Cross-Industry Überblick der DSGVO Implementationsphase
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
READ & DELETE BEFORE USING
If replacing the photo on this slide, first, click on
and delete the photo. Then, click on the icon in
the placeholder to select a new image. Size and
crop if/as needed. Send image behind all other
elements. Final image is 7.5”/190.5mm tall and
wide enough to run behind the stepped shape.
Cross-Industry Überblick
Use images from our library.
der DSGVO
Implementationsphase
Jutta Sonja Oberlin
Berlin, 6. Juni 2019
Agenda 1. 365 Tage DSGVO – Was hat sich getan? 03 Die Datensubjekte wissen von ihren Rechten und melden sich zu Wort! 06 Kritik kommt auf… 10 Die Datenschutzbehörden greifen durch… 12 Die Datenschutzbehörden rüsten für die Zukunft auf… 15 Was könnte der Fokus sein? 19 2. Die grössten datenschutzrechtlichen Probleme der Unternehmen 22 3. Wie ist in Anbetracht der Situation vorzugehen? 28 Beispiel 1: Lücken evaluieren & Roadmap 30 Beispiel 2: Anpassung Drittparteien Management 33 BvD Verbandstage 2019 Mai 2019 PwC 2
365 Tage DSGVO – Was hat sich getan?
Teils ging es in die falsche Richtung… BvD Verbandstage 2019 Mai 2019 PwC 4
…aber die Awareness stieg BvD Verbandstage 2019 Mai 2019 PwC 5
Die Datensubjekte wissen von ihren Rechten und melden sich zu Wort!
Datensubjekte nutzen ihre Rechte! Beispiele aus der Praxis
Marketing Beschwerden Beschwerden von NGO`s
• 23% der Kunden machen • 94`622 Beschwerden • Privacy International (PI)
Gebrauch von ihrem Recht führten zu DSGVO legt Beschwerde ein und
auf Opt-Out beim relevanten Fällen bei strengt Aufsichtsverfahren
Direktmarketing nationalen Behörden gegen die vermeintlich
grössten Datensünder an
• 12% der Kunden fordern • Beschwerden betrafen:
ihr Recht auf Löschung Werbe-Anrufe, Werbe-
(Art. 17 DSGVO) Mails, Videoüberwachung
• Gute News: 60% der • Beschwerden kamen dabei
Konsumenten sind nicht nur von Kunden,
weiterhin gewillt ihre sondern auch von
personenbezogenen Daten Mitarbeitern
zu teilen
BvD Verbandstage 2019 Mai 2019
PwC
Key Aspekte der Beschwerde von Privacy International (PI)
gegen Acxiom, Criteo, Equifax, Experian, Oracle, Quantcast und Tapad
Halten nicht die Es besteht keine rechtliche
Datenschutzgrundsätze ein, Grundlage für die Art und
insbesondere die Weise, wie die Daten von
Grundsätze der Personen verarbeitet werden
Transparenz, Fairness, Weder Einwilligung noch
Rechtmäßigkeit, berechtigtes Interesse sind
Zweckbindung, zufriedenstellende
Datenminimierung und Bedingungen für die
Richtigkeit. Bearbeitung durch diese
Unternehmen.
BvD Verbandstage 2019 Mai 2019
PwC 8
Wer sind die Betroffenen und was ist ihr Motiv Gemäss der Erfahrungen der letzten Monate zeigt sich, dass es sehr verschiedene Gruppen sind, welche Datenschutzverstösse melden, mit jeweils sehr verschiedenen Motiven: • Der enttäuschte Kunde • Der informierte Kunde • Der gelangweilte Kunde/Bürger • Der genervte Kunde (bspw. Werbung) • Die Konkurrenz • Der enttäuschte Mitarbeiter (bspw. Kündigung) • Vertreter des Datenschutzes BvD Verbandstage 2019 Mai 2019 PwC 9
Kritik kommt auf…
Kritik an der Regulation • 5 von 28 Mitgliedsstaaten haben ihr nationalen Gesetze noch nicht an die DSGVO angepasst – EU muss energischer gegen säumige Mitgliedstaaten vorgehen • Nicht ausreichende Kompetenzen des Europäischen Datenausschusses • Wirtschaft fordert Erleichterungen für KMU • 63% der Unternehmen geben gemäss bitkom Studie an, dass die DSGVO in ihren Geschäftsprozessen ein Mehraufwand hervorruft • Durch die Komplexität der Regulation, haben sich viele Unternehmen in der Umsetzung verschätzt • Praxisfremd • Ist das Ideal der DSGVO überhaupt zu erreichen? BvD Verbandstage 2019 Mai 2019 PwC 11
Die Datenschutzbehörden greifen durch…
DSGVO relevante Datenschutzverstösse, Meldungen & Beschwerden im Überlick • 64`684 Datenschutzverstösse wurden gemeldet • 206`326 DSGVO relevante Fälle wurden bei nationalen Behörden registriert! • 94`622 durch Beschwerden bei nationalen Datenschutzbehörden ausgelöst BvD Verbandstage 2019 Mai 2019 PwC 13
Happy Birthday DSGVO: Wen hat es bisher getroffen…
BvD Verbandstage 2019 Mai 2019
14
PwCDie Datenschutzbehörden rüsten für die Zukunft auf…
2019 wird das Jahr der Kontrollen Stefan Brink Datenschutzbeauftragter Baden-Württemberg Im Interview mit dem SWR, Februar 2019 BvD Verbandstage 2019 Mai 2019 PwC 16
“Fehler werden jetzt teuer” Aussagen der Datenschutzbehörden Der Datenschutzbeauftragte von Baden Württemberg Aufsichtsbehörden brauchten Verfahren der Aufsichtsbehörden Bussgelder sollen zukünftig mehr Vorlaufzeit als gedacht und brauchen länger als erwartet regelmässig und auch mit höheren waren in 2018 mit der Beratung Beträgen verhängt werden der Unternehmen beschäftigt BvD Verbandstage 2019 Mai 2019 PwC 17
Ein fünfstelliges Bussgeld wird keine Seltenheit mehr sein. Stefan Brink Datenschutzbeauftragter Baden-Württemberg Interview mit dem Spiegel vom 24.01.2019 BvD Verbandstage 2019 Mai 2019 PwC 18
Was könnte der Fokus sein…? 2018 war es noch die Beratung… Aber was könnte für 2019 gelten…?
Schwerpunkte werden auf folgende
Unternehmen gesetzt:
• Social-Media-Unternehmen
• Unternehmen, die große Mengen
an sensiblen Daten verwalten
Stefan Brink
Datenschutzbeauftragter Baden-Württemberg
Im Interview mit dem SWR, Februar 2019
BvD Verbandstage 2019 Mai 2019
PwC 20In erster Linie... In erster Linie könnten die Datenschutzbehörden jeweils prüfen, was einfach zu ermitteln ist bzw. gemeldet wurde… • DSGVO konforme Auftragsverarbeitungsverträge • Transparenzpflichten (Einwilligungserklärungen, Privacy Notice usw.) • Rechte Datensubjekte (bpsw. Auskunftsbegehren stellen) • Unzulässige Überwachungsmassnahmen • Art. 30 DSGVO Dateninventar BvD Verbandstage 2019 Mai 2019 PwC 21
Die grössten datenschutz- rechtlichen Probleme der Unternehmen
Die Pain Points der Unternehmen
Keine Drittparteien Rechtmässigkeit & Betroffenenrechte Organisatorisches
angemessenen Management Grundsätze
• Auf Anfragen von • Falsche bzw. keine
TOMs Betroffenen wird nicht Risikobeurteilung von
• DSGVO konforme • Daten werden ohne
Rechtsgrundlage eingegangen alten oder neuen
• Knuddels: Passwörter Datenverarbeitungs-
verarbeitet (z.B. “alte” Datenverarbeitungs-
wurden nicht “verhashed”. verträge sind nicht oder • First Point of Contact ist
Kundendaten werden für aktivitäten
Passwörter wurden im nur teilweise vorhanden nicht ausreichend
Klartext gespeichert “neue” Marketingzwecke geschult • Verzeichnis gemäss Art.
• Überblick wer die verwendet 30 lückenhaft
• Spezielle Kategorien von Drittparteien sind • Es findet keine
Daten waren öffentlich • Berechtigtes Interesse ausreichende Information • DPO ist nicht geeignet
• Transparenzpflichten in
zugänglich wird zu weit ausgelegt der Betroffenen statt bzw. Es besteht ein
Bezug auf Drittparteien
• Es werden mehr Daten Interessenkonflikt (Bsp.
