Cross-Industry Überblick der DSGVO Implementationsphase
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
READ & DELETE BEFORE USING If replacing the photo on this slide, first, click on and delete the photo. Then, click on the icon in the placeholder to select a new image. Size and crop if/as needed. Send image behind all other elements. Final image is 7.5”/190.5mm tall and wide enough to run behind the stepped shape. Cross-Industry Überblick Use images from our library. der DSGVO Implementationsphase Jutta Sonja Oberlin Berlin, 6. Juni 2019
Agenda 1. 365 Tage DSGVO – Was hat sich getan? 03 Die Datensubjekte wissen von ihren Rechten und melden sich zu Wort! 06 Kritik kommt auf… 10 Die Datenschutzbehörden greifen durch… 12 Die Datenschutzbehörden rüsten für die Zukunft auf… 15 Was könnte der Fokus sein? 19 2. Die grössten datenschutzrechtlichen Probleme der Unternehmen 22 3. Wie ist in Anbetracht der Situation vorzugehen? 28 Beispiel 1: Lücken evaluieren & Roadmap 30 Beispiel 2: Anpassung Drittparteien Management 33 BvD Verbandstage 2019 Mai 2019 PwC 2
Datensubjekte nutzen ihre Rechte! Beispiele aus der Praxis Marketing Beschwerden Beschwerden von NGO`s • 23% der Kunden machen • 94`622 Beschwerden • Privacy International (PI) Gebrauch von ihrem Recht führten zu DSGVO legt Beschwerde ein und auf Opt-Out beim relevanten Fällen bei strengt Aufsichtsverfahren Direktmarketing nationalen Behörden gegen die vermeintlich grössten Datensünder an • 12% der Kunden fordern • Beschwerden betrafen: ihr Recht auf Löschung Werbe-Anrufe, Werbe- (Art. 17 DSGVO) Mails, Videoüberwachung • Gute News: 60% der • Beschwerden kamen dabei Konsumenten sind nicht nur von Kunden, weiterhin gewillt ihre sondern auch von personenbezogenen Daten Mitarbeitern zu teilen BvD Verbandstage 2019 Mai 2019 PwC
Key Aspekte der Beschwerde von Privacy International (PI) gegen Acxiom, Criteo, Equifax, Experian, Oracle, Quantcast und Tapad Halten nicht die Es besteht keine rechtliche Datenschutzgrundsätze ein, Grundlage für die Art und insbesondere die Weise, wie die Daten von Grundsätze der Personen verarbeitet werden Transparenz, Fairness, Weder Einwilligung noch Rechtmäßigkeit, berechtigtes Interesse sind Zweckbindung, zufriedenstellende Datenminimierung und Bedingungen für die Richtigkeit. Bearbeitung durch diese Unternehmen. BvD Verbandstage 2019 Mai 2019 PwC 8
Wer sind die Betroffenen und was ist ihr Motiv Gemäss der Erfahrungen der letzten Monate zeigt sich, dass es sehr verschiedene Gruppen sind, welche Datenschutzverstösse melden, mit jeweils sehr verschiedenen Motiven: • Der enttäuschte Kunde • Der informierte Kunde • Der gelangweilte Kunde/Bürger • Der genervte Kunde (bspw. Werbung) • Die Konkurrenz • Der enttäuschte Mitarbeiter (bspw. Kündigung) • Vertreter des Datenschutzes BvD Verbandstage 2019 Mai 2019 PwC 9
Kritik an der Regulation • 5 von 28 Mitgliedsstaaten haben ihr nationalen Gesetze noch nicht an die DSGVO angepasst – EU muss energischer gegen säumige Mitgliedstaaten vorgehen • Nicht ausreichende Kompetenzen des Europäischen Datenausschusses • Wirtschaft fordert Erleichterungen für KMU • 63% der Unternehmen geben gemäss bitkom Studie an, dass die DSGVO in ihren Geschäftsprozessen ein Mehraufwand hervorruft • Durch die Komplexität der Regulation, haben sich viele Unternehmen in der Umsetzung verschätzt • Praxisfremd • Ist das Ideal der DSGVO überhaupt zu erreichen? BvD Verbandstage 2019 Mai 2019 PwC 11
Die Datenschutzbehörden greifen durch…
DSGVO relevante Datenschutzverstösse, Meldungen & Beschwerden im Überlick • 64`684 Datenschutzverstösse wurden gemeldet • 206`326 DSGVO relevante Fälle wurden bei nationalen Behörden registriert! • 94`622 durch Beschwerden bei nationalen Datenschutzbehörden ausgelöst BvD Verbandstage 2019 Mai 2019 PwC 13
Happy Birthday DSGVO: Wen hat es bisher getroffen… BvD Verbandstage 2019 Mai 2019 14 PwC
Die Datenschutzbehörden rüsten für die Zukunft auf…
2019 wird das Jahr der Kontrollen Stefan Brink Datenschutzbeauftragter Baden-Württemberg Im Interview mit dem SWR, Februar 2019 BvD Verbandstage 2019 Mai 2019 PwC 16
“Fehler werden jetzt teuer” Aussagen der Datenschutzbehörden Der Datenschutzbeauftragte von Baden Württemberg Aufsichtsbehörden brauchten Verfahren der Aufsichtsbehörden Bussgelder sollen zukünftig mehr Vorlaufzeit als gedacht und brauchen länger als erwartet regelmässig und auch mit höheren waren in 2018 mit der Beratung Beträgen verhängt werden der Unternehmen beschäftigt BvD Verbandstage 2019 Mai 2019 PwC 17
Ein fünfstelliges Bussgeld wird keine Seltenheit mehr sein. Stefan Brink Datenschutzbeauftragter Baden-Württemberg Interview mit dem Spiegel vom 24.01.2019 BvD Verbandstage 2019 Mai 2019 PwC 18
Was könnte der Fokus sein…? 2018 war es noch die Beratung… Aber was könnte für 2019 gelten…?
Schwerpunkte werden auf folgende Unternehmen gesetzt: • Social-Media-Unternehmen • Unternehmen, die große Mengen an sensiblen Daten verwalten Stefan Brink Datenschutzbeauftragter Baden-Württemberg Im Interview mit dem SWR, Februar 2019 BvD Verbandstage 2019 Mai 2019 PwC 20
In erster Linie... In erster Linie könnten die Datenschutzbehörden jeweils prüfen, was einfach zu ermitteln ist bzw. gemeldet wurde… • DSGVO konforme Auftragsverarbeitungsverträge • Transparenzpflichten (Einwilligungserklärungen, Privacy Notice usw.) • Rechte Datensubjekte (bpsw. Auskunftsbegehren stellen) • Unzulässige Überwachungsmassnahmen • Art. 30 DSGVO Dateninventar BvD Verbandstage 2019 Mai 2019 PwC 21
Die grössten datenschutz- rechtlichen Probleme der Unternehmen
Die Pain Points der Unternehmen Keine Drittparteien Rechtmässigkeit & Betroffenenrechte Organisatorisches angemessenen Management Grundsätze • Auf Anfragen von • Falsche bzw. keine TOMs Betroffenen wird nicht Risikobeurteilung von • DSGVO konforme • Daten werden ohne Rechtsgrundlage eingegangen alten oder neuen • Knuddels: Passwörter Datenverarbeitungs- verarbeitet (z.B. “alte” Datenverarbeitungs- wurden nicht “verhashed”. verträge sind nicht oder • First Point of Contact ist Kundendaten werden für aktivitäten Passwörter wurden im nur teilweise vorhanden nicht ausreichend Klartext gespeichert “neue” Marketingzwecke geschult • Verzeichnis gemäss Art. • Überblick wer die verwendet 30 lückenhaft • Spezielle Kategorien von Drittparteien sind • Es findet keine Daten waren öffentlich • Berechtigtes Interesse ausreichende Information • DPO ist nicht geeignet • Transparenzpflichten in zugänglich wird zu weit ausgelegt der Betroffenen statt bzw. Es besteht ein Bezug auf Drittparteien • Es werden mehr Daten Interessenkonflikt (Bsp. • Verspätete Meldung von • Recht auf Löschung wird verarbeitet als benötigt DPO ist Controller) Datenschutzverstössen nicht gewährleistet, da • Datenverabeitung stimmt keine Definition der • Der Risk based approach • Datenklau durch nicht Aufbewahrungsfristen wird in eine ausreichende nicht mit ursprünglichem Zweck überein und kein Löschkonzept Lückentheorie Sicherheitsmassnahmen vorhanden umgewandelt (weiterführende Zwecke) • Daten können noch nicht • Widerspruchsrecht wird • Mitarbeiterschulungen gelöscht werden nicht gewährleistet finden nicht bzw. nicht • Anonymisierung und zielgerichtet statt Verschlüsselung wird • Definierte Prozesse verwechselt werden im daily business • Zugangsrechte werden nicht gelebt nicht definiert bzw. zu weit • Auf Lücke gesetzt und definiert nicht Risiko basiert BvD Verbandstage 2019 Mai 2019 PwC 23
Die grossen Pain Points im Detail WhatsApp Usage zu Unternehmenszwecken Facebook Usage zu Unternehmenszwecken Die Nutzung von Whatsapp ist aus folgenden Gründen • “Facebook Insights”: Statistische Infos über Besucher der problematisch: “Fanseite” • Whatsapp erstellt als Anwendung eine Kontaktliste, indem es die • Betroffene Datensubjekte (Facebook User) werden nicht über auf dem Smartphone gespeicherten Nummern mit den Nummern Datenverarbeitungsvorgänge und Cookie Usage informiert abgleicht, die auf den Servern von Whatsapp abgelegt sind • “Custom Audince”: Methode zur Zielgruppenbestimmung • Ohne Ausnahme werden alle Nummern aus dem Adressbuch (indirekte Datensammlung aus Website Traffic) abgeglichen • Recht auf Transparenz nicht gewährleistet • Whatsapp erhält Zugriff auf alle Nummern, die auf dem • Keine Rechtsgrundlage für Datensammlung: Keine rechtsgültige Smartphone gespeichert sind – auch auf diejenigen Nummern von Einwilligung – nur Möglichkeit des Opt-out Personen, die die App nicht nutzen • Einwilligung wird im Facebook Anmeldeprozess verlangt mit • Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff Verweis auf FB Datenschutz Richtlinie auf personenbezogene Daten vor • Verwendung “Custom Audience” ohne Einwilligung ist unzulässig • Unbestimmte Weitergabe der Daten an Dritte (nicht nur an (VG Bayreuth, 8.5.18 – B1 S 18.105) Mutterkonzern Facebook) gemäss AGB von Whatsapp • Facebook ist gemäss VG Bayreuth nicht nur • Beim Einsatz zu Business Zwecken gilt die Einwilligung als Auftragsdatenverarbeiter, sondern auch Controller rechtliche Grundlage einer solchen Verarbeitung (Amtsgericht Bad Hersfeld (AZ F 120/17 EASO – unzulässige Datenverarbeitung) • Sog. Joint Controller Beziehung besteht zwischen Facebook udn Unternehmung • Zudem müsste nach der DSGVO ein Auftragsdaten- verarbeitungsvertrag geschlossen werden • Es sind die die Anforderungen von Art. 26 DSGVO zu beachten BvD Verbandstage 2019 Mai 2019 PwC 24
Exkurs: Entscheid VG Bayreuth, Beschluss vom 08.05.2018, Az: B 1 S 18.05 „Facebook sei auch nicht Auftragsdatenverarbeiter. Bei Facebook handele es sich nicht um einen Auftragnehmer der Antragstellerin im Sinne des § 11 Abs. 1 BDSG, sondern um einen Dritten gemäß § 3 Abs. 8 Satz 2 BDSG. Eine Auftragsdatenverarbeitung liege dann vor, wenn die verantwortliche Stelle eine andere Stelle damit betraue, Daten zu erheben, zu verarbeiten oder zu nutzen. Die Voraussetzungen einer Auftragsdatenverarbeitung seien jedoch dann nicht mehr gegeben, wenn dem Serviceunternehmer eine eigenständige „rechtliche Zuständigkeit“ für die Aufgabe zugewiesen und ein inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Im konkreten Fall bestimme Facebook in eigenem Ermessen, welche seiner Facebook-Mitglieder beworben würden. Facebook werte das Verhalten seiner Mitglieder aus (z.B. Drücken des Like-Buttons). Daraus ergäben sich Interessen, die den Zielgruppen der Custom Audience zugeordnet würden. Die Antragstellerin bestimme lediglich, welche Interessen eine Gruppe von Facebook-Mitgliedern haben solle. Welche konkreten Facebook-Mitglieder schließlich beworben würden, erfahre die Antragstellerin nicht. Sie habe auch keine Möglichkeiten, die zu Bewerbenden individuell auszuwählen. Darüber hinaus wäre die Antragstellerin auch nicht selbst in der Lage, die konkreten Betroffenen, die über ihr Facebook-Profil Werbung erhielten, auszuwählen. Facebook lasse bei der Auswahl der zu Bewerbenden eigenes Wissen anhand der Profildaten seiner Facebook-Mitglieder einfließen, so dass ausschließlich Facebook in der Lage sei, die ausgewählte Custom Audience zu bewerben. Zudem verfolge Facebook ein über den Auftrag hinausgehendes Eigeninteresse, da das soziale Netzwerk Facebook für alle Nutzer „kostenlos“ zur Verfügung stehe. Einnahmen würden hier ausschließlich über das Geschäftsmodell der Profilwerbung generiert. Schließlich spreche für die Annahme, dass es sich bei Facebook um einen Dritten im Sinne des § 3 Abs. 8 Satz 2 BDSG handele, dass Facebook seinen Mitgliedern (zu Recht) Betroffenenrechte einräume.„ BvD Verbandstage 2019 Mai 2019 PwC 25
Exkurs: AGB Whatsapp „WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“ Quelle: WhatsApp-Datenschutzrichtlinie https://www.whatsapp.com/legal/#privacy-policy BvD Verbandstage 2019 Mai 2019 PwC 26
Die grossen Pain Points Cloud Usage Big Data am Beispiel Rechenschafts & Besondere Aspekte beim Verlagern von Daten künstliche Intelligenz (KI) Nachweispflichten in die Cloud sind zu beachten wie bspw., dass Massen von Daten werden gesammelt und Hier handelt es sich um ein ganz neues die Anforderungen an die IT Sicherheit sich verarbeitet. Dabei müssen wichtige Aspekte Rechtsinstitut, welches noch nicht einmal im BDSG erhöhen. beachtet werden: aufzufinden war. Bspw. Prüft die BayLDA mit Folgende Fragen muss sich der Verantwortliche Prüfverfahren die Nachweispflicht sehr detailliert. • Wer ist Verantwortlicher? vorab stellen: Beispiel: Recht auf Vergessen • Handelt es sich um eine rechtskonforme • Welche Daten werden in die Cloud verlagert? Datensammlung? • 4 Nachweispflichten • Was sind die Risiken für die Betroffenen? • Welche rechtlichen Risiken bestehen? • Dokumentation Prozess • Ist der Cloud Anbieter DSGVO konform? • Wo gehen die Daten überall hin und wer hat • Nachweis Wissenskomponente (bspw. Geeignete technische und Zugriff? Mitarbeiter (Nachweis Schulung, schriftl. organisatorische Massnahmen) Handlungsanweisung) • Wo kommen die Daten für das “Appending” her • Sind die Zugriffsrechte beschränkt? und auf welcher Rechtggrundlage wurden diese • Konkrete Dokumentation der Umsetzung • Wie und wer hat Zugriff auf die Daten im ursprünglich gesammelt? (wann ging welche Anfrage ein) Falle eines Trouble Shootings? • Sind die Datensubjekt über alle Aspekte der • Dokumentation der Ueberprüfung des • Findet ein Datentransfer ausserhalb von Datenverarebitung informiert? Löschprozesses Europa/CH statt? • Werden die Grundsätze der DSGVO eingehalten? • Ist ein Löschkonzept vorhanden? • Werden zusätzlich autom. Entscheidungen • Sind die Daten portable? gemäss Art. 22 DSGVO getroffen? Note: Beachtung anderer Rechtsvorschriften bzgl. Von Note: In der DSGVO gibt es keine direkten Vorschriften bzgl. Daten in der Cloud (bspw. FINMA oder Chinese Cyber KI (Erw. 15 Grundsatz der Technologieneutralität) Security Law) BvD Verbandstage 2019 Mai 2019 PwC 27
Wie ist in Anbetracht der Situation vorzugehen?
Wie nun vorgehen…? • Umsetzung der Anforderungen strukturiert und Schritt für Schritt vorgehen • Kurze Bestandsaufnahme mittels GAP Analyse • Pain Points und Lücken ausfindig machen • Risiko evaluieren mittels eines vorher definierten Risiko basierten Ansatzes • Aufwände berechnen und geeignete Ressourcen sicherstellen • Realistische Konzepte erarbeiten um Lücken zu schliessen • Lücken schliessen • Stets auf neuste Entscheidungen bzw. Guidance vom Gesetzgeber achten, um unter Umständen Scope der Implementierungsmassnahmen neu anzupassen BvD Verbandstage 2019 Mai 2019 PwC 29
Beispiel 1: Lücken evaluieren & Roadmap
Die Gap-Analyse und ihre Folgeschritte Implementierung • Umsetzung der Kontrollen, Reporting & Roadmap Prozesse und Vorgänge Gruppierung und Beschluss der Massnahmen • Data Lifecycle sicherstellen Definition der Rollen und • Regelmässige Prüfung auf Verantwortlichkeiten veränderte Regulationen Assessment Entwurf einer phasenorientierten • Implementierung der Gap-Analyse: Roadmap technischen und Identifikation und Klassifikation Synchronisation der Roadmap über organisatorischen der möglichen Risiken das ganze Unternehme Massnahmen Scoping Definieren von Massnahmen • Überwachung der Im Anwendungsbereich der Norm? (für Priorisierung der Massnahmen Massnahmen und nicht-EU Unternehmen) Kontrollen Mobilisierung des Projekts (Kick off, • Regelmässiges aktualisieren etc.) der Massnahmen und Identifikation der betroffenen Kontrollen Geschäftsbereiche und Systeme Mai 2019 BvD Verbandstage 2019 31 PwC
Roadmap – Risikobasierte Priorisierung der Implementations- elemente 2019 2020 Juni Juli August September Oktober November Dezember Januar Februar März April Mai Information & Einwilligungen Rechtsgrundlagen & Verzeichnis Rechte der Datensubjekte Drittparteien (Auftragsverarbeiter) Privacy by Design & DPIA Data Breach Notification In der Roadmap wird graphisch dargestellt, in welcher Reihenfolge und in welchem zeitlichen Kontext die im Rahmen des Assessments ermittelten Workstreams zur Umsetzung der gesetzlichen Anforderungen der DSGVO durchgeführt worden sollten. Die Roadmap stellt somit den «Fahrplan» für die Implementierung der erforderlichen Massnahmen dar. Mai 2019 BvD Verbandstage 2019 32 PwC
Beispiel 2: Anpassung Drittparteien Management
Drittparteien-Management Sammeln aller Informationen • Bestandsverfolgung der Drittparteien • Umfrage der Risikoeinstufung Sorgfaltspflicht • Schutz von personenbezogene Daten durch Third Party sicherstellen • Das Recht zur Prüfung vorbehalten Überarbeitung von Veträgen • «Contractual Wording» • Internationale Datenströme können weitere Bestimmungen benötigen • Vorsicht gegenüber Cloud-Dienstleistungsverträgen Mai 2019 BvD Verbandstage 2019 34 PwC
Vielen Dank! Jutta-Sonja Oberlin PwC | Manager Office: +41 58 792 1242 | Mobile: +41 79 854 7757 Email: Jutta-Sonja.Oberlin@ch.pwc.com pwc.com © 2019 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
Sie können auch lesen