Vom BDSG zur DSGVO Ein Praxisbeitrag. 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

Transkript

1 Vom BDSG zur DSGVO Ein Praxisbeitrag 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

2 Agenda vom BDSG zur DSGVO Vorüberlegungen Phasen eines typischen DSGVO-Projekts Herausforderungen und praktische Empfehlungen 2

3 Vorüberlegungen

4 Vorüberlegungen Wer ist für das Datenschutz-Projekt im Unternehmen verantwortlich? Leitung des Projekts: Datenschutz oder Fachseite Unterstützung durch Geschäftsführung Einbindung / Verantwortung der Fachabteilungen Welche Ressourcen stehen zur Verfügung? Interne Umsetzung oder externe Unterstützung Welche Hilfen stehen von Behörden und Verbänden zur Verfügung? Was soll erreicht werden? Bis wann? Nur Mindestanforderungen erfüllen? Datenschutz als Wettbewerbsvorteil? Vollständige Einhaltung der DSGVO bereits ab Mai 2018, oder nachlaufende Aufgaben auch nach dem Inkrafttreten der DSGVO 4

5 Phasen eines DSGVO Projekts

6 Lücken- Analyse Phase 1: Daten- Erfassung Phase 2: Dokument- Entwurf Phase 3: Umsetzung Kontrolle 6

7 Vorschritt: Lücken-Analyse Systematisches Erfassen der Anforderungen der DSGVO Erstellen einer Checkliste Erfassen der derzeit im Unternehmen bestehenden Datenschutzstrukturen Datenschutzorganisation vorhanden? Verfahrensverzeichnis nach BDSG vorhanden? Abgleich mit Checkliste Identifizierung der Lücken Priorisierung und Zeitplan 7

8 Phase 1: Daten-Erfassung Bestehendes Verfahrensverzeichnis als Grundlage? Technisches System zum Erfassen der Verfahren? Erfassen aller Verfahren Top-down: Von den Geschäftsprozessen ausgehend in die Tiefe Bottom-up: Ausgehend von IT-Systemen und Anwendungen Zuordnung von Rechtsgrundlagen Erstellung weiterer Listen Liste aller Auftragsverarbeiter à zum Update der ADV-Vereinbarungen Liste aller Einwilligungen, Re-Consent erforderlich? Übermittlungen in Drittstaaten Automatische Entscheidungen / Profiling 1 8

9 Phase 2: Entwurf von Mustern und Standardtexten Benachrichtigen aktualisieren Kundendaten, Beschäftigten-Daten, Daten von Dritten (Videoüberwachung, etc.) Update von Einwilligungen Erstellung/Update von Mustern Auftragsverarbeitung Muster für Datenschutzfolgeabschätzung, etc. Erstellung/Update von Unternehmens-Richtlinien Unterstützung durch Geschäftsleitung, Zuständigkeiten, Datenschutzorganisation Schutzverletzungen und Meldepflichten Aufbewahrung und Löschung Integration in Unternehmensprozesse, z.b. Lieferantenauswahl Erstellung von Schulungsmaterialien Allgemeine Schulung aller Beschäftigten Spezielle Schulung von HR, IT, Marketing und anderen datenlastigen Bereichen Schulung von R&D zu Datenschutz durch Technik und Voreinstellungen 2 9

10 Phase 3: Roll-out Schulung der Beschäftigten Technik anpassen Verschlüsselung, etc. Update von Verträgen Auftragsverarbeitungen Haftungsreglungen Benachrichtigung der Betroffenen Unternehmensprozesse umstellen 3 10

11 Regelmäßige Kontrolle Regelmäßige Kontrollen: Jährlich? Intern/extern? Verfahrensverzeichnis vollständig? Kontrollen bei Dritten Aufbau eines Datenschutz Management Systems 11

12 Typische Herausforderungen und praktische Empfehlungen

13 Typische Herausforderungen Unterstützung durch Fachabteilungen Globaler Ansatz oder pro EU Mitgliedstaat? Bei Beschäftigtendaten: Anpassung pro Mitgliedstaat empfehlenswert Bei Kundendaten: Es kommt darauf an. Globaler Ansatz ggf. möglich Risikoabschätzung. Auftragsverarbeitungen: Globaler Ansatz eher möglich Stilfragen ein Muster für alle? 13

14 Praktische Empfehlungen Unmittelbare Unterstützung durch die oberste Geschäftsleitung Einbindung aller betroffener Bereiche Verantwortung durch Fachabteilung / Kontrolle durch die Datenschutzabteilung 14

15