• Verspätete Meldung von • Recht auf Löschung wird
verarbeitet als benötigt DPO ist Controller)
Datenschutzverstössen nicht gewährleistet, da
• Datenverabeitung stimmt keine Definition der • Der Risk based approach
• Datenklau durch nicht Aufbewahrungsfristen wird in eine
ausreichende nicht mit ursprünglichem
Zweck überein und kein Löschkonzept Lückentheorie
Sicherheitsmassnahmen vorhanden umgewandelt
(weiterführende Zwecke)
• Daten können noch nicht • Widerspruchsrecht wird • Mitarbeiterschulungen
gelöscht werden nicht gewährleistet finden nicht bzw. nicht
• Anonymisierung und zielgerichtet statt
Verschlüsselung wird • Definierte Prozesse
verwechselt werden im daily business
• Zugangsrechte werden nicht gelebt
nicht definiert bzw. zu weit • Auf Lücke gesetzt und
definiert nicht Risiko basiert
BvD Verbandstage 2019 Mai 2019
PwC 23Die grossen Pain Points im Detail
WhatsApp Usage zu Unternehmenszwecken Facebook Usage zu Unternehmenszwecken
Die Nutzung von Whatsapp ist aus folgenden Gründen • “Facebook Insights”: Statistische Infos über Besucher der
problematisch: “Fanseite”
• Whatsapp erstellt als Anwendung eine Kontaktliste, indem es die • Betroffene Datensubjekte (Facebook User) werden nicht über
auf dem Smartphone gespeicherten Nummern mit den Nummern Datenverarbeitungsvorgänge und Cookie Usage informiert
abgleicht, die auf den Servern von Whatsapp abgelegt sind • “Custom Audince”: Methode zur Zielgruppenbestimmung
• Ohne Ausnahme werden alle Nummern aus dem Adressbuch (indirekte Datensammlung aus Website Traffic)
abgeglichen • Recht auf Transparenz nicht gewährleistet
• Whatsapp erhält Zugriff auf alle Nummern, die auf dem • Keine Rechtsgrundlage für Datensammlung: Keine rechtsgültige
Smartphone gespeichert sind – auch auf diejenigen Nummern von Einwilligung – nur Möglichkeit des Opt-out
Personen, die die App nicht nutzen
• Einwilligung wird im Facebook Anmeldeprozess verlangt mit
• Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff Verweis auf FB Datenschutz Richtlinie
auf personenbezogene Daten vor
• Verwendung “Custom Audience” ohne Einwilligung ist unzulässig
• Unbestimmte Weitergabe der Daten an Dritte (nicht nur an (VG Bayreuth, 8.5.18 – B1 S 18.105)
Mutterkonzern Facebook) gemäss AGB von Whatsapp
• Facebook ist gemäss VG Bayreuth nicht nur
• Beim Einsatz zu Business Zwecken gilt die Einwilligung als Auftragsdatenverarbeiter, sondern auch Controller
rechtliche Grundlage einer solchen Verarbeitung (Amtsgericht Bad
Hersfeld (AZ F 120/17 EASO – unzulässige Datenverarbeitung) • Sog. Joint Controller Beziehung besteht zwischen Facebook udn
Unternehmung
• Zudem müsste nach der DSGVO ein Auftragsdaten-
verarbeitungsvertrag geschlossen werden • Es sind die die Anforderungen von Art. 26 DSGVO zu beachten
BvD Verbandstage 2019 Mai 2019
PwC 24Exkurs: Entscheid VG Bayreuth, Beschluss vom 08.05.2018, Az: B 1 S 18.05 „Facebook sei auch nicht Auftragsdatenverarbeiter. Bei Facebook handele es sich nicht um einen Auftragnehmer der Antragstellerin im Sinne des § 11 Abs. 1 BDSG, sondern um einen Dritten gemäß § 3 Abs. 8 Satz 2 BDSG. Eine Auftragsdatenverarbeitung liege dann vor, wenn die verantwortliche Stelle eine andere Stelle damit betraue, Daten zu erheben, zu verarbeiten oder zu nutzen. Die Voraussetzungen einer Auftragsdatenverarbeitung seien jedoch dann nicht mehr gegeben, wenn dem Serviceunternehmer eine eigenständige „rechtliche Zuständigkeit“ für die Aufgabe zugewiesen und ein inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Im konkreten Fall bestimme Facebook in eigenem Ermessen, welche seiner Facebook-Mitglieder beworben würden. Facebook werte das Verhalten seiner Mitglieder aus (z.B. Drücken des Like-Buttons). Daraus ergäben sich Interessen, die den Zielgruppen der Custom Audience zugeordnet würden. Die Antragstellerin bestimme lediglich, welche Interessen eine Gruppe von Facebook-Mitgliedern haben solle. Welche konkreten Facebook-Mitglieder schließlich beworben würden, erfahre die Antragstellerin nicht. Sie habe auch keine Möglichkeiten, die zu Bewerbenden individuell auszuwählen. Darüber hinaus wäre die Antragstellerin auch nicht selbst in der Lage, die konkreten Betroffenen, die über ihr Facebook-Profil Werbung erhielten, auszuwählen. Facebook lasse bei der Auswahl der zu Bewerbenden eigenes Wissen anhand der Profildaten seiner Facebook-Mitglieder einfließen, so dass ausschließlich Facebook in der Lage sei, die ausgewählte Custom Audience zu bewerben. Zudem verfolge Facebook ein über den Auftrag hinausgehendes Eigeninteresse, da das soziale Netzwerk Facebook für alle Nutzer „kostenlos“ zur Verfügung stehe. Einnahmen würden hier ausschließlich über das Geschäftsmodell der Profilwerbung generiert. Schließlich spreche für die Annahme, dass es sich bei Facebook um einen Dritten im Sinne des § 3 Abs. 8 Satz 2 BDSG handele, dass Facebook seinen Mitgliedern (zu Recht) Betroffenenrechte einräume.„ BvD Verbandstage 2019 Mai 2019 PwC 25
Exkurs: AGB Whatsapp „WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“ Quelle: WhatsApp-Datenschutzrichtlinie https://www.whatsapp.com/legal/#privacy-policy BvD Verbandstage 2019 Mai 2019 PwC 26
Die grossen Pain Points
Cloud Usage Big Data am Beispiel Rechenschafts &
Besondere Aspekte beim Verlagern von Daten
künstliche Intelligenz (KI) Nachweispflichten
in die Cloud sind zu beachten wie bspw., dass
Massen von Daten werden gesammelt und Hier handelt es sich um ein ganz neues
die Anforderungen an die IT Sicherheit sich
verarbeitet. Dabei müssen wichtige Aspekte Rechtsinstitut, welches noch nicht einmal im BDSG
erhöhen.
beachtet werden: aufzufinden war. Bspw. Prüft die BayLDA mit
Folgende Fragen muss sich der Verantwortliche Prüfverfahren die Nachweispflicht sehr detailliert.
• Wer ist Verantwortlicher?
vorab stellen:
Beispiel: Recht auf Vergessen
• Handelt es sich um eine rechtskonforme
• Welche Daten werden in die Cloud verlagert?
Datensammlung? • 4 Nachweispflichten
• Was sind die Risiken für die Betroffenen?
• Welche rechtlichen Risiken bestehen? • Dokumentation Prozess
• Ist der Cloud Anbieter DSGVO konform?
• Wo gehen die Daten überall hin und wer hat • Nachweis Wissenskomponente
(bspw. Geeignete technische und
Zugriff? Mitarbeiter (Nachweis Schulung, schriftl.
organisatorische Massnahmen)
Handlungsanweisung)
• Wo kommen die Daten für das “Appending” her
• Sind die Zugriffsrechte beschränkt?
und auf welcher Rechtggrundlage wurden diese • Konkrete Dokumentation der Umsetzung
• Wie und wer hat Zugriff auf die Daten im ursprünglich gesammelt? (wann ging welche Anfrage ein)
Falle eines Trouble Shootings?
• Sind die Datensubjekt über alle Aspekte der • Dokumentation der Ueberprüfung des
• Findet ein Datentransfer ausserhalb von Datenverarebitung informiert? Löschprozesses
Europa/CH statt?
• Werden die Grundsätze der DSGVO eingehalten?
• Ist ein Löschkonzept vorhanden?
• Werden zusätzlich autom. Entscheidungen
• Sind die Daten portable? gemäss Art. 22 DSGVO getroffen?
Note: Beachtung anderer Rechtsvorschriften bzgl. Von Note: In der DSGVO gibt es keine direkten Vorschriften bzgl.
Daten in der Cloud (bspw. FINMA oder Chinese Cyber KI (Erw. 15 Grundsatz der Technologieneutralität)
Security Law)
BvD Verbandstage 2019 Mai 2019
PwC 27Wie ist in Anbetracht der Situation vorzugehen?
Wie nun vorgehen…? • Umsetzung der Anforderungen strukturiert und Schritt für Schritt vorgehen • Kurze Bestandsaufnahme mittels GAP Analyse • Pain Points und Lücken ausfindig machen • Risiko evaluieren mittels eines vorher definierten Risiko basierten Ansatzes • Aufwände berechnen und geeignete Ressourcen sicherstellen • Realistische Konzepte erarbeiten um Lücken zu schliessen • Lücken schliessen • Stets auf neuste Entscheidungen bzw. Guidance vom Gesetzgeber achten, um unter Umständen Scope der Implementierungsmassnahmen neu anzupassen BvD Verbandstage 2019 Mai 2019 PwC 29
Beispiel 1: Lücken evaluieren & Roadmap
Die Gap-Analyse und ihre Folgeschritte
Implementierung
• Umsetzung der Kontrollen,
Reporting & Roadmap Prozesse und Vorgänge
Gruppierung und Beschluss der
Massnahmen • Data Lifecycle sicherstellen
Definition der Rollen und • Regelmässige Prüfung auf
Verantwortlichkeiten veränderte Regulationen
Assessment
Entwurf einer phasenorientierten • Implementierung der
Gap-Analyse: Roadmap technischen und
Identifikation und Klassifikation Synchronisation der Roadmap über organisatorischen
der möglichen Risiken das ganze Unternehme Massnahmen
Scoping Definieren von Massnahmen • Überwachung der
Im Anwendungsbereich der Norm? (für Priorisierung der Massnahmen Massnahmen und
nicht-EU Unternehmen) Kontrollen
Mobilisierung des Projekts (Kick off, • Regelmässiges aktualisieren
etc.) der Massnahmen und
Identifikation der betroffenen Kontrollen
Geschäftsbereiche und Systeme
Mai 2019
BvD Verbandstage 2019 31
PwCRoadmap – Risikobasierte Priorisierung der Implementations-
elemente
2019 2020
Juni Juli August September Oktober November Dezember Januar Februar März April Mai
Information & Einwilligungen
Rechtsgrundlagen & Verzeichnis
Rechte der Datensubjekte
Drittparteien (Auftragsverarbeiter)
Privacy by Design & DPIA
Data Breach Notification
In der Roadmap wird graphisch dargestellt, in welcher Reihenfolge und in welchem zeitlichen Kontext die im Rahmen des Assessments
ermittelten Workstreams zur Umsetzung der gesetzlichen Anforderungen der DSGVO durchgeführt worden sollten. Die Roadmap stellt somit
den «Fahrplan» für die Implementierung der erforderlichen Massnahmen dar.
Mai 2019
BvD Verbandstage 2019 32
PwCBeispiel 2: Anpassung Drittparteien Management
Drittparteien-Management
Sammeln aller Informationen
• Bestandsverfolgung der Drittparteien
• Umfrage der Risikoeinstufung
Sorgfaltspflicht
• Schutz von personenbezogene Daten durch Third Party sicherstellen
• Das Recht zur Prüfung vorbehalten
Überarbeitung von Veträgen
• «Contractual Wording»
• Internationale Datenströme können weitere Bestimmungen benötigen
• Vorsicht gegenüber Cloud-Dienstleistungsverträgen
Mai 2019
BvD Verbandstage 2019 34
PwCVielen Dank!
Jutta-Sonja Oberlin
PwC | Manager
Office: +41 58 792 1242 | Mobile: +41 79 854 7757
Email: Jutta-Sonja.Oberlin@ch.pwc.com
pwc.com
© 2019 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers
International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as
agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its
member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of
any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.Sie können auch lesen
