Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um

188 Aufrufe

Veröffentlicht am

Webinar vom 14.08.2018 für Lexware zur Umsetzung der DSGVO im Unternehmen

Veröffentlicht in: Recht
  • If you want to download or read this book, copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { https://urlzs.com/UABbn } .........................................................................................................................
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • Gehören Sie zu den Ersten, denen das gefällt!

DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um

  1. 1. DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um! 14.08.2018 Michael Rohrlich Lexware Akademie
  2. 2. Ihr Referent Rechtsanwalt 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!2 |  Zulassung als Rechtsanwalt seit 03/2003  TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV)  Mitglied im Fachausschuss IT-Recht und GRUR des Aachener AnwaltVereins  Fachautor & Dozent seit 1997 Michael Rohrlich  Video-Trainer bei video2brain (LinkedIn / Microsoft)
  3. 3. 1 2 3 4 5 6 Einführung / Überblick Schritt-für-Schritt-Umsetzung in die Praxis Prinzipien Rechte der Betroffenen Begriffe Pflichten von Unternehmen Agenda
  4. 4. Einführung / Überblick 1
  5. 5. Einführung / Überblick  Bundesdatenschutzgesetz (BDSG)  IT-Sicherheitsgesetz  Telemediengesetz (TMG)  Telekommunikationsgesetz (TKG)  div. branchenspezifische Spezial-Vorschriften, z.B. Transplantationsgesetz (TPG)  … 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!5 | Bislang war Datenschutzrecht nationale Angelegenheit Wunsch nach Harmonisierung des Datenschutzrechts auf EU-Ebene Folge: EU-Datenschutzgrundverordnung (DSGVO) zusätzl.: E-Privacy-Verordnung für E-Commerce-Sektor (vorauss. 2019/2020) Weitere nationale Datenschutzregelungen u.a.:
  6. 6. Einführung / Überblick  spezielle Erlaubnistatbestände  Verarbeitung von Beschäftigtendaten  Vorgaben für Auftragsverarbeiter  … 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!6 | Vollharmonisierung des Datenschutzrechts? DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel, sowie 173 Erwägungsgründe und: 60-80 Öffnungsklauseln (je nach Auslegung) d.h. Gestaltungsspielraum für nationale Gesetzgeber, z.B. für
  7. 7. Einführung / Überblick Save the Date! 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!7 | auch für alle Behörden.  in der EU sitzen,  Verträge mit Verbrauchern in der EU abschließen oder  Verbraucher in der EU „beobachten“ (z.B. mittels Google Analytics & Co. auf der Website) DSGVO & BDSG-neu seit 25. Mai 2018 verbindlich für alle Unternehmen, die personenbezogene Daten verarbeiten (von Mitarbeitern, Kunden, Dienstleistern etc.), die…
  8. 8. Einführung / Überblick Wichtigste Änderungen durch die DSGVO: 1. Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten Ansatz“  Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei der konkreten Verarbeitung? 2. sog. Accountability-Prinzip (Nachweispflicht) 3. umfangreiche Dokumentationspflichten 4. massiv gestiegene Bußgelder 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!8 |
  9. 9. Einführung / Überblick Mögliche Sanktionen: Leichte Ordnungswidrigkeiten (u.a. Verstoß gegen die Pflichten als verantwortliche Stelle): Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten (Konzern-) Jahresumsatzes Schwere Ordnungswidrigkeiten (u.a. Verstoß gegen die Grundsätze der Datenverarbeitung oder gegen die Rechte der Betroffenen): Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten (Konzern-) Jahresumsatzes Straftaten (nationale Vorschriften, (§ 42 Abs. 1, 2 BDSG-neu): Freiheitsstrafe bis zu 2 bzw. 3 Jahre oder Geldstrafe Schadensersatz / Schmerzensgeld: Betroffene Person kann bei Verletzung ihrer Rechte ggf. Schadensersatz bzw. Schmerzensgeld verlangen 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!9 |
  10. 10. Einführung / Überblick Zusätzlich möglich: Kostenpflichtige Abmahnungen durch 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!10 |  Mitbewerber wegen unlauteren Verhaltens (z.B. Spam-Versand, falscher Datenschutzerklärung…)  Verbraucherschutz-Institutionen (z.B. bei fehlerhaften oder unterlassenen DSGVO-Informationspflichten)
  11. 11. Begriffe 2
  12. 12. Begriffe Wichtige „Vokabeln“