Read this and then delete before using your presentation! · Zielbestimmung DSGVO-Projekte:...
Transcript of Read this and then delete before using your presentation! · Zielbestimmung DSGVO-Projekte:...
11. Dezember 2017 Tim Wybitul, Certified Privacy Professional / Europe (CIPP-E), Düsseldorf Rechtsanwalt, FA ArbR, Partner Hogan Lovells
Erfahrungsbericht:Umsetzung DSGVO und BDSG-neu in Unternehmen
Forum Versicherungsrecht
Zielbestimmung DSGVO-Projekte: Risikovermeidung
DSGVO und BDSG-neu sind ab Mai 2018 bindend – Kurzer verbleibender Umsetzungszeitraum
• Empfindliche Bußgelder von bis zu € 20 Mio. für natürliche Personen und von bis zu4 % des Konzernumsatzes
• Erweiterte Haftung für Unternehmen und Entscheidungsträger
• Beweislastumkehr: Unternehmen müssen Datenschutz-Compliance nachweisen
• Folge: Unternehmen müssen mit mehr Schadensersatz-forderungen von Kunden, Mitarbeitern und Dritten rechnen – Hürden für erfolgreiche Klagen deutlich herabgesetzt
Folgen bei Verstößen
• Recht auf umfangreichere Unterrichtung über Datenverarbeitung(z. B. Auskunft über Speicherdauer oder Verarbeitungszweck)
• Stärkere direkte Einflussnahme auf Datenverarbeitung(z. B. unverzügliches Recht auf Löschung, erweitertes Widerspruchsrecht)
• Neues Recht auf Bereitstellung übermittelter Daten(Datenübertragbarkeit – auch an Dritte)
• Einführung datenschutzfreundlicher Voreinstellungen und Pseudonymisierung
• Umfangreichere Abschätzung von Risiken (Datenschutz-Folgenabschätzung), ggf. vorherige Konsultationspflicht der Aufsichtsbehörde bei hohen Risiken
• Stärkung der Rolle (und der Haftung) des Datenschutzbeauftragten
• Strengere Regeln bei der Einwilligung für die Verarbeitung der Daten (z. B. Koppelungsverbot) und hohe Transparenz über Datenverarbeitungsvorgänge
• Erweiterte Dokumentations- und Nachweispflichten(z. B. bzgl. ergriffener Datenschutzmaßnahmen)
• Unverzügliche Meldepflicht bei Verstößen gegen Datenschutzbestimmungen
• Erweiterte Anforderungen an Verträge mit Auftragsverarbeitern (Dienstleister)
Verschärfte Unternehmenspflichten
i
!
€
§
Verstärkte Betroffenenrechte für Mitarbeiter und Kunden
Vermeidung hoher Bußgelder, erweiterter Haftung und von vermehrte Schadensersatzforderungen bei tatsächlichen oder vermeintlichen Verstößen
Anforderungender DSGVO
DSGVO verstärkt Betroffenenrechte und verschärft Pflichten
1. Koppelungsverbot: Verantwortliche dürfen die Erfüllung eines Vertrags nicht mehr davon abhängig machen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung des Vertrags nicht erforderlich sind 2. Nach dem Einheitstäterprinzip des deutschen Ordnungswidrigkeitengesetzes (OWiG) sind alle an einem Vergehen beteiligten Entscheidungsträger einem Bußgeldrisiko ausgesetztQuelle: BDSG, DSGVO, BCG Analyse, HL
DSGVO ist ab Mai 2018 bindend – Umsetzungszeitraum von weniger als 17 Monaten
• Recht auf umfangreichere Unterrichtung über Datenverarbeitung(z.B. Auskunft über Speicherdauer oder Verarbeitungszweck)
• Stärkere direkte Einflussnahme auf Datenverarbeitung(z.B. unverzügliches Recht auf Löschung, erweitertes Widerspruchsrecht)
• Neues Recht auf Bereitstellung übermittelter Daten(Datenübertragbarkeit – auch an Dritte)
Verstärkte Betroffenenrechte für Mitarbeiter und Kunden
• Empfindliche Bußgelder von bis zu 20 Mio. € für natürliche Personen2 und 4%des Konzernumsatzes je unabhängiger Verstoß)
• Erweiterte Haftung der Bank und von Auftragsverarbeitern
• Beweislastumkehr: Verantwortliche müssen Datenschutz-Compliance nachweisen
• Mit vermehrten Schadens-ersatzforderungen seitens Kunden, Mitarbeitern, Dritten ist zu rechnen – Hürden für erfolgreiche Klagen deutlich herabgesetzt
Folgen bei Verstößen
• Einführung datenschutzfreundlicher Voreinstellungen & Pseudonymisierung• Umfangreichere Abschätzung von Risiken (Datenschutz-Folgenabschätzung),
und vorherige Konsultationspflicht der Aufsichtsbehörde bei hohen Risiken• Stärkung der Rolle des Datenschutzbeauftragten• Strengere Regeln bei der Einwilligung für die Verarbeitung der Daten (z.B.
Koppelungsverbot1) und hohe Transparenz über Datenverarbeitungsvorgänge• Erweiterte Dokumentations- und Nachweispflichten
(z.B. bzgl. ergriffener Datenschutzmaßnahmen)• Unverzügliche Meldepflicht bei Verstößen gegen Datenschutzbestimmungen• Erweiterte Anforderungen an Verträge mit Auftragsverbeitern (Dienstleister)
Verschärfte Unternehmenspflichten
i
!
€
§
Draft—for discussion only
Hogan Lovells | 3
Typische Herausforderungen bei DSGVO-Projekten
Herausforderungen für Governance, Organisation, Richtlinien und Prozesse
Herausforderungen für IT-Prozesse und Anwendungen
Einführung neuer Prozesse
Anpassung bestehender Prozesse
Transparenz über Zwecke der Datenverarbeitung
Transparenz über Prozesse
Schärfung von Rollen u.Verantwortlichkeiten
Anpassung Formulare/ Musterschr./Verträge
Umfangreiche Dokumentation von Datenverarbeitungen
Nachgelagerte Kontroll- u. Überprüfungsmechanism.
Formulierung von Min-destanforderungen an IT
Schulung und Sensi-bilisierung d. Mitarbeiter
Anpassung und Entwicklung von Leitlinien
Löschfunktionen /-routinen
Berechtigungskonzepte
Speicherorttransparenz
Datenflusstransparenz
Identifizierungsmerkmale
Datenkonvertierung
Daten-Schnittstellen
Editierbarkeit
Automatisierungen
Sperren von Daten
Datenschutz und -sicherheit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Herausforderung Mittel NiedrigHoch
Anforderungen betreffen Governance, Organisation, Richtlinien, Prozesse und Anwendungen
Beispiele
Hogan Lovells | 4
• Datenschutzbeauftragter: Höhere (auch strafrechtliche?) Verantwortlichkeit nach DSGVO & BDSG-neu
• Recht/Legal: Inwiefern sind Änderungen und Anpassungen schon bestehender Regelungen/Richtlinien/Policies erforderlich?
• IT: Effektiveres Data Mapping erforderlich (Betroffenenrechte, Löschpflichten)
• Compliance: Andere Verantwortlichkeiten und Haftungsrisiken nach der DSGVO?
• HR/Personal: Auswirkungen der DSGVO auf die Personaldatenverarbeitung?
• Vorstand: Risikovermeidung / Risikoverringerung / Risikomanagement
• Betriebsrat: Ist der Abschluss einer Betriebsvereinbarung zur Umsetzung von DSGVO-Anforderungen bis zum Mai 2018 realistisch?
• PMO: Wie bekomme ich eine klare Struktur in das Projekt?
Die verschiedenen Protagonisten/Fachabteilungen haben unterschiedliche Interessen und Fragen
Zielbestimmung und beteiligte Unternehmensfunktionen
Neue Ausgangslage bei Schadensersatzforderungen wegen tatsächlichen oder behaupteten Datenschutzverstößen:
Ersatz immaterieller Schäden, Art. 82 DSGVO
Effektivitäts- /Äquivalenzgrundsatz
EWG 146: Begriff des Schadens soll weit ausgelegt werden und Zielen der DSGVO entsprechen, betroffene Personen sollen "vollständigen und wirksamen Schadensersatz" erhalten
Beweislast, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO
Verbandsklagen nach Art. 80 DSGVO & UKlaG
Abtretungen, Teilklagen, Verbraucherverbände
Beweisverwertungsverbote wegen Datenschutzverstößen, vgl. BAG "Keylogger"
Beispiel: Risiko zivilrechtlicher Schadensersatzforderungen
Spätere Risiken durch Vorbereitung vermeiden/verringern
• Primäres Risiko: Unzureichende Verteidigung in Rechtsstreitigkeiten
• Empfehlung: DSGVO-Implementierung mit dem Ziel umsetzen, rechtliche (und sonstige) Risiken effektiv zu verringern
• Problem: Beweislastumkehr nach Art. 24 Abs. 1 DSGVO
• Projektstrang 1: Allgemeine DSGVO-Dokumentation
• Projektstrang 2: Auf einzelne betroffene Personen (oder Gruppen von Personen) bezogene IT-Systeme
Klare Zielbestimmungen: Z.B. bei Verteidigungsstrategien
Projektziele von Anfang an klar undpräzise festlegen
Wesentliche Veränderungen des Datenschutz-Managements
Datenschutz-Managementa
Strukturen, Prozesse, Policies, z.B. Datenschutz-Folgenabschätzung
Dokumentationb
z.B. Verarbeitungsverzeichnis
Betroffenenrechte ohne Aufforderung (Push)c1
Betroffenenrechte auf Aufforderung (Pull)c2
Kunden Mitarbeiter
Betroffene
z. B. Informationspflicht z.B. Auskunftsrecht, Recht auf Löschung
Unternehmen
DATEN
Dritte
Hogan Lovells | 9
Indikative Einwertung zeigt hohes Risikopotenzial in allen vier Themenblöcken
DSGVO-Anforderungen mit hohem Risikopotenzial für Unternehmen
Hogan Lovells | 9
Legende: Mittel NiedrigHochBußgeld (max 2 % des Kon-zernumsatzes/€ 10 Mio.)
Bußgeld (max 4 % des Kon-zernumsatzes/€ 20 Mio.)
ThemenfelderThemenblöcke
Dokumentation
auf Aufforderung("Pull")
ohne Aufforderung ("Push")
Datenschutz-Management
Konsultationspflicht
Datenschutz und Sicherheit der Verarbeitung
Stellung, Ressourcen und Kompetenzen des DSB
Meldepflicht bei Datenverletzungen
Datenübermittlung an Drittländer
Vertragsmanagement
Auskunftsrecht
Berichtigungsrecht
Recht auf Löschung
Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht
Recht auf Datenübertragbarkeit
Datenminimierung
Rechtmäßigkeitsprinzip
Zweckbindungsprinzip
Informationspflicht
Nachgelagerte Mitteilungspflicht
Dokumentationspflicht und Nachweispflicht
Profiling
Datenschutz-Folgenabschätzung
Einwilligungsmanagement
MöglichesRisikopotenzial(beispielhaft)
Artikel DSGVO
44-50
25,32
37 -39
33, 34
36
28
15
16
17
18, 21
20
5(1)c, 25
6, 7, 9, 88
5(1)b
13, 14
19
5(2), 24, 30
22
35
7, 24
a
b
c1
c2
Be
tro
ffe
ne
nr
ec
hte
Hogan Lovells | 10
Projektstrang Mitarbeiter: Von der Bewerbung bis zur Rente
• Eingang der Bewerbungs-unterlagen
• Datenerfassung des Bewerbers
• Überprüfung der Eignung für die konkrete Stelle
• Nachfragen oder Recherchen?
• Gespräch(e)
• Welche Fragen sind zulässig?
• Besprechung der Bewerbungs-unterlagen
• Vergleich mit anderen Bewerbern
• Einstellungs-entscheidung
• Löschen abgelehnter Bewerber?
• Erstellung Arbeitsvertrag
• Verschickung offizielles Angebot
• Unterzeichnung Arbeitsvertrag
• Aufnahme in Mitarbeiter-datenbanken
• Übermittlung von Personaldaten an Konzern-unternehmen
• Gehaltszahlungen
• Welche Daten fallen bei der Arbeit an?
• Verhaltens- und Leistungs-kontrollen?
• Compliance-Kontrollen
• Interne Ermittlungen?
• Z.B. Sozialauswahl?
• Abmahnungen?
• Kündigung
• Gerichtsverfahren
• Zeugnis
• Arbeitspapiere
• Betriebsrente?
• Löschen von Daten
Bewerbung Beschäftigungsverhältnis EinforderungEinstellung
Beendigung NachleseBewerbungs-
gesprächEntscheidung DurchführungEinstellung Begründung
EingangBewerbungs-
unterlagen
Hogan Lovells | 11
Projektstrang Kunde: Am Beispiel der Kreditprozesse einer Bank
• Datenerfassung der Kunden
• Einreichen ausgefüllten Antragsformulars
• Pre-check der Kreditvoraus-setzungen und Erstvotum
• Prüfung der Unterlagen
• Durchführung der Bonitäts-analyse
• Bearbeitung der Sicherheiten
• Vorbereitung der Beschlussvorlage
• Zweitvotum
• Kredit-entscheidung
• Erstellung des Vertrags
• Verschickung offiziellen Angebots
• Unterzeichnung des Vertrags
• Kontoneuanlage
• Auszahlung des Kredits
• Archivierung der Unterlagen
• Änderung der Kundendaten
• Prolongationen des Kredits
• Bearbeitung laufender Anfragen
• Laufende Datensammlung
• Laufende Boni-tätsbeurteilung
• Sicherheiten-management
• Tilgung des Kredits
• Kündigung des Kredits
• Löschung des Kreditkontos/ Kunden
Antrag Verwaltung EinforderungAntragsbearbeitung/Entscheidung
ÜberwachungTilgung/
KündigungBonitäts-analyse
Entscheidung ServiceDokumentation AbwicklungKreditantrag
Hogan Lovells | 12
Fokus auf Governance, Organisation, Richtlinien und Prozesse (AUSZUG)
Herausforderungen mit konkreten Implikationen verbunden
Herausforderung Mittel NiedrigHoch
Rec
hte
un
d P
flic
hte
n n
ach
der
DS
GV
O
Nachgelagerte Kontroll- und Überprüfungsmechanismen: Zentrale Kontrollen zur Einhaltung der Anforderungen insbesondere bei Anforderungen mit hohem Risikopotenzial
Überarbeitung/Schärfung Rollen und Verantwortlichkeiten: Rollen und Verantwortlichkeiten (inkl. Aufgabenprofil) sind an die neuen/erweiterten Anforderungen anzupassen (inkl. Entscheidungsbefugnissen)
Anpassung bestehender Prozesse: Anpassung bereits bestehender Prozesse um die erweiterten Anforderungen, insbesondere Effizienzoptimierung zur Einhaltung der Fristen
Einführung neuer Prozesse: Etablierung neuer Prozesse für die neuen Anforderungen
Umfangreiche Dokumentation von Datenverarbeitungen: Dokumentation aller Verarbeitungsschritte, -ergebnisse, Kommunikation mit Betroffenen (z.B. Dokumentation der Einwilligungen), Datenschutz-Folgenabschätzung
Transparenz über Prozesse: Vollständige Transparenz über Datenverarbeitungsprozesse von der Erhebung bis hin zur Speicherung oder Löschung der personenbezogenen Daten
Anpassung und Entwicklung von Leitlinien: Anpassung von übergreifenden und spezifischen Leitlinien um die erweiterten Anforderungen
Transparenz über Zwecke der Datenverarbeitung: Vollständige Transparenz über Datenverarbeitungszwecke von der Erhebung bis hin zur Speicherung oder Löschung der personenbezogenen Daten
Anpassung Formulare/Musterschreiben/Verträge: Formulare, Musterschreiben und sonstige Kundenkommunikation soll den neuen/erweiterten Anforderungen entsprechen
Schulung und Sensibilisierung der Mitarbeiter: Sowohl allgemeine als auch spezifische Schulungen, die die neuen und erweiterten Anforderungen beinhalten, sind zu identifizieren und zu konzipieren
Formulierung von Mindestanforderungen an IT: Vorgabe von Mindestanforderungen für IT-Systeme (z.B. Löschkonzept)
1
2
3
4
5
6
7
8
9
10
11
Pr
oz
es
se
Go
ve
rna
n-c
e/O
rga
Ric
ht-
lin
ien
Hogan Lovells | 13
Vorstände sollten in Bezug auf DSGVO/BDSG-neu frühzeitig und regelmäßig sensibilisiert werden, da
• das ganze Unternehmen von den Verschärfungen des Datenschutzes betroffen ist (nicht nur einzelne Fachbereiche)
• die Missachtung der Verordnung schwerwiegende Folgen für das Unternehmen hat, insbesondere durch die empfindlichen Bußgelder
• diese durch die erweiterte Haftung für Unternehmen und Entscheidungsträger persönlich betroffen sind
• diese eine entscheidende Rolle bei der Sensibilisierung der Mitarbeiter ("Tone from the Top") und dem Aufbau einer effektiven Datenschutzkultur spielen
Beispiel: Kommunikation mit Vorstand und Management
Komplexität der DSGVO und kurze Umsetzungsfrist erfordern risikoorientierte Verteidigungsstrategie fürUnternehmen / Vorstände / Management / GF / sonstige betroffene Entscheidungsträger
Empfindliche Bußgelder und persönliche Haftungsrisiken erfordern Einbindung der Vorstände
Erfahrungen aus laufenden Umsetzungsprojekten
• Die Anderen sind auch zu spät dran und kriegen zu wenig Budget
• Kaum ein Unternehmen wird 80/20 schaffen
• Beteiligte sollten sich auf Hektik einstellen, wenn erste Bußgelder verhängt werden oder erste Schadensersatzforderungen zugesprochen
• GAP-Analyse bringt oft deutlich weniger als erwartet
• Bei der Zielbestimmung der Projekte wird oft viel falsch gemacht
• Klare Abstimmung zur Einwertung realistischer Bußgeldrisiken
• Vermeidung von Schadensersatzansprüchen wird oft unterschätzt
• Data Mapping könnte i.d.R. effektiver gestaltetet werden
• Verarbeitungsverzeichnis sollte sorgfältiger (und als Datenbank)geplant und effektiv eingesetzt werden
Fazit DSGVO-Projekte
Noch ist etwas Zeit…
Erfahrungen aus laufenden Umsetzungsprojekten
• DSB-Strukturen werden oft zu spät geplant(zentral/dezentral/förmliche Benennung oder "DS-Champions")
• Abstimmung mit Betriebsräten wird in aller Regel unterschätzt – v.a. in Bezug auf Zeitrahmen für Einigungen
• Betriebsvereinbarungen werden selten professionell geplant (Rahmen-Betriebsvereinbarung/schlanker oder umfassender Ansatz usw.)
• Die Anderen sind am 25. Mai 2018 auch nicht fertig –Planung ist auch über diesen Termin hinaus dringend nötig
• Compliance-Anforderungen, Rechtsprechung und Vorgehen der Datenschutzbehörden werden sich ab 2018 sehr dynamisch entwickeln
• Erwartungsmanagement ("CYA") wird oft vernachlässigt –ein gutes DSMS kostet Geld, Zeit, PMO und andere Ressourcen
Fazit DSGVO-Projekte
…aber viel Zeit ist es nicht mehr
T Führender Name im Datenschutz – JUVE Handbuch
2015/2016 und 2016/2017 sehr gut, sehr pragmatisch u. überaus praxisbezogen“,
Mandant - JUVE Handbuch 2016/2017 „hat absolut Boardroom Grade“, „bester Datenschützer auf
dem Markt“, Mandanten - JUVE Handbuch 2016/2017 "Immer lösungsorientiert, kluge Beratung mit Blick fürs
Wesentliche", Mandant - JUVE Handbuch 2015/2016 „sehr tiefe Kenntnis im Datenschutz u. dem Bereich interne
Ermittlungen, kreativ, lösungsorientiert“, Wettbewerber; JUVE Handbuch 2015/2016
"brillanter Jurist mit klarem Blick für die Praxis", Mandant –JUVE Handbuch, 2013/14
Häufig empfohlener Anwalt für Datenschutz, Compliance und Arbeitsrecht - JUVE Handbuch 2015/2016
"brillanter Datenschutzmann", Wettbewerber; JUVE Handbuch 2015/2016
Awards und Rankings
+49 69 962 36 321
Tim Wybitul berät Unternehmen im Datenschutz und zu angrenzenden Fragen wie Compliance, Arbeitsrecht und bei internen
Ermittlungen. Schwerpunkte der Beratung von Tim Wybitul liegen bei der Einführung und Anpassung interner Regelungen und
Systeme zum Umgang mit personenbezogenen Daten und IT-Systemen sowie der Einführung und Verbesserung effektiver
Datenschutz Management Systeme (DSMS). Auch bei der Verhandlung entsprechender Betriebsvereinbarungen verfügt er als
Fachanwalt für Arbeitsrecht über umfassende Erfahrungen.
Tim Wybitul ist Autor zahlreicher Veröffentlichungen zu Datenschutz und zu Compliance, darunter der kürzlich erschienene
Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“. Tim Wybitul ist Herausgeber der im C.H. Beck Verlag
erscheinenden „Zeitschrift für Datenschutz“ (ZD). Der Deutsche Bundestag bestellte Wybitul zum Einzelsachverständigen für
einen Gesetzentwurf zu Datenschutzfragen. Bundesarbeitsgericht und Bundesgerichtshof zitieren seine Veröffentlichungen in
mehreren Entscheidungen. Er ist Lehrbeauftragter für Datenschutzrecht an der Goethe-Universität Frankfurt.
Relevante Beispiele seiner Tätigkeit
– Beratung einer großen deutschen Versicherung zu Datenschutz und Compliance
– Beratung einer großen deutschen Versicherung zum Beschäftigtendatenschutz nebst Betriebsratsverhandlungen
– Beratung eines internationalen Bau- und Servicekonzerns zur Umsetzung der DSGVO
– Beratung einer großen deutschen Landesbank zur Umsetzung der DSGVO
– Beratung mehrerer weiterer Unternehmen zur Implementierung der DSGVO
– Beratung einer Großbank zu datenschutzrechtlichen Fragen bei Fusion mir anderem Institut
– Fortlaufende Beratung einer Großbank zu Fragen des Beschäftigtendatenschutzes und sonstigen datenschutzrechtlichen
Anforderungen
Partner, Frankfurt
CV
Tim Wybitul
| 18Hogan Lovells | Dezember 2017
"Hogan Lovells" oder die "Sozietät" ist eine internationale Anwaltssozietät, zu der Hogan Lovells International LLP und Hogan Lovells US LLP und ihnen nahestehende Gesellschaften gehören.
Die Bezeichnung "Partner" beschreibt einen Partner oder ein Mitglied von Hogan Lovells International LLP, Hogan Lovells US LLP oder einer der ihnen nahestehenden Gesellschaften oder einen Mitarbeiter oder Berater mit entsprechender
Stellung. Einzelne Personen, die als Partner bezeichnet werden, aber nicht Mitglieder von Hogan Lovells International LLP sind, verfügen nicht über eine Qualifikation, die der von Mitgliedern entspricht.
Weitere Informationen über Hogan Lovells, die Partner und deren Qualifikationen, finden Sie unter www.hoganlovells.com.
Sofern Fallstudien dargestellt sind, garantieren die dort erzielten Ergebnisse nicht einen ähnlichen Ausgang für andere Mandanten. Anwaltswerbung. Abbildungen von Personen zeigen aktuelle oder ehemalige Anwälte und Mitarbeiter von
Hogan Lovells oder Models, die nicht mit der Sozietät in Verbindung stehen.
© Hogan Lovells 2016. Alle Rechte vorbehalten.
www.hoganlovells.com