Weitere ähnliche Inhalte
Ähnlich wie Datenschutz-Management-System - warum, was wie? (20)
Mehr von Michael Rohrlich (20)
Datenschutz-Management-System - warum, was wie?
- 2. ©2022 Privacy Xperts
Datenschutz-Management-System
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
- 3. Agenda:
1. Warum benötige ich ein Datenschutz-Management-System?
2. Kann ich das selbst machen?
3. Gibt es dafür eine Software?
©2022 Privacy Xperts
Datenschutz-Management-System
- 5. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Art. 5 Abs. 2 DSGVO
„Der Verantwortliche ist für die
Einhaltung des Absatzes 1
verantwortlich und muss dessen
Einhaltung nachweisen können
(„Rechenschaftspflicht“).“
Art. 24 Abs. 1 DSGVO
„Der Verantwortliche setzt unter
Berücksichtigung der Art, des Umfangs, der
Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der
Risiken für die Rechte und Freiheiten
natürlicher Personen geeignete technische
und organisatorische Maßnahmen um, um
sicherzustellen und den Nachweis dafür
erbringen zu können, dass die Verarbeitung
gemäß dieser Verordnung erfolgt. Diese
Maßnahmen werden erforderlichenfalls
überprüft und aktualisiert.“
- 6. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Art. 32 Abs. 1 lit. d) DSGVO
„Unter Berücksichtigung des Stands der Technik [...] treffen der Verantwortliche und
der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um
ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen gegebenenfalls unter anderem Folgendes ein:
[...]
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.“
- 7. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Dokumentation Risikoanalyse geeignete TOMs
Datenschutz-
Folgenabschätzung
Bereitstellung von
Informationen
Meldepflicht bei
Datenpannen
DSB-Benennung
Privacy by design /
by default
…
- 8. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Datenpanne
Risiko
Meldung an
Behörde
binnen 72 Std.
Begründung bei
evtl. Verspätung
hohes Risiko
zusätzl. Meldung
an Betroffene
unverzüglich
klare & einfache
Sprache
- 9. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Auskunftsanfrage
Betroffener bekannt
Antwortschreiben
(Art. 12, 15)
Betroffener nicht
bekannt
Negativauskunft
Identitätsfeststellung
- 10. ©2022 Privacy Xperts
Warum benötige ich ein DSMS?
PLAN
(Risikobeurteilung
& Planung TOMs)
DO
(Umsetzung der
TOMs)
CHECK
(Risiko-
neubewertung)
ACT
(ggf. Anpassung
der TOMs)
- 12. ©2022 Privacy Xperts
Kann ich das selbst machen?
fremde Produkte / Dienstleistungen DIY (Do it yourself)
zahlreiche Tools am Markt, von kostenfrei
bis teuer, von klein bis groß, lokale oder
Cloud-Angebote
div. Software mit Mustern, Vorlagen, z.T.
auch mit KI
aber: Gibt es das eine Tool, was exakt zu mir
passt (Einsatzbereich, Funktionen,
Benutzerführung, Preis…)?
keine exakten gesetzlichen Vorgaben
es wird nur das Ziel bestimmt, nicht der Weg
dorthin
Vorteil: Ich kann meine eigene Methode
wählen und es selbst machen.
Nachteil: Ich muss meine eigene Methode
wählen und es selbst machen.
- 14. ©2022 Privacy Xperts
Kann ich das selbst machen?
Grobgliederung
0. Rollen / Zuständigkeiten
I. DSB
II. Informationspflichten
III. Datenschutz-Dokumentation / TOMs
IV. Einwilligungen
V. Datenübermittlung
VI. Betroffenenrechte
VII. Datenpannen
VIII. DSFA
IX. Privacy by design / Privacy by default
X. Schulung / Sensibilisierung
XI. Sanktionen
Art. 37-39; §§ 5-7 BDSG
Art. 12, 13, 14
Art. 30, 32 (vgl. § 64 BDSG)
Art. 7
Art. 26, 28, 44 ff.
Art. 15 ff., 7 Abs. 3, 77
Art. 33, 34
Art. 35, 36
Art. 25 Abs. 1, 2
vgl. u.a. Art. 39 Abs. 1 lit. b)
Art. 82, 83; § 42 BDSG
- 15. ©2022 Privacy Xperts
Kann ich das selbst machen?
… ggf. mit mehr Details…
II. Informationspflichten
• 1. Online (Website / Social Media)
− Menüpunkt korrekt benannt &
platziert?
− alle Pflichtinhalte vorhanden?
− in präziser, transparenter,
verständlicher und leicht
zugänglicher Form in einer klaren
und einfachen Sprache?
Pflichtinhalte:
Name + Kontaktdaten Verantwortlicher (Art. 13 Abs. 1 lit. a)
ggf. Name + Kontaktdaten EU-Vertreter (Art. 13 Abs. 1 lit. a)
ggf. Kontaktdaten DSB (Art. 13 Abs. 1 lit. b)
Verarbeitungszwecke (Art. 13 Abs. 1 lit. c)
Rechtsgrundlage(n) (Art. 13 Abs. 1 lit. c)
ggf. Angabe der berechtigten Interessen (Art. 13 Abs. 1 lit. d)
ggf. Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e)
ggf. Absicht zur Datenübermittlung in Drittstaat (Art. 13 Abs. 1 lit. f)
Dauer der Datenspeicherung / Kriterien für Festlegung der Dauer
(Art. 13 Abs. 2 lit. a)
Hinweis auf Betroffenenrechte (Art. 13 Abs. 2 lit. b-d)
ob Bereitstellung der Daten gesetzl. oder vertragl. vorgeschrieben ist
(Art. 13 Abs. 2 lit. e)
Bestehen einer automatisierten Entscheidungsfindung (Art. 13 Abs. 2 lit. f)
ggf. Zweckänderung (Art. 13 Abs. 3 bzw. Art. 14 Abs. 4)
ggf. Kategorien pb Daten (Art. 14 Abs. 1 lit. d)
ggf. Angabe der Quelle bzw. ob pb Daten aus einer öffentl. Quelle
stammen (Art. 14 Abs. 2 lit. f)
- 19. Checkliste Datenschutz-Software:
individuelles Anforderungsprofil erstellen
eigenes Budget ermitteln
Zuständigkeiten / Verantwortlichkeiten abklären
Marktübersicht verschaffen*
mögliche Kandidaten eingrenzen (Ausschlussverfahren)
Test-Version ordern / Praxistests durchführen / an Hersteller-
Webinaren etc. teilnehmen
* z.B. mit Hilfe des Youtube-Kanals von „mth Training“
©2022 Privacy Xperts
Gibt es dafür eine Software?
- 20. Kriterien:
Grundsatzentscheidung: eigene Lösung oder von Drittanbieter?
Technik: Cloud oder lokal / int. Netzwerk?
Einsatzzweck: gesamte Datenschutz-Doku / -Organisation oder nur
spezielle Aufgaben (VVT, DSFA, Mitarbeiter-Schulung, Audit…)?
Zugriffsmöglichkeiten: ein Benutzer oder mehrere (DST)?
Funktion: Nutzung als int. oder ext. DSB?
Priorität: Funktionsumfang, Benutzerführung, Flexibilität…?
Automatisierung: mit oder ohne „KI“?
©2022 Privacy Xperts
Gibt es dafür eine Software?
- 21. ©2022 Privacy Xperts
Gibt es dafür eine Software?
Cloud-Vorteile Cloud-Nachteile
viele versch. Lösungen am Markt
keine spezielle Technik, sondern nur
Internetzugang erforderlich
Anbieter kümmert sich um Erreichbarkeit,
Updates, Support etc.
Software wird anbieterseits stets aktuell
gehalten und bekommt u.U. auch neue
Funktionen
Zugriff kann von überall erfolgen
gleichzeitiger Zugriff von mehreren
Personen
effizientes Arbeiten im Team
nicht unbedingt auf die eigenen individuellen
Anforderungen zugeschnitten
z.T. recht hohe Kosten
gebunden an den Anbieter („Vendor lock-in“)
Datenimport / -export möglich?
Installation, Updates etc. können nach eigenen
Vorstellungen durchgeführt werden
erschwerte Zugriffsmöglichkeit durch Dritte
bzw. von außen
Lösung mittels Standardsoftware, wie Word
oder Excel, möglich
z.T. sensible Daten über Unternehmen
verlassen die „eigene Sphäre“
- 22. ©2022 Privacy Xperts
Gibt es dafür eine Software?
Beispiele Datenschutz-Tools*
2B Advice Proliance 360 OneTrust
Verinice DPMS DSD-Easy 2.0
DocSetMinder Data Agenda Guardileo
Audatis Manager Datenschutzverwaltung heyData
DSGVO App Brandeis Digital ER-Secure DSGVO Tool
SDM-Arbeitshilfe der
Stiftung Datenschutz
WEKA Manager
Verarbeitungstätigkeiten
Zentrales Datenschutz-
managementsystem ZDMS
MoeWe Datenschutz-Tool Ecomply caralegal
Robin Data CNIL PIA Software DSGVO Compliance Kit 2.0
Preeco Privacysoft Datenschutzeinfach.com
Privacy Port Akarion Priware
Otris Privacy DSGVO Vorlagen VVT Easy
Intervalid DataGuard Weprido
DSM-Online foxondo …
* ergänzende Liste z.B. beim BvD e.V. unter www.bvdnet.de/datenschutz-softwareuebersicht