TIME IS RUNNING OUT. Was Sie in den letzten Monaten noch retten können und wie ein Notfallplan zur DSGVO-Compliance aussehen kann 15.2.

Größe: px

Ab Seite anzeigen:

Download "TIME IS RUNNING OUT. Was Sie in den letzten Monaten noch retten können und wie ein Notfallplan zur DSGVO-Compliance aussehen kann 15.2."

Elmar Wetzel
vor 5 Jahren
Abrufe

1 TIME IS RUNNING OUT Was Sie in den letzten Mnaten nch retten können und wie ein Ntfallplan zur DSGVO-Cmpliance aussehen kann Nin Tlapak

2 Ansprechpartner Mag Nin Tlapak, LL.M. Rechtsanwalt bei DORDA Universität Wien, Mag iur 2012 Universität Wien, Universitätslehrgang Medien- und Infrmatinsrecht, LL.M. (IT-Law) 2013 Fachliche Schwerpunkte: Datenschutzrecht, IT-Recht, E- Cmmerce, Outsurcing, Urheber- und Medienrecht Autr vn Fachpublikatinen im Bereich Datenschutz und E- Cmmerce Vrtragender für E-Cmmerce Recht und Scial Media bei der Werbe Akademie des WIFI Wien Vrtragender für Datenschutzrecht beim Master-Lehrgang "Digital Business" an der FH Technikum Wien Mitglied der Interessensgemeinschaften " und "Privacyfficers.at" Seite 2

3 Agenda I. Status Qu II. Die 10 wichtigsten T Ds in der Praxis III. Umsetzung der DSGVO im Unternehmen IV. Ntfallplan bis Mai Seite 3

4 I. Status Qu DSGVO und DSG Neu ab (über Nacht) anwendbar bis dahin Przesse umstellen, um Cmpliance sicherzustellen umfangreiche neue Pflichten für Verantwrtliche und Auftragsverarbeiter erhöhtes Strafmaß (DSB darf Geldbußen verhängen) Umsetzung braucht Zeit und bindet Ressurcen einige Punkte weiterhin unklar Risik abwägen und Begründung dkumentieren Umfang und Detaillierungsgrad der Dkumentatin und der Datenschutz- Flgenabschätzung? bestehende Einwilligungen weiterhin gültig? Einwilligung über AGB weiter möglich? Seite 4

5 I. Status Qu Zeitleiste bis zum Stichtag DSGVO erlassen DSG Neu beschlssen DSGVO/DSG Neu anwendbar Zeitfenster für Ntfallplan Black/White Lists für PIA Ende 2018? DSGVO Entwurf DSG Neu White List DSB Anfang 2018? DVR ffline Seite 5

6 II. Die 10 wichtigsten T Ds in der Praxis 1. Erstellung Dkumentatin der Verarbeitungsvrgänge 2. Durchführung Datenschutz-Flgenabschätzungen 3. Vrbereitung Muster zur Meldung etwaiger Verstöße 4. Überarbeitung bestehender Verträge mit Auftragsverarbeitern 5. Anpassung Einwilligungserklärungen 6. Erfüllung neuer Infrmatinspflichten und Sicherstellung Betrffenenrechte 7. Bestehende Sicherheitsmaßnahmen anpassen 8. Bestellung Datenschutzbeauftragter 9. Überarbeitung interner Plicies 10.Durchführung erfrderlicher Schulungen Seite 6

7 III. Umsetzung der DSGVO im Unternehmen 1. Datenerhebung Zusammentragung bestehender Dkumentatin (Meldungen, Genehmigungen, Dienstleistungsvereinbarungen, Zustimmungserklärungen, Betriebsvereinbarungen, Datenschutzerklärung, Ckie Plicy, AGB etc) Erhebung des Ist-Standes 2. Gapanalyse Identifizierung erfrderlicher Maßnahmen auf Basis der Datenerhebung 3. Umsetzungsmaßnahmen Erstellung Verzeichnis vn Verarbeitungstätigkeiten Erstellung PIA für sensible Verarbeitungen Weitere Umsetzungsschritte (sweit möglich parallel) Seite 7

8 III. Umsetzung der DSGVO im Unternehmen Paradebeispiel: Zuerst umfassende Erhebung und Analyse, dann Umsetzung der erfrderlichen Maßnahmen ABER: Allumfassendes Grßprjekt bis Mai 2018 hne entsprechende Vrarbeit kaum mehr umsetzbar! Daher Pririsierung erfrderlich: Schwerpunkte setzen, um kritische Systeme vrzuziehen und Haftungsrisik zu minimieren Ntfallplan Sensible Verarbeitungen pririsieren! Alle anderen Verarbeitungen: Umsetzungsmaßnahmen pririsieren und richtige Schwerpunkte setzen. Seite 8

9 IV. Ntfallplan bis Mai 2018 Phase I: Prjektstart 1. Bestimmung der Prjektverantwrtlichen zb geleitet vn IT, Recht der Cmpliance Abteilung Ansprechpartner in allen Abteilungen sinnvll 2. Prüfung, b Datenschutzbeauftragter erfrderlich falls ja, gleich mit einbeziehen Datenschutzbeauftragten bis an Datenschutzbehörde melden! 3. Benötigte externe Unterstützung (insb IT und Recht) sichern 4. Budget definieren 5. Timeline festlegen (klare Deadline für pririsierte Bereiche: ; Rest realistisch asap) Seite 9

10 IV. Ntfallplan bis Mai 2018 Phase II: Identifikatin sensibler Verarbeitungen Verarbeitung mit vraussichtlich hhem Risik für die Betrffenen? Bewertung auf Basis autmatisierter Entscheidungen (Prfiling) umfangreiche Verarbeitung strafrechtlicher Daten systematische Überwachung Verarbeitung sensibler (besnderer Kategrien persnenbezgener) Daten? Verarbeitung in einem geschäftskritischen Bereich (businessrelevante Anwendung)? Seite 10

11 IV. Ntfallplan bis Mai 2018 Phase III: Umsetzung bei sensiblen Verarbeitungen 1. Erhebung und Analyse der Verarbeitungstätigkeiten Welche Daten werden zu welchem Zweck verarbeitet? Rechtsgrundlage? Verhältnismäßigkeit/Datensparsamkeit? 2. Prüfung der erfrderlichen Umsetzungsmaßnahmen Etwaige Einwilligungserklärung? Zusätzliche Sicherheitsmaßnahmen? Datenschutz-Flgenabschätzung? 3. Umsetzung diverser Maßnahmen jedenfalls nch bis Mai Seite 11

12 IV. Ntfallplan bis Mai 2018 Phase IV: Umsetzung bei anderen Verarbeitungen 1. Überarbeitung bestehender Einwilligungserklärungen Text der Erklärung gegebenenfalls präzisieren (Rechtsprechung streng!) Keine zukünftige Einhlung innerhalb vn AGB Getrennte Checkbx für jede Verarbeitungstätigkeit Eventuell Anpassung bestehender Marketingabläufe Newsletter nur mit vrheriger Einwilligung versenden Kein Cld Calling 2. Abschluss DSGVO-knfrmer Auftragsverarbeitervereinbarungen Bestehende Muster anpassen Abschluss mit neuen und als auch mit bestehenden Dienstleistern! Seite 12

13 IV. Ntfallplan bis Mai 2018 Phase IV: Umsetzung bei anderen Verarbeitungen 3. Implementierung der Infrmatinspflichten Anpassung bestehender Privacy Plicies, Ckie Plicies, Datenschutzerklärungen und Betriebsvereinbarungen Gleichzeitig: Prüfung und gegebenenfalls Anpassung Ckie-Einwilligung (sicherste Lösung: Banner auf der Startseite) 4. Sicherstellung Betrffenenrechte Verantwrtlichkeit definieren Przess aufsetzen, damit insb Recht auf Auskunft und Recht auf Löschung fristgerecht gewahrt werden können 5. Datensicherheitsmaßnahmen setzen Privacy by design/by default Eventuell mit externem IT Berater 6. Für den Ernstfall: Meldung an Datenschutzbehörde vrbereiten Seite 13

14 IV. Ntfallplan bis Mai 2018 Phase IV: Umsetzung bei anderen Verarbeitungen 7. Erstellung Verzeichnis der Verarbeitungstätigkeiten Auf Basis bestehender DVR-Meldungen Ergänzen um umfassende Ist-Stand-Analyse 8. Gegebenenfalls Datenschutz-Flgenabschätzung 9. Überarbeitung interner Plicies IT Plicy Mitarbeiter Datenschutz Plicy Betriebsvereinbarung 10.Mitarbeiterschulung Seite 14

15 IV. Ntfallplan bis Mai 2018 Identifikatin sensibler Verarbeitungen Sensible Verarbeitungen Alle anderen Verarbeitungen Umfassende Analyse Sicherstellung vllständiger DSGVO- Cmpliance Sinnvlle Schwerpunkte setzen Seite 15

16 IV. Ntfallplan bis Mai 2018 Fazit Vllständige Datenerhebung praktisch kaum realisierbar! Ntfallplan reduziert Haftungsrisik faktisch in der Praxis kmmt Pririsierung daher grße Bedeutung zu für den knkreten Einzelfall zu ptminieren WICHTIG: Auch nach Mai 2018 laufend Cmpliance sicherstellen Nachziehen ffener Punkte Dkumentatin aktualisieren PIA anpassen Datensicherheitsmaßnahmen am Stand der Technik turliche Prüfung und Anpassung an Letztstand der Rechtsprechung Seite 16

Kntakt Dr Axel Anderl, LLM T: +43 1 533 47 95 23 E: axel.anderl@drda.at MMag Dr Felix Hörlsberger T: +43 1 533 47 95 17 E: felix.herlsberger@drda.at Mag Nin Tlapak, LLM T: +43 1 533 47 95 23 E: nin.

17 Kntakt Dr Axel Anderl, LLM T: E: axel.anderl@drda.at MMag Dr Felix Hörlsberger T: E: felix.herlsberger@drda.at Mag Nin Tlapak, LLM T: E: nin.tlapak@drda.at DORDA Rechtsanwälte GmbH Universitätsring Wien Internatinal Law Office - Infrmatin Technlgy Award fr Austria 2014, 2015, 2016, 2017 & 2018 Internatinal Law Office - E-Cmmerce Award fr Austria 2012 & 2013 JUVE - Austrian Law Firm f the Year Seite 17

Ähnliche Dokumente

Datenschutz jetzt neu angehen. Mag. Ursula Illibauer Donnerstag, 30. November :00 14:40 Uhr

Datenschutz jetzt neu angehen. Mag. Ursula Illibauer Donnerstag, 30. November :00 14:40 Uhr Datenschutz jetzt neu angehen Mag. Ursula Illibauer Dnnerstag, 30. Nvember 2017 14:00 14:40 Uhr Inhalt Warum und Was ist Datenschutz Neu? Was bringt die DSGVO? Was sind Daten? Was ist zu tun? Verarbeitungsverzeichnis