Umsetzung EU-DSGVO Was ist bis zum zu tun?

Ähnliche Dokumente
Update: Internetrecht + DSGVO Werbeagentur Menke, 25. Januar 2018

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Die EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Die Europäische Datenschutz- Grundverordnung. Schulung am

- Wa s i s t j e t z t z u t u n? -

Die EU-Datenschutzgrundverordnung

Datenschutz-Richtlinie der SenVital


Checkliste zur Datenschutzgrundverordnung

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

Warum die Datenschutzgrundverordnung jeden trifft und wie Sie sich darauf vorbereiten können.

Datenschutzgrundverordnung (EU DS-GVO) anhand von praktischen Beispielen

Startschuss DSGVO: Was muss ich wissen?

Die Informationspflichten der Verantwortlichen

EU-Datenschutz- Grundverordnung

Datenschutzgrundverordnung

DATENSCHUTZ in der Praxis

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Die neue Datenschutzgrundverordnung

Die Datenschutzgrundverordnung

Datenschutzgrundverordnung

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Datenschutz. Die DSGVO und was sie von uns will

EU-Datenschutz- Grundverordnung

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Datenschutzgrundverordnung DSGVO

Neues Datenschutzrecht umsetzen Stichtag

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Datenschutz- Grundverordnung 2016/679 DS-GVO

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Datenschutzgrundverordnung. LAST MINUTE DATENSCHUTZ E-BUSINESS DAY, iwelt/ihk, EIBELSTADT AM

Die Datenschutz-Grundverordnung (DSGVO)

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Seite Referent: Rechtsanwalt Dr. jur. Björn Schreier Fachanwalt für Handels- und Gesellschaftsrecht Fachanwalt für Steuerrecht

Neues Datenschutzrecht umsetzen Stichtag

Impulsvortrag zur Datenschutz-Grundverordnung

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Dr. Peter Kubanek Datenschutz-Convention Wien Oktober 2017

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Das neue Datenschutzrecht. 19. September 2018

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

DSGVO welche Probleme haben Stiftungen in der Praxis?

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

100 Tage DSGVO. Datenschutz in der praktischen Anwendung bei Stiftungen. Workshop am 6. September 2018 Hildesheim

Die Datenschutzgrundverordnung

Datenschutz Grundverordnung (DSGVO) DATENSCHUTZ IST KEIN LUXUS, SONDERN PFLICHT

Informationen gemäß Artikel 13 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Wesentliche Neuerungen durch die EU-Datenschutz-Grundverordnung

Kurzüberblick und Zeitplan

Abfrage zum Stand der Umsetzung der Datenschutz-Grundverordnung EU 2016/679 (DS-GVO) bei niedersächsischen Kommunen

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Die neue Datenschutzgrundverordnung EU DSGVO

Verzeichnis der Verarbeitungstätigkeiten

EU-Datenschutz-Grundverordnung: Start

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

EU Datenschutz-Grundverordnung

Die Datenschutzgrundverordnung aus Sicht des Versicherungsmaklers. RA Dr. Roland Weinrauch LL.M. (NYU)

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Datenschutz-Richtlinie. der. Victor s Unternehmensgruppe

ETS Egger GmbH Vertreten durch Gerald Bacher, GF Trautenfelserstraße Irdning-Donnersbachtal. Mobil

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Informationen gemäß Artikel 14 Absatz 1 und Absatz 2 DSGVO aufgrund der Erhebung von personenbezogenen Daten

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Anforderungen des Datenschutzes

Datenschutzrecht; To-Dos und

Datenschutzrechtliche Grundbegriffe - Was hat Bestand und was ändert sich?

Datenschutzgrundverordnung

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

- Wa s b e d e u t e t d a s f ü r U n t e r n e h m e n? -

Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)

Aktuelles im Datenschutz Europäische Datenschutz-Grundverordnung und Bundesdatenschutzgesetz (neue Fassung)

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Brennpunkt Medizin. Datenschutzgrundverordnung brandneu. Mag. Markus Dörfler, LL.M. Rechtsanwalt

DATENSCHUTZ DIE WORKSHOP-REIHE

Digitalisierung und Datenschutzgrundverordnung - Herausforderungen für jedes Unternehmen -

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Informationen gemäß Artikel 13 Absatz 3 und Absatz 2 DSGVO aufgrund nachträglicher Zweckänderung

Transkript:

Umsetzung EU-DSGVO Was ist bis zum 25.05.2018 zu tun? Hannes Albers Rechtsanwalt Fachanwalt für IT-Recht und Fachanwalt für gewerblichen Rechtsschutz Rechtsanwälte Kopp und Partner Lengericher Str. 2 49809 Lingen (Ems) Tel.: 0591-977 820 Fax: 0591 977 82 108 www.rae-kopp.de

Ablauf / Inhalte: 1. DSGVO Wieso, weshalb warum?! 2. Datenschutzbeauftragter?! 3. Verfahrens bzw. Verarbeitungsverzeichnis 4. Maßnahmen bis zum 25.05.2018?! -------------------------------------------------------------------- 5. Was erwartet die Aufsichtsbehörde?! Hinweise auf weitere Informationsquellen und Formular-Muster.

EU-DSGVO wieso, weshalb, warum?!: 1. Im April 2016 wurde die europäische Datenschutzgrundverordnung verabschiedet 2. Ziel: EU-weite Vereinheitlichung / Verbesserung der Datenschutzstandards 3. Grund: Anhaltende Digitalisierung von Wirtschaft und Gesellschaft und damit zunehmende Bedeutung von Daten und Schutz des Betroffenen (Persönlichkeitsrecht). 4. Auswirkungen: Gravierende Änderungen des Datenschutzrechts; insb. auch deutliche Verschärfung der möglichen Sanktionen. 5. Weiterhin Verbot mit Erlaubnisvorbehalt 6. Inkrafttreten am Freitag, den 25.05.2018

EU-DSGVO wieso, weshalb, warum?!: Welche Daten sind überhaupt betroffen?! Das Datenschutzrecht ist ausschließlich anwendbar auf personenbezogene Daten. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse eines bestimmten oder bestimmbaren natürlichen Person (Kunden, Mitarbeiter, Lieferanten u.a.). Die Datenschutzbehörden neigen zu einer strengen Auslegung: Immer dann wenn sich der Bezug eines Datums zu einer bestimmten Person nicht ausschließen lässt, wird der Personenbezug bejaht und Datenschutzrecht ist anwendbar.

Verschärfung der Sanktionen?!? Neuer Bußgeldrahmen für Verstöße gegen EU-DSGVO (Art. 83): Bußgelder bis 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist. (umfangreicher Kriterienkatalog / Ermessen) Bislang nach BDSG: max. 300.000 EUR und Klagebefugnis von Verbraucherschutz- und Wettbewerbsverbänden nach 3a UWG und 2 Abs. 2 UKlaG.

Verschärfung der Sanktionen?!? 44 BDSG (neu) (1) Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.

Grundsätze der Datenverarbeitung nach DSGVO 1. Rechtmäßigkeit (Treu und Glauben) und für betroffene Personen nachvollziehbar (Transparenz) 2. Zweckbindung 3. Richtigkeit 4. Anonymisierung / Recht auf Vergessen LÖSCHUNG 5. Rechenschaftspflicht, Art 5 (5) DSGVO Beweislast für Rechtmäßigkeit der DV liegt beim Verantwortlichen; ordentliche Dokumentation und Einhaltung der gesetzlichen Vorgaben ist also zur Abwehr von Bußgelder und privatrechtlichen Schadenersatzansprüchen (Art. 82 DSGVO) zwingend erforderlich COMPLIANCE

Freitag, 25. Mai 2018 Was ist bis dahin zu tun?!

Freitag, 25. Mai 2018 Was ist bis dahin zu tun?! 1. Erkenntnis: Datenschutz ist Compliance! Datenschutz ist Chefsache! 2. Personelle Voraussetzungen schaffen: Soweit regelmäßig mindestens 10 Mitarbeiter mit Datenverarbeitung beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden (intern oder extern); 38 BDSG neu 3. Status-Quo ermitteln und ggfs. anpassen sowie Maßnahmen zur Einführung einer dauerhaften Daten-Buchhaltung (Dokumentation) einleiten.

Person des Datenschutzbeauftragten 1. Der DSB muss über das notwendige Fachwissen verfügen (Erwägungsgrund 97 EU-DSGVO); Notwendigkeit der Fortbildung! 2. Der DSB agiert weisungsfrei und berichtet unmittelbar an das (oberste) Management; 3. Interessenkollisionen sollen vermieden werden (vollständige Unabhängigkeit des DSB); 4. Dem DSB sind die notwendigen räumlichen und technischen Ressourcen zur Verfügung zu stellen. 5. Der DSB kann Angestellter des Unternehmens sein oder externer Dienstleister.

Aufgaben und Befugnisse des Datenschutzbeauftragten 1. Überprüfung und Sicherstellung ordnungsgemäßer DV im Unternehmen; 2. Schulung und Sensibilisierung der Mitarbeiter 3. Angemessenheitsprüfung bei allen DV-Vorgängen unter Berücksichtigung der betrieblichen Belange des Unternehmens. 4. Ansprechpartner für betroffene Dritte (Kunden, Mitarbeiter ) 5. Verpflichtung zur Zusammenarbeit mit Aufsichtsbehörde!

Dokumentation / Verfahrensverzeichnis Zukünftig ist eine rückwirkende Prüfung von DV-Verfahren zu ermöglichen (Art 30 DSGVO) Datenbuchhaltung Verzeichnis der Verarbeitungstätigkeit Name u. Kontaktdaten des Verantwortlichen und DSB Zwecke der Datenverarbeitung Kategorien betroffener Personen und personenbezogener Daten Kategorien von Empfängern, ADV* (inkl. Auslandsbezug) Übermittlung von pb Daten ins Ausland Vorgesehene Fristen der Löschung unterschiedl. Datenkategorien Technische und organisatorische Maßnahmen nach Art 32 DSGVO zur Gewährleistung der Datensicherheit * Ggfs. Verträge zur Auftragsdatenverarbeitung anpassen. Neue Muster im Internet (z.b. bitkom.org; s. Linkverzeichnis am Ende)

Dokumentation / Verfahrensverzeichnis Bei risikobehafteter Datenverarbeitung ist eine gesonderte Prüfung und Bewertung des Verfahrens notwendig. (Art 35 DSGVO) Datenschutz-Folgenabschätzung (DSFA) Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DS-GVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können und ggf. welche zusätzlichen Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen. Die Aufsichtsbehörde kann ihrerseits die in Art. 58 DS-GVO genannten Befugnisse ausüben und z. B. eine Warnung, Anweisung oder Untersagung aussprechen. (Auszug aus Arbeitspapier Landesdatenschutzbeauftragte Nds.; siehe Linkverzeichnis am Ende) Erwägungsgrund 75 zur DSGVO (zentrale Abwägungskriterien): Risiken für Rechte und Freiheiten natürlicher Personen

ACHTUNG (nur) theoretische Ausnahme für Unternehmen mit weniger als 250 Beschäftigten Art 30 Abs. 5 DSGVO Unternehmen mit weniger als 250 Beschäftigten müssen nicht für jedes Verarbeitungsverfahren ein Verzeichnis anlegen, sondern nur für Verfahren, die mit erheblichen Risiken für die Betroffenen Verbunden sind (z.b. Videoüberwachung) oder nicht nur gelegentlich angewendet werden, oder sensitive Daten (z.b. Gesundheitsdaten) umfassen. Regelmäßige Verarbeitung von pb Daten (auch Finanzbuchhaltung, Personalakten, Kundendatenbank, CRM) bedarf daher auch in kleineren Unternehmen der Führung eines Verfahrensverzeichnisses!

Freitag, 25. Mai 2018 Was sollte man sonst noch beachten?! Betroffenen-Rechte Information, Auskunft, Löschung (Art 12 23 DSGVO) Meldepflicht von Datenpannen innerhalb 72 Std. Art 33,34 DSGVO Bei Verstoß Bußgeld bis zu 10 Mio. EUR oder 2% d. weitweiten Jahresumsatzes Datentransfer ins Ausland?! EU nach DSGVO kein Problem. außerhalb EU/EWR. sehr hohe Anforderungen!! (ACHTUNG: CLOUD )

Neue Informationspflichten bei Datenerhebung auch Online bzw. Online-Shop!! Art 13 und 14 DSGVO Verantwortlicher mit Namen und Kontaktdaten DSB, Name und Kontaktdaten Rechtsgrundlage für Datenerhebung (berechtigtes Interesse?) Empfänger bei Weitergabe personenbezogener Daten Angaben zu Rechtsgrundlage und Umfang von Datenübermittlung in s Ausland Speicherdauer bzw. Kriterien hierfür Rechte des Betroffenen (Art. 15-21 DSGVO) Profiling oder autom. Einzelfallentscheidung (22 DSGVO) Beschwerderecht gem. Art 77 DSGVO Widerruflichkeit einer Einwilligung zur Datenverarbeitung Herkunft von Daten, wenn nicht unmittelbar vom Betroffenen erhoben. Diese Informationen müssen gem. Art 12 DSGVO in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form abgebildet und vermittelt werden.

Maßnahmenplan DSGVO für Unternehmen Kurzpapier Nr. 8 Nds. Beauftragte für Datenschutz 1. Bestandsaufnahme / Status Quo feststellen 2. Handlungsbedarf ermitteln (insb. Verfahrensverzeichnis / Prozesse anpassen / Datensicherheit) 3. Umsetzung bis zum 25.05.2018: Anpassung Prozesse / Strukturen Festlegung Zweck und Rechtsgrundlage für Datenverarbeitung Implementierung von Informationspflichten, Betroffenrechten und Löschkonzepten Anpassung Datenschutzorganisation / Datenschutzbeauftragter? Reaktionsmechanismen auf Datenpannen Organisation von Meldepflichten Anpassung Vertragsbeziehung mit Dritten (Auftragsdatenverarbeitung) Aufbau der Dokumentation / Verfahrensverzeichnis Anpassung IT-Sicherheit (technische u. organisatorische Maßnahmen) Ggfs. Anpassung Betriebsvereinbarungen

Recht auf Datenübertragung Art 20 DSGVO Durch die Schaffung des Rechts auf Datenübertragbarkeit soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisiert verarbeitet werden, gestärkt werden. Aus Erwägungsgrund 68: Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt.

Umsetzung EU-DSGVO Was ist bis zum 25.05.2018 zu tun? K U R Z E P A U S E Rechtsanwälte Kopp und Partner Lengericher Str. 2 49809 Lingen (Ems) Tel.: 0591-977 820 Fax: 0591 977 82 108 www.rae-kopp.de

Wichtige Frage: Was erwartet die Aufsichtsbehörde von Unternehmen?! Angelehnt an Fragenkatalog der Landesbeauftragten für den Datenschutz in Niedersachen. www.lfd.niedersachsen.de

Was erwartet die Aufsichtsbehörde von Unternehmen?! 1. Datenschutz ist Chefsache a) Hat sich die Geschäftsleitung mit der DSGVO befasst und kennt die neuen Regelungen?! b) Wer ist im Unternehmen (neben der Geschäftsleitung) zuständig für Belange des Datenschutzes. c) Ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben (10 Mitarbeiter in EDV); gibt es einen DSB!? d) Wurden die Beschäftigten über die (neuen) Regelungen zum Datenschutz informiert und/oder (regelmäßig) geschult?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 2. Bestandsaufnahme / Verzeichnis erstellen a) Sind Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden in ein Verzeichnis aufgenommen worden? Verarbeitung von Kundendaten Verarbeitung von Beschäftigtendaten Verarbeitung von Daten von Kindern Verarbeitung von Daten für Dritte (Auftragsdatenverarbeitung) b) Wir das Verzeichnis regelmäßig aktualisiert?! Wer ist hierfür zuständig?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 3. Zulässigkeit der Datenverarbeitung a) Gibt es eine gesetzliche Grundlage für die Datenverarbeitung? Laufende Vertragsbeziehung (ggfs. Gewährleistung / Garantie) Laufendes Beschäftigungsverhältnis Finanzbuchhaltung / Steuerrecht b) Oder gibt es eine wirksame Einwilligung des Betroffenen? Einwilligungserklärungen für Kunden / Formulare Dokumentation und Reproduzierbarkeit der Einwilligungen Widerrufbarkeit der Einwilligungen Dauer der Wirksamkeit einer Einwilligung / Löschung?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 4. Betroffenenrechte und Informationspflichten a) Werden Betroffene (Kunden, Mitarbeiter ) transparent und in leicht zugänglicher Form (verständlich) informiert? Kontaktdaten des Datenschutzbeauftragten Zweck / Rechtsgrundlage für Datenverarbeitung Dauer der Speicherung / Kriterien für Speicherdauer Hinweis auf Rechte der Betroffenen (Auskunft, Berichtigung, Löschung ) Ggs. Recht auf Widerruf einer einmal erteilten Einwilligung Recht auf Beschwerde an Aufsichtsbehörde Ggfs. Herkunft der Daten b) Wie werden die Rechte der Betroffenen sichergestellt? Gibt es geregelte Abläufe im Unternehmen? Wer ist zuständig? c) Werden ggfs. Besonderheiten bei Verarbeitung Kinderdaten über IT-Dienste berücksichtigt (Art 8 DSGVO)

Was erwartet die Aufsichtsbehörde von Unternehmen?! 5. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen a) Werden technische und/oder organisatorische Maßnahmen getroffen, um eine angemessenes Schutzniveau zu gewährleisten (Datensicherheit); b) Werden Daten pseudonymisiert oder verschlüsselt? c) Gibt es für IT-Anwendungen ein dokumentiertes Rollen- und Berechtigungskonzept? d) Wird sichergestellt, dass bei Änderungen oder Neuentwicklungen von Produkten / Dienstleistungen die Anforderungen des Datenschutzes berücksichtigt werden?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 6. Verträge prüfen (externe Dienstleister) a) Gibt es Verträge mit externen Auftragsdatenverarbeitern und sind diese rechtskonform (Art. 26-28 DSGVO)? b) Werden Anweisungen an ADV (externe Dienstleister) dokumentiert? c) Werden ggfs. Daten ins Ausland übermittelt und werden die hierfür notwendigen Voraussetzungen erfüllt? Problematisch DV außerhalb EU / ACHTUNG: CLOUD

Was erwartet die Aufsichtsbehörde von Unternehmen?! 7. Datenschutzfolgeabschätzung a) Führt das Unternehmen Datenverarbeitung mit ggfs. hohen Risiken für Rechte und Freiheit der Betroffenen durch? Rassische / ethnische / religiöse Daten? Politische / weltanschauliche Überzeugungen? Genetische / biometrische oder Gesundheitsdaten? Informationen über Sexualleben oder sexuelle Orientierung? b) Wenn sensible Daten verarbeitet werden, hat eine notwendige Folgenabschätzung stattgefunden und ist diese dokumentiert? c) Wer ist zuständig?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 8. Meldepflichten a) Gibt es im Unternehmen einen organisierten Prozess zur Meldung von Datenpannen (72 Stunden)? b) Ist ein Datenschutzbeauftragter bestellt und dieser inkl. Kontaktdaten der Aufsichtsbehörde gemeldet?

Was erwartet die Aufsichtsbehörde von Unternehmen?! 9. D O K U M E N T A T I O N a) Kann das Unternehmen die dauerhafte Erfüllung der o.g. Pflichten schriftlich nachweisen (Verarbeitungsverzeichnis)? b) Wird sichergestellt, dass die Dokumentation auf dem neusten Stand ist? b) Werden Mitarbeiter geschult?

Vielen Dank!! www.internetrecht-emsland.de Twitter: @RA_Albers Hannes Albers Rechtsanwalt Fachanwalt für IT-Recht und Fachanwalt für gewerblichen Rechtsschutz Rechtsanwälte Kopp und Partner Lengericher Str. 2 49809 Lingen (Ems) Tel.: 0591-977 820 Fax: 0591-977 82 108 www.rae-kopp.de

DSGVO Linkverzeichnis Text DSGVO mit allen Erwägungsgründen (Auslegungshilfen): https://dsgvo-gesetz.de ZDH Das neue Datenschutzrecht (!) http://www.handwerk-papenburg.de/files/leitfaden_das_neue_datenschutzrecht_- _hinweise_fuer_handwerksbetriebe.pdf Ausführliche Hinweise / Muster für Verfahrensverzeichnisse: https://www.bitkom.org/np-themen/np-vertrauen-sicherheit/datenschutz/firstspirit- 1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf Muster-Vertrag Auftragsdatenverarbeitung mit Anmerkungen: https://www.bitkom.org/np-themen/np-vertrauen-sicherheit/datenschutz/eu-dsg/170515- Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf Kurzpapiere / Arbeitshilfen der Landesbeauftragten Datenschutz Nds. http://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere/ds-gvo--- kurzpapiere-155196.html Neues Arbeitnehmerdatenschutzrecht nach DSGVO und BDSG neu https://www.haufe.de/personal/arbeitsrecht/arbeitnehmerdatenschutz-neue-regeln-imbundesdatenschutzgesetz_76_412378.html Rechtsanwälte Kopp und Partner Lengericher Str. 2 49809 Lingen (Ems) Tel.: 0591-977 820 Fax: 0591-977 82 108 www.rae-kopp.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback