Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Transkript

1 Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

2 Die Datenschutzgrundverordnung Was kommt auf uns zu? Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

3 EU DATENSCHUTZGRUNDVERORDNUNG (EU-DSGVO) VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

4 ZEITLINIE ZUR UMSETZUNG DER DSGVO Annahme durch: Europäische Parlament Europäischen Rat Einigung im Trilog Entwurf Europäisches Parlament Status 12. KW Vorschlag der Europäischen Kommission Entwurf Europäischer Rat Verkündung Inkraftreten und Beginn der Umsetzungsfrist Ende der Umsetzungsfrist KW. 12/ Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

5 ZIEL Harmonisierung und Modernisierung des Datenschutzrechts innerhalb der Europäischen Union: zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezogener Daten gemäß Art. 1 Abs. 2 DSGVO zum freien Verkehr personenbezogener Daten in der Union gemäß Art. 1 Abs. 3 DSGVO Anwendung des Datenschutzrechts für Unternehmen aus Nicht-EU-Ländern (Marktortprinzip) Quelle: Fotolia Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

6 UNIONSWEITER WIRKSAMER SCHUTZ Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert eine... Stärkung und Präzisierung der Rechte der betroffenen Personen sowie eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, aber ebenso gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung. Erwägungsgrund 11 der EU-DSGVO Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

7 BISHER NEU EINORDNUNG DER VERORDNUNG Vorrang einer EU-Verordnung vor nationalem Recht Keine nationale Auslegung, sondern EU-Auslegung DATENSCHUTZ- RICHTLINIEN Richtlinie = Umsetzung durch Mitgliedsstaaten mittels nationalem Gesetz bspw. Umsetzung im BDSG, ÖDSG VERORDNUNG = UNMITTELBARE GELTUNG IN JEDEM EU-MITGLIEDSSTAAT EU-Verordnung = grds. Anwendungsvorrang vor jedem nationalen Gesetz kein Umsetzungsgesetz im nationalen Recht erforderlich sofern in VO vorgesehen, dann nationale Regelungen möglich - Öffnungsklauseln (z.b. Beschäftigtendatenschutz) - Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) Ergänzungen zur DSGVO - E-Privacy Verordnung Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

8 AUFBAU DER DSGVO Europäische Umsetzung Bußgeld und Sanktionen Kontrolle durch DSB und Behörde Standards und Zertifizierungen Technische Absicherung Transparenz Zulässigkeit Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

9 BEISPIELE FÜR SIGNIFIKANTE UMSETZUNGSASPEKTE DER DSGVO Benachrichtigung von Datenschutzvorfällen Datenschutzvorfälle müssen binnen 72 Stunden an die Aufsichtsbehörden gemeldet werden Informationspflichten Erweiterte Informationspflichten bei der Erhebung von personenbezogenen Daten Betroffenenrechte Erweiterung der Betroffenenrechte auf das Recht der Übertragbarkeit Datenschutz-Folgenabschätzung Risikobewertung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

10 RECHENSCHAFTSPFLICHT (ACCOUNTABILITY) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke und Verbot der Weiterverarbeitung in einer mit diesen Zwecken nicht zu vereinbarenden Weise Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß Sachlich richtige und ggf. aktuellste Daten; Vorsehen von Maßnahmen zur unverzüglichen Löschung oder Berichtigung von unzutreffenden Daten Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist Geeignete technisch-organisatorische Maßnahmen (TOM) zum Schutz der Daten, insbes. vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

11 SANKTIONEN Art. 83 Abs. 4 DSGVO Art. 83 Abs. 5 DSGVO Art. 83 Abs. 6 DSGVO bis 10 Mio. oder bis 2% des weltweiten Vorjahresumsatzes Verstöße gegen Regelungen zu bspw.: Schutzmaßnahmen (technischorganisatorische Maßnahmen) Auftragsverarbeitung (NEU: auch gegen Auftragsverarbeiter) Verzeichnis der Verarbeitungstätigkeiten Datenschutz-Folgenabschätzung Bestellung Datenschutzbeauftragten bis 20 Mio. oder bis 4% des weltweiten Vorjahresumsatzes je nachdem, was höher ist (!) Verstöße gegen Regelungen zu bspw.: Grundsätze (Art. 5) Rechtmäßigkeit Einwilligung Rechte Betroffener Drittlandsübermittlung Zusammenarbeit mit Aufsichtsbehörde bis 20 Mio. oder bis 4% des weltweiten Vorjahresumsatzes Verstöße gegen Anordnungen der Aufsichtsbehörde MASSIVE VERSCHÄRFUNG DES SANKTIONSRAHMENS! Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

12 Maßnahmen als Erfolgsfaktor! Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

13 MAßNAHMEN ALS ERFOLGSFAKTOR! Aufbau eines nachhaltigen Datenschutzmanagementsystems Nachweis durch Zertifizierung Sicherheit der Verarbeitung Quelle: Fotolia Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

14 AUFBAU EINES NACHHALTIGEN DATENSCHUTZMANAGEMENTSYSTEMS DS Management Rollen und Organisation DS Prozesse Rollen und Organisation sowie Verantwortlichkeiten Einhaltung Accountability (Dokumentation) Verzeichnis von Verarbeitungstätigkeiten als zentrales Organ Einwilligungsmanagement Vertragsmanagement (Auftragsverarbeiter) Übermittlung in Drittländer Datenschutz-Folgenabschätzung Umsetzung von IT-Sicherheitsmaßnahmen Prozess zur Wahrung der Betroffenenrechte Prozess zur Meldung von Datenschutzverstößen Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

15 NACHWEIS DURCH ZERTIFIZIERUNG GEMÄß ART. 42 DSGVO Nachweis zur Erfüllung der Pflichten durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen bei der Verarbeitung gemäß der Verordnung (Art. 24 Abs. 3 DSGVO) Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Art. 25 Abs. 3 DSGVO) Nachweis der Garantien des Auftragsverarbeiters (Art. 28 Abs. 5 und 6 DSGVO) Nachweis zur Einhaltung und Umsetzung im Rahmen der Sicherheit der Verarbeitung (Art. 32 Abs. 3 DSGVO) eine geeignete Garantie zur Datenübermittlung an ein Drittland oder internationale Organisation (Art. 46 Abs. 2f DSGVO) Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

16 SICHERHEIT DER VERARBEITUNG GEMÄß ART. 32 DSGVO Gewährleistung der Sicherheit der Verarbeitung durch geeignete Maßnahmen Umsetzung der Schutzmaßnahmen sollte nicht nur für personenbezogene Daten gelten, sondern für alle Arten von Daten (Synergieeffekte) Ermittlung des Schutzbedarfs der Daten zur Beurteilung eines angemessenen Schutzniveaus Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit sowie Belastbarkeit Weitere Maßnahmen von 14 Gewährleistungszielen gemäß 64 des Gesetzesentwurfs zur DSAnpUG-EU Nachweis der Konformität bspw. auch durch Zertifizierung (z.b. ISO 27001) Quelle: Fotolia Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

17 ERWEITERTER PDCA-ZYKLUS ZUR UMSETZUNG DER DSGVO 1. TOA festlegen 2. Anforderungen identifizieren Plan 3. Auditkatalog 4. Analyse /Audit 5. GAPS identifizieren 6. GAPS bewerten 11. Kontinuierlich verbessern Act Plan 7. Maßnahmen ableiten 10. Überwachen und prüfen Check 9. Maßnahmen umsetzen 8. Umsetzung planen Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH Do

18 Vielen Dank für Ihre Aufmerksamkeit! Erfolgsfaktor DSGVO TÜV Informationstechnik GmbH

19 Ihr(e) Ansprechpartner Tobias Mielke, B.Sc. Data Protection Consultant Datenschutz-Qualifizierung Business Security & Privacy Jörg Schlißke, LL.B. Produktmanager Datenschutz-Qualifizierung Business Security & Privacy TÜV Informationstechnik GmbH