Die neue EU-Datenschutz- Grundverordnung EU-DSGVO
Agenda Kurzvorstellung Verimax Einführung in die neue Datenschutzgesetzgebung Überblick über Ihre zukünftigen Aufgaben Methoden und Ansätze zur Umsetzung der neuen Anforderungen in Ihrem Unternehmen Blatt 2
Vorstellung Verimax GmbH
Beratungsfelder Verimax Kombination von Know-how der Gebiete Datenschutz, Kryptographie, IT-Sicherheit und ISO 27001 Blatt 4
Kontakt Webseite E-Mail mail@verimax.de Telefon +49 89 8006578-0 Post Verimax GmbH, Warndtstraße115, 66127 Saarbrücken Referent Stefan Staub Blatt 5
Autor: Staub Blatt 6
Der DSB bisher BDSG -alt
BDSG DSB 4f BDSG Beauftragter für den Datenschutz 9+/20er Regel (Bestellpflicht) Zuverlässigkeit und Fachkunde Direkte (unmittelbare) Stellung unter / neben der Geschäftsführung Weisungsfreiheit vs. (fehlende) Umsetzungskompetenz Budgetkompetenz Geheimnisträger Blatt 8
BDSG DSB 4g Aufgaben des Beauftragten für den Datenschutz Hinwirkungspflicht Schulungspflicht Führen des VVZ Vorabkontrolle Anfragen bei der AB möglich (/notwendig) --------------------------------- Direkte Kommunikation zw. Betroffenen und DSB Blatt 9
Blatt 10
Der DSB ab 25.5.18 EU-DSGVO DSAnpUG-EU
Blatt 12
EU-DSGVO DSB Abschnitt 4 Datenschutzbeauftragter Artikel 37 Benennung eines Datenschutzbeauftragten Kerntätigkeit beinhaltet umfangreiche und systematische Überwachung Konzern-DSB Fachkunde in Abh. Mit den Aufgaben nach Art. 39 Meldung des DSB an Aufsichtsbehörde / Veröffentlichung der Kontaktdaten Blatt 13
EU-DSGVO DSB Abschnitt 4 Datenschutzbeauftragter Artikel 38 Stellung des Datenschutzbeauftragten Frühzeitige Einbindung (sic!) Unterstützung durch Resoucen durch den Verantworltichen Weisungsfreiheit Bericht an die höchste Managementebene Geheimhaltung / Vertraulichkeit Erwähnung des Interessenkonfliktes Blatt 14
EU-DSGVO DSB 1/2 Abschnitt 4 Datenschutzbeauftragter Zumindest (sic!) Artikel 39 Aufgaben des Datenschutzbeauftragten Beratung und Schulung des Verantwortlichen und der MA Überwachung der Einhaltung der Rechtsnormen und der Strategien des Verantwortlichen zwecks Einhaltung des Datenschutzes Beratung bei der DSFA (auf Anfrage) Zusammenarbeit mit der Aufsichtsbehörde Blatt 15
EU-DSGVO DSB 2/2 Abschnitt 4 Datenschutzbeauftragter Zumindest (sic!) Artikel 39 Aufgaben des Datenschutzbeauftragten Anlaufstelle für die AB bzgl. Fragen, insbes. bei der Konsultationsphase der DSFA Riskoorientierter Aufgabenansatz (s. Resourcen) Blatt 16
BDSG-neu DSB 38 Datenschutzbeauftragte nichtöffentlicher Stellen 10+ Bestellregel Bei Voraussetzungen der DSFA und Adresshandel ist immer ein DSB zu bestellen! Blatt 17
Überblick über die zukünftigen Aufgaben EU-DSGVO
Neue Situation EU-DSGVO Übersicht: Dokumentationspflichten Privacy by Design und Privacy by Default Auftragsverarbeiter Informationspflichten Betroffenenrechte Technische und organisatorische Maßnahmen Einwilligungen Datenschutzmanagementsystem Risikoansatz / Risikomanagement Datenschutzverletzungen Zertifizierungen Kleines Konzernprivileg Blatt 19
Neue Situation EU-DSGVO Dokumentationspflichten / Verfahrensverzeichnis (Art. 30 EU-DSGVO) Durch den Risikoansatz wird bspw. auch die Dokumentationspflicht erhöht VVZ führt die verantwortliche Stelle Ab 250 Mitarbeitern ist ein VVZ zu führen VVZ ist auch unter 250 Mitarbeitern zu führen wenn: Datenverarbeitung ein Risiko für die Rechte und Freiheiten von Betroffenen hat Datenverarbeitung nicht nur gelegentlich erfolgt Datenverarbeitung von besonderen Kategorien (Art. 9 Abs.1 und Art. 10 EU-DSGVO) Anpassung der bisherigen VVZ an neue Vorgaben Blatt 20
Neue Situation EU-DSGVO Privacy by Design und Privacy by Default (Art. 25 EU-DSGVO) Software / Technik muss datenschutzkonform entwickelt werden Software / Technik muss datenschutzfreundliche Voreinstellungen haben Berücksichtigung bei der Entwicklung von eigenen Apps / Webseite Berücksichtigung beim Einkauf von IT / Software EU-DSGVO befürwortet Zertifizierungen zum Nachweis Datenschutzrechtliche Belange bei Prozessänderungen sicherstellen Blatt 21
Neue Situation EU-DSGVO Auftragsverarbeiter (Art. 28 EU-DSGVO) Einbindung von Dienstleistern für personenbezogene Daten: Übersicht aller Auftragsverarbeiter Schriftliche Vereinbarungen mit allen Auftragsverarbeitern Dokumentation der Eignung des Auftragsverarbeiters Auftraggeber bleibt für die Einhaltung des Datenschutzes verantwortlich Neue Aufgaben für Auftragsverarbeiter Verzeichnis der Verarbeitungstätigkeiten für Auftraggeber führen Bereitstellung neuer technischer und organisatorischer Maßnahmen Blatt 22
Neue Situation EU-DSGVO Betroffenenrechte (Art. 17 EU-DSGVO) Recht auf Vergessenwerden Verantwortliche Stelle muss pb-daten auf Wunsch löschen Wenn bspw. Daten unrechtmäßig verarbeitet wurden Oder die Einwilligung widerrufen wird Bereits in 35 Abs. 7 BDSG vorhanden, jedoch Keine Löschung bei unverhältnismäßig hohem Aufwand EU-DSGVO keine Nennung von Ausnahmen Technische und organisatorische Maßnahmen anpassen, um Wunsch des Betroffenen nachkommen zu können Blatt 24
Neue Situation EU-DSGVO Technische und organisatorische Maßnahmen (Art. 32 EU-DSGVO) Änderung des Sprachgebrauchs 8 Gebote der Datensicherheit (BDSG) Ausweitung auf 14 Gebote der Datensicherheit (BDSG-neu) EU-DSGVO bezieht sich auf Vertraulichkeit, Integrität und Verfügbarkeit Anforderungen an technische und organisatorische Maßnahmen sind gestiegen Bspw. Pseudonymisierung und Verschlüsselung von Daten Bspw. Sicherstellung der Belastbarkeit der Systeme Bspw. Sicherstellung der Verarbeitung auf Dauer Blatt 25
Neue Situation EU-DSGVO Datenschutzmanagementsystem (Art. 24 EU-DSGVO) Nachweis zur korrekten Verarbeitung personenbezogener Daten Rechenschaftspflicht Plan Act DSMS Do Check Blatt 27
Neue Situation EU-DSGVO Risikoansatz / Risikomanagement EU-DSGVO befürwortet risikobasiertes Vorgehen Einführung der Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO) Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen DSFA deutlich tiefergehender als bisherige Vorabkontrolle Risiko nach Maßnahmenplanung: Gering, Mittel: Akzeptanz der Risiken liegt beim Topmanagement Hoch, (Sehr Hoch): Zuerst Einbezug der DS-Aufsichtsbehörde Implementierung eines DSFA-Prozesses im Unternehmen Blatt 28
Neue Situation EU-DSGVO Datenschutzverletzungen (Art. 33 EU-DSGVO) Es gibt eine Meldepflicht für alle Datenschutzverletzungen: An die Aufsichtsbehörde Innerhalb von 72 Stunden Und an die Betroffenen (mit Ausnahmen) Ausnahme: wenn ein Risiko für Rechte und Freiheiten des Betroffenen unwahrscheinlich ist Blatt 29
Blatt 40
Wir danken für Ihr Interesse!