Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Größe: px

Ab Seite anzeigen:

Download "Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready"

Kai Beck
vor 6 Jahren
Abrufe

1 Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready Mag. Andreas Schütz, LL.M. Partner, Taylor Wessing 30. August 2017

2 Inhalt 1. Grundlagen und Grundsätze der DSGVO / GDPR 2. Implementierung einer Datenschutz-Strategie

3 1. Grundlagen und Grundsätze der DSGVO / GDPR

4 1.Grundlagen und Grundsätze der DSGVO / GDPR DSGVO im Überblick > EU-Verordnung Was bedeutet das überhaupt? > Vieles bleibt gleich > Grundsatz des Verbots mit Erlaubnisvorbehalt > Sachlicher Anwendungsbereich > Örtlicher Anwendungsbereich - Marktortprinzip > Neuerungen: Verzeichnis von Verarbeitungstätigkeiten Folgenabschätzung Betroffenenrechte Datenschutzbeauftragter > Technische und organisatorische Schutzmaßnahmen

5 1.Grundlagen und Grundsätze der DSGVO / GDPR Grundsätze für die Verarbeitung personenbezogener Daten 1. Rechtmäßigkeit der Verarbeitung 2. Transparenzgebot 3. Zweckbindung 4. Datenminimierung 5. Sachliche Richtigkeit 6. Speicherbegrenzung 7. Integrität und Vertraulichkeit 8. Rechenschaftspflicht

6 2. Implementierung einer Datenschutz- Strategie

7 2. Implementierung einer Datenschutz-Strategie Komplette Bestandsanalyse vornehmen > Verantwortung für Datenschutz innerhalb der Organisation? > Welche Art von Datenverarbeitungen finden statt? > Datenflüsse und deren Systeme analysieren > Auftragsverarbeiter? > Zustimmungen?

8 2. Implementierung einer Datenschutz-Strategie Aufzeichnungspflichten / Verfahrensverzeichnis I > Pflicht zur Führung eines Verzeichnis von Verarbeitungstätigkeiten > Aufzeichnungspflichten nach Artikel 30 für den Auftragsverarbeiter und den Verantwortlichen > Inhalt für Verarbeitungstätigkeiten äußerst weitreichend > Aufzeichnungen haben schriftlich oder elektronisch zu erfolgen > Ausnahme für KMU (= Unternehmen mit weniger als 250 Mitarbeitern): Gilt nicht: 1. Risiko für die Rechte und Freiheiten der betroffenen Personen 2. Verarbeitung erfolgt nicht nur gelegentlich 3. Verarbeitung von besonderen Datenkategorien (wie sensible Daten) 4. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

2. Implementierung einer Datenschutz-Strategie Aufzeichnungspflichten / Verfahrensverzeichnis II > Persönliches Datenverarbeitungsregister statt DVR-Meldungen Name und Kontaktdaten des

9 2. Implementierung einer Datenschutz-Strategie Aufzeichnungspflichten / Verfahrensverzeichnis II > Persönliches Datenverarbeitungsregister statt DVR-Meldungen Name und Kontaktdaten des Verantwortlichen und eines Datenschutzbeauftragten Zweck der Verarbeitung Kategorien betroffener Personen und Daten Empfängerkategorie Fristen für die Löschung (neu) Beschreibung der Datensicherheitsmaßnahmen > Inhalt des Verzeichnisses muss jederzeit auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden können

2. Implementierung einer Datenschutz-Strategie Verarbeitungsverzeichnis - Praxis > Dokumentation der Datenverarbeitungsprozesse ist die Grundlage für eine rechtmäßige

10 2. Implementierung einer Datenschutz-Strategie Verarbeitungsverzeichnis - Praxis > Dokumentation der Datenverarbeitungsprozesse ist die Grundlage für eine rechtmäßige und rechtssichere Verarbeitung personenbezogener Daten > Transparenz > Nachweis der Einhaltung relevanter Vorschriften > Pflicht-Teil / Erweiterter Teil > Löschfristen

11 2. Implementierung einer Datenschutz-Strategie DSGVO - Anwendungen auf konkrete Fälle in der Praxis? > Cookies & Co - Personenbezogenes Datum? > Tracking > Targeting > -Marketing

12 2. Implementierung einer Datenschutz-Strategie Übergangsfrist und Anwendbarkeit Konzeption / Projekt- und Budgetplanung Datenschutz- Management- System Schulung Mitarbeiter / arbeitsrechtliche Vorschriften Finales Testing implementierter organisatorischer und technischer Schutzmaßnahmen Gap analysis Risikoanalyse Datenverarbeitungsverträge Bestellung und Ausbildung Datenschutzbeauftrager / Benennung Vertreter in der EU Anwendbarkeit der DSGVO Umsetzung einer Datenschutz-Struktur Anpassung Datenschutz-Compliance / Non-Compliance

13 2. Implementierung einer Datenschutz-Strategie Sanktionen Datenschutzverstöße / Bußgeldvorschriften > Bemessung nach den Umständen des Einzelfalls (Art, Schwere, Dauer) > Welche Maßnahmen wurden getroffen um Schaden zu verhindern Geldbuße bis EUR 10 Mio. / 2% Geldbuße bis EUR 20 Mio. / 4% > Art 8: Einwilligung Kinder > Art 11: Verarbeitung ohne Identifizierung > Art 25: Technikgestaltung, Voreinstellung > Art 26: Gemeinsame Verarbeitung > Art 27: Nicht EU-Verantwortlicher > Art 30: Verzeichnis > Art 35: Datenschutz-Folgeabschätzung > Art 39: Aufgaben Datenschutzbeauftrager > uvm. > Verstoß gegen Grundsätze der Verarbeitung > Verletzung der Rechte der Betroffenen > Übermittlung Drittland > Nichtbefolgung Anweisung der Behörde > Verstoß gegen Rechtsvorschriften der Mitgliedstaaten (besondere Verarbeitungssituation)

14 Danke für Ihre Aufmerksamkeit! Mag. Andreas Schütz, LL.M. Partner, Taylor Wessing Wien IP/IT, Head of Data Protection CEE

Ähnliche Dokumente

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt