Eine Methode zur Selbsterkenntnis?!

Ähnliche Dokumente
DAS NEUE EUROPÄISCHE DATENSCHUTZRECHT CHANCEN, RISIKEN UND NEBENWIRKUNGEN

Verzeichnis der Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Checkliste zur Datenschutzgrundverordnung

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Spezielle Sicherheitsfragen

DATENSCHUTZ in der Praxis

DATENSCHUTZ DIE WORKSHOP-REIHE

Datenschutz. Die DSGVO und was sie von uns will

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO


Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Verzeichnisführungspflicht

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Kurzüberblick und Zeitplan

Die EU-DSGVO und die anonymen Daten

REFERENTIN. Die EU-DSGVO was steht drin?

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Datenschutzreform 2018

Die Informationspflichten der Verantwortlichen

Datenschutz- Grundverordnung

Die Datenschutzgrundverordnung

EU-Datenschutz- Grundverordnung

Die Datenschutzgrundverordnung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DATENSCHUTZ IM VEREIN UND ORGANISATIONEN EU DSGVO. Jürgen Funke.

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Datenschutz- Grundverordnung 2016/679 DS-GVO

Datenschutz 2.0 Was birgt die Zukunft?

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Dr. Sybille Wünsche, Steuerberater. WJ-Themenabend: Datenschutzgrundverordnung. 1Bautzen,

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Datenschutzrecht im Verein Sind Sie für die neue Datenschutzgrundverordnung gewappnet?

Die EU-Datenschutz-Grundverordnung

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Neues Datenschutzrecht umsetzen Stichtag

Deutsches Forschungsnetz

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Die Datenschutzgrundverordnung aus Sicht des Versicherungsmaklers. RA Dr. Roland Weinrauch LL.M. (NYU)

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Die Europäische Datenschutz- Grundverordnung. Schulung am

Neues Datenschutzrecht umsetzen Stichtag

Die Datenschutz-Grundverordnung (DSGVO)

Informationen gemäß Artikel 13 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

EU-Datenschutz- Grundverordnung

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Datenschutzgrundverordnung wko.at/bstf/datenschutzimtourismus

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Eine (traditionelle) Komödie zur Informationssicherheit

Dokumentationspflichten im neuen Datenschutzrecht

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Die neue Datenschutzgrundverordnung

CYBER-RISKS VERANTWORTUNG VON UNTERNEHMEN

Ausfüllhilfe Verzeichnis von Verarbeitungstätigkeiten. Hinweis:

Mission Impossible!?

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

EU-Datenschutz- Grundverordnung

Datenschutzgrundverordnung

DIE DSGVO Das Schreckgespenst?

So machen Sie sich und Ihre Website fit für die neue DSGVO!

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Datenschutz-Richtlinie der SenVital

Anforderungen an die Dokumentation im Lichte der datenschutzrechtlichen Änderungen

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Datenschutz-Management-System

Informationen gemäß Artikel 13 Absatz 3 und Absatz 2 DSGVO aufgrund nachträglicher Zweckänderung

Die EU-Datenschutzgrundverordnung

Die zehn wichtigsten Fragen und Antworten zur Datenschutz-Grundverordnung

DATENSCHUTZ-GRUNDVERORDNUNG ERSTE ERFAHRUNGEN UND URTEILE

EU-Datenschutz-Grundverordnung: Start

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen gemäß Art. 30 Abs. 1 DSGVO

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO) Liebe Teilnehmerinnen und Teilnehmer an unseren Gewinnspielen,

DSGVO FACTSHEET STAND: MAI 2018

WPK aktuell. Mitgliederinformation

4. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Transkript:

Verarbeitungsverzeichnis Art. 30 DSGVO Eine Methode zur Selbsterkenntnis?! 09.03.2017 Gerald Spyra, LL.M. Kanzlei Spyra 1

Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die Informationssicherheit Spezialisiert auf den Informations- / Datenschutz, das Software-Medizinprodukterecht und die IT-Forensik. Externer betrieblicher Datenschutzbeauftragter Hobbyphilosoph 2

Achtung Philosophie! (1) Kennen sie diese Sätze? Γνῶθι σεαυτόν Gnṓthi seautó - Apollontempel Nosce te ipsum - (Cicero) Deutsche Übersetzung: Erkenne dich selbst Oder mit einem Wort: Selbsterkenntnis 3

Achtung Philosophie! (2) Nach Platon bedeutet Selbsterkenntnis: Das Wissen um das Nichtwissen. Daraus folgt: Nur wenn man entsprechende Selbsterkenntnis gewonnen hat und um sein Nichtwissen weiß, ist man in der Lage zu sehen, was man (zukünftig) besser machen kann / muss. Und erst wenn man Selbsterkenntnis gewonnen hat, ist man in der Lage, anderen Kenntnis zu verschaffen. Und was hat das alles nun mit Datenschutz bzw. dem Schutz von Daten zu tun? 4

Selbsterkenntnis und Transparenz beim Schutz von Daten Selbsterkenntnis hat viel mit Transparenz zu tun. Transparenz bedeutet u.a. Durchsichtigkeit. Denn erst wenn man (bei sich selber und seiner IT) durchblickt / durchsieht (Selbsterkenntnis hat), ist man in der Lage zu gewährleisten, dass die Datenverarbeitungen regelkonform abläuft. Erst dann ist man auch in der Lage, andere über die relevanten Aspekte der Datenverarbeitung zu informieren Transparenz ist deshalb eine der wesentlichen Säulen des Schutzes von Daten und des Datenschutzes, was sich auch in der Datenschutzgrundverordnung (DSGVO) zeigt. 5

Die Transparenz in der DSGVO Transparenz ist in der DSGVO einer der wesentlichen Grundprinzipien einer ordnungsgemäßen Datenverarbeitung. Oder konkret, in den Worten von Art. 5 Abs. 1 lit. a) DSGVO gesprochen: Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Amforderung ohne Grundbedingung zu benennen) Die DSGVO beinhaltet damit in Art. 5 den Programmsatz, der sich wie ein roter Faden durch die DSGVO zieht 6

Die Transparenzanforderungen in der DSGVO Transparenzanforderungen lassen sich mittel- und unmittelbar aus vielen Anforderungen der DSGVO ableiten. Ausreichende Transparenz ist z. B. notwendig, um: die Betroffenenrechte der DSGVO zu erfüllen, die von der DSGVO geforderten T O M ( adäquate / erforderliche Sicherheit ) zu treffen oder die Rechtmäßigkeit der Verarbeitung nachweisen zu können (inkl. Rechenschaftspflicht gem. Art. 5 Abs. 2). Auch das von der DSGVO geforderte Verarbeitungsverzeichnis ist eine Ausformung des Transparenzgrundsatzes. Um zu sehen, was sich diesbezüglich mit Geltung der DSGVO ändert, gilt es sich zunächst mit dem alten Verfahrensverzeichnis auseinanderzusetzen. 7

Das alte Verfahrensverzeichnis Das bzw. die alten Verfahrensverzeichnisse (öffentliches und internes) waren (mehr oder) weniger konkret im BDSG geregelt ( 4g Abs. 2). Diese standen im engen Zusammenhang mit der Meldepflicht an die Aufsichtsbehörde ( 4g, 4e BDSG). Das Nichtführen des / der Verzeichnisse war grundsätzlich nicht bußgeldbewährt. Aufgrund des nicht sehr deutlichen Gesetzeswortlauts, der nicht durchsichtigen Verweisungskette, usw., wusste man letzten Endes nicht, was man eigentlich tun musste, Daher kam es, wie es kommen musste. 8

Das alte Verfahrensverzeichnis in der Praxis Gerade beim alten Verfahrensverzeichnis gab es eine extreme Unsicherheit, denn keiner wusste (bis heute) z.b.: was alles personenbezogene Daten sein sollen und welche Verfahren, wie umfangreich beschrieben werden sollen (Microsoft Word ist kein Verfahren ;), wer Verfahrensverantwortlicher ist, wie der Begriff Verfahrensverzeichnis zu verstehen ist (ein oder zwei Verzeichnisse, ob und für was, wann die Ausnahmen (der Meldepflicht) auch für das Verfahrensverzeichnis greifen,... Kurz: Ein eigentlich sinnvolles Werkzeug wurde zum Papiertiger und hatte für viele Unternehmen nur einen geringen Mehrwert. Doch das kann sich nun mit der DSGVO ändern 9

Das neue Verarbeitungsverzeichnis Was ändert sich? Auch wenn das Konstrukt / die Idee weiterhin gleich bleibt, kommen mit der DSGVO einige wesentliche Änderungen: Grds. sind nun alle relevanten Verfahren / Tätigkeiten im Verzeichnis aufzuführen - Keine Ausnahmetatbestände (Wegfall der Meldepflicht); Das Verarbeitungsverzeichnis ist grundsätzlich für (den Verantwortlichen und) die Aufsichtsbehörde bestimmt (kein Jedermannsverzeichnis mehr); Ein Auftragsverarbeiter muss nun die Verarbeitungen für den Verantwortlichen aufführen. Das Fehlen bzw. fehlerhafte Führen des Verarbeitungsverzeichnisses ist nun bußgeldbewährt! Es ist nun auch klar geregelt, wer das Verarbeitungsverzeichnis führen muss. 10

Das neue Verarbeitungsverzeichnis Wer muss es führen? Verantwortlich für das Führen (die Erstellung sowie der Durchführung entsprechenden Aktualisierungen) ist die verantwortliche Stelle! In der Praxis dürfte deshalb nunmehr die Verantwortlichkeit dem Geschäftsführer, Vorstand etc. der verantwortlichen Stelle obliegen. Der Datenschutzbeauftragte sollte bzw. muss aber aufgrund seiner anerkannten Fachkunde unterstützend tätig werden. Und wann muss man es führen? 11

Das neue Verarbeitungsverzeichnis Wann muss man eins führen? Die Pflicht zur Erstellung / Führung besteht (im Umkehrschluss des Wortlauts von Art. 30 Abs. 5), wenn: ein Unternehmen mehr als 249 Mitarbeiter beschäftigt. Bei weniger als 250 Mitarbeitern besteht die Pflicht zur Erstellung / Führung ferner: wenn die Verarbeitung ein (wie auch immer geartetes) Risiko für den Betroffenen in sich birgt und wenn die Verarbeitung nicht nur gelegentlich erfolgt. Oder wenn besondere Datenkategorien Artt. 9, 10 verarbeitet werden sollen (und dieses nicht nur gelegentlich erfolgt). Und was gehört in das Verzeichnis hinein? 12

Das neue Verarbeitungsverzeichnis Was gehört hinein (Verantwortlicher)? Jeder Verantwortliche und ggf. sein Vertreter führen ein (schriftliches / digitales) Verzeichnis aller Verarbeitungstätigkeiten (ihres Zuständigkeitsbereichs), das folgende Angaben enthalten muss: den Namen und die Kontaktdaten des / der (gemeinsam) Verantwortlichen, ggf. des Vertreters sowie des Datenschutzbeauftragten (falls bestellt); die Zwecke der (jeweiligen) Verarbeitung (Tätigkeit); Kategorien betroffener Personen und Kategorien personenbezogener Daten; Kategorien von Empfängern; Empfänger in Drittländern oder internationalen Organisationen inkl. der Länderangabe und von Garantien ; ggf. vorgesehene Fristen für die Löschung; ggf. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO. Und beim Auftragsverarbeiter? 13

Das neue Verarbeitungsverzeichnis Was gehört hinein (Auftragsverarbeiter)? Jeder Auftragsverarbeiter und ggf. Vertreter führen ein Verzeichnis zu allen Kategorien der für den Verantwortlichen durchgeführten (Verarbeitungs-) Tätigkeiten (Cross-Check mit Verantwortlichen möglich) und enthält folgende Angaben: den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist (ggf. Vertreter) und eines etwaigen Datenschutzbeauftragten; die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden (Fremdverarbeitung); ggf. Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation (inkl. Drittland inkl. Garantien); ggf. allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. Es gilt dabei, insbesondere den Begriff Tätigkeit zu definieren 14

Das neue Verarbeitungsverzeichnis- Was sind Tätigkeiten? Eine der wesentlichen Fragestellungen, die heute wie auch zukünftig auftreten wird ist, was eine (Verarbeitungs-)Tätigkeit i.s.d. DSGVO eigentlich ist. Das gleiche Problem stellt sich heute bei der Definition des Begriffs Verfahren. Ähnlich wie beim Verfahrensbegriff empfiehlt sich auch zukünftig eine sinnvolle (nicht zu enge aber auch nicht zu weite) Bündelung der Verarbeitungstätigkeiten ausgehend vom basierend auf dem Verarbeitungszweck. Dafür ist es jedoch wiederum notwendig, die Zwecke genau zu definieren. Vermeidung von nicht unerheblichen Bußgeldern, die nunmehr drohen 15

Das neue Verarbeitungsverzeichnis Was droht, wenn die Pflicht ignoriert? Bisher war ein fehlendes Verfahrensverzeichnis grundsätzlich nicht bußgeldbewährt. Doch das wird sich mit Geltung der DSGVO ändern. Nun droht für ein nicht geführtes Verfahrensverzeichnis ein Bußgeld von bis zu 10 Mio. oder 2 % des Vor- Jahresumsatzes (je nachdem was höher ist). Ferner kann fehlende Transparenz weitere Verstöße gegen andere Regelungen der DSGVO zur Folge haben, wodurch in Konsequenz weitere (höhere) Bußgelder drohen. Von daher empfiehlt es sich, diese Pflicht nicht auf die leichte Schulter zu nehmen und das Vorgehen genau planen. 16

Das neue Verarbeitungsverzeichnis Wie sollte ich vorgehen? (1) Man sollte planvoll entsprechend P D C A vorgehen. Alle relevanten Personen mit ins Boot holen und von der Notwendigkeit / dem Mehrwert überzeugen (das Bußgeldargument kann hilfreich sein) und Verantwortlichkeiten klären. Prüfen, ob ein Verfahrens- / Verarbeitungverzeichnis oder sonstige Übersichten vorhanden sind, auf die man aufbauen kann. Da die Datenverarbeitung im Wesentlichen mittels IT erfolgt, sollte man praktisch alle der eingesetzten (internen / externen) IT-Komponenten (Soft- / Hardware) inkl. der T O M erfassen!!! 17

Das neue Verfahrensverzeichnis Wie gehe ich vor? (2) Nachdem die eingesetzte Hard- / Software inventarisiert wurde, gilt es alle Tätigkeiten inkl. der Zwecke zu identifizieren, zu denen die Software eingesetzt wird inkl. der erfolgenden Datenströme. Bündelung der Tätigkeiten entsprechend des Verarbeitungszwecks. Ferner gilt es dabei die Daten / Kategorien der Betroffenen und ggf. Empfänger der Daten zu ergründen. Überprüfung in regelmäßigen Abständen inkl. Aktualisierung (Historie notwendig für Art. 5 Abs. 2). Somit ist das Verarbeitungsverzeichnis DAS Werkzeug zur Analyse, Dokumentation und Gewährleistung von Transparenz! 18

FAZIT Das Verarbeitungsverzeichnis ist ein essenzielles / sinnvolles Instrument zur Schaffung und Gewährleistung von Transparenz und damit zur Schaffung von Selbsterkenntnis. Die Erstellung eines ordnungsgemäßen Verzeichnisses bedeutet einen nicht unerheblichen (Mehr-) Aufwand. Dieser (Mehr-)Aufwand ist jedoch die bittere Pille, die wir schlucken müssen, wenn wir bspw. immer mehr vernetzte, ( smarte ) IT (halbwegs) rechtskonform einsetzen wollen! Nur durch eigene Selbsterkenntnis (Transparenz) sind wir in der Lage, die gesetzlichen Anforderungen zu erfüllen und damit dem Betroffenen (der jeder von uns sein kann), den notwendigen RESPEKT entgegenzubringen 19

Gibt es noch Fragen? Gerald Spyra, LL.M. Rechtsanwalt, externer Datenschutzbeauftragter http://www.recht-technisch.de Kanzlei Spyra Kaiserstr. 7 51688 Wipperfürth Vielen Dank für Ihr Interesse!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback