SlideShare ist ein Scribd-Unternehmen logo
1 von 29
Downloaden Sie, um offline zu lesen
Datenschutzgrundverordnung (DS-GVO) –
Basics
1
Wer wir sind
LFR Wirtschaftsanwälte ist eine Münchener Wirtschaftsrechtskanzlei.
Wir beraten deutsche und internationale Mandanten im Gesellschafts-
und Handelsrecht, Arbeitsrecht, gewerblichen Rechtsschutz,
Immobilienrecht, internationalen Wirtschaftsrecht und allgemeinen
Prozessrecht. Aktuell unterstützen wir unsere Mandanten - darunter
kleinere Mittelständler, aber auch venture-finanzierte Gesellschaften
bei der Umsetzung der DS-GVO.
2
Grundsätze
der
DS-GVO
3
Worum geht es?
Antwort: den Schutz personenbezogener
Daten!
Was ist das?
Antwort: Im Zweifel alles
4
Legaldefinition „personenbezogene
Daten“, Art. 4 Nr. 1 DS-GVO
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder
mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der
physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen
oder sozialen Identität dieser natürlichen Person sind;
2. […]
5
Was muss ich unbedingt kennen?
Antwort: Art. 5 DSGVO
6
Art. 5 Grundsätze für die Verarbeitung
personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen
nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet
werden; […] („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im
Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht
oder berichtigt werden („Richtigkeit“);
7
Art. 5 Grundsätze für die Verarbeitung
personenbezogener Daten
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen
Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet
werden, erforderlich ist; personenbezogenen Daten vorbehaltlich der
Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von
dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person
gefordert werden, […] verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete
technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss
dessen Einhaltung nachweisen können („Rechenschaftspflicht“)
8
Das BDSG hat in Deutschland bereits in der Vergangenheit
ein sehr hohes Datenschutzniveau gewährleistet und
eingefordert. Warum also macht die DS-GVO alle so
nervös?
Antwort: Bußgeld für Verstöße von bis zu 20.000.000 EUR
oder
4% des Konzern-Jahresumsatzes
(! Umsatzstärke als mögliche Untergrenze!)
9
Die Prinzipen der DS-GVO
Erläuterung im Einzelnen
10
Rechtmäßigkeit, Verarbeitung nach Treu und
Glauben, Transparenz, Art. 5 Abs.1 lit. (a) DS-GVO
• Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
– Verarbeitung personenbezogener Daten ist grundsätzlich untersagt
– Ausnahme: Vorliegen eines Erlaubnistatbestandes nach Art. 6 DS-GVO
• Treu und Glauben (Verhältnismäßigkeit / „Fairness“)
– Legitimer Zweck / angemessene Interessenabwägung zwischen verfolgtem Zweck und
Betroffenenrechten
• Transparenz
– Daten dürfen nur in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden
– Basis des Informationsrechts des Betroffenen über die Verarbeitung seiner Daten, Art. 12 ff. DS-GVO
11
Zweckbindung, Art. 5 Abs. 1 lit. (b) DS-GVO
• Bedeutung: Vom Verantwortlichen verfolgte Zweck entscheidet über die
Rechtmäßigkeit der Verarbeitung
= NO-GO: „Wir sammeln die Daten und entscheiden dann, wofür wir sie
möglicherweise noch brauchen können“
• Folge: Zweckänderung für bereits gesammelte Daten nur unter eingeschränkten
Voraussetzungen des Art. 6 Abs. 4 DS-GVO möglich
• Weiterverarbeitung nur zulässig, wenn
– Verfolgung eines privilegierten Zwecks im Sinne des Art. 5 Abs. 1 lit (b)2. HS
– Einwilligung des Betroffenen in die Weiterverarbeitung
– Auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhend
– Kompatibilitätsprüfung: Zweck der Weiterverarbeitung mit ursprünglichem Zweck vereinbar
(relevant für Big-Data-Analysen!)
12
Datenminimierung, Art. 5 Abs.1 lit. (c) DS-GVO
• Personenbezogene Daten müssen dem Zweck angemessen und sachlich relevant
sein
• Beschränkung auf das absolut notwendige Maß zur Zweckerreichung
13
Richtigkeit, Art. 5 Abs.1 lit. (d) DS-GVO
• Personenbezogene Daten müssen sachlich richtig und aktuell sein
• Folge: Bei unrichtigen oder veralteten Daten muss der Verantwortliche alle
Maßnahmen treffen, um die Daten zu korrigieren, bzw. u.U. zu löschen
• Aber: keine Nachforschungspflicht des Verantwortlichen!
Speicherbegrenzung, Art. 5 Abs. 1 lit. (e)
DS-GVO
• Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie zur
Erreichung der mit ihnen verfolgten Zwecke erforderlich ist (Art. 5 lit (c) DS-GVO)
• Löschpflichten gemäß Art. 17 DS-GVO („Recht auf Vergessenwerden“) in folgenden
Fällen:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise
verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6
Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer
anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es
liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person
legt gemäß Artikel 21 Absatz 2
d) Widerspruch gegen die Verarbeitung ein.
e) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
f) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach
dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche
unterliegt.
g) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der
Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
14
• Angemessener Schutz der Daten vor Verlust, Zerstörung oder dem Zugriff
Dritter muss gewährleistet sein (Vorgaben konkretisiert in Art. 32 DS-GVO)
• Bisher galten nach BDSG die TOM (sog. 8 Gebote). Deren Einhaltung ist unter
DS-GVO nicht mehr ausreichend.
• Gefordert wird faktisch ein DSMS, mindestens aber ein ISMS (Verfügbarkeit,
Vertraulichkeit, Integrität).
• Hierzu müssen einige Dokumente vorgehalten werden (u.a. Commitment der
GF auf Ziele der Datensicherheit, Erlass einer Leitlinie zur Datensicherheit,
Planung von IT-Sicherheit u. Einsetzung eines Teams, IT-Richtlinie für mobile
Geräte usw.).
15
Integrität und Vertraulichkeit, Art. 5 Abs.1 lit. (f)
Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO
• Bloße Einhaltung der Vorgaben des Art. Abs.1 genügt nicht!
• Statuierung der Rechenschaftspflicht ist die größte Veränderung des
Pflichtenkatalogs gegenüber der bisherigen Rechtslage
• Art. 24 Abs. 1 S. 1 DSGVO:
Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der
Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und
organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu
können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.
• Umfang: noch nicht klar definiert, wird vor allem Ausprägung durch
Rechtsprechung und Empfehlungen der Datenschutzbehörden finden
16
Schön und gut. Ich weiß was ich muss, aber
was darf ich eigentlich?
Antwort: Im Prinzip dasselbe wie
bisher.
17
Chancen der DS-GVO
• Selbstbestimmung: die meisten Verbraucher sind insbesondere nach
Datenpannen und Missbrauchsfällen sensibilisiert auf den Verbleib und die
Nutzung ihrer Daten
• Folge:
– hohes Datenschutzniveau wird zum immer größeren Kaufkriterium!
– Vorsprung gegenüber Wettbewerbern bei transparenter und rechtskonformer
Datennutzung
• Verantwortung für die Einhaltung eines angemessenen Datenschutzes Einzelner
wird klar beim Staat und den Unternehmen gesehen
18
Rechtmäßigkeit der Verarbeitung,
Art. 6 DS-GVO
Zentralnorm der
Erlaubnistatbestände für
Datenverarbeitung
19
Art. 6 DSGVO
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden
personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,
oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen
Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der
Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer
anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse
liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines
Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der
betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere
dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(2) […]
20
Sonderregeln
• Art. 8 DS-GVO: Einwilligungen von Minderjährigen
• Art. 9 DS-GVO: Verarbeitung von besonders sensiblen Daten wie Herkunft,
politische Meinungen, Weltanschauung etc.
• § 4 BDSG: Videoüberwachung
• § 26 BDSG: Beschäftigtendatenschutz
• Art. 6 Abs. 4 DS-GVO: Zweckänderung (Big Data, Marketing)
21
Erste Schritte zur Umsetzung der DS-GVO
• Empfehlung der Aufsichtsbehörden für den Datenschutz: 10-Punkte-Papier
https://www.baden-wuerttemberg.datenschutz.de/wp
content/uploads/2017/05/10-Punkte-Papier_PM_Datenschutz-bleibt-
Chefsache.pdf
• DS-GVO: Online-Tool des LDA Bayern zur Selbsteinschätzung
https://www.lda.bayern.de/tool/start.html
• Handreichungen zur Umsetzung für kleine Unternehmen und Vereine
https://www.lda.bayern.de/de/kleine-unternehmen.html
22
Was muss ich prüfen?
Verhalten wir uns rechtskonform?
(1) Verfügen sämtliche Bereiche, in denen personenbezogene Daten
gesammelt und verarbeitet werden, auch über die rechtliche Grundlage?
(2) Wie stellen wir sicher, dass wir für einen spezifischen Zweck gespeichert
haben und diese Daten nicht für andere Zwecke genutzt werden?
(3) Speichern wir personenbezogene Daten im Auftrag anderer
Organisationen? Falls ja: halten wir die damit verbundenen
Verpflichtungen ein?
(4) Haben wir einen Datenschutzbeauftragten und planen Schulungen?
23
Was muss ich prüfen?
Verfügen wir über die richtigen Prozesse?
(1) Haben wir die notwendigen Prozesse, um im Falle eines Datenschutzverstoßes
die betroffenen Personen und die Aufsichtsbehörden innerhalb von 72 Stunden
zu informieren?
(2) Stellen wir sicher, dass wir nur notwendige Daten speichern? Und dass wir sie
nicht länger als nötig speichern?
(3) Haben wir einen Prozess, um Personen Auskunft über ihre personengebundenen
Daten zu geben?
(4) Haben wir die gespeicherten personenbezogenen Daten ausreichend gegen
Missbrauch geschützt?
(5) Haben wir einen Prozess, um personenbezogene Daten auf Anforderung zu
löschen?
24
Was muss ich prüfen?
Verfügt unser Unternehmen über eine hinreichende IT-
Sicherheit?
(1) Versenden wir sensible personenbezogenen Daten unverschlüsselt
per E-Mail? Falls ja: wie können wir unsere Kommunikation sicherer
machen?
(2) Wie gehen wir mit grenzüberschreitenden Datentransfers um?
(3) Speichern wir personenbezogene Daten im Auftrag anderer
Organisationen? Falls ja: halten wir die damit verbundenen
Verpflichtungen ein?
25
Was muss ich tun?
• Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
– Grundangaben zum Unternehmen („Impressum“, evtl. Datenschutzbeauftragter)
– Bestimmung der Verarbeitungstätigkeiten (z.B. Personal, Kerngeschäft, Online-Shop, App, Sicherheit,
Marketing)
– Bestimmung von Datenkategorien (z.B. Kundendaten, Mitarbeiterdaten, Nutzungsdaten der Online-
Shop-User
– Bestimmung Kategorien Betroffener (z.B. Mitarbeiter, Kunden, App-Nutzer, externe Dienstleister,
Lieferanten)
– Zweck der Speicherung ( z.B. Durchführung Vertrag, Einwilligung, Optimierung angebotene
Dienstleistung)
– Datenquelle (z.B. Registrierung auf Website, Einwilligung auf Website)
– Transfer (Intern/Extern z.B. MailChimp, USA, Privacy Shield)
– Löschfristen
– Schutzmaßnahmen (Technisch-Organisatorische Maßnahmen, Art. 32 DS-GVO)
26
Was muss ich tun?
• Datenschutzfolgenabschätzung, Art. 35 DS-GVO
– Verarbeitung besonders sensibler Daten, Art. 9 DS-GVO
– Geschäftsmäßige Verarbeitung sensibler Daten in großem Umfang (Profiling)
– Videoüberwachung
– Durchführung: Risiko-Schutzmaßnahmen-Dokumentation
• Technisch-Organisatorische-Maßnahmen (TOMs), Art. 32 DS-GVO
– Pseudonymisierung
– Verschlüsselung
– Vertraulichkeit/Zutrittskontrollen
– Verfügbarkeit (im Falle von Datenpannen)
– Systemkontrolle (Belastbarkeit der Systeme bei technischen Zwischenfällen oder Zugriffen Dritter)
– Schriftliche Dokumentation
27
Der 25.05.2018 ist so nah, ich habe die DS-GVO
verschlafen! Was mache ich nun?
• Nicht in Panik geraten, aber in keinem Fall die Augen verschließen und abwarten,
sondern umgehend mit der Umsetzung beginnen!
• Das „Projekt DS-GVO“ muss definiert sein!
• Fakt ist: bis zum 25.05.2018 muss die Umsetzung erfolgt sein!
• Herangehensweise: Abwägen zwischen einem pragmatischen Ansatz und einer
sofortigen 100%en Compliance:
– 100%ige, sofortige, punktgenaue Umsetzung ist für viele Unternehmen, insbesondere Kleinbetriebe
nicht effizient durchführbar
– Interpretation und Reichweite der Anforderungen nach der DS-GVO ist noch nicht 100%ig
abgesichert: Die Durchsetzung einer „best practice“ oder gerichtlichen und behördlichen Vorgaben
steht noch aus
– Projektressourcen sollten für den Rest des Jahres 2018 eingeplant sein, um auf die weiteren
Entwicklungen reagieren zu können um notfalls nachjustieren zu können
28
Die Zeit ist knapp! Packen wir es an!
Für eine individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung.
Ansprechpartner:
Dr. Marc Laukemann (Email: laukemann@lfr-wirtschaftsanwaelte.de)
Dr. Ulrich Rösch (Email: roesch@lfr-wirtschaftsanwaelte.de)
Danica Kljaic (E-Mail: kljaic@lfr-wirtschaftsanwaelte.de)
www.lfr-wirtschaftanwaelte.de
29

Weitere ähnliche Inhalte

Ähnlich wie DSGVO Basics

Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
VÖGB
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutz
Digicomp Academy AG
 

Ähnlich wie DSGVO Basics (20)

Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018Datenschutz datensicherheit 2018
Datenschutz datensicherheit 2018
 
Dsgvo workshop webinar
Dsgvo workshop webinarDsgvo workshop webinar
Dsgvo workshop webinar
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
Umsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO VersicherungenUmsetzung EU DSGVO Versicherungen
Umsetzung EU DSGVO Versicherungen
 
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVOWebinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für Webworker
 
Big-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - DatenschutzBig-Data-Konferenz 2017 - Datenschutz
Big-Data-Konferenz 2017 - Datenschutz
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
 
Datenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalbDatenschutz in der EU uns außerhalb
Datenschutz in der EU uns außerhalb
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutz
 
Content Marketing - Rechtsfragen
Content Marketing - RechtsfragenContent Marketing - Rechtsfragen
Content Marketing - Rechtsfragen
 

DSGVO Basics

  • 2. Wer wir sind LFR Wirtschaftsanwälte ist eine Münchener Wirtschaftsrechtskanzlei. Wir beraten deutsche und internationale Mandanten im Gesellschafts- und Handelsrecht, Arbeitsrecht, gewerblichen Rechtsschutz, Immobilienrecht, internationalen Wirtschaftsrecht und allgemeinen Prozessrecht. Aktuell unterstützen wir unsere Mandanten - darunter kleinere Mittelständler, aber auch venture-finanzierte Gesellschaften bei der Umsetzung der DS-GVO. 2
  • 4. Worum geht es? Antwort: den Schutz personenbezogener Daten! Was ist das? Antwort: Im Zweifel alles 4
  • 5. Legaldefinition „personenbezogene Daten“, Art. 4 Nr. 1 DS-GVO Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; 2. […] 5
  • 6. Was muss ich unbedingt kennen? Antwort: Art. 5 DSGVO 6
  • 7. Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; […] („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); 7
  • 8. Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, […] verarbeitet werden („Speicherbegrenzung“); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“) 8
  • 9. Das BDSG hat in Deutschland bereits in der Vergangenheit ein sehr hohes Datenschutzniveau gewährleistet und eingefordert. Warum also macht die DS-GVO alle so nervös? Antwort: Bußgeld für Verstöße von bis zu 20.000.000 EUR oder 4% des Konzern-Jahresumsatzes (! Umsatzstärke als mögliche Untergrenze!) 9
  • 10. Die Prinzipen der DS-GVO Erläuterung im Einzelnen 10
  • 11. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Art. 5 Abs.1 lit. (a) DS-GVO • Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) – Verarbeitung personenbezogener Daten ist grundsätzlich untersagt – Ausnahme: Vorliegen eines Erlaubnistatbestandes nach Art. 6 DS-GVO • Treu und Glauben (Verhältnismäßigkeit / „Fairness“) – Legitimer Zweck / angemessene Interessenabwägung zwischen verfolgtem Zweck und Betroffenenrechten • Transparenz – Daten dürfen nur in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden – Basis des Informationsrechts des Betroffenen über die Verarbeitung seiner Daten, Art. 12 ff. DS-GVO 11
  • 12. Zweckbindung, Art. 5 Abs. 1 lit. (b) DS-GVO • Bedeutung: Vom Verantwortlichen verfolgte Zweck entscheidet über die Rechtmäßigkeit der Verarbeitung = NO-GO: „Wir sammeln die Daten und entscheiden dann, wofür wir sie möglicherweise noch brauchen können“ • Folge: Zweckänderung für bereits gesammelte Daten nur unter eingeschränkten Voraussetzungen des Art. 6 Abs. 4 DS-GVO möglich • Weiterverarbeitung nur zulässig, wenn – Verfolgung eines privilegierten Zwecks im Sinne des Art. 5 Abs. 1 lit (b)2. HS – Einwilligung des Betroffenen in die Weiterverarbeitung – Auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhend – Kompatibilitätsprüfung: Zweck der Weiterverarbeitung mit ursprünglichem Zweck vereinbar (relevant für Big-Data-Analysen!) 12
  • 13. Datenminimierung, Art. 5 Abs.1 lit. (c) DS-GVO • Personenbezogene Daten müssen dem Zweck angemessen und sachlich relevant sein • Beschränkung auf das absolut notwendige Maß zur Zweckerreichung 13 Richtigkeit, Art. 5 Abs.1 lit. (d) DS-GVO • Personenbezogene Daten müssen sachlich richtig und aktuell sein • Folge: Bei unrichtigen oder veralteten Daten muss der Verantwortliche alle Maßnahmen treffen, um die Daten zu korrigieren, bzw. u.U. zu löschen • Aber: keine Nachforschungspflicht des Verantwortlichen!
  • 14. Speicherbegrenzung, Art. 5 Abs. 1 lit. (e) DS-GVO • Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie zur Erreichung der mit ihnen verfolgten Zwecke erforderlich ist (Art. 5 lit (c) DS-GVO) • Löschpflichten gemäß Art. 17 DS-GVO („Recht auf Vergessenwerden“) in folgenden Fällen: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 d) Widerspruch gegen die Verarbeitung ein. e) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. f) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. g) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. 14
  • 15. • Angemessener Schutz der Daten vor Verlust, Zerstörung oder dem Zugriff Dritter muss gewährleistet sein (Vorgaben konkretisiert in Art. 32 DS-GVO) • Bisher galten nach BDSG die TOM (sog. 8 Gebote). Deren Einhaltung ist unter DS-GVO nicht mehr ausreichend. • Gefordert wird faktisch ein DSMS, mindestens aber ein ISMS (Verfügbarkeit, Vertraulichkeit, Integrität). • Hierzu müssen einige Dokumente vorgehalten werden (u.a. Commitment der GF auf Ziele der Datensicherheit, Erlass einer Leitlinie zur Datensicherheit, Planung von IT-Sicherheit u. Einsetzung eines Teams, IT-Richtlinie für mobile Geräte usw.). 15 Integrität und Vertraulichkeit, Art. 5 Abs.1 lit. (f)
  • 16. Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO • Bloße Einhaltung der Vorgaben des Art. Abs.1 genügt nicht! • Statuierung der Rechenschaftspflicht ist die größte Veränderung des Pflichtenkatalogs gegenüber der bisherigen Rechtslage • Art. 24 Abs. 1 S. 1 DSGVO: Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. • Umfang: noch nicht klar definiert, wird vor allem Ausprägung durch Rechtsprechung und Empfehlungen der Datenschutzbehörden finden 16
  • 17. Schön und gut. Ich weiß was ich muss, aber was darf ich eigentlich? Antwort: Im Prinzip dasselbe wie bisher. 17
  • 18. Chancen der DS-GVO • Selbstbestimmung: die meisten Verbraucher sind insbesondere nach Datenpannen und Missbrauchsfällen sensibilisiert auf den Verbleib und die Nutzung ihrer Daten • Folge: – hohes Datenschutzniveau wird zum immer größeren Kaufkriterium! – Vorsprung gegenüber Wettbewerbern bei transparenter und rechtskonformer Datennutzung • Verantwortung für die Einhaltung eines angemessenen Datenschutzes Einzelner wird klar beim Staat und den Unternehmen gesehen 18
  • 19. Rechtmäßigkeit der Verarbeitung, Art. 6 DS-GVO Zentralnorm der Erlaubnistatbestände für Datenverarbeitung 19
  • 20. Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (2) […] 20
  • 21. Sonderregeln • Art. 8 DS-GVO: Einwilligungen von Minderjährigen • Art. 9 DS-GVO: Verarbeitung von besonders sensiblen Daten wie Herkunft, politische Meinungen, Weltanschauung etc. • § 4 BDSG: Videoüberwachung • § 26 BDSG: Beschäftigtendatenschutz • Art. 6 Abs. 4 DS-GVO: Zweckänderung (Big Data, Marketing) 21
  • 22. Erste Schritte zur Umsetzung der DS-GVO • Empfehlung der Aufsichtsbehörden für den Datenschutz: 10-Punkte-Papier https://www.baden-wuerttemberg.datenschutz.de/wp content/uploads/2017/05/10-Punkte-Papier_PM_Datenschutz-bleibt- Chefsache.pdf • DS-GVO: Online-Tool des LDA Bayern zur Selbsteinschätzung https://www.lda.bayern.de/tool/start.html • Handreichungen zur Umsetzung für kleine Unternehmen und Vereine https://www.lda.bayern.de/de/kleine-unternehmen.html 22
  • 23. Was muss ich prüfen? Verhalten wir uns rechtskonform? (1) Verfügen sämtliche Bereiche, in denen personenbezogene Daten gesammelt und verarbeitet werden, auch über die rechtliche Grundlage? (2) Wie stellen wir sicher, dass wir für einen spezifischen Zweck gespeichert haben und diese Daten nicht für andere Zwecke genutzt werden? (3) Speichern wir personenbezogene Daten im Auftrag anderer Organisationen? Falls ja: halten wir die damit verbundenen Verpflichtungen ein? (4) Haben wir einen Datenschutzbeauftragten und planen Schulungen? 23
  • 24. Was muss ich prüfen? Verfügen wir über die richtigen Prozesse? (1) Haben wir die notwendigen Prozesse, um im Falle eines Datenschutzverstoßes die betroffenen Personen und die Aufsichtsbehörden innerhalb von 72 Stunden zu informieren? (2) Stellen wir sicher, dass wir nur notwendige Daten speichern? Und dass wir sie nicht länger als nötig speichern? (3) Haben wir einen Prozess, um Personen Auskunft über ihre personengebundenen Daten zu geben? (4) Haben wir die gespeicherten personenbezogenen Daten ausreichend gegen Missbrauch geschützt? (5) Haben wir einen Prozess, um personenbezogene Daten auf Anforderung zu löschen? 24
  • 25. Was muss ich prüfen? Verfügt unser Unternehmen über eine hinreichende IT- Sicherheit? (1) Versenden wir sensible personenbezogenen Daten unverschlüsselt per E-Mail? Falls ja: wie können wir unsere Kommunikation sicherer machen? (2) Wie gehen wir mit grenzüberschreitenden Datentransfers um? (3) Speichern wir personenbezogene Daten im Auftrag anderer Organisationen? Falls ja: halten wir die damit verbundenen Verpflichtungen ein? 25
  • 26. Was muss ich tun? • Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO – Grundangaben zum Unternehmen („Impressum“, evtl. Datenschutzbeauftragter) – Bestimmung der Verarbeitungstätigkeiten (z.B. Personal, Kerngeschäft, Online-Shop, App, Sicherheit, Marketing) – Bestimmung von Datenkategorien (z.B. Kundendaten, Mitarbeiterdaten, Nutzungsdaten der Online- Shop-User – Bestimmung Kategorien Betroffener (z.B. Mitarbeiter, Kunden, App-Nutzer, externe Dienstleister, Lieferanten) – Zweck der Speicherung ( z.B. Durchführung Vertrag, Einwilligung, Optimierung angebotene Dienstleistung) – Datenquelle (z.B. Registrierung auf Website, Einwilligung auf Website) – Transfer (Intern/Extern z.B. MailChimp, USA, Privacy Shield) – Löschfristen – Schutzmaßnahmen (Technisch-Organisatorische Maßnahmen, Art. 32 DS-GVO) 26
  • 27. Was muss ich tun? • Datenschutzfolgenabschätzung, Art. 35 DS-GVO – Verarbeitung besonders sensibler Daten, Art. 9 DS-GVO – Geschäftsmäßige Verarbeitung sensibler Daten in großem Umfang (Profiling) – Videoüberwachung – Durchführung: Risiko-Schutzmaßnahmen-Dokumentation • Technisch-Organisatorische-Maßnahmen (TOMs), Art. 32 DS-GVO – Pseudonymisierung – Verschlüsselung – Vertraulichkeit/Zutrittskontrollen – Verfügbarkeit (im Falle von Datenpannen) – Systemkontrolle (Belastbarkeit der Systeme bei technischen Zwischenfällen oder Zugriffen Dritter) – Schriftliche Dokumentation 27
  • 28. Der 25.05.2018 ist so nah, ich habe die DS-GVO verschlafen! Was mache ich nun? • Nicht in Panik geraten, aber in keinem Fall die Augen verschließen und abwarten, sondern umgehend mit der Umsetzung beginnen! • Das „Projekt DS-GVO“ muss definiert sein! • Fakt ist: bis zum 25.05.2018 muss die Umsetzung erfolgt sein! • Herangehensweise: Abwägen zwischen einem pragmatischen Ansatz und einer sofortigen 100%en Compliance: – 100%ige, sofortige, punktgenaue Umsetzung ist für viele Unternehmen, insbesondere Kleinbetriebe nicht effizient durchführbar – Interpretation und Reichweite der Anforderungen nach der DS-GVO ist noch nicht 100%ig abgesichert: Die Durchsetzung einer „best practice“ oder gerichtlichen und behördlichen Vorgaben steht noch aus – Projektressourcen sollten für den Rest des Jahres 2018 eingeplant sein, um auf die weiteren Entwicklungen reagieren zu können um notfalls nachjustieren zu können 28
  • 29. Die Zeit ist knapp! Packen wir es an! Für eine individuelle Beratung stehen wir Ihnen jederzeit zur Verfügung. Ansprechpartner: Dr. Marc Laukemann (Email: laukemann@lfr-wirtschaftsanwaelte.de) Dr. Ulrich Rösch (Email: roesch@lfr-wirtschaftsanwaelte.de) Danica Kljaic (E-Mail: kljaic@lfr-wirtschaftsanwaelte.de) www.lfr-wirtschaftanwaelte.de 29