Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Größe: px

Ab Seite anzeigen:

Download "Die neue EU-Datenschutz- Grundverordnung EU-DSGVO"

Nicole Kuntz
vor 5 Jahren
Abrufe

1 Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

2 Agenda Kurzvorstellung Verimax Einführung in die neue Datenschutzgesetzgebung Überblick über Ihre zukünftigen Aufgaben Methoden und Ansätze zur Umsetzung der neuen Anforderungen in Ihrem Unternehmen Blatt 2

3 Vorstellung Verimax GmbH

4 Beratungsfelder Verimax Kombination von Know-how der Gebiete Datenschutz, Kryptographie, IT-Sicherheit und ISO Blatt 4

5 Kontakt Webseite Telefon Post Verimax GmbH, Warndtstraße115, Saarbrücken Referent Stefan Staub Blatt 5

6 Autor: Staub Blatt 6

7 Der DSB bisher BDSG -alt

8 BDSG DSB 4f BDSG Beauftragter für den Datenschutz 9+/20er Regel (Bestellpflicht) Zuverlässigkeit und Fachkunde Direkte (unmittelbare) Stellung unter / neben der Geschäftsführung Weisungsfreiheit vs. (fehlende) Umsetzungskompetenz Budgetkompetenz Geheimnisträger Blatt 8

9 BDSG DSB 4g Aufgaben des Beauftragten für den Datenschutz Hinwirkungspflicht Schulungspflicht Führen des VVZ Vorabkontrolle Anfragen bei der AB möglich (/notwendig) Direkte Kommunikation zw. Betroffenen und DSB Blatt 9

10 Blatt 10

11 Der DSB ab EU-DSGVO DSAnpUG-EU

12 Blatt 12

13 EU-DSGVO DSB Abschnitt 4 Datenschutzbeauftragter Artikel 37 Benennung eines Datenschutzbeauftragten Kerntätigkeit beinhaltet umfangreiche und systematische Überwachung Konzern-DSB Fachkunde in Abh. Mit den Aufgaben nach Art. 39 Meldung des DSB an Aufsichtsbehörde / Veröffentlichung der Kontaktdaten Blatt 13

14 EU-DSGVO DSB Abschnitt 4 Datenschutzbeauftragter Artikel 38 Stellung des Datenschutzbeauftragten Frühzeitige Einbindung (sic!) Unterstützung durch Resoucen durch den Verantworltichen Weisungsfreiheit Bericht an die höchste Managementebene Geheimhaltung / Vertraulichkeit Erwähnung des Interessenkonfliktes Blatt 14

15 EU-DSGVO DSB 1/2 Abschnitt 4 Datenschutzbeauftragter Zumindest (sic!) Artikel 39 Aufgaben des Datenschutzbeauftragten Beratung und Schulung des Verantwortlichen und der MA Überwachung der Einhaltung der Rechtsnormen und der Strategien des Verantwortlichen zwecks Einhaltung des Datenschutzes Beratung bei der DSFA (auf Anfrage) Zusammenarbeit mit der Aufsichtsbehörde Blatt 15

16 EU-DSGVO DSB 2/2 Abschnitt 4 Datenschutzbeauftragter Zumindest (sic!) Artikel 39 Aufgaben des Datenschutzbeauftragten Anlaufstelle für die AB bzgl. Fragen, insbes. bei der Konsultationsphase der DSFA Riskoorientierter Aufgabenansatz (s. Resourcen) Blatt 16

17 BDSG-neu DSB 38 Datenschutzbeauftragte nichtöffentlicher Stellen 10+ Bestellregel Bei Voraussetzungen der DSFA und Adresshandel ist immer ein DSB zu bestellen! Blatt 17

18 Überblick über die zukünftigen Aufgaben EU-DSGVO

19 Neue Situation EU-DSGVO Übersicht: Dokumentationspflichten Privacy by Design und Privacy by Default Auftragsverarbeiter Informationspflichten Betroffenenrechte Technische und organisatorische Maßnahmen Einwilligungen Datenschutzmanagementsystem Risikoansatz / Risikomanagement Datenschutzverletzungen Zertifizierungen Kleines Konzernprivileg Blatt 19

20 Neue Situation EU-DSGVO Dokumentationspflichten / Verfahrensverzeichnis (Art. 30 EU-DSGVO) Durch den Risikoansatz wird bspw. auch die Dokumentationspflicht erhöht VVZ führt die verantwortliche Stelle Ab 250 Mitarbeitern ist ein VVZ zu führen VVZ ist auch unter 250 Mitarbeitern zu führen wenn: Datenverarbeitung ein Risiko für die Rechte und Freiheiten von Betroffenen hat Datenverarbeitung nicht nur gelegentlich erfolgt Datenverarbeitung von besonderen Kategorien (Art. 9 Abs.1 und Art. 10 EU-DSGVO) Anpassung der bisherigen VVZ an neue Vorgaben Blatt 20

21 Neue Situation EU-DSGVO Privacy by Design und Privacy by Default (Art. 25 EU-DSGVO) Software / Technik muss datenschutzkonform entwickelt werden Software / Technik muss datenschutzfreundliche Voreinstellungen haben Berücksichtigung bei der Entwicklung von eigenen Apps / Webseite Berücksichtigung beim Einkauf von IT / Software EU-DSGVO befürwortet Zertifizierungen zum Nachweis Datenschutzrechtliche Belange bei Prozessänderungen sicherstellen Blatt 21

22 Neue Situation EU-DSGVO Auftragsverarbeiter (Art. 28 EU-DSGVO) Einbindung von Dienstleistern für personenbezogene Daten: Übersicht aller Auftragsverarbeiter Schriftliche Vereinbarungen mit allen Auftragsverarbeitern Dokumentation der Eignung des Auftragsverarbeiters Auftraggeber bleibt für die Einhaltung des Datenschutzes verantwortlich Neue Aufgaben für Auftragsverarbeiter Verzeichnis der Verarbeitungstätigkeiten für Auftraggeber führen Bereitstellung neuer technischer und organisatorischer Maßnahmen Blatt 22

23 Neue Situation EU-DSGVO Betroffenenrechte (Art. 17 EU-DSGVO) Recht auf Vergessenwerden Verantwortliche Stelle muss pb-daten auf Wunsch löschen Wenn bspw. Daten unrechtmäßig verarbeitet wurden Oder die Einwilligung widerrufen wird Bereits in 35 Abs. 7 BDSG vorhanden, jedoch Keine Löschung bei unverhältnismäßig hohem Aufwand EU-DSGVO keine Nennung von Ausnahmen Technische und organisatorische Maßnahmen anpassen, um Wunsch des Betroffenen nachkommen zu können Blatt 24

24 Neue Situation EU-DSGVO Technische und organisatorische Maßnahmen (Art. 32 EU-DSGVO) Änderung des Sprachgebrauchs 8 Gebote der Datensicherheit (BDSG) Ausweitung auf 14 Gebote der Datensicherheit (BDSG-neu) EU-DSGVO bezieht sich auf Vertraulichkeit, Integrität und Verfügbarkeit Anforderungen an technische und organisatorische Maßnahmen sind gestiegen Bspw. Pseudonymisierung und Verschlüsselung von Daten Bspw. Sicherstellung der Belastbarkeit der Systeme Bspw. Sicherstellung der Verarbeitung auf Dauer Blatt 25

25 Neue Situation EU-DSGVO Datenschutzmanagementsystem (Art. 24 EU-DSGVO) Nachweis zur korrekten Verarbeitung personenbezogener Daten Rechenschaftspflicht Plan Act DSMS Do Check Blatt 27

26 Neue Situation EU-DSGVO Risikoansatz / Risikomanagement EU-DSGVO befürwortet risikobasiertes Vorgehen Einführung der Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO) Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen DSFA deutlich tiefergehender als bisherige Vorabkontrolle Risiko nach Maßnahmenplanung: Gering, Mittel: Akzeptanz der Risiken liegt beim Topmanagement Hoch, (Sehr Hoch): Zuerst Einbezug der DS-Aufsichtsbehörde Implementierung eines DSFA-Prozesses im Unternehmen Blatt 28

27 Neue Situation EU-DSGVO Datenschutzverletzungen (Art. 33 EU-DSGVO) Es gibt eine Meldepflicht für alle Datenschutzverletzungen: An die Aufsichtsbehörde Innerhalb von 72 Stunden Und an die Betroffenen (mit Ausnahmen) Ausnahme: wenn ein Risiko für Rechte und Freiheiten des Betroffenen unwahrscheinlich ist Blatt 29

28 Blatt 40

29 Wir danken für Ihr Interesse!

Ähnliche Dokumente

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten Barbara Thiel Landesbeauftragte für den 29.11.2016 Agenda 1. Einleitung