Umsetzung der Datenschutzgrundverordnung im Unternehmen – Bericht aus der Praxis Datenschutzkonferenz 2017 Berlin, den 19.6. -21.06.2017 Dorothee Schrief, Deutsche Telekom
Ausgangspunkt zwei Jahre Übergangsphase
24. Mai 2016 in Kraft treten 2016
2018
2017
Compliance bis Mai 2018
25. Mai 2018 Anwendung DS GVO
Besonderheiten
In Gänze und direkt anwendbar
Betrifft alle Verarbeitungen zum Zeitpunkt der Anwendung
Bisherige Einwilligungen bleiben wirksam soweit sie mit DSGVO in Einklang stehen
Entscheidungen von Kommission / Aufsichtsbehörden bleiben bestehen soweit sie nicht aufgehoben, geändert oder ersetzt werden
Dorothee Schrief, DS GVO
2
Implementierung: 0 – 1 – 2 – 3 PHASEN DSGVO Implementierungsprogramm – Fokus 2015 – Q 2 2018
Vorgehen: Drei-Phasen* + Vorphase
2015:
Phase 0 Vorphase
2016:
Phase 1 Entwicklung des Regelungsrahmens
2018:
Phase 3 Compliance Check
2017/Q2 2018: Phase 2 Implementierung
* Phasen können überlappen & zeitkritische Themen können vorgezogen werden; Phase 2 – Verantwortung für Implementierung liegt bei den zuständigen operativen Units
Dorothee Schrief, DS GVO
3
Phase 1 – Regelungsrahmen
Entwicklung Regelungsrahmen Rahmenbedingungen
DSGVO Ausgestaltungen fehlen noch (z.B. Zertifizierung) Offizielle verbindliche Interpretationen sind noch zu entwickeln Nationale Regelungen zu Öffnungsklauseln ePrivacy Richtlinie in Überarbeitung
Ansatz: Entwicklung verbindlicher Interpretation zur Sicherstellung der DSGVO-Compliance für die Telekom-Gruppe (Binding Interpretations „BI“) für Experten und Fachseite
BI nur dort, wo einheitliche Standards / Interpretationen nötig Basis bleiben etablierte, effiziente Prozesse EU-weit gleich hohes Datenschutzniveau i.Ü. Erläuterung der DSGVO wo erforderlich „Living Document“ Dorothee Schrief, DS GVO
5
Aufbau der Binding Interpretations (BI) 1. Allgemeine Beschreibung
2. Inhaltliche Zusammenfassung
3. Verbindliche Interpretation (BI)
Überblick über den entsprechenden DSGVO-Artikel
Interpretation wesentlicher Inhalte der DSGVO
4. Konformitäts-Fragebogen
5. Sanktionsteil
Enthält vorläufige Fragen, um zu prüfen, ob die Ausführungsanforderungen erfüllt sind oder nicht
Beschreibt mögliche Sanktionen bei NonCompliance
6. Bewährte Methoden und Vorlagen
Verweise, Referenzen, offizielle erläuternde Dokumente
Zeigt Hinweise oder vorbereitete Vorlagen für einen EUweiten Einsatz
Binding Interpretations: http://www.telekom.com Dorothee Schrief, DS GVO
6
Phase 1: Beispiel Verpflichtung zur Meldung von Datenschutzverstößen 1. Auslegungshilfen: z.B.
Anwendungsbereich: EU-weit alle Sektoren, Sonderregelung ePrivacy Datenschutzverletzung: Fakten müssen vorliegen, Verdacht reicht nicht aus Meldung an die Aufsichtsbehörde bzw. Information des Betroffenen erforderlich?: Beurteilung d. Verantwortlichen ob Risiko, hohes Risiko oder kein Risiko vorliegt: Risiko: z.B. immer, wenn Verarbeitung in großem Umfang betroffen > Aufsichtsbehörde Hohes Risiko: z.B. immer, wenn umfangreiche Verarbeitung besonderer Kategorien von Daten > zusätzlich auch Betroffene in adäquater Form informieren z.B. per Mail, Internet etc. Kein Risiko: z.B. betr. Daten verschlüsselt > intern. Dokumentation u. ggf. weitere Maßnahmen 2. Umsetzungshilfen: z.B. Entwicklung angepasster Melde-Templates sowie Darstellung der Prozessanpassungen Binding Corporate Rules sehen Meldeprozess EU-weit schon vor – interne höhere bzw. weitere Anforderungen als DSGVO bleiben bestehen.
Dorothee Schrief, DS GVO
7
Phase 1: Kommunikation – Kanäle und Tools Zentrale Informationen und Dokumente über internes Social Network - TSN
Information Fachseiten / Experten
Fragen Allgemeines internes Datenschutzpostfach & spezifisches DSGVO Postfach
Dorothee Schrief, DS GVO
8
Phase 2 – Implementierung
Phase 2: Umsetzungskonzept & Konkrete ToDos Definieren ORGANISATION u.a.
RECHT u.a.
Transparenz Einwilligung Widerspruch Vertragsgestaltung Internationale Datenverarbeitung
1.
Dokumentationspflichten Datenschutzbeauftragter DS - Folgenabschätzung Verfahrensverzeichnisse BCRs Zertifizierung
TECHNIK u.a.
Privacy by Design & Default Technisch Organisatorische Maßnahmen Datenportierung Löschen statt sperren
1. Regelungsrahmen – Binding Interpretations 2. Implementierung – Definition der konkreten ToDos Dorothee Schrief, DSGVO
10
Phase 2: Organisation – National – Bereiche & Group Privacy Nationale Implementierung
Teilnehmer Steering Committee DSGVO Vertreter der Bereiche nationale DS-Organisation Aufgabe der DS-Organisation Beratung, Monitoring, Eskalationsinstanz Aufgabe der nationalen Bereiche GAP Analyse und Ressourcenplanung Bereitstellung Dokumentation Projektfortschritt Umsetzung initiieren und durchführen
Group Privacy
STEERING COMMITTEE DSGVO (national) report current implementation status of projects, escalation
Key support accounts Group Privacy
Dorothee Schrief, DS GVO
Units (TDG, TSI,GHS) project structure and local management of implementation assessment of needs for change and operative implementation Local segments/Systems
11
Phase 2: Organisation – EU – Dezentral mit Koordination Group Privacy Board Area EU/TSI
Coordination guidance & steering
EU – weite Implementierung
report project
support
Data Privacy Officer EU
status
project structure and local management of implementation assessment of needs for change and operative implementation
Local segments/Systems
Teilnehmer EU-weites Koordinationsteam Lokale Privacy Officer zentrale Datenschutzorganisation Aufgabe zentrale Datenschutzorganisation Fokus: Information, Koordination, Monitoring Aufgabe der lokalen Privacy Officer Beratung ihrer Einheiten etc. Bereitstellung Monitoringunterlagen an zentrale Datenschutzorganisation Aufgabe der lokalen Bereiche Projekt, GAP Analyse und Ressourcenplanung Bereitstellung Dokumentation Projektfortschritt Umsetzung initiieren und durchführen
Dorothee Schrief, DSGVO Praxisbericht 31.05 .– 1.06. 2017
12
Phase 2: Implementierung - Erfahrungen
DSGVO Anforderungen (GAP)
Nice to have
Clean the garage
Dorothee Schrief, DS GVO
13
Phase 2: Implementierung – Themen GAP – Analyse wesentliche Prüf- und Umsetzungsthemen:
Verzeichnis von Verarbeitungstätigkeiten Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Anpassung prüfen) Verzeichnis von Verarbeitungstätigkeiten des Auftragsverarbeiters (erstellen) Einwilligung – insb. Anforderung Widerrufsrecht (prüfen) Informations- / Transparenzpflicht – Erweiterung der Anforderungen sonstige Rechte des Betroffenen – Erweiterungen der Anforderungen u.a. Datenportierung Löschen – nach DSGVO ist „Sperren statt Löschen“ nicht vorgesehen Auftragsverarbeitungsverträge Insb. Privacy by Design, Implementierung Security Anforderungen, Privacy Impact Assessment (= PSA)
Dorothee Schrief, DS GVO
14
Lessons Learned
Lessons Learned & „Best Pracices“, Anregungen Allgemein:
GAP Analyse: Neuerungen DSGVO / BDSG; „Clean the Garage“ Basis: Kommunikation, Kommunikation, Kommunikation, jedenfalls GF Intranet Effiziente Umsetzung Projekt „vorstandsnah“ Vertreter des Unternehmens, der wesentlichen Fachbereiche Rolle des Datenschutzbeauftragten Ressourcen Zeitprobleme Sanktionen 4 % (insb. Rechte des Betroffenen z.B. Transparenz, Einwilligung, Auskunft, Widerspruch); 2% (insb. Pflichten des Controller & Processor, VVZ, PIA, ADV) Technische Anpassungen frühzeitig identifizieren Rückkopplung & „Kleine Lösung“ Dorothee Schrief, DSGVO
16
Lessons Learned & „Best Practices“, Empfehlungen Einzelthemen:
Transparenz
BEISPIEL: One-Pager: „Datenschutz leicht gemacht“: https://www.telekom.de/datenschutz-ganz-einfach; http://www.bmjv.de/DE/Themen/FokusThemen/OnePager/OnePager_node.html
Einwilligung / Widerspruch Opt-in oder Flucht in Erlaubnistatbestände Rechtswirksamkeit Nachweispflicht Transparenz und Einwilligung: Neue Lösung „Data Cockpit“
Dorothee Schrief, DSGVO
17
Lessons Learned & „Best Practices“, Empfehlungen Einzelthemen:
Verfahrensverzeichnis (VVZ) VVZ (Controller) - Technisches Tool empfehlenswert (+ 100 Systeme) VVZ (Prozessor) - Übersicht Auftragsverarbeitungsverträge Privacy Impact Assessment „+“ Integrierter Prozess mit Privacy by Design & by Default, Sicherheit, TOMs, Rechenschaftspflicht (Datenminimierung, Zweckbindung etc.)
BEISPIEL: https://www.telekom.com - Dokument zu Privacy and Security Assessment (PSA)
Update Muster Auftragsverarbeitungsvertrag (z.B. ab Q1 2018) Data Breach Notification Ansprechpartner kommunizieren Voraussetzungen der Meldepflicht klarstellen Dorothee Schrief, DSGVO
18
Phase 3 – DS-GVO Implementeriungs Check
Phase 3: Implementation Check - Ansatz Ansatz:
Compliance Check auf Basis der bestehenden und etablierten Kontroll- und Prüfmechanismen Fokus des DSGVO Implementierungs – Check in 2018 sind Schwerpunktthemen insb. der GAP Analyse In der Folge werden weitere Themen auf Basis einer standardisierten Risikobewertung geprüft (Basis: Datenschutzkritikalitätsindex)
Umsetzung (derzeitiger Stand): (flächendeckende) Selbstkontrollen mit Schwerpunkten Ausgewählte Vor-Ort Audits
TIP: BayLDA DS-GVO Fragebogen - Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018 Dorothee Schrief, DS GVO
20
Einzelthemen
Einzelthemen: 1) Transparenz
BEISPIEL: One-Pager: „Datenschutz leicht gemacht“: https://www.telekom.de/datenschutzganz-einfach; http://www.bmjv.de/DE/Themen/FokusThemen/OnePager/OnePager_node.html
Erweiterung bzw. detaillierter formulierte Anforderungen bei Datenerhebung und –Verarbeitung
Form: …leicht zugänglich… in einer klaren und einfachen Sprache, ggf. in Kombination mit Bildsymbolen Umfang: u.a. Kontaktdaten Datenschutzbeauftragter, Rechtsgrundlage der Verarbeitung bzw. des berechtigten Interesses, Dauer der Speicherung, Hinweis auf Rechte u.a. Widerspruchsrecht, Absicht und Rechtgrundlage bei Verarbeitung in Drittstaaten, bei Profiling Hinweis zu Logik und Tragweite Dorothee Schrief, DS GVO
22
Einzelthemen: 4) „PIA“ & Privacy And Security Assessment Neu - Privacy Impact Assessment:
Voraussetzung: Voraussichtlich hohes Verarbeitungsrisiko: etwas aufgrund von Art, Umfang,
Umstände und Zwecke der Verarbeitung für die Rechte und Freiheiten natürlicher Personen z.B. systematische, umfassende Bewertung persönlicher Aspekte natürlicher Personen mit Rechtswirkung z.B. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
Anforderung:
Verantwortlicher führt vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durch Zumindest: 1) systematische Beschreibung: Verarbeitungsvorgänge, Verarbeitungszwecke, berechtigte Interessen, 2) Bewertung: Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge bzgl. Zweck, 3) Bewertung: Risiken und geplante Abhilfemaßnahmen (einschließl. Garantien, Sicherheitsvorkehrungen, Nachweis, dass diese Verordnung eingehalten wird). Einholung des Rates des Datenschutzbeauftragten Dorothee Schrief, DS GVO
23
Einzelthemen: 4) Privacy Impact Assessment etc. Weitere Anforderungen, die im Rahmen eines Privacy Impact Assessment integriert werden können:
Privacy by Design: der Verantwortliche trifft zum Zeitpunkt der Mittelfestlegung als auch bei Verarbeitung angemessene technisch/organisatorische Maßnahmen zur Umsetzung der Datenschutzprinzipien Privacy by Default: der Verantwortliche sorgt für geeignete Voreinstellungen dafür, dass personenbezogene Daten nur verarbeitet werden, soweit dies im Hinblick auf die spezifischen Umfangs der Verarbeitung, Speicherfrist und Zugänglichkeit erforderlich ist Sicherheit der Verarbeitung: allgemeine Verpflichtung zu angemessenen Sicherheitsmaßnahmen nach Stand der Technik orientiert an den IT-Sicherheitszielen Rechenschaftspflicht: der Verantwortliche ist für die Einhaltung der Verarbeitungsgrundsätze verantwortlich u. muss die Einhaltung nachweisen können Dorothee Schrief, DSGVO
24
Einzelthemen: 4) Privacy Impact Assessment Telekom Privacy and Security Assessment bildet die Anforderungen aus Art. 5, 25, 32, 35 ..ab: .
Idee
Vorstudie
Design
Realisierung
Kategorisierung
Betrieb Freigabe
PSA-Verfahren Bei Vorliegen Konzept: Kategorisierung der Sicherheits- und Datenschutzrelevanz.
A-Projekt – Individuelle Betreuung durch Datenschutz- und Sicherheitsorganisation B-Projekt – Self Assessment durch das Projekt, Stichprobenprüfungen C-Projekt – Stichprobenprüfung durch DS- und Sicherheitsorganisation
Das System erfüllt die Datenschutz- und Sicherheitsanforderungen. Restrisiken sind bekannt.
Ziele: Das Privacy & Security Assessment (PSA) ist das zentrale Verfahren, um Sicherheits- und Datenschutzanforderungen in mehr als zweitausend IT-/NT-Entwicklungsprojekten pro Jahr sicherzustellen Integration von Sicherheit und Datenschutz in Produkt- und Systementwicklung Fokussierung wertvoller Ressourcen auf die größten Risiken Privacy/Security by Design – bedarfsgerechte Beratung prozessbegleitend von Projektbeginn bis zur Erstellung der Compliance Dokumentation komplexe Sachverhalte zielgerichtet und einheitlich betreuen durch dedizierte Anforderungskataloge
Siehe: http://www.telekom.com Dorothee Schrief, DSGVO
Vielen DAnk.
[email protected] www.telekom.com/privacy
[email protected] the Data Privacy management system of Deutsche Telekom Group is certified according to IDW PS 980 (Institute of Public Auditors in Germany, Evaluation Standard 980)
Back - up
DS GVO Allgemeine Bestimmungen, ART 1 - 4 Erweiterung des Anwendungsbereiches und ergänzende Definitionen Anwendbarkeit Primäre Anwendung der DS GVO, nationales Recht nur in den Fällen, in denen dies in der Verordnung ausdrücklich vorgesehen ist Grundsätzliche Geltung für den nicht-öffentlichen und öffentlichen Bereich (relativiert) Geltung für die in der EU niedergelassenen Unternehmen sowie für außereuropäische Unternehmen, die den europäischen Markt adressieren (neu: Marktort Prinzip) Definitionen neu u.a. genetische, biometrische Daten, Einwilligung, gemeinsam Verantwortliche Check Anpassungsbedarfe bei außereuropäischen Unternehmen
Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.5. – 1.06. 2017
28
DS GVO Grundsätze, ART 5 Beibehaltung der wesentlichen Prinzipen und Erweiterungen Beibehalten: Verbot mit Erlaubnisvorbehalt, Datenminimierung, Zweckbindung, Transparenz … Neu: Rechenschaftspflicht Der Verantwortliche ist für die Einhaltung der Verarbeitungsgrundsätze verantwortlich und muss dessen Einhaltung nachweisen können.
Check Anpassungsbedarf bei Dokumentationsanforderungen
Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06.2017
29
DS GVO Zulässigkeit der Verarbeitung, ART 6 – 11, 85 ff. Art 6 Rechtmäßigkeit Art 4,7-8 Einwilligung Art 9 besondere Daten Art 85 ff. Nationales
Vertrag/Vorvertrag/ Einwilligung Interessenabwägung (Verantwortlicher / Dritter – Betroffener; Konzernprivileg) Weiterverarbeitung (Abwägungskriterien)
Unmissverständlich Freiwilligkeit Informiert Spezifisch Nachweispflicht Widerruf wie Einw. Exkurs: Kinder
Verarbeitung grunds. untersagt ausdrückliche Einwilligung auch biometrische und genetische Daten
Recht u.a. Beschäftigtendaten Medienprivileg Forschung Geheimnisträger ePrivacy Konkretisierung Art 6
Check u.a. Anpassungsbedarfe bei Einwilligungen Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05 – 1.06. 2017
30
DS GVO TRANSPARENZ – ART 12 – 22 / ART 34 Erweiterung bzw. detaillierter formulierte Anforderungen bei Datenerhebung und –Verarbeitung Form: …leicht zugänglich… in einer klaren und einfachen Sprache, ggf. in Kombination mit Bildsymbolen Umfang: u.a. Kontaktdaten Datenschutzbeauftragter, Rechtsgrundlage der Verarbeitung bzw. des berechtigten Interesses, Dauer der Speicherung, Hinweis auf Rechte u.a. Widerspruchsrecht, Absicht und Rechtgrundlage bei Verarbeitung in Drittstaaten, bei Profiling Hinweis zu Logik und Tragweite Zeit & Geld: unverzüglich bzw. innerhalb eines Monats und unentgeltlich Datenschutzvorfall: unverzügliche Information bei hohem Risiko für Betroffenen Check Anpassungsbedarfe Datenschutzerläuterungen / Informationen & Incident Prozess
Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05 – 1.06.2017
31
DS GVO rechte des Betroffenen, ART 15 - 22 Rechte des Betroffenen (Berichtigung, Verarbeitungseinschränkung, Löschung, Widerspruch, Datenportabilität) erweitert Mitteilungspflicht: an alle Empfänger bei Berichtigung, Löschung, Verarbeitungseinschränkung soweit nicht unverhältnismäßig; soweit vom Betroffenen verlangt Information über Empfänger Recht auf „Vergessenwerden“: bei Löschpflichten und Öffentlichmachung Verpflichtung zur Information „Dritter Verarbeiter“ und Löschung aller Links und Kopien zu Replikationen Datenportabilität: vom Betroffen bereitgestellte Daten in gängigem Format oder Direktübertragung Widerspruchsrecht: u.a. bei Profiling, Direktmarketing, Art. 6 Abs. 1 e - f, bei Diensten der Informationsgesellschaft mittels automatisierter Verfahren; ebenso einfach wie Einwilligung Check Anpassungsbedarf IT und Prozesse
Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1. 06. 2017
32
DS GVO Verantwortlicher & Auftragsverarbeiter, Art 26-
Verantwortung von Verantwortlichem (V) und Auftragsverarbeiter (AV) erweitert 30
Regelungen zur Auftragsverarbeitung: schriftlicher Vertrag, Systematik vergleichbar mit BDSG Dokumentationspflichten: u.a. Verpflichtung zur Verzeichniserstellung gilt sowohl für V als auch AV Pflicht V: u.a. sorgfältige Auswahl des Auftragsverarbeiters; keine allgemeine Kontrollpflicht Pflicht AV: u.a. schriftliches Zustimmungserfordernis bei weiteren Auftragsverarbeitern und Haftung für diese; weitere eigene Datenschutzpflichten Gemeinsame Verantwortung: Transparenz über Verantwortlichkeiten herstellen, gemeins. Haftung Compliance Nachweis: durch Einhaltung genehmigter Verhaltensregelungen/ Zertifizierung möglich Check Anpassungsbedarf Vertragsmanagement und Dokumentationspflichten
Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1. 06 2017
33
DS GVO Techn. & SicherheitsMAßnahmen, ART 25, 32 Neue Akzente bei technisch – organisatorischen Maßnahmen u.a.
Privacy by Design: der Verantwortliche trifft zum Zeitpunkt der Mittelfestlegung als auch bei Verarbei tung angemessene technisch/organisatorische Maßnahmen zur Umsetzung der Datenschutzprinzipien Privacy by Default: der Verantwortliche sorgt für geeignete Voreinstellungen dafür, dass personenbezogene Daten nur verarbeitet werden, soweit dies im Hinblick auf die spezifischen Umfangs der Verarbeitung, Speicherfrist und Zugänglichkeit erforderlich ist
Sicherheit der Verarbeitung: allgemeine Verpflichtung zu angemessenen Sicherheitsmaßnahmen nach Stand der Technik orientiert an den IT-Sicherheitszielen Nachweis Compliance: genehmigte Verhaltensregelung oder Zertifizierungsmechanismus Check IT und Prozesse (ggf. Einführung eines Privacy and Security Assessment und geeignete Zertifizierungsverfahren) Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06. 2017
34
DS GVO DatenschutzmanagemenT, ART 35 – 39 u.a. Datenschutzmanagement mit risikobasiertem Ansatz
Datenschutzbeauftragter: EU-weite Verpflichtung, insb. soweit Verarbeitungstätigkeit wesentlich der Überwachung dient oder besondere Datenarten betroffen sind. Ergänzend nationale Regelungen Datenschutz Folgenabschätzung Relevanz: bei hohem Risiko für Betroffenen z.B. Profiling (u.a. Black-List Aufsichtsbehörden) Inhalt: u.a. Systematische Beschreibung, Risikobewertung, geplante Abhilfemaßnahmen Prozess: Überwachung, Einbeziehung des Datenschutzbeauftragten; ggf. Einbeziehung Aufsicht
Nachweispflichten:
Einhaltung der Prinzipien, Art. 5; Einwilligung, Art. 7; Datenschutzorganisation, Art. 24; Dokumentation von Weisungen, Art 28; Sicherheitsvorfälle, Art. 33; Datenschutz Folgeabschätzung, Art. 35; geeignete Drittlandgarantien, Art. 49
Nachweis Compliance: genehmigte Verhaltensregelung oder Zertifizierungsmechanismus Check Datenschutzmanagement und Umsetzung Nachweispflichten (ggf. Zertifizierung Datenschutzmanagement und Einführung eines Privacy and Security Assessment) Back-up: Dorothee Schrief, DSGVO Praxisbericht 31.05. – 1.06.2017
35