DSGVO und DSG-Revision

Ähnliche Dokumente
Datenschutz- Grundverordnung 2016/679 DS-GVO

Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer


DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.


Datenschutz Grundverordnung (DSGVO) DATENSCHUTZ IST KEIN LUXUS, SONDERN PFLICHT

Technische und organisatorische Maßnahmen

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Neues Datenschutzrecht umsetzen Stichtag

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Leitlinie zur Informationssicherheit

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) Inhalt

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Technische und organisatorische Maÿnahmen

DATENSCHUTZ in der Praxis

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Datenschutz Management System

Checkliste zur Datenschutzgrundverordnung

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Die Datenschutzgruppe

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Cloud und Datenschutz

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

DSGVO FACTSHEET STAND: MAI 2018

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

EU-DATENSCHUTZ-GRUNDVERORDNUNG. Vereinbarung. Auftragsverarbeitung nach Art 28 DSGVO

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Wie muss ich mit meinen Daten umgehen? Datenschutz in der Praxis für EPU und KMU

Datenschutzgrundverordnung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Newsletter EU-Datenschutz-Grundverordnung Nr. 12

Sie wollen ein Unternehmen gründen, das Kontakt zu Endkunden hat? Dann sollten Sie bezüglich des Datenschutzes folgendes beachten:

Newsletter EU-Datenschutz- Grundverordnung Nr. 13 Datenschutz für Existenzgründer

EU-Datenschutz- Grundverordnung

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

DSGVO. Datenschutz - Grundverordnung ECM / CRM / PM / EDB / ERP / PPS / PLM. manage your process DSGVO

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

MUSTER 4 Technische und organisatorische Maßnahmen

DSGVO-Webinar. Mit Johannes Schrader, Stefan Wolfarth, Reidar Janssen & Jan Meyer.

IV. Der technisch-organisatorische Datenschutz

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Das Unternehmen. 11 MitarbeiterInnen. seit 1996 am Markt tätig. IT-Systemhaus. Internet Service Provider. motiviert flexibel leistungsfähig

Datenschutzgrundverordnung (EU DS-GVO) anhand von praktischen Beispielen

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

DSGVO und DSG-Revision Datenschutz im Wandel. GVD-Anlass vom 28. Juni 2018 Zacharias Zwahlen, Rechtsanwalt

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Die Europäische Datenschutz- Grundverordnung. Schulung am

Behördliche Datenschutzbeauftragte des Staatsministeriums für Kultus Straße, Hausnummer: Carolaplatz 1 Postleitzahl: 01097

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

IBAN: DE BIC: BYLADEM1WEN

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

Datensicherheit. Vorlesung 6: Wintersemester 2018/2019 h_da. Heiko Weber, Lehrbeauftragter

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

DATENSCHUTZ DIE WORKSHOP-REIHE

Auftragsverarbeitervereinbarung

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO)

Technische und organisatorische Maßnahmen

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Datenschutz im Luftsportverein

Datenschutzgrundverordnung DSGVO

Die EU-Datenschutzgrundverordnung

Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU-Datenschutz- Grundverordnung (DSGVO) (Auftragsverarbeiter) Inhalt

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

EU-Datenschutz- Grundverordnung

DSGVO für Einkaufsstraßenvereine. keep it small and

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

Transkript:

DSGVO und DSG-Revision Technische Umsetzung Roger Lehmann, Lehmann Computer Betrieblicher Datenschutzverantwortlicher

Agenda Datensicherheit / Datenschutz Was sind personenbezogene Daten / Arten TOMs (Technische und Organisatorische Massnahmen) Privacy-by-design, Privacy-by-default Verzeichnis von Verarbeitungstätigkeiten Datenschutz-Folgeabschätzung (DS-FA) Datenschutzbeauftragter / Vertreter in der EU Anpassungen auf der Homepage / Datenschutzerklärung

Datensicherheit / Datenschutz Die Ähnlichkeit der beiden Wörter könnte dazu verleiten, anzunehmen, es handle sich um Synonyme. Aber das Gegenteil ist der Fall! Datensicherheit / Toms Als Datensicherheit oder globaler noch Informationssicherheit bezeichnet man die Eigenschaften von IT-Systemen die die Vertraulichkeit, Verfügbarkeit und die Integrität der Informationen sicherstellen. Datenschutz Der Datenschutz bezieht sich nicht auf die vorhanden Daten sondern auf deren Ursprung. Es geht im wesentlichen um das Recht, selbst zu bestimmen wie mit den eigenen, persönlichen Daten umgegangen werden soll. Fazit Die Datensicherheit kann den Datenschutz zwar unterstützen indem personenbezogene Daten vor unberechtigtem Zugriff geschützt werden. Aber gerade Backups und Speicherung von Daten in Could-Speichern bergen für den Datenschutz ein enormes Risiko und damit Missbrauchspotetial.

Was sind personenbezogene Daten / Arten / Datenschutz Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und dadurch Rückschlüsse auf diese Person oder ihre Persönlichkeit erlauben, zum Beispiel: Name und Geburtsdatum Kontaktdaten wie Postanschrift, E-Mail-Adresse, Telefonnummer Körperliche Merkmale, z.b. Grösse, Gewicht, Haarfarbe Beziehungen wie Verwandtschaft, Freundschaften oder der Arbeitgeber Bankverbindungen Besonders schützenswerte personenbezogene Daten. Die Verarbeitung dieser Daten unterliegt strengen Voraussetzungen. Darunter fallen zum Beispiel: ethnische Herkunft politische, religiöse und weltanschauliche Meinungen Gesundheitsdaten Daten zum Sexualleben biometrische Daten zur eindeutigen Identifizierung einer Person

TOMs (Technische und Organisatorische Massnahmen) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden Alarmanlage Passwortverfahren Berechtigungskonzepte Verschlüsselung / VPN Protokollierung / Protokollauswertungssysteme Vertragsgestaltung bei ADV Datensicherung /Backup / Firewall / Virenschutz Mandanten / Trennung der Systeme

Typische Schwachstellen? / Datensicherheit Papierentsorgung & Abfalleimer USB-Sticks, Speicherkarten & Datenträger Mobile Endgeräte Kommunikation & email Datensicherung & Datensicherheit Rechtesystem

Blick vom 24.06.2018

Fehler / Datensicherheit Zugang zu Betriebsräumen Aussagen am Telefon Offener Umgang mit vertraulichen Unterlagen Datenschutz nur im Büro (vs. Reise, HomeOffice, ) Schwache Passwörter & Weitergabe Schlecht gewartete Hard- und Software

Angriffszenarien / Problematik Big-Data Intern (Social Hacking, Datenklau,... > 90% aller Fälle!) Trojaner, Phishing, Viren, Erpressung Hardware-Fehler Kombinationen von Attributen wie Geburtsdatum, Geschlecht und Postleitzahl: US- Wissenschaftler stellten fest, dass sich vier Fünftel der amerikanischen Bevölkerung allein mittels dieser drei Merkmale nachträglich identifizieren lassen. Aus durchschnittlich 68 Facebook-Likes eines Users kann vorhergesagt werden, welche Hautfarbe er hat (95-prozentige Treffsicherheit), ob er homosexuell ist (88-prozentige Wahrscheinlichkeit), und ob er Demokrat oder Republikaner ist (85 Prozent). 70 Likes reichen, um die Menschenkenntnis eines Freundes zu überbieten, 150 um die der Eltern, mit 300 Likes kann die Maschine das Verhalten einer Person eindeutiger vorhersagen als deren Partner

Privacy-by-Design Privacy by Design bedeutet Datenschutz durch Technik und soll sicherstellen, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Technik ist dann so angelegt, dass die Privatsphäre von NutzerInnen geschützt wird und, dass AnwenderInnen Kontrolle über die eigenen Informationen haben.

Privacy-by-Default Privacy by Default heißt übersetzt Datenschutz durch datenschutzfreundliche Voreinstellungen und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden.

Wo stehe ich im Moment? Ist-Stand kennen! - Datenschutzanalyse - Datenschutzkette prüfen: wo sind und wer arbeitet mit meinen Daten?

Wohin will ich? - Datenschutzniveau definieren: - Was will ich umsetzen? - Wieviel benötige ich / will ich mir leisten? - Welches Risiko bin ich bereit einzugehen? - Betriebswirtschaftliche Betrachtung? - Soll-Konzept erarbeiten - Bedarf Datenschutzbeauftragter feststellen

Was sollte ich unbedingt tun? Dokumente prüfen! - Impressum - Datenschutzhinweise - Datenschutzerklärungen - AGB - Mitarbeiterverträge - Datenschutzordner -...

Was sollte ich unbedingt tun? Technik prüfen! TOMS - IT, EDV - Externe Zugänge, VPN, Verschlüsselungen - CRM, Dokumentenmanagement, Buchhaltung, HR - Kommunikation: Telefon, email, Messenger - Büro- und Ablauforganisation - Papier: Druck & Entsorgung -...

OK, ist mir aber alles zu viel und zu teuer... Risikomanagement - Betriebswirtschaftlichen Nutzen erkennen - Große Risiken vermeiden - Kleine Risiken akzeptieren Unternehmerrisiko User Experience

Pflichten des Managements nach DSGVO - Datenschutzleitlinien erstellen - Datenschutz-Management-System installieren - Technische und organisatorische Maßnahmen ergreifen - Privacy-by-design, Privacy-by-default - Zusammenarbeit mit Aufsichtsbehörden - Meldeverfahren installieren - Mitarbeiter schulen - Regelmäßige Bewertung und Überprüfung der Maßnahmen - Dokumentation

Folientitel hinzufügen 3

Verzeichnis von Verarbeitungstätigkeiten Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: - den Namen und die Kontaktdaten des Verantwortlichen - die Zwecke der Verarbeitung - eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenb. Daten

Datenschutz Risiko- Folgeabschätzung

Datenschutzbeauftragten / Vertreter in der EU Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 besteht.

Datenschutzbeauftragten / Vertreter in der EU Der DSGVO unterliegende Organisationen haben einen Vertreter mit Sitz in der EU zu ernennen. Wenn betroffenen Personen in der Union Waren od. Dienstleistungen angeboten werden.

Homepage / Datenschutzerklärung Was Sie in Ihrer Datenschutzerklärung angeben müssen 1. Für welchen Zweck Sie die Daten verwenden. Webseitenanalyse, Newsletter,... 2. Kontaktdaten des Verantwortlichen oder Vertreters Name, E-Mail-Adresse, Telefon,... 3. Die Rechtsgrundlage Vertragserfüllung, Einwilligung, berechtigtes Interesse,... 4. Ob Sie die Daten auch an Dritte übermitteln Cloud Speicher, Newsletter-Anbieter, Steuerberater, IT-Provider,.. 5. Ob Sie die Daten an Empfänger außerhalb der EU übermitteln und mit welchen Garantien, die Sicherheit der Daten gewährleistet wird Privacy Shield, Corporate Binding Rules,...

Zusammenfassung - Informationspflicht / Dokumentationspflicht / Nachweispflicht - Daten müssen angemessen geschützt werden - Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden - "Privacy by design" und "Privacy by default" garantieren - Einen Vertreter in der EU benennen - Ein Verzeichnis der Verarbeitungstätigkeiten erstellen - Verletzungen des Datenschutzes an die Aufsichtsbehörde melden - Eine Datenschutz-Folgenabschätzung durchführen

Links Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) https://www.lda.bayern.de/de/index.html Gesellschaft für Datenschutz und Datensicherheit https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Fragen

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback