DSGVO im Mai endet die Übergangsfrist Dipl.-Ing. Britta Wellmann IT-Sachverständige für Datenbanksysteme und Computerkriminalität zertifizierte Datenschutzbeauftragte (TÜV) DMI professional diploma in digital marketing www.cheyenne-Blog.de
www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann Agenda Datenschutz Grundrechtschutz ist Die wichtigsten Änderungen Was ist jetzt zu tun? Rechte der Betroffenen /(Auswahl) Informationspflichten und Einwilligungen Arbeitnehmerdatenschutz Der betr. Datenschutzbeauftragte Bußgelder Die Aufsichtsbehörde www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
DSGVO Datenschutzgrundverordung regelt den Umgang mit elektronisch gespeicherten, personenbezogenen Daten für die europ. Mitgliedsstaaten Warum DSGVO? Regelt den Datenschutz im Bereich der EU Ziel ist die Harmonisierung der Gesetzeslage In jedem EU-Land gelten somit dieselben Regelungen Wurde vor 2 Jahren veröffentlicht. Am 25. Mai 2018 endet die Übergangsfrist, ab dann wird die vollzogene Umsetzung erwartet! www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
personenbezogene Daten Beispiele Wiederholung Name, Vorname Adresse Geburtsdatum Kontaktdaten (Telefon, Fax, Mailadresse) … Es reicht irgend ein Bezug zu einer natürlichen Person! www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Elektronische Speicherung/Verarbeitung Beispiele Wiederholung Email Verteiler Datenbanken MS-Excellisten Listen für Seriendrucke MS-Word Dokumente Lohnbuchhaltung …… www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann DSGVO was ist neu? Zulässigkeit der Verarbeitung muss mittels Rechtsgrundlage nachgewiesen werden Erweiterte Rechenschafts- und Informationspflichten Recht auf Datenübertragbarkeit techn. und organisatorische Sicherheit bei der Datenverarbeitung Datenschutz-Folgenabschätzung Meldungen von Datenschutzverstößen an die Aufsichtsbehörde Konsultationsrecht der Aufsichtsbehörde …… www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Verzeichnis der Verarbeitungs-tätigkeiten Wiederholung Verfahrensverzeichnisse sind für jeden! Prozess zu erstellen, in dem personenbezogene Daten verarbeitet werden. Kundendaten Beschäftigtendaten Daten von Kindern Daten, die als Auftragsverarbeiter verarbeitet werden Datenübertragungen Verzeichnis von Verarbeitungstätigkeiten Art. 30 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Zulässigkeit der Verarbeitung Nach neuem Recht benötigen Sie für jede! Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Dies kann eine gesetzliche Regelung oder eine Einwilligung der Betroffenen sein. Resultierende ToDos? Rechtsgrundlagen überprüfen bereits erteilte Einwilligungen überprüfen Dokumentationen auf Vollständigkeit prüfen Muster für Einwilligungen überprüfen Art. 6-11 DS-GVO Kap 1 BDSGneu www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Recht auf Datenübertragbarkeit Die betroffene Person hat das Recht, die sie betreffen-den personenbezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Ver-antwortlichen ohne Behinderung, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Art. 20 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Rechenschafts- und Informationspflichten 1/2 Die Rechenschafts- und Informationspflichten wurden im neuen Gesetz zugunsten des Betroffenen erheblich erweitert, Beispiele: Kontaktdaten des Verantwortlichen und des betr. Datenschutzbeauftragten Zweck der Datenspeicherung und die jeweilige Rechtsgrundlage im Falle einer Übermittlung müssen die Empfänger und ggf. zusätzlich die Grundlage für den Datentransfer angegeben werden Art. 12-14 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Rechenschafts- und Informationspflichten 2/2 die Dauer der Speicherung oder Kriterien für die Festlegung der Speicherdauer Hinweise auf die Rechte des Betroffenen bei von Dritten erhobenen Daten einen Hinweis auf die Quelle, aus der die Daten stammen. Hinweise auf Widerspruch und Einschaltung der Aufsichtsbehörde … Art. 12-14 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Einwilligungen konkret 1/3 Verständliche, klare Sprache in Schriftform Recht auf Widerruf, die Rechtmäßigkeit der Verarbeitung bis zum Widerruf, bleibt unberührt Der Widerruf muß so einfach erfolgen können, wie die Einwilligung … Art. 7 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Einwilligungen konkret 2/3 Inhalte Namen und Kontaktdaten des Verantwortlichen und ggf. Vertreter Kontaktdaten des DSB Zweck und Rechtsgrundlage der Verarbeitung ggf. Empfänger bzw. Kategorien v. Empfängern ggf. Informationen über die Datenübermittlung in ein Drittland Dauer der Datenspeicherung Nennung der Rechte auf Auskunft, Löschung, Berichtigung Art. 13 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Einwilligungen konkret 3/3 Inhalte Hinweis auf Widerspruchsrechte, Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit Recht auf Beschwerde bei der Aufsichtsbehörde ggf. Informationen darüber, ob die Speicherung auf Basis einer Gesetzesgrundlage oder dieser Einwilligung erfolgt, und ob der Verantwortliche verpflichtet ist, die Daten zu speichern und was eine Unterlassung zur Folge hätte …. Diese Informationen müssen dem Betroffenen mitgeteilt werden, falls der Verantwortliche die Daten nicht bei dem Betroffenen direkt erhoben hat. Art. 13 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
techn. und organisatorische Sicherheit privacy by design und privacy by default Datenschutz durch Technikgestaltung. Einsatz von Verschlüsselungsverfahren passende Rollen-und Berechtigungskonzepte Im Vorfeld Datenschutzanforderungen z.B. bei der Entwicklung neuer Software benennen … Art.25+32 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Datenschutzfolgenabschätzung Die Datenschutzfolgenabschätzung ersetzt die schon früher vorhandene Vorabkontrolle, bei: besonders schützenswerten Daten systematisch umfassenden Auswertungstools (scoring) hohen Risiken durch Verwendung neuer Technologien ToDo: Für Datenschutzfolgenabschätzungen sollte ein Prozess etabliert werden. Art.35 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Meldung von Verstößen an die Aufsichtsbehörde Es ist ein Prozeß zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde einzuführen Einhaltung einer Meldefrist von 72 Stunden Zuständigkeiten sind zu definieren und zu dokumentieren Nennung des bDSB bei der Aufsichtsbehörde Art.33 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Wer benötigt einen betr. Datenschutzbeauftragten? alle anderen müssen natürlich trotzdem DS-GVO und BDSGneu einhalten Unternehmen in denen regelmäßig mehr als 9 Personen auf elektr. gespeicherte personenbezogene Daten zugreifen. Unternehmen, die im Bereich Markt- und Meinungsforschung tätig sind, haben unabhängig von der Anzahl Mitarbeiter einen DSB zu bestellen. Auftragsverarbeiter Art.37 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Stellung des betr. Datenschutzbeauftragten im Unternehmen Die Accountability liegt beim Verantwortlichen! Leitung des Unternehmens Verantwortlicher in Sinne des Gesetzes betr. Datenschutz Beratung DS und Controlling interne IT-Abteilung Beratung IT Wird der Datenschutz nicht regelmäßig, nachweisbar und fachkundig wahrgenommen, gilt der DSB als nicht bestellt! Der DSB ist bei allen Planungen, Änderungen u.ä. in Bezug auf Systeme, die pers. bez. Daten verarbeiten, hinzuzuziehen www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Rechte/Pflichten §4f betr. Datenschutzbeauftragten hat Anrecht auf regelm. Weiterbildung Der DSB ist organisatorisch dem Leiter des Unternehmens direkt zu unterstellen Er ist in Ausübung seiner Tätigkeit weisungsfrei Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden Muss den erforderlichen Zeitrahmen eingeräumt bekommen, regelmäßig seiner Tätigkeit nachkommen zu können Unterliegt einem besonderen Kündigungs-schutz, dieser gilt ein weiteres Jahr nach Niederlegung seiner Tätigkeit Hat Zugriff auf alle relevanten Daten im Unternehmen Art.38 DS-GVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Arbeitnehmerdatenschutz bekannte Regelungen Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungs-verhältnisses verarbeitet werden. Verarbeitung von Beschäftigtendaten zur Aufdeckung einer Straftat …. §26 BDSGn www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Arbeitnehmerdatenschutz neue/modifizierte Regelungen 1/2 Bes. schützenswerte Daten: z.B.: Religion, pol. Meinung, Gesund- heitsdaten… Der Beschäftigtenbegriff wurde auf Leiharbeitnehmer ausgedehnt. Alle Regelungen nach §26 gelten auch, wenn die Daten nicht elektr. gespeichert werden. Besonders schützenswerte Daten dürfen jetzt nur gespeichert werden, wenn eine Rechts-grundlage besteht und das schutzwürdige Interesse der betreffenden Person nicht überwiegt. diese Daten unterliegen einem besonderen Schutz, dafür ist der Verantwortliche zuständig! §26 BDSGn www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Arbeitnehmerdatenschutz neue/modifizierte Regelungen 2/2 Es ist die Einwilligung des Betroffenen erforderlich Hierzu sind natürlich immer die Pflichten des AG in Bezug auf arbeitsrechtliche Fragen abzuwägen §26 BDSGn www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Bußgelder und Sanktionen Datenschutz ist Grundrechtsschutz Leichte Verstöße bis zu 10 Mio € oder bis zu 2% des weltweiten Jahresumsatzes Schwere Verstöße bis zu 20 Mio € oder bis zu 4% des weltweiten Jahresumsatzes Die Aufsichtsbehörde darf Bestellungen von DSB widerrufen Art. 83 DSGVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann Resultierende ToDOs privacy by design privacy by default Überprüfung aller Verfahrensverzeichnisse auf Vollständigkeit und Rechtsgrundlagen Überprüfung aller Einwilligungen. Sind Gründe, Art der Daten und Rechte der Betroffenen ausführlich genannt? Überprüfung der Prozesse für Anfragen von Betroffenen, Löschprozesse u.ä., Meldungen von Verstößen an die Aufsichtsbehörde etc. Dokumentation der Herkunft von Daten vorhanden? DSB nächste Schulungen, Erweiterung der Fachkunde www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann Die Aufsichtsbehörde Recht auf Konsultaton, Antwort <= 8 Wochen Zuständig für die Anwendung von BDSGneu und DSGVO In jedem Bundesland vertreten Darf Unternehmen prüfen Darf Bußgelder festlegen Berät und informiert Hält Vorträge zu verschiedenen DS relevanten Themen Bietet Kurzpapiere und relevante Informationen im Netz Kapitel 6 DSGVO www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Sonstige Vorträge und Workshops Kundendatenschutz und Werbung Erstellung von Verarbeitungsverzeichnissen Datenschutzfolgenabschätzungen Videoüberwachung DSGVO für Vereine Datenschutz durch Technik … www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann
Ich bedanke mich für Ihr Interesse! Meine Tätigkeitsschwerpunkte: Betrieblicher Datenschutz Gutachtenerstellung Analyse von Datenbanksystemen Internetsecurity und Forensik im Schadensfall Internet und Social Media Einführung von Incident-Response-Prozessen Softwareentwicklung, Web und Klassisch Entwicklung von Maintenancesystemen Mobile Apps.. Training & Consulting … Besuchen Sie auch meinen Blog www.cheyenne-blog.de www.cheyenne-Blog. de * Dipl.-Ing. Britta Wellmann