Schulung Datenschutz (DSGVO)
Herausforderungen: Datenschutz und Datensicherheit ?
- Zumeist parallele Verwaltungssysteme, basierend auf Software und Papier; nur wenige "papierlose" Unternehmen
- Datenschutz bei Werbemaßnahmen
- IT-Infrastruktur und hier vor allem die IT-Sicherheit
- Inwieweit gilt die DSGVO überhaupt für KMU ?
Herausforderungen: Fragen zum Datenschutz und zur Datensicherheit
- Wie betrifft einen die DSGVO ?
- Wie kommt man zu einem Verfahrensverzeichnis ?
- Wird ein Datenschutzbeauftragter benötigt ?
- Wie mit Betroffenenrechten (z.B. Recht auf Auskunft) umgehen ?
- Wie kann ein Costumer-Relations-Management-System (CRM) konform betrieben werden ?
- Was muss alles bei der Datensicherheit getan werden ?
- Und was kostet das alles ?
DSGVO: Gemeinschaftsrecht im Datenschutz
- EU-Verordnung 2016/679 vom 27.4.2016 zum Schutz der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
- Die DSGVO gilt ab 25. Mai 2018 direkt und unmittelbar
- Durch die DSGVO erfolgt eine rechtliche Gleichbehandlung des Datenschutzes in Europa (spannend werden die Folgen des Brexit)
DSGVO: Was passiert ?
Grundsätze des Datenschutzes (z.B. Zweckbindung, Datenminimierung, Datensicherheit) bleiben enthalten, wurden aber weiterentwickelt und genauer spezifiziert
DSGVO gilt in der europäischen Union, dem europäischen Wirtschaftsraum sowie für Unternehmen, die auf dem europäischen Markt tätig sind
Anwendbar auf personenbezogene Daten >> außer diese betreffen persönlichen / familiären Bereich (Haushaltsausnahme)
DSGVO: Was ändert sich ?
BDSG alt wird durch BDSG neu ersetzt. Alte Regelungen aus diesem Bereich müssen durch neue Regelungen ersetzt werden.
Datenschutzfolgenabschätzung (DSFA) als komplett neues Tool
Erweiterte/neue Rechte der Betroffenen
Umfasst nur noch natürliche Personen
DSGVO: Was ändert sich ?
Recht auf Vergessenwerden (Art. 17)
- Erweiterung des Löschungsanspruches
- Weitergabe des Wunsches auf Löschung durch Datenverarbeiter (Information an Auftragsverarbeiter vorgesehen)
Datenportabilität = gewünschte Datenweitergabe in strukturierter Form (z.B. bei Bankwechsel)
Profiling = Persönlichkeitsbewertung (Art 21)
- Besondere Auskunftspflicht auch über technische Aspekte
- Besonderes Widerspruchsrecht des Betroffenen
DSGVO Was ändert sich ?
Privacy by Design/by Default = Verarbeitung möglichst weniger Daten als "Grundeinstellung"
Bei Datenschutzpannen muss pro aktiv informiert werden
- Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen 72 Stunden
- Pflicht zur umfassenden Erteilung von Informationen zur Verletzung
Generell stehen nunmehr die Betroffenen im Mittelpunkt und nicht die Interessen von Unternehmen
DSGVO Was ändert sich ?
Datenschutzbeauftragter (Art 37)
- Bei Datenverarbeitung durch Behörden/öffentliche Stellen
- Bei umfangreicher, regelmäßiger Beobachtung von Personen als Kerntätigkeit
- Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
Behördliches One-Stop-Shop-Prinzip
Höhere Strafen
- Bußgelder: 4% globaler Jahresumsatz oder 20 Mio. Euro (Art 83)
- Betroffene kann sich an Behörde oder Gericht wenden
DSGVO Betroffenenrechte
- Auskunft - Gefahr eines Flash-Mob (Art 15)
- Löschung
- Richtigstellung bzw Aktualisierung
- Einschränkung der Verarbeitung
DSGVO Herausforderungen für Unternehmen
Erstellung des Verfahrensverzeichnisses
- Zweck der Verarbeitung
- Rechtmäßigkeit
- Aufbewahrungsfristen
Implementierung von Prozessen
- Beauskunftung
- Löschung
- Datenschutzpannen (Data Breaches)
DSGVO Herausforderungen für Unternehmen
Umgang mit den Rechten der Betroffenen
CRM-Systeme vor der DSGVO und "jetzt"
Vertragliche Regelung von Auftragsdatenverarbeitung
IT-Sicherheit konform mit DSGVO
Beziehung zu anderen Unternehmen/Organisationen/Kanzleien
- Unlauterer Wettbewerb?
Interne Anweisungen im Unternehmen
Clean Desk Policy
- MitarbeiterInnen zum Thema Satenschutz schulen
- Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz
- Computer/Smartphones/Tablets sperren
Security Policy
- "lebendes Dokument", das die Unternehmenspolitik zum Datenschutz und IT-Sicherheit abbildet
- z.B. Grundsätze zur Passwortvergabe, Umgang mit Notebooks im Außendienst, Verwendung von privaten Smartphones oder Software auf dienstlich zu nutzenden Geräten (WhatsApp/Facebook/etc.)
Interne Anweisungen im Unternehmen
Wie geht man mit Papier um ?
- Wer hat Zugang zu Papierakten ?
- Wie werden Informationen an Dritte weitergegeben (z.B. per Telefon? nur schriftlich? Email?)
Wie werden Datenpannen (Data Breaches) vermieden ?
- Datenweitergabe an Unberechtigte
- Kontrollverlust über Daten, zB durch Verlust eines Devices
- Umgang mit potentiellen Phishing-Mails etc.
Verfahrensverzeichnis im Unternehmen
Verzeichnis nach Art 30 DSGVO
- Ab 250 Mitarbeiter
- jedenfalls ist Art 30 Abs 5 jedoch sehr weit gefasst, d.h. im Zweifel ein Verzeichnis anlegen
Verzeichnis Inhaltlich
- Wo werden Daten verarbietet (Software, Papierakte, Excel)
- Wer sind Betroffene (Mandanten, Mitarbeiter, Kollegen, Dritte)
- Zu welchem Zweck werden Daten verarbeitet
- Auf Basis von Gesetz/Vertrag/Einwilligung
- Weitergabe an Dritte
Ablaufprozesse für Betroffene im Unternehmen
Auskunft (Art 15)
- Binnen vier Wochen
- Wie können Daten möglichst rasch ermittelt werden ?
- Formulare für Beauskunftung und Beantwortung
Löschung/Richtigstellung/Aktualisierung
- Behaltefristen definieren für Daten
- Sicherstellung der technischen Löschung/Anonymisierung
- Löschanspruch des Betroffenen teilw. eingeschränkt, vor allem bei Entzug der Zustimmung zur Datenverarbeitung
Ablaufprozesse für Betroffene im Unternehmen
Pflege des Verfahrensverzeichnisses
- Neue Software muss eingetragen werden
Datenpannen
- Binnen 72 (Real-)Stunden zu melden
- Liegt eine Datenpannen vor ?
- Wer ist Betroffener ?
- Wer ist zu informieren ?
- Wie kann Schaden begrenzt werden ?
- Wie können gleiche/gleichartige Pannen zukünftig vermieden werden ?
Datenschutzbeauftragte im Unternehmen
- Geregelt in Art 37 ff
- In bestimmten Fällen zwingend vorgesehen
- Kann freiwillig bestellt werden
- Datenschutzbeauftragter kann intern oder extern sein
- Intern Stellung in Richtung Betriebsrat (Kündigungsschutz)
- Extern ist Haftung relevant
Auf der Website des Unternehmens
Datenschutzerklärung erforderlich - Warum ? (Art 13/14 und § 13 Abs. 1 Telemediengesetz)
- Cookie-Erklärung
- Rechtlich: „Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.“
- Erlaubt: First Party Cookies, die für eine Webseite erforderlich sind.
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies die eine Länder- oder Sprachauswahl betreffen
- Cookies, für die Cookie Einwilligung
- Impressumspflichten
- Cookie-Erklärung
Datenschutzerklärung - Inhaltlich
- Wer verarbeitet die Daten/erfolgt eine Weitergabe ?
- Welche Daten werden wie/zu welchem Zweck verarbeitet ?
- Welche Cookies/Plugins werden verwendet ?
- Wo kann ich mich über meine Daten informieren bzw. diese löschen lassen ?
Einzelfragen
CRM
- Im Falle von Newslettern usw. relevant
- Bewerbung von Kunden erfordert i.d.R. seine Zustimmung
- Sollte gegebenenfalls angepasst werden
Bewerberdatenbank
- Datenverarbeitung nur zum Zweck der Postenbesetzung (Vorvertrag)
- Evidenzhaltung nur mit ausdrücklicher Zustimmung möglich
- Behaltefrist (ohne Zustimmung): 6 Monate nach Postenbesetzung (Gleichbehandlung)
Fragen und Antworten (Q&A)
- Wie geht man mit Email-Listen bzw. Kundendaten[banken] um ?
- SICHERSTELLEN: AUSSCHLIESSLICH !!!BCC!!! VERSAND
- Zwar praktisch, aber (rechtlich) keine gute Idee
Betroffene Person möchte nicht mehr ... - WhatsApp teilt Daten mit Facebook = Gefahr der (unsicheren) Übertragung in die USA als EU-Drittland
- Weiterhin (zumeist) keine Zustimmung der Betroffenen = gespeicherte Kontakte) zur Übertragung
- Diese Methoden sind Tabu
- Verflossene Kontakte aufwärmen.
- E-Mail-Listen kaufen.
- Per Telefon anfragen, wie’s so läuft.
- WhatsApp/Facebook/Twitter/Social Media auf dem Diensthandy ?
- Zweck der Verarbeitung: wozu werden die Daten benötigt/verarbeitet ?
- Insbesondere beim Marketing kein Vertrag sondern Zustimmung benötigt
- Zustimmung muss informieren, freiwilllig und ausdrücklich erfolgen plus Aufklärung über Betroffenenrechte
- Zustimmung dokumentieren!
- CRM-Systeme müssen entsprechend angepasst werden
- Dokumentation ?
- Nunmehr Verpflichtung zum Verfahrensverzeichnis (Art 30 DSGVO) - verpflichtend jedenfalls ab 250 MA oder wenn Verarbeitung "nicht nur gelegentlich" erfolgt.
- Inhalte z.B.
- Name & Kontakt des Verarbeiters
- Zweck der Verarbeitung
- Kategorisierte Daten !
- Rechtsgrundlage
- Welche Zwecke der Datenverarbeitung gibt es ?
- Datenschutz folgt der Zweckbindung, dh keine Daten nur weil "nice-2-have"
- Zweck an sich nicht vorgeben (außer durch andere Gesetze beschränkt bzw. keine illegalen Zwecke)
- Zweck muss argumentiert werden
- Datenverarbeitung nur auf Basis dieses Zweckes und auch nur die notwendigen Daten
- Form der Einwilligung ?
Rechtmäßigkeit der Verarbeitung nach Art 6 DSGVO (Zustimmung nach Art 6 Abs 1 lit a DSGVO)
Bedingungen für die Einwilligung nach Art 7 DSGVO
- Nachweis der Einwilligung
- Verständlichkeit/Informiertheit
- Widerruf möglich
- Freiwilligkeit (im Arbeitsverhältnis oft fraglich)
Im Web auch über Masken/Checkboxen möglich
- Was sind Auftragsverarbeiter ?
- Definitionen nach Art 4 DSGVO
- Art 4 Z 7 DSGVO: Verantwortlicher = Verarbeiter von personenbezogenen Daten
- Art 4 Z 8 DSGVO: Auftragsverarbeiter = verarbeitet Daten im Auftrag des Verantwortlichen = Externer
- Löschung von Daten ?
- Löschung nach Ende der Behaltefrist bzw. kein Zweck mehr
- Grundentscheidung: möglichst viele Daten möglichst lange ODER möglichst wenige Daten möglichst kurz
- Löschung oder Anonymisierung dokumentieren (Anonymisierung = entfernen jeglichen Personenbezuges)
- Achtung Relevanz beim Backup >> erneute Löschung nach Restore (Einspielen); Aber vorher, bevor das Backup wieder betrieblich genutzt wird.
- Verwendung der Einwilligung der Betroffenen
- Einwilligung immer mit möglichst konkretem Zweck bzw. Informationen welche Daten verarbeitet werden und die Betroffenenrechte
- Einwilligung kann nicht mehr in AGB oder Vollmacht generell erklärt werden
- Im Unternehmen sollte eher mit Verarbeitung aufgrund Gesetz oder Vertrag gearbeitet werden, Zustimmung nur im CRM-Bereich
- Konzerne und Datenverarbeitung
- An sich kein Konzernprivileg, zu beachten wenn Daten die jeweilige wirtschaftliche Entität (z.B. GmbH) verlassen
- Entweder gemeinsame Verantwortliche oder System von Auftragsdatenverarbeitung – in beiden Fällen schriftliche Vereinbarung notwendig
- Zu beachten auch, ob die Daten den EU-Wirtschaftsraum verlassen
- Wie ist zu beauskunften ?
Beauskunftung in Art 15 DSGVO vorgegeben – Verarbeitungszweck
– Datenkategorie
– Datenempfänger
– Dauer der Aufbewahrung
– plus Datensätze als KopieGerade Emails sind problematisch, da sowohl Kommunikationstool als auch Geschäftsbrief, hier kann nur auf die "Existenz" hingewiesen werden, zuerst nicht beauskunften
- Datenspeicherung in der Cloud
- … es kommt darauf an
- Problem, wenn Cloud unsicher und Daten in ein unsicheres Drittland übertragen werden
- Daher Cloud-Services primär in der EU heranziehen plus entsprechenden Vertrag
- Zu beachten auch, ob Service nach dem follow-the-sun-Prinzip = Daten zwar auf Server in der EU, jedoch weltweiter Zugriff durch jene Filiale, die gerade geöffnet ist
- B/W-List ?
- Für bestimmten Datenverarbeitungen ist Datenschutzfolgenabschätzung (DSFA) vorgesehen
- Datenschutzbehörde hat B/W-Liste angekündigt
– White: Keine DSFA notwendig, betrifft wohl jetzige Standardanwendungen
– Black: Jedenfalls eine DSFA notwendig
• Derzeit leider noch keine Liste vorhanden