Operative Umsetzung des Datenschutzes nach EU-DSGVO Rheinischer Unternehmertag Stefan Buchholz, Director Cyber Risk 09.11.2017
Abgrenzung von Datenschutz und Informationssicherheit Datenschutz Informationssicherheit Schutz von Rechten der Kunden und Beschäftigten (Grundrecht auf informationelle Selbstbestimmung) Einhaltung von rechtlichen Anforderungen aus der EU- DSGVO, nationale Rechtsvorschriften (z.b. BDSG neu, TMG, TKG) und Kollektivereinbarungen Sachlicher Anwendungsbereich ist die Verarbeitung personenbezogener Daten Sicherstellung von Integrität, Vertraulichkeit, Verfügbarkeit, Belastbarkeit von Systemen und Diensten zur Verarbeitung von personenbezogenen Daten (Art.32 DSGVO) Risikoorientierter Schutz aller Informationen und Daten des Unternehmens Technische und organisatorische Maßnahmen zur Sicherstellung der Schutzziele 2
Zeitlicher Verlauf der EU-Vorgaben zum Datenschutz Die Implementierung der EU-DSGVO muss in Unternehmen bis zum 25. Mai 2018 erfolgen 1995 verabschiedete die Europäische Union die Direktive 95/46/CE (Datenschutzdirektive ), in Deutschland umgesetzt durch das Bundesdatenschutzge setz (BDSG). Am 4. Mai 2016 wurde die EU Datenschutzgrundverordnung (EU-DSGVO) offiziell durch die Europäische Union veröffentlicht. Die DSGVO trat am 24. Mai 2016 in Kraft und ersetzt die Datenschutzdirektive von 1995. Dabei wird ein harmonisierter und einheitlicher Datenschutz in 2012 Europa ermöglicht. 2018 1995 Die Europäische Kommission empfahl eine Reform der gegenwärtigen zersplitterten Rechtslandschaft um neuen Herausforderungen Im Datenschutz gewappnet zu sein und die EU Mitgliedsländer für die fortschreitende Digitalisierung fit zu Machen. 2016 Umsetzungsfrist von 2 Jahren Die DSGVO wird ab dem 25. Mai 2018 die verbindliche Rechtsgrundlage zum Datenschutz in allen EU Mitgliedsstaaten. Damit endet die zweijährige Umsetzungsfrist. 3
Wahrnehmung von Datenschutz in der Wirtschaft Treiber für Paradigmenwechsel Bußgelder bis zu 20 Mio. oder 4% des jährlichen weltweiten Jahresumsatzes nach EU-DSGVO. Datengetriebene Geschäftsmodelle basieren auf dem Vertrauen der Nutzer. Vielzahl von neuen Regulierungen wie die EU-DSGVO und eprivacy Verordnung. Auslagerungen zu Cloud Anwendungen und Zusammenarbeit mit internationalen Dienstleistern. 4
Übersicht der wichtigsten Veränderungen zum alten Bundesdatenschutzgesetz (BDSG) Bußgelder Privacy by design Datenschutzaufsichtsbehörden können Bußgelder zwischen 2 bis 4% des jährlichen weltweiten Umsatzes einfordern Stark erweiterte Informationspflichten bei der Erhebung von personenbezogenen Daten Frühzeitige Integration von Datenschutzanforderungen in die Konzeption von Entwicklungs- und Changeprozessen Betroffenenrechte Erweiterung der Betroffenenrechte auf das Recht auf Übertragbarkeit Informationspflichten Datenschutz- Folgenabschätzung Benachrichtigung bei Vorfällen Schutzmaßnahmen Nachfolger der Vorabkontrolle mit ergänzenden Anforderungen Datenschutzvorfälle müssen innerhalb von 72 Stunden an die Aufsichtsbehörden gemeldet werden Berücksichtigung des Stands der Technik und Pflicht zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit Privacy by default Datenschutzfreundliche Vorkonfiguration von Produkten Anforderungen an Auftragsverarbeiter Einwilligungen Rechenschaftspflichten Erweiterung der vertraglichen Anforderungen an Dienstleister mit Zugriffen auf personenbezogene Daten Einführung Nachweispflicht und Einwilligungen für Personen unter 16 nur mit Zustimmung Sorgeberechtigte Das Unternehmen ist verpflichtet die rechtmäßige Verarbeitung nachweisen zu können 5
Datenschutzmanagement betrifft eine Vielzahl von Ebenen in Unternehmen Strategie Organisation und Verantwortung Policies & Prozesse Kommunikation, Training, Awareness Datentransfers Audit en Datenschutzfolgenabschätzung compliance Audit und Zertifizierung Verfahrensverzeichnis Datenmanagement Privacy by Design Ebene 1 Strategie Die Festlegung der Datenschutz-Strategie bestimmt die Ausrichtung und den Risikoappetit des Managements, an dem das Unternehmen seinen Datenschutz ausrichtet. Ebene 2 Organisation und Verantwortung Für die effektive Umsetzung der Datenschutzstrategie ist eine angemessene und multidisziplinäre Datenschutzorganisation notwendig. Das beinhaltet die Rolle der Fachseiten, ebenso wie die des Datenschutzbeauftragten und von Datenschutzkoordinatoren. Ebene 3 Policies, Richtlinien & Datenübermittlung Ein umfassendes Policy Framework mit bedarfsgerechten Richtlinien und Arbeitsanweisungen zum Umgang mit personenbezogenen Daten ist die Grundlage für die Operationalisierung der rechtlichen Anforderungen im Unternehmen. Ebene 4 Kommunikation, Training & Awareness Awareness und Kommunikationsmaßnahmen im Unternehmen stellen sicher, dass Mitarbeiter die Regelungen im Zusammenhang mit Datenschutz kennen und anwenden können. Ebene 5 Datenschutzprozesse Die Einführung von Datenschutzprozessen stellt sicher, dass Datenschutzanforderungen direkt in der Produkt und Service-Entwicklung berücksichtigt werden (Privacy by Design). Verarbeitungstätigkeiten mit hohem Risiko werden über Datenschutz-Folgenabschätzungen erkannt und bewertet. Darüber hinaus stellen regelmäßige Audits einen wesentlichen Bestandteil für die Überwachung und kontinuierliche Verbesserung dar. Ebene 6 Verfahrensverzeichnis Ein Verzeichnis von Verarbeitungstätigkeiten ist die Informationsbasis und ein verpflichtendes Element der DSGVO gem. Art. 30. 6
Übersicht der Kernanforderungen an Unternehmen Prinzipien Rechtmäßigkeit und Transparenz Zweckbindung Datenminimierung Richtigkeit Befristung der Speicherung Rechenschaftspflicht Datenschutzfolgenabschätzungen Kern- Anforderungen Datenlöschung Third Party Management Privacy-by-Design/-by Default Sicherheit der Verarbeitung Management von Datenschutzvorfällen Betroffenenrechte Einwilligungen und Datenschutzinformationen Datenschutzmanagementsystem Grundlage Verzeichnis von Verarbeitungstätigkeiten Datenschutz beauftragter Beratung, Sensibilisierung, Schulung Überwachung und Zusammenarbeit mit der Datenschutzaufsichtsbehörde 7
Wichtige Erfolgsfaktoren für die Umsetzung Projektstruktur GDPR Umsetzung als Transformationsprojekt aufsetzen Anforderungen können nicht nebenbei im Tagesgeschäft umgesetzt werden. Spezifische Arbeitspakete und Anforderungen Rechtliche Vorgaben auf spezifische Anforderungen an die Organisation, Prozesse und IT-Systeme herunterbrechen Interpretationsspielräume führen zu Unsicherheit. Begrenzte Ressourcen und Zeit Risiko-orientierte Priorisierung von Arbeitspaketen Verfügbarkeit von ausreichenden Ressourcen mit Datenschutzkenntnissen und Umsetzungszeitraum sind begrenzt. 8
Kontakt Stefan Buchholz Director Cyber Risk Services stbuchholz@deloitte.de Phone: +49 221 97324307 Mobile: +49 151 5807 1774 9