Umsetzung der Datenschutzgrundverordnung im Unternehmen – Bericht aus der Praxis Datenschutzkonferenz 2017 Berlin, den 19.6. -21.06.2017 Dorothee Schrief, Deutsche Telekom

Ausgangspunkt zwei Jahre Übergangsphase

24. Mai 2016 in Kraft treten 2016

2018

2017

Compliance bis Mai 2018

25. Mai 2018 Anwendung DS GVO

Besonderheiten



In Gänze und direkt anwendbar





Betrifft alle Verarbeitungen zum Zeitpunkt der Anwendung

Bisherige Einwilligungen bleiben wirksam soweit sie mit DSGVO in Einklang stehen



Entscheidungen von Kommission / Aufsichtsbehörden bleiben bestehen soweit sie nicht aufgehoben, geändert oder ersetzt werden

Dorothee Schrief, DS GVO

2

Implementierung: 0 – 1 – 2 – 3 PHASEN DSGVO Implementierungsprogramm – Fokus 2015 – Q 2 2018

Vorgehen: Drei-Phasen* + Vorphase    

2015:

Phase 0 Vorphase

2016:

Phase 1 Entwicklung des Regelungsrahmens

2018:

Phase 3 Compliance Check

2017/Q2 2018: Phase 2 Implementierung

* Phasen können überlappen & zeitkritische Themen können vorgezogen werden; Phase 2 – Verantwortung für Implementierung liegt bei den zuständigen operativen Units

Dorothee Schrief, DS GVO

3

Phase 1 – Regelungsrahmen

Entwicklung Regelungsrahmen Rahmenbedingungen    

DSGVO Ausgestaltungen fehlen noch (z.B. Zertifizierung) Offizielle verbindliche Interpretationen sind noch zu entwickeln Nationale Regelungen zu Öffnungsklauseln ePrivacy Richtlinie in Überarbeitung

Ansatz: Entwicklung verbindlicher Interpretation zur Sicherstellung der DSGVO-Compliance für die Telekom-Gruppe (Binding Interpretations „BI“) für Experten und Fachseite     

BI nur dort, wo einheitliche Standards / Interpretationen nötig Basis bleiben etablierte, effiziente Prozesse EU-weit gleich hohes Datenschutzniveau i.Ü. Erläuterung der DSGVO wo erforderlich „Living Document“ Dorothee Schrief, DS GVO

5

Aufbau der Binding Interpretations (BI) 1. Allgemeine Beschreibung

2. Inhaltliche Zusammenfassung

3. Verbindliche Interpretation (BI)

Überblick über den entsprechenden DSGVO-Artikel

Interpretation wesentlicher Inhalte der DSGVO

4. Konformitäts-Fragebogen

5. Sanktionsteil

Enthält vorläufige Fragen, um zu prüfen, ob die Ausführungsanforderungen erfüllt sind oder nicht

Beschreibt mögliche Sanktionen bei NonCompliance

6. Bewährte Methoden und Vorlagen

Verweise, Referenzen, offizielle erläuternde Dokumente

Zeigt Hinweise oder vorbereitete Vorlagen für einen EUweiten Einsatz

 Binding Interpretations: http://www.telekom.com Dorothee Schrief, DS GVO

6

Phase 1: Beispiel Verpflichtung zur Meldung von Datenschutzverstößen 1. Auslegungshilfen: z.B.

Anwendungsbereich: EU-weit alle Sektoren, Sonderregelung ePrivacy  Datenschutzverletzung: Fakten müssen vorliegen, Verdacht reicht nicht aus  Meldung an die Aufsichtsbehörde bzw. Information des Betroffenen erforderlich?: Beurteilung d. Verantwortlichen ob Risiko, hohes Risiko oder kein Risiko vorliegt:  Risiko: z.B. immer, wenn Verarbeitung in großem Umfang betroffen > Aufsichtsbehörde  Hohes Risiko: z.B. immer, wenn umfangreiche Verarbeitung besonderer Kategorien von Daten > zusätzlich auch Betroffene in adäquater Form informieren z.B. per Mail, Internet etc.  Kein Risiko: z.B. betr. Daten verschlüsselt > intern. Dokumentation u. ggf. weitere Maßnahmen 2. Umsetzungshilfen: z.B.  Entwicklung angepasster Melde-Templates sowie Darstellung der Prozessanpassungen  Binding Corporate Rules sehen Meldeprozess EU-weit schon vor – interne höhere bzw. weitere Anforderungen als DSGVO bleiben bestehen. 

Dorothee Schrief, DS GVO

7

Phase 1: Kommunikation – Kanäle und Tools Zentrale Informationen und Dokumente über internes Social Network - TSN

Information Fachseiten / Experten

Fragen Allgemeines internes Datenschutzpostfach & spezifisches DSGVO Postfach

Dorothee Schrief, DS GVO

8

Phase 2 – Implementierung

Phase 2: Umsetzungskonzept & Konkrete ToDos Definieren ORGANISATION u.a.

RECHT u.a.     

Transparenz Einwilligung Widerspruch Vertragsgestaltung Internationale Datenverarbeitung

1.

     

Dokumentationspflichten Datenschutzbeauftragter DS - Folgenabschätzung Verfahrensverzeichnisse BCRs Zertifizierung

TECHNIK u.a.  

 

Privacy by Design & Default Technisch Organisatorische Maßnahmen Datenportierung Löschen statt sperren

1. Regelungsrahmen – Binding Interpretations  2. Implementierung – Definition der konkreten ToDos Dorothee Schrief, DSGVO

10

Phase 2: Organisation – National – Bereiche & Group Privacy Nationale Implementierung 





Teilnehmer Steering Committee DSGVO  Vertreter der Bereiche  nationale DS-Organisation Aufgabe der DS-Organisation  Beratung, Monitoring, Eskalationsinstanz Aufgabe der nationalen Bereiche  GAP Analyse und Ressourcenplanung  Bereitstellung Dokumentation Projektfortschritt  Umsetzung initiieren und durchführen

Group Privacy

STEERING COMMITTEE DSGVO (national) report current implementation status of projects, escalation

Key support accounts Group Privacy

Dorothee Schrief, DS GVO

Units (TDG, TSI,GHS) project structure and local management of implementation assessment of needs for change and operative implementation Local segments/Systems

11

Phase 2: Organisation – EU – Dezentral mit Koordination Group Privacy Board Area EU/TSI



Coordination guidance & steering

EU – weite Implementierung

report project

support

Data Privacy Officer EU

status





project structure and local management of implementation assessment of needs for change and operative implementation

 Local segments/Systems

Teilnehmer EU-weites Koordinationsteam  Lokale Privacy Officer  zentrale Datenschutzorganisation Aufgabe zentrale Datenschutzorganisation  Fokus: Information, Koordination, Monitoring Aufgabe der lokalen Privacy Officer  Beratung ihrer Einheiten etc.  Bereitstellung Monitoringunterlagen an zentrale Datenschutzorganisation Aufgabe der lokalen Bereiche  Projekt, GAP Analyse und Ressourcenplanung  Bereitstellung Dokumentation Projektfortschritt  Umsetzung initiieren und durchführen

Dorothee Schrief, DSGVO Praxisbericht 31.05 .– 1.06. 2017

12

Phase 2: Implementierung - Erfahrungen

DSGVO Anforderungen (GAP)

Nice to have

Clean the garage

Dorothee Schrief, DS GVO

13

Phase 2: Implementierung – Themen GAP – Analyse wesentliche Prüf- und Umsetzungsthemen: 

     

Verzeichnis von Verarbeitungstätigkeiten  Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Anpassung prüfen)  Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters (erstellen) Einwilligung – insb. Anforderung Widerrufsrecht (prüfen) Informations- / Transparenzpflicht – Erweiterung der Anforderungen sonstige Rechte des Betroffenen – Erweiterungen der Anforderungen u.a. Datenportierung Löschen – nach DSGVO ist „Sperren statt Löschen“ nicht vorgesehen Auftragsverarbeitungsverträge Insb. Privacy by Design, Implementierung Security Anforderungen, Privacy Impact Assessment (= PSA)

Dorothee Schrief, DS GVO

14

Lessons Learned

Lessons Learned & „Best Pracices“, Anregungen Allgemein:  





GAP Analyse: Neuerungen DSGVO / BDSG; „Clean the Garage“ Basis: Kommunikation, Kommunikation, Kommunikation, jedenfalls  GF  Intranet Effiziente Umsetzung  Projekt „vorstandsnah“  Vertreter des Unternehmens, der wesentlichen Fachbereiche  Rolle des Datenschutzbeauftragten  Ressourcen Zeitprobleme  Sanktionen 4 % (insb. Rechte des Betroffenen z.B. Transparenz, Einwilligung, Auskunft, Widerspruch); 2% (insb. Pflichten des Controller & Processor, VVZ, PIA, ADV)  Technische Anpassungen frühzeitig identifizieren  Rückkopplung & „Kleine Lösung“ Dorothee Schrief, DSGVO

16

Lessons Learned & „Best Practices“, Empfehlungen Einzelthemen: 

Transparenz 





BEISPIEL: One-Pager: „Datenschutz leicht gemacht“: https://www.telekom.de/datenschutz-ganz-einfach; http://www.bmjv.de/DE/Themen/FokusThemen/OnePager/OnePager_node.html

Einwilligung / Widerspruch  Opt-in oder Flucht in Erlaubnistatbestände  Rechtswirksamkeit  Nachweispflicht Transparenz und Einwilligung: Neue Lösung „Data Cockpit“

Dorothee Schrief, DSGVO

17

Lessons Learned & „Best Practices“, Empfehlungen Einzelthemen: 



Verfahrensverzeichnis (VVZ)  VVZ (Controller) - Technisches Tool empfehlenswert (+ 100 Systeme)  VVZ (Prozessor) - Übersicht Auftragsverarbeitungsverträge Privacy Impact Assessment „+“  Integrierter Prozess mit Privacy by Design & by Default, Sicherheit, TOMs, Rechenschaftspflicht (Datenminimierung, Zweckbindung etc.) 

 

BEISPIEL: https://www.telekom.com - Dokument zu Privacy and Security Assessment (PSA)

Update Muster Auftragsverarbeitungsvertrag (z.B. ab Q1 2018) Data Breach Notification  Ansprechpartner kommunizieren  Voraussetzungen der Meldepflicht klarstellen Dorothee Schrief, DSGVO

18

Phase 3 – DS-GVO Implementeriungs Check

Phase 3: Implementation Check - Ansatz Ansatz:   

Compliance Check auf Basis der bestehenden und etablierten Kontroll- und Prüfmechanismen Fokus des DSGVO Implementierungs – Check in 2018 sind Schwerpunktthemen insb. der GAP Analyse In der Folge werden weitere Themen auf Basis einer standardisierten Risikobewertung geprüft (Basis: Datenschutzkritikalitätsindex)

Umsetzung (derzeitiger Stand):  (flächendeckende) Selbstkontrollen mit Schwerpunkten  Ausgewählte Vor-Ort Audits

TIP: BayLDA DS-GVO Fragebogen - Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018 Dorothee Schrief, DS GVO

20

Einzelthemen

Einzelthemen: 1) Transparenz 

BEISPIEL: One-Pager: „Datenschutz leicht gemacht“: https://www.telekom.de/datenschutzganz-einfach; http://www.bmjv.de/DE/Themen/FokusThemen/OnePager/OnePager_node.html

Erweiterung bzw. detaillierter formulierte Anforderungen bei Datenerhebung und –Verarbeitung 



Form: …leicht zugänglich… in einer klaren und einfachen Sprache, ggf. in Kombination mit Bildsymbolen Umfang: u.a. Kontaktdaten Datenschutzbeauftragter, Rechtsgrundlage der Verarbeitung bzw. des berechtigten Interesses, Dauer der Speicherung, Hinweis auf Rechte u.a. Widerspruchsrecht, Absicht und Rechtgrundlage bei Verarbeitung in Drittstaaten, bei Profiling Hinweis zu Logik und Tragweite Dorothee Schrief, DS GVO

22

Einzelthemen: 4) „PIA“ & Privacy And Security Assessment Neu - Privacy Impact Assessment: 

Voraussetzung: Voraussichtlich hohes Verarbeitungsrisiko: etwas aufgrund von Art, Umfang,

Umstände und Zwecke der Verarbeitung für die Rechte und Freiheiten natürlicher Personen  z.B. systematische, umfassende Bewertung persönlicher Aspekte natürlicher Personen mit Rechtswirkung  z.B. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten



Anforderung:  



Verantwortlicher führt vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durch Zumindest: 1) systematische Beschreibung: Verarbeitungsvorgänge, Verarbeitungszwecke, berechtigte Interessen, 2) Bewertung: Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge bzgl. Zweck, 3) Bewertung: Risiken und geplante Abhilfemaßnahmen (einschließl. Garantien, Sicherheitsvorkehrungen, Nachweis, dass diese Verordnung eingehalten wird). Einholung des Rates des Datenschutzbeauftragten Dorothee Schrief, DS GVO

23

Einzelthemen: 4) Privacy Impact Assessment etc. Weitere Anforderungen, die im Rahmen eines Privacy Impact Assessment integriert werden können: 







Privacy by Design: der Verantwortliche trifft zum Zeitpunkt der Mittelfestlegung als auch bei Verarbeitung angemessene technisch/organisatorische Maßnahmen zur Umsetzung der Datenschutzprinzipien Privacy by Default: der Verantwortliche sorgt für geeignete Voreinstellungen dafür, dass personenbezogene Daten nur verarbeitet werden, soweit dies im Hinblick auf die spezifischen Umfangs der Verarbeitung, Speicherfrist und Zugänglichkeit erforderlich ist Sicherheit der Verarbeitung: allgemeine Verpflichtung zu angemessenen Sicherheitsmaßnahmen nach Stand der Technik orientiert an den IT-Sicherheitszielen Rechenschaftspflicht: der Verantwortliche ist für die Einhaltung der Verarbeitungsgrundsätze verantwortlich u. muss die Einhaltung nachweisen können Dorothee Schrief, DSGVO

24

Einzelthemen: 4) Privacy Impact Assessment Telekom Privacy and Security Assessment bildet die Anforderungen aus Art. 5, 25, 32, 35 ..ab: .

Idee

Vorstudie

Design

Realisierung

Kategorisierung

Betrieb Freigabe

PSA-Verfahren Bei Vorliegen Konzept: Kategorisierung der Sicherheits- und Datenschutzrelevanz.

A-Projekt – Individuelle Betreuung durch Datenschutz- und Sicherheitsorganisation B-Projekt – Self Assessment durch das Projekt, Stichprobenprüfungen C-Projekt – Stichprobenprüfung durch DS- und Sicherheitsorganisation

Das System erfüllt die Datenschutz- und Sicherheitsanforderungen. Restrisiken sind bekannt.

Ziele: Das Privacy & Security Assessment (PSA) ist das zentrale Verfahren, um Sicherheits- und Datenschutzanforderungen in mehr als zweitausend IT-/NT-Entwicklungsprojekten pro Jahr sicherzustellen  Integration von Sicherheit und Datenschutz in Produkt- und Systementwicklung  Fokussierung wertvoller Ressourcen auf die größten Risiken  Privacy/Security by Design – bedarfsgerechte Beratung prozessbegleitend von Projektbeginn bis zur Erstellung der Compliance Dokumentation  komplexe Sachverhalte zielgerichtet und einheitlich betreuen durch dedizierte Anforderungskataloge

Siehe: http://www.telekom.com Dorothee Schrief, DSGVO

Vielen DAnk.

[email protected] www.telekom.com/privacy [email protected] the Data Privacy management system of Deutsche Telekom Group is certified according to IDW PS 980 (Institute of Public Auditors in Germany, Evaluation Standard 980)

Back - up

DS GVO Allgemeine Bestimmungen, ART 1 - 4 Erweiterung des Anwendungsbereiches und ergänzende Definitionen  Anwendbarkeit  Primäre Anwendung der DS GVO, nationales Recht nur in den Fällen, in denen dies in der Verordnung ausdrücklich vorgesehen ist  Grundsätzliche Geltung für den nicht-öffentlichen und öffentlichen Bereich (relativiert)  Geltung für die in der EU niedergelassenen Unternehmen sowie für außereuropäische Unternehmen, die den europäischen Markt adressieren (neu: Marktort Prinzip)  Definitionen  neu u.a. genetische, biometrische Daten, Einwilligung, gemeinsam Verantwortliche Check Anpassungsbedarfe bei außereuropäischen Unternehmen

Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.5. – 1.06. 2017

28

DS GVO Grundsätze, ART 5 Beibehaltung der wesentlichen Prinzipen und Erweiterungen  Beibehalten: Verbot mit Erlaubnisvorbehalt, Datenminimierung, Zweckbindung, Transparenz …  Neu: Rechenschaftspflicht  Der Verantwortliche ist für die Einhaltung der Verarbeitungsgrundsätze verantwortlich und muss dessen Einhaltung nachweisen können.

Check Anpassungsbedarf bei Dokumentationsanforderungen

Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06.2017

29

DS GVO Zulässigkeit der Verarbeitung, ART 6 – 11, 85 ff. Art 6 Rechtmäßigkeit Art 4,7-8 Einwilligung Art 9 besondere Daten Art 85 ff. Nationales 





Vertrag/Vorvertrag/ Einwilligung Interessenabwägung (Verantwortlicher / Dritter – Betroffener; Konzernprivileg) Weiterverarbeitung (Abwägungskriterien)

      

Unmissverständlich Freiwilligkeit Informiert Spezifisch Nachweispflicht Widerruf wie Einw. Exkurs: Kinder







Verarbeitung grunds. untersagt ausdrückliche Einwilligung auch biometrische und genetische Daten

Recht u.a.  Beschäftigtendaten  Medienprivileg  Forschung  Geheimnisträger  ePrivacy  Konkretisierung Art 6

Check u.a. Anpassungsbedarfe bei Einwilligungen Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05 – 1.06. 2017

30

DS GVO TRANSPARENZ – ART 12 – 22 / ART 34 Erweiterung bzw. detaillierter formulierte Anforderungen bei Datenerhebung und –Verarbeitung  Form: …leicht zugänglich… in einer klaren und einfachen Sprache, ggf. in Kombination mit Bildsymbolen  Umfang: u.a. Kontaktdaten Datenschutzbeauftragter, Rechtsgrundlage der Verarbeitung bzw. des berechtigten Interesses, Dauer der Speicherung, Hinweis auf Rechte u.a. Widerspruchsrecht, Absicht und Rechtgrundlage bei Verarbeitung in Drittstaaten, bei Profiling Hinweis zu Logik und Tragweite  Zeit & Geld: unverzüglich bzw. innerhalb eines Monats und unentgeltlich  Datenschutzvorfall: unverzügliche Information bei hohem Risiko für Betroffenen Check Anpassungsbedarfe Datenschutzerläuterungen / Informationen & Incident Prozess

Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05 – 1.06.2017

31

DS GVO rechte des Betroffenen, ART 15 - 22 Rechte des Betroffenen (Berichtigung, Verarbeitungseinschränkung, Löschung, Widerspruch, Datenportabilität) erweitert  Mitteilungspflicht: an alle Empfänger bei Berichtigung, Löschung, Verarbeitungseinschränkung soweit nicht unverhältnismäßig; soweit vom Betroffenen verlangt Information über Empfänger  Recht auf „Vergessenwerden“: bei Löschpflichten und Öffentlichmachung Verpflichtung zur Information „Dritter Verarbeiter“ und Löschung aller Links und Kopien zu Replikationen  Datenportabilität: vom Betroffen bereitgestellte Daten in gängigem Format oder Direktübertragung  Widerspruchsrecht: u.a. bei Profiling, Direktmarketing, Art. 6 Abs. 1 e - f, bei Diensten der Informationsgesellschaft mittels automatisierter Verfahren; ebenso einfach wie Einwilligung Check Anpassungsbedarf IT und Prozesse

Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1. 06. 2017

32

DS GVO Verantwortlicher & Auftragsverarbeiter, Art 26-

Verantwortung von Verantwortlichem (V) und Auftragsverarbeiter (AV) erweitert 30    

 

Regelungen zur Auftragsverarbeitung: schriftlicher Vertrag, Systematik vergleichbar mit BDSG Dokumentationspflichten: u.a. Verpflichtung zur Verzeichniserstellung gilt sowohl für V als auch AV Pflicht V: u.a. sorgfältige Auswahl des Auftragsverarbeiters; keine allgemeine Kontrollpflicht Pflicht AV: u.a. schriftliches Zustimmungserfordernis bei weiteren Auftragsverarbeitern und Haftung für diese; weitere eigene Datenschutzpflichten Gemeinsame Verantwortung: Transparenz über Verantwortlichkeiten herstellen, gemeins. Haftung Compliance Nachweis: durch Einhaltung genehmigter Verhaltensregelungen/ Zertifizierung möglich Check Anpassungsbedarf Vertragsmanagement und Dokumentationspflichten

Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1. 06 2017

33

DS GVO Techn. & SicherheitsMAßnahmen, ART 25, 32 Neue Akzente bei technisch – organisatorischen Maßnahmen u.a. 







Privacy by Design: der Verantwortliche trifft zum Zeitpunkt der Mittelfestlegung als auch bei Verarbei tung angemessene technisch/organisatorische Maßnahmen zur Umsetzung der Datenschutzprinzipien Privacy by Default: der Verantwortliche sorgt für geeignete Voreinstellungen dafür, dass personenbezogene Daten nur verarbeitet werden, soweit dies im Hinblick auf die spezifischen Umfangs der Verarbeitung, Speicherfrist und Zugänglichkeit erforderlich ist

Sicherheit der Verarbeitung: allgemeine Verpflichtung zu angemessenen Sicherheitsmaßnahmen nach Stand der Technik orientiert an den IT-Sicherheitszielen Nachweis Compliance: genehmigte Verhaltensregelung oder Zertifizierungsmechanismus Check IT und Prozesse (ggf. Einführung eines Privacy and Security Assessment und geeignete Zertifizierungsverfahren) Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06. 2017

34

DS GVO DatenschutzmanagemenT, ART 35 – 39 u.a. Datenschutzmanagement mit risikobasiertem Ansatz 



Datenschutzbeauftragter: EU-weite Verpflichtung, insb. soweit Verarbeitungstätigkeit wesentlich der Überwachung dient oder besondere Datenarten betroffen sind. Ergänzend nationale Regelungen Datenschutz Folgenabschätzung  Relevanz: bei hohem Risiko für Betroffenen z.B. Profiling (u.a. Black-List Aufsichtsbehörden)  Inhalt: u.a. Systematische Beschreibung, Risikobewertung, geplante Abhilfemaßnahmen  Prozess: Überwachung, Einbeziehung des Datenschutzbeauftragten; ggf. Einbeziehung Aufsicht

Nachweispflichten:



Einhaltung der Prinzipien, Art. 5; Einwilligung, Art. 7; Datenschutzorganisation, Art. 24; Dokumentation von Weisungen, Art 28; Sicherheitsvorfälle, Art. 33; Datenschutz Folgeabschätzung, Art. 35; geeignete Drittlandgarantien, Art. 49



Nachweis Compliance: genehmigte Verhaltensregelung oder Zertifizierungsmechanismus Check Datenschutzmanagement und Umsetzung Nachweispflichten (ggf. Zertifizierung Datenschutzmanagement und Einführung eines Privacy and Security Assessment) Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06.2017

35