Datenschutz-Grundverordnung

Transkript

1 Datenschutz-Grundverordnung Last-Minute-Tätigkeiten Benjamin Schrader IT-Trends Sicherheit Bochum

2 Benjamin Schrader Berater Wirtschaftswissenschaften an der FH Dortmund Berater bei der mit den Schwerpunkten» Datenschutz und» Informationssicherheit / IT-Sicherheit Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 2

3 Unternehmensgruppe Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 3

4 Dienstleistungen Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 4

5 Gliederung Einführung Risikobetrachtung Überblick über die zentralen Änderungen Last-Minute-Tätigkeiten Fragen / Diskussion Vortragsunterlagen als Download erhältlich Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 5

6 Gliederung Einführung Risikobetrachtung Überblick über die zentralen Änderungen Last-Minute-Tätigkeiten Fragen / Diskussion Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 6

7 Wann und wie gilt die Neuregelung? Inkrafttreten der DS-GVO am Anwendbarkeit nach 24 Monaten, d. h. ab unmittelbare Geltung in allen EU-Mitgliedstaaten Unanwendbarkeit entgegenstehender nationaler Regelungen aber: zahlreiche Öffnungsklauseln zugunsten einzelstaatlicher Bestimmungen Datenschutz wird ab Juni 2018 auf gänzlich neue Füße gestellt Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 7

8 Öffnungsklauseln (Auszug) Rechtmäßigkeit der Verarbeitung Verarbeitung besonderer Kategorien personenbezogener Daten sowie von Daten über strafrechtliche Verurteilungen und Straftaten Datenverarbeitung im Beschäftigungskontext Datenverarbeitung zu Forschungszwecken Beschränkungen der Betroffenenrechte Datenschutz-Folgenabschätzung & Konsultation der Aufsichtsbehörde Benennung eines Datenschutzbeauftragten Ausnahmen für internationale Datenübermittlungen Kirchenrecht weiterhin kein vollkommen einheitliches Datenschutzrecht Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 8

9 Rechtsgrundlagen des Datenschutzes Datenschutz-Grundverordnung BDSG 2018 Bereichsspezifische Normen Anpassungsgesetze anderer EU- Mitgliedstaaten Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 9

11 Risikobetrachtung Strafbarkeit potentiell persönliche Haftung Verstoß gegen Compliance- Anforderungen Erheblich erhöhter Bußgeldrahmen Gesamtschuldnerische Haftung Image Erweiterter Aufgabenbereich der Aufsichtsbehörden sonstige Sanktionen Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 11

12 Geldbußen, Art. 83 DS-GVO In Abhängigkeit vom Verstoß» Geldbußen von bis zu EUR / 2 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist)» Geldbußen von bis zu EUR / 4 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist) wirksam, verhältnismäßig und abschreckend Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 12

13 Geldbußen, Art. 83 DS-GVO 2 % = Verstöße gegen Regelungen zu» technische und organisatorische Maßnahmen, Art. 25 DS-GVO» Auftragsverarbeitern, Art. 28 DS-GVO» Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DS-GVO» Meldung bei Datenpannen, Art. 33, 34 DS-GVO» Datenschutz-Folgenabschätzung, Art. 35 DS-GVO 4 % = Verstöße gegen Regelungen zu» der Verletzung der Grundsätze für die Verarbeitung,» der Verletzung der Rechte der betroffenen Person,» der internationalen Datenübermittlung ohne angemessenes Datenschutzniveau» der Nichtbefolgung einer Anweisung der Aufsichtsbehörde Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 13

15 Grundsätze (Art. 5) Rechtmäßigkeit Verarbeitung nach Treu und Glauben Einwilligung, (neu!) Transparenz Vertragsverhältnis, Interessensabwägung etc. Zweckbindung Datenminimierung Richtigkeit (neu!: Aktualität) Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht (neu!) Wann ist eine Datenverarbeitung zulässig? Es bleibt dabei: Verbot mit Erlaubnisvorbehalt bislang ungeschriebene Grundsätze normiert Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 15

16 Einwilligung Bedingungen für die Einwilligung, Art. 7 DS-GVO Nachweispflicht des Verantwortlichen, das die betroffene Person ihre Einwilligung erteilt hat Hervorhebung bei Verbindung mit anderen Sachverhalten verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache jederzeitige Widerruflichkeit» Information vor Abgabe der Einwilligung» Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung Einwilligung ohne Zwang erteilt / Auslegungsregelung zum Kopplungsverbot Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 16

17 Auftragsdatenverarbeitung (Art. 28) Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters unter besonderer Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen Erfordernis eines Vertrages zur Auftragsdatenverarbeitung Achtung: neben Schriftform auch elektronische Form zulässig Mindestangaben im Rahmen der vertraglichen Vereinbarung» ähnlich 11 BDSG» Erfordernis einer schriftlichen Genehmigung von Subunternehmern» Vertragsverhältnis zum Subunternehmer muss den Anforderungen des Hauptvertrages genügen gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer erweiterte Pflichten des Auftragsverarbeiters/Auftragnehmers Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 17

18 Gemeinsam Verantwortliche (Art. 26) BDSG kennt die Rechtsfigur des gemeinsam Verantwortlichen nicht wesentlicher Unterschied zur Auftragsverarbeitung, dass die gemeinsam Verantwortlichen grundsätzlich gleichberechtigt sind keine Auswirkungen auf das Erfordernis einer Ermächtigung zur Übermittlung Erfordernis eines kleinen Vertrages zur Auftragsdatenverarbeitung» Festlegung der Aufgabenverteilung gemäß der Pflichten nach der DSGVO» insb. Festlegung der Wahrnehmung der Rechte der Betroffenen» insb. Festlegung der Erfüllung der Informationspflichten» Festlegung einer Kontaktstelle für die Betroffenen Kern der Vereinbarung ist den Betroffenen zur Verfügung zu stellen u. a. Einsatzgebiet: Konzern-Datenverarbeitung Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 18

19 Technische & organisatorische Maßnahmen IT-Sicherheit erlangt höheren Stellenwert Vorgaben bzgl. Angemessenheitsentscheidung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [ ] Risiko-Bewertung erforderlich Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 19

20 Technische & organisatorische Maßnahmen II Statt Kontrollziele nun Sicherheitsvorgaben/-ziele [ ] diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Verweis auf Zertifizierungsmöglichkeit Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 20

21 Verhaltensregeln / Zertifizierung Verhaltensregeln, Artikel 40 DS-GVO Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss, die Kommission (sowie Verbände und Vereinigungen nach Genehmigung) können Verhaltensregeln erlassen Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten Zertifizierung, Artikel 42 DS-GVO Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss und die Kommission fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der Verordnung Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 21

22 Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzung, Art. 35 DS-GVO Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Risiko-Bewertung erforderlich insbesondere in folgenden Fällen erforderlich:» systematische und umfassende Bewertung inkl. Profiling» umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten» Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche Mindestvorgaben zur inhaltlichen Dokumentation der Datenschutz- Folgenabschätzung (neu!) Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 22

23 Datenschutz durch Technik Privacy by Design / Privacy by Default Unter Berücksichtigung des Stands der Technik, der [ ] Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche [ ] geeignete technische und organisatorische Maßnahmen» wie z. B. Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.» die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Risiko-Bewertung erforderlich Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 23

24 Meldepflicht bei Datenpannen Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche ohne unangemessene Verzögerung und möglichst binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt. Trennung zwischen Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und Benachrichtigung an die Betroffenen (Art. 34 DSGVO) grundsätzliche Verpflichtung zur Meldung bei jeder Datenpanne Einschränkung über Risikobetrachtung inhaltliche und zeitliche Vorgaben für die Meldung umfassende Dokumentationspflicht aller Datenschutzverletzungen (Art. 33 V DSGVO)erforderlich Risiko-Bewertung erforderlich Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 24

25 Informationspflicht Informationspflicht bei Datenerhebung beim Betroffenen, Artikel 13 DSGVO Informationspflicht zum Zeitpunkt der Erhebung u. a. über:» Name/Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten» Zweck der Verarbeitung sowie Rechtsgrundlage» das berechtigte Interesse (Art. 6 Abs. 1 lit. f), sofern darauf beruhend» Hinweis auf Widerspruchsrecht - auch bei Einwilligung» Absicht der Drittlandübermittlung und einen Hinweis auf die Grundlage der Zulässigkeit der Drittlandübermittlung» die Dauer der Datenspeicherung bzw. die diesbezüglichen Kriterien» einen Hinweis auf die bestehenden Rechte der Betroffenen» das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde» die verwendete Logik sowie die Tragweite und die angestrebten Auswirkungen der Datenverarbeitung im Fall einer automatisierten Entscheidungsfindung bei Zweckänderung Verpflichtung zur Informationen über diesen anderen Zweck und alle anderen relevanten Informationen vor der Weiterverarbeitung Signifikante Erweiterung des Inhalts der Unterrichtung Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 25

26 Informationspflicht II Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben werden, Artikel 14 DSGVO Informationspflicht entsprechend Artikel 13 DSGVO zusätzlich: Angabe der Quelle, aus der die Daten stammen Ausnahme von der Informationspflicht, wenn und soweit» betroffene Person bereits über die Informationen verfügt» die Erteilung sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde» die Erlangung oder Weitergabe durch Rechtsvorschriften ausdrücklich geregelt ist» die Daten dem Berufsgeheimnis unterliegen erstmals Fristen für die Informationspflichten benannt erstmals Formvorschriften für die Informationspflichten benannt Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 26

27 Rechte der Betroffenen Auskunft Berichtigung Löschung / Recht auf Vergessen Einschränkung Datenübertragbarkeit Widerspruch Weiterführende Informationspflichten Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 27

28 Dokumentationsanforderungen Art. 5 Abs. 2 DS-GVO» Rechenschaftspflicht hinsichtlich der Einhaltung der Grundsätze der Datenverarbeitung Art. 30 DS-GVO» Dokumentation von Verarbeitungsvorgängen Art. 33 Abs. 5 DS-GVO» Dokumentation von Sicherheitsvorfällen Art. 35 DS-GVO» Datenschutz-Folgenabschätzung Art. 46 DS-GVO» Dokumentation geeigneter Drittlandgarantien Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 28

29 Das Wichtigste auf 1 Folie Änderungen durch die DSGVO Kein Paradigmenwechsel bei Zulässigkeit» Verbot mit Erlaubnisvorbehalt bleibt Rechenschaftspflicht» Wer schreibt, der bleibt. Risikoorientierter Ansatz» Risiko des Betroffenen (nicht des Unternehmens) Höhere Transparenz» Informations- und Meldepflichten Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 29

30 Fazit: Zentrale Änderungen Rechtmäßigkeit der Datenverarbeitung, Art. 5 & 6 DSGVO» Erheblich reduzierte Regelungsdichte (weniger Spezialfälle als bisher)» flexiblere, aber zugleich unbestimmtere Rechtslage» Normierung ungeschriebener Grundsätze» insb. in der Anfangszeit erhebliche Rechtsunsicherheit Technische und organisatorische Maßnahmen, Art. 32 DSGVO» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 30

31 Fazit: Zentrale Änderungen II Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)» Risiko-orientierter Ansatz» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation Erweiterung formaler Anforderungen» erweiterte Meldepflichten bei Datenpannen gegenüber der Aufsichtsbehörde» erweiterte Rechenschafts- / Dokumentationspflichten» erweiterte Informations- und Auskunftspflichten gegenüber den Betroffenen Erweiterung aufsichtsbehördlicher Vorgaben Erhöhung des Bußgeldrahmens Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 31

33 DSGVO in... Tagen Erstellung einer Maßnahmenliste» Was? Wer? Wann?» muss nicht alles bis zum umgesetzt sein Erstellung einer Liste der Dienstleister (ADV) Erstellung eines Verfahrensverzeichnisses (VvV)» Sukzessive Durchführung einer Risikobewertung» Ableitung für Informationspflichten» Ableitung der Löschanforderungen Umsetzung der Informationspflichten» Datenschutzerklärung auf der Internetseite» Bewerber, neue Mitarbeiter, neue Kunden etc. Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 33

34 DSGVO in... Tagen Verbindliche Richtlinien» IT-Sicherheitskonzept / Datenschutzhandbuch» Nutzungsrichtlinien» Betriebsvereinbarungen» Etablierung eines Meldewegs Schulung / Sensibilisierung Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 34

35 DSGVO in 69 Tagen Verbindliche Richtlinien» IT-Sicherheitskonzept / Datenschutzhandbuch» Nutzungsrichtlinien» Betriebsvereinbarungen» Etablierung eines Meldewegs Schulung / Sensibilisierung Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 35

36 Fragen? Fragen? Diskussion? Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 36

37 Download URL: Nutzername: Passwort: DSGVO.UIMCollege.de uimchange DSgvo# Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 37

38 Haben Sie noch Fragen? UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) Internet: UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de Internet: akkreditiert durch: Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 38

39 Erste-Hilfe-Paket Was ist das? Tool zur selbständigen Identifikation unternehmensinterner Schwachstellen im Datenschutz Vollständiges Datenschutz-Handbuch Mitgeltende Musterunterlagen entsprechend der Vorgaben der DSGVO Warum entwickelt? Neue gesetzliche Vorgaben Zunehmender Zeitdruck Nahezu 100%ige Auslastung der Beratungsunternehmen Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 39

40 Erste-Hilfe-Paket Idee» Bereitstellung aller Anforderungen der DSGVO und ein auf die DSGVO abgestimmtes Handbuch» Das Handbuch erfüllt einen Großteil der dokumentarischen Anforderungen» Ein Großteil der Anforderungen muss nur noch gelebt & umgesetzt werden Vorgehen» Selbstständige Identifizierung der Schwachstellen» Erhalten einer To-Do-Liste, welche vorpriorisiert ist» Verteilung der offenen Punkte entsprechend der Zuständigkeiten» Abarbeitung der offenen Punkte Beispiel: Einwilligungen (Auszug) Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 40

41 Erste-Hilfe-Paket - Vorteile Nach Abschluss grundlegende Konformität mit der DSGVO Keine externe Beratung notwendig Eigenständige Identifizierung der notwendigen Maßnahmen Vorpriorisierte To-Do-Liste zum Thema Datenschutz Praxisbasierter Vorschlag der zuständigen Abteilungen Datenschutz-Handbuch Musterunterlagen entsprechend der Vorgaben der DSGVO Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 41

42 Vertiefung Zusätzliche Informationen (nicht im Vortrag präsentiert) Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 42

43 Dr. Jörn Voßbein Geschäftsführer und Partner Studium der Betriebswirtschaft mit den Schwerpunkten Organisation, Marketing, Wirtschaftsinformatik an der Universität zu Köln Promotion zu empirischen Fragen der Erstellung von IT-Sicherheitskonzeptionen Extern bestellter Datenschutzbeauftragter in zahlreichen Institutionen verschiedener Branchen IT-Sicherheits- und Datenschutzberatung für verschiedene öffentliche Institutionen und Unternehmen der Privatwirtschaft Lead Auditor nach ISO und lizenzierter BSI-Grundschutzauditor Leiter GDD-Erfa-Kreis Wuppertal Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 43

44 Standard-Datenschutz-Modell Datenminimierung Verfügbarkeit Integrität Vertraulichkeit technische und organisatorische Maßnahmen Nichtverkettung Transparenz und Intervenierbarkeit Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 44

45 Standard-Datenschutz-Modell SDM-Nutzung durch verantwortliche Stellen (Unternehmen)» systematische Planung,» Umsetzung und» kontinuierliche Überwachung der erforderlichen Funktionen und Schutzmaßnahmen. Datenschutzbehörden» einheitliche Systematik für» transparentes, nachvollziehbares, belastbares Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 45

46 SDM: Schutzbedarfsanalyse Eingriffsintensität in die Grundrechte durch ein Verfahren:» durch Rechtsgrundlage bestimmte Zweck der DV,» Schutzbedürftigkeit,» Dauer der Speicherung,» Art und Anzahl möglicher Empfänger der verarbeiteten Daten. Vertraulichkeit Kumulierungseffekt Risikoanalyse Beurteilung,» Motivation wie zu groß Verstoß Wahrscheinlichkeit ist, dass trotz getroffener» Möglichkeiten Maßnahmen zum Verstoß Datenschutzvorgaben nicht einhalten» Übermittlung wird. (insbesondere in Drittländer) Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 46

47 Der Prozess UIMChange Initialisierung Analyse Planung Umsetzung Revision Sensibilisierung des Managements Kick-Off Abstimmung des Vorgehens im UIMChange- Projekts Festlegung eines Projektteams EU-Datenschutz- Checkup oder Selbstauskunftsbogen Prüfung von Unterlagen, Verträgen usw. Aktualisierung der Verfahrensübersicht Erstellung eines Projektplans Erarbeitung eines Soll-Konzepts und von Vorgaben Maßnahmen- Katalog Aktualisierung deshandbuchs sowieweiterer Reglungen Sukzessive Umsetzung der Maßnahmen Vertragsanpassungen Durchführung von Schulungen Laufende Umsetzungsprüfung Absschluss- Berichtfür Geschäftsführung : EU konform Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU 47

48 Zeitliche Planung Q3/16 Q4/16 Q1/17 Q2/17 Q3/17 Q4/17 Q1/18 Q2/18 Initialisierung Audit-Vorbereitung Audit / Datenschutz-Checkup Umsetzungsplanung Beobachtung Öffnungsklauseln Umsetzung Revision Abschlussbericht / Testat Datenschutz-Grundverordnung: Das neue Datenschutzrecht in der EU : spätester Start 48