Antworten auf die angespannte Bedrohungslage Sicherheitsstrategien für kleine und mittlere Unternehmen

Ähnliche Dokumente
Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

EU-Datenschutz- Grundverordnung

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte


Datenschutz-Richtlinie der SenVital

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

DATENSCHUTZ in der Praxis

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Die Informationspflichten der Verantwortlichen

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

PVU Energienetze GmbH, Feldstraße 27a, Perleberg, Tel.: 03876/ , Fax: 03876/ ,

DSGVO FACTSHEET STAND: MAI 2018

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Deutsches Forschungsnetz

Datenschutzgrundverordnung

- Wa s i s t j e t z t z u t u n? -

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

Informationspflichten aus Art. 13 und 14 DS-GVO

Datenschutzgrundverordnung. LAST MINUTE DATENSCHUTZ E-BUSINESS DAY, iwelt/ihk, EIBELSTADT AM

Neues Datenschutzrecht umsetzen Stichtag

Neues Datenschutzrecht umsetzen Stichtag

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

ias Internationale Assekuranz-Sonderrisiken GmbH & Co. KG Seite 1

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

Verzeichnis der Verarbeitungstätigkeiten

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Die Europäische Datenschutz- Grundverordnung. Schulung am

Das neue Datenschutzrecht. 19. September 2018

EU-Datenschutz- Grundverordnung

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Ich (Name) erkläre mich mit der Datenerhebung unten aufgeführter Daten einverstanden:

Erfüllung rechtlicher Verpflichtungen (z. B. wegen handels- oder steuerrechtlicher Vorgaben) auf Grundlage von Art. 6 Abs. 1 lit. c) DS-GVO.

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Information zur Verarbeitung Ihrer Bewerberdaten

Startschuss DSGVO: Was muss ich wissen?

Dokumentationspflichten im neuen Datenschutzrecht

3. Verarbeitungszwecke und Rechtsgrundlagen (Art. 13/14 Abs. 1 c) DSGVO) 4. Berechtigte Interessen (Art. 13 Abs. 1 d)/14 Abs.

Bundesverband der deutschen Süßwarenindustrie (BDSI) e.v.

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Dokumentation der Verarbeitungstätigkeit

Fragebogen zur Umsetzung der EU-DSGVO bis zum 25. Mai 2018

Gesetzlich vertreten durch: Matthias Kellermann (CEO), Michael Wagner (CTO)

Datenschutzgrundverordnung

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Das Unternehmen. 11 MitarbeiterInnen. seit 1996 am Markt tätig. IT-Systemhaus. Internet Service Provider. motiviert flexibel leistungsfähig

Datenschutzinformation für Bewerber

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Datenschutz. Die DSGVO und was sie von uns will

Datenschutz 2.0 Was birgt die Zukunft?

Information zur Verarbeitung Ihrer personenbezogenen Daten als Bewerber bei der NIEHOFF + PARTNER GRUPPE

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Datenschutzhinweise für die Aktionärinnen und Aktionäre der DNI Beteiligungen AG

der backaldrin International The Kornspitz Company GmbH gemäß Art 13 und Art 14 DSGVO

EU Datenschutz-Grundverordnung

Personenbezogene Daten

Transkript:

Antworten auf die angespannte Bedrohungslage Sicherheitsstrategien für kleine und mittlere Unternehmen 1-30

Die Herausforderung CHANCE CHAT ZUGANG BILDUNG LERNEN ENGAGEMENT DIGITAL WEICHENSTELLUNG ZUKUNFT ANFORDERUNG DIGITALE WELT INTERNET DIGITALE TEILHABE SICHERHEIT INTERNETKOMPETENZ VERANTWORTUNG SPIELE EINKOMMEN ENTWICKLUNG VERTRAUEN REGELN KINDER JUGENDLICHE ELTERN LEHRER APPS RIVATSPHÄRE CHANCE CHAT ZUGANG Facebook Weblogs WhatsApp LinkedIn Die Herausforderung Verknüpfung der Medien durch die Internetnutzung E-Mail Twitter etc. APPS RIVATSPHÄRE 2-30

Zur Person Bedrohung Was ist neu durch die EU-DSGVO? Was bedeutet dies für den Mittelstand und kleine Unternehmen? Wie kann man diese Risiken managen? Zusammenfassung Agenda 3-30

Dipl.-Ing. Betriebsprojektierung Organisationsentwicklung 1983 erstes Testat im Geheimnis- und Datenschutz Seit 1984 Projektmanager in der IT, Großhandel, Bauindustrie und Maschinenbau Aufbau und Leitung von EDV und RZ-Betrieb 10 Jahre Vertriebsleiter IT- Sicherheit Dozent für integrierte Managementsysteme Datenschutzbeauftragter (TÜV) Datenschutzauditor (TÜV) Auditor IT-SMS und ISMS Zur Person 4-30

Bedrohungen? 5-30

Bedrohungen? 6-30

Bedrohungen? 7-30

Bedrohungen? 8-30

DS-GVO - Die Verordnung ist in Kraft getreten. Betrieblicher Datenschutzbeauftragter Ein betrieblicher Datenschutzbeauftragter muss grundsätzlich bestellt werden, wenn: Soweit in der Regel mindestens zehn Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt werden. Wenn eine Datenschutz-Folgenabschätzung vorgeschrieben ist, z. B. bei der Verarbeitung von sensitiven Daten mit hohem Gefahrenpotential für den Betroffen. Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung, oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. Bedrohungen? 9-30

DS-GVO - Die Verordnung ist in Kraft getreten. Verantwortlich und persönlich haftend ist immer der Geschäftsführer, auch bei einer Auftragsdatenverarbeitung! Auch die Dienstleister in der Kette z. B. bei AVV müssen einen DSB benennen und vorgeschriebene Dokumentationspflichten erfüllen. Der DSB ist der zuständigen Aufsichtsbehörde zu benennen. Bedrohungen? 10-30

DS-GVO - Herausforderungen? 1. Recht auf Vergessenwerden 2. Verbandsklagerecht 3. Daten-Portabilität 4. Marktortprinzip 5. Datensicherheit als Bestandteil des Datenschutzes 6. Drastische Strafen 7. Umkehr der Beweislast 8. Verpflichtung zur Transparenz 9. Umfangreiche Informationspflichten 10. Pflicht zur Schaffung eines Datenschutzmanagements 11. Die Rolle der Audits Was ist neu? 11-30

1. Recht auf Vergessenwerden = Löschkonzept Recht auf Löschung (Art. 17) Betroffene Person hat das Recht auf Löschung, wenn: Daten nicht mehr notwendig Einwilligung widerrufen und keine Rechtsgrundlage besteht keine berechtigten Gründe für weitere Verarbeitung vorliegen unrechtmäßig verarbeitet wurden Löschung, durch EU- oder Mitgliedsstaaten-Recht erforderlich Unter Einwilligung eines Kindes unter 16 erhoben wurde Herausforderung: das Löschkonzept Was ist neu? Quelle: http://www.scoopnest.com/de 12-30

2. Verbandsklagerecht Verbandsklagerecht Art. 73 ff. (z.b. durch Verbraucherschützer) Datenverarbeitende Unternehmen können verklagt werden. Der Verband kann ab einer Person vor Gericht und bei Datenschutzaufsichtsbehörden die Person vertreten. Betroffene haben das Recht einen - auch immateriellen - Schadensersatz zu verlangen. Das trifft Unternehmen mit sehr hohen Geldbußen aber auch hohe private Schadensersatzforderungen an die GF. Was ist neu? 13-30

3. Daten-Portabilität Datenportabilität Art. 20 Auf Anfrage müssen Sie den betroffenen Personen die von ihnen verarbeiteten Daten elektronisch zur Verfügung stellen, wenn sie deren Daten automatisiert verarbeiten. Die Daten sind in nutzbarer Format zu übergeben oder direkt an den neuen Verarbeiter zu übermitteln. Was ist neu? 14-30

4. Marktortprinzip a) Cloud Computing mit EU-Dienstleistern kein Problem Vorsicht bei US-Anbietern: fehlende Garantien, z. B. nach wie vor fehlender Rechtsbehelf gegen US-Behörden für EU-Bürger derzeit nur Standarddatenschutzklauseln möglich (wie lange noch?) Lösung: Garantien für die Verarbeitung in Drittländern müssen geleistet und nachgewiesen werden. Das bedeutet: Aufwand und Know-how Was ist neu? 15-30

4. Marktortprinzip b) Soziale Medien Auch wenn Ihr Unternehmen nur eine einfache Fanpage betreibt, hat die EU-DSGVO möglicherweise Auswirkungen. Der Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche" könnte dazu führen, dass Ihr Unternehmen und Facebook als eben diese angesehen werden und Ihr Unternehmen damit für die Verarbeitungen von Facebook gegenüber den betroffenen Personen mit verantwortlich ist und in der Gesamtschuld steht. Lösung: Garantien für die Verarbeitung in Drittländern müssen geleistet und nachgewiesen werden. Das bedeutet: Aufwand und Know-how Was ist neu? 16-30

5. Datensicherheit als Bestandteil des Datenschutzes Das europäische Recht fordert ein Zusammenwachsen von Datensicherheit und Datenschutz. Dieser Gedanke ist nicht völlig neu, denn das BDSG fordert ja auch schon die Datenintegrität, -vertraulichkeit und -verfügbarkeit. Im europäischen Recht wird dieser Aspekt aber deutlich stärker gewichtet. Insgesamt wird Datenschutz zu einem Prozess, der eng mit der Prozesslandschaft des Unternehmens verzahnt ist. Dafür ist ein Nachweis und eine Dokumentation erforderlich. Was ist neu? 17-30

6. Drastische Strafen Das neue Datenschutzrecht sagt, die Strafen müssen in jedem Fall wirksam, verhältnismäßig (zur Größe des Unternehmens) und abschreckend sein. Das kann für den Manager/ Inhaber Privatinsolvenz bedeuten. Was ist neu? 18-30

7. Umkehr der Beweislast (Möglicherweise die gravierendste Änderung) In Zukunft müssen die Unternehmen zu jeder Zeit in der Lage sein nachzuweisen, dass alle erforderlichen Maßnahmen getroffen wurden um die personenbezogenen Daten zu schützen. Allein das bedeutet einen deutlich höheren Aufwand in der Handhabung und Dokumentation von Prozessen und Software durch revisionssichere Dokumentation und Audit(s). Was ist neu? 19-30

8. Verpflichtung zur Transparenz Erweiterte Transparenzpflichten Art. 11 ff. Die Datenschutzerklärungen über vorgenommene Datenverarbeitung müssen darin aufführen, wie die betroffenen Personen ihre Rechte, z. B. auf Auskunft oder Löschung, ausüben können. Die Datenschutzerklärung muss allgemein verständlich und einfach zugänglich sein. Art. 12 DSGVO sieht vor, dass informiert werden muss, wie lange die verarbeiteten Daten gespeichert werden. Gem. Art. 13a DSGVO müssen die Datenverarbeiter die Betroffenen durch eine standardisierte Tabelle darüber informieren, wie sie mit personenbezogenen Daten verfahren. Z.B. Symbolik Info über: - ob sie personenbezogene Daten an Dritte übermittelt - und/ oder in unverschlüsselter Form aufbewahren. Was ist neu? 20-30

9. Umfangreiche Informationspflichten (Auszug) Informationspflicht bei Erhebung der Daten bei der und nicht bei der betroffenen Person (Art. 13 und 14) Kontaktdaten des für die Verarbeitung Verantwortlichen Gesetzlicher Vertreter Falls vorhanden: Datenschutzbeauftragter Zwecke Rechtsgrundlage der Verarbeitung Ggfs. Nennung der berechtigten Interessen, die verfolgt werden Ggfs. Empfänger oder Kategorien von Empfängern Ggfs. Drittländer oder internationale Organisationen, an die Daten übermittelt werden Was ist neu? 21-30

10. Schaffung eines Datenschutzmanagements Beschreibung der Datenschutzorganisation als Managementsystem Management der technischen und organisatorischen Maßnahmen (Festlegung, Umsetzung, Evaluierung, ggfs. Aktualisierung) Ein angemessenes Schutzniveau muss vom Verarbeiter und vom Auftragsverarbeiter geschaffen werden, unter Berücksichtigung: des Stands der Technik der Implementierungskosten der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Eintrittswahrscheinlichkeit der Schwere des Risikos Was ist neu? 22-30

11. Die Rolle der Audits Schon jetzt verlangen immer mehr Auftraggeber von den Auftragsdatenverarbeitern ein Audit oder Zertifikat. Mit der EU-DSGVO wird durch das forcieren des Risikomanagements die Bedeutung erheblich angehoben. Was ist neu? 23-30

Schlussfolgerungen für Unternehmer Unternehmer sein heißt: permanent Risiken und Chancen zu beurteilen und entsprechend zu handeln. Wer meint, so heiß wird es schon nicht gegessen werden, geht ganz andere Risiken als bisher ein! Betroffen sind alle Unternehmen, auch Einzelfirmen. Der Datenschutz muss in das Risikomanagement einbezogen werden. Was bedeutet dieses? 24-30

Risikomanagement und Datenschutzmanagementsysteme Hilfsmittel: Analyse der Risiken. Wenn Sie selbst nicht in dem Thema stecken, holen Sie sich Hilfe von einer Fachkraft für die Risikobewertung und den Maßnahmenkatalog. In die Risikobewertung ist die Angemessenheit und der Stand der Technik einzufließen. Risiken managen 25-30

Risikomanagement und Datenschutzmanagementsysteme Lösungsansatz 1 Checklisten und Leitfäden der Aufsichtsbehörden / DSK Risiken managen 26-30

Risikomanagement und Datenschutzmanagementsysteme Lösungsansatz 2 Risiken managen 27-30

Risikomanagement und Datenschutzmanagementsysteme Lösungsansatz 3 Risiken managen 28-30

1. Das Risiko des Datenschutzes ist neu zu bewerten da es existenzbedrohend sein kann. 2. Holen Sie sich Hilfe für die Risikoanalyse und Risikobewertung wenn das erforderliche Know-how nicht im Haus ist. 3. Betrachten Sie Datenschutz und Datensicherheit als eine Einheit. Zusammenfassung 29-30

Danke für Ihre Aufmerksamkeit! 30-30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback