EU-DATENSCHUTZ-GRUNDVERORDNUNG

Größe: px

Ab Seite anzeigen:

Download "EU-DATENSCHUTZ-GRUNDVERORDNUNG"

Til Winkler
vor 6 Jahren
Abrufe

1 EU-DATENSCHUTZ-GRUNDVERORDNUNG Projektumsetzung der gesetzlichen Anforderungen in der Praxis x-tention Informationstechnologie GmbH

2 VORSTELLUNG Christian Rohrauer, Ing. MSc. IT-Sicherheitsbeauftragter Stv. (CISO Stv.) und Geschäftsbereichsleiter Stv. für Informationssicherheit & Datenschutz, Prozess- & Qualitätsmanagement bei x-tention Informationstechnologie GmbH in Wels Ausbildung HTBLA Wels - Informationstechnologie Sichere Informationssysteme (FH Hagenberg) Zertifizierungen Datenschutzbeauftragter (TÜV Austria Cert GmbH)

3 WIE GEHT MAN SICHERHEIT UND DATENSCHUTZ AN? Ein kleines Gedankenspiel

4 WAS SOLL GESCHÜTZT WERDEN?

5 GIBT ES NACHBARN?

6 GIBT ES WERTVOLLE DINGE? Oldtimer, Peugeot 103, BJ historische Familiendokumente

7 WAS IST WERTVOLL, WAS NICHT? besonders schützenswert öffentlich

8 WELCHE BEREICHE SOLLEN BESSER GESCHÜTZT WERDEN?

9 WELCHE VORKEHRUNGEN GIBT ES BEREITS?

10 WO GIBT ES NOCH HANDLUNGSBEDARF?

11 WOFÜR ZUERST GELD AUSGEBEN?

12 WISSEN, WAS ZU TUN IST, WENN DOCH ETWAS PASSIERT!

13 und nun wieder zurück

14 INFORMATIONSQUELLEN FÜR DIE PRAXIS Das Rad nicht neu Erfinden

15 WIRTSCHAFTSKAMMER OBERÖSTERREICH

16 PRIVACYOFFICERS Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter

17 GETTING-READY Das DSGVO-Umsetzungsprojekt

18 DATENSCHUTZ-MANAGEMENTSYSTEM IST-Analyse Übergabe laufender Betrieb Konzepterstellung Umsetzung

19 DSGVO-UMSETZUNGSPROJEKTE TODOS Verzeichnis von Verarbeitungs tätigkeiten Datenschutzorganisation Datenschutz- Folgenabschät zung Schulung & Awareness Richtlinien & Vorgaben Prozessuale DSGVO- Anforderun gen Auditplan

20 RICHTLINIEN UND VORGABEN Das Rahmenwerk

21 RICHTLINIEN UND VORGABEN Verweise auf weitere Dokumente (Prozesse, Definitionen etc.) Datenschutzrichtlinie (Beschreibung des DSMS) Benutzerrichtlinie (Handlungsanweisungen für die Mitarbeiter)

22 AUSZUG DATENSCHUTZRICHTLINIE

23 AUSZUG BENUTZERRICHTLINIE

24 DATENSCHUTZORGANISATION Definition von Aufgaben im DSMS

25 DATENSCHUTZORGANISATION Datenschutzbeauftragter (Kontrolle und Beratung) Datenschutzkoordinator (Operativer Betrieb)

26 DATENSCHUTZBEAUFTRAGTER Verpflichtend bei: Kerntätigkeit: Umfangreiche Verarbeitung besonderer Kategorien von Daten in großem Ausmaß Kerntätigkeit: Umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen Behörde oder öffentliche Stelle (Ausnahme: Gerichte) Bestellung in Hinblick auf Nachweispflicht schriftlich DSB inkl. Kontaktdaten müssen der Datenschutzbehörde gemeldet und veröffentlicht werden

DATENSCHUTZBEAUFTRAGTER Anforderungsprofil eines DSB Rechtliche Kenntnisse DSGVO-Inhalte, nationale Gesetze, Arbeitsrecht (in Grundzügen), Telekommunikationsrecht (in Grundzügen) usw.

27 DATENSCHUTZBEAUFTRAGTER Anforderungsprofil eines DSB Rechtliche Kenntnisse DSGVO-Inhalte, nationale Gesetze, Arbeitsrecht (in Grundzügen), Telekommunikationsrecht (in Grundzügen) usw. Technische Kenntnisse Datensicherheitsmaßnahmen, technische Standards und Normen (z.b. ISO/IEC 27001:2013, BSI IT-Grundschutz) usw. Organisatorische Kenntnisse Unternehmensaufbau und organisation Soziale Kompetenzen Loyalität gegenüber dem Arbeitgeber, Kommunikationsfähigkeit, Zuverlässigkeit, Verantwortungsfähigkeit, Teamfähigkeit, Verhandlungsfähigkeit, Kritikfähigkeit usw

28 DATENSCHUTZBEAUFTRAGTER Gesetzlich definierte Aufgaben Unterrichtung und Beratung des Verantwortlichen Überwachung und Einhaltung der gesetzlichen Vorgaben Überwachung der Einhaltung der Strategien des Verantwortlichen Beratung izm der Datenschutz-Folgenabschätzung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde und Betroffene Durchführung von regelmäßigen Datenschutz-Awareness- Trainings Artikel 39 DSGVO

29 DATENSCHUTZKOORDINATOR Regelmäßige Aktualisierung, Dokumentation und kontinuierliche Verbesserung des Datenschutz-Managementsystems (DSMS) der datenschutzrelevanten Richtlinien der Betroffenenrechte des Data-Breach-Prozesses Pflege und Aktualisierung des Verfahrensverzeichnisses Durchführung der Datenschutz-Folgenabschätzung Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) und Identifikation von priorisierten Verbesserungsmaßnahmen Regelmäßiger Review der Auftragsverarbeiter-Rahmenbedingungen Unterstützung bei der Einhaltung der Anforderungen hinsichtlich Privacy by Design und Privacy by Default Diese Tätigkeiten sind auch ohne verpflichtender Bestellung eines DSB durchzuführen!

30 VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Dokumentation der Verarbeitungstätigkeiten

31 VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Zusammenfassung der wesentlichen Informationen für jedes Verfahren im Unternehmen Kontaktdaten des Verantwortlichen Angabe zu Zweck der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Löschfristen Empfänger Übermittlung in Drittland mit geeigneten Garantien Technische und organisatorische Maßnahmen Artikel 30 DSGVO

32 LIVE DEMO xt-verfahrensverzeichnis

33 IDENTIFIZIERUNG VON VERFAHREN Mögliche Informationsquellen: Bestehende DVR-Meldungen Standard- und Musterverordnung 2004 Prozesslandkarte IT-Applikationsliste Fragebogen an Fachverantwortliche PRAXISTIPP: Vorrangig in Prozessen denken nicht in Applikationen! Ein Verfahren kann durch mehrere Applikationen unterstützt werden Eine Applikation kann mehrere Verfahren abbilden (z.b. SAP, KIS etc)

34 DATENSCHUTZ-FOLGENABSCHÄTZUNG Risikobewertung mit Wechsel der Perspektive

35 DATENSCHUTZ-FOLGENABSCHÄTZUNG Praxisbeispiel: Umsetzung_DSGVO_v1.0.pdf

36 DATENSCHUTZ-FOLGENABSCHÄTZUNG Bewertung der Risiken für Betroffene anhand Eintrittswahrscheinlichkeit Auswirkung Vorschlag für zu bewertende Kriterien Vertraulichkeit Verfügbarkeit Integrität

37 SCHULUNG UND SENSIBILISIERUNG VON MITARBEITER Sicherheitsbewusstsein für alle

38 SCHULUNGSKONZEPT Zuständigkeiten und Verantwortlichkeiten Art des Schulungsmediums z.b. Workshops, elearning, Plakate etc. Zielgruppe z.b. Führungskräfte, Mitarbeiter mit häufiger PC-Nutzung, neu eingestellte Mitarbeiter etc. Intervall der Schulungen um auf neue Technologien reagieren zu können und um der menschlichen Vergessenskurve entgegenzuwirken Schulungsinhalte Zuordnung, wer, wann, was geschult bekommt

39 WIE SCHULE ICH MEINE MITARBEITER? Kreative Möglichkeiten zur regelmäßigen Schulung! Goodies mit Sicherheitshinweisen Workshops Plakate, Checklisten Awareness App auf Smartphone Onboarding-Kurse Paten-Regelungen Welcome-Mappen elearning usw

40 AUDITPLAN Der Schlüssel zur kontinuierlichen Verbesserung

41 AUDITPLAN Interne und externe Audits Zur kontinuierlichen Verbesserung / Weiterentwicklung Strukturierte Herangehensweise Zur Erfüllung der Nachweispflicht

42 PROZESSUALE DSGVO-ANFORDERUNGEN Was es sonst noch so zu beachten gibt

43 PRIVACY BY DEFAULT Datenschutz durch datenschutzfreundlichen Grundeinstellung Auszug aus möglichen Kontrollfragen (Checkliste):

44 PRIVACY BY DESIGN Datenschutz durch Technikgestaltung Durch technische und organisatorische Maßnahmen (TOMs) Unterstützung der Betroffenenrechte Patch- und Schwachstellenmanagement Zugriffskontrolle Passwörter Logging (Protokollierung) Schutz der Vertraulichkeit (Verschlüsselung, Anonymisierung, Pseudonymisierung) Backup und Auslagerung Betrieb & Wartung (Virenschutz, Redundanz von Systemen, Zugriff von Extern etc)

45 PRIVACY BY DESIGN Auszug aus möglichen Kontrollfragen (Checkliste):

46 AUFTRAGSVERARBEITER- RAHMENBEDINGUNGEN Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (vgl. EU-DSGVO Art. 4 Abs. 8) Abschluss entsprechender Rahmenbedingungen notwendig Z.B. lt. Vorlage WKO

47 AUFTRAGSVERARBEITER- RAHMENBEDINGUNGEN

48 DATA BREACH NOTIFICATION DUTY Meldepflicht bei Datenpannen Meldung an die Aufsichtsbehörde Meldung an die Betroffenen Meldepflicht an die Aufsichtsbehörde innerhalb von 72 Stunden Erfolgt die Benachrichtigung erst nach dieser Frist, muss die Verzögerung gesondert begründet werden Vorab-Definition von entsprechenden Prozessen und Vorlagen zur Meldung

49 DATA BREACH NOTIFICATION DUTY

50 DATA BREACH NOTIFICATION DUTY

51 VIELE SCHLAGWORTE

52 SICHERHEIT IST KEIN ZUSTAND Sicherheit ist ein PROZESS!

53 DANKE FÜR IHRE AUFMERKSAMKEIT! ING. CHRISTIAN ROHRAUER, MSC

Ähnliche Dokumente

DATENSCHUTZ in der Praxis

DATENSCHUTZ in der Praxis Rechtliche Rahmenbedingungen: EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene