Herzlich Willkommen zum heutigen Webinar: EU Datenschutz ...€¦ · 1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 1Insight PresentationInsight’s Tagline Would Go HereInsight Presentation

EU Datenschutz-Grundverordnung(EU-DSGVO) Recht auf Schutz personenbezogener Daten

Herzlich Willkommen zum heutigen Webinar:

Markus Horschig, Manager License Consulting Services

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 2Insight Presentation

DSGVO Quick Facts

Die Verordnung schützt natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten

Einheitlicher Rechtsrahmen für den Datenschutz in EU und EWR (im nicht-öffentlichen Bereich)

Die DSGVO gilt für alle Unternehmen innerhalb der EU und für alle internationalen Unternehmen die Daten von EU Bürgern speichern oder verarbeiten.

Die DSGVO tritt am 25.05.2018 unmittelbar in Kraft.

Die derzeitigen, nationalen Gesetze werden unwirksam oder aktualisiert


Wichtige Neuerungen

Eine klare Einwilligung der betroffenen Person zur Verarbeitung von personenbezogenen Daten

Das Recht auf Berichtigung und Löschung (Right to beForgotten) von personenbezogenen Daten

Datenschutz durch aktuelle Technik (Privacy by Design)

Datensparsamkeit – Es sollen nur die Daten erhoben werden die nötig sind (Privacy by Default)

Erweiterte Dokumentations- und Nachweispflichtensämtlicher Datenverarbeitungsprozessen (Privacy Impact Assessment).


Bußgelder

Die Bußgelder sollen „wirksam und abschreckend“ sein

Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist

Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 6Insight PresentationInsight Presentation

Die Realität …in einigen Unternehmen


Zitat:

When anyone asks me how I can best describe my experiences of nearly forty years at sea, I merely say uneventful. I have never been in an accident of any sort worth speaking about....I never saw a wreck and have never been wrecked, nor was I ever in any predicament that threatened to end in disaster of any sort.

Edward Smith


Edward John Smith – Kapitän der Titanic



Human Error



Vorbereitung von skandinavischenFirmen auf die DSGVO

0% 5% 10% 15% 20% 25% 30% 35%

We do not think we will be audited in 2018

We really do not know where to start

Not relevant (the GDPR does not affect our organization)

Don't know

We are awaiting further guidelines

It is largely ready already because we are compliant withthe current data protection regulation

There is a solid plan in place to ensure readiness by May2018

We will start addressing it this year (2017)

IDC #EMEA42212817 (January 2017) Source: IDC's 2017 Nordic CIO Survey (n = 182)


Die Paragraphen


Art. 8 Charta der Grundrechte der EU

Schutz personenbezogener Daten

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht


Art 1. Datenschutz-Grundverordnung

Gegenstand und Ziele

1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.


Art. 3 Räumlicher Anwendungsbereich

Die DSGVO gilt neben Unternehmen innerhalb der EU auch für Unternehmen aus Drittländern, wenn:

diese Unternehmen personenbezogene Daten von betroffenen Personen die sich in der Union befindenverarbeiten und diese Verarbeitung mit dem Angebot von Waren oder Dienstleistungen oder mit der Beobachtung des Verhaltens betroffener Personen in der Union in Verbindung steht.

Die DSGVO ist auch dann anzuwenden, wenn die Daten-verarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Unter Letzteres fällt die Analyse des Surfverhaltens im Internet und auch die Speicherung von Cookies, egal zu welchem Zweck.


Art. 5 Grundsätze für die Verarbeitung personenbezogener DatenPersonenbezogene Daten müssen:

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werdenfür festgelegte, eindeutige und legitime Zwecke erhoben werdendem Zweck angemessen und auf das notwendige Maß beschränkt seinsachlich richtig und erforderlichenfalls auf dem neuesten Stand seinin einer Form gespeichert werden, die die Identifizierungder betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich istin einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet


Art. 14 Informationspflicht

Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

Name und Kontaktdaten des für die Datenerhebung Verantwortlichendie Kontaktdaten des Datenschutzbeauftragtendie Zwecke und die Rechtsgrundlage der Verarbeitungdas berechtigte Interesse des Verantwortlichen oder eines DrittenEmpfänger der personenbezogenen Datendie Absicht der Übermittlung an ein Drittland oder eine internationale Organisation…


Art. 15 Auskunftsrecht

Das Datensubjekt hat das Recht auf Auskunft über

die voraussichtliche Dauer der Datennutzungdie betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechtedas Recht auf jederzeitigen Widerruf der Einwilligungdas Beschwerderecht bei einer Aufsichtsbehördedie Bereitstellung der personenbezogenen Dateneine automatische Entscheidungsfindung


Art. 17 Recht auf Löschung

Die betroffene Person hat das Recht, von dem Verantwort-lichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden… wenn:

Die personenbezogenen Daten nicht mehr notwendig sind Die Einwilligung zur Datenverarbeitung widerrufen wird und es keine anderweitigen Rechtsgrundlage vorliegt.Wiederspruch gegen die Verarbeitung eingelegt wird und es keine vorrangig berechtigten Gründe vorliegenpersonenbezogenen Daten unrechtmäßig verarbeitet wurden ...

Wurden die personenbezogenen Daten öffentlich gemacht sind andere verantwortliche Stellen darüber zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten sowie von Kopien verlangt.


Art. 8 Einwilligung eines Kindes

Eine Einwilligung in die Datenverarbeitung personenbezogener Daten ist erst mit 16 Jahren möglich ist.

Zuvor bedarf es der elterlichen Einwilligung.

Eine nachträgliche Genehmigung ist ausdrücklich ausgeschlossen


Art. 35 Datenschutz-Folgenabschätzung

Eine Datenschutzfolgenabschätzung muss durchgeführt werden, wenn durch die Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet.Verarbeitung von sensitiven personenbezogener Daten (genetischen Daten, biometrischen Daten, sexuelle Orientierung … Art. 9 I)Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten


Art. 33 Meldung an die Aufsichtsbehörde

Tritt ein Datenleck auf meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde.

Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

Alle bekannten Fakten zum Datenleck inkl. Auswirkungen und der ergriffenen Abhilfemaßnahmen müssen dokumentiert werden.

Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.


Art. 33 Benachrichtigung der betroffenen Person

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich

Die Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält Informationen und Empfehlungen.


Art. 83 Geldbußen

Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs … je nachdem, welcher der Beträge höher ist u.a. bei Verstoß gegen:

die Grundsätze für die Verarbeitung inkl. Einwilligung

die Rechte der betroffenen Person

Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation

Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde oder Nichtgewährung des Zugangs


Auftragsverarbeiter in der DSGVO

Kapitel 4 - Verantwortlicher und Auftragsverarbeiter

Zusätzlich zu Artikel 11 BDSG u.a.:

Art. 30 I Schriftliches Verzeichnis von VerarbeitungstätigkeitenArt. 30 II Schriftliches Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der VerarbeitungArt 30 IV Zur Ferfügungstellung des Verzeichnis auf Anfrage

Art 31 Zusammenarbeit mit der Aufsichtsbehörde

Art 44 Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation nur unter Vorgabe der DSGVO


Next Steps


Checkliste für Unternehmen

Sensibilisierung Geschäftsführung, Datenschutzbeauftragten

Welche personenbezogenen Daten sind wo im Unternehmen

Risikoanalyse des Unternehmen und der Geschäftsbereiche

Bestandsaufnahme sämtlicher Prozesse und Verfahren in denen personenbezogene Daten verarbeitet werden

Gap-Analyse. Strukturierter Abgleich des Ist-Zustandes mit dem künftigen Soll-Zustand

Mitarbeiterschulungen und Anpassungen bei bestehenden Betriebsvereinbarungen


Outputs

High-Level-Gap-Analyse und Risk-Assessment auf GrundlegendeGDPR Fragestellungen

Erfassen von Verantwortlichen, Prozessen und eingesetztenTechnologien.Erste Maßnahmeempfehlungen

Process

Beantwortung der Frage: Wo steht das Unternehmen heute bei der Umsetzung der DSGVO

Outcome: High-Level-Gap-Analyse und Risk-AssesmentInputs

2 tägigerWorkshop

Arbeitszeit definierter Stakeholder

Arbeitszeit Insight ConsultantInsight DSGVO Fragebogen

Client

Insight

DSGVO Discovery Workshop


Pre-workshop questionnaire

completed by client

Review pre-workshop questionnaire and iterate any missing data

Workshop

GAP analysis of workshop data

Present Results

1 week 2 weeks 2 days 1 week 1 day

DSGVO Discovery Workshop - Timeline


Beispiele aus dem Workshop


Beispiele für Fragen aus dem Workshop

Kann Ihre Organisation Auskunft über alle Orte geben an denen personenbezogene Daten unternehmens- oder konzernweit gespeichert sind

Können personenbezogene Daten kategorisiert werden?

Ist ein Tool im Einsatz mit dem aufgezeichnet wird wie, wo und von wem personenbezogene Daten verarbeitet werden?

Gibt es einen Prozess mit dem personenbezogene Daten lokalisiert und gelöscht werden können

Gibt es einen Prozess nach dem entscheiden wird welche personenbezogene Daten verschlüsselt gespeichert werden


Prozessdesign Am Beispiel Incident Management nach ISO/IEC 27035


Incident Response Management

Planen und Vorbereiten

Incident Response Plan (IRP) festlegen

Incident Response Team (IRT) etablieren

Maßnahmen für relevante und denkbare IS-Vorfälle definieren

Melde- und Kontaktlisten pflegen/veröffentlichen/ Awareness schaffen

Eskalationswege definieren



Erkennen und Annehmen

Eindeutige Meldewege und Verhaltensregeln für relevante Gruppen

Definierter Meldeprozess



Klassifizieren und Entscheiden

Prüfung und ggf. Verifikation des gemeldeten Vorfalls

Bei Bestätigung des Verdachts initiale Erfassung und Bewertung inkl. Risikoklassifizierung

Festlegen des weiteren Vorgehens/Zusammenstellen Incident Response Team (IRT)



Incident Response

Reaktion auf den IS-Vorfall gemäß vereinbartem Vorgehen

Organisatorisch: Kommunikation/Information

Technisch: Beweise sichern/Ursachenfindung, Forensik, Eindämmung, Beseitigung/ Wiederher-stellung



Lessons Learned/Nachbereitung

Formaler Abschluss

Reflexion/Identifikation von Verbesserungs -möglichkeiten

Documents

Herzlich Willkommen zum heutigen Webinar: EU Datenschutz ...€¦ · 1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener