Die Datenschutz-Grundverordnung (DSGVO) NPO Frauennetzwerk,

Transkript

1 Die Datenschutz-Grundverordnung (DSGVO) NPO Frauennetzwerk,

2 EY: Integriert & Interdisziplinär Datenschutz, Branchen, Security & IT-Know-How Vollumfängliche Beratung aus einer Hand Kenntnisse der Branchen und Prozesse Integrierte technische, organisatorische und rechtliche Kompetenz mit zertifizierten Auditoren Optimale Voraussetzungen Erfahrung mit internen Prozessen diverser Branchen Internationales Team mit lokalem Know-How und kurzen Wegen Page 2

3 Auszug der österreichischen EY Datenschutzstudie 50% 50% der Befragten lassen personenbezogene Daten von externen Dienstleistern verarbeiten 75% ¾ der Befragten sagen: Datenschutz ist dem Top-Management sehr wichtig. Tone from the top passt! 60% 60% haben keinen Datenschutzbeauftragten 80% 80% der Befragten stehen nicht genügend finanzielle/personelle Ressourcen zur Verfügung; ¼ hat nicht einmal ein Budget für Datenschutz EY DS Studie 2016/2017: Page 3

4 In a nutshell

5 In a nutshell Herausforderung der DSGVO Datenschutz-Grundverordnung (DSGVO) Beschlossen am 27. April 2016 Unmittelbares Inkrafttreten 25. Mai 2018 in allen Mitgliedstaaten der EU Wird das Datenschutzgesetz 2000 (DSG 2000) ersetzen Regelwerk für das digitale Zeitalter Bedeutende Änderungen zur alten Gesetzeslage Große Herausforderung für viele österreichische Unternehmen Risikobasierter Ansatz, z.t. umfassende Compliance-Maßnahmen notwendig Strafen von bis zu EUR 20 Mio. oder 4 % des gesamten weltweiten Umsatzes Page 5

6 In a nutshell Was ändert sich mit der DSGVO? Ein Regelwerk für die gesamte EU Nur natürliche Personen sind betroffen Neue Verpflichtungen Risikobasierter Ansatz Verzeichnis statt Meldungen Datenschutz-Folgenabschätzung Meldepflicht der Datenschutzverletzung innerhalb von 72 Stunden Privacy by Design Datenschutz durch Technik Privacy by Default datenschutzfreundliche Voreinstellungen Definition des Datenschutzbeauftragten Neue Rechte betroffener Personen Erweiterung des Rechts auf Information: detaillierte Informationspflicht für den Verantwortlichen Recht auf Berichtigung, auf Auskunft, Löschung etc. gestärkt Recht auf Vergessen Recht auf Datenübertragbarkeit Page 6

7 In a nutshell Grundbegriffe der DSGVO Betroffene Person: eine identifizierte oder identifizierbare natürliche Person. Verantwortliche (Controller): entscheidet allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Auftragsverarbeiter (Processor): Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Personenbezogenen Daten : umfassen alle Informationen, die sich auf eine betroffene Person beziehen. Sensible Daten umfassen Daten betroffener Personen über ihre: rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse oder philosophische Überzeugungen Gesundheit Sexualleben genetischen und biometrischen Eigenschaften Page 7

8 Neue Verpflichtungen & Rechte der betroffener Personen

9 Neue Verpflichtungen Verfahrensverzeichnis, Datenschutz-Folgenabschätzung Anstelle des öffentlichen Datenverarbeitungsregisters (DVR) führt die DSGVO das Verfahrensverzeichnis ein. Verpflichtet Unternehmen mit mind. 250 Mitarbeiter, eine detaillierte Übersicht über ihre Datenanwendungen zu führen. Wir empfehlen jedem Unternehmen (unabhängig von der Größe und Mitarbeiteranzahl) ein Verfahrensverzeichnis zu erstellen. Ist gemäß DSGVO erforderlich, wenn eine Datenverarbeitung aufgrund ihres Wesens, ihres Umfangs oder ihres Zwecks konkrete Risiken für die Rechte und Freiheiten der betroffenen Personen birgt. Abgesehen von der Speicherdauer entspricht das Verfahrensverzeichnis inhaltlich den bisherigen DVR-Meldungen. Die Einhaltung der aktuellen Meldepflicht ist daher unbedingt empfehlenswert. Page 9

10 Neue Verpflichtungen Anzeigepflicht bei Datenschutzverletzungen Anzeigepflichtsprozess Erkenntnis über Verstoß Untersuchung des Verstoß Meldung an die Aufsichtsbehörde (falls eine Gefahr für den Einzelnen wahrscheinlich ist) Meldung an den Betroffenen (falls eine Gefahr für den Einzelnen besteht) Verstoß Unverzüglich (spätestens nach 72 Stunden) Unverzüglich Auftragsverarbeiter (Data processor) müssen Privatdatenschutzverletzungen dem Verantwortlichen (Data owner) melden Die Verantwortlichen müssen Privatdatenschutzverletzungen der Behörde melden und gegebenenfalls zusätzlichen DSGVO Bestimmungen folgen Verstöße können zu Verwaltungsstrafen führen Page 10

11 Neue Verpflichtungen Privacy by Design / Privacy by Default Privacy by Design zeigt, dass Datenschutz in Zukunft nicht mehr allein durch die Konformität mit Regularien sichergestellt werden kann, sondern dass Datenschutz zu einem Teil der Unternehmensstruktur werden muss. Privacy by Design (DS durch Technikgestaltung) Datenverarbeiter, sowie Hersteller von IT-Systemen, sollten ihre Services so gestalten, dass diese möglichst wenige Daten speichern und datenschutzfreundliche Voreinstellungen haben Eine starke Eingrenzung des Verwendungszweckes führt dazu, dass nur die notwenigen Daten für die Leistungserbringung verarbeitet werden Hohe Sicherheitsstandards vom Beginn an Dokumentation von technischen und organisatorischen Maßnahmen Privacy by Default Vollständiger Schutz der Betroffenen ohne vorheriger Anpassung Keine Koppelung der Leistungen an zusätzliche und unnötige Datenerfassungen Information der betroffenen über die Datenverarbeitet werden, inklusive Sicherheitsstandards, Datentransfer usw. Page 11

12 Neue Verpflichtungen Datenschutzbeauftragter (DSB) Datenschutzbeauftragter: Die Person im Unternehmen die sicherstellt, dass die Datenschutzvorgaben eingehalten werden. Die Nominierung eines Datenschutzbeauftragtes wird ab Mai 2018 in folgenden Fällen erforderlich sein: wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht wenn das Unternehmen sensible Daten verarbeitet Diese Rolle kann: - auch ein externer Dienstleister übernehmen auf Gruppenebene übernommen werden Page 12

13 Neue Rechte der betroffenen Personen Die Rechte der betroffenen Personen werden mit der DSGVO erweitert: Informations- und Auskunftsrecht: Recht des Betroffenen, Auskunft über die verarbeiteten Daten und so weit wie möglich über die Speicherdauer der Daten zu erhalten. Recht auf Richtigstellung und Löschung: Gibt dem Betroffenen die Möglichkeit unrichtige oder entgegen der Bestimmungen der Gesetze verarbeitete Daten richtigzustellen oder zu löschen. Widerspruchsrecht: Bietet dem Betroffenen das Recht, gegen die Verwendung seiner Daten angesichts einer Verletzung überwiegend schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Recht auf Datenübertragbarkeit: Macht es möglich, dass ein Auftraggeber auf Verlangen des Betroffenen seine Daten an einen anderen Auftraggeber in einer strukturierten, gängigen und maschinenlesbaren Form zu übertragen hat. Page 13

14 Worauf sollen Spendenorganisationen achten? Bearbeiten Sie sensible Daten? Die Verarbeitung sensibler Daten ist nicht erlaubt, außer bei Einhaltung spezifischer Anforderungen Zusätzliche Anforderungen? Verfahrensverzeichnis Datenschutz-Folgenabschätzung Datenschutzbeauftragte(r) In welchem Format werden Daten gespeichert? (z.b. Formulare bei Straßenspenden) Die DSGVO gilt für: ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Nichtautomatisierte Verarbeitung personenbezogener Daten die in einem Dateisystem gespeichert sind Rechte der betroffenen Personen Auskunft Löschung Page 14

15 Wie machen Sie Ihr Unternehmen fit für die Datenschutz-Grundverordnung?

16 Datenschutz in Unternehmen Herausforderungen und Lösungsansätze Typische Herausforderungen Fehlende/unvollständige Strukturierung des Datenschutz Managements Begrenzte Ressourcen in der Datenschutz- Organisation Wenig Vernetzung mit Nachbardisziplinen (z.b. Compliance, Information Security, Internal Audit Risk Management ) Kein voller Überblick über den aktuellen Stand des Datenschutzes im Unternehmen Unklares zentrales Zielbild bzw. unterschiedliche Sichtweise auf den Risikoappetit / -toleranz Datenschutz Governance/Implementierung von Richtlinien, Vorgaben und Prozessen national/international nicht voll wirksam Wichtige Business-Projekte werden nicht oder nur unzureichend begleitet Lösungsansätze Orientierung Datenschutz Management an Standards (z.b. IDW PS 980) Ausrichtung des Datenschutz Managements an Methode des Risikomanagements Doppelstrukturen vermeiden, gemeinsame Prozesse/Strukturen nutzen Strukturiertes Vorgehen zur Ist-Aufnahme (Reifegrad) mit Risikobewertung der Gaps Festlegung Ambitionsniveau (risikobasiert flexibel auf Geschäftsfeld anpassbar) Rollout von Vorgaben & Prozessen intensiv steuern mit Fokus auf kritische Faktoren (Management Commitment, Kommunikation, Schulung, Best Practices, Umsetzungskontrolle) Beratung wichtiger Business-Projekten als Mediator (Datenschutz, IT und Business) Strukturiertes, an den Risiken orientiertes Vorgehen, zur Implementierung/Optimierung/Rollout von Datenschutz-Organisation, Richtlinien und Prozessen erforderlich Page 16

17 Strukturiertes Datenschutz Management angelehnt an IDW PS 980 Ein mögliches Vorgehen für ein strukturiertes Datenschutzmanagement baut auf dem Standard zur Prüfung von Compliance-Management-Systemen (IDW PS 980) auf. Angelehnt an die Grundelemente eines Compliance Management Systems besteht ein strukturiertes DSMS aus den folgenden Elementen: Kultur Ziele Risiken Ein Datenschutz Management System stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gemanaged wird. Programm Organisation Kontrolle Kommunikation Page 17

18 Strukturiertes Datenschutz Management angelehnt an IDW PS 980 Page 18

19 Strukturiertes Datenschutzmanagement Integration der Managementsysteme Page 19

20 Datenschutz Transformation Maturity Assessment als Ausgangspunkt Ist-Assessment Planung (Plan) Implementierung (Do) Reifegrad Risiken Def. Zielbild Roadmap Design Rollout Strukturiertes Maturity Assessment Angelehnt an Standards Modularer Ansatz National/ International Identifikation der Gaps Spiegelung an Business Model Identifikation der Hauptrisiken Priorisierung der Gaps Festlegung Ambitionsniveau Festlegung Struktur DSMS Business Case Minimierung der Compliance Risiken Effizienz und Effektivität Priorisierung Hygienemaßnahmen zuerst Fokus auf Tools of Effectiveness Schnittstellen mit anderen Mgmt. Systemen Neuerfindung des Rads vermeiden Implementierung priorisierter Prozesse/Module Beispielsweise Organisation (z.b. int. Team) Richtlinien Konzepte (z.b. Schulungskonzept) Prozesse (PIA-, ADV-Prozess, ) Beispielsweise Verabschiedung/ Beschluss Best Practices/ Unterstützung Kommunikation/ Schulung Monitoring Erfolgskontrolle Page 20

21 Gap-Assessment Ableitung von Gaps und Erstellen einer Roadmap Ergebnisse der Assessment Phase Identifikation der Gaps/ Handlungsfelder Detaillierter Projektplan für 2017 und 2018 Definition einer High-Level Roadmap Page 21

22 Fit für die DSGVO 10 Steps Page 22

23 EY EU-DSGVO Expertinnen Barbara Van der Auwermeulen Legal EY Law Christa Hasenrath Senior Manager EY Advisory christa.hasenrath@at.ey.com Birgit Eschinger Senior Consultant EY Advisory birgit.eschinger@at.ey.com Presentation January 2014 title