Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

KSW Informationsabend: Aktuelles zur DSGVO

Veröffentlicht von:Helga Gundi Schuster Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "KSW Informationsabend: Aktuelles zur DSGVO"—  Präsentation transkript:

1 KSW Informationsabend: Aktuelles zur DSGVO
StB Mag. Anja Cupal Graz, 25. April 2018

2 Intention der DSGVO mehr Transparenz gegenüber Aufsichtsbehörde, Kunden, Mitarbeitern Pflicht zur Löschung und Berichtigung von Daten strenge Informations-, Dokumentations- und Nachweispflichten Ernennung eines Datenschutzbeauftragten? Rechtsschutz personenbezogener Daten natürlicher Personen Verzeichnis der Verarbeitungstätigkeiten Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion

3 Kurzer Überblick über die DSGVO
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion Was ist die Datenschutz-Grundverordnung? Rechtlicher Rahmen: Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016: „Datenschutz-Grundverordnung – DSGVO“ EU-weites Gesamtregelwerk und ersetzt nationale Datenschutzgesetze Gültig ab 25. Mai 2018 Wen betrifft die DSGVO? Jede natürliche und juristische Person innerhalb der EU, die personenbezogene Daten verarbeitet, sowie natürliche und juristische Personen aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten Was sind wesentliche Vorgaben? Einhaltung der DSGVO gegenüber der Aufsichtsbehörde (= Datenschutzbehörde, DSB) muss nachweisbar sein Schutz personenbezogener Daten wird ausgeweitet Strenge Informations-, Dokumentations- und Nachweispflichten Pflicht zur Löschung und Berichtigung von Daten Mehr Transparenz gegenüber Aufsichtsbehörden, Kunden, Mitarbeiterinnen und Mitarbeitern Schwerwiegende Verstöße sind der Aufsichtsbehörde und den betroffenen Personen zu melden Ernennung eines Datenschutzbeauftragten Durchführung und Dokumentation von regelmäßigen Risikobewertungen und Datenschutz- Folgenabschätzungen Wie werden Verstöße geahndet? Strafrahmen: Verwaltungsstrafe von bis zu 4 % des Konzernumsatzes bzw. EUR 20 Millionen (je nachdem, welcher Wert höher ist) DSGVO Art 1-3

4 Die wichtigsten Definitionen
DSGVO Aufsichtsbehörde Datenschutzbehörde der Republik Österreich Verarbeitung jeder Vorgang in Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob der Vorgang mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird (nicht nur elektronische Verarbeitung) Dritter eine natürliche oder juristische Person oder andere Stelle, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Verantwortlicher eine natürliche oder juristische Person oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Verletzung Schutz Daten (Data Breach) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung/Verlust/Veränderung/ unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt Besondere Kategorien von Daten Daten in Bezug auf zB Religion, ethnische Herkunft, politische Meinung, biometrische Daten, Gewerkschaftszugehörigkeit, Gesundheitsdaten, sexuelle Orientierung Auftragsverarbeiter eine natürliche oder juristische Person oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet TOMs Technische und Organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau der Rechte und Freiheiten natürlicher Personen zu gewährleisten Empfänger eine natürliche oder juristische Person oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion DSGVO Art 4

5 Erstellung von Verträgen zur gemeinsamen Verantwortung / Auftragsverarbeitung
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Erstellung von Verträgen zur gemeinsamen Verantwortung (Art 26) Legen zwei oder mehrere Verantwortliche die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche: In einer transparenten Vereinbarung ist festzuhalten, wer welche Verpflichtung erfüllt Festlegung, wer welchen Informationspflichten nachkommt Vereinbarung muss tatsächliche Funktion widerspiegeln Auftragsverarbeitung (Art 28): vertragliche Grundlagen Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Gegenstand des Vertrages sind - Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien betroffener Personen Pflichten und Rechte des Verantwortlichen Beispiele für Auftragsverarbeiter sind folgende Dienstleister: IT (zB Serverbereitstellung), Post, HR (zB Headhunter) DSGVO Art 26, Art 28

6 Verträge über eine Auftragsverarbeitung WKO-Mustervertrag für die Auftragsverarbeitung
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Quelle: „ Mustervertrag für die Auftragsverarbeitung“, Abruf am 15. März 2018 DSGVO Art 28

7 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. (Art 30) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfängern Datenübermittlung ins Drittland Löschfristen für Datenkategorien allgemeine Beschreibung der TOMs DSGVO Art 30

8 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Allgemeine Angaben zur Verarbeitungstätigkeit LfNr .: 9 Name der Verarbeitungstätigkeit: 9 Steuerberatung für Klienten 9.1 Allfällige gemeinsam Verantwortliche Keine. Die Verarbeitung erfolgt unter der alleinigen Verantwortung der Kanzlei. 9.2 Verarbeitungszwecke/Rechtsgrundlagen Ausübung von Beratungstätigkeiten im Bereich des Steuerrechts, Beratung und Vertretung in Beitrags - , Versicherungs Leistungsangelegenheiten der Sozialversicherungen sowie vor Verwaltungsgerichten Verwaltungsbehörden gesetzlich anerkannten Kirchen Religionsgemeinschaften Beitragsangelegenheiten sonstige Übernahme Treuhandaufgaben Verwaltung Vermögen Berechtigungsumfang 2 WTBG 2017 . Die Verarbeitung personenbezogenen Daten erfolgt auf Basis rechtlichen allfälligen vertraglichen Verpflichtungen, Einwilligung Betroffenen zur Wahrung berechtigter Interessen Kanzlei 9.3 Kategorien Betroffener - Klienten allfällige Familienangehörige von Klienten (sofern Klienten natürliche Personen sind) derzeitige und ehemalige Mitarbeiter des Klienten allfällige Organwalter und sonstige Funktionsträger des Klienten Gesellschafter des Klienten (sofern es sich bei den Klienten um Personengesellschaften handelt) Geschäftspartner des Klienten Quelle: KSW, DSGVO-Newsletter 02/2018 vom DSGVO Art 30

9 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion 9.4 Datenkategorien Speicherdauer Bis zum Ablauf der einschlägigen Verjährungs - und Aufbewahrungsfristen ; darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden . Datenkategorie Bezeichnung . 9.4.1 Stammdaten und Personenstandsdaten Klienten und derer Angehörigen 9 4 2 Daten iZm einer allfälligen Konzernstruktur 9.4.3 Unternehmensspezifische Daten des Klienten zur Erfüllung gesetzlicher Meldeverpflichtungen 9.4.4 der Erstellung der Steuererklärung 9.4.5 Steuerberatung und Spezialberatung inklusive Rechtsmittel BFG und VwGH 9.4.6 finanzstrafrechtlicher Beratung und Verteidigung inklusive Rechtsmittel 9.4.7 Unterstützung im gerichtlichen Finanzstrafverfahren gem 199 FinStrG 9.4.8 Begleitung als Vertrauensperson weitere Kategorien siehe Verzeichnis der Verarbeitungstätigkeiten Quelle: KSW, DSGVO-Newsletter 02/2018 vom DSGVO Art 30

10 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion 9.5 Kategorien von Empfängern welche selbst Verantwortliche sind Sitz des Empfängers („EWR“ oder Name des Landes, Kategorie von Empfängern wenn außerhalb des EWR) . B 5 Anlass 1 9 Verwaltungsbehörden 2 Gerichte 3 Körperschaften des öffentlichen Rechtes 9.5.4 Vertragspartner, die an der Lieferung oder Leistung mitwirken bzw. mitwirken sollen Versicherungen aus Abschlusses eines Versicherungsvertrages über die Leistung oder Eintritts Versicherungsfalles (z Haftpflichtversicherung) 6 Weitere vom Klienten bestimmte Empfänger Rechtsanwälte, Vertragspartner) 9 . 6 Kategorien von Empfängern welche für die Kanzlei als Auftragsverarbeiter tätig sind Sitz des Empfängers („EWR“ oder Name des Landes, Kategorie von Empfängern wenn außerhalb des EWR) - IT Dienstleister EWR 9.7 Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen Siehe beiliegende Sicherheitsrichtlinie Quelle: KSW, DSGVO-Newsletter 02/2018 vom DSGVO Art 30

11 Der Datenschutzbeauftragte
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Ein Datenschutzbeauftragter ist im nicht-öffentlichen Bereich zu benennen, wenn die Kerntätigkeit eines Verantwortlichen / Auftragsverarbeiters in einem der folgenden Punkte besteht: Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Durchführung von umfangreicher Verarbeitung „besonderer Daten“ (gemäß Art 9 und 10) Keine Notwendigkeit zur Ernennung eines Datenschutzbeauftragten. Freiwillige Ernennung immer möglich. Ernennung eines Datenschutz-beauftragten (Art 37) Nein Ja DSGVO Art 37

12 Der Datenschutzbeauftragte
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Aufgaben Unterrichtung und Beratung des Verantwortlichen zur DSGVO Überwachung der Einhaltung der DSGVO Beratung zur und Überwachung der Datenschutz-Folgenabschätzung Zusammenarbeit mit der DSB Anlaufstelle für die DSB NICHT verpflichtet, Verzeichnis über Verarbeitungstätigkeiten zu führen Stellung im Unternehmen interner oder externer Datenschutzbeauftragter darf keinen Interessenskonflikt haben agiert weisungsfrei nicht abberufbar aufgrund seiner Tätigkeit berichtet an Top Management Ebene erhält notwendige Unterstützung und Ressourcen zur Erfüllung seiner Aufgabe Ansprechperson für Betroffene DSGVO Art 38 und 39

13 Sicherstellung der Rechte der betroffenen Person
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion natürliche Person Auskunfts-recht (Art 15) Recht auf Berichtigung (Art 16) Recht auf Löschung („Vergessen-werden“) (Art 17) Recht auf Einschränkung der Verarbeitung (Art 18) Recht auf Datenüber-tragbarkeit (Art 20) Wider-spruchsrecht (Art 21) DSGVO Art 15-21

14 To-Do-Liste bis zum 25. Mai 2018
Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO Fragen und Diskussion Verpflichtung zur Ernennung eines Datenschutzbeauftragten prüfen Art 37 Verpflichtung zur Erstellung einer Datenschutz-Folgeabschätzung prüfen Art 35 Überblick über bestehende Datenverarbeitungstätigkeiten verschaffen Planung / Erarbeitung des Verzeichnisses der Verarbeitungstätigkeiten Art 30 Informationsschreiben an Mitarbeiter / Klienten / Lieferanten Art 13,14 Bestimmung von Prozessen betreffend Rechte betroffener Personen Schaffung technischer Möglichkeiten betreffend Herausgabeverlangen Art 15-21 Art 20 Umsetzung technischer und organisatorischer Maßnahmen Zutrittskontrollen (zB Regelungen Zutritt Büroräumlichkeiten) Zugangskontrollen (zB Passwortrichtlinie) Zugriffskontrollen (zB Zugangsrechte jedes Mitarbeiters zu personenbezogenen Daten) Art 32 Definition Prozess für möglichen Data Breach Art 33

15 Ihre Ansprechpartnerin bei Fragen
Mag. Anja Cupal Steuerberaterin | Partnerin Tel.: +43 (1) SK AT HU SI HR RO RS BG AL CZ PL Datenschutz-Grundverordnung Ablaufplan zur Erfüllung der DSGVO Fragen und Diskussion Laufende Steuerberatung Steuerliche Spezialberatung Immobilien Bauwirtschaft Holdinggesellschaften und Konzerne Privatpersonen und Privatstiftungen Stellv. Leiterin des Kompetenz Centers „Verfahrensrecht / BAO / Finanzstrafrecht“ Zertifizierte Finanzstrafrechtsexpertin Fachautorin und Vortragende Beratungs- und Branchenschwerpunkte: Finanzstrafrechtsberatung Steuerstrukturierung / National und International Bauherren- und Beteiligungsmodelle

16

Herunterladen ppt "KSW Informationsabend: Aktuelles zur DSGVO"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Chancen und Probleme bei der Zusammenarbeit mit dem Rechtspfleger

Chancen und Probleme bei der Zusammenarbeit mit dem Rechtspfleger
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018

Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018
Vorratsdatenspeicherung

Vorratsdatenspeicherung
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
Das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit
DSGVO im Mai endet die Übergangsfrist

DSGVO im Mai endet die Übergangsfrist
Datenschutzgrundverordnung (DSGVO)

Datenschutzgrundverordnung (DSGVO)
Willkommen I think there is a world market for maybe five computers

Willkommen I think there is a world market for maybe five computers
Betrieblicher Datenschutz - DSGVO

Betrieblicher Datenschutz - DSGVO
HR Business Club Salzburg

HR Business Club Salzburg

Ähnliche Präsentationen

Google-Anzeigen