Ein Jahr nach der DSGVO - IHK Schleswig-Holstein
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Ein Jahr nach der DSGVO
Bilanz aus der Praxis und Tipps für die Tourismusbranche
Melanie Ludolph
Senior Consultant Datenschutz
Rechtsanwältin
am 28.05.2019 bei der IHK-Schleswig-Holstein www.intersoft-consulting.de
Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die Tourismusbranche
Warum Datenschutz
Jeder ist im Alltag vom Datenschutz betroffen
Schufa
Fitnesstracker
Arbeitgeber
Videoüberwachung
Facebook
Alexa
Warum Datenschutz
Datenschutz ist ein Grundrecht
Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die Tourismusbranche
Wesentliche Neuerungen durch die DSGVO Alles wird teurer Bußgelder: bis zu 4% des konzernweiten Jahresumsatzes bzw. 20 Mio. Euro Schadensersatzpflichten (Art. 82 DSGVO)
Wesentliche Neuerungen durch die DSGVO Nachweisbarkeit des Datenschutzes: Verzeichnis von Verarbeitungstätigkeiten Datenschutz-Folgenabschätzungen Auftragsmanagement Schulungen … Betroffenenrechte werden gestärkt Verschärfung bei Datenpannen Datenschutz durch Technikgestaltung
Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die TourismusbrancheRechtsunsicherheit und DSGVO-Irrtümer
Rechtsunsicherheit: Tracking
Einwilligung
Berechtigtes Interesse
Cookie-BannerRechtsunsicherheit: Verhältnis zum UWG Sind DSGVO Verstöße wettbewerbsrechtlich abmahnfähig? Die befürchtete Abmahnwelle blieb bisher aus Die Rechtsprechung ist sich uneinig Die Politik steckt mitten in der Diskussion
Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die TourismusbrancheBilanz in Europa
Im Jahr 2018:
206.000 Verstöße
56.000.000 € Bußgelder
95.000 Beschwerden
Quelle: Bericht des Europäischen Datenschutzausschusses (EDSA) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdfBilanz in Deutschland - Beschwerden
Anzahl der bei den Aufsichtsbehörden eingegangenen Beschwerden
4000
3500
3000
2500
2000
1500
1000
500
0
Hamburg Bayern Baden-Württemberg 2017 2018
Quelle: https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf https://www.lda.bayern.de/media/baylda_report_08.pdf https://www.baden-
wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdfBilanz in Deutschland - Bußgelder
Bisher verhängte Bußgelder
Aufsichtsbehörde Datum Strafe Gegen Datenschutzverstoß
Saarland 2018 118 € ? Unzulässige Weitergabe der Daten an
Dritte
Hamburg 2018 20.000 € ? Verspätete Meldung des Vorfalls und
unterlassene Benachrichtigung
Baden-Württemberg 06.12.2018 80.000 € ? Gesundheitsdaten wurden versehentlich
im Internet veröffentlicht
Baden-Württemberg 21.11.2018 20.000 € Knuddels Kundenpasswörter wurden im Klartext
gespeichert
Hamburg 17.12.2018 5.250 € Kolibri Image Fehlender Auftragsverarbeitungsvertrag
(Kolibri war Verantwortlicher)
Sachsen-Anhalt 05.02.2019 2.000 € Privat Person Offener E-Mail Verteiler (ca. 130-150
Empfänger)
Berlin Mai 2019? 50.000 € N26 (App-Bank) Zweckfremde Speicherung von
Kundendaten
Quelle: http://enforcementtracker.com/Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die TourismusbrancheAusblick: E-Privacy-VO
Basierend auf der sog. Cookie-Richtlinie
(RL 2002/58 und RL 2009/136)
Für die Verarbeitung elektronischer Kommunikationsdaten
Neue Regelungen für das Online- und DirektmarketingAusblick: Wie geht’s weiter? Rechtsunsicherheiten werden sich nur langsam legen Gerichtsentscheidungen werden weiterhin auf sich warten lassen das Echo in den Medien bleibt groß die Harmonisierung der Rechtslage in Europa ist noch in weiter Ferne
Agenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die TourismusbranchePraxistipps
Die datenschutzrechtlichen „must-haves“
Informationspflichten (Datenschutzerklärung)
Verträge zur Auftragsverarbeitung
Verarbeitungsverzeichnisse
Umsetzung der Betroffenenrechte
Technische und organisatorische Maßnahmen (IT-Sicherheit)
Behandlung von Datenschutzverletzungen
Datenschutz-FolgenabschätzungenPraxistipps Tipps zur Umsetzung 1. Bestandsaufnahme im Unternehmen 2. Rechtliche Bewertung 3. Festlegung interner Verfahren und verbindlicher Datenschutzstrategien Datenschutzmanagement 4. Implementierung des Datenschutzmanagements 5. Überwachung und Kontrollverfahren Hierzu Schaffung von Ressourcen: Budget Personal Fachwissen
Praxistipps
Bestandsaufnahme im Unternehmen
= Analyse und Dokumentation der bestehenden Datenflüsse und Verarbeitungsprozesse
Welche personenbezogenen Daten werden wie erhoben?
Wo werden Daten gespeichert?
Existieren Löschroutinen?
Wer hat Zugriff auf die Daten?
Welche Zwecke werden mit der Datenerhebung verfolgt?Praxistipps
Datenschutzmanagement
= systematische Lösung zum Nachweis von DSGVO Compliance
Neues Management Tool zum Datenschutz der intersoft consulting services AG:
strukturierte Übersicht
nutzerfreundliche Bedienung
Erleichterung der Kommunikation
und vieles mehr!Praxistipps
Praxistipps: Erste Hilfe bei einer Datenpanne
Verfahren zur Handhabung von Datenschutzvorfällen:
Vorlage: Verzeichnisse
Meldung an der Verarbeitungstätigkeit
Durchatmen und Ruhe
Rechtsabteilung, DSB und Dokumente zur
bewahren
und Vorstand Daten-
schutzfolgeabschätzung
Entscheidung über Ergreifen von
Meldung bzw. Schutzmaßnahmen und Sachverhaltsbeurteilung
Benachrichtigung GegenmaßnahmenPraxistipps
100 % DSGVO Konformität ist utopisch!
Unverzichtbar:
in der Außendarstellung DSGVO- Compliance ausstrahlen
auf Aufforderung der Aufsichtsbehörden müssen die wichtigsten
Dokumente vorgelegt werden könnenAgenda
1 Warum Datenschutz
2 Wesentliche Neuerungen durch die DSGVO
3 Rechtsunsicherheit und DSGVO-Irrtümer
4 Bilanz in Europa und Deutschland
5 Ausblick und weitere Entwicklungen
6 Praxistipps
7 Beispiele für die TourismusbrancheEinchecken – der Meldeschein
Anforderungen aus §30 BMG (bzw. Landesgesetze)
Datensparsamkeit
AufbewahrungsfristenVideoüberwachung
Dos:
Zulässige Rechtsgrundlage
Informationspflichten
Speicherdauer (Monitoring oder 48/72 Stunden)
Don‘ts:
Leistungs- und Verhaltenskontrolle von Mitarbeitern
Audiofunktion
Kameratrappen
Ruhe- und Wellnessbereich, Toilettenräume, Restaurant
Öffentlicher (Verkehrs-)RaumCRM (Customer-Relationship-Management) Datensparsamkeit Kundenzufriedenheitsbefragungen Nur mit Einwilligung Bei Einsatz von Dienstleistern (Call Center/Marktforschungsinstitut) ggf. Auftragsverarbeitung Kundenbindungsprogramme (insb. Rabattsysteme) Ziel: Zielgruppenspezifisches Marketing Aussagekräftige Bewegungs- und Nutzungsprofile Vertragliche Grundlage Widerruf und Löschung der Daten durch den Hotelgast Datensicherheit
Werbemaßnahmen
E-Mail-Marketing
Einwilligung mit Double-Opt-In (Nachweispflicht des Verantwortlichen)
Oder ausnahmsweise nach § 7 Abs. 3 UWG
Bestandskraft alter Einwilligungen
Immer Opt-Out-Möglichkeit
Sperrliste erlaubt und sinnvoll
Bei Dienstleister an Auftragsverarbeitungsvertrag denken
Telefon-Marketing
Einwilligung
Call-Center ist Auftragsverarbeiter
Briefwerbung
In vielen Fällen ohne Einwilligung möglichDatenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Vielen Dank für Ihre Aufmerksamkeit.
Gern stehe ich Ihnen für Fragen zur Verfügung.
Melanie Ludolph Folgen Sie uns auf Twitter:
Senior Consultant Datenschutz twitter.com/Dr_Datenschutz
Rechtsanwältin
MLudolph@intersoft-consulting.de Abonnieren Sie unseren Datenschutz-Newsletter:
040 / 790 235 493 www.datenschutzbeauftragter-info.de/newsletter
Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg www.intersoft-consulting.deSie können auch lesen
