Datenschutz ist Chefsache. Wer klug handelt erzielt Nutzen!

Transkript

1 Datenschutz ist Chefsache. Wer klug handelt erzielt Nutzen! Jörg Stockmann externer Datenschutzbeauftragter, IT-Sicherheits-Consultant, Gutachter und Auditor Avallon Gesellschaft für Wissensconsulting mbh Arentestraße Aurich Die Change-Manager D a t e n s c h u t z - & D i g i t a l i s i e r u n g s e x z e l l e n z

2 Agenda Warum eigentlich? Verständnis zum Gesetz Besonderheit: Artikel 9 Über den Tellerrand schauen Was ist zu tun? Eine Prüfung durch die Aufsichtsbehörde Vergleich interner/externer Datenschutzbeauftragter Mögliche nächsten Schritte Folie 2

3 Folie 3

4 Warum Datenschutz/Datensicherheit mehr denn je? In 2017 waren 50% aller deutschen Firmen Opfer einer Cyber-Attacke. Es ist also nicht eine Frage von ob, sondern wann eine Firma damit zu tun hat!! Hier geht es also nicht nur um personenbezogene Daten, sondern um Firmendaten und möglicherweise die Existenzgrundlage. In Zeiten von: Internets der Dinge (IoT) Web 2.0 Industrie 4.0 Smart Home Digitalisierung sind personenbezogene Daten immer mehr zum Freiwild geworden und ein erweiterter Schutz erforderlich! Folie 4

5 Verständnis des Gesetzes (Auszug) Am 24. Mai 2016 wurde von der EU die Europäische Datenschutzgrundverordnung (EU-DSGVO) verabschiedet mit einer Vorbereitungszeit für Unternehmen von 24 Monaten. Ab dem 25. Mai 2018 tritt also die EU-DSGVO in Kraft und wird durch das neue BDSG ergänzt. Wie bisher im BDSG werden natürliche Personen geschützt. Es gilt das Verbot mit Erlaubnisvorbehalt, d.h. jegliche Datenerhebung, -verarbeitung und -nutzung ist verboten, wenn sie nicht durch Einwilligung oder Ausnahme im Gesetz erlaubt ist. Datenschutz ist eine Kernaufgabe der Geschäftsführer und Inhaber. Das ist logisch, denn sie sind auch diejenigen, die im Falle von Verstößen haften. Zwei wesentliche Veränderungen zum alten BDSG: Beweislastumkehr und die Rahmenbedingungen für Bußgelder sind deutlich verändert Erweitertes Recht auf Vergessen Klare Meldeauflagen (72 Std. an Aufsichtsbehörde, mögliche Betroffene) Folie 5

6 Besonderheit Rassische oder ethnische Herkunft Gewerkschaftszugehörigkeit Politische Meinungen Gesund-heitsdaten besonders sensible personenbezogenen besonders sensible personenbezogenen Daten Daten (Artikel (Artikel 9) 9) Religiöse oder weltanschauliche Überzeugung Biometrische Daten Genetische Daten Sexualleben sexuelle Orientierung Folie 6

7 Einfache Praxis Speicherung / Benutzung nur mit Erlaubnis Matthias Weitergabe nicht erlaubt Kontaktdaten Peter Lina Folie 7

8 Hervorzuhebende Themen Folie 8

9 Datenschutz-Check 2018: Das müssen Sie tun? Interne Datenschutzorganisation/Datenschutzmanagement Sie benötigen für Ihr Unternehmen ein Datenschutzmanagement, um sicherzustellen und dokumentiert nachweisen zu können, dass sie den Datenschutz entsprechend der DSGVO wahren. Überprüfung aller internen Verarbeitungsvorgänge Erstellung eines Verzeichnisses für Verarbeitungsvorgänge Benennung eines Datenschutzbeauftragten Erarbeitung einer internen Datenschutzrichtlinie Überprüfung und Anpassung vorhandener Verträge und Formulare Sicherheit der Datenverarbeitung Folie 9

10 Datenschutz-Check 2018: Das müssen Sie tun? Verhältnis zu natürlichen Personen Einholung von Einwilligungserklärungen für besondere Datenverarbeitungsvorgänge Informationspflichten Auskunftsrecht der Personen Recht auf Löschung Verhältnis zu externen Dienstleistern und Dritten Anpassung vertraglicher Vereinbarung mit externen Dienstleistern nach den Vorschriften zur Auftragsverarbeitung Verpflichtung zur Geheimhaltung Folie 10

11 Datenschutz-Check 2018: Das müssen Sie tun? Verhältnis zu Aufsichtsbehörden für den Datenschutz und anderen Stellen Befugnisse der Aufsichtsbehörden für den Datenschutz Meldung von Datenpannen und verstößen Aufbewahrungsfristen Folie 11

12 Aufforderung der Aufsichtsbehörde Verzeichnis von Verarbeitungstätigkeiten (je Prozess ein Verfahrensverzeichnis) Generelle Regelungen zur Datensicherheit (Verweis auf übergreifende IT-Sicherheitskonzepte) Regelungen zur Datenlöschung (Verweis auf übergreifende Löschkonzepte) Zwecke der Verarbeitungen/der Verarbeitungstätigkeit Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden Datenübermittlungen in Drittländer oder internationale Organisationen Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien Beschreibung der technischen und organisatorischen Maßnahmen (TOM s) Detailliert Risikoanalyse, Identifizieren konkreter Schadenszenarien und Bewertung des Schadenszenarios Datenschutzfolgeabschätzung erforderlich? Folie 12

13 Aufforderung der Aufsichtsbehörde Prozess: Bewerber Verzeichnis von Verarbeitungstätigkeiten (je Prozess ein Verfahrensverzeichnis) Generelle Regelungen zur Datensicherheit (Verweis auf übergreifende IT-Sicherheitskonzepte) Regelungen zur Datenlöschung (Verweis auf übergreifende Löschkonzepte) Zwecke der Verarbeitungen/der Verarbeitungstätigkeit Rechtsgrundlage der Verarbeitungen/der Verarbeitungstätigkeit Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch offengelegt werden Datenübermittlungen in Drittländer oder internationale Organisationen Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien Beschreibung der technischen und organisatorischen Maßnahmen (TOM s) Detailliert Risikoanalyse, Identifizieren konkreter Schadenszenarien und Bewertung des Schadenszenarios Datenschutzfolgeabschätzung erforderlich? Folie 13

14 Lösungen sind häufig einfach Meldeauflagen an mögliche Betroffene bei Datenschutzverletzungen Verschlüsselung Pseudonymisierung Einfalltor mobiles Gerät (Smartphone / Tablet) MDM Mobile Device Management Haftung für ungeeignete Dienstleister Auftragsverarbeitungs- Verträge / Garantien Einsicht in geschützte Daten am Arbeitsplatz Sperrbildschirm ein/aus über RFID pbdaten an Stellen die man nicht kennt/denkt Festplatten im Abteilungskopierer Folie 14

15 Vergleich intern/extern DSB externer Datenschutzbeauftragter Zertifizierte, bereits vorhandene und sofort abrufbare Fachkunde Mithaftung durch den externen DSB. Risikominimierung für das Unternehmen Transparente Kostenstruktur durch vertraglich festgelegte Preise Keine Bindung von Unternehmensressourcen interner Datenschutzbeauftragter zeitintensive und aufwendige Weiterbildmaßnahmen zur Erlangung der Fachkunde sowie Freistellungen für die DSB Aufgaben und die Schulungsdauer Haftung im Rahmen der beschränkten Arbeitnehmerhaftung. Der Geschäftsführer haftet vollumfänglich Schwer kalkulierbare Kosten für Literatur, Büro, Arbeitsausfälle, Weiterbildung inkl. Übernachtung und Verpflegung interne Teilzeit-DSB können Ihre Hauptbeschäftigung nicht mehr zu 100% erfüllen Folie 15

16 Vergleich intern/extern DSB II externer Datenschutzbeauftragter Nutzt seine Ressourcen zu 100% für Datenschutz Kosten für Weiterbildung übernimmt externer Datenschutzbeauftragter interner Datenschutzbeauftragter Nutzt seine Ressourcen im Durchschnitt zu 15-20% für Datenschutz. Kosten für Fort-und Weiterbildung übernimmt der Arbeitgeber (inkl. Reisekosten + Verpflegungskosten) Einarbeitungszeit in die Betriebsabläufe notwendig Betriebsabläufe sind im Groben bereits bekannt Stets unvoreingenommene Herangehensweise mit Blick auf Details Einarbeitungszeit in die Betriebsabläufe notwendig Oft herrscht Betriebsblindheit des Mitarbeiters für wichtige Details Betriebsabläufe sind im Groben bereits bekannt Stets unvoreingenommene Herangehensweise mit Blick auf Details Oft herrscht Betriebsblindheit des Mitarbeiters für wichtige Details Folie 16

17 Vergleich intern/extern DSB III externer Datenschutzbeauftragter Abberufung bzw. Kündigung der Bestellung jederzeit möglich Stellvertretung ist gesichert Knowhow aus anderen Firmen und Branchen interner Datenschutzbeauftragter Abberufung nur in wichtigen Gründen, zusätzlich zwei Jahre Kündigungsschutz nach Abberufung Stellvertreter muss zusätzlich bestimmt werden i.d.r. kein Know-How und keine Vergleichsmöglichkeiten Neutrale Position im Unternehmen, sowohl nach Außen hin (z.b. gegenüber Kunden und Aufsichtsbehörden) als auch innerhalb des Unternehmens (z.b. gegenüber Mitarbeitern) Meist wird der interne DSB als parteiisch angesehen, der das Unternehmen nicht neutral vertritt Keine Interessenkonflikte Eventuelle Interessenskonflikte Folie 17

18 Ersthilfe Umsetzung Betreuung Avallon Vorgehensweise Avallon Jahresaudit Datenschutz & -sicherheit aktualisieren und Nachschulungen Avallon Partner DSGVO Internetseiten Avallon Praxen Service Line Avallon Unterstützung Erstellung Verfahrensverzeichnis Dokumentation fertigstellen, TOMs, Auftragsverarbeiter Verträge und Endabnahme Avallon Schulungen und MA Sensibilisierung Avallon Partner DSGVO IT Sicherheitsmaßnahmen Bestellung externer Datenschutzbeauftragter Avallon Check Datenschutz & -sicherheit Individuelles Avallon Paket mit Fahrplan, Vorlagen und fertigen Dokumenten Avallon Datenschutzund IT-Sicherheitshandbuch Folie 18

19 Online Informationen (youtube.de) Democracy - im Rausch der Daten Jan Philipp Albrecht - eine fesselnde und hochbrisante Geschichte über eine Handvoll Politiker, Lobbyisten, Diplomaten und Bürgerrechtler, die um den Schutz der Privatsphäre in der digitalen Welt ringen. David Kriesel - SpiegelMining Reverse Engineering von Spiegel-Online "Wenn du wissen willst, wer dich beherrscht, musst du nur herausfinden, wen du nicht kritisieren darfst." Voltaire. Wer denkt, Vorratsdatenspeicherungen und Big Data sind harmlos, der kriegt hier eine Demo an Spiegel-Online. David Kriesel - traue keinem Scan, den du nicht selbst gefälscht hast Kopierer, die spontan Zahlen im Dokument verändern: Im August 2013 kam heraus, dass so gut wie alle Xerox-Scankopierer beim Scannen Zahlen und Buchstaben einfach so durch andere ersetzen. Da man solche Fehler als Benutzer so gut wie nicht sehen kann, ist der Bug extrem gefährlich und blieb lange unentdeckt: Er existiert über acht Jahre in freier Wildbahn. Folie 19

20 Checkliste Empfang & Präsentation Die Change-Manager D a t e n s c h u t z - & D i g i t a l i s i e r u n g s e x z e l l e n z senden Sie eine mit dem Betreff: Checklisten und/oder Präsentation an dsb@avallon.de Vielen Dank für Ihre Aufmerksamkeit Jörg Stockmann Folie 20

21 Vielen Dank für Ihre Aufmerksamkeit Die Change-Manager D a t e n s c h u t z - & D i g i t a l i s i e r u n g s e x z e l l e n z