11. Dezember 2017 Tim Wybitul, Certified Privacy Professional / Europe (CIPP-E), Düsseldorf Rechtsanwalt, FA ArbR, Partner Hogan Lovells

Erfahrungsbericht:Umsetzung DSGVO und BDSG-neu in Unternehmen

Forum Versicherungsrecht

Zielbestimmung beiDSGVO-Umsetzungs-projekten

Zielbestimmung DSGVO-Projekte: Risikovermeidung

DSGVO und BDSG-neu sind ab Mai 2018 bindend – Kurzer verbleibender Umsetzungszeitraum

• Empfindliche Bußgelder von bis zu € 20 Mio. für natürliche Personen und von bis zu4 % des Konzernumsatzes

• Erweiterte Haftung für Unternehmen und Entscheidungsträger

• Beweislastumkehr: Unternehmen müssen Datenschutz-Compliance nachweisen

• Folge: Unternehmen müssen mit mehr Schadensersatz-forderungen von Kunden, Mitarbeitern und Dritten rechnen – Hürden für erfolgreiche Klagen deutlich herabgesetzt

Folgen bei Verstößen

• Recht auf umfangreichere Unterrichtung über Datenverarbeitung(z. B. Auskunft über Speicherdauer oder Verarbeitungszweck)

• Stärkere direkte Einflussnahme auf Datenverarbeitung(z. B. unverzügliches Recht auf Löschung, erweitertes Widerspruchsrecht)

• Neues Recht auf Bereitstellung übermittelter Daten(Datenübertragbarkeit – auch an Dritte)

• Einführung datenschutzfreundlicher Voreinstellungen und Pseudonymisierung

• Umfangreichere Abschätzung von Risiken (Datenschutz-Folgenabschätzung), ggf. vorherige Konsultationspflicht der Aufsichtsbehörde bei hohen Risiken

• Stärkung der Rolle (und der Haftung) des Datenschutzbeauftragten

• Strengere Regeln bei der Einwilligung für die Verarbeitung der Daten (z. B. Koppelungsverbot) und hohe Transparenz über Datenverarbeitungsvorgänge

• Erweiterte Dokumentations- und Nachweispflichten(z. B. bzgl. ergriffener Datenschutzmaßnahmen)

• Unverzügliche Meldepflicht bei Verstößen gegen Datenschutzbestimmungen

• Erweiterte Anforderungen an Verträge mit Auftragsverarbeitern (Dienstleister)

Verschärfte Unternehmenspflichten

i

!

€

§

Verstärkte Betroffenenrechte für Mitarbeiter und Kunden

Vermeidung hoher Bußgelder, erweiterter Haftung und von vermehrte Schadensersatzforderungen bei tatsächlichen oder vermeintlichen Verstößen

Anforderungender DSGVO

DSGVO verstärkt Betroffenenrechte und verschärft Pflichten

1. Koppelungsverbot: Verantwortliche dürfen die Erfüllung eines Vertrags nicht mehr davon abhängig machen, dass die betroffene Person in Datenverarbeitungen einwilligt, die für die Erfüllung des Vertrags nicht erforderlich sind 2. Nach dem Einheitstäterprinzip des deutschen Ordnungswidrigkeitengesetzes (OWiG) sind alle an einem Vergehen beteiligten Entscheidungsträger einem Bußgeldrisiko ausgesetztQuelle: BDSG, DSGVO, BCG Analyse, HL

DSGVO ist ab Mai 2018 bindend – Umsetzungszeitraum von weniger als 17 Monaten

• Recht auf umfangreichere Unterrichtung über Datenverarbeitung(z.B. Auskunft über Speicherdauer oder Verarbeitungszweck)

• Stärkere direkte Einflussnahme auf Datenverarbeitung(z.B. unverzügliches Recht auf Löschung, erweitertes Widerspruchsrecht)

• Neues Recht auf Bereitstellung übermittelter Daten(Datenübertragbarkeit – auch an Dritte)

Verstärkte Betroffenenrechte für Mitarbeiter und Kunden

• Empfindliche Bußgelder von bis zu 20 Mio. € für natürliche Personen2 und 4%des Konzernumsatzes je unabhängiger Verstoß)

• Erweiterte Haftung der Bank und von Auftragsverarbeitern

• Beweislastumkehr: Verantwortliche müssen Datenschutz-Compliance nachweisen

• Mit vermehrten Schadens-ersatzforderungen seitens Kunden, Mitarbeitern, Dritten ist zu rechnen – Hürden für erfolgreiche Klagen deutlich herabgesetzt

Folgen bei Verstößen

• Einführung datenschutzfreundlicher Voreinstellungen & Pseudonymisierung• Umfangreichere Abschätzung von Risiken (Datenschutz-Folgenabschätzung),

und vorherige Konsultationspflicht der Aufsichtsbehörde bei hohen Risiken• Stärkung der Rolle des Datenschutzbeauftragten• Strengere Regeln bei der Einwilligung für die Verarbeitung der Daten (z.B.

Koppelungsverbot1) und hohe Transparenz über Datenverarbeitungsvorgänge• Erweiterte Dokumentations- und Nachweispflichten

(z.B. bzgl. ergriffener Datenschutzmaßnahmen)• Unverzügliche Meldepflicht bei Verstößen gegen Datenschutzbestimmungen• Erweiterte Anforderungen an Verträge mit Auftragsverbeitern (Dienstleister)

Verschärfte Unternehmenspflichten

i

!

€

§

Draft—for discussion only

Hogan Lovells | 3

Typische Herausforderungen bei DSGVO-Projekten

Herausforderungen für Governance, Organisation, Richtlinien und Prozesse

Herausforderungen für IT-Prozesse und Anwendungen

Einführung neuer Prozesse

Anpassung bestehender Prozesse

Transparenz über Zwecke der Datenverarbeitung

Transparenz über Prozesse

Schärfung von Rollen u.Verantwortlichkeiten

Anpassung Formulare/ Musterschr./Verträge

Umfangreiche Dokumentation von Datenverarbeitungen

Nachgelagerte Kontroll- u. Überprüfungsmechanism.

Formulierung von Min-destanforderungen an IT

Schulung und Sensi-bilisierung d. Mitarbeiter

Anpassung und Entwicklung von Leitlinien

Löschfunktionen /-routinen

Berechtigungskonzepte

Speicherorttransparenz

Datenflusstransparenz

Identifizierungsmerkmale

Datenkonvertierung

Daten-Schnittstellen

Editierbarkeit

Automatisierungen

Sperren von Daten

Datenschutz und -sicherheit

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

Herausforderung Mittel NiedrigHoch

Anforderungen betreffen Governance, Organisation, Richtlinien, Prozesse und Anwendungen

Beispiele

Hogan Lovells | 4

• Datenschutzbeauftragter: Höhere (auch strafrechtliche?) Verantwortlichkeit nach DSGVO & BDSG-neu

• Recht/Legal: Inwiefern sind Änderungen und Anpassungen schon bestehender Regelungen/Richtlinien/Policies erforderlich?

• IT: Effektiveres Data Mapping erforderlich (Betroffenenrechte, Löschpflichten)

• Compliance: Andere Verantwortlichkeiten und Haftungsrisiken nach der DSGVO?

• HR/Personal: Auswirkungen der DSGVO auf die Personaldatenverarbeitung?

• Vorstand: Risikovermeidung / Risikoverringerung / Risikomanagement

• Betriebsrat: Ist der Abschluss einer Betriebsvereinbarung zur Umsetzung von DSGVO-Anforderungen bis zum Mai 2018 realistisch?

• PMO: Wie bekomme ich eine klare Struktur in das Projekt?

Die verschiedenen Protagonisten/Fachabteilungen haben unterschiedliche Interessen und Fragen

Zielbestimmung und beteiligte Unternehmensfunktionen

Neue Ausgangslage bei Schadensersatzforderungen wegen tatsächlichen oder behaupteten Datenschutzverstößen:

Ersatz immaterieller Schäden, Art. 82 DSGVO

Effektivitäts- /Äquivalenzgrundsatz

EWG 146: Begriff des Schadens soll weit ausgelegt werden und Zielen der DSGVO entsprechen, betroffene Personen sollen "vollständigen und wirksamen Schadensersatz" erhalten

Beweislast, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO

Verbandsklagen nach Art. 80 DSGVO & UKlaG

Abtretungen, Teilklagen, Verbraucherverbände

Beweisverwertungsverbote wegen Datenschutzverstößen, vgl. BAG "Keylogger"

Beispiel: Risiko zivilrechtlicher Schadensersatzforderungen

Spätere Risiken durch Vorbereitung vermeiden/verringern

• Primäres Risiko: Unzureichende Verteidigung in Rechtsstreitigkeiten

• Empfehlung: DSGVO-Implementierung mit dem Ziel umsetzen, rechtliche (und sonstige) Risiken effektiv zu verringern

• Problem: Beweislastumkehr nach Art. 24 Abs. 1 DSGVO

• Projektstrang 1: Allgemeine DSGVO-Dokumentation

• Projektstrang 2: Auf einzelne betroffene Personen (oder Gruppen von Personen) bezogene IT-Systeme

Klare Zielbestimmungen: Z.B. bei Verteidigungsstrategien

Projektziele von Anfang an klar undpräzise festlegen

Konkrete Planung bei DSGVO-Umsetzungsprojekten

Wesentliche Veränderungen des Datenschutz-Managements

Datenschutz-Managementa

Strukturen, Prozesse, Policies, z.B. Datenschutz-Folgenabschätzung

Dokumentationb

z.B. Verarbeitungsverzeichnis

Betroffenenrechte ohne Aufforderung (Push)c1

Betroffenenrechte auf Aufforderung (Pull)c2

Kunden Mitarbeiter

Betroffene

z. B. Informationspflicht z.B. Auskunftsrecht, Recht auf Löschung

Unternehmen

DATEN

Dritte

Hogan Lovells | 9

Indikative Einwertung zeigt hohes Risikopotenzial in allen vier Themenblöcken

DSGVO-Anforderungen mit hohem Risikopotenzial für Unternehmen

Hogan Lovells | 9

Legende: Mittel NiedrigHochBußgeld (max 2 % des Kon-zernumsatzes/€ 10 Mio.)

Bußgeld (max 4 % des Kon-zernumsatzes/€ 20 Mio.)

ThemenfelderThemenblöcke

Dokumentation

auf Aufforderung("Pull")

ohne Aufforderung ("Push")

Datenschutz-Management

Konsultationspflicht

Datenschutz und Sicherheit der Verarbeitung

Stellung, Ressourcen und Kompetenzen des DSB

Meldepflicht bei Datenverletzungen

Datenübermittlung an Drittländer

Vertragsmanagement

Auskunftsrecht

Berichtigungsrecht

Recht auf Löschung

Recht auf Einschränkung der Verarbeitung und Widerspruchsrecht

Recht auf Datenübertragbarkeit

Datenminimierung

Rechtmäßigkeitsprinzip

Zweckbindungsprinzip

Informationspflicht

Nachgelagerte Mitteilungspflicht

Dokumentationspflicht und Nachweispflicht

Profiling

Datenschutz-Folgenabschätzung

Einwilligungsmanagement

MöglichesRisikopotenzial(beispielhaft)

Artikel DSGVO

44-50

25,32

37 -39

33, 34

36

28

15

16

17

18, 21

20

5(1)c, 25

6, 7, 9, 88

5(1)b

13, 14

19

5(2), 24, 30

22

35

7, 24

a

b

c1

c2

Be

tro

ffe

ne

nr

ec

hte

Hogan Lovells | 10

Projektstrang Mitarbeiter: Von der Bewerbung bis zur Rente

• Eingang der Bewerbungs-unterlagen

• Datenerfassung des Bewerbers

• Überprüfung der Eignung für die konkrete Stelle

• Nachfragen oder Recherchen?

• Gespräch(e)

• Welche Fragen sind zulässig?

• Besprechung der Bewerbungs-unterlagen

• Vergleich mit anderen Bewerbern

• Einstellungs-entscheidung

• Löschen abgelehnter Bewerber?

• Erstellung Arbeitsvertrag

• Verschickung offizielles Angebot

• Unterzeichnung Arbeitsvertrag

• Aufnahme in Mitarbeiter-datenbanken

• Übermittlung von Personaldaten an Konzern-unternehmen

• Gehaltszahlungen

• Welche Daten fallen bei der Arbeit an?

• Verhaltens- und Leistungs-kontrollen?

• Compliance-Kontrollen

• Interne Ermittlungen?

• Z.B. Sozialauswahl?

• Abmahnungen?

• Kündigung

• Gerichtsverfahren

• Zeugnis

• Arbeitspapiere

• Betriebsrente?

• Löschen von Daten

Bewerbung Beschäftigungsverhältnis EinforderungEinstellung

Beendigung NachleseBewerbungs-

gesprächEntscheidung DurchführungEinstellung Begründung

EingangBewerbungs-

unterlagen

Hogan Lovells | 11

Projektstrang Kunde: Am Beispiel der Kreditprozesse einer Bank

• Datenerfassung der Kunden

• Einreichen ausgefüllten Antragsformulars

• Pre-check der Kreditvoraus-setzungen und Erstvotum

• Prüfung der Unterlagen

• Durchführung der Bonitäts-analyse

• Bearbeitung der Sicherheiten

• Vorbereitung der Beschlussvorlage

• Zweitvotum

• Kredit-entscheidung

• Erstellung des Vertrags

• Verschickung offiziellen Angebots

• Unterzeichnung des Vertrags

• Kontoneuanlage

• Auszahlung des Kredits

• Archivierung der Unterlagen

• Änderung der Kundendaten

• Prolongationen des Kredits

• Bearbeitung laufender Anfragen

• Laufende Datensammlung

• Laufende Boni-tätsbeurteilung

• Sicherheiten-management

• Tilgung des Kredits

• Kündigung des Kredits

• Löschung des Kreditkontos/ Kunden

Antrag Verwaltung EinforderungAntragsbearbeitung/Entscheidung

ÜberwachungTilgung/

KündigungBonitäts-analyse

Entscheidung ServiceDokumentation AbwicklungKreditantrag

Hogan Lovells | 12

Fokus auf Governance, Organisation, Richtlinien und Prozesse (AUSZUG)

Herausforderungen mit konkreten Implikationen verbunden

Herausforderung Mittel NiedrigHoch

Rec

hte

un

d P

flic

hte

n n

ach

der

DS

GV

O

Nachgelagerte Kontroll- und Überprüfungsmechanismen: Zentrale Kontrollen zur Einhaltung der Anforderungen insbesondere bei Anforderungen mit hohem Risikopotenzial

Überarbeitung/Schärfung Rollen und Verantwortlichkeiten: Rollen und Verantwortlichkeiten (inkl. Aufgabenprofil) sind an die neuen/erweiterten Anforderungen anzupassen (inkl. Entscheidungsbefugnissen)

Anpassung bestehender Prozesse: Anpassung bereits bestehender Prozesse um die erweiterten Anforderungen, insbesondere Effizienzoptimierung zur Einhaltung der Fristen

Einführung neuer Prozesse: Etablierung neuer Prozesse für die neuen Anforderungen

Umfangreiche Dokumentation von Datenverarbeitungen: Dokumentation aller Verarbeitungsschritte, -ergebnisse, Kommunikation mit Betroffenen (z.B. Dokumentation der Einwilligungen), Datenschutz-Folgenabschätzung

Transparenz über Prozesse: Vollständige Transparenz über Datenverarbeitungsprozesse von der Erhebung bis hin zur Speicherung oder Löschung der personenbezogenen Daten

Anpassung und Entwicklung von Leitlinien: Anpassung von übergreifenden und spezifischen Leitlinien um die erweiterten Anforderungen

Transparenz über Zwecke der Datenverarbeitung: Vollständige Transparenz über Datenverarbeitungszwecke von der Erhebung bis hin zur Speicherung oder Löschung der personenbezogenen Daten

Anpassung Formulare/Musterschreiben/Verträge: Formulare, Musterschreiben und sonstige Kundenkommunikation soll den neuen/erweiterten Anforderungen entsprechen

Schulung und Sensibilisierung der Mitarbeiter: Sowohl allgemeine als auch spezifische Schulungen, die die neuen und erweiterten Anforderungen beinhalten, sind zu identifizieren und zu konzipieren

Formulierung von Mindestanforderungen an IT: Vorgabe von Mindestanforderungen für IT-Systeme (z.B. Löschkonzept)

1

2

3

4

5

6

7

8

9

10

11

Pr

oz

es

se

Go

ve

rna

n-c

e/O

rga

Ric

ht-

lin

ien

Hogan Lovells | 13

Vorstände sollten in Bezug auf DSGVO/BDSG-neu frühzeitig und regelmäßig sensibilisiert werden, da

• das ganze Unternehmen von den Verschärfungen des Datenschutzes betroffen ist (nicht nur einzelne Fachbereiche)

• die Missachtung der Verordnung schwerwiegende Folgen für das Unternehmen hat, insbesondere durch die empfindlichen Bußgelder

• diese durch die erweiterte Haftung für Unternehmen und Entscheidungsträger persönlich betroffen sind

• diese eine entscheidende Rolle bei der Sensibilisierung der Mitarbeiter ("Tone from the Top") und dem Aufbau einer effektiven Datenschutzkultur spielen

Beispiel: Kommunikation mit Vorstand und Management

Komplexität der DSGVO und kurze Umsetzungsfrist erfordern risikoorientierte Verteidigungsstrategie fürUnternehmen / Vorstände / Management / GF / sonstige betroffene Entscheidungsträger

Empfindliche Bußgelder und persönliche Haftungsrisiken erfordern Einbindung der Vorstände

Erfahrungsberichte aus laufenden

DSGVO-Projekten

Erfahrungen aus laufenden Umsetzungsprojekten

• Die Anderen sind auch zu spät dran und kriegen zu wenig Budget

• Kaum ein Unternehmen wird 80/20 schaffen

• Beteiligte sollten sich auf Hektik einstellen, wenn erste Bußgelder verhängt werden oder erste Schadensersatzforderungen zugesprochen

• GAP-Analyse bringt oft deutlich weniger als erwartet

• Bei der Zielbestimmung der Projekte wird oft viel falsch gemacht

• Klare Abstimmung zur Einwertung realistischer Bußgeldrisiken

• Vermeidung von Schadensersatzansprüchen wird oft unterschätzt

• Data Mapping könnte i.d.R. effektiver gestaltetet werden

• Verarbeitungsverzeichnis sollte sorgfältiger (und als Datenbank)geplant und effektiv eingesetzt werden

Fazit DSGVO-Projekte

Noch ist etwas Zeit…

Erfahrungen aus laufenden Umsetzungsprojekten

• DSB-Strukturen werden oft zu spät geplant(zentral/dezentral/förmliche Benennung oder "DS-Champions")

• Abstimmung mit Betriebsräten wird in aller Regel unterschätzt – v.a. in Bezug auf Zeitrahmen für Einigungen

• Betriebsvereinbarungen werden selten professionell geplant (Rahmen-Betriebsvereinbarung/schlanker oder umfassender Ansatz usw.)

• Die Anderen sind am 25. Mai 2018 auch nicht fertig –Planung ist auch über diesen Termin hinaus dringend nötig

• Compliance-Anforderungen, Rechtsprechung und Vorgehen der Datenschutzbehörden werden sich ab 2018 sehr dynamisch entwickeln

• Erwartungsmanagement ("CYA") wird oft vernachlässigt –ein gutes DSMS kostet Geld, Zeit, PMO und andere Ressourcen

Fazit DSGVO-Projekte

…aber viel Zeit ist es nicht mehr

Hogan Lovells | 17

Ihre Fragen, Erfahrungen &

Meinungen

T Führender Name im Datenschutz – JUVE Handbuch

2015/2016 und 2016/2017 sehr gut, sehr pragmatisch u. überaus praxisbezogen“,

Mandant - JUVE Handbuch 2016/2017 „hat absolut Boardroom Grade“, „bester Datenschützer auf

dem Markt“, Mandanten - JUVE Handbuch 2016/2017 "Immer lösungsorientiert, kluge Beratung mit Blick fürs

Wesentliche", Mandant - JUVE Handbuch 2015/2016 „sehr tiefe Kenntnis im Datenschutz u. dem Bereich interne

Ermittlungen, kreativ, lösungsorientiert“, Wettbewerber; JUVE Handbuch 2015/2016

"brillanter Jurist mit klarem Blick für die Praxis", Mandant –JUVE Handbuch, 2013/14

Häufig empfohlener Anwalt für Datenschutz, Compliance und Arbeitsrecht - JUVE Handbuch 2015/2016

"brillanter Datenschutzmann", Wettbewerber; JUVE Handbuch 2015/2016

Awards und Rankings

tim.wybitul@hoganlovells.com

+49 69 962 36 321

Tim Wybitul berät Unternehmen im Datenschutz und zu angrenzenden Fragen wie Compliance, Arbeitsrecht und bei internen

Ermittlungen. Schwerpunkte der Beratung von Tim Wybitul liegen bei der Einführung und Anpassung interner Regelungen und

Systeme zum Umgang mit personenbezogenen Daten und IT-Systemen sowie der Einführung und Verbesserung effektiver

Datenschutz Management Systeme (DSMS). Auch bei der Verhandlung entsprechender Betriebsvereinbarungen verfügt er als

Fachanwalt für Arbeitsrecht über umfassende Erfahrungen.

Tim Wybitul ist Autor zahlreicher Veröffentlichungen zu Datenschutz und zu Compliance, darunter der kürzlich erschienene

Praxisleitfaden „EU-Datenschutz-Grundverordnung im Unternehmen“. Tim Wybitul ist Herausgeber der im C.H. Beck Verlag

erscheinenden „Zeitschrift für Datenschutz“ (ZD). Der Deutsche Bundestag bestellte Wybitul zum Einzelsachverständigen für

einen Gesetzentwurf zu Datenschutzfragen. Bundesarbeitsgericht und Bundesgerichtshof zitieren seine Veröffentlichungen in

mehreren Entscheidungen. Er ist Lehrbeauftragter für Datenschutzrecht an der Goethe-Universität Frankfurt.

Relevante Beispiele seiner Tätigkeit

– Beratung einer großen deutschen Versicherung zu Datenschutz und Compliance

– Beratung einer großen deutschen Versicherung zum Beschäftigtendatenschutz nebst Betriebsratsverhandlungen

– Beratung eines internationalen Bau- und Servicekonzerns zur Umsetzung der DSGVO

– Beratung einer großen deutschen Landesbank zur Umsetzung der DSGVO

– Beratung mehrerer weiterer Unternehmen zur Implementierung der DSGVO

– Beratung einer Großbank zu datenschutzrechtlichen Fragen bei Fusion mir anderem Institut

– Fortlaufende Beratung einer Großbank zu Fragen des Beschäftigtendatenschutzes und sonstigen datenschutzrechtlichen

Anforderungen

Partner, Frankfurt

CV

Tim Wybitul

| 18Hogan Lovells | Dezember 2017

"Hogan Lovells" oder die "Sozietät" ist eine internationale Anwaltssozietät, zu der Hogan Lovells International LLP und Hogan Lovells US LLP und ihnen nahestehende Gesellschaften gehören.

Die Bezeichnung "Partner" beschreibt einen Partner oder ein Mitglied von Hogan Lovells International LLP, Hogan Lovells US LLP oder einer der ihnen nahestehenden Gesellschaften oder einen Mitarbeiter oder Berater mit entsprechender

Stellung. Einzelne Personen, die als Partner bezeichnet werden, aber nicht Mitglieder von Hogan Lovells International LLP sind, verfügen nicht über eine Qualifikation, die der von Mitgliedern entspricht.

Weitere Informationen über Hogan Lovells, die Partner und deren Qualifikationen, finden Sie unter www.hoganlovells.com.

Sofern Fallstudien dargestellt sind, garantieren die dort erzielten Ergebnisse nicht einen ähnlichen Ausgang für andere Mandanten. Anwaltswerbung. Abbildungen von Personen zeigen aktuelle oder ehemalige Anwälte und Mitarbeiter von

Hogan Lovells oder Models, die nicht mit der Sozietät in Verbindung stehen.

© Hogan Lovells 2016. Alle Rechte vorbehalten.

www.hoganlovells.com