Zwischen Hype und Bußgeld - Lehren aus einem Jahr DSGVO Niklas Mühleis, LL.M - Brühl, 08.05.2019 - pirobase imperia
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Niklas Mühleis, LL.M.
Zwischen Hype und Bußgeld
Lehren aus einem Jahr DSGVO
Brühl, 08.05.2019
Über den Referenten
Studium der Rechtswissenschaften in Hannover
LL.M. IT u. IP-Recht in Hannover u. Glasgow,
Schottland
Referendar beim Land Niedersachsen,
Staatsanwaltschaft Verden
Wissenschaftlicher Mitarbeiter bei Heidrich
Rechtsanwälte
Redaktioneller Mitarbeiter bei Insidas
Referent bei Politische Bildungsgemeinschaft
Niedersachen e.V.
Gründungsmitglied Refugee Law Clinic
Hannover
2
Das Team
Wir sind Spezialisten für IT-Recht und Informationsschutz:
• Volljuristen mit jahrelanger Erfahrung in Praxis, universitärer Lehre und Forschung
• Nachrichten- u. Elektrotechniker (Dipl.-Ing. FH)
• Fernmeldelektroniker (IHK)
• Datenschutzbeauftragte (u.a. TÜV PersCert, LMU München)
• IT- und Informationssicherheitsbeauftragte (u.a. OTH Regensburg)
• IT-Compliance Manager (FernUniversität, TÜV PersCert)
• BWLer
• …
Wir stellen:
• externe Datenschutzbeauftragte für öffentliche Stellen in Bayern
• externe Informationssicherheitsbeauftragte
• IT-Security Manager
• …
Wir unterstützen Sie:
• in allen Belangen des Datenschutzes, der IT-Haftung und der IT-Sicherheit
• erstellen individuelle Datenschutzkonzepte, Geschäftsordnungen, Leitfäden,
Notfallkonzepte, Richtlinien, Sicherheitskonzepte
• Beraten und schulen Sie und Ihr Team damit der digitale Wandel störungsfrei abläuft
• Machen Sie fit für Ihre gewünschte Zertifizierung nach ISIS12, ISO 27001, IT-Grundschutz
• …
3
Aktuell informieren zu DS und IS
Newsmeldungen auf:
https://www.insidas.de/news/
insidas-Newsletter:
https://www.insidas.de/newsletter-abonnieren/
4
Unsere Agenda
I. Grundlagen der Datenschutzgrundverordnung
II. Hype und Panikmache
III. Aktuelle Entwicklungen in Deutschland und Europa
IV. Zentrale Herausforderungen
5
Grundlagen der Datenschutzgrundverordnung
6
Grundsätzliches
Datenschutzgrundverordnung seit 25. Mai 2018 direkt anwendbar
Inkrafttreten der Verordnung bereits am 25. Mai 2016
Mehr Rechte Für Bürgerinnen und Bürger
Einheitlicher Datenschutzstandard in ganz Europa
Ausreichend Vorlauf zur Umsetzung
7
Mehr Rechte für Bürgerinnen und Bürger
Gewinner des neuen europäischen Rechts sind die Verbraucher.
So werden in Artikel 7 und 8 der DSGVO die Voraussetzungen explizit
geregelt, die für eine Einwilligung des Betroffenen zu beachten sind.
Diese muss wie bisher freiwillig und in Kenntnis der beabsichtigten
Nutzung erfolgen.
Zahlreiche neue Informationspflichten gegenüber Endkunden, die auch
abmahnbar sein werden.
Recht auf Auskunft nach Artikel 13 DSGVO sowie Recht auf Löschung nach
Artikel 17 DSGVO
8
Viele Pflichten für Unternehmen
Alle Auftragsverarbeitungsverträge neu schließen
Datenschutzerklärung neu gestalten
Privacy by Design
Privacy by Default
Neue Einwilligungstexte
Neue Betroffenenrechte
Neue Stellung des Datenschutzbeauftragten
Datenschutz Folgeabschätzungsverfahren
Neue Meldepflichten bei Datenpannen
Data Portability
Verschärfung des Datenschutzes bei Kindern
Erhebliche neue Anforderungen an die IT-Sicherheit
Und noch viel mehr…
9
Die aktuelle Datenschutzerklärung des Heise-Verlags hat einen Umfang von
51.000 Zeichen (ca. 11 Druckseiten c‘t)
10Hype und Panikmache
11Der Start der DSGVO ging daneben
KMU, aber auch die Interessenverbände und Kammern haben die
Umsetzungsphase weitgehend verschlafen.
Viel Panikmache von Anwälten und Beratern, aber auch von
Aufsichtsbehörden. z.T. schlechte Berichterstattung in den Medien.
Behörden hatten gerade für den Privatbereich, insbesondere bei Vereinen,
nicht ausreichend Infomaterial.
Umschlagen der öffentlichen Meinung spätestens nach der Welle von „Info-
Mails“.
Seither: Bild des Datenschutzes als lästig und bürokratisch.
1213
14
15
16
17
18
Aktuelle Entwicklungen in Deutschland und Europa
19Seit dem 25. Mai 2018
An 56% der deutschen Behörden wurden Auskunftsersuchen gerichtet
Zahl der Auskunftsverlangen an Unternehmen in Deutschland wird auf
100.000 geschätzt
Über 200.000 gemeldete Datenschutzverstöße europaweit, davon 65.000
Selbstanzeigen von Datenschutzbeauftragten, aufgrund von Datenlecks
Meldung von Datenpannen in Deutschland durch Dritte bei
Aufsichtsbehörden hat sich ca. verzwanzigfacht
Über 56 Millionen Euro verhängte Bußgelder, davon allein 50 Millionen Euro
Bußgeld gegen Google durch die französische Aufsichtsbehörde
Bundesweit wurden bislang 41 Bußgeldbescheide erlassen, mehrere hundert
Bußgeldbescheide bei den Landesdatenschutzbeauftragen in Bearbeitung
20Der Passwort-Leak
Das soziale Netzwerk „Knuddels“ musste ein Bußgeld von 20.000 € zahlen
Das Unternehmen war Opfer eines Hackerangriffs geworden
Die Adressen, Passwörter und Pseudonyme der Nutzer wurden geleaked
Problem: Knuddels hatte den Stand der Technik zur Sicherung der
personenenbezogenen Daten nicht beachtet und die Daten unverschlüsselt
gespeichert
Positiv: Knuddels hat eng mit der Aufsichtsbehörde zusammengearbeitet,
die IT-Sicherheit verbessert und den Fehler positiv nach außen kommuniziert
21Bußgeld auf Nachfrage
Ein kleines Versandunternehmen musste 5.000 € Bußgeld zahlen
Zuvor hatte das Unternehmen Fragen bzgl. der Verantwortung über Verträge
zur Auftragsdatenverarbeitung an die hessische Aufsichtsbehörde gestellt
Problem: Das Unternehmen war mit der Antwort der Aufsichtsbehörde
unzufrieden (Verantwortlichkeit beim Auftraggeber) und kündigte an dies so
nicht umzusetzen
Positiv: Datenschutzbehörden beraten auf Anfrage – Vorgaben sollten (auch
bei Zweifeln) zunächst einmal umgesetzt werden
22Fehlende Transparenz
Die französische Aufsichtsbehörde verhängte ein Bußgeld von 50 Millionen
Euro gegen den Suchmaschinenbetreiber Google
Zuvor hatten sich Verbraucherschutzbehörden über bei der Aufsichtsbehörde
über Google beschwert
Problem: Google informiert seine Nutzer nicht klar und verständlich wie
ihre personenbezogenen Daten gesammelt werden und was damit passiert -
Hinweise des Unternehmens hierzu sind unverständlich
Positiv: Die Aufsichtsbehörden haben es nicht nur auf die „kleinen Fische“
abgesehen und passen ihre Bußgelder je nach Größe an
Positiv: Das Bußgeld kam für Google nicht überraschend und hätte mit
rechtzeitigen Einlenken verhindert werden können
23Ungesicherter Zugang
Gegen ein Krankenhaus in Portugal wurde ein Bußgeld von 400.000 €
verhängt
Der Zugriff auf Patientendaten im IT-System des Krankenhauses wurde durch
Techniker überprüft
Problem: Nur Ärzte sollten Zugriff auf Patientenakten haben dürfen –
obwohl im Krankenhaus lediglich 296 Ärzte arbeiten hatten 985 Personen
Zugriff auf Patientendaten
Positiv: Zugangsberechtigungen können einfach geregelt werden. Nicht jeder
Mitarbeiter benötigt Zugriff auf sämtliche personenbezogenen Daten
24Die Aufsichtsbehörden
Haben sich bislang auf die Bearbeitung von gemeldeten
Datenschutzverstößen konzentriert
Wenige Aufsichtsbehörden haben sind ohne Anlass auf Unternehmen
zugegangen (z.B. Thüringen)
2018 wurde KMUS eine Schonfrist zur Umstellung auf die DSGVO gewährt
Seit dem Jahreswechsel wurden vermehrt Bußgelder verhängt, Tendenz
steigend
Vor allem Datenriesen wie Facebook und Google stehen im Blickfeld von
Behörden und Verbraucherverbänden
25Ausblick 2019/2020
Weitere Gesetze in Bereichen Digitalisierung und IT-Sicherheit in Vorbereitung:
OZG (Gesetz zur Verbesserung des Onlinezugangs von
Verwaltungsleistungen) verpflichtet Bund und Länder zur Einrichtung von
Online-Portalen für sämtliche Verwaltungsleistung bis Ende 2022
IT-Sicherheitsgesetz 2.0. (derzeit Referentenentwurf) – reformiert zahlreiche
bestehende Gesetze wie das TMG, das TKG oder das BSIG plant als
Kernelement die Schaffung eines IT-Sicherheitskennzeichens für digitale
Handelswaren
E-Privacy-Verordnung (derzeit Entwurf) regelt im Detail den Datenschutz für
elektronische Kommunikation wie z.B. Instant-Messenger, E-Mail-Services,
oder Websiten
KMU im Digitalbereich werden durch neue Gesetze zahlreiche weitere
Pflichten bekommen
26Zentrale Herausforderungen
27Das Gebot der Datensparsamkeit
Erhebe nur die Daten, die du unbedingt brauchst!
Speichere sie nur solange du sie unbedingt benötigst!
Mache damit nur das was dir erlaubt worden ist!
Nicht jeder Mitarbeiter benötigt Zugriff auf sämtliche Daten
Daten sollten zentral gespeichert sein Die private Excel-Datei mit
Kundendaten hat sich überlebt
28Das Gebot der Datensicherheit
Personenbezogene Daten müssen nach dem aktuellen Stand der Technik
erhoben, verarbeitet und gespeichert werden
Gespeicherte Daten müssen also verschlüsselt werden
Serverräume müssen gesichert und nicht für jedermann zugänglich sein
PC-Arbeitsplätze müssen passwortgesichert und mit Virenschutzprogrammen
ausgestattet sein
Personal muss im Zweifelsfall geschult sein
29Das Gebot des Erlaubnisvorbehaltes
Jede Datenverarbeitung benötigt eine Erlaubnis!
Erlaubnis durch Gesetz oder die Einwilligung der betroffenen Personen
Transparenzgebote beachten: Betroffene Personen müssen der
Datenverarbeitung explizit zustimmen und ausreichend informiert werden
Leichter zu merken: Jede Datenverarbeitung ist grundsätzlich verboten,
kann jedoch im Ausnahmefall erlaubt sein
30Vielen Dank für Ihre Aufmerksamkeit!
3132
Sie können auch lesen
