SlideShare ist ein Scribd-Unternehmen logo
1 von 23
Datenschutz-Management-System –
warum, was, wie?
DSMS IN DER PRAXIS
©2022 Privacy Xperts
Datenschutz-Management-System
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Agenda:
1. Warum benötige ich ein Datenschutz-Management-System?
2. Kann ich das selbst machen?
3. Gibt es dafür eine Software?
©2022 Privacy Xperts
Datenschutz-Management-System
Warum benötige ich ein DSMS?
©2021 Privacy Xperts
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Art. 5 Abs. 2 DSGVO
 „Der Verantwortliche ist für die
Einhaltung des Absatzes 1
verantwortlich und muss dessen
Einhaltung nachweisen können
(„Rechenschaftspflicht“).“
Art. 24 Abs. 1 DSGVO
 „Der Verantwortliche setzt unter
Berücksichtigung der Art, des Umfangs, der
Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der
Risiken für die Rechte und Freiheiten
natürlicher Personen geeignete technische
und organisatorische Maßnahmen um, um
sicherzustellen und den Nachweis dafür
erbringen zu können, dass die Verarbeitung
gemäß dieser Verordnung erfolgt. Diese
Maßnahmen werden erforderlichenfalls
überprüft und aktualisiert.“
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Art. 32 Abs. 1 lit. d) DSGVO
 „Unter Berücksichtigung des Stands der Technik [...] treffen der Verantwortliche und
der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um
ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen gegebenenfalls unter anderem Folgendes ein:
[...]
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.“
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Dokumentation Risikoanalyse geeignete TOMs
Datenschutz-
Folgenabschätzung
Bereitstellung von
Informationen
Meldepflicht bei
Datenpannen
DSB-Benennung
Privacy by design /
by default
…
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Datenpanne
Risiko
Meldung an
Behörde
binnen 72 Std.
Begründung bei
evtl. Verspätung
hohes Risiko
zusätzl. Meldung
an Betroffene
unverzüglich
klare & einfache
Sprache
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
Auskunftsanfrage
Betroffener bekannt
Antwortschreiben
(Art. 12, 15)
Betroffener nicht
bekannt
Negativauskunft
Identitätsfeststellung
©2022 Privacy Xperts
Warum benötige ich ein DSMS?
PLAN
(Risikobeurteilung
& Planung TOMs)
DO
(Umsetzung der
TOMs)
CHECK
(Risiko-
neubewertung)
ACT
(ggf. Anpassung
der TOMs)
Kann ich das selbst machen?
©2021 Privacy Xperts
©2022 Privacy Xperts
Kann ich das selbst machen?
fremde Produkte / Dienstleistungen DIY (Do it yourself)
 zahlreiche Tools am Markt, von kostenfrei
bis teuer, von klein bis groß, lokale oder
Cloud-Angebote
 div. Software mit Mustern, Vorlagen, z.T.
auch mit KI
 aber: Gibt es das eine Tool, was exakt zu mir
passt (Einsatzbereich, Funktionen,
Benutzerführung, Preis…)?
 keine exakten gesetzlichen Vorgaben
 es wird nur das Ziel bestimmt, nicht der Weg
dorthin
 Vorteil: Ich kann meine eigene Methode
wählen und es selbst machen.
 Nachteil: Ich muss meine eigene Methode
wählen und es selbst machen.
©2022 Privacy Xperts
Kann ich das selbst machen?
SDM
ISO 27701
BSI IT-
Grundschutz
VdS 10010
©2022 Privacy Xperts
Kann ich das selbst machen?
Grobgliederung
 0. Rollen / Zuständigkeiten
 I. DSB
 II. Informationspflichten
 III. Datenschutz-Dokumentation / TOMs
 IV. Einwilligungen
 V. Datenübermittlung
 VI. Betroffenenrechte
 VII. Datenpannen
 VIII. DSFA
 IX. Privacy by design / Privacy by default
 X. Schulung / Sensibilisierung
 XI. Sanktionen
Art. 37-39; §§ 5-7 BDSG
Art. 12, 13, 14
Art. 30, 32 (vgl. § 64 BDSG)
Art. 7
Art. 26, 28, 44 ff.
Art. 15 ff., 7 Abs. 3, 77
Art. 33, 34
Art. 35, 36
Art. 25 Abs. 1, 2
vgl. u.a. Art. 39 Abs. 1 lit. b)
Art. 82, 83; § 42 BDSG
©2022 Privacy Xperts
Kann ich das selbst machen?
… ggf. mit mehr Details…
 II. Informationspflichten
• 1. Online (Website / Social Media)
− Menüpunkt korrekt benannt &
platziert?
− alle Pflichtinhalte vorhanden?
− in präziser, transparenter,
verständlicher und leicht
zugänglicher Form in einer klaren
und einfachen Sprache?
Pflichtinhalte:
Name + Kontaktdaten Verantwortlicher (Art. 13 Abs. 1 lit. a)
ggf. Name + Kontaktdaten EU-Vertreter (Art. 13 Abs. 1 lit. a)
ggf. Kontaktdaten DSB (Art. 13 Abs. 1 lit. b)
Verarbeitungszwecke (Art. 13 Abs. 1 lit. c)
Rechtsgrundlage(n) (Art. 13 Abs. 1 lit. c)
ggf. Angabe der berechtigten Interessen (Art. 13 Abs. 1 lit. d)
ggf. Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e)
ggf. Absicht zur Datenübermittlung in Drittstaat (Art. 13 Abs. 1 lit. f)
Dauer der Datenspeicherung / Kriterien für Festlegung der Dauer
(Art. 13 Abs. 2 lit. a)
Hinweis auf Betroffenenrechte (Art. 13 Abs. 2 lit. b-d)
ob Bereitstellung der Daten gesetzl. oder vertragl. vorgeschrieben ist
(Art. 13 Abs. 2 lit. e)
Bestehen einer automatisierten Entscheidungsfindung (Art. 13 Abs. 2 lit. f)
ggf. Zweckänderung (Art. 13 Abs. 3 bzw. Art. 14 Abs. 4)
ggf. Kategorien pb Daten (Art. 14 Abs. 1 lit. d)
ggf. Angabe der Quelle bzw. ob pb Daten aus einer öffentl. Quelle
stammen (Art. 14 Abs. 2 lit. f)
©2022 Privacy Xperts
Kann ich das selbst machen?
©2022 Privacy Xperts
Kann ich das selbst machen?
Gibt es dafür eine Software?
©2021 Privacy Xperts
 Checkliste Datenschutz-Software:
 individuelles Anforderungsprofil erstellen
 eigenes Budget ermitteln
 Zuständigkeiten / Verantwortlichkeiten abklären
 Marktübersicht verschaffen*
 mögliche Kandidaten eingrenzen (Ausschlussverfahren)
 Test-Version ordern / Praxistests durchführen / an Hersteller-
Webinaren etc. teilnehmen
* z.B. mit Hilfe des Youtube-Kanals von „mth Training“
©2022 Privacy Xperts
Gibt es dafür eine Software?
 Kriterien:
 Grundsatzentscheidung: eigene Lösung oder von Drittanbieter?
 Technik: Cloud oder lokal / int. Netzwerk?
 Einsatzzweck: gesamte Datenschutz-Doku / -Organisation oder nur
spezielle Aufgaben (VVT, DSFA, Mitarbeiter-Schulung, Audit…)?
 Zugriffsmöglichkeiten: ein Benutzer oder mehrere (DST)?
 Funktion: Nutzung als int. oder ext. DSB?
 Priorität: Funktionsumfang, Benutzerführung, Flexibilität…?
 Automatisierung: mit oder ohne „KI“?
©2022 Privacy Xperts
Gibt es dafür eine Software?
©2022 Privacy Xperts
Gibt es dafür eine Software?
Cloud-Vorteile Cloud-Nachteile
 viele versch. Lösungen am Markt
 keine spezielle Technik, sondern nur
Internetzugang erforderlich
 Anbieter kümmert sich um Erreichbarkeit,
Updates, Support etc.
 Software wird anbieterseits stets aktuell
gehalten und bekommt u.U. auch neue
Funktionen
 Zugriff kann von überall erfolgen
 gleichzeitiger Zugriff von mehreren
Personen
 effizientes Arbeiten im Team
 nicht unbedingt auf die eigenen individuellen
Anforderungen zugeschnitten
 z.T. recht hohe Kosten
 gebunden an den Anbieter („Vendor lock-in“)
 Datenimport / -export möglich?
 Installation, Updates etc. können nach eigenen
Vorstellungen durchgeführt werden
 erschwerte Zugriffsmöglichkeit durch Dritte
bzw. von außen
 Lösung mittels Standardsoftware, wie Word
oder Excel, möglich
 z.T. sensible Daten über Unternehmen
verlassen die „eigene Sphäre“
©2022 Privacy Xperts
Gibt es dafür eine Software?
Beispiele Datenschutz-Tools*
2B Advice Proliance 360 OneTrust
Verinice DPMS DSD-Easy 2.0
DocSetMinder Data Agenda Guardileo
Audatis Manager Datenschutzverwaltung heyData
DSGVO App Brandeis Digital ER-Secure DSGVO Tool
SDM-Arbeitshilfe der
Stiftung Datenschutz
WEKA Manager
Verarbeitungstätigkeiten
Zentrales Datenschutz-
managementsystem ZDMS
MoeWe Datenschutz-Tool Ecomply caralegal
Robin Data CNIL PIA Software DSGVO Compliance Kit 2.0
Preeco Privacysoft Datenschutzeinfach.com
Privacy Port Akarion Priware
Otris Privacy DSGVO Vorlagen VVT Easy
Intervalid DataGuard Weprido
DSM-Online foxondo …
* ergänzende Liste z.B. beim BvD e.V. unter www.bvdnet.de/datenschutz-softwareuebersicht
©2021 Privacy Xperts
Datenschutz-Management-System
Ihr Referent:
Rechtsanwalt Michael Rohrlich
Vielen Dank für Ihre Aufmerksamkeit!
Gibt es noch
Fragen?
Welche Methode
bzw. Software
nutzen Sie?

Weitere ähnliche Inhalte

Was ist angesagt?

Building An Effective Sales Compensation Framework
Building An Effective Sales Compensation FrameworkBuilding An Effective Sales Compensation Framework
Building An Effective Sales Compensation Framework
Paola Gheis
 
Ch7: Controlling the Salesforce
Ch7: Controlling the SalesforceCh7: Controlling the Salesforce
Ch7: Controlling the Salesforce
itsvineeth209
 
Reunião de promotores
Reunião de promotoresReunião de promotores
Reunião de promotores
ATIVONOPDV
 
10 Estratégias de Marketing Digital
10 Estratégias de Marketing Digital10 Estratégias de Marketing Digital
10 Estratégias de Marketing Digital
Renato Melo
 
B2B Marketing - Chapter 2: Organizational Buyer Behavior
B2B Marketing - Chapter 2: Organizational Buyer BehaviorB2B Marketing - Chapter 2: Organizational Buyer Behavior
B2B Marketing - Chapter 2: Organizational Buyer Behavior
Calvin Nguyen
 

Was ist angesagt? (20)

Building An Effective Sales Compensation Framework
Building An Effective Sales Compensation FrameworkBuilding An Effective Sales Compensation Framework
Building An Effective Sales Compensation Framework
 
Business model canvas
Business model canvasBusiness model canvas
Business model canvas
 
Clase Unidad II Fundamentos de la estrategia de marketing y comunicaciones
Clase Unidad II Fundamentos de la estrategia de marketing y comunicacionesClase Unidad II Fundamentos de la estrategia de marketing y comunicaciones
Clase Unidad II Fundamentos de la estrategia de marketing y comunicaciones
 
Go-to-Market Business Plan Template
Go-to-Market Business Plan TemplateGo-to-Market Business Plan Template
Go-to-Market Business Plan Template
 
Basic introduction to marketing 26 07-2016
Basic introduction to marketing 26 07-2016Basic introduction to marketing 26 07-2016
Basic introduction to marketing 26 07-2016
 
Marketing analytics
Marketing analyticsMarketing analytics
Marketing analytics
 
Account Based Marketing (ABM)
Account Based Marketing (ABM)Account Based Marketing (ABM)
Account Based Marketing (ABM)
 
Ch7: Controlling the Salesforce
Ch7: Controlling the SalesforceCh7: Controlling the Salesforce
Ch7: Controlling the Salesforce
 
How to Write a B2B Sales Playbook
How to Write a B2B Sales PlaybookHow to Write a B2B Sales Playbook
How to Write a B2B Sales Playbook
 
Carrefour Apresentacao
Carrefour ApresentacaoCarrefour Apresentacao
Carrefour Apresentacao
 
Planejamento Estratégico Mario Silvestri Filho
Planejamento Estratégico Mario Silvestri FilhoPlanejamento Estratégico Mario Silvestri Filho
Planejamento Estratégico Mario Silvestri Filho
 
Chapter 4 promotion analyasis opportunity
Chapter 4 promotion analyasis opportunityChapter 4 promotion analyasis opportunity
Chapter 4 promotion analyasis opportunity
 
Comunicação Integrada de Marketing
Comunicação Integrada de MarketingComunicação Integrada de Marketing
Comunicação Integrada de Marketing
 
What is Partner Marketing?
What is Partner Marketing?What is Partner Marketing?
What is Partner Marketing?
 
Kotler mm 14e_15_ippt_ge
Kotler mm 14e_15_ippt_geKotler mm 14e_15_ippt_ge
Kotler mm 14e_15_ippt_ge
 
Reunião de promotores
Reunião de promotoresReunião de promotores
Reunião de promotores
 
Advanced Business Model Canvas
Advanced Business Model CanvasAdvanced Business Model Canvas
Advanced Business Model Canvas
 
Lecture 1 of Customer Relationship Management
Lecture 1 of Customer Relationship ManagementLecture 1 of Customer Relationship Management
Lecture 1 of Customer Relationship Management
 
10 Estratégias de Marketing Digital
10 Estratégias de Marketing Digital10 Estratégias de Marketing Digital
10 Estratégias de Marketing Digital
 
B2B Marketing - Chapter 2: Organizational Buyer Behavior
B2B Marketing - Chapter 2: Organizational Buyer BehaviorB2B Marketing - Chapter 2: Organizational Buyer Behavior
B2B Marketing - Chapter 2: Organizational Buyer Behavior
 

Ähnlich wie Datenschutz-Management-System - warum, was wie?

Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
HOB
 

Ähnlich wie Datenschutz-Management-System - warum, was wie? (20)

Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Dictate ondemand mobile - Lead Management Option (deutsch)
Dictate ondemand mobile - Lead Management Option (deutsch)Dictate ondemand mobile - Lead Management Option (deutsch)
Dictate ondemand mobile - Lead Management Option (deutsch)
 
FOM Vortrag Bernd Fuhlert April 2013
FOM Vortrag Bernd Fuhlert April 2013FOM Vortrag Bernd Fuhlert April 2013
FOM Vortrag Bernd Fuhlert April 2013
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und ClouderaDSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
 
Social Messaging als E20 Killer App
Social Messaging als E20 Killer AppSocial Messaging als E20 Killer App
Social Messaging als E20 Killer App
 
DREGER IT - Mobile Lösungen
DREGER IT - Mobile LösungenDREGER IT - Mobile Lösungen
DREGER IT - Mobile Lösungen
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
Wissensmanagement 2.0 Mehr Als Eine Web 2.0
Wissensmanagement 2.0   Mehr Als Eine Web 2.0Wissensmanagement 2.0   Mehr Als Eine Web 2.0
Wissensmanagement 2.0 Mehr Als Eine Web 2.0
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Erfahrungsbericht: "Bring Your Own Device" in Verbindung mit einem Software-K...
Erfahrungsbericht: "Bring Your Own Device" in Verbindung mit einem Software-K...Erfahrungsbericht: "Bring Your Own Device" in Verbindung mit einem Software-K...
Erfahrungsbericht: "Bring Your Own Device" in Verbindung mit einem Software-K...
 
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssyste...
 
Webcast: Quo vadis Communote – in die Cloud oder hinter die Firewall?
Webcast: Quo vadis Communote – in die Cloud oder hinter die Firewall?Webcast: Quo vadis Communote – in die Cloud oder hinter die Firewall?
Webcast: Quo vadis Communote – in die Cloud oder hinter die Firewall?
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
 

Mehr von Michael Rohrlich

Mehr von Michael Rohrlich (20)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 

Datenschutz-Management-System - warum, was wie?

  • 2. ©2022 Privacy Xperts Datenschutz-Management-System Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
  • 3. Agenda: 1. Warum benötige ich ein Datenschutz-Management-System? 2. Kann ich das selbst machen? 3. Gibt es dafür eine Software? ©2022 Privacy Xperts Datenschutz-Management-System
  • 4. Warum benötige ich ein DSMS? ©2021 Privacy Xperts
  • 5. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Art. 5 Abs. 2 DSGVO  „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Art. 24 Abs. 1 DSGVO  „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
  • 6. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Art. 32 Abs. 1 lit. d) DSGVO  „Unter Berücksichtigung des Stands der Technik [...] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: [...] d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
  • 7. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Dokumentation Risikoanalyse geeignete TOMs Datenschutz- Folgenabschätzung Bereitstellung von Informationen Meldepflicht bei Datenpannen DSB-Benennung Privacy by design / by default …
  • 8. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Datenpanne Risiko Meldung an Behörde binnen 72 Std. Begründung bei evtl. Verspätung hohes Risiko zusätzl. Meldung an Betroffene unverzüglich klare & einfache Sprache
  • 9. ©2022 Privacy Xperts Warum benötige ich ein DSMS? Auskunftsanfrage Betroffener bekannt Antwortschreiben (Art. 12, 15) Betroffener nicht bekannt Negativauskunft Identitätsfeststellung
  • 10. ©2022 Privacy Xperts Warum benötige ich ein DSMS? PLAN (Risikobeurteilung & Planung TOMs) DO (Umsetzung der TOMs) CHECK (Risiko- neubewertung) ACT (ggf. Anpassung der TOMs)
  • 11. Kann ich das selbst machen? ©2021 Privacy Xperts
  • 12. ©2022 Privacy Xperts Kann ich das selbst machen? fremde Produkte / Dienstleistungen DIY (Do it yourself)  zahlreiche Tools am Markt, von kostenfrei bis teuer, von klein bis groß, lokale oder Cloud-Angebote  div. Software mit Mustern, Vorlagen, z.T. auch mit KI  aber: Gibt es das eine Tool, was exakt zu mir passt (Einsatzbereich, Funktionen, Benutzerführung, Preis…)?  keine exakten gesetzlichen Vorgaben  es wird nur das Ziel bestimmt, nicht der Weg dorthin  Vorteil: Ich kann meine eigene Methode wählen und es selbst machen.  Nachteil: Ich muss meine eigene Methode wählen und es selbst machen.
  • 13. ©2022 Privacy Xperts Kann ich das selbst machen? SDM ISO 27701 BSI IT- Grundschutz VdS 10010
  • 14. ©2022 Privacy Xperts Kann ich das selbst machen? Grobgliederung  0. Rollen / Zuständigkeiten  I. DSB  II. Informationspflichten  III. Datenschutz-Dokumentation / TOMs  IV. Einwilligungen  V. Datenübermittlung  VI. Betroffenenrechte  VII. Datenpannen  VIII. DSFA  IX. Privacy by design / Privacy by default  X. Schulung / Sensibilisierung  XI. Sanktionen Art. 37-39; §§ 5-7 BDSG Art. 12, 13, 14 Art. 30, 32 (vgl. § 64 BDSG) Art. 7 Art. 26, 28, 44 ff. Art. 15 ff., 7 Abs. 3, 77 Art. 33, 34 Art. 35, 36 Art. 25 Abs. 1, 2 vgl. u.a. Art. 39 Abs. 1 lit. b) Art. 82, 83; § 42 BDSG
  • 15. ©2022 Privacy Xperts Kann ich das selbst machen? … ggf. mit mehr Details…  II. Informationspflichten • 1. Online (Website / Social Media) − Menüpunkt korrekt benannt & platziert? − alle Pflichtinhalte vorhanden? − in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache? Pflichtinhalte: Name + Kontaktdaten Verantwortlicher (Art. 13 Abs. 1 lit. a) ggf. Name + Kontaktdaten EU-Vertreter (Art. 13 Abs. 1 lit. a) ggf. Kontaktdaten DSB (Art. 13 Abs. 1 lit. b) Verarbeitungszwecke (Art. 13 Abs. 1 lit. c) Rechtsgrundlage(n) (Art. 13 Abs. 1 lit. c) ggf. Angabe der berechtigten Interessen (Art. 13 Abs. 1 lit. d) ggf. Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) ggf. Absicht zur Datenübermittlung in Drittstaat (Art. 13 Abs. 1 lit. f) Dauer der Datenspeicherung / Kriterien für Festlegung der Dauer (Art. 13 Abs. 2 lit. a) Hinweis auf Betroffenenrechte (Art. 13 Abs. 2 lit. b-d) ob Bereitstellung der Daten gesetzl. oder vertragl. vorgeschrieben ist (Art. 13 Abs. 2 lit. e) Bestehen einer automatisierten Entscheidungsfindung (Art. 13 Abs. 2 lit. f) ggf. Zweckänderung (Art. 13 Abs. 3 bzw. Art. 14 Abs. 4) ggf. Kategorien pb Daten (Art. 14 Abs. 1 lit. d) ggf. Angabe der Quelle bzw. ob pb Daten aus einer öffentl. Quelle stammen (Art. 14 Abs. 2 lit. f)
  • 16. ©2022 Privacy Xperts Kann ich das selbst machen?
  • 17. ©2022 Privacy Xperts Kann ich das selbst machen?
  • 18. Gibt es dafür eine Software? ©2021 Privacy Xperts
  • 19.  Checkliste Datenschutz-Software:  individuelles Anforderungsprofil erstellen  eigenes Budget ermitteln  Zuständigkeiten / Verantwortlichkeiten abklären  Marktübersicht verschaffen*  mögliche Kandidaten eingrenzen (Ausschlussverfahren)  Test-Version ordern / Praxistests durchführen / an Hersteller- Webinaren etc. teilnehmen * z.B. mit Hilfe des Youtube-Kanals von „mth Training“ ©2022 Privacy Xperts Gibt es dafür eine Software?
  • 20.  Kriterien:  Grundsatzentscheidung: eigene Lösung oder von Drittanbieter?  Technik: Cloud oder lokal / int. Netzwerk?  Einsatzzweck: gesamte Datenschutz-Doku / -Organisation oder nur spezielle Aufgaben (VVT, DSFA, Mitarbeiter-Schulung, Audit…)?  Zugriffsmöglichkeiten: ein Benutzer oder mehrere (DST)?  Funktion: Nutzung als int. oder ext. DSB?  Priorität: Funktionsumfang, Benutzerführung, Flexibilität…?  Automatisierung: mit oder ohne „KI“? ©2022 Privacy Xperts Gibt es dafür eine Software?
  • 21. ©2022 Privacy Xperts Gibt es dafür eine Software? Cloud-Vorteile Cloud-Nachteile  viele versch. Lösungen am Markt  keine spezielle Technik, sondern nur Internetzugang erforderlich  Anbieter kümmert sich um Erreichbarkeit, Updates, Support etc.  Software wird anbieterseits stets aktuell gehalten und bekommt u.U. auch neue Funktionen  Zugriff kann von überall erfolgen  gleichzeitiger Zugriff von mehreren Personen  effizientes Arbeiten im Team  nicht unbedingt auf die eigenen individuellen Anforderungen zugeschnitten  z.T. recht hohe Kosten  gebunden an den Anbieter („Vendor lock-in“)  Datenimport / -export möglich?  Installation, Updates etc. können nach eigenen Vorstellungen durchgeführt werden  erschwerte Zugriffsmöglichkeit durch Dritte bzw. von außen  Lösung mittels Standardsoftware, wie Word oder Excel, möglich  z.T. sensible Daten über Unternehmen verlassen die „eigene Sphäre“
  • 22. ©2022 Privacy Xperts Gibt es dafür eine Software? Beispiele Datenschutz-Tools* 2B Advice Proliance 360 OneTrust Verinice DPMS DSD-Easy 2.0 DocSetMinder Data Agenda Guardileo Audatis Manager Datenschutzverwaltung heyData DSGVO App Brandeis Digital ER-Secure DSGVO Tool SDM-Arbeitshilfe der Stiftung Datenschutz WEKA Manager Verarbeitungstätigkeiten Zentrales Datenschutz- managementsystem ZDMS MoeWe Datenschutz-Tool Ecomply caralegal Robin Data CNIL PIA Software DSGVO Compliance Kit 2.0 Preeco Privacysoft Datenschutzeinfach.com Privacy Port Akarion Priware Otris Privacy DSGVO Vorlagen VVT Easy Intervalid DataGuard Weprido DSM-Online foxondo … * ergänzende Liste z.B. beim BvD e.V. unter www.bvdnet.de/datenschutz-softwareuebersicht
  • 23. ©2021 Privacy Xperts Datenschutz-Management-System Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Welche Methode bzw. Software nutzen Sie?