




31

Sitz unserer Behörde ist

Ansbach.




32

Aktuelle Situation des BayLDA




33

Welche Chancen hat BayLDA momentan?

BayLDA Statistik

2013 2014 2015 2016 2017 2018

(01.01-17.09) 2018 2018

Abweichung 2017 zu 2018

Trend

Summe davon

bis 25.Mai davon

seit 25.Mai

Beratungen Vereine,

Unternehmen 1733 1821 1850 2003 2974 6629 3834 2795 + 3655 1)

Beratungen Privatpersonen

799 991 977 1065 1104 772 399 373 -332

Beschwerden 925 953 1103 1424 1707 2229 731 1498 + 522

Bußgeld-verfahren

53 64 94 79 78 82 49 33 + 4

„Datenpannen“ 32 21 28 85 150 1231 92 1139 + 1081

Was machen wir ? – oder was macht man mit uns?

1) zzgl. Hotline



34

Was machen wir ?

Beratungen

Diskussion der Aufsichtsbehörden, ob Beratung (der Verantwortlichen und Auftragsverarbeiter) noch eine Pflichtaufgabe ist (Tendenz: nein)

Verschärfte Anforderung des Nachweises unserer Zuständigkeit: „Ich habe einen Mandanten mit Sitz in Bayern, darf aber den Namen nicht nennen und wüsste gerne ...“ sollte nicht mehr funktionieren

Schwerpunkt der Beratung sollte bei Verbänden, ERFA-Kreisen u.a. liegen.



35

Was machen wir ?

Meldung Datenschutzverletzungen (1)

„Datenpannen“ nach Art. 33 DS-GVO in 2018: 1.139 vom 25.05. bis 17.09 = 115 Tage, d.h. 9,9 Meldungen /Tag

Prognose Art. 33 DS-GVO in Rest 2018: 1.039

vom 17.09. bis 31.12 = 105 Tage mit 9,9 Meldungen /Tag:

Befürchtetes Ergebnis: 1.139 +1.039 = 2.178



36

Was machen wir ?

Meldung Datenschutzverletzungen (2)

Kategorisierung der Meldungen nach Art. 33 DS-GVO

Cyberangriff: Ransomware: Malware: Phishing: Softwarefehler: Hacking: 10 %

Diebstahl: Verlust: Fehlversendung: 70 % Fehlentsorgung: Fehlerhafte Löschung: Sonstiges:



37

Wir müssen Prioritäten setzen:

Bearbeitung von Beschwerden Anfragen aus dem europäischen Ausland Genehmigung von Zertifizierungen Genehmigung von BCR Kontrollen (anlasslose) Bußgeldverfahren

und nicht mehr (im bisherigen Umfang) Beratungen




38


Unser Plan für Prüfungen ist allgemein:

Wir machen unsere Prüfungen transparent, d.h. wir stellen alle Prüffragebogen auf unsere Homepage und dokumentieren, was wir prüfen.

Wir prüfen zunächst nur stichprobenartig, um nicht unsere eigenen Kapazitäten lahm zu legen.

Wenn wir Verstöße feststellen, werden wir hoheitlich tätig (Anordnung und/oder Sanktion), um den Einzelfall zu lösen und im Allgemeinen Rechtssicherheit zu schaffen.



39

Unser Plan für Prüfungen ist konkret:

09.2018: Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen

09.2019: Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen)

10.2018: Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen)

10.2018: Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten

11.2018: Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen)

12.2018: Nikolausprüfung




40

Unser Plan für Prüfungen ist konkret:

09.2018: Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen

09.2019: Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen)

10.2018: Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen)

10.2018: Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten

11.2018: Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen)

12.2018: Nikolausprüfung

Vertrauen ist gut - ist Kontrolle besser? Dürfen St. Nikolaus und Knecht Rupprecht die Informationen

verarbeiten, mit denen Sie Jahr für Jahr Kinder in „Angst und

Schrecken“ versetzen?

Sind Art. 13 und 14 DS-GVO eingehalten?



41

Mein Fazit: Vertrauen ist gut, aber ohne

Kontrolle droht Vertrauen (jedenfalls im Datenschutz)

baden zu gehen.



42

Vielen Dank für Ihre Aufmerksamkeit

Thomas Kranig, Bayer. Landesamt für Datenschutzaufsicht

www.lda.bayern.de

http://www.lda.bayern.de/

„Vertrauen ist gut – ist Kontrolle besser?“ · ist Kontrolle besser?“ ... bedeutet für die...

Documents

Transcript of „Vertrauen ist gut – ist Kontrolle besser?“ · ist Kontrolle besser?“ ... bedeutet für die...