Datenschutzgrundverordnung

Transkript

1 Datenschutzgrundverordnung Industrie- und Handelskammer zu Leipzig Leipzig, den

2 Referent, LL.M. Fachanwalt für IT-Recht Seit 2010 Rechtsanwalt in Leipzig Seit 2013 Fachanwalt für IT-Recht Zertifizierter Datenschutzbeauftragter (TÜV) Bei über 25 Unternehmen als externer DSB bestellt 2

3 Agenda I. Vorbereitung II. Umsetzung III. Wiederkehrende Tätigkeiten IV. Checklisten und Kurzpapiere der DSK 3

4 I. Vorbereitung 4

5 I. Vorbereitung Ziel: Umsetzung der EU-Datenschutzgrundverordnung und aller Begleitvorschriften (insb. BDSG 2018) bis D.h., in verbleibenden 36 Tagen muss dokumentiertes Datenschutzmanagementsystem (DSMS) erstellt und umgesetzt werden 5

6 I. Vorbereitung Anforderungen an DSMS nicht gesetzlich geregelt Empfehlung: Ausrichtung des DSMS an ISO/IEC (Informationssicherheitsmanagementsysteme) 6

7 I. Vorbereitung Mindestinhalt des DSMS: 1. Datenschutzorganisation/Verantwortlichkeit 2. Prozess zur Einbindung des Datenschutzbeauftragten 3. Verzeichnis von Verarbeitungstätigkeiten 4. Datenschutzfolgeabschätzungen 7

8 I. Vorbereitung Mindestinhalt des DSMS: 5. Vertragsmanagement externe Dienstleister 6. Mitarbeiterschulungen 7. Erfüllung von Informationspflichten 8. Prozess für Auskunft und Beschwerden 9. Prozess zur Meldung von Datenschutzverletzungen 8

9 I. Vorbereitung Projektplanung: Projektverantwortlichen bestimmen ggf. Einbindung von externer Unterstützung Klärung, ob Datenschutzbeauftragter bestellt werden muss 9

10 I. Vorbereitung Exkurs: Pflicht zur Bestellung eines Datenschutzbeauftragter 1. Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen 2. Kerntätigkeit umfangreiche Verarbeitung besonderer Kategorien von Daten 3. Beschäftigung von in der Regel min. zehn Personen, die ständig automatisiert personenbezogener Daten verarbeiten 4. Anwendung von Verfahren, die Datenschutzfolgeabschätzung unterliegen 10

11 I. Vorbereitung Achtung: Kontaktdaten des Datenschutzbeauftragten Kontaktdaten sind seitens des Unternehmen zu veröffentlichen und gegenüber Aufsichtsbehörde mitzuteilen Kontaktdaten: Adresse, Telefonnummer, -Adresse Weitere Informationen: FAQ LDI NRW Stand: 09/2017 und Kurzpapier Nr. 12 der DSK 11

12 II. Umsetzung 12

13 1. Verarbeitungstätigkeiten identifizieren Feststellung der Verfahren, in denen personenbezogene (pb) Daten verarbeitet werden, sofern nicht bereits Verfahrensverzeichnis existiert Beispiele von Verarbeitungstätigkeiten: 13

14 Druck- und Kopieraufträge Dokumentenmanagementsystem Videoüberwachung Auskunftsverfahren Betroffener Vertragsverwaltung Datenweitergabe an Steuerberater Entgeltabrechnung Zeiterfassungssystem Personalfragebogen Bewerbungsprozess per Post Personalakte in Papierform Betriebsunfallmeldungen Auftragswesen Mahnwesen Kundenverwaltung Bestellwesen Messestandbetreuung Bonitätsprüfung Kommunikationssysteme (AB, Fax) Datensicherung Berechtigungskonzept Website Fuhrparkverwaltung Papieraktenentsorgung 14

15 2. Verarbeitungsverzeichnis erstellen Klärung, ob Verpflichtung zur Erstellung nach 30 DSGVO besteht Empfehlung: Erstellung, auch wenn keine Pflicht zur Erstellung besteht, da nur so effektives DSMS gewährleistet werden kann 15

16 2. Verarbeitungsverzeichnis erstellen Hinweise zur Erstellung: Kurzpapier Nr. 1 des DSK Handreichung für kleine Unternehmen Muster für Verarbeitungsverzeichnis Beispiel für eine Verarbeitungsdokumentation 16

17 3. Risikobewertung und Datenschutzfolgeabschätzung Risikobewertung für die identifizierten Risiken der Verarbeitungstätigkeiten (Abschätzung Eintrittswahrscheinlichkeiten und deren Auswirkungen) Bei hohem Risiko aus Sicht der Betroffenen ist Datenschutzfolgeabschätzung (DSFA) durchzuführen Hinweise zur DSFA: Kurzpapier Nr. 5 des DSK 17

18 4. Einhaltung der Datenschutzgrundsätze und Rechenschaftspflicht Einhaltung der in Art. 5 DSGVO normierten Grundsätze für Verarbeitung von pb Daten ist nachzuweisen Grundsätze: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit 18

19 4. Erfassung der TOMs Welche technischen und organisatorischen Maßnahmen (TOMs) werden zur Gewährleistung des Datenschutzes und der Datensicherheit getroffen? Aufbau nach Anlage zu 9 Abs. 1 BDSG in Ergänzung mit Art. 32 DSGVO, auch wenn Anlage ab entfällt 19

20 Erforderliche Maßnahmen für (1) Zutrittskontrolle (2) Zugangskontrolle (3) Zugriffskontrolle (4) Weitergabekontrolle (5) Eingabekontrolle (6) Auftragskontrolle (7) Verfügbarkeitskontrolle (8) Gewährleistung der Zweckbindung 20

21 Maßnahmen sollen insbesondere gewährleisten Pseudonymisierung und Verschlüsselung personenbezogener Daten; Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; 21

22 Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Beispiele für technische und organisatorischen Maßnahmen 22

23 5. Wahrung von Betroffenenrechte (Art. 15 bis 23 DSGVO) Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung sowie auf Vergessenwerden Recht auf Einschränkung der Bearbeitung Recht auf Datenübertragbarkeit Recht auf Widerspruch 23

24 Implementierung eines unternehmensinternen Prozesses, der Wahrung der Betroffenenrechte sicherstellt Jeder Mitarbeiter muss Kenntnis davon haben, was bei Geltendmachung von Betroffenenrechte zu veranlassen ist Hinweise zu Betroffenenrechte: Kurzpapier Nr. 6 der DSK und Kurzpapier Nr. 11 der DSK 24

25 6. Einwilligung der Betroffenen (Art. 7, 8 DSGVO) Grundsatz: Verarbeitung von pb Daten ist nur dann zulässig, wenn der Betroffene entsprechend eingewilligt hat oder eine gesetzliche Norm Verarbeitung erlaubt Häufigste Erlaubnisnorm: Verarbeitung ist für Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen 25

26 Anforderungen an Einwilligungsprozess: Nachweispflicht des Unternehmens für erteilte Einwilligung Vorformulierte Einwilligungserklärungen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache; klare Absetzung von anderen Sachverhalten 26

27 Berücksichtigung einer Widerrufsmöglichkeit; Widerruf muss so einfach wie Einwilligungserklärung erfolgen können Strengere Voraussetzungen für Einwilligung Minderjährigen (Art. 8 DSGVO) Muster einer Einwilligungserklärung 27

28 7. Umsetzung der Informationspflichten Sehr umfangreiche Informationspflichten (Art DSGVO) bei Erhebung von pb Daten bei der betroffenen Person und wenn pb Daten nicht bei Betroffenen erhoben werden 28

29 Exkurs: Art. 13 DSGVO Unterrichtungspflicht des Betroffenen (1) Namen und Kontaktdaten des Verantwortlichen sowie ggf. Vertreter; (2) ggf. Kontaktdaten des Datenschutzbeauftragten; (3) Zwecke der Verarbeitung sowie die deren Rechtsgrundlage; (4) ggf. Empfänger oder Kategorien von Empfängern der pb Daten und (5) ggf. Absicht, die pb Daten an ein Drittland oder eine internationale Organisation zu übermitteln, etc. (6) Dauer der Speicherung bzw. die Kriterien für die Festlegung dieser Dauer; 29

30 (7) Bestehen der einzelnen Betroffenenrechte (8) Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen (9) Bestehen eines Beschwerderechts bei Aufsichtsbehörde; (10)Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und (11)Bestehen einer automatisierten Entscheidungsfindung (Profiling) 30

31 8. Auftragsdatenverarbeitung Festlegung von Auswahlkriterien bei Bestimmung eines Auftragsverarbeiter Prüfung bestehender Verträge auf den Mindestinhalt der DSGVO und Aktualisierung derselben Formulierungshilfe des Bay. LDA für einen Auftragsverarbeitungsvertrag nach DSGVO 31

32 9. Privacy by Design / Privacy by Default Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen im Wege von technischen und organisatorischen Maßnahmen Prüfung zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung Dokumentation der Überlegungen und Entscheidungen 32

33 10. Notfallplan bei Datenschutzverletzungen Implementierung eines Prozesses, durch den fristgerechte Benachrichtigung bei Datenschutzverletzungen sowie rechtzeitige Ergreifung geeigneter Gegenmaßnahmen gesichert ist 33

34 11. Durchsetzung der datenschutzrelevanten Regelungen gegenüber Mitarbeiter und Schulung von Mitarbeiter DSMS funktioniert nur, wenn alle Beteiligten Kenntnis von den entsprechenden Regelungen haben und zur Umsetzung verpflichtet sind 34

35 III. Wiederkehrende Tätigkeiten 35

36 III. Wiederkehrende Tätigkeiten 1. Überprüfung der Datenschutzdokumentation in regelmäßigen Abständen sowie Aktualisierung 2. Durchführung von Audits intern sowie bei Auftragsverarbeitern 3. Schulung der Mitarbeiter 36

37 IV. Checklisten und Kurzpapiere 37

38 IV. Checklisten und Kurzpapiere Kompakte Checkliste zur Umsetzung der Datenschutz- Grundverordnung Kurzpapiere der Datenschutzkonferenz Handreichungen der Aufsichtsbehörde für kleine Unternehmen 38

39 ENDE Vielen Dank für Ihre Aufmerksamkeit Markt Leipzig Tel.: Fax: info@rechtsanwalt-marschner.de