Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sofortmaßnahmen DS-GVO

Veröffentlicht von:Gerhard Brinkerhoff Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sofortmaßnahmen DS-GVO"—  Präsentation transkript:

1 Sofortmaßnahmen DS-GVO
1/23/2020 Sofortmaßnahmen DS-GVO Datenschutz in für Unternehmen in Stefan Kröger Zertifizierter Datenschutzbeauftragte (IHK) Zertifizierter Compliance-Beauftragter (TAW) Zertifizierter IT-Sicherheitsbeauftragter (TÜV)

2 Risiken Risikobewertung von Abmahnungen / Anzeigen
1/23/2020 Risiken Risikobewertung von Abmahnungen / Anzeigen Abmahnanwälte  Motivation: Umsatz mit wenig Aufwand bei hohem Automatisierungsgrad Mitbewerber  Motivation: Schaden zuzuführen gekündigte Mitarbeiter  Motivation: Verbesserung der Verhandlungsposition Abgelehnte Bewerber  Motivation: Rache Familienmitglieder  Motivation: Rache Sonstige Neider  Motivation: Rache Aufsichtsbehörden  Motivation: Anzeigen Dritter oder akuter Vorfall Eine Übersicht der Einflusskriterien von Aufsichtsbehörden auf das Strafmaß finden Sie im Anhang.

3 ZIEL: Risikominimierung
1/23/2020 Risiken ZIEL: Risikominimierung Gesamtrisiko Gesamtrisiko Risiko-vermeidung Gesamtrisiko Risiko-verminderung Gesamtrisiko Risiko-übertragung Risiko-übernahme

4 1/23/2020 Sofortmassnahmen Wo liegen die größten Risiken? Homepage Fehlerhafte Datenschutzerklärung (Link zum Generator) Fotos von Personen ohne deren Einwilligung Erfassungsfelder ohne Link zur Datenschutzerklärung (Kontaktformular, Newsletter- oder Shop-Anmeldung, etc.)   Ich akzeptiere die Datenschutzerklärung (*Pflichtfeld) Pflichtfelder deren Daten dem Prinzip der Datensparsamkeit widersprechen Keine separate -Adresse für Bewerbungen

5 Themenschwerpunkte Die Themen
1/23/2020 Themenschwerpunkte Die Themen Grundsätze für die Verarbeitung – Art. 5 DS-GVO Rechtmäßigkeit der Verarbeitung – Art. 6 DS-GVO Einwilligung – Art. 7 DS-GVO Informationspflichten an Betroffene – Artt. 13, 14 DS-GVO Auftragsverarbeitung (AV) - Art. 28 DS-GVO und Technische und organisatorische Maßnahmen (TOM) – Art. 32 DS-GVO Rechte der Betroffenen Artt. 15 – 23 DS-GVO Datenschutzbeauftragter Art DS-GVO

6 Grundsätze der Verarbeitung
1/23/2020 Grundsätze der Verarbeitung

7 Allgemeiner Grundsatz
1/23/2020 Allgemeiner Grundsatz Verbot mit Erlaubnisvorbehalt WAS NICHT AUSDRÜCKLICH ERLAUBT IST, IST VERBOTEN! Weitere Informationen finden Sie hier:

8 Grundsätze für die Verarbeitung
1/23/2020 Grundsätze für die Verarbeitung Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a DS-GVO) Rechtmäßig nach Treu und Glauben und Transparent Grundsatz der Zweckbindung Nur für festgelegte, eindeutige und legitime Zwecke Grundsatz der Datenminimierung Erhebung nur der Daten, die für den Zweck benötigt werden Grundsatz der Speicherbegrenzung Verarbeitung nur solange es für den Zweck erforderlich ist Grundsatz der Richtigkeit Daten müssen sachlich richtig sein oder gelöscht werden Grundsatz der Integrität und Vertraulichkeit Sicherheit der Daten und Zugriffsbeschränkung Weitere Informationen finden Sie hier: Art. 5 DS-GVO

9 Grundsätze für die Verarbeitung
1/23/2020 Grundsätze für die Verarbeitung Verantwortung und Nachweispflicht Verantwortlicher ist für die Einhaltung der Grundsätze verantwortlich Rechenschaftspflicht, d. h. er muss den Nachweis erbringen können Dokumentation von Prozessen und Maßnahmen Aufbau eines Datenschutzmanagement-Systems u.a. Verzeichnisse für Verarbeitungstätigkeiten (VVT) Datenschutz-Folgenabschätzung (DS-FA) Dokumentation von Schulungen Nachweis gültiger Einwilligungen Weitere Informationen finden Sie hier: Art. 5 DS-GVO

10 Wann ist eine Verarbeitung erlaubt?
1/23/2020 Wann ist eine Verarbeitung erlaubt?

11 Verarbeitung personenbezogener Daten
1/23/2020 Verarbeitung personenbezogener Daten Die Verarbeitung ist nur erlaubt wenn… eine Einwilligung des Betroffenen vorliegt ein rechtswirksamer Vertrag besteht sie zur Erfüllung einer rechtlichen Verpflichtung dient ein berechtigtes Interesse existiert und keine Grundrechte von Betroffenen verletzt werden Weitere Informationen finden Sie hier: Art. 6 DS-GVO

12 Sofortmassnahmen Prüfen der Verarbeitungszwecke
1/23/2020 Sofortmassnahmen Prüfen der Verarbeitungszwecke Zweckgebundene Verarbeitung Vermeidung von Redundanzen Löschen oder Vernichten nicht mehr benötigter Daten Reduzieren von Erfassungsfelder auf das „Nötigste“ Umsetzen des Need-to-Know-Prinzips Schutz von Daten bzw. Datenträgern Datenschutz-Managements-System einführen Beachten Sie die Rechtmäßigkeit der Verarbeitung

13 Informationen an Betroffene
1/23/2020 Informationen an Betroffene

14 Informationspflichten an Betroffene
1/23/2020 Informationspflichten an Betroffene Erhebung beim Betroffenen Informationenpflichten zum Zeitpunkt der Verarbeitung Namen und Kontaktdaten des Verantwortlichen Kontaktdaten des DSB (bei Bedarf) Zweck und Rechtsgrundlage der Verarbeitung ein berechtigtes Interesse muss angegeben werden Empfänger der Daten (bei Bedarf) Beabsichtigte Übermittlung an Drittland (bei Bedarf) Ausnahme Kenntnis des Betroffenen u n m i t t e l b a r Weitere Informationen finden Sie hier: Art. 13 DS-GVO:

15 Informationspflichten an Betroffene
1/23/2020 Informationspflichten an Betroffene Erhebung beim Betroffenen Bereitstellung weiterer Informationen: Dauer der Speicherung Hinweis zum Auskunftsrecht Widerrufsrecht bei Einwilligung Lösch-, Korrektur-, Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung Nachweis über die Erforderlichkeit Beschwerderecht Erfordernis der Bereitstellung und Folgen einer Nichtbereitstellung Hinweis reicht! Weitere Informationen finden Sie hier: Art. 13 DS-GVO:

16 Informationspflichten an Betroffene
1/23/2020 Informationspflichten an Betroffene Beispiele für die Erhebung beim Betroffenen Adresserfassung Anmeldung für einen Newsletter Eingehende/r oder Anruf Eingehende Online-Bewerbung Foto- oder Videoaufnahmen Kontaktformulare auf der Homepage Buchungsportale Weitere Informationen finden Sie hier: Art. 13 DS-GVO:

17 Informationspflichten an Betroffene
1/23/2020 Informationspflichten an Betroffene Erhebung nicht beim Betroffenen Zusätzlich zur vorangegangenen Folie Namen und Kontaktdaten des DSB Quellennachweis Mitteilung über die Pflichtangaben bei der ersten Kommunikation oder innerhalb eines Monats Ausnahmen: unverhältnismäßiger Aufwand Kenntnis des Betroffenen Erfassung erfolgt um rechtliche Ansprüche geltend zu machen Sofern die Daten für einen anderen Zweck weiterverarbeitet werden sollen, muss der Betroffene hierüber informiert werden . Weitere Informationen finden Sie hier: Art. 14 DS-GVO: § 33 BDSG n.F.:

18 Informationspflichten an Betroffene
1/23/2020 Informationspflichten an Betroffene Beispiele für die Erhebung nicht beim Betroffenen Übermittlung oder Weiterleitung von Adressen Reklamationsabwicklung Tätigkeit einer Hausverwaltung Handwerkerdienstleistungen Monteurleistungen Adressrecherche im Internet oder in Medien Weitere Informationen finden Sie hier: Art. 13 DS-GVO:

19 1/23/2020 Sofortmassnahmen Hinweispflichten erfüllen (Erfassung personenbezogener Daten) (offline) Formulare ergänzen Zusätzlicher Text (Disclaimer) unter der Signatur (siehe Anhang) Autoresponse für auf der Homepage veröffentlichte -Adressen Newsletter-Anmeldung Kontaktformular etc.

20 Die Auftrags- verarbeitung
1/23/2020 Die Auftrags- verarbeitung

21 Auftragsverarbeitung (AV)
1/23/2020 Auftragsverarbeitung (AV) Auftragsverarbeiter (Art. 4 Abs. 8 DS-GVO) „Auftragsverarbeiter“ eine natürliche oder juristische Person, …, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; Ziel: Risikominimierung insbesondere zur Vermeidung physischer, materieller oder immaterieller Schäden Verantwortliche muss den Prozess durchführen, der DSB berät nur. Dokumentation zur Nachweispflicht White-Lists der Aufsichtsbehörden geben Weitere Informationen finden Sie hier: Art. 4 DS-GVO:

22 Auftragsverarbeitung (AV)
1/23/2020 Auftragsverarbeitung (AV) Auftragsverarbeitung Verarbeitung durch einen Dritten (Auftragnehmer AN) Auftrag mit Weisungsbindung des AN Basiert auf Vertrag oder vergleichbarem Rechtsinstrument Auftraggeber bleibt Verantwortlicher aber Gesamtschuldnerische Haftung! Weitere Informationen finden Sie hier: Art. 28 DS-GVO:

23 Auftragsverarbeitung (AV)
1/23/2020 Auftragsverarbeitung (AV) Rechte und Pflichten des Auftraggeber Sorgfaltspflicht bei der Auswahl Prüfung der Garantien in Bezug auf Sicherheit der Verarbeitung Recht zur Durchführung regelmäßiger Datenschutzaudits Pflicht zur Vertragsgestaltung Weisungsbefugnis Weitere Informationen finden Sie hier: § 11 BDSG: Art. 28 DS-GVO:

24 Auftragsverarbeitung (AV)
1/23/2020 Auftragsverarbeitung (AV) Beispiele für eine Auftragsverarbeitung Hosting von Fremddaten Administration und Wartung von IT-Systemen Vernichtung von Datenträgern, Akten Cloudlösungen Lohn- und Gehaltsabrechnungen Finanzbuchhaltung Lettershop Weitere Informationen finden Sie hier: Art. 28 DS-GVO:

25 Technische und organisatorische Maßnahmen (TOM)
1/23/2020 Technische und organisatorische Maßnahmen (TOM) Sicherheit in der Verarbeitung Berücksichtigung von des Stand der Technik, Kosten und Risiko Vertraulichkeit Pseudonymisierung Integrität Verfügbarkeit und Belastbarkeit Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Datenschutzmanagement Umgang mit Störfällen (Incident-Response-Management) Unter den Begriffen finden wir die alten Bekannten: Vertraulichkeit: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle Integrität: Weitergabekontrolle, Eingabekontrolle Verfügbarkeit: rasche Wiederherstellung Verfahren zur Überprüfung: Auftragskontrolle Weitere Informationen finden Sie hier: Art. 32 DS-GVO:

26 Auftragsverarbeitung (AV)
1/23/2020 Auftragsverarbeitung (AV) Lösungsvorschlag Sprechen Sie Ihren Dienstleister auf ein Vertragsmuster zur Auftragsverarbeitung an oder schauen Sie hier nach: main.ihk.de/recht/themen/datenschutzrecht/muster_auftragsverarbeitung/index.html Eine Vorlage für TOMs finden Sie hier: organisatorische-Massnahmen.pdf Weitere Informationen finden Sie hier: Art. 28 DS-GVO:

27 1/23/2020 Betroffenenrechte

28 Rechte von Betroffenen
1/23/2020 Rechte von Betroffenen Jeder Betroffene hat ein Auskunftsrecht darüber, ob Daten verarbeitet werden, welche Daten verarbeitet werden (Kategorien), wozu die Daten verarbeitet werden (Zweck der Verarbeitung), von wem die Daten verarbeitet werden (Empfänger), das es weitere Rechte gibt (Beschwerderecht, etc.), ob eine automatisierte Entscheidung erfolgt, wie lange die Verarbeitung dauert (Dauer oder Kriterien für die Festlegung). Auf Wunsch stellt der Verantwortlich eine Kopie der verarbeiten Daten zur Verfügung. Das Recht auf Löschen greift, wenn die Daten für die Verarbeitung nicht mehr benötigt werden, ein Widerruf vorliegt, die Daten unrechtmäßig verarbeitet wurden Weitere Informationen finden Sie hier: Art. 15 DS-GVO:

29 Rechte von Betroffenen
1/23/2020 Rechte von Betroffenen Betroffene haben grundsätzlich das Recht auf Berichtigung Löschung („Recht auf Vergessenwerden“) Einschränkung der Verarbeitung Datenübertragbarkeit Widerrufs einer Einwilligung Widerspruch der Verarbeitung Das Recht auf Löschen greift, wenn die Daten für die Verarbeitung nicht mehr benötigt werden, ein Widerruf vorliegt, die Daten unrechtmäßig verarbeitet wurden Weitere Informationen finden Sie hier: Artt DS-GVO:

30 Finale

31 Kontaktdaten Stefan Kröger Audit-NRW GmbH Freigerichtstr. 10
33378 Rheda-Wiedenbrück Tel: Stefan Kröger Geschäftsführer

32 Anhang Liebe Leserin/lieber Leser,
DISCLAIMER lang Gemäß Artikel 13 DS-GVO sind wir verpflichtet, Betroffene" über die Erhebung ihrer personenbezogenen Daten zu informieren. Zweck der Verarbeitung: Die personenbezogenen Daten des Betroffenen werden verarbeitet, um Ihre Anfragen bearbeiten zu können. Erhobene Daten: Für diesen Zweck verarbeiten wir personenbezogene Daten wie Namen, Adresse und Kommunikationsdaten (Telefon, Mobilfunknummer und/oder ). Ohne eine Verarbeitung dieser Daten ist die Bearbeitung Ihrer Anfrage nicht möglich. Rechtsgrundlage: Die Verarbeitung erfolgt nach den Rechtsgrundlagen Vertragsbeziehung (Art. 6 Abs. 1 lit. b DS-GVO) oder rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DS-GVO). Empfänger der Daten: Empfänger der Daten sind die für die Bearbeitung Ihrer Anfrage zuständigen Fachabteilungen der FIRMA. Die Verarbeitung erfolgt DS-GVO-konform unter Berücksichtigung der technischen und organisatorischen Maßnahmen der FIRMA. Die Verarbeitung findet auf den IT-Systemen der FIRMA statt. Weitergabe an Dritte: Eine Weitergabe personenbezogener Daten erfolgt nur, sofern es hierfür eine gesetzliche Verpflichtung gibt oder eine Einwilligung des Betroffenen vorliegt. Dauer der Verarbeitung: Sofern nicht eine gesetzliche Pflicht entgegensteht, werden die personenbezogenen Daten nur bis zum Erreichen des Zwecks oder wenn der Zweck nicht mehr erreicht werden kann von uns verarbeitet und anschließend gelöscht. Andernfalls erfolgt die Löschung nach Ablauf der Aufbewahrungsfrist. Rechte des Betroffenen: Nach Art. 15 DS-GVO hat jeder Betroffene umfangreiche Auskunftsrechte; über den Verarbeitungszweck, die Kategorien von Daten, deren Empfänger oder über ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Darüber hinaus steht jedem Betroffenen nach Art. 16 bis 20 DS-GVO hinsichtlich der personenbezogenen Daten das Recht auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung und auf Datenübertragung zu. Weitere Informationen finden Sie in den Datenschutzbestimmungen der FIRMA: Liebe Leserin/lieber Leser, Sie können diese Texte gern kostenlos in Ihre Prozesse einbinden. Wir weisen jedoch darauf hin, dass wie keine Garantie für die Vollständigkeit und Korrektheit der Texte übernehmen! Ihre Audit-NRW GmbH DISCLAIMER kurz Informationspflichten gemäß Artikel 13 DS-GVO Verarbeitungszweck: Beantwortung Ihrer -Anfrage. Erhobene Daten: personenbezogene Daten wie Namen, Adresse und Kommunikationsdaten ohne deren Verarbeitung ist die Bearbeitung Ihrer Anfrage nicht möglich. Rechtsgrundlagen: Vertragsbeziehung (Art. 6 Abs. 1 lit. b DS-GVO) oder rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DS-GVO). Empfänger der Daten: die für die Bearbeitung Ihrer Anfrage zuständigen Fachabteilungen der FIRMA. Die Verarbeitung erfolgt DS-GVO-konform auf Systemen der FIRMA unter Berücksichtigung der technischen und organisatorischen Maßnahmen. Weitere Informationen:

33 Ermessenspielraum der Aufsichtsbehörde
1/23/2020 Ermessenspielraum der Aufsichtsbehörde Woran bemisst sich das Strafmaß (Art. 83 DS-GVO in V. m. § 41, 43 BDSG n.F.) Art, Schwere und Dauer des Verstoßes Fähigkeit zur Erfüllung der Aufgaben (Art. 83 Abs. 2 lit. a. DS-GVO) Vorsatz oder Fahrlässigkeit (Art. 83 Abs. 2 lit. b. DS-GVO) Schadensmindernde Maßnahmen (Art. 83 Abs. 2 lit. c. DS-GVO) Grad der Verantwortung in Bezug auf die TOMs (Art. 83 Abs. 2 lit. d. DS-GVO) Vorangegangene Verstöße (Art. 83 Abs. 2 lit. e. DS-GVO) Kooperationsbereitschaft mit der Aufsichtsbehörde (Art. 83 Abs. 2 lit. f. DS-GVO) Kategorien von Daten, die betroffen sind (Art. 83 Abs. 2 lit. g. DS-GVO) Wie der Verstoß der Aufsichtsbehörde bekannt wurde (Art. 83 Abs. 2 lit. h. DS-GVO) Vorangegangene Maßnahmen der Aufsichtsbehörde nach Art. 58 Abs. 2 DS-GVO (Art. 83 Abs. 2 lit. j. DS-GVO) Weitere erschwerende oder mildernde Umstände (Art. 83 Abs. 2 lit. k. DS-GVO) Weitere Informationen finden Sie hier: Art. 83 DS-GVO: § 41 BDSG n.F.:

Herunterladen ppt "Sofortmaßnahmen DS-GVO"

Ähnliche Präsentationen

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz in the small

Datenschutz in the small
Sie haben Schmerzen.

Sie haben Schmerzen.
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
DatenschutzManagement mit Verinice

DatenschutzManagement mit Verinice
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.

Betroffenenrechte entsprechend der EU DS-GVO – Alter Wein in neuen Schläuchen?  Dr. Bernd Schütze conhIT-Satellitenveranstaltung, 18 April 2016 GMDS-Arbeitsgruppe.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.

Mti Berufsgruppe der Meister, Techniker, Ingenieure und Naturwissenschaftler mti/AIN-Bayern.
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r
Datenschutz und Datensicherheit

Datenschutz und Datensicherheit
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Das neue Datenschutzrecht der EU

Das neue Datenschutzrecht der EU
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
29. November 2017 Konferenz DatenTag Berlin

29. November 2017 Konferenz DatenTag Berlin

Ähnliche Präsentationen

Google-Anzeigen