„Vertrauen ist gut – ist Kontrolle besser?“ · ist Kontrolle besser?“ ... bedeutet für die...
Transcript of „Vertrauen ist gut – ist Kontrolle besser?“ · ist Kontrolle besser?“ ... bedeutet für die...
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
1
„Vertrauen ist gut –
ist Kontrolle besser?“
T h o m a s K r a n i g
B a y e r . L a n d e s a m t f ü r D a t e n s c h u t z a u f s i c h t
I H K W ü r z b u r g S c h w e i n f u r t
S c h w e i n f u r t , d e n 2 5 . S e p t e m b e r 2 0 1 8
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
2
Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1
… verlangt konkret 2
3
Agenda
… bedeutet für die Datenschutzaufsicht
4 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
3
Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1
… verlangt konkret 2
3
Agenda
… bedeutet für die Datenschutzaufsicht
4 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
4
Was haben wir nun?
d.h. seit nunmehr
124 Tagen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
5
Die DS-GVO …
DS-GVO ist Text mit vielen Unbekannten
Was will die DS-GVO uns sagen?
Was will das BDSG uns sagen? (Darf es uns z.B. bei Videoüberwachung überhaupt etwas sagen?)
Was wollen die Landesdatenschutzgesetze uns sagen?
Warum brauchen wir ein „Omnibus-“gesetz mit 140 Plätzen?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
6
Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1
… verlangt konkret 2
3
Agenda
… bedeutet für die Datenschutzaufsicht
4 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
7
Die DS-GVO … verlangt konkret
„Neue“ Prinzipien im Datenschutzrecht
Verantwortlichkeit (Art. 4 Nr. 7 DS-GVO)
"Verantwortlicher" [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
8
Grundsätze der Verarbeitung pbD Art. 5 Abs. 1
Verantwortlicher muss rechtmäßigen Datenumgang nachweisen
(Rechenschaftspflicht, Art. 5 Abs. 2)
Verantwortung des Verantwortlichen Art. 24
DV by design & by default
Art. 25
Sicherheit der Verarb.
Art. 32
Auftrags-verarbeiter
Art. 28
Verzeichnis Art. 30
DS-Folgen-abschätzung
Art. 35, 36
Verletzung Art. 33, 34
Datenschutzbeauftragter Art. 37 - 39
1
2
Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO
Beweislastumkehr
neu
Die DS-GVO … verlangt konkret
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
9
Die DS-GVO … verlangt konkret
Rechte der betroffenen Person Art. 12 - 23
Transparente Information, Kommunikation und Modalitäten
Art. 12
Erhebung Art. 13, 14
Verletzung Art. 34
Auskunft Art. 15
Berichtigung Löschung
Einschränkung Art. 16 - 19
Datenüber-tragbarkeit
Art. 20
Widerspruch Art. 21
Automat. Entscheid.
Art. 22
Information Kommunikation
3
nicht neu, aber …
Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
10
Die DS-GVO … verlangt konkret
Planung
Durchführung
Bewertung
Verbesserung
Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO
PDCA-Zyklus
Datenverarbeitung
Sicherstellung der Betroffenenrechte
Datenschutz-verletzungen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
11
Die DS-GVO … verlangt konkret
Planung
Durchführung
Bewertung
Verbesserung
Quelle: Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO
PDCA-Zyklus
Selbstkontrolle
Datenverarbeitung
Sicherstellung der Betroffenenrechte
Datenschutz-verletzungen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
12
Die DS-GVO … verlangt konkret
Grundsätze der Verarbeitung pbD Art. 5 Abs. 1
Verantwortlicher muss rechtmäßigen Datenumgang nachweisen
(Rechenschaftspflicht, Art. 5 Abs. 2)
Verantwortung des Verantwortlichen Art. 24
DV by design & by default
Art. 25
Sicherheit der Verarb.
Art. 32
Auftrags-verarbeiter
Art. 28
Verzeichnis Art. 30
DS-Folgen-abschätzung
Art. 35, 36
Verletzung Art. 33, 34
Datenschutzbeauftragter Art. 37 - 39
Rechte der betroffenen Person Art. 12 - 23
Transparente Information, Kommunikation und Modalitäten
Art. 12
Erhebung Art. 13, 14
Verletzung Art. 34
Auskunft Art. 15
Berichtigung Löschung
Einschränkung Art. 16 - 19
Datenüber-tragbarkeit
Art. 20
Widerspruch Art. 21
Automat. Entscheid.
Art. 22
Information Kommunikation
1
2
3
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
13
Verantwortlichkeit - Compliance
Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DS-GVO)
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
• Rechtmäßigkeit
• Zweckbindung
• Datenminimierung
Beweis
Aufsicht
• Zweckbindung
• Rechtmäßigkeit
• Datenminimierung
Nachweis Verantwortlicher
Beweislastumkehr
Die DS-GVO … verlangt konkret
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
14
Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1
… verlangt konkret 2
3
Agenda
… bedeutet für die Datenschutzaufsicht
4 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
15
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Art. 57 DS-GVO Aufgaben
Verordnung überwachen und durchsetzen
Öffentlichkeit sensibilisieren
Verantwortliche und Auftragsverarbeiter sensibilisieren
betroffene Personen informieren
mit Beschwerden befassen
Untersuchungen durchführen
… und noch viele andere Aufgaben
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
16
24 Planstellen
Der Freistaat Bayern hat
12,7 Mio. Einwohner
Der Freistaat Bayern hat
ca. 700.000 Unternehmen
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
17
Bundesbeauftragte für Daten- schutz und Informationsfreiheit
LfD BW
LfD BY
Berliner BDI
LDA BDB
LfDI Bremen
BfDI HH
BD Hessen
LfD Meck-Pom.
LfD NDS
LfDI NRW
LfD Rh-Pf
LfD Saarland
DB Sachsen
LfD Sa-Anh
ULD SH
LfD THÜ
BayLDA
Datenschutzaufsichtsbehörden in Deutschland
Wie kommen wir im Vollzug
unter ein Dach
?
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
18
Europäischer Datenschutzausschuss1)
18
5
10
19 17 20
8
16 15
21
22
27 28/UK
1 2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS
EU-KOMM
1) … der unabhängigen Datenschutzaufsichtsbehörden
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
19
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Wie stellen wir sicher, dass andere die DS-GVO so verstehen wie wir?
EDSA: Guidelines
DSK: Kurzpapiere
BayLDA: Kurzpapiere
BayLDA: FAQ
Problem der Erstellung – nicht immer parxistauglich
„anstrengend“
leicht und schnell – aber rechtssicher?
… wir müssen runterbrechen
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
20
Die DS-GVO … bedeutet für die Aufsichtsbehörde
Untersuchungs-befugnis
Genehmigungs-
befugnis
Abhilfe-
befugnis
Befugnisse nach Art. 58 DS-GVO
Infos anfordern Prüfungen
durchführen Zertifizierung
überprüfen Zugang erhalten
Verwarnen Anweisen Verbieten Löschung u.a.
anordnen Zertifizierung
widerrufen
Geldbuße verhängen
… auch jede
Menge
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
21
Datenschutzaufsicht One-Stop-Shop und Megabuße Die DS-GVO … 1
… verlangt konkret 2
3
Agenda
… bedeutet für die Datenschutzaufsicht
3 Vertrauen ist gut – Kontrolle ist besser – stimmt das wirklich ?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
22
Vertrauen ist gut - ist Kontrolle besser?
Vertrauen ist gut
und in vielen wirtschaftlichen Bereichen notwendig (Onlineshopping, Geldanlage, Hausbau, …),
aber als alleiniges Kriterium zu wenig,
und kann nur dann Erfolg haben, wenn (durch Kontrollen) diejenigen, die das Vertrauen missbrauchen, ermittelt und sanktioniert werden.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
23
… wer kümmert sich darum, dass der Datenschutz eingehalten wird
und wer kontrolliert?
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
24
… wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer
kontrolliert?
intern
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
25
Chefin oder Chef: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel …
Vertrauen ist gut - ist Kontrolle besser?
Datenschutzbeauftragte/r
Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) … b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich …
interne Kontrolle
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
26
Mitteilung Datenschutzbeauftragte (1)
Mitteilungsportal ist mit Verzögerung online gegangen.
Stand 18.09.2018 sind 14.905 Datenschutzbeauftragte üb er das Meldeportal gemeldet, davon interne DSB: 5.593 (38 %) davon externe DSB: 9.312 (62 %)
Noch unbestimmte Zahl offener alter Meldungen und „Portalverweigerern“
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
27
Mitteilung Datenschutzbeauftragte (2)
… und nicht der DSB selbst
… Nachweis und Vollmacht
Art. 37 Abs. 7 DS-GVO: Der Verantwortliche oder der Auftragsverarbeiter ver-öffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der
Aufsichtsbehörde mit.
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
28
… wer kümmert sich darum, dass der Datenschutz eingehalten wird und wer
kontrolliert?
extern
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
29
Vertrauen ist gut- ist Kontrolle besser?
Anforderungen zur Harmo-nisierung des Datenschutz-rechts in der EU One-Stop-Shop (eine
Aufsichtsbehörde ist für einen Verantwortlichen zuständig – d.h. Irland für Facebook, Google, Microsoft u.a.; Luxemburg für Amazon, Paypal u.a.)
Kohärenzverfahren (alle Aufsichtsbehörden sollen mitwirken, damit Vollzug einheitlich wird.)
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
30
Europäischer Datenschutzausschuss1)
18
5
10
19 17 20
8
16 15
21
22
27 28/UK
1 2 3 4
14
6
7
9
13 12 11
23
24
25
26 EDPS
EU-KOMM
1) … der unabhängigen Datenschutzaufsichtsbehörden
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
31
Sitz unserer Behörde ist
Ansbach.
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
32
Aktuelle Situation des BayLDA
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
33
Welche Chancen hat BayLDA momentan?
BayLDA Statistik
2013 2014 2015 2016 2017 2018
(01.01-17.09) 2018 2018
Abweichung 2017 zu 2018
Trend
Summe davon
bis 25.Mai davon
seit 25.Mai
Beratungen Vereine,
Unternehmen 1733 1821 1850 2003 2974 6629 3834 2795 + 3655 1)
Beratungen Privatpersonen
799 991 977 1065 1104 772 399 373 -332
Beschwerden 925 953 1103 1424 1707 2229 731 1498 + 522
Bußgeld-verfahren
53 64 94 79 78 82 49 33 + 4
„Datenpannen“ 32 21 28 85 150 1231 92 1139 + 1081
Was machen wir ? – oder was macht man mit uns?
1) zzgl. Hotline
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
34
Was machen wir ?
Beratungen
Diskussion der Aufsichtsbehörden, ob Beratung (der Verantwortlichen und Auftragsverarbeiter) noch eine Pflichtaufgabe ist (Tendenz: nein)
Verschärfte Anforderung des Nachweises unserer Zuständigkeit: „Ich habe einen Mandanten mit Sitz in Bayern, darf aber den Namen nicht nennen und wüsste gerne ...“ sollte nicht mehr funktionieren
Schwerpunkt der Beratung sollte bei Verbänden, ERFA-Kreisen u.a. liegen.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
35
Was machen wir ?
Meldung Datenschutzverletzungen (1)
„Datenpannen“ nach Art. 33 DS-GVO in 2018: 1.139 vom 25.05. bis 17.09 = 115 Tage, d.h. 9,9 Meldungen /Tag
Prognose Art. 33 DS-GVO in Rest 2018: 1.039
vom 17.09. bis 31.12 = 105 Tage mit 9,9 Meldungen /Tag:
Befürchtetes Ergebnis: 1.139 +1.039 = 2.178
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
36
Was machen wir ?
Meldung Datenschutzverletzungen (2)
Kategorisierung der Meldungen nach Art. 33 DS-GVO
Cyberangriff: Ransomware: Malware: Phishing: Softwarefehler: Hacking: 10 %
Diebstahl: Verlust: Fehlversendung: 70 % Fehlentsorgung: Fehlerhafte Löschung: Sonstiges:
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
37
Wir müssen Prioritäten setzen:
Bearbeitung von Beschwerden Anfragen aus dem europäischen Ausland Genehmigung von Zertifizierungen Genehmigung von BCR Kontrollen (anlasslose) Bußgeldverfahren
und nicht mehr (im bisherigen Umfang) Beratungen
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
38
Vertrauen ist gut - ist Kontrolle besser?
Unser Plan für Prüfungen ist allgemein:
Wir machen unsere Prüfungen transparent, d.h. wir stellen alle Prüffragebogen auf unsere Homepage und dokumentieren, was wir prüfen.
Wir prüfen zunächst nur stichprobenartig, um nicht unsere eigenen Kapazitäten lahm zu legen.
Wenn wir Verstöße feststellen, werden wir hoheitlich tätig (Anordnung und/oder Sanktion), um den Einzelfall zu lösen und im Allgemeinen Rechtssicherheit zu schaffen.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
39
Unser Plan für Prüfungen ist konkret:
09.2018: Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen
09.2019: Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen)
10.2018: Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen)
10.2018: Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten
11.2018: Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen)
12.2018: Nikolausprüfung
Vertrauen ist gut - ist Kontrolle besser?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
40
Unser Plan für Prüfungen ist konkret:
09.2018: Prüfung Rechenschaftspflicht von (erstmal drei) Großunternehmen
09.2019: Cybersicherheit: Verschlüsselungstrojaner bei Arztpraxen (erstmal 8 Praxen)
10.2018: Erfüllung der Informationspflichten in Bewerbungsverfahren (bei erstmal 25 Unternehmen)
10.2018: Cybersicherheit: Patch-Management bei (erstmal 15) Online-Diensten
11.2018: Cybersicherheit: Erkennung von Datenschutzverletzungen bei internationalen Sub-Dienstleistern (erstmal 5 Großunternehmen)
12.2018: Nikolausprüfung
Vertrauen ist gut - ist Kontrolle besser? Dürfen St. Nikolaus und Knecht Rupprecht die Informationen
verarbeiten, mit denen Sie Jahr für Jahr Kinder in „Angst und
Schrecken“ versetzen?
Sind Art. 13 und 14 DS-GVO eingehalten?
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
41
Mein Fazit: Vertrauen ist gut, aber ohne
Kontrolle droht Vertrauen (jedenfalls im Datenschutz)
baden zu gehen.
Bayerisches Landesamt für
Datenschutzaufsicht BayLDA
42
Vielen Dank für Ihre Aufmerksamkeit
Thomas Kranig, Bayer. Landesamt für Datenschutzaufsicht
www.lda.bayern.de