DSGVO für Franchise-Systeme

Ähnliche Dokumente
DSVGO. Die wichtigsten Schritte zur Umsetzung. Linde Online-Seminar, 27. November 2017

EU-Datenschutz- Grundverordnung Die Zeit drängt. Akademie der Wirtschaftstreuhänder RA Dr. Lukas Feiler, SSCP CIPP/E

Datenschutz und Werbung. WKÖ Datenschutz im Fokus, 12. Oktober 2017 RA Dr. Lukas Feiler, SSCP, CIPP/E

Verzeichnis der Muster...XIII Abkürzungsverzeichnis... XV

Betroffenenrechte und die Rolle des Datenschutzbeauftragten

Datenschutzrechtliche Schranken der Informationsweitergabe

Umsetzung der DSGVO in der Praxis

Grundlagen des Datenschutzrechts. VO Grundlagen des Technologierechts II, 13. März 2018 RA Dr. Lukas Feiler, SSCP CIPP/E

Grundlagen des Datenschutzrechts

Mitarbeiterdatenschutz

Die 69 Öffnungsklauseln der DS-GVO Regelungsspielräume der nationalen Gesetzgeber. DS-GVO ante portas, 1. Juni 2017 RA Dr. Lukas Feiler, SSCP CIPP/E

Die EU-Datenschutz-Grundverordnung

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Microsoft Cloud Services. Erfahrungen aus der Beratungspraxis mit speziellem Fokus auf die Microsoft Cloud Germany

DATENSCHUTZ in der Praxis

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Datenschutz. RA Dr. Lukas Feiler, SSCP, CIPP/E. Marketing und Vertrieb, MSc WS

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Die DSGVO aus IT-Sicht

Datenschutz-Grundverordnung (DSGVO) und Auswirkungen auf Transport & Logistik

Schritt 2: Datenschutzbeauftragten bzw -manager ernennen und Zuständigkeiten klären

Die Datenschutzgrundverordnung aus Sicht des Versicherungsmaklers. RA Dr. Roland Weinrauch LL.M. (NYU)

Herr Andreas Fischer

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

DATENSCHUTZ DIE WORKSHOP-REIHE

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Datenschutz-Grundverordnung (DSGVO) und Auswirkungen auf Transport & Logistik

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20


Datenschutzgrundverordnung - DSGVO

Datenschutzgrundverordnung

Datenschutzrecht. LL.M. Europäisches und Internationales Wirtschaftsrecht, RA Dr. Lukas Feiler, SSCP CIPP/E

Datenschutzrecht. 17. General Management MBA, 26. Mai 2017 RA Dr. Lukas Feiler, SSCP CIPP/E

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

GDPR-Datenschutz-Compliance:

Die Europäische Datenschutz- Grundverordnung. Schulung am

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Intervalid. DSGVO Software. Für Ihr unternehmensweites Datenschutzmanagement

EU-Datenschutz- Grundverordnung

Datenschutz-Management-System

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

Blockchain Bitcoin Smart Contracts Rechtliche Grundlagen

Von der Ersterhebung bis zur Einführung eines Datenschutz Management Systems.

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Checklisten als Hilfsmittel

EU-Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Datenschutzgrundverordnung DSGVO

Dokumentationspflichten im neuen Datenschutzrecht

Datenschutz jetzt neu angehen. Mag. Ursula Illibauer Donnerstag, 30. November :00 14:40 Uhr

Die neue EU-Datenschutzgrundverordnung. Alles neu? oder Nur alter Wein in neuen Schläuchen?

CHECKLISTE DATENSCHUTZ

Eine effiziente Umsetzungsanleitung. Dr. Stefan Kraxberger Secinto 1

EU-DATENSCHUTZ-GRUNDVERORDNUNG

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DSGVO. Datenschutz - Grundverordnung ECM / CRM / PM / EDB / ERP / PPS / PLM. manage your process DSGVO

DATENSCHUTZ. in der Praxis

Konzerndatenschutz und DSGVO Bürokratie oder Chance?

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Datenschutz- Grundverordnung

DSGVO und DSG-Revision

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

D_09d Musterschulungsunterlage zum Datenschutz

03/2018 KURZLEITFADEN ZUR EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

Datenschutz Grundverordnung. Qualitätsmanagement ISO 9001

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Richtiger Umgang mit der Datenschutz-Grundverordnung

Rechtliche Risiken von Big Data und automatisierten Entscheidungen

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

DSGVO Datenschutzgrundverordnung. Dr. Markus Knasmüller Leiter SW-Entwicklung Ger. zert. Sachverständiger (u.a für Datenschutz)

Datenschutzreform 2018

Datenschutz-Richtlinie der SenVital

D_02a Projektplan. Projektverantwortlicher: Projektbeginn: Projektende: Aufgabe Verantwortliche/r Beginn Ende Erledigt. 1. Management sensibilisieren

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Mit ISIS12 zur DS-GVO Compliance

Datenschutz Grundverordnung (DSGVO) DATENSCHUTZ IST KEIN LUXUS, SONDERN PFLICHT

CITYGUIDE. Zurich. Ihr Weg zu uns. How to find us

EU-Datenschutz- Grundverordnung

Das EU-Datenschutzrecht

Datenschutz und Datensicherheit

EU-Datenschutz-GVO - Was kommt da auf uns zu?

Update Medien & Kommunikation 2013 Big Data Social CRM, Targeting & Co. Verena Grentzenberg. Senior Associate - Bird & Bird LLP

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO

istock.com / Warchi DSGVO Datenschutzgrundverordnung für Agenturen zurück zum Inhalt

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

EU DSGVO & ISO Integriertes Dokumentations-Toolkit integriertes-dokumentations-toolkit/

Handlungsbedarf für Schweizer Firmen

Grafik Umsatzerlöse. Datenschutztag Datenschutz-Managementsystem zur Sicherstellung der DSGVO

Transkript:

DSGVO für Franchise-Systeme Umsetzung in Ihrem Franchise-System in 12 Schritten Syncon Seminar, 21. Juni 2017

Grundlagen Die DSGVO für Franchise-Systeme DSGVO gilt nur für personenbezogene Daten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen nicht erfasst: Daten, die sich auf eine juristische Person beziehen Der Franchisegeber als Verantwortlicher oder Auftragsverarbeiter? Verantwortlicher: Entscheidet selbst über Mittel und Zwecke der Datenverarbeitung Auftragsverarbeiter: Verarbeitet Daten nur auf Anweisung eines Verantwortlichen (des Franchisenehmers) 2

Grundlagen Verantwortlicher vs. Auftragsverarbeiter 3

Schritt 1 Unterstützung aus dem Management sichern DSGVO-Umsetzung erfordert Personalressourcen Budget (unternehmens-)politische Unterstützung Motivation des Managements? persönliche Haftung (im Regress) für Verstöße negative PR für das gesamte Franchise-System und Verlust der Mangementposition 4

Schritt 2 Datenschutzbeauftragten/Manager ernennen 5

Schritt 3 Ersten Überblick verschaffen Welche Arten von IT-Systemen nutzt das Unternehmen? Mitarbeiterdaten: Lohnbuchhaltung, E-Mail-System, Telefonsystem, Human Capital Management (HCM) System (z.b. Workday oder SAP SuccessFactors), Kundendaten: Rechnungswesen, CRM System (zb SalesForce.com), Lieferantendaten: Rechnungswesen, SCM Systeme (zb Oracle SCM), Wie sieht die gesellschaftsrechtliche Struktur des Unternehmens aus? Welche Gesellschaften/Niederlassungen in welchen Ländern? Beteiligungsstrukturen? Welche Geschäftssparten hat das Unternehmen? B2B und/oder B2C 6

Schritt 4 Ziele des Datenschutzmanagements definieren Datenschutzstrategie für das ganze Franchise-System vs. nur für den Franchise-Geber Rechtliche Risiken vs. Image-Risiken Aus personenbezogenen Daten einen wirtschaftlicher Wert gewinnen? Defensive vs. offensive Datenschutzstrategie 100% Compliance oder pragmatischer Compliance-Ansatz? Betriebswirtschaftliche vs. politische Risiken Wer ist wofür zuständig? Rollen und Verantwortlichkeiten im Franchise-System definieren 7

Schritt 5 IT-Tools für Datenschutz-Management auswählen Richtige Werkzeuge erleichtern die Arbeit MS Office-Vorlagen vs. Online- Tools: Verzeichnis der Verarbeitungstätigkeiten Privacy Impact Assessments Verzeichnis der Sicherheitsverletzungen 8

Schritt 6 Infos über Datenverarbeitungsprozesse erheben Für jede Verarbeitungstätigkeit zu klären: Wer ist der Verantwortliche? Welche Datenkategorien werden verarbeitet? Zu welchen Zwecken erfolgt die Verarbeitung? Werden Auftragsverarbeiter eingesetzt? (Welche? Wo? Vertragsgrundlage?) Werden Daten an andere Verantwortliche übermittelt? (Welche? An wen? Zu welchen Zwecken? Wohin? Vertragsgrundlage?) Verarbeitung auf Grundlage einer Einwilligung? (Kopie der Einwilligungserklärung?) Kopie der Datenschutzmitteilung (sofern vorhanden) Datensicherheitsmaßnahmen Vorbedingung für VZ der Verarbeitungstätigkeiten (Schritt 7) und Prüfung der Rechtsmäßigkeit (Schritt 8) 9

Schritt 7 Verzeichnis der Verarbeitungstätigkeiten erstellen Informationen aus Schritt 6 mit Tools aus Schritt 5 erfassen Zu klärende Fragen im internationalen Franchise-System Sprache des Verzeichnisses ist Englisch für zuständige Behörde ausreichend? Zugänglichkeit des Verzeichnisses ist Online-Zugang für zuständige Behörde ausreichend? 10

Schritt 8 Rechtmäßigkeit der Verarbeitungstätigen prüfen Für jede Verarbeitungstätigkeit Rechtsgrundlage für Datenverarbeitung identifizieren ggfls. wirksame Zustimmungserklärungen entwerfen Datenschutzmitteilungen korrekt gestalten Auftragsdatenverarbeitungsvereinbarungen mit Dienstleistern abschließen Wo erforderlich Standardvertragsklauseln für internationale Datenübermittlungen vereinbaren 11

Schritt 9 Privacy Impact Assessments durchführen Für jede Verarbeitungstätigkeit Prüfen, ob prima facie ein hohes Risiko für Betroffene gegeben ist (z.b. sensible Daten, Profiling oder schwarze Liste der Datenschutzbehörde) Nur wenn prima facie hohes Risiko gegeben ist: Privacy Impact Assessment durchführen Wenn PIA ein hohes Risiko ergibt: Konsultation mit der Datenschutzbehörde 12

Schritt 10 Datenschutzrelevante Unternehmensrichtlinien Datenschutzrelevante Franchise-Richtlinien erstellen Richtlinie zum Umgang mit personenbezogenen Daten Richtlinie zur Informationssicherheit Richtlinie zur Reaktion auf Zwischenfälle Richtlinie zur Nutzung der Unternehmens-IT BYOD-Richtlinie 13

Schritt 11 Konzept für Info-Maßnahmen und Schulungen Konzept für Informationsmaßnahmen und Schulungen im Franchise- System erstellen Wen wie oft schulen? Kreatives Awareness-Raising Compliance am Papier vs. tatsächliche Compliance 14

Schritt 12 Datenschutz im täglichen Betrieb aufrechterhalten Kontinuierliche Compliance-Maßnahmen: Audits durchführen Schulungen abhalten Auf Zwischenfälle reagieren Anfragen von Betroffenen bearbeiten Neue Verarbeitungstätigkeiten erfassen Schlankes Berichtswesen an den Franchisegeber 15

Schritte 1 bis 12 Übersicht 1) Unterstützung aus dem Management sichern 2) Datenschutzbeauftragten/Manager ernennen 3) Ersten Überblick verschaffen 4) Ziele des Datenschutzmanagements definieren 5) IT-Tools für das Datenschutz-Management auswählen 6) Informationen über Datenverarbeitungsprozesse erheben 7) Verzeichnis der Verarbeitungstätigkeiten erstellen 8) Rechtmäßigkeit der Verarbeitungstätigen prüfen 9) Datenschutz-Folgeabschätzungen durchführen 10) Datenschutzrelevante Unternehmensrichtlinien erstellen 11) Konzept für Informationsmaßnahmen & Schulungen 12) Datenschutz im täglichen Betrieb aufrechterhalten 16

Dr. Lukas Feiler, SSCP CIPP/E Senior Associate Leiter des Teams für IT-Recht in Wien Schottenring 25 1010 Vienna T: +43 1 24 250 lukas.feiler@bakermckenzie.com Lukas Feiler ist Co-Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung und begleitet Unternehmen auf www.digitalwave.at bei der digitalen Transformation www.bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG is a Member of Baker & McKenzie International, a Verein organized under the laws of Switzerland with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback