DSGVO. Datenschutz - Grundverordnung ECM / CRM / PM / EDB / ERP / PPS / PLM. manage your process DSGVO

Transkript

1 DSGVO Datenschutz - Grundverordnung manage your process DSGVO ECM / CRM / PM / EDB / ERP / PPS / PLM

2 Was ist die Grundlage? Datenschutz Grundverordnung DSGVO Basis ist die Charta der Grundrechte der EU Allgemeine Regelung zum Datenschutz innerhalb der EU Einheitlichen Regelungen für die Verarbeitung personenbezogener Daten Einheitlicher Rechtsschutz für alle Betroffenen Gewährleistung eines starken und einheitlichen Vollzuges Gültig ab (In Kraft seit ) Hohe Strafen (4% des weltweiten Konzernumsatzes bis 20 Mio. EUR)

3 Was sind personenbezogene Daten? Personenbezogene Daten Nicht zuordenbar oder Öffentlich nicht relevante für DSGVO Direkt und indirekt identifizierbare natürliche Person Name, Anschrift, Telefonnummer, Adresse Kontonummer, Kreditkartennummer, SVA-Nummer Zeugnisse, Bilder, Steuernummer, KFZ Kennzeichen IP-Adressen, Benutzerlogin Besondere Kategorien (Art. 9 Gesundheit, Art. 10 Strafrecht) Ethnische Herkunft, politische Meinung, religiöse Überzeugung Biometrische Daten, Gesundheitsdaten Besonderer Schutz für Kinder und Minderjährige Vorstrafen, Genetische Daten, Krankendaten Anonymisierung Kein Personenbezug mehr herstellbar Nicht mehr Datenschutzrelevant

4 Wer ist verantwortlich? Verantwortung in Sinne der DSGVO Verantwortlicher Inhaber, Unternehmer, Geschäftsführer, Vorstand verwaltungsstrafrechtlich verantwortlich Keine Entbindung durch Übertragung Übertragung der Verantwortung Verpflichtend wenn Kerntätigkeit die Verarbeitung ist oder bei sensiblen Daten Datenschutzbeauftragter oder Datenschutzkoordinator Datenschutzbeauftragter Verpflichtend wenn Kerntätigkeit die Verarbeitung ist oder bei sensiblen Daten Kernaufgabe ist die Überwachung der Einhaltung der Datenschutzvorschriften

5 Datenverarbeitung? Auftragsverarbeiter in Sinne der DSGVO Verantwortung des Auftragsverarbeiters (z.b.: Steuerberater) Implementierung der Datensicherheitsmaßnahmen Verarbeitungsverzeichnis Zusammenarbeit mit Verantwortlichem und Aufsichtsbehörde Bestellung eines Datenschutzbeauftragten Vertraglich Bindung an den Verantwortlichen Warnpflicht an den Verantwortlichen Besondere Bestimmungen wenn außerhalb der EU Schriftlicher Vertrag zwischen Verarbeiter und Auftragsverarbeiter (SLA)

6 Evaluierung des Risikos Datenschutz-Folgenabschätzung Evaluierung in Eigenregie Grundsätzliche keine Meldung bei der Behörde mehr vorgesehen Risikoabschätzung der Datenverarbeitung für die Rechte der Betroffenen Verpflichtend wenn Neue Technologien oder der Zweck der Datenverarbeitung ein hohes Risiko für die Rechte der Betroffenen bedeutet Konsultation der Datenschutzbehörde Wenn Evaluierung hohe Risikoeinschätzung ergab Stellungnahme der Behörde innerhalb von 8 Wochen

7 Evaluierung des Risikos Verarbeitungsverzeichnis Verpflichtung > 250 MA < 250 MA wenn kein Risiko, nur gelegentlich, keine sensiblen Daten Empfehlung dass immer ein VA-VZ geführt wird In jedem Unternehmen gibt es sensible pbd (z.b.: MA Daten) Strafmilderung Inhalt Bezeichnung, Zweck, Kategorien der personenbezogenen Daten Fristen für Löschung, Rechtsgrundlage Technische und Organisatorische Maßnahmen

8 Grundsätze Grundsätze der DSGVO Rechtmäßigkeit und Transparenz (Einwilligung oder Vertragserfüllung -- Umfang, Zweck, Dauer) Zweckbindung (nur für definierten Zweck verwendbar) Datenminimierung (nur jene Daten, welche für den definierten Zweck notwendig sind) Richtigkeit (sachlich richtig und auf dem neuesten Stand) Speicherbegrenzung (nur solange wie für den Zweck notwendig) Integrität und Vertraulichkeit (angemessene Sicherheit zum Schutz der Daten gegen Diebstahl, Verlust, Zerstörung, IT- Sicherheit, Virenschutz, )

9 Welche rechte hat der Betroffene? Betroffenenrechte Transparente Information, Kommunikation und Modalität Informationspflicht vor Erhebung von personenbezogenen Daten Recht auf Auskunft (innerhalb 8 Wochen) Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Bearbeitung Recht auf Datenübertragung Recht auf Widerspruch

10 Evaluierung des Risikos Meldung bei Datenschutzverletzung An Datenschutzbehörde Binnen 72 Stunden ab bekanntwerden Beschreibung der Art der Datenschutzverletzung Wahrscheinliche Folgen der Datenschutzverletzung Bereits getroffene Maßnahmen An die Betroffenen Unverzügliche Mitteilung bei hohem Risiko Beschreibung von Art und Folgen der Datenschutzverletzung An die Betroffenen nicht notwendig wenn Bei technischen Vorkehrungen (z.b.: Verschlüsselung) Durch Maßnahmen kein hohes Risiko mehr besteht Benachrichtigung unverhältnismäßiger Aufwand öffentliche Bekanntmachung

11 Umsetzung der DSGVO Vorbereitung Managementunterstützung Ressourcen bereitstellen Schlüsselpersonal festlegen und schulen Prüfung ob Datenschutzbeauftragter benötigt wird Wenn ja, Person benennen DSGVO Einführungsprojekt initiieren Budget, Ressourcen, Zeitplan

12 Umsetzung der DSGVO DSGVO Projekt umsetzen Datenschutzbeauftragter / -koordinator benennen Verarbeitungsverzeichnis erstellen Datenschutz - Folgenabschätzung Einhaltung der Datenschutz Grundsätze sicherstellen Datenschutz Sicherheitsmaßnahmen umsetzen (TOM) Rechte der Betroffene wahren Auftragsverarbeiter Rahmenbedingungen definieren Regelungen und Verträge überarbeiten Verfahren bei Datenschutzverletzungen einführen Dokumentation erstellen

13 Umsetzung der DSGVO Laufende Tätigkeiten Verarbeitungsverzeichnis aktualisieren Dokumentation aktualisieren Audits durchführen Kontakt mit Behörden und betroffenen Personen pflegen KVP zum Datenschutz Managementsystem sicherstellen Folgenabschätzungen Systemsicherheit gewährleisten

14 Ausgewählte TOM s Organisatorische Maßnahmen Schulung der Mitarbeiter Schulung von Fremdpersonal Awerness Sensibilisierung von Datenschutz und Sicherheit Prüfung der Abläufe und Prozesse Zutrittskontrolle Zugangsbeschränkung

15 Ausgewählte TOM s IT-Maßnahmen Virenschutz, Firewalls, Sicherheit bei Web-Browsern Datensicherung Berechtigungssystem Sichere Passwörter Verschlüsseln von Datenträgern Double-Opt-In für Erfassung von personenbezogenen Daten (Newsletter) Datenschutzfreundliche Voreinstellungen Löschlisten um nach Backup Löschung erneut durchführen zu können Geeignete Softwarelösungen wo personenbezogenen Daten gespeichert werden (CRM, ERP, HR, DMS)

16 Was sollten Softwarelösungen können? Anforderungen an geeignete Software Berechtigungssystem auf personenbezogenen Daten unterschiedlicher Kategorien einzelne Datenfelder (z.b.: SVA Nr.) abhängig vom Status (z.b.: gesperrt) Berechtigung auf Zugriff, Änderung, Löschung und Weitergabe von Daten, Datenexport Unterstützung von sicheren Passwörtern Unterstützung von Löschlisten Unterstützung von unterschiedlichen Löschfristen bzw. Speicherdauer (z.b.: Allgemeine Personendaten 3 Jahre, Auftragsrelevante Personendaten 7 Jahre) Hinterlegen der Einwilligungserklärung bzw. Zweckwidmung Möglichkeit zur Erfüllung der Auskunftspflicht (z.b.: Bericht der gespeicherten personenbezogenen Daten) Einfache Weitergabe der personenbezogenen Daten (XML, CSV, ) Protokollierung von Änderung, Zugriff, Weitergabe und Löschung von pb Daten Verschlüsselung insbesondere von sensiblen Daten Speicherung von datenschutzrelevanten Informationen Einwilligungserklärung, Identitätsnachweis, MA-Unterweisungen, Auskunftsnachweis,