Die Datenschutz - Grundverordnung - Was ändert sich für öffentliche Stellen? Maria Wilhelm, Referentin der Stabsstelle Europa

Transkript

1 Die Datenschutz - Grundverordnung - Was ändert sich für öffentliche Stellen? Maria Wilhelm, Referentin der Stabsstelle Europa

2 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf uns zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

3 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf uns zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

4 Datenschutz heute

5 Datenschutz heute 27 Aufsichtsbehörden in der EU und zusätzlich (mind.) 18 Aufsichtsbehörden in Deutschland

6 Datenschutz morgen Datenschutz-Grundverordnung (DS-GVO) und JI-Richtlinie 2016/680 verkündet im Amtsblatt der Europäischen Union Vom 4. Mai 2016

7 Datenschutz morgen

8 Datenschutz morgen Rechtsnatur: Verordnung (Art. 288 AEUV)

9 Datenschutz morgen Europäischer Datenschutzausschuss 1) der unabhängigen Datenschutzaufsichtsbehörden

10 Datenschutz morgen Art. 29 Gruppe Working Papers Datenschutz- Ausschuss Leitlinien (konsensuale Arbeitsgemeinschaft der europ. Datenschutzbehörden) (institutionalisiertes Gremium der europ. Datenschutzbehörden) Empfehlung Orientierung

11 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

12 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 12

13 Anforderungen an die Datenverarbeitung Rechtmäßigkeit, Transparenz, Zweckbindung Datenminimierung Datenrichtigkeit Speicherbegrenzung Sicherheit der Verarbeitung. 13

14 Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 14

15 Anforderungen an die Datenverarbeitung Rechenschaftspflicht (accountability) Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten Wie wir prüfen: (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) b) für festgelegte, eindeutige und legitime haben!! Zwecke ( Zweckbindung ) c) auf das notwendige Maß beschränkt ( Datenminimierung ) d) sachlich richtig ( Richtigkeit ) e) erforderlich ( Speicherbegrenzung ) ( Beweislastumkehr ) [und mit] f) angemessener Sicherheit ( Integrität und Vertraulichkeit ) [verarbeitet werden.] Zeigen Sie mal, was Sie getan (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 15

16 Anforderungen an die Datenverarbeitung Was bedeutet der Grundsatz der Rechenschaftspflicht? Die Rechenschaftspflicht wird wesentlich Einfluss auf die Datenschutzorganisation öffentlicher Stellen nehmen Es ist abzusehen, dass gerade der Grad an Transparenz ein häufiger Streitpunkt zwischen Betroffenem und verantwortlicher Stelle werden kann Was bedeutet dies für die öffentliche Stelle? Die öffentliche Stelle muss künftig dafür Sorge tragen, dass jederzeit für den Betroffenen transparent nachgewiesen werden kann, dass dessen Daten auf rechtmäßige Art und Weise verarbeitet wurden bzw. werden. 16

17 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 17

18 Anforderungen an die Datenverarbeitung Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; ( ) c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; ( ) 18

19 Eine Verarbeitung kann erfolgen.. zur Erfüllung einer rechtlichen Verpflichtung der öffentlichen Stelle (Art. 6 UAbs. 1 lit. c) zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Erwg. 45; Art. 6 UAbs. 1 lit. e) auf Basis der Regelungsbefugnis der Öffnungsklausel des Art. 6 Abs. 2, 3 Verarbeitung besonderer Kategorien von pb Daten nur bei erheblichen öffentlichen Interesse (Art. 9 Abs. 2 lit. g) 19

20 Strengere Kontrollen bei der Verarbeitung Öffentliche Stellen können Daten nicht auf Basis eines berechtigten Interesses verarbeiten (Erwg. 47, 48; Art. 6 UAbs. 2) Engere Voraussetzungen der Einwilligung (Erwg. 32, 42, 43; Art. 6 UAbs. 1 lit. a) Einwilligung ist unwirksam, wenn die betroffene Person keine echte/ freie Wahlmöglichkeit hat Bei deutlichen Ungleichgewicht wird Unfreiwilligkeit unterstellt Verarbeitung sollte daher auf andere gesetzliche Gründe gestützt werden als die Einwilligung 20

21 Auswirkungen für den öffentlichen Bereich? Wenn eine Verarbeitung derzeit auf berechtigte Interessen gestützt wird, müssen andere rechtliche Gründe gefunden werden, um pb Daten rechtmäßig zu verarbeiten Alt-Einwilligungen müssen kritisch überprüft werden, ob sie auch unter der Datenschutz-Grundverordnung wirksam bleiben oder nach Maßgabe des neuen Rechts nochmals einzuholen sind Verarbeitung auf Basis einer Einwilligung sollte nur ausnahmsweise erfolgen, stützen Sie wenn möglich die DV auf eine gesetzlich normierte Grundlage 21

22 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 22

23 Behördlicher Datenschutzbeauftragter Art. 37 ff. DS-GVO Benennung eines DSB (Art. 37 DS- GVO) Stellung des DSB (Art. 38 DS- GVO) Aufgaben des DSB (Art. 39 DS- GVO) Der ideale DSB 23

24 Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Ordnungsgemäße und frühzeitige Einbindung Bereitstellung erforderlicher Ressourcen Weisungsfreiheit Keine Benachteiligung 24

25 Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Unmittelbarer Berichtsweg zur höchsten Führungsebene Anrufungsrecht der Betroffenen Zusammenarbeit mit der Aufsichtsbehörde 25

26 Stellung des DSB, Art. 38 DS-GVO Unabhängige und organisatorisch herausgehobene Stellung, um Aufgaben wahrnehmen zu können Geheimhaltung, Vertraulichkeit, Zeugnisverweigerungsrecht (Art. 38 Abs. 5 DS-GVO) Kein Interessenskonflikt 26

27 Aufgaben und Pflichten des DSB, Art. 39 DS-GVO Unterrichtung und Beratung Überwachung und Einhaltung der DS- GVO Sensibilisierung und Schulung DS-Folgenabschätzung Zusammenarbeit mit der Aufsichtsbehörde Weitere Aufgaben 27

28 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 28

29 Sicherstellung der Betroffenenrechte Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung ( Recht auf Vergessenwerden ), Art. 17 Recht auf Widerspruch, Art. 21 Recht auf nicht automatisierte Entscheidung, Art. 22 Recht auf Widerruf einer Einwilligung Recht auf Einschränkung der Verarbeitung, Art. 18 Recht auf Datenübertragbarkeit, Art

30 Rechte der betroffenen Person - Auswirkungen für den öffentlichen Bereich? - Es muss sichergestellt sein, dass den Anforderungen der Art. 12 ff. DS-GVO entsprochen wird. - Gerade die verteilte Datenhaltung wird eine bessere Strukturierung erfordern, um dem Auskunftsanspruch gerecht werden zu können. - Im Rahmen der Internationalisierung (unterschiedliche Sprachen und Zielgruppen) wird zu klären sein, was als verständliche und einfache Form für den Betroffenen angesehen wird. - Die öffentliche Stelle muss vorbereitet sein, um jederzeit alle relevanten Daten eines Betroffenen auf dessen Wunsch hin zu übermitteln. Bei der Entwicklung von Systemen, Software, Apps, etc. muss dieser Aspekt als Anforderung zwingend berücksichtigt werden. - Ggf. sind Prozesse neu aufzusetzen bzw. zu effektivieren! 30

31 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 31

32 Datenschutzerklärungen - müssen transparent, eindeutig, leicht zugänglich sein (Art. 5 DS- GVO) - müssen in einer für die betroffene Person verständlichen Sprache abgefasst sein - Weitergehende Informationspflichten, z.b. - Kontaktinformationen des behördlichen DSB - Speicherdauer der personenbezogenen Daten - rechtliche Grundlage auf die die rechtmäßige Verarbeitung gestützt wird Datenschutzerklärungen sind entsprechend zu ergänzen bzw. neu abzufassen, um den neuen Anforderungen zu entsprechen 32

33 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Art. 6 DS-GVO Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 33

34 Auftragsverarbeitung Neues in der DS-GVO Verantwortliche dürfen nur Auftragsverarbeiter einsetzen, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung bieten Nachweis für diese Qualifikation über Zertifizierungen (Art. 42 DS-GVO) oder anerkannte Verhaltenskodizes (Art. 40 DS-GVO) (Mit)Verantwortlichkeit des Auftragsverarbeiters Zahlreiche neue Pflichten des Auftragsverarbeiters Weisungsunterworfenheit des Auftragsverarbeiters 34

35 Auftragsverarbeitung Auswirkungen für den öffentlichen Bereich? Umstellung/Anpassung der Bestandsverträge Welche Verträge sind genau betroffen? Verträge anschließend nach Priorität kategorisieren Handlungsmöglichkeiten: Novation aufgrund von Veränderungen bei bestimmten Klauseln, Kündigung des Vertrags bis dahin oder Vertrag bestehen lassen, weil keine Anpassungen erforderlich sind Berücksichtigung der zukünftigen Gesetzeslage bereits heute bei Neu-Verträgen 35

36 Wesentliche Neuregelungen der DS-GVO Anforderungen an die Datenverarbeitung Datenverarbeitung auf Basis von Einwilligungserklärungen Behördlicher Datenschutzbeauftragter Sicherstellung Betroffenenrechte Datenschutzerklärungen Auftragsverarbeitung Umgang mit Datenschutzverletzungen 36

37 Umgang mit Datenschutzverletzungen Art. 33 Abs. 1 DS-GVO: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche. 37

38 Umgang mit Datenschutzverletzungen Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. 38

39 Umgang mit Datenschutzverletzungen Beispiele für Meldepflichten: Hacking Verlust Diebstahl Softwarefehler Schadcode Fehlentsorgung, -versand Vernichtung Sonstiges 39

40 Grundlegende Neuerungen Risikobasierter Ansatz Kein numerus clausus meldepflichtiger Daten (zuvor Begrenzung auf Risikodaten) Kein Vorrang von angemessenen Maßnahmen zur Sicherung der Daten Kein Vorrang der Sicherstellung der Strafverfolgung Keine Information der Öffentlichkeit durch Anzeigen (2 x ½ Seite + bundesweit) in Tageszeitungen 40

41 Prozessorientierter Ansatz! Umgang mit Datenschutzverletzungen Plan: Identifizierung einer Datenschutzverletzung, Festlegung des Meldewegs, Plan Do: Implementierung von Verfahren zur Meldung von Datenschutzverletzungen Check: Feuerwehrübung Act Do Act: Kontinuierliche Verbesserung (incl. Präventivarbeit zur Verhinderung von Datenschutzverletzungen) Check 41

42 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

43 Takeaway: Was kann / soll man heute schon tun? Die anstehenden Änderungen identifizieren Team bilden, das das Projekt DSGVO angeht (nicht nur der Datenschutzbeauftragte) Datenumgang erfassen (Verarbeitungsverzeichnis, Risikoprüfung) Schulung vorbereiten Feuerwehrübungen durchführen 43

44 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

45 Was machen wir Aufsichtsbehörden heute und morgen? Heute Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam 45

46 Was machen wir Aufsichtsbehörden heute und morgen? Heute Jede Aufsichtsbehörde legt ihr nationales Recht aus (einschl. wir deutschen Behörden) Koordiniertes Zusammenwirken findet (fast) nicht statt Unternehmen können erfolgreich Forum- Shopping betreiben Sanktionen sind nicht wirklich wirksam Morgen Einheitliches Recht in Europa mit Leitlinien als Vollzugshilfe Verpflichtung zur Kohärenz incl. verbindlicher Mehrheitsentscheidung Koordinierte Prüfungen verbessern Wahrnehmung Zertifizierung und Code of Conduct schaffen Rechtssicherheit Sanktionen sollen erfolgen 46

47 Agenda 1. Datenschutz heute und morgen 2. Datenschutz-Grundverordnung was kommt auf öffentliche Stellen zu? 3. Was können/sollen/müssen öffentliche Stellen heute schon tun? 4. Was machen wir Aufsichtsbehörden heute und morgen? 5. Unsere Empfehlung

48 Und nun? Die DS-GVO ist ein Großprojekt für den Datenschutz Die DS-GVO verlangt ein umfassendes Datenschutzmanagement mithilfe entsprechender Organisation Sie werden Zeit benötigen, um Prozesse zu schaffen oder anzupassen (spätestens bis zum ) Einige Fragen, die Sie sich stellen sollten 48

49 Machen Sie eine Bestandsaufnahme aller Verarbeitungsvorgänge in Ihrem Haus: Welche Daten verarbeiten (erheben, speichern, übermitteln, ) Sie und was sind die dabei bestehenden potentiellen Risiken? Können Prozesse so ausgestalten werden, dass diese Risiken minimiert werden? Könnte Anonymisierung genutzt werden, um aus dem Anwendungsbereich der DS-GVO zu kommen?

50 Verfahren zur Sicherstellung des Datenschutzmanagements Prozessorientierter Ansatz! Plan: Realisierung der Betroffenenrechte und der Anforderungen zu Erfüllung Plan Do: Implementierung von Verfahren zur Erfüllung der Betroffenenrechte Act Do Check: Feuerwehrübung Act: Kontinuierliche Verbesserung Check 50

51 Können Sie zeigen, dass Sie compliant mit den neuen Vorschriften sind? Können Sie zeigen, dass Sie der accountability des Art. 5 Abs. 2 DS-GVO entsprechen? Können Sie die Fristen bei der Anzeige von Datenschutzverletzungen einhalten? Müssen zusätzliche Maßnahmen ergriffen werden, um sicherzustellen, dass Ihre Verarbeitungen klar dokumentiert sind?

52 Exkurs: Verarbeitungsverzeichnis 52

53 Exkurs: Verarbeitungsverzeichnis Inhalt des Verzeichnisses Wer ist in der Pflicht? Verantwortlicher oder der Auftragsverarbeiter! = Leiter dieser Stellen Behördlicher DSB Der Verantwortliche ist in einer Bringschuld ggü. dem behördlichen DSB (und nicht umgekehrt!) 53

54 Exkurs: Verarbeitungsverzeichnis Inhalt des Verzeichnisses Inhalt des Verzeichnisses für Verantwortliche, Art. 30 Abs. 1 DS-GVO Inhalt des Verzeichnisses für Auftragsverarbeiter, Art. 30 Abs. 2 DS-GVO Wichtige Praxishilfe: DSK-Papier Nr. 1! (abrufbar auf unserer Homepage: 54

55 Stellen Sie den betroffenen Personen ausreichend Informationen zur Verfügung? Die DS-GVO erweitert Hinweis- und Informationspflichten ggü. den betroffenen Personen. Erfüllen Ihre Datenschutzerklärungen, Formulare, u.ä. diese neuen Voraussetzungen? Wenn Sie Daten auf Basis von Einwilligungserklärungen verarbeiten: Erfüllen sie die höheren Einwilligungs- Standards der DS-GVO?

56 Exkurs: Transparenzpflichten Art. 13 Informationspflicht bei Direkterhebung Art. 14 Informationspflicht bei Dritterhebung Art. 19 Mitteilungspflichten bzgl. DV Art. 33 Meldepflicht Datenpanne Art. 34 Benachrichtigungspflicht gegenüber Betroffenen Art. 36 Konsultationspflicht nach PIA

57 Art. 13 Abs. 1 und Art. 14 Abs. 1: Basisinhalte der Informationspflicht (Name) und Kontaktdaten des Verantwortlichen + ggf. Vertreter Kontaktdaten des Datenschutzbeauftragten Rechtsgrundlage der Verarbeitung Zwecke der Verarbeitung berechtigte Interessen nach Art. 6 Abs. 1 f (nicht bei Behörden!) Empfänger und Kategorien von Empfänger Absicht Drittlandtransfer + Garantien Art. 13 Abs. 2 und Art. 14 Abs. 2: Exkurs: Transparenzpflichten Information bei Datenerhebung Infos um ein faires, transparentes Verarbeitung zu gewährleisten

58 Exkurs: Anpassung von Alt-Einwilligungen Prüfen Sie alle Einwilligungsformulare auf die Vereinbarkeit mit den Vorgaben der DS-GVO! Achten Sie auf eine rechtzeitige und verständliche Information der betroffenen Personen! Die Information muss hinreichend klar über die geplante Verarbeitung unterrichten und umfasst auch die Belehrung über das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Dokumentieren Sie sachgerecht (Rechenschaftspflicht)! 58

59 Können Sie die neuen Betroffenenrechten umsetzen? Sie sollten Ihre Datenschutzmanagement (DMS) daraufhin prüfen, ob diese den zusätzlichen Anforderungen entsprechen Können Sie Auskunftsersuchen oder Löschungsanträgen der betroffenen Personen entsprechen? Was ist mit dem Recht auf Datenportabilität?

60 Unsere Empfehlungen Datenschutz ist Chefsache (sowohl beim Vorbeugen und Entscheiden als auch bei Sanktionen) Datenschutz geht alle an (und geht nur, wenn alle mitmachen) Datenschutz gilt von Anfang an ( privacy by design beziehen Sie den Datenschutz immer mit ein) Schaffen Sie sich einen Überblick über Ihre aktuelle Situation (Erstellen Sie schon heute Ihr Verarbeitungsverzeichnis nach Art. 30 DS-GVO) Sprechen Sie mit Ihrer Aufsichtsbehörde (sie kann [muss] Sie beraten und schafft Ihnen Rechtssicherheit) Haben Sie einen Plan sonst werden Sie verplant 60

61 Checkliste zur Vorbereitung auf die DSGVO Bestellen Sie ggf. einen behördlichen Datenschutzbeauftragten und binden Sie diesen ein! Etablieren Sie eine Datenschutz-Folgenabschätzung als Prozess; Art. 35! Gestalten Sie Prozesse für Meldepflichten bei Datenpannen, zur Sicherung der Betroffenenrechte und Informationspflichten etc.; Art. 12 ff. DSGVO! Dokumentieren Sie alle Prozesse; Art. 5 Abs. 2! Passen Sie alte ADV-Verträge an; Art. 28! Überprüfen Sie das Verfahrensverzeichnis; Art. 30! Für Auftragsverarbeiter: Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten; Art. 30 Abs. 2! Stellen Sie einen Schulungsplan auf; Art. 39 Abs. 1 lit. b! Dokumentieren und bewerten Sie TOMs, legen Sie Verantwortlichkeiten fest; Art. 32! Prüfen Sie die Wirksamkeit der TOMs (z.b. durch Penetrationstests) und planen Sie ein wirksames Informationssicherheitsmanagement; Art. 32 Abs. 1 lit. d! Planen Sie ggf. technische Umsetzung der Betroffenenrechte - Auskunft, Datenübertragbarkeit etc.; z.b. Art. 20 (Formulare und Einwilligungen überprüfen; Art. 7)! 61

62 Wichtige Praxishilfen DSK-Papiere Guidelines der Artikel-29-Gruppe Zum Begriff des Datenschutzmanagements utzkataloge/inhalt/_content/m/m02/m02501.html 62

63 Und zu Guter letzt (schamlose Werbung in eigener Sache)... Wenn Sie Zweifel haben, scheuen Sie nicht davor zurück, uns als Aufsichtbehörde um Hilfe zu fragen Wir halten Sie bezüglich aktueller Entwicklungen auf dem Laufenden und geben Ratschläge bei der Umsetzung der DS-GVO- Normen in Ihrem Haus

64 Vielen Dank für Ihre Aufmerksamkeit! 64