IT Sicherheit Rechtlicher Rahmen und Risikomanagement. bayme vbm / TÜV Süd IT-Sicherheit ist Chefsache 6. Dezember 2016, München

Ähnliche Dokumente
Countdown zur EU-Datenschutz-Grundverordnung: Best Practices aus zahlreichen Umsetzungsprojekten

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Die Europäische Datenschutz- Grundverordnung. Schulung am

Kurzüberblick und Zeitplan

GDPR und das deutsche Datenschutzrecht

Die Datenschutzgrundverordnung

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

EU-Datenschutz- Grundverordnung

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Deutsches Forschungsnetz

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

EU-Datenschutz- Grundverordnung

DATENSCHUTZ in der Praxis

DATENSCHUTZ DIE WORKSHOP-REIHE

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Neues Datenschutzrecht umsetzen Stichtag

EU Datenschutz-Grundverordnung

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.


DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

zum Security Breakfast bei

Checkliste zur Datenschutzgrundverordnung

Neues Datenschutzrecht umsetzen Stichtag

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

REFERENTIN. Die EU-DSGVO was steht drin?

EU-Datenschutz-Grundverordnung: Start

Aktueller Rechtsstand im Datenschutzrecht Struktur der DS-GVO

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

Datenschutz. Vortrag

Die neue Grundverordnung des europäischen Datenschutzes

Neue Meldepflichten bei Datenschutzverstößen

Die Ernennung eines Datenschutzbeauftragten

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Datenschutz. Die DSGVO und was sie von uns will

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Die kommende Sanktionspraxis der Datenschutz-Aufsicht Vom BDSG zur Europäischen Datenschutz-Grundverordnung. LfDI Dr. Stefan Brink 26.

Das neue Datenschutzrecht - Neue Anforderungen für Unternehmen

Startschuss DSGVO: Was muss ich wissen?

Die Datenschutz-Grundverordnung (DSGVO)

Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

BvD. Management-Summary. Überblick in 10 Schritten

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

EU-Datenschutzgrundverordnung

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Johannes Landvogt Technologischer Datenschutz / BfDI. 22. Cyber-Sicherheits-Tag 16. Mai 2018 Düsseldorf

Datenschutzrecht im Verein Sind Sie für die neue Datenschutzgrundverordnung gewappnet?

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Europäische Datenschutz-Grundverordnung

IT-Sicherheit und die Datenschutzgrundverordnung

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

Datenschutzerklärung für Bewerbungsverfahren

Verzeichnis der Verarbeitungstätigkeiten

Ein kurzer Blick auf die EU-Datenschutzgrundverordnung (DSGVO) Was bleibt, was ändert sich?

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

Die Datenschutzgrundverordnung verändert alles

Fragen und Antworten zur EU-Datenschutz-Grundverordnung. Deutsch-Französischer Tag der IT-Sicherheit 14. März 2018

Unternehmertag Digitale Woche Kiel. Egal, was Du machst Sicherheit gehört dazu. Sicherheit/ Datenschutz muss keine Bremse für den Fortschritt sein

Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Grundsätze der DSGVO im Hinblick auf sciebo. Dr. Dominik Rudolph, WWU Münster

EU-Datenschutz-GVO - Was kommt da auf uns zu?

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

DATENSCHUTZERKLÄRUNG der Firma Chugai Pharma Germany GmbH zu Bewerbungen

Die EU Datenschutz-Grundverordnung - Anpassungsbedarf für Unternehmen

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Datenschutz und die EU-Datenschutzgrundverordnung

IT-Sicherheit am. Herzlich Willkommen. Zur Veranstaltung. Autor: Rainer Aigner Stand: AGENDA DSGVO. Neue Bußgeldregelungen

DSGVO FACTSHEET STAND: MAI 2018

Datenschutzinformationen für Kunden und Interessenten der ML Gruppe

Die Datenschutzgrundverordnung

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen

WPK aktuell. Mitgliederinformation

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Transkript:

www.skwschwarz.de Berlin Düsseldorf Frankfurt/Main Hamburg München IT Sicherheit Rechtlicher Rahmen und Risikomanagement bayme vbm / TÜV Süd IT-Sicherheit ist Chefsache 6. Dezember 2016, München Dr. Matthias Orthwein, LL.M. (Boston)

Berlin Düsseldorf Frankfurt/Main Hamburg München SKW Schwarz auf einen Blick Hamburg Berlin 120 Anwälte 16 Geschäftsbereiche 5 Standorte 1 Kanzlei Düsseldorf Frankfurt am Main München

Berlin Düsseldorf Frankfurt/Main Hamburg München Awards Kanzlei des Jahres 2016 für Medien & Technologie 2016 JUVE Awards Top-Wirtschaftskanzleien im Fachbereich Informationstechnologie und Telekommunikation FOCUS SPEZIAL Top-Anwälte 2016 JUVE Kanzlei des Jahres 2011 für IT- Recht Top Tier für Medien & Entertainment sowie IT-Recht Listed in WHO S WHO LEGAL 2011 JUVE Awards 2016 THE LEGAL 500 Deutschland 2016 Germany, TMT Auf den Feldern IT, Internet und E-Business ist die Sozietät ( ) hoch gelobt Law firm of the Year for Media 2016 Best Lawyers Linking Lawyers and Clients worldwide

Berlin Düsseldorf Frankfurt/Main Hamburg München 3 IT Sicherheit im geltenden deutschen Recht 2 Abs. 2 BSIG: Sicherheit in der Informationstechnik bedeutet die Einhaltung bestimmter Sicherheitsstandards IT-Standards füllen unbestimmte Rechtsbegriffe aus Standards legen Methoden zur Ermittlung des aktuellen Stands der Technik für IT-Sicherheitsmaßnahmen fest IT-Sicherheitsgesetz IT-Security als Element von Corporate Governance-Strukturen und Bestandteil des gesetzlich geforderten Risikomanagements Gesetzliche Forderungen nach IT-Security ergeben sich auch aus: Sorgfaltspflichten der Geschäftsführung ( 93 Abs. 1 AktG, 43 Abs. 1 GmbHG) Vertraglichen Pflichten Buchführungsanforderungen ( 239, 261 HGB und GoBD) Datenschutz / Datensicherheit ( 9 BDSG i.v.m. Anlage)

Berlin Düsseldorf Frankfurt/Main Hamburg München 4 Überblick über die Vorschriften der EU-DSGVO Kapitel 10 / 11: Delegierte Rechtsakte, Schlussbestimmungen Kapitel 1: Allgemeine Bestimmungen Kapitel 2: Grundsätze Kapitel 9: Vorschriften für besondere Verarbeitungen Struktur der EU-DSGVO Kapitel 3: Betroffenenrechte Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe Kapitel 4: Verantwortlicher und Auftragsverarbeiter Kapitel 6 / 7: Aufsichtsbehörden Kapitel 5: Übermittlungen in Drittländer

Berlin Düsseldorf Frankfurt/Main Hamburg München 5 EU-Datenschutzgrundverordnung EU-DSGVO 2018 Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) trat nach langen Verhandlungen nunmehr am 25. Mai 2016 in Kraft. Bis zur unmittelbaren Gültigkeit gibt es eine 2-jährige Übergangszeit, sodass die Verordnung am / ab dem 25. Mai 2018 unmittelbar geltendes und anzuwendendes Recht ist. Das derzeitige BDSG wird in der jetzigen Form keinen Bestand mehr haben. Allerdings gibt es zahlreiche sog. Öffnungsklauseln, bei denen der nationale Gesetzgeber die Pflicht oder aber die Möglichkeit hat, bestimmte Fälle zu konkretisieren oder auszugestalten. Derzeit wird an einem sogenannten Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (aktueller Entwurf vom 23.11.2016 liegt vor) gearbeitet, in dem ggf. einzelne für uns relevante Regelungen (wie z.b. 32 BDSG) erhalten bleiben. Insbesondere im Hinblick auf die Rechte der betroffenen Verbraucher (Arbeitnehmer und Kunden) und den Vorschriften zur Auftragsdatenverarbeitung liegt eine Verschärfung gegenüber den BDSG-Regelungen vor.

Berlin Düsseldorf Frankfurt/Main Hamburg München 6 1 Privacy by Design

Berlin Düsseldorf Frankfurt/Main Hamburg München 7 Privacy by Design - Ziele Schutz personenbezogener Daten so früh wie möglich in IT-Lösungen berücksichtigen Konzeption und Entwicklung muss sich bereits am Datenschutz ausrichten Voreinstellungen in Systemen sollen Datenschutz berücksichtigen Nur Verfahren einsetzen, die sicherstellen, dass ausschließlich solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden Nur Daten erheben, die für spezifische Zwecke der Verarbeitung benötigt werden Nicht mehr Daten zusammentragen und vorhalten, als unbedingt zur Zweckerreichung notwendig Speicherung nur solange wie für Zweckerfüllung notwendig Daten dürfen nur von Personen eingesehen werden, welche diese für die Zweckerreichung benötigen

Berlin Düsseldorf Frankfurt/Main Hamburg München 8 Privacy by Design - Umsetzung Bei der Entwicklung neuer Produkte muss Datenschutz Teil des Pflichten- /Lastenheftes werden Nicht nur fachliche Anforderungen an das zu entwickelnde Verfahren, Sondern auch Forderung nach sparsamer Datenerfassung und Datenspeicherung, intelligente Löschfunktionen, sicherer Zugangsschutz und ein ausgefeiltes Berechtigungssystem Beispiel Verschlüsselung Verfahren muss zunächst integrierte Verschlüsselungsfunktionen bieten oder diese müssen einfach integrierbar sein Darüber hinaus sollte Verschlüsselungsfunktion so voreingestellt sein, dass die einzelnen Nutzer möglichst automatisch personenbezogene Daten nur verschlüsselt speichern oder weiterleiten

Berlin Düsseldorf Frankfurt/Main Hamburg München 9 2 Meldepflicht bei Datenleck

Berlin Düsseldorf Frankfurt/Main Hamburg München 10 Datenlecks müssen gemeldet werden BDSG 43 BDSG Dritte erlangen illegal Kenntnis von u.a.: besonderen Daten (Krankenakte etc.) Berufsgeheimnis Bank-/Kreditkartenkonten Betroffene und Behörde unverzüglich (Praxis: ca. 48 Stunden) zu informieren Behörde auch über Gegenmaßnahmen und Ursachen zu informieren Wenn Betroffeneninformation unverhältnismäßig: öffentliche Bekanntmachung über Tageszeitung 15a TMG Gilt auch für Bestands-/Nutzungsdaten der Internet Dienstleister mit hohem Risiko für Nutzer DS-GVO Art. 33 DS-GVO Meldepflicht bei Aufsichtsbehörden über Verletzungen des Schutzes aller personenbezogenen Daten Es sei denn, Risiken für Betroffene ausgeschlossen Meldepflicht innerhalb 72 Stunden mit konkreten Informationen Zusätzlich Dokumentation der Vorfälle und Gegenmaßnahmen für die Behörde Art. 34 DS-GVO Droht hohes Risiko für die Rechte und Freiheiten natürlicher Personen (z.b. finanzielle und gesellschaftliche Schäden, Identitätsklau oder Berufsgeheimnis) Betroffene Person unverzüglich informieren, sofern kein technischer Schutz vor Risiken Anordnung: öffentliche Bekanntmachung

Berlin Düsseldorf Frankfurt/Main Hamburg München 11 3 Technisch Organisatorische Sicherheit

Berlin Düsseldorf Frankfurt/Main Hamburg München 12 Technisch Organisatorische IT Sicherheit Verantwortliche Stelle und Auftragsverarbeiter stellen durch technische und organisatorische Maßnahmen angemessenes Schutzniveau sicher (Art. 32 DS-GVO) z.b. durch Pseudonymisierung/Verschlüsselung Gewährleistung IT Sicherheit und Desaster Recovery (IT Notfallplan) Zertifizierung genügt als Nachweis Eigene Haftung des Auftragsverarbeiters statt Gesetzgeberromantik Beispiel Konsequenzen eines nicht funktionierenden Notfallkonzepts Haftung des Unternehmens: fehlendes Notfallkonzept kann Mitverschulden und damit Wegfall von Schadenersatz begründen Haftung der Unternehmensleitung: IT-Notfallkonzept ist wesentliche Geschäftsführerpflicht nur die Ausführung, nicht die Verantwortung kann delegiert werden Aufsichtsmaßnahmen: z.b. durch BaFin oder BNetzAg Höhere Refinanzierungskosten: IT-Risiken sind zentrale operationelle Risiken, unzureichende Absicherung verschlechtern Basel II-Rating Verlust von Versicherungsschutz: Unternehmen muss Versicherung über Risiken aus IT- Einsatz informieren, fehlendes Notfallkonzept kann zu Schutzwegfall aus Mitverschulden führen

Berlin Düsseldorf Frankfurt/Main Hamburg München 13 4 Haftung / Bußgelder

Berlin Düsseldorf Frankfurt/Main Hamburg München 14 Verschärfung der Bußgeldvorschriften BDSG 43 BDSG: Die Ordnungswidrigkeit kann im Fall des Abs. 1 mit einer Geldbuße bis 50.000 Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu 300.000 Euro geahndet werden Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. DS-GVO Art. 83 DS-GVO allg. Kriterien, Art. 79 Abs. 1 und 2 bis 10 Mio. Euro oder 2% des Jahresumsatzes (je nachdem was höher ist) bis 20 Mio. Euro oder 4% Jahresumsatz (je nachdem was höher ist) bei Verstoß gegen Zuverlässigkeit und Rechte der Betroffenen bei Verstoß gegen Anordnungen der Aufsichtsbehörde Pflicht zur Regelung von Sanktionen durch Mitgliedstaat

Berlin Düsseldorf Frankfurt/Main Hamburg München 15 5 Management Summary

Berlin Düsseldorf Frankfurt/Main Hamburg München 16 Management Summary Auf Unternehmen kommt zum Teil ein erheblicher Anpassungsbedarf zu Die Uhr tickt Wichtige Punkte Jetzt handeln Auftragsverarbeitung als Auftragnehmer und Auftraggeber Datenschutzfolgeabschätzung Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Erhöhter Bußgeldrahmen und Haftungsverschärfung Meldungen von Datenschutzverstößen Datenschutzbeauftragter Recht auf Vergessenwerden Weiteres Vorgehen unverzüglich Projekt aufsetzen Kick-off Meeting Schwachstellenanalyse Umsetzungsphase

Berlin Düsseldorf Frankfurt/Main Hamburg München Ansprechpartner Dr. Matthias Orthwein LL.M. (Boston), Partner SKW Schwarz Rechtsanwälte Wittelsbacherplatz 1 80333 München Kontakt T +49 89 286 40-102 F +49 89 280 94-32 E m.orthwein@skwschwarz.de Tätigkeitsbereiche IT-Recht & Digital Business Sprachen Englisch, Französisch Follow me on twitter: @M_Orthwein 2016 Dr. M. Orthwein Inhalte der Folien stellen keine Rechtsberatung dar, Vervielfältigung, Verbreitung, Übernahme (auch auszugsweise) nur mit schriftlicher Einwilligung des Autors und zu eigenen Zwecken Empfohlene Rechtsanwälte für IT und Outsourcing: fundiertes Wissen und Verhandlungsgeschick in IT-Prozessen Legal 500 Deutschland, 2016 /2017

www.skwschwarz.de Berlin Düsseldorf Frankfurt/Main Hamburg München

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback