interpretationsbedarfe für unternehmen und erste lösungen · zumindest abstrakt genannt sein. -...

europäische datenschutz-grundverordnung

interpretationsbedarfe für unternehmen und erste lösungen

Berlin, den 14.06.2016

Dr. Claus-Dieter Ulmer, SVP, Global Data Privacy Officer

2 14.06.2016 Ulmer/ DSGVO - Interpretationsbedarfe

herausforderungen der digitalen zukunft meistern

personenbezogene daten

In the 60 seconds you've been on this page, approximately 1354440 GB of data was transferred over the internet.


datenschutz-grundverordnung (dsgvo)

2017 2016 2015

Q2 2018 Anwendung

Dezember 2015 Abschluß

Trilogverhandlung

Übergangsfrist (zwei Jahre)

u.a. Anpassung nationaler Gesetze

Formale Beschlussfassung im Europäischen Parlament und Ministerrat im April 2016

Anwendbarkeit 24. Mai 2018 Rechtsbereinigung (notwendige Anpassungen

Deutschen Rechts); Gesetzentwurf soll bis August 2016 vorliegen

Gestaltungsmöglichkeiten für Mitgliedstaaten durch Öffnungsklauseln z.B. bei der Verarbeitung von Gesundheitsdaten

Konsultationsverfahren zur ePrivacy-Richtline

Sachstand DSGVO - Update

Q2 2016 In -Kraft -Treten

Konkretisierung auslegungsbedürftiger

Rechtsbegriffe Begleitung von Gesetzgebungsverfahren zu

Öffnungsklauseln Internationales Umsetzungsprojekt im Konzern

zur DSGVO ePrivacy-Richtlinie Review

Maßnahmen Deutsche Telekom

2018


datenschutz-grundverordnung (dsgvo)

Aussagen aus der Politik – sinngemäß -:

Der Harmonisierungsgedanke steht im Vordergrund. Daher wird sich die Bundesregierung zunächst auf die Öffnungsklauseln für den öffentlichen Bereich fokussieren. Im nicht öffentlichen Bereich sollen die Öffnungsklauseln nur zurückhaltend und wohl auch erst nach der nächsten Bundestagswahl angegangen werden.

Am Besten ist es, wenn von den Öffnungsklauseln gar kein Gebrauch gemacht wird.

die datenschutz-grundverordnung (dsgvo) chancen und risiken


datenschutz-grundverordnung (dsgvo) auswirkungen auf geschäftsmodelle

Chancen

Positive Auswirkungen auf Geschäftsmodelle des Konzerns

Cloud Business, Zertifizierung erleichtert den Nachweis der Compliance z.B. für Cloud -Anbieter und kann damit erheblich administrative Aufwände reduzieren.

Big Data, erweiterter Anwendungsbereich für Big Data Auswertungen unter Verwendung pseudonymer Daten, die Kunden haben ein Widerspruchsrecht (z.B. Internet of Things, Nutzerpofile bei Connected Car). Bislang nur in Ausnahmefällen möglich.

EU-Geschäftsmodelle und Lösungen, verbesserte Voraussetzungen für europäische Projekte durch eine zentral zuständige Aufsichtsbehörde in Europa.

Level Playing Field, soziale Netzwerke und OTTs müssen bei der Verarbeitung von Daten, die in Europa erhoben werden, das europäische Datenschutzrecht anwenden.

Risiken

Deutlich erhöhter Sanktionsrahmen: Bußgelder für Unternehmen von bis zu 4 % des weltweiten Jahres-umsatzes bei erheblichen Verstößen

die datenschutz-grundverordnung (dsgvo) auswirkung auf geschäftsmodelle an ausgewählten beispielen


datenschutzgrundverordnung kerninhalte und auswirkungen Kerninhalte Beschreibung Beispiele

Compliance mit DSGVO kann durch Zertifizierung nachgewiesen werden (auch von Nicht-EU-Unternehmen)

Erleichterte Zusammenarbeit mit Partnern (Auftraggeber/Auftragnehmer) auf Basis von Zertifikaten

Zukünftig können Aufwände, die Auftraggebern und -nehmern bei der Überprüfung der Datenschutzcompliance entstehen, durch verlässliche Standards und Zertifikate stark reduziert werden (z.B. Cloud Marketplaces). Kunden müssen heute noch die Auftragnehmer umfangreich prüfen. Die Auftragsverarbeitungsverträge können zukünftig auch elektronisch abgeschlossen werden.

Cloud Computing


datenschutzgrundverordnung kerninhalte und auswirkungen Kerninhalte Beschreibung Beispiele

Pseudonymisierung ermöglicht erweiterte Datenverarbeitung, da pseudonyme Datenverarbeitung als kompatibel mit dem ursprünglichen Zweck und daher zulässig gewertet wird

Die Kunden haben ein Widerspruchsrecht (opt-out)

Ermöglichung von Geschäfts-modellen, basierend auf Pseudonymisierung

Rahmenbedingungen für Pseudonymisierung noch zu konkretisieren

Telekom Entertain -Nutzungsstatistiken – heute nur im engen Rahmen von Spezialgesetzen möglich

Zukünftig können vergleichbare Modelle auch in anderen Anwendungsbereichen umgesetzt werden, ohne das eine Einwilligung eingeholt werden muss (Bsp: Hinterlegung von Nutzerprofilen bei Car-Sharing)

Big Data


Kerninhalte Beschreibung Beispiele Einwilligung muss grundsätzlich

zweckbezogen eingeholt werden

Verträge dürfen nicht davon abhängig gemacht werden, dass in die Verarbeitung von Daten eingewilligt wird, die zur Vertragserfüllung nicht erforderlich sind (Koppelungsverbot)

Bundesdatenschutzgesetz und die ePrivacy-Richtlinie definieren bereits heute vergleichbare Anforderungen für Unternehmen

Zukünftig Einschränkung bei Geschäftsmodellen durch Koppelungsverbot

Bsp. Deutsche Telekom: Konzerneinwilligungsklausel - KEK (Analyse von Vertragsdaten für Werbung über Vertragszweck hinaus) ist etabliert.

Bsp. Over The Top-Anbieter (OTT‘s): Bislang verwendete pauschale Einwilligungen für viele Zwecke in AGBs (faktischer Opt-Out) einiger OTT‘s sind zukünftig nicht mehr zulässig

datenschutzgrundverordnung kerninhalte und auswirkungen

Einwilligung


Kerninhalte Beschreibung Beispiele

Marktortprinzip („Level Playing Field“): Daten, die in der EU erhoben werden, unterliegen immer der DSGVO

Gilt auch für Processing oder Remote Access in bzw. von Drittstaaten

Deutliche Erweiterung des Adressatenkreises der DSGVO, somit steigende Anforderungen vor allem an OTTs, die Verarbeitung von Daten von EU-Bürgern nur in Drittstaaten (z.B. USA) vornehmen

Für Anbieter, die keine Niederlassung in der EU haben, ist bspw. der Verweis auf US-Recht als geltendes Datenschutzrecht bei Angeboten für europäische Bürger nicht mehr zulässig

Für Anbieter wird es schwieriger, Ausweichmöglichkeiten über EU-Mitgliedsstaaten zu nutzen, die Defizite im Vollzug europäischen Daten-schutzrechts haben (z.B. Irland)

Einführung eines verpflichtenden „Data Protection Impact Assessments“ bei risiko-behafteten Datenverar-beitungsmodellen

Verbindliche Vorgaben zu „Privacy by Design“

Neue Anforderungen sollen die operative Umsetzung der gesetzlichen Anforderungen in den Unternehmen sicherstellen

Bsp. Deutsche Telekom: Prozess „Privacy & Security Assessment“ (PSA) vorhanden

OTTs


IT/NT



Durch One-Stop-Shop-Mechanismus muss bei internationalen Projekten nur noch mit einer Aufsichtsbehörde Kontakt aufgenommen werden

Aufsichtsbehörden müssen Sachverhalte einheitlich bewerten (Kohärenzverfahren)

Bei Streitfragen entscheidet die Europäische Datenschutzkommission

Reduktion des administrativen Aufwands für internationale Großprojekte

Aufsichtsbehörden stimmen sich untereinander ab, Unternehmen muss nur einmal Unterlagen vorlegen

Unterschiedliche Auslegungen werden einer einheitlichen, europaweiten Regelung zugeführt

Einheitliche IP- oder IT-Plattformen in Europa

Einheitliche Geschäftsmodelle

Einheitliche Bewertung auch von Incidents

EU-Geschäfts-modelle und Lösungen




Deutlich erhöhter Sanktions-rahmen, Bußgelder in Höhe von bis zu 4 % des weltweit-en Jahresumsatzes bei erheblichen Verstößen gegen DSGVO Regelungen möglich

Antrieb zur Einhaltung gesetzlicher Vorschriften soll erhöht werden

Sanktionen unterliegen dem Verhältnismäßigkeitsprinzip

Nach bisherigen Datenschutzgesetzen max. Bußgeldhöhe von 300.000 €, die kumuliert auch höher ausfallen konnte.

Beispiele

• LIDL 1,46 Mio. €

• DEBEKA 1,3 Mio. €

• Deutsche Bahn 1,1 Mio. €

• Google145.000 €

• DT Haftstrafe und Spende an gemeinnützige Vereinigung

Verstöße gegen die Rechte der Kunden z.B. unvollständige / fehlende Information der Kunden oder fehlerhaft eingeholte Einwilligungen können dem 4%-Sanktions-Rahmen unterliegen


Sanktionen und Haftung

die datenschutz-grundverordnung (dsgvo) einzelne interpretationsbedarfe und auslegungsmöglichkeiten


auslegungsfragen

Die DSGVO stellt ein Verhandlungsergebnis nach drei Jahren harter Verhandlungen verschiedener Interessenvertreter dar. Die Auslegung der Regelungen stellt uns daher vor besondere Herausforderungen.

Die Auslegungshoheit – so es keinen vorab-Konsens gibt – liegt im Einzelfall zunächst bei den Aufsichtsbehörden. Später gegebenenfalls bei den Gerichten.

Die nachfolgenden Aussagen haben daher im Wesentlichen Empfehlungscharakter ...


Anwendungsbereich

Art. 3 – auf Unternehmen, die ihre Dienste in Europa anbieten oder auf Betroffene, die sich in Europa befinden … “The Google Case”? – Grundrechte europäischer Bürger haben weltweite Geltung?

auslegungsfragen

Einwilligungs-anforderungen

Art. 6/7 i.V.m. Art. 4 Ziff. 11

“in Form einer Erklärung oder sonst eindeutigen Handlung” – also keine konkludente Einwilligung möglich.

In Abgrenzung zu Art. 9 – bei besonderen Kategorien personenbezogener Daten

“ausdrücklich” bezieht sich auf die Verarbeitung der besonderen Daten. Diese müssen in der Einwilligung zumindest abstrakt genannt sein.


Weiterverarbeitung

Art. 6 Abs. 4 … zulässig ohne erneute Einwilligung oder andere Rechtsgrundlage zu Zwecken, die mit dem ursprünglichen kompatibel sind (bei Beachtung u.a. der Rahmenbedingungen in lit. a – e). Dabei kommt es auf die “vernünftigen Erwartungen” des Betroffenen an und die Folgen für ihn. Ist Direktmarketiing bei bestehendem Kundenverhältnis kompatibel, d.h. erwartbar? Im Zweifel kann auf die Rechtsgrundlagen in Art. 6 Abs. 1 zurück gegriffen warden.

auslegungsfragen

Pseudonymisierung

Art. 6 Abs. 4 lit. e und andere

Welche Wirkung hat Pseudonymisierung? – Risikominimierung und Erleichterung der Verarbeitung.

Was ist Pseudonymisierung? – Art. 4 Ziff. 5: … nicht einer feststellbaren Person zugewiesen werden?

Welche Betroffenenrechte gibt es? – Transparenz und Widerspruchsrecht, vgl. § 15 Abs. 3 TMG.

Wie ist zu pseudonymisieren? - darf ohne Hinzuziehung zusätzlicher Informationen nicht identifizierbar sein.


auslegungsfragen

Icons Art. 12 – Transparente Information etc.

Vorschlag des Parlaments – nicht ausdrücklich in der DSGVO geregelt.

Aber in Abs. 8 delegierter Rechtsakt an die Kommission zur Ausgestaltung von “standardisierten Bildsymbolen” – Mitgestaltung durch die Wirtschaft?

Auftragsverarbeitung

Art. 28 – Auftragsverarbeiter

es wird vertreten, dass die Privilegierung der Auftragsverarbeitung, die wir nach dem deutschen Recht kennen, durch die DSGVO weggefallen ist. Das trifft nicht zu.

Aber: Art. 4 Ziff. 10: “Dritter ist …, außer … dem Auftragsverarbeiter …”.

Art. 28 Abs. 10 – AV ist dann verantwortliche Stelle, wenn er eigenmächtig Daten verarbeitet.


Rolle und Haftung des Auftragsverarbeiters

Art. 30 - Verzeichnis von Verarbeitungstätigkeiten, Abs. 2: der Auftragsverarbeiter hat kein Verfahrenverzeichnis im Sinne eines inernen des BDSG für die Verarbeitungen der Auftraggebers zu führen. “die Kategorien von Verarbeitungen” reichen aus. Art. 82 Abs. 2 und 3 – Exculpation (Beweislastumkehr) möglich. Echte gesamtschuldnerisch Haftung nach Abs. 4 nur bei grundsätzlich bestehender Haftung.

auslegungsfragen

Datenschutz-beauftragter Art. 39 – Aufgaben des Datenschutzbeauftragten

lit. b), Überwachung der Einhaltung dieser Verordnung, …” – hat der DSB eine Garantenstellung wie für den Compliance Officer angenommen wird? – Keine Sicherstellungsfunktion. Kein “Hinwirken”. Accountability liegt ganz klar bei der verantwortlichen Stelle.


Zertifizierung

Art. 42 – Zertifizierungen zum Nachweis der Compliance mit den Anforderungen aus der DSGVO. Die Klassifizierung als Europäisches Datenschutzsiegel ist nach Abs. 5 möglich. Dadurch höchste Rechtssicherheit und Verlässlichkeit. Geeignet auch zum Nachweis eines angemessenen Datenschutzniveaus bei Übermittlungen in Drittländer.

auslegungsfragen

Code of Conducts

Art. 40 - Verhaltensregeln

Chance, an der Ausgestaltung der Anforderungen der DSGVO aktiv mitzuwirken. Verhaltensregeln – etwa zur Pseudonymisierung – können von der Kommission verbindlich erklärt warden.

Art. 40 Abs. 1, Verbände oder andere Vereinigungen, die Kategorien von Verantwortlichen … vertreten – Interessengemeinschaften?


auslegungsfragen

Geheimnisträger Art. 90 – Geheimhaltungspflichten

Öffnungsklausel für Regelungen zur Auftragsverarbeitung bei Geheimnisträgern, wie Krankenhäusern, Anwälten, etc. Neuregelung zu § 203 StGB möglich.

Geldbußen und Sanktionen Art. 83 – Allgemeine Bedingungen für die Verhängung von Geldbußen

“Unternehmen” im Sinne von Abs. 4 und 5 - Erwägungsgrund 150: Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff "Unternehmen" im Sinne der Artikel 101 und 102 AEUV verstanden werden.

was müssen unternehmen tun?


was müssen unternehmen jetzt tun?

Analyse Umsetzungszeitraum für DSGV beträgt zwei Jahre Prüfung aller relevanten Unternehmensprozesse auf Einhaltung der Regelungen

Implementierung Aufsetzen eines Umsetzungsprojekts Einbeziehung aller betroffenen Unternehmen einer Unternehmensgruppe – ggf.

unterschiedliche Reife des Datenschutz-Management-Systems

Check Compliance-Prüfung vor Abaluf der Implementierungsfrist Datenschutz-Organisation oder ggf. Revision

datenschutz-compliance managementsystem


Ein Compliance-Management-System beschreibt die Grundsätze und Maßnahmen eines Unternehmens, die ein regelkonformes Verhalten des Unternehmens entsprechend den gesetzlichen Regelungen und unternehmensinternen Richtlinien sicherstellen sollen.

Überprüfung und Zertifizierung des Compliance-Management-Systems durch den Prüfstandard (PS) 980 des Instituts der Wirtschaftsprüfer (IDW) .

datenschutz compliance-management-system


kernelemente eines datenschutz compliance-managementsystems nach idw ps 980

Datenschutz-Kultur - Datenschutzbeirat, Tone from the top, Vor-Ort Besuche …

Datenschutz-Ziele - Ziele des CMS, Strategie Group Privacy …

Datenschutz-Risiken - risiobasierte Auditplanung …

Datenschutz-Programm - Binding Corporate Rules Privacy, Schulungen …

Datenschutz-Organisation -

Datenschutz-Kommunikation - Richtlinien, Datenschutz-Anforderungen,Transparenzbericht …

Datenschutz-Kontrolle - Konzerndatenschutzaudit, Audits, Verfahrensverzeichnis, KPIs

6

3

7

5

2

4

1

zentral & dezentral, Privacy-Security Assessment, Auftrags-management, Prozesshandbuch, Privacy Life Cycle Management …


ergebnis und zertifizierungsbericht

ergebnis und zertifizierungsbericht Das Ergebnis der Prüfung wird in einem Bericht festgehalten.

Mögliches Ergebnis der Prüfung ist: Zertifizierung Zertifizierung mit Empfehlungen Zertifizierung mit Feststellungen keine Zertifizierung, da Feststellungen zu erheblich

Der Zertifizierungsbericht dient dem Nachweis, dass den Aufsichts-, Sorgfalts- und Organisations-pflichten in Bezug auf das Compliance-Management System nachgekommen wurde.


vielen dank!

www.telekom.com/datenschutz www.telekom.com/privacy

http://www.telekom.com/datenschutz



http://www.telekom.com/privacy

interpretationsbedarfe für unternehmen und erste lösungen · zumindest abstrakt genannt sein. -...

Documents

Transcript of interpretationsbedarfe für unternehmen und erste lösungen · zumindest abstrakt genannt sein. -...