Kooperationsveranstaltung des Landesbeauftragten für den ... · Begrüßung durch CCO, BASF SE...

Kooperationsveranstaltung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland – Pfalz „DSGVO – Neue Beispiele aus der täglichen Praxis“

Termin: Montag, 28. Oktober 2019, 14:00 – 18.00 Uhr Veranstaltungsort: BASF SE, Gutsbetrieb Rehhütte, 67117 Limburgerhof

AGENDA Referent / Unternehmen, Behörde

Moderation der Veranstaltung Alexandra Haug, Chief Data Protection Officer / BASF SE

Begrüßung durch CCO, BASF SE Thomas Hartmann, Chief Compliance Officer / BASF SE

Die DSGVO auf dem Prüfstand der Praxis Prof. Dr. Dieter Kugelmann / Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI)

Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS? Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law

Data Breach – Handlungstipps aus der Unternehmenspraxis Timo Ahland, Data Protection Officer Germany / Boehringer Ingelheim

Die Ausgestaltung der Überwachungsaufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 b) DSGVO

Nikola Mohr , Compliance Manager / SCHOTT AGin Vertretung für Christoph Dahl, Compliance Manager / SCHOTT AG

Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Councel / BASF Business Services GmbH

Pause

Podiumsdiskussion mit dem Publikum Prof. Dr. Dieter Kugelmann / LfDIGuido Hansch / Birkenstock GroupAnna Marie Faymonville / Birkenstock GroupTimo Ahland / Boehringer Ingelheim DeutschlandNikola Mohr / Schott AGAlexandra Haug / BASF SEDr. Jürgen Höffler / BASF Business Services GmbH

Ausklang mit Stehimbiss

Erfahrungen mit und Entwicklungen bei der

Datenschutz-Grundverordnung

Prof. Dr. Dieter Kugelmann

Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Rheinland-Pfalz

Folie: 4Prof. Dr. Dieter Kugelmann

Erfahrungen und Entwicklungen

1. Einschätzungen der DS-GVO

Steigerung der Präsenz und Beachtung des Datenschutzes in der

Öffentlichkeit

Die DS-GVO als Vorbild auf der internationalen Ebene

Materielle Lösungen – Der „Gold-Standard“

Einheitliche Standards in international aufgestellten Unternehmen

Unsicherheiten in Einzelfragen

Änderungen der Bewertung von Sozialadäquanz?



2. Hilfestellungen und Orientierung

Europäischer Datenschutzausschuss

Working Paper

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des

Bundes und der Länder (DSK)

Kurzpapiere

Positionsbestimmungen

LfDI

www.datenschutz.rlp.de

http://www.datenschutz.rlp.de/



3.1. Rechtsprechung des EuGH

Schrems II – Internationaler Datentransfer

EuGH: facebook- Fanpages



3.2. Innerstaatliche Rechtsprechung

BVerwG

Interessenabwägung

Videoüberwachung

Verwaltungsgerichtsbarkeit

VG Mainz, Festsetzung von Zwangsgeld

Zivilgerichtsbarkeit

Ordnungswidrigkeitenverfahren

Amtsgericht zu Geldbußen



3. Europäische Kooperationen

Stand: 1. Oktober 2019

Grenzüberschreitende Fälle: IMI

Plattformlösung

Feststellung der Zuständigkeit (Art. 56 DS-GVO)

1193 Verfahren, davon 394 aus D

Federführende Aufsichtsbehörde

65 Meldungen aus D



3. Europäische Kooperationen

Stand: 1. Oktober 2019

Zusammenarbeit (Art. 60 DS-GVO)

390 Verfahren

Amtshilfe (Art. 61 DS-GVO)

1928 Verfahren

Kohärenzverfahren (Art. 64 DS-GVO)

41 Verfahren



4.1. Entwicklungen der Aufsichtspraxis

Beschwerden

Bearbeitungspflicht innerhalb bestimmter Fristen

Online-Formular des LfDI

1.1.2018 bis 24.5.2018: 403

25.5.2018 bis 31.12.2018: 704

1.1.2019 bis 16.10.2019: 789




Beratungen und Stellungnahmen

Unterstützung von betroffenen Personen und Verantwortlichen

Telefonische Beratungen nicht gezählt

Verkürzung der Sprechzeiten

1.1.2018 bis 24.5.2018: 413

25.5.2018 bis 31.12.2018: 1031

1.1.2019 bis 16.10.2019: 703

(restriktivere Praxis – keine Einzelberatung mehr)




Meldungen von Verletzungen (Art. 33)

Meldewege im Unternehmen

Online-Formular des LfDI

1.1.2018 bis 24.5.2018: 10

25.5.2018 bis 07.05.2019: 105

1.1.2019 bis 16.10.2019: 191



5.1. Befugnisse des LfDI

Untersuchungsbefugnisse (Art. 58 Abs. 1)

Zugang zu allen Daten und Geschäftsräumen

Datenschutzüberprüfungen

Vor-Ort-Untersuchungen

Abhilfebefugnisse (Art. 58 Abs. 2)

Verwarnung, Anweisung usw.

Genehmigungsbefugnisse (Art. 58 Abs. 3)



5.2. Ausübung der Befugnisse

Verwarnung

Verstoß in der Vergangenheit

Beanstandung nach LDSG gegenüber öffentlichen Stellen

Vom Einzelfall zur Regelreaktion

Anweisung und Anordnung

Verhinderung von Verstößen in der Zukunft

Geldbußen, Art. 83




Verwaltungsverfahren

Mittel des Verwaltungsaktes

Ermittlung des Sachverhalts

Anhörung des Betroffenen

Dauer

Rechtsschutz




Beanstandungen (gegen öffentliche Stellen)

LDSG RP

25.5.2018 bis 31.12.2018: 9

1.1.2019 bis 16.10.2019: 19

Festsetzung von Zwangsgeldern

Wegen Nichtbeantwortung von Informationsersuchen

25.5.2018 bis 31.12.2018: 3

1.1.2019 bis 16.10.2019: 3




Warnungen

25.5.2018 bis 31.12.2018: 2

1.1.2019 bis 07.05.2019: 1

Verwarnungen

25.5.2018 bis 31.12.2018: 16

1.1.2019 bis 16.10.2019: 22




Anordnungen

25.5.2018 bis 31.12.2018: 1

1.1.2019 bis 16.10.2019: 12

Bsp.: Übermittlung von Analysedaten ohne Einwilligung

Geldbußen

25.5.2018 bis 31.12.2018: 3

1.1.2019 bis 16.10.2019: 8

Bsp.: Videoüberwachung



6.1. Schwerpunkte der Aufsichtspraxis in RP

Vor Ort Untersuchungen

Insb. Videoüberwachung

25.5.2018 bis 7.5.2019: 26 (teils gebündelt)

Kaum Beschwerden gegen Vereine



6.1. Schwerpunkte der Aufsichtspraxis in RP

Verweigerung oder Nichterteilung der Auskunft (Art. 15)

Steigende Fallzahlen bei Verstößen im Internet

Ansprüche auf Löschung (Art. 17)

Steigerung der Fälle mit grenzüberschreitendem oder

internationalem Bezug

Facebook, Google usw.



7.1. Kernpunkte der Diskussion zur DS-GVO

Reichweite der Rechtsgrundlagen

Vertrag, Art. 6 Abs. 1 lit. b

EDSA Guidelines 2/2019

Einwilligung, Art. 6 Abs. 1 lit. a

Berechtigtes Interesse, Art. 6 Abs. 1 lit. f

Informationspflichten, Art. 13, 14

Zu detailliert?

Zu undifferenziert?




Reichweite des Rechts auf Auskunft, Art. 15

Recht auf Kopie

Gemeinsame Verantwortlichkeit, Art. 26

Anwendungsfälle d. Auftragsverarbeitung, Art. 28

Probleme im privaten Geschäftsverkehr




Führen des Verzeichnisses der Verarbeitungstätigkeiten, Art. 30

Ausgestaltung der Meldepflicht, Art. 33

Akkreditierung und Zertifizierung, Art. 42, 43

§ 39 BDSG, DAkkS



7.2. Kernpunkte der weiteren Diskussion

Brexit ePrivacy-Verordnung

Harmonisierung der Anwendungspraxis durch die

Datenschutzaufsichtsbehörden in Europa



8. Künstliche Intelligenz und Datenschutz

Hambacher Erklärung zur Künstlichen Intelligenz

1. KI darf Menschen nicht zum Objekt machen

vollständig automatisierte Entscheidungen; Profiling;

Entscheidungen mit rechtlicher Wirkung

2. Einsatz nur für verfassungsrechtlich legitimierte Zwecke

Grundsatz der Zweckbindung





3. Transparenz, Nachvollziehbarkeit, Erklärbarkeit

im Hinblick auf die Prozesse und das Zustandekommen

von Entscheidungen

4. Vermeidung von Diskriminierung

5. Grundsatz der Datenminimierung





6. Verantwortlichkeit

der Beteiligten muss ermittelt und kommuniziert werden

7. Technische und organisatorische Standards

z.B. Pseudonymisierung



9. Fazit und Ausblick

Die DS-GVO ist ein Erfolg !

Wirksamer Datenschutz fordert alle



Vielen Dank für die Aufmerksamkeit

Quelle: alle Grafiken stammen von Pixabay

Prof. Dr. Dieter Kugelmann

Landesbeauftragter für den Datenschutz

und die Informationsfreiheit Rheinland-Pfalz

Postanschrift: Postfach 30 40

55020 Mainz

Büroanschrift: Hintere Bleiche 34

55116 Mainz

Telefon: +49 (6131) 208-2449

Telefax: +49 (6131) 208-2497

E-Mail: [email protected]

Web: www.datenschutz.rlp.de





Die Stunde der Wahrheit: Wie erfolgreich ist mein DMS?Vortrag ist leider nicht zur Veröffentlichung freigegeben

Guido Hansch, Global Privacy Officer / Birkenstock GroupAnna Marie Faymonville, Legal Counsel Data Protection & IT Law




Auftragsverarbeitung in der Praxis Alexandra Haug, Chief Data Protection Officer / BASF SEDr. Jürgen Höffler, Senior Legal Counsel / BASF Business Services GmbH

Pause












Pause



Data Breaches

Timo Ahland

Data Protection Officer Deutschland

Vernichtung

Verlust

unbefugte Offenlegung

unbefugter Zugang

Veränderung

Verarbeitung personenbezogener

Daten

Verletzung der Sicherheit

Behörde informieren?

Betroffene informieren?

Data Breach – Was ist das?

Startseite

35

Alle Informationen sind zentral verfügbar

Data Breach_Timo Ahland_28.10.2019

36

Formular IT Security erfasst die Informationen


Kriterien

Richtiger Meldezeitpunkt?

Welche Risikostufe?

Länder übergreifend?

Mögliche Maßnahmen?

Anzahl der Betroffenen?

Datenschutzvorfall/ sonstiger Complianceverstoß?

Mögliche Auswirkungen?

Wie bewerten wir einen Datenschutzvorfall?

37Data Breach_Timo Ahland_28.10.2019

38

Formular (3)DPO dokumentiert die Risikoanalyse und die eventuellen Meldungen


• Non-compliance durch Mitarbeiter, aber kein Data Breach

• Großteil: menschliches Versagen Einzelner

• Fälle, die im Verantwortungsbereich separater Verantwortlicher liegen

• Fälle sind zu über 80 % HR-Ereignisse, 5 % Medizin, 15 % diverse

• Nur Fälle der Fallgruppen unberechtigter Zugriff, unberechtigte Offenlegung

• HR: Großteil von Ereignissen im Bereich unstrukturierter Datenverarbeitung

Folgende Trends und Muster erkennen wir

Data Breach_Timo Ahland_28.10.2019 39

• Uneinheitliches Meldeverhalten in Europa: Zeitraum May 18-März 19➢ Italien – 946 Fälle

➢ Spanien – 547 Fälle

➢ Frankreich – 1.170 Fälle

➢ Bayern – 4.200 Fälle

➢ Rheinland-Pfalz?

• Einheitliche Kriterien für Meldungen in D und EU durch “Task Force der DSK –Input aus der Praxis ist seitens LDA Bayern erwünscht!

• Prüfung von Risiko und Eintrittswahrscheinlichkeit des Risikos findet häufig nichtstatt!

Was uns aufgefallen ist


• Geldbuße bei mitgeteiltem Verstoß?

➢ Bayern: nein wegen § 43 Abs. 4 BDSG 2018

➢ BaWü: ja! Keine Anwendung von § 43 Abs. 4 BDSG 2018

➢ Rheinland-Pfalz?

• Statt Diskussion über 72-Stunden-Frist: unverzügliche Meldung und ggf. Darlegung, warum nicht innerhalb von 72 Stunden gemeldet wurde

• Dokumentation aller Ereignisse notwendig und warum kein Risiko angenommenund keine Meldung erfolgt

• Durchführung der Meldung ist nicht Aufgabe des DSB

Was uns aufgefallen ist











Pause



Überwachungsaufgabe des DSB

Zusammenspiel mit dem Datenschutz-Managementsystem bei SCHOTT

© SCHOTT AG, DSGVO@SCHOTT - Vortrag BASF, Nikola Mohr, 28. Oktober 2019

Agenda

SCHOTT im Überblick


Compliance (Datenschutz) Management System@SCHOTT

Aufgaben des DSB@SCHOTT

SCHOTT AGMainz

Tochtergesellschaften

Carl Zeiss AGOberkochen

Tochtergesellschaften

CARL-ZEISS STIFTUNGHeidenheim an der Brenz und Jena

Beteiligungsträgerstiftung

100% 100%

Nachhaltiges Unternehmensmodell


Breites Produktportfolio für viele Branchen

Hausgeräteindustrie Life Sciences Automobilindustrie

Pharma Elektronik Astronomie


Konzernumsatz

2,08 Mrd. Euro

EBIT

274 Mio. Euro

Jahresergebnis

208 Mio. Euro

Eigenkapitalquote

35 %

Sachinvestitionen

185 Mio. Euro

Mitarbeiter

15.500

Unser Ziel ist nachhaltiges WachstumGeschäftsjahr 2017/18


Supervisory Board /

Audit Committee

CEO SCHOTT AG

General Counsel &

Chief Compliance Officer

Head of Compliance &

Security (CL-C) Supplementary Topics

Core Topics

CL-C

• Anti-Corruption

• Antitrust

• Information Protection

• Data Protection

• Anti Money Laundering

CL-CE

• Export Control

• Customs

CL-CD

• Data Protection Officer

SCHOTT AG

Compliance Management System (CMS)

Prevention Detection Response

Compliance

Committee

CL-C

• Information Protection

• Travel Risk Management

• Classified Information

Security TSI-6

• Site Security

• Crises

Management

Compliance Representatives (Regional/BU/Site)

Christoph Dahl

Lars Steineck

Christoph Dahl Andreas Hollstein Jonas RaltschitschBrian RaßfeldYvonne Thierolf Nikola Mohr

Compliance Management System | Organisation

Karl Rengstorf


Compliance Management System | Übersicht

Vorbeugen

• Risikoanalysen

• Regelwerke

• Trainings

• Kommunikation

• Integration in Personalprozesse

Erkennen

• Compliance-Untersuchungen

• Compliance Self-Assessments

• Compliance Risk-Assessments

• Compliance Checks (im Rahmen von Routine-Audits durch Auditing)

Reagieren

• Systematisches & einheitliches Vorgehen bei Compliance-Fällen

• Beseitigen von Schwachstellen bei Prozessen & Kontrollen

• Ergreifen angemessener Maßnahmen (inkl. Sanktionen)

SCHOTT AG Vorstand: „Tone from the Top“

Organisation: Compliance Office & Compliance Beauftragte (Regional/BU/Site)

Integrity Helpline (Hinweisgeber System)

Compliance Committee (bei wesentlichen Sachverhalten*)

* Wesentlicher Sachverhalt liegt vor bei hohem Schadenspotential (finanziell/ Reputation/ Sonstiges), überregionalen Vorgängen, behördlichen

Ermittlungen, Sanktionen auf hohem Management Level.


Datenschutz Management System | Übersicht


Unternehmen müssen die Einhaltung der DSGVO

über ein DSMS sicherstellen

Abgedeckt durch Compliance@SCHOTT

DSKs in den BUs, Functions & an allen EU-Standorten

Weltweiter Ausbau geplant

Umfasst die vollständige Dokumentation der

Einhaltung der Datenschutzbestimmungen

Überwacht und beraten durch den DSB

Aufgaben DSB | Kontrolle & Überwachung


▪ Unterrichtung und Beratung hinsichtlich der Pflichten

▪ Zusammenarbeit mit Behörden + Ansprechpartner

▪ Überwachung der Einhaltung der DSGVO bzw. BDSG

▪ Eigene Fortbildung

▪ Datenschutzrechtliche Beratung

▪ Überprüfung der Auftragsverarbeiter

▪ Vertragsgestaltung

▪ Projektbegleitung

▪ Schulungen/Training

▪ Weltweiter Roll-out der BCR

Aufgaben DSB | Kontrolle & Überwachung

Konzept zur Überwachung und Kontrolle der Einhaltung der Datenschutzregeln bei

SCHOTT gemeinsam mit CL-C und CL-A erarbeitet

Maßnahmen GJ 2019/2020

Compliance Self-Assessment der Einheiten in der EU zum Thema Datenschutz (verantwortlich:

CL-C)

Prüfung des Datenschutzmanagementsystems der SCHOTT AG in Deutschland (verantwortlich:

CL-A)

Risikoorientierte Prüfung der gemeldeten Verarbeitungstätigkeiten – entspricht die Meldung der

gelebten Praxis (verantwortlich: CL-CD)

Fortlaufende Prüfung der neu gemeldeten Verarbeitungstätigkeiten auf Vollständigkeit und

Rechtmäßigkeit (verantwortlich: CL-CD)


Vielen Dank für Ihre Aufmerksamkeit!

Haben Sie noch Fragen?


Nikola Mohr, LL.M. Compliance ManagerE-Mail: [email protected]

Telefon:+49 6131 66-2843










Pause



Kooperationsveranstaltung

DSGVO - Neue Beispiele aus der Praxis

Verträge

zur Auftragsverarbeitung***

Alexandra Haug (BASF Chief Data Protection Officer Europe)

Dr. Jürgen Höffler (BASF Senior Legal Counsel)

Verträge zur Auftragsverarbeitung

▪ Auftragsverarbeiter ist weisungsgebunden

▪ Auftragsverarbeiter ist nicht Dritter im Sinne desArt. 4 Nr. 10 DS-GVO

▪ Auftragsverarbeiter ist Empfänger im Sinne vonArt. 4 Nr. 9 DS-GVO

➢ Informationspflichten, Art. 13 I, lit. e) DS-GVO

➢ Auskunftsrechte, Art. 15 I, lit. c) DS-GVO

➢ Mitteilungspflichten, Art. 19 DS-GVO

➢ Dokumentation, Art. 30 I, lit. d) DS-GVO

▪ Notwendiger Inhalt des Vertrages

▪ Einsatz von Unterauftragnehmern

➢ Vorherige schriftliche Genehmigung vonUnterauftragnehmern

➢ Mitteilungspflicht bei Änderungen mit Veto-Recht

➢ Weitergabe von Datenschutzpflichten anUnterauftragnehmer

➢ Prüfung hinreichender Garantien für geeignete TOM

➢ Haftung für Unterauftragnehmer wie für eigenesVerschulden

▪ Unterstützungspflicht bei Durchführung vonDatenschutz-Folgenabschätzung und UmsetzungBetroffenenrechte

Auftragsverarbeitung nach DS-GVO Auftragsverarbeitungsvertrag, Art. 28 DS-GVO


Umsetzungsprobleme

▪ ADV bereits jahrelange Praxis in Deutschland

▪ Änderungen in Art. 28 DS-GVO machen häufig Nachbesserung bestehender Verträge notwendig

➢ Was tun mit Verweigerern?

▪ Neue Vertragsmuster „Auftragsverarbeitungsverträge“ AVV

➢ Wessen Vorlage wird genommen?


Kritische AVV-Regelungen

▪ Kostentragung für Unterstützungsleistungen (Art. 28 III Satz 2 lit. e) und lit. f) DS-GVO)

▪ Kostenbeteiligung an Verarbeitungsverzeichnis

▪ Dauerbrenner: Entgelt für die Durchführung von Kontrollen (Art. 28 III Satz 2 lit. h) DS-GVO)

➢ Erste Indikation / Argumentationshilfe: BayLDA „Aktuelle Kurzinformation 6 - Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“

▪ Regelungen zu Unterauftragnehmern

➢ Umsetzung Hinweispflicht durch Informationswebseite

➢ Ausgestaltung allgemeine schriftliche Genehmigung mit Einspruchsmöglichkeit

▪ Haftungsausschluss (wegen Art. 82 DS-GVO)

Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -

EU/EWR Angemessenheits-

beschluss

Sonstige

Drittstaaten

Auftragsverarbeiter

Sub-

Auftragsverarbeiter

AG

Art 28 AVV



beschluss

Sonstige

Drittstaaten

Auftragsverarbeiter

Sub-

Auftragsverarbeiter

AG

Art 28 AVV

Art 28 IV Sub-AVV



beschluss

Sonstige

Drittstaaten

Auftragsverarbeiter

Sub-

Auftragsverarbeiter

AG

Art 28 AVV

Standard-Datenschutzklauseln ?



beschluss

Sonstige

Drittstaaten

Auftragsverarbeiter

Sub-

Auftragsverarbeiter

AG

Art 28 AVV

Standard-Datenschutzklauseln ?

Nicht ausreichend, da

Auftragsverarbeiter kein

„data exporter“ iSd. SCC,

sondern nur AGArt. 3c Kommissionsentscheidung 2010/87/EG


Sonstige

Drittstaaten

Auftragsverarbeiter

Sub-

Auftragsverarbeiter

AG

Art 28 AVV

Standard-DS-Klauseln

„Direktvertragslösung“


Herausforderungen:

▪ Ergänzung der Standardvertragsklauseln um zusätzliche Voraussetzungen des Art. 28 III DSGVO ?

➢ Genügen die Standardvertragsklauseln (Arg. Übergangsvorschrift Art. 45 V, Satz 2 DSGVO zur Rechtssicherheit) versus Überlagerung durch Art. 28 III DSGVO

➢ Wie weit dürfen Ergänzungen gehen ohne Genehmigungspflicht?

(kein Widerspruch zu Standardvertragsklauseln + keine Beschneidung der Grundrechte und Grundfreiheiten der Betroffenen)

Auftragsdatenverarbeitungen mit Drittlandbezug- Ein Praxisbeispiel -Herausforderungen:

▪ EuGH (Schrem II, C-311/18)

➢ Halten die Standardvertragsklauseln einer Überprüfung vor dem EuGH stand?(Vorwurf: u.a. keine ausreichenden Rechtsmittel für Nutzer)

➢ Was kommt danach?o EU/US-Privacy-Shield? Parallelverfahren vor dem EuGH (Quadrature du Net et al. / EU-Kommission)

o Neue Standarddatenschutzklauseln der Kommission, die nach Prüfverfahren gem. Art. 92 II DSGVO erlassen werden?

o Neue Standarddatenschutzklauseln einer Aufsichtsbehörde, die nach Prüfverfahren gem. Art. 92 II DSGVO angenommen werden?










Pause



Kooperationsveranstaltung des Landesbeauftragten für den ... · Begrüßung durch CCO, BASF SE...

Documents

Transcript of Kooperationsveranstaltung des Landesbeauftragten für den ... · Begrüßung durch CCO, BASF SE...