Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Berufsanwärtertag 2018: Aktuelles zur DSGVO

Veröffentlicht von:Heini Michel Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Berufsanwärtertag 2018: Aktuelles zur DSGVO"—  Präsentation transkript:

1 Berufsanwärtertag 2018: Aktuelles zur DSGVO
Ing. Mag. Thomas Kölblinger Landesstelle Steiermark, 15./

2 Intention der DSGVO Verzeichnis der Verarbeitungstätigkeiten
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO 3. Fragen und Diskussion Ernennung eines Datenschutzbeauftragten? strenge Informations-, Dokumentations- und Nachweispflichten Pflicht zur Löschung und Berichtigung von Daten Rechtsschutz personenbezogener Daten natürlicher Personen mehr Transparenz gegenüber Aufsichtsbehörde, Kunden, Mitarbeitern Seite 2

3 Kurzer Überblick über die DSGVO
Was ist die Datenschutz-Grundverordnung? Rechtlicher Rahmen: Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27. April 2016: „Datenschutz-Grundverordnung – DSGVO“ EU-weites Gesamtregelwerk und ersetzt nationale Datenschutzgesetze Gültig ab 25. Mai 2018 Wen betrifft die DSGVO? Jede natürliche und juristische Person innerhalb der EU, die personenbezogene Daten verarbeitet, sowie natürliche und juristische Personen aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten Was sind wesentliche Vorgaben? Einhaltung der DSGVO gegenüber der Aufsichtsbehörde (= Datenschutzbehörde, DSB) muss nachweisbar sein Schutz personenbezogener Daten wird ausgeweitet Strenge Informations-, Dokumentations- und Nachweispflichten Pflicht zur Löschung und Berichtigung von Daten Mehr Transparenz gegenüber Aufsichtsbehörden, Kunden, Mitarbeiterinnen und Mitarbeitern Schwerwiegende Verstöße sind der Aufsichtsbehörde und den betroffenen Personen zu melden Ernennung eines Datenschutzbeauftragten Durchführung und Dokumentation von regelmäßigen Risikobewertungen und Datenschutz- Folgenabschätzungen Wie werden Verstöße geahndet? Strafrahmen: Verwaltungsstrafe von bis zu 4 % des Konzernumsatzes bzw. EUR 20 Millionen (je nachdem, welcher Wert höher ist) DSGVO Art 1-3 Seite 3

4 Die wichtigsten Definitionen
Personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Aufsichtsbehörde Verarbeitung jeder Vorgang in Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob der Vorgang mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird (nicht nur elektronische Verarbeitung) Datenschutzbehörde der Republik Österreich TOMs Verantwortlicher Technische und Organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau der Rechte und Freiheiten natürlicher Personen zu gewährleisten eine natürliche oder juristische Person oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet DSGVO Besondere Kategorien von Daten Auftragsverarbeiter Daten in Bezug auf zB Religion, ethnische Herkunft, politische Meinung, biometrische Daten, Gewerkschaftszugehörigkeit, Gesundheitsdaten, sexuelle Orientierung eine natürliche oder juristische Person oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet Verletzung Schutz Daten (Data Breach) Empfänger eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung/Verlust/Veränderung/ unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt eine natürliche oder juristische Person oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht Dritter eine natürliche oder juristische Person oder andere Stelle, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten DSGVO Art 4 Seite 4

5 Erstellung von Verträgen zur gemeinsamen Verantwortung / Auftragsverarbeitung
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Erstellung von Verträgen zur gemeinsamen Verantwortung (Art 26) Legen zwei oder mehrere Verantwortliche die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche: In einer transparenten Vereinbarung ist festzuhalten, wer welche Verpflichtung erfüllt Festlegung, wer welchen Informationspflichten nachkommt Vereinbarung muss tatsächliche Funktion widerspiegeln Auftragsverarbeitung (Art 28): vertragliche Grundlagen Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrages, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Gegenstand des Vertrages sind Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung Art der personenbezogenen Daten Kategorien betroffener Personen Pflichten und Rechte des Verantwortlichen Beispiele für Auftragsverarbeiter sind folgende Dienstleister: IT (zB Serverbereitstellung), Post, HR (zB Headhunter) DSGVO Art 26, Art 28 Seite 5

6 Verträge über eine Auftragsverarbeitung
WKO-Mustervertrag für die Auftragsverarbeitung 1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Quelle: „ Mustervertrag für die Auftragsverarbeitung“, Abruf am 15. März 2018 DSGVO Art 28 Seite 6

7 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. (Art 30) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfängern Datenübermittlung ins Drittland Löschfristen für Datenkategorien allgemeine Beschreibung der TOMs DSGVO Art 30 Seite 7

8 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP Allgemeine Angaben zur Verarbeitungstätigkeit LfNr.: 9 Name der Verarbeitungstätigkeit: 9 Steuerberatung für Klienten 9.1 Allfällige gemeinsam Verantwortliche Keine. Die Verarbeitung erfolgt unter der alleinigen Verantwortung der Kanzlei. 9.2 Verarbeitungszwecke/Rechtsgrundlagen Ausübung von Beratungstätigkeiten im Bereich des Steuerrechts, Beratung und Vertretung in Beitrags-, Versicherungs- und Leistungsangelegenheiten der Sozialversicherungen sowie Vertretung vor Verwaltungsgerichten und Verwaltungsbehörden und vor gesetzlich anerkannten Kirchen und Religionsgemeinschaften in Beitragsangelegenheiten und sonstige Beratung sowie Übernahme von Treuhandaufgaben und Verwaltung von Vermögen im Berechtigungsumfang des § 2 WTBG 2017. Die Verarbeitung der personenbezogenen Daten erfolgt auf Basis von rechtlichen und allfälligen vertraglichen Verpflichtungen, der Einwilligung der Betroffenen und zur Wahrung berechtigter Interessen der Kanzlei. 9.3 Kategorien Betroffener Klienten allfällige Familienangehörige von Klienten (sofern Klienten natürliche Personen sind) derzeitige und ehemalige Mitarbeiter des Klienten allfällige Organwalter und sonstige Funktionsträger des Klienten Gesellschafter des Klienten (sofern es sich bei den Klienten um Personengesellschaften handelt) Geschäftspartner des Klienten 1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Quelle: KSW, DSGVO-Newsletter 02/2018 vom

9 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP 1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion 9.4 Datenkategorien Speicherdauer Bis zum Ablauf der einschlägigen Verjährungs- und Aufbewahrungsfristen; darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Datenkategorie Bezeichnung 9.4.1 Stammdaten und Personenstandsdaten Klienten und derer Angehörigen 9.4.2 Daten iZm einer allfälligen Konzernstruktur 9.4.3 Unternehmensspezifische Daten des Klienten zur Erfüllung gesetzlicher Meldeverpflichtungen 9.4.4 Daten iZm der Erstellung der Steuererklärung 9.4.5 Daten iZm Steuerberatung und Spezialberatung inklusive Rechtsmittel BFG und VwGH 9.4.6 Daten iZm finanzstrafrechtlicher Beratung und Verteidigung inklusive Rechtsmittel 9.4.7 Daten iZm Unterstützung im gerichtlichen Finanzstrafverfahren gem § 199 FinStrG 9.4.8 Daten iZm Begleitung als Vertrauensperson weitere Kategorien siehe Verzeichnis der Verarbeitungstätigkeiten Quelle: KSW, DSGVO-Newsletter 02/2018 vom

10 Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
KSW-Verzeichnis der Verarbeitungstätigkeiten für StB und WP 9.5 Kategorien von Empfängern welche selbst Verantwortliche sind Kategorie von Empfängern Sitz des Empfängers („EWR“ oder Name des Landes, wenn außerhalb des EWR) 9.5.1 Verwaltungsbehörden 9.5.2 Gerichte 9.5.3 Körperschaften des öffentlichen Rechtes 9.5.4 Vertragspartner, die an der Lieferung oder Leistung mitwirken bzw. mitwirken sollen 9.5.5 Versicherungen aus Anlass des Abschlusses eines Versicherungsvertrages über die Leistung oder des Eintritts des Versicherungsfalles (z.B. Haftpflichtversicherung) 9.5.6 Weitere vom Klienten bestimmte Empfänger (z.B. Rechtsanwälte, Vertragspartner) 9.6 Kategorien von Empfängern welche für die Kanzlei als Auftragsverarbeiter tätig sind IT-Dienstleister EWR 9.7 Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen Siehe beiliegende Sicherheitsrichtlinie 1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Quelle: KSW, DSGVO-Newsletter 02/2018 vom

11 Der Datenschutzbeauftragte
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Ein Datenschutzbeauftragter ist im nicht-öffentlichen Bereich zu benennen, wenn die Kerntätigkeit eines Verantwortlichen / Auftragsverarbeiters in einem der folgenden Punkte besteht: Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Ja Ernennung eines Datenschutz- beauftragten (Art 37) Nein Durchführung von umfangreicher Verarbeitung „besonderer Daten“ (gemäß Art 9 und 10) Ja Nein Keine Notwendigkeit zur Ernennung eines Datenschutzbeauftragten. Freiwillige Ernennung immer möglich. DSGVO Art 37 Seite 11

12 Der Datenschutzbeauftragte
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Aufgaben Stellung im Unternehmen interner oder externer Datenschutzbeauftragter darf keinen Interessenskonflikt haben agiert weisungsfrei nicht abberufbar aufgrund seiner Tätigkeit berichtet an Top Management Ebene erhält notwendige Unterstützung und Ressourcen zur Erfüllung seiner Aufgabe Ansprechperson für Betroffene Unterrichtung und Beratung des Verantwortlichen zur DSGVO Überwachung der Einhaltung der DSGVO Beratung zur und Überwachung des Datenschutz-Folgenabschätzung Zusammenarbeit mit der DSB Anlaufstelle für die DSB NICHT verpflichtet, Verzeichnis über Verarbeitungstätigkeiten zu führen DSGVO Art 38 und 39 Seite 12

13 Sicherstellung der Rechte der betroffenen Person
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Auskunfts- recht (Art 15) Wider- spruchsrecht (Art 21) Recht auf Berichtigung (Art 16) natürliche Person Recht auf Löschung („Vergessen- werden“) (Art 17) Recht auf Datenüber- tragbarkeit (Art 20) Recht auf Einschränkung der Verarbeitung (Art 18) DSGVO Art 15-21

14 To-Do-Liste seit dem 25. Mai 2018
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO Verträge zur gemeinsamen Verantwortung / Auftragsverarbeitung Verzeichnis der Verarbeitungstätigkeiten Datenschutzbeauftragter Rechte der betroffenen Person Umsetzung DSGVO 3. Fragen und Diskussion Verpflichtung zur Ernennung eines Datenschutzbeauftragten prüfen Art 37 Verpflichtung zur Erstellung einer Datenschutz-Folgeabschätzung prüfen Art 35 Überblick über bestehende Datenverarbeitungstätigkeiten verschaffen Planung / Erarbeitung des Verzeichnisses der Verarbeitungstätigkeiten Art 30 Informationsschreiben an Mitarbeiter / Klienten / Lieferanten Art 13,14 Bestimmung von Prozessen betreffend Rechte betroffener Personen Schaffung technischer Möglichkeiten betreffend Herausgabeverlangen Art 15-21 Art 20 Umsetzung technischer und organisatorischer Maßnahmen Zutrittskontrollen (zB Regelungen Zutritt Büroräumlichkeiten) Zugangskontrollen (zB Passwortrichtlinie) Zugriffskontrollen (zB Zugangsrechte jedes Mitarbeiters zu personenbezogenen Daten) Art 32 Definition Prozess für möglichen Data Breach Art 33

15 Ihr Ansprechpartner bei Fragen
1. Datenschutz-Grundverordnung 2. Ablaufplan zur Erfüllung der DSGVO 3. Fragen und Diskussion PL CZ SK AT HU RO SI HR RS BG Ing. Mag. Thomas Kölblinger Vizepräsident der KSW Steuerberater | Wirtschaftsprüfer AL

Herunterladen ppt "Berufsanwärtertag 2018: Aktuelles zur DSGVO"

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.

Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.
Chancen und Probleme bei der Zusammenarbeit mit dem Rechtspfleger

Chancen und Probleme bei der Zusammenarbeit mit dem Rechtspfleger
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018

Hans G. Zeger, DSGVO & Datenschutz-Anpassungsgesetz 2018
Vorratsdatenspeicherung

Vorratsdatenspeicherung
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
Das Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit
DSGVO im Mai endet die Übergangsfrist

DSGVO im Mai endet die Übergangsfrist
Datenschutzgrundverordnung (DSGVO)

Datenschutzgrundverordnung (DSGVO)
Willkommen I think there is a world market for maybe five computers

Willkommen I think there is a world market for maybe five computers
Betrieblicher Datenschutz - DSGVO

Betrieblicher Datenschutz - DSGVO

Ähnliche Präsentationen

Google-Anzeigen