270 Tage Datenschutz-Grundverordnung (DSGVO) 11. Februar 2019 IHK Saarland

Transkript

1 270 Tage Datenschutz-Grundverordnung (DSGVO) 11. Februar 2019 IHK Saarland

2 Vorstellung Stefan Staub Geschäftsführer Telefon: Post: Verimax GmbH, Warndtstraße 115, Saarbrücken Stand: Blatt 2

3 Vorstellung Michael Schröder Datenschutzberater Telefon: Post: Verimax GmbH, Warndtstraße 115, Saarbrücken Stand: Blatt 3

4 Agenda Vorstellung & Einstieg in den Datenschutz Einführung Datenschutz-Grundverordnung Neues seit 25. Mai 2018 Praxiserfahrungen Was passiert derzeit? Fragen Stand: Blatt 4

5 Verimax Kurzvorstellung Unabhängiges Beratungshaus für Datenschutz und Informationssicherheit Beratungsknowhow in diesen Bereichen seit über 20 Jahren Einführung ISO ISO / Best Practice Sichere Prozesse Kritis / EnWG ISMS Beratung Datensicherheit Sicherheitsanalysen Sicherheitskonzepte Business Continuity ISO Penetrationstests Enterprise Information Security Gutachten Audit Datenschutz Externer Datenschutzbeauftragter Internationaler Datenschutz Konzerndatenschutz Stand: Blatt 5

6 Einstieg in das Thema Datenschutz

7 Schon das Wort verwirrt... Datenschutz Stand: Blatt 7

8 Warum Datenschutz? Grundgesetz Art. 1 (1) Menschenwürde Grundgesetz Art. 2 (1) freie Entfaltung der Persönlichkeit Grundrecht auf informationelle Selbstbestimmung Bundesdatenschutzgesetz (alt) (bis 24. Mai 2018) Datenschutz-Grundverordnung (seit 25. Mai 2018) Stand: Blatt 8

9 Darum geht es: Personenbezogene Daten Einzelangaben über eine bestimmte oder bestimmbare natürliche Person (Betroffener). Persönliche Verhältnisse Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf, Konfession, Krankheiten,... Sachliche Verhältnisse Einkommen, Eigentumsverhältnisse, KFZ-Typ, Steuern, Versicherungen,... Stand: Blatt 9

10 Datenschutz- Grundverordnung Einführung

11 Einführung Datenschutz-Grundverordnung Datenschutz-Grundverordnung (DSGVO) In Kraft seit 25. Mai 2016 Wirksam seit 25. Mai 2018 Ablösung bestehender Richtlinien und Gesetze: Richtlinie 95/46/EG (Datenschutzrichtlinie) Bundesdatenschutzgesetz (alt) Bei Öffnungsklauseln nationale Ergänzung möglich Bundesdatenschutzgesetz (neu) Neues und einheitliches Datenschutzniveau innerhalb der EU Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Stand: Blatt 11

12 Neue Situation DSGVO Zwei wesentliche Neuerungen: Beweislastumkehr: Unternehmen muss nachweisen, dass es keine Fehler gemacht hat Erhöhtes Risikopotenzial: Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein 2 Bußgeldkategorien 10 Millionen bzw. 2% des weltweiten Jahresumsatzes des vorangegangenen Jahres (Im BDSG bisher max ) 20 Millionen bzw. 4% des weltweiten Jahresumsatzes des vorangegangenen Jahres (Im BDSG bisher max ) Der jeweils höhere Wert wird als Bemessungsgrenze herangezogen Stand: Blatt 12

13 Neues seit 25. Mai 2018

14 Neues seit 25. Mai 2018 Umsetzungsstand in den Unternehmen Stand: Blatt 14

15 Neues seit 25. Mai 2018 Erste Bußgelder Quelle: datenschutz-notizen.de Quelle: faz.net Stand: Blatt 15

16 Neues seit 25. Mai 2018 Erste Bußgelder in Deutschland (Stand Mitte Januar 2019) Nordrhein-Westfalen (33 Verfahren) Hamburg (3 Verfahren) Baden-Württemberg (2 Verfahren) Berlin (2 Verfahren) Saarland (1 Verfahren) Aktuelle Schonfrist bei (der höhe der) Bußgelder Baden-Württemberg ( höchste Einzelstrafe) Gesundheitsdaten im Internet Nordrhein-Westfalen ( Gesamt) Hamburg ( Gesamt) Quelle: handelsblatt.com Stand: Blatt 16

17 Neues seit 25. Mai 2018 Erste Urteile Quelle: heise.de Stand: Blatt 17

18 Neues seit 25. Mai 2018 Aufsichtsbehörden Zusätzlicher Arbeitsaufwand für die Aufsichtsbehörden der Länder durch die Datenschutz-Grundverordnung (Universität Kassel 2017) Quelle: datenschutz.saarland.de Stand: Blatt 18

19 Neues seit 25. Mai 2018 Aufsichtsbehörden Quelle: lda.bayern.de Stand: Blatt 19

23 Neues seit 25. Mai 2018 Statistische Zahlen der EU-Kommission Anzahl der Beschwerden in der EU: Top 3 der Beschwerdethemen: Anzahl der Datenschutzverletzungen in der EU: Quelle: EU-Kommission (Stand ) Stand: Blatt 23

24 Neues seit 25. Mai 2018 Statistische Zahlen der EU-Kommission Quelle: EU-Kommission (Stand ) Stand: Blatt 24

25 Neues seit 25. Mai 2018 Statistische Zahlen der EU-Kommission Quelle: EU-Kommission (Stand ) Stand: Blatt 25

26 Praxiserfahrungen Informationspflichten

27 Informationspflichten Es gibt umfangreichere Informationspflichten Erhebung bei der betroffenen Person Erhebung nicht bei der betroffenen Person 1. Name und Kontaktdaten des Verantwortlichen 2. Datenschutzbeauftragter 3. Zweck / Rechtsgrundlage 4. Berechtigtes Interesse 5. Empfänger / Kategorien der Empfänger 6. Übermittlung ins Drittland / Internationale Organisation 7. Speicherdauer / Kriterien 8. Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenübertragbarkeit 9. Widerruf Einwilligung 10. Beschwerderecht Aufsichtsbehörde 11. Automatisierte Entscheidungsfindung / Profiling Stand: Blatt 27

28 Informationspflichten für Bewerber / Mitarbeiter Kunden Kommunikationspartner Geschäftspartner Interessenten Stand: Blatt 28

29 Informationspflichten Bereitstellung auf einer Webseite Quelle: cpls.de Stand: Blatt 29

30 Informationspflichten Bereitstellung in gedruckter Form Stand: Blatt 30

31 Informationspflichten Bereitstellung in Signaturen Quelle: effizert GmbH Stand: Blatt 31

32 Informationspflichten Bereitstellung als Aushang (Muster) Stand: Blatt 32

33 Möglichkeit des Medienbruchs Datenschutzkonferenz (DSK): eher gegen den Medienbruch LfD Niedersachsen: Entwurf Videoüberwachung mit Medienbruch GDD e.v.: Medienbruch in begründeten Fällen möglich AB Rheinland-Pfalz: einfacher Medienbruch in begründeten Fällen möglich Stand: Blatt 33

34 Praxiserfahrungen DSGVO Sicherheitsstandards (TOM)

35 Etablierung Datenschutz im Unternehmen Etablierung Datenschutz Reifegrad DSMS Integration DSMS Wissens- und Bewusstseinsentwicklung Stand: Blatt 35

36 Sicherheit der Verarbeitung Technische Maßnahmen Einsatz einer Firewall Einsatz von Virenscannern Erstellung von Datensicherungen -Verschlüsselung Organisatorische Maßnahmen Sensibilisierung der Mitarbeiter Verpflichtung auf die Vertraulichkeit Besucherregelungen Meldung von Datenpannen Stand: Blatt 36

37 Sicherheit der Verarbeitung Technische und Organisatorische Maßnahmen gemäß Art. 32 Abs. 1 DSGVO: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Stand: Blatt 37

38 Sicherheit der Verarbeitung Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) 1. Verarbeitungstätigkeit beschreiben 2. Rechtliche Grundlagen prüfen 3. Strukturanalyse durchführen 4. Risikoanalyse vornehmen 5. Maßnahmen auswählen 6. Restrisiko bewerten 7. Maßnahmen konsolidieren 8. Maßnahmen realisieren Verfahren in der Erprobungsphase des LfD Niedersachsen (Stand Nov. 2018) Stand: Blatt 38

39 Sicherheit der Verarbeitung Allgemein Reifegrad DSMS Integration DSMS Wissens- und Bewusstseinsentwicklung Stand: Blatt 39

40 Sicherheit der Verarbeitung Zusammenspiel der technischen und organisatorischen Maßnahmen zwischen: Unternehmensbranche / Unternehmensstrategie Datenschutz Datenschutz-Grundverordnung Informationssicherheit ISO BSI Grundschutz KRITIS / KRITIS für den Mittelstand Cybersicherheit für den Mittelstand (Kampagne des Wirtschaftsministeriums) Stand: Blatt 40

41 Sicherheit der Verarbeitung Plan Do Check & Act Auswahl der Maßnahmen: Unternehmensbranche Stand der Technik Implementierungskosten Datenverarbeitung (Risiko) Stand: Blatt 41

42 Sicherheit der Verarbeitung Kommunikation / Datenaustausch Austausch personenbezogener Daten / sensibler Daten in der Beratung Möglichkeiten: -Verschlüsselung Vorteil: Verschlüsselte Kommunikation Nachteil: Empfänger muss gleiches Verfahren nutzen Nutzung einer internen Cloud (bspw. Nextcloud) Vorteil: Sicherer Datenaustausch, Webbasierter Zugang, keine redundante Datenhaltung (Löschkonzept) Nachteil: Keiner Allgemein: Awareness der Mitarbeiter und Kunden Stand: Blatt 42

43 Sicherheit der Verarbeitung Absicherung der Endgeräte (Notebook) Sichere Datenspeicherung lokal auf den Notebooks Möglichkeiten: Keine lokale Speicherung von personenbezogenen / sensiblen Daten Vorteil: Kein Datenverlust bei Defekt, Diebstahl, etc. Nachteil: Entspricht in der Praxis nicht dem Arbeitsverhalten Festplattenverschlüsselung Vorteil: Boardwerkzeug BitLocker (Windows10); Bei Verlust, Diebstahl etc. keine Einsichtnahme in Daten und keine Meldepflicht nach Art. 33 DSGVO Nachteil: Keiner Allgemein: Awareness der Mitarbeiter Stand: Blatt 43

44 Was passiert derzeit?

45 Überarbeitung Bundesdatenschutzgesetz BDSG neu teilweise nicht mit den Vorgaben der DSGVO konform Bspw. 4 BDSG Videoüberwachung öffentlich zugänglicher Räume Stand: Blatt 45

46 Überarbeitung div. weiterer Gesetze Stand: Blatt 46

47 eprivacy-verordnung Ablösung bisheriger eprivacy- und Cookie -Richtlinien EU-Ratsarbeitsgruppe konnte sich bisher nicht einigen Viel Lobbyarbeit der werbefinanzierten Medien Vermeidung Opt-in-Pflicht Verhinderung datenschutzfreundliche Voreinstellungen in Software (Do-Not-Track) Umsetzung in nationales Recht bis frühestens 2020/2021 Öffnungsklauseln, TMG, TKG Stand: Blatt 47

48 Start von Datenschutzprüfungen Quelle: lda.bayern.de Stand: Blatt 48