EU Datenschutz-Grundverordnung Wie starten Fahrschulen richtig mit der Umsetzung? Ing. Mag. Dr. Vincenz Leichtfried

Transkript

1 EU Datenschutz-Grundverordnung Wie starten Fahrschulen richtig mit der Umsetzung? Ing. Mag. Dr. Vincenz Leichtfried

2

3 WER IST BETROFFEN? DSGV.at CONTENT LV7.ms

4 GEHT UNS ALLE AN

5 Icons designed by Freepik from Flaticon Beteiligte Betroffener basis dsgvo praxis Verantwortlicher Auftragsdatenverarbeiter Sub-Auftragsdatenverarbeiter

6 Mythen Bin zu unbedeutend Aufsichtsbehörde zu beschäftigt Auslegung noch unklar Kein Geld dafür Das dauert noch Erstmal wird gemahnt Macht alles meine IT Selbst keine Daten (externe Software) basis dsgvo praxis

7 AUSLÖSER DSGV.at CONTENT LV7.ms

8 gilt ab Timeline Strafen Auslöser Chancen Wenn was passiert Rechte der Betroffenen Verbände Data Breach Wettbewerb basis dsgvo praxis

9 Rechte der Betroffenen Informationspflicht Auskunftsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht basis dsgvo praxis

10 Umsetzung: Rechte der Betroffenen Anforderung Vorgehensweise Verantwortlicher vs. Auftragsdatenverarbeiter Identitätsnachweis Form von Anfrage und Auskunft Umfang einer Auskunft Frist Kosten Ablehnungsmöglichkeit vs. Durchsetzung Klare Prozesse basis dsgvo praxis

11 Meldung bei Data Breach Meldepflicht Vorkehrungen Allgemeine Dokumentation Aufsichtsbehörde bei Risiko Unverzüglich - binnen 72 h ab Kenntnis Beschreibung Kontaktdaten Wahrscheinliche Folgen Maßnahmen Betroffene Person bei hohem Risiko

12 WELCHE ART VON DATEN? DSGV.at CONTENT LV7.ms

13 Bedeutung Automatisierte Verarbeitung = Digital / mit dem Computer / gespeichert / verarbeitet

14 PAPIER AKTEN

15 Personenbezogene Daten Anwendungsbereich Arten Grundsätze Sensibel Gesundheit Genetisch und biometrisch Sexualleben und sexuelle Orientierung Politisch, religiös, Weltanschauung (auch Gewerkschaftszugehörigkeit) Rassistische und ethnische Herkunft Strafrechtlich Normal personenbezogen basis dsgvo praxis

16 DATENANWENDUNGEN Kunden Lieferanten s Termine Zulieferer Personal (Bewerbungen - Urlaube - Krankenstände) Videoüberwachung Partnerfirmen Telefonanlagen Fuhrparkmanagement Website-Analytics Zeiterfassung Auftragsabwicklung Rechnungen Buchhaltung Log-Dateien Vertrieb

17 GRUNDREGELN DSGV.at CONTENT LV7.ms

18 Personenbezogene Daten Anwendungsbereich Arten Grundsätze Rechtmäßig Zweckgebunden Richtig Minimal Sicher Nachweisbar basis dsgvo praxis

19 gilt ab Timeline Strafen Auslöser Chancen Beschluss war 2016 Umsetzung in nationale Gesetzgebung Übergangsfrist ist jetzt Keine weitere Schonfrist basis dsgvo praxis

20 gilt ab Timeline Strafen Auslöser Chancen Richtig umgesetzt Wettbewerbsfaktor Unternehmensprozesse Data & IT Management Cybercrime basis dsgvo praxis

21 TODOS DSGV.at CONTENT LV7.ms

22 Icons designed by Freepik from Flaticon Todos Rechtsgrundlage Informationspflicht... Betroffener Vertrag Datensicherheit... Verantwortlicher Dokumentation / Verfahrensverzeichnis Data Breach Notification... Aufsichtsbehörde basis dsgvo praxis Auftragsdatenverarbeiter en m h a n Maß ng e h c s zu ori t t ä a h s i c rgan olgenabs ter o h c g is -F Techn enschutz zbeauftra hut Dat c s n e land s u A Dat EU ng... u h c s Lö

23 Identifikation von Datenanwendungen Via Geräte Welche Geräte(kategorien) gibt es im Unternehmen Welche Software ist auf diesen Geräten installiert Via Ablage Via Prozess Outcome

24 Identifikation von Datenanwendungen Via Geräte Via Ablage Welche Speicherorte gibt es in meinem Unternehmen? Fragestellungen: Wo werden Informationen abgelegt? Wie erfolgen Backups? Wie werden Daten übermittelt? Via Prozess Outcome

25 Identifikation von Datenanwendungen Via Geräte Via Ablage Via Prozess Welche Tätigkeiten (Prozesse) gibt es in meinem Unternehmen? Allgemeine Kommunikation und Korrespondenz, Buchhaltung, Newsletter... Nach Situation Tagesablauf, wöchentliche oder monatliche Routinen Outcome

26 Identifikation von Datenanwendungen Via Geräte Via Ablage Via Prozess Outcome Verfahren Abteilungen Ansprechpartner / Verantwortlichkeiten

27 VERFAHRENSVERZEICHNIS DSGV.at CONTENT LV7.ms

28 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Gesetzliche Notwendigkeit Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) Basis für Betroffenenrechte Basis für Löschfristen und Datenminimierung Basis für Meldung bei Data Breach

29 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Ausnahme pro Datenanwendung Keine personalisierten Daten Fehlanzeige oder Negativmeldung basis dsgvo praxis

30 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Companies (Stark Industries) Data Processings (Buchhaltung, Newsletter, Personalverwaltung...) Data Categories (Wohnadresse, Mitarbeiter...)

31 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Companies (Stark Industries) Departments (Marketing, F&E...) Data Processings (Buchhaltung, Newsletter, Personalverwaltung...) Data Application (Programm, File, Excel-Sheet, Softwarelösung ) Data Categories (Wohnadresse, Mitarbeiter...)

32 Verfahrensverzeichnis Inhalte Auswertung Muster

33 Verfahrensverzeichnis Inhalte Auswertung Muster

34 Verfahrensverzeichnis Inhalte Auswertung Muster

35 Verfahrensverzeichnis Inhalte Auswertung Muster

36 Verfahrensverzeichnis Inhalte Auswertung Muster

37 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Companies (Stark Industries) Departments (Marketing, F&E...) Data Processings (Buchhaltung, Newsletter, Personalverwaltung...) Zweck Rechtsgrundlage Betroffene Löschfrist Data Application (Programm, File, Excel-Sheet, Softwarelösung ) Data Categories (Wohnadresse, Mitarbeiter...)

38 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Companies (Stark Industries) Departments (Marketing, F&E...) Data Processings (Buchhaltung, Newsletter, Personalverwaltung...) Data Application (Programm, File, Excel-Sheet, Softwarelösung ) Empfänger inkl. Drittland (Datenempfänger, Cloud-Anbieter, Auftragsdatenverarbeiter, Speicherort/Gerät ) Technisch-organisatorische Maßnahmen Data Categories (Wohnadresse, Mitarbeiter...)

39 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster Rechtsgrundlagen Löschfristen Rechte der Betroffenen Data Breach Datenschutzbeauftragter, Folgenabschätzung Schatten-IT Effizienzsteigerung Kritische Anwendungen

40 Verfahrensverzeichnis Notwendigkeit Inhalte Auswertung Muster wko.at/datenschutz Bisherige Standardanwendungen Tools

41 Checkliste Verfahrensverzeichnis Rechtsgrundlagen, Verträge und Informationspflichten Datenübermittlung ins Ausland Datenschutz-Folgenabschätzung & Konsultation Datenschutzbeauftragter Privacy by design / default Datensicherheitsmaßnahmen / Technisch-Organisatorische Maßnahmen Prozesse für Rechte der Betroffenen und Data Breach Compliance intern & extern basis dsgvo praxis datenschutzgrundverordnung.at LV7.ms

42 DSGVO Cookbook Sensibilisierung und Projektmanagement Analyse (Verfahrensverzeichnis, kritische Unternehmensprozesse) Auswirkungen evaluieren (Datenschutzbeauftragter, Folgenabschätzung...) Juristisch (Rechtsgrundlagen, Verträge ) Data & IT Security (Datenschutz-Folgenabschätzung ) Vorbereitung Data Breach Funktional (Datenschutz Policy, Rechte der Betroffenen, Schulung ) Technisch (TOM, privacy-by-, Datenmanagement optimieren ) Dokumentation basis dsgvo praxis

43 Pflichten der Verantwortlichen Rechtlich Funktional Technisch-Organisatorisch

44 Next Steps Verfahrensverzeichnis IST-Analyse Auswirkungen evaluieren GAP-Analyse Unterstützung KMU Digital a) Potentialanalyse und b) IT-Sicherheit Wirtschaftskammer Wien geförderte Unternehmensberatung incite.at zertifizierte Beratung Data & IT-Security, Datenschutzb. wko.at/datenschutz Updates bei Newsletteranmeldung

45 Ing. Mag. Dr. Vincenz Leichtfried JaIchWill@LV7.ms