Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Transkript

1 Effektiv zum Datenschutz Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen Feststellung der Betroffenheit, Erhebung der Datenklassen, Bestellung des DSB (Datenschutzbeauftragten), Erstellung des Verfahrensverzeichnisses, Umsetzung der TOM s (technischen und organisatorischen Maßnahmen), Bewertung der Datenschutz-Folge-Abschätzung, Kontakt: dpo@dpo.at Karl Pusch 1

2 Was muss geschützt werden Die Datenschutz Grundverordnung und das Datenschutz Anpassungsgesetz schreiben Den Schutz von Personen deren Daten verarbeitet werden vor. Nicht die Daten per se! 2

3 Was passiert wenn ich Datenschutz ignoriere Gegen die Verhängung einer Geldbuße kann Beschwerde an das Bundesverwaltungsgericht erhoben werden! Wird es eine Frist nach dem geben, während derer keine Geldbußen verhängt werden? Die VO sieht keine Übergangsfrist vor. Es wird jeder Fall einzeln beurteilt und das Erfordernis der Verhängung einer Geldbuße durch die DSB geprüft werden 3

4 DSGVO Betroffene Unternehmen Die Gilt die DSGVO nur für Großunternehmen? Nein. Die DSGVO gilt auch für Klein- und Einpersonunternehmen unter bestimmten Voraussetzungen sowie für Behörden und öffentliche Stellen. Punktuell sind Ausnahmen für Klein- und Einpersonunternehmen vorgesehen (z.b. in Art. 30 Abs. 5 DSGVO betreffend die Führung eines Verzeichnisses von Verarbeitungstätigkeiten). 4

5 DSGVO in Kraft ab Die Gibt es eine Übergangsfrist? Die DSGVO normiert, dass bestehende Datenverarbeitungen innerhalb von zwei Jahren ab Inkrafttreten der DSGVO (das war der 25. Mai 2016) mit ihr in Einklang zu bringen sind. D.h., dass bestehende Datenverarbeitungen ab dem 25. Mai 2018 DSGVO-konform zu sein haben. 5

6 Einwilligungserklärung Die Ich habe für eine Datenverarbeitung die Einwilligung von Betroffenen (z.b. Kunden) eingeholt. Ändert sich durch die DSGVO etwas daran? Sofern eine eingeholte Einwilligung den Voraussetzungen von Art. 7 DSGVO entspricht, ändert sich nichts. Gegebenenfalls sind Einwilligungen erneut einzuholen. 6

7 Schutzklassen Gering Daten, die aus öffentlichen Quellen entnommen werden können und kein schutzwürdiges Interesse des Betroffenen überwiegt Adressdaten aus öffentlichen Telefonverzeichnissen, unbedenkliche Mitgliederverzeichnisse, etc. 7

8 Schutzklassen Mittel Vertragsdaten Auftragsdaten Bonitätsprüfungen Personaleinsatzplanung Kontaktdaten von Mitarbeitern (z.b. private Rufnummern) Daten zum Beschäftigungsverhältnis Interne Rufnummernübersicht, etc. 8

9 Schutzklassen Hoch Rassische und ethnische Herkunft Politische Meinungen Religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit Gesundheit und Sexualleben Angaben zu Ordnungswidrigkeiten oder Straftaten Hinweise auf den Verdacht von Ordnungswidrigkeiten oder Straftaten Daten, die einem Berufsgeheimnis unterliegen (Ärzte, Rechtsanwälte, Sozialarbeit, etc.) Angaben zu Bank- oder Kreditkartenkonten Daten, die dazu geeignet sind, die Persönlichkeitsmerkmale eines Betroffenen zu bewerten Daten zu Leistungs- und Verhaltenskontrollen 9

10 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Zutrittskontrolle Berechtigungssys tem, Schlüsselverwaltu ng, Notfallkonzept, Verweis auf Gebäudemanage ment Die Büroräume unterliegen dem Berechtigungskonzept für den Zutritt zu sensiblen Räumen. Die Räume sind regelmäßig verschlossen und werden beim Verlassen gegen unberechtigten Zutritt gesichert bzw. verschlossen. 10

11 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Zugangskontrolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs-, Verschlüsselungs konzept Der Zugang erfolgt über die entsprechende Berechtigung. Beim elektronischen Datenaustausch zwischen den Rechnersystemen besteht das Sicherungssystem verschiedenen Prüfungen. Weitere technische Absicherungen erfolgen über Firewalls und Proxyserver. Soweit technisch möglich und wirtschaftlich vertretbar, werden hierzu geeignete Verschlüsselungstechnologien eingesetzt. 11

12 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Zugriffskontrolle Verweis auf IT- Sicherheitskonzep t, Eine Reihe von Hardware- und Software-Viren-, Firewall-, Berechtigungs-, Verschlüsselungs konzept Identifikationsmaßnahmen, die Verschlüsselung der Daten bei der Datenübertragung sowie ein mehrstufiges Zugriffs- und Nutzungskontrollverfahren schließen den unbefugten Zugriff auf die gespeicherten Datenbestände und die unberechtigte Kenntnisnahme aus. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Soweit technisch möglich und wirtschaftlich vertretbar, werden hierzu geeignete Verschlüsselungstechnologien eingesetzt. 12

13 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Weitergabekontrolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs-, Verschlüsselungs konzept Beim elektronischen Datenaustausch besteht das Sicherungssystem aus vielschichtigen und komplexen Prüfungen. Strenge Sicherheitsvorkehrungen auf den Rechnersystemen gewährleisten, dass ein unbefugtes Entfernen von Datenträgern aus den Sicherheitsbereichen verhindert wird. Entsorgungsgut mit schutzwürdigem Inhalt wird durch eine hausinterne Schredderanlage gemäß einer hohen Sicherheitsstufe vernichtet. Soweit technisch möglich und wirtschaftlich vertretbar, werden hierzu geeignete Verschlüsselungstechnologien eingesetzt. 13

14 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Eingabekont rolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs- Verschlüsselungs konzept Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. 14

15 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Eingabekont rolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs- Verschlüsselungs konzept Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. 15

16 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Eingabekont rolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs- Verschlüsselungs konzept Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. 16

17 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Eingabekont rolle Verweis auf IT- Sicherheitskonzep t Viren-, Firewall-, Berechtigungs- Verschlüsselungs konzept Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können. 17

18 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Verfügbarkei ts-kontrolle Verweis auf IT- Sicherheitskonzep t, Viren-, Firewall-, Berechtigungs-, Verschlüsselungs konzept Zahlreiche Datensicherungsmaßnahmen gewährleisten, dass personenbezogene und andere schutzwürdige Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Besonders umfangreich sind die Verlustsicherungs- und Katastrophenschutzmaßnahmen. Hierzu gehören unter anderem die Absicherung der Büroräume durch Brandmelde- und stationäre Feuerlöschanlagen, die mehrfache maschinelle und gegen unbefugten Zugriff gesicherte Auslagerung von Datensicherungsbeständen, sowie die Notstromversorgung zur unterbrechungsfreien Überbrückung von Stromausfällen. 18

19 Technisch Organisatorisch Maßnahme Die Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO? Trennungskontrolle In allen wichtigen Bereichen besteht das Prinzip der Funktionstrennung; das heißt, alle in die Datenverarbeitung eingebundenen Personen sind funktionell, organisatorisch getrennt. Das Prinzip der Funktionstrennung ist auch weitgehend innerhalb der Organisationseinheiten verwirklicht; schutzwürdige Daten werden den Mitarbeitern nur in dem Umfang zur Verfügung gestellt, wie es für die zugewiesene rechtmäßige Aufgabenerfüllung unbedingt erforderlich ist. Zur Sicherstellung werden definierte Rechteprofile für die verschiedenen Funktionsbereiche zugeteilt und zentral administriert. Zahlreiche Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken und für unterschiedliche Ordnungsbegriffe (z. B. Kundennummer) erhobene bzw. gespeicherte Daten getrennt verarbeitet werden können. 19

20 Die Bestandsaufnahme Die Bestandaufnahme ist die Grundlage für eine erfolgreiche Umsetzung der Datenschutzverordnung? Rundgang: Wo werden Daten erfasst Video, Formulare, Webseite, , Verträge & Vereinbarungen: Mit Lieferanten, Kunden und Personal Dokumentationen: Brandschutz, EDV, Zertifizierungen 20

21 Die Bestandsaufnahme Die Bestandaufnahme ist die Grundlage für eine erfolgreiche Umsetzung der Datenschutzverordnung? Rundgang: Wo werden Daten erfasst Video, Formulare, Webseite, , Verträge & Vereinbarungen: Mit Lieferanten, Kunden und Personal Dokumentationen: Brandschutz, EDV, Zertifizierungen 21

22 Das Verfahrenverzeichnis Das Verfahrensverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Es dient dem betrieblichen Datenschutzbeauftragten, sowie der Aufsichtsbehörde zur Erfüllung ihrer Aufgaben. 22

23 Übersicht über Verarbeitung & Einbindung Externer Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art 30 DSGVO? Wenn nein, warum nicht? Ist das dokumentiert? Wenn ja, wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn der Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design Art. 25 DSGVO) Einbindung Externer: ADV eingebunden? 23

24 Verzeichnis von Verarbeitungstätigkeiten Die Verantwortliche müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten (= Datenanwendungen), die ihrer Zuständigkeit unterliegen, führen! Dieses Verzeichnis hat jedenfalls zu enthalten: seinen Namen und seine Kontaktdaten, Daten eines mit ihm gemeinsamen Verantwortlichen (falls vorhanden), Daten seines Vertreters (falls vorhanden), Daten des Datenschutzbeauftragten falls vorhanden), die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (= betroffene Personenkreise und Datenarten), Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen); wenn möglich: Löschungsfristen, Beschreibung technischer und organisatorischer Maßnahmen. 24

25 Der Aufbau des Verfahrensverzeichnis 25

26 Das Verfahrensverzeichnis 26

27 Das Verfahrensverzeichnis 27

28 Der erfolgreiche Weg zum Datenschutz 28

29 Effektiv zum Datenschutz Wir bedanken uns für Ihr Interesse! Fragen zu unseren Leistungen beantworten wir Ihnen gerne im Anschluss. Kontakt: Karl Pusch 29