Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Datenschutz-Management-System - warum, was wie?

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Datenschutz-Management-System - warum, was wie?

  1. 1. Datenschutz-Management-System – warum, was, wie? DSMS IN DER PRAXIS
  2. 2. ©2022 Privacy Xperts Datenschutz-Management-System Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
  3. 3. Agenda: 1. Warum benötige ich ein Datenschutz-Management-System? 2. Kann ich das selbst machen? 3. Gibt es dafür eine Software? ©2022 Privacy Xperts Datenschutz-Management-System
  4. 4. Warum benötige ich ein DSMS? ©2021 Privacy Xperts
  5. 5. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Art. 5 Abs. 2 DSGVO  „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Art. 24 Abs. 1 DSGVO  „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
  6. 6. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Art. 32 Abs. 1 lit. d) DSGVO  „Unter Berücksichtigung des Stands der Technik [...] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: [...] d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
  7. 7. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Dokumentation Risikoanalyse geeignete TOMs Datenschutz- Folgenabschätzung Bereitstellung von Informationen Meldepflicht bei Datenpannen DSB-Benennung Privacy by design / by default …
  8. 8. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Datenpanne Risiko Meldung an Behörde binnen 72 Std. Begründung bei evtl. Verspätung hohes Risiko zusätzl. Meldung an Betroffene unverzüglich klare & einfache Sprache
  9. 9. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Auskunftsanfrage Betroffener bekannt Antwortschreiben (Art. 12, 15) Betroffener nicht bekannt Negativauskunft Identitätsfeststellung
  10. 10. ©2022 Privacy Xperts Warum benötige ich ein DSMS? PLAN (Risikobeurteilung & Planung TOMs) DO (Umsetzung der TOMs) CHECK (Risiko- neubewertung) ACT (ggf. Anpassung der TOMs)
  11. 11. Kann ich das selbst machen? ©2021 Privacy Xperts
  12. 12. ©2022 Privacy Xperts Kann ich das selbst machen? fremde Produkte / Dienstleistungen DIY (Do it yourself)  zahlreiche Tools am Markt, von kostenfrei bis teuer, von klein bis groß, lokale oder Cloud-Angebote  div. Software mit Mustern, Vorlagen, z.T. auch mit KI  aber: Gibt es das eine Tool, was exakt zu mir passt (Einsatzbereich, Funktionen, Benutzerführung, Preis…)?  keine exakten gesetzlichen Vorgaben  es wird nur das Ziel bestimmt, nicht der Weg dorthin  Vorteil: Ich kann meine eigene Methode wählen und es selbst machen.  Nachteil: Ich muss meine eigene Methode wählen und es selbst machen.
  13. 13. ©2022 Privacy Xperts Kann ich das selbst machen? SDM ISO 27701 BSI IT- Grundschutz VdS 10010
  14. 14. ©2022 Privacy Xperts Kann ich das selbst machen? Grobgliederung  0. Rollen / Zuständigkeiten  I. DSB  II. Informationspflichten  III. Datenschutz-Dokumentation / TOMs  IV. Einwilligungen  V. Datenübermittlung  VI. Betroffenenrechte  VII. Datenpannen  VIII. DSFA  IX. Privacy by design / Privacy by default  X. Schulung / Sensibilisierung  XI. Sanktionen Art. 37-39; §§ 5-7 BDSG Art. 12, 13, 14 Art. 30, 32 (vgl. § 64 BDSG) Art. 7 Art. 26, 28, 44 ff. Art. 15 ff., 7 Abs. 3, 77 Art. 33, 34 Art. 35, 36 Art. 25 Abs. 1, 2 vgl. u.a. Art. 39 Abs. 1 lit. b) Art. 82, 83; § 42 BDSG
  15. 15. ©2022 Privacy Xperts Kann ich das selbst machen? … ggf. mit mehr Details…  II. Informationspflichten • 1. Online (Website / Social Media) − Menüpunkt korrekt benannt & platziert? − alle Pflichtinhalte vorhanden? − in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache? Pflichtinhalte: Name + Kontaktdaten Verantwortlicher (Art. 13 Abs. 1 lit. a) ggf. Name + Kontaktdaten EU-Vertreter (Art. 13 Abs. 1 lit. a) ggf. Kontaktdaten DSB (Art. 13 Abs. 1 lit. b) Verarbeitungszwecke (Art. 13 Abs. 1 lit. c) Rechtsgrundlage(n) (Art. 13 Abs. 1 lit. c) ggf. Angabe der berechtigten Interessen (Art. 13 Abs. 1 lit. d) ggf. Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) ggf. Absicht zur Datenübermittlung in Drittstaat (Art. 13 Abs. 1 lit. f) Dauer der Datenspeicherung / Kriterien für Festlegung der Dauer (Art. 13 Abs. 2 lit. a) Hinweis auf Betroffenenrechte (Art. 13 Abs. 2 lit. b-d) ob Bereitstellung der Daten gesetzl. oder vertragl. vorgeschrieben ist (Art. 13 Abs. 2 lit. e) Bestehen einer automatisierten Entscheidungsfindung (Art. 13 Abs. 2 lit. f) ggf. Zweckänderung (Art. 13 Abs. 3 bzw. Art. 14 Abs. 4) ggf. Kategorien pb Daten (Art. 14 Abs. 1 lit. d) ggf. Angabe der Quelle bzw. ob pb Daten aus einer öffentl. Quelle stammen (Art. 14 Abs. 2 lit. f)
  16. 16. ©2022 Privacy Xperts Kann ich das selbst machen?
  17. 17. ©2022 Privacy Xperts Kann ich das selbst machen?
  18. 18. Gibt es dafür eine Software? ©2021 Privacy Xperts
  19. 19.  Checkliste Datenschutz-Software:  individuelles Anforderungsprofil erstellen  eigenes Budget ermitteln  Zuständigkeiten / Verantwortlichkeiten abklären  Marktübersicht verschaffen*  mögliche Kandidaten eingrenzen (Ausschlussverfahren)  Test-Version ordern / Praxistests durchführen / an Hersteller- Webinaren etc. teilnehmen * z.B. mit Hilfe des Youtube-Kanals von „mth Training“ ©2022 Privacy Xperts Gibt es dafür eine Software?
  20. 20.  Kriterien:  Grundsatzentscheidung: eigene Lösung oder von Drittanbieter?  Technik: Cloud oder lokal / int. Netzwerk?  Einsatzzweck: gesamte Datenschutz-Doku / -Organisation oder nur spezielle Aufgaben (VVT, DSFA, Mitarbeiter-Schulung, Audit…)?  Zugriffsmöglichkeiten: ein Benutzer oder mehrere (DST)?  Funktion: Nutzung als int. oder ext. DSB?  Priorität: Funktionsumfang, Benutzerführung, Flexibilität…?  Automatisierung: mit oder ohne „KI“? ©2022 Privacy Xperts Gibt es dafür eine Software?
  21. 21. ©2022 Privacy Xperts Gibt es dafür eine Software? Cloud-Vorteile Cloud-Nachteile  viele versch. Lösungen am Markt  keine spezielle Technik, sondern nur Internetzugang erforderlich  Anbieter kümmert sich um Erreichbarkeit, Updates, Support etc.  Software wird anbieterseits stets aktuell gehalten und bekommt u.U. auch neue Funktionen  Zugriff kann von überall erfolgen  gleichzeitiger Zugriff von mehreren Personen  effizientes Arbeiten im Team  nicht unbedingt auf die eigenen individuellen Anforderungen zugeschnitten  z.T. recht hohe Kosten  gebunden an den Anbieter („Vendor lock-in“)  Datenimport / -export möglich?  Installation, Updates etc. können nach eigenen Vorstellungen durchgeführt werden  erschwerte Zugriffsmöglichkeit durch Dritte bzw. von außen  Lösung mittels Standardsoftware, wie Word oder Excel, möglich  z.T. sensible Daten über Unternehmen verlassen die „eigene Sphäre“
  22. 22. ©2022 Privacy Xperts Gibt es dafür eine Software? Beispiele Datenschutz-Tools* 2B Advice Proliance 360 OneTrust Verinice DPMS DSD-Easy 2.0 DocSetMinder Data Agenda Guardileo Audatis Manager Datenschutzverwaltung heyData DSGVO App Brandeis Digital ER-Secure DSGVO Tool SDM-Arbeitshilfe der Stiftung Datenschutz WEKA Manager Verarbeitungstätigkeiten Zentrales Datenschutz- managementsystem ZDMS MoeWe Datenschutz-Tool Ecomply caralegal Robin Data CNIL PIA Software DSGVO Compliance Kit 2.0 Preeco Privacysoft Datenschutzeinfach.com Privacy Port Akarion Priware Otris Privacy DSGVO Vorlagen VVT Easy Intervalid DataGuard Weprido DSM-Online foxondo … * ergänzende Liste z.B. beim BvD e.V. unter www.bvdnet.de/datenschutz-softwareuebersicht
  23. 23. ©2021 Privacy Xperts Datenschutz-Management-System Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Welche Methode bzw. Software nutzen Sie?

×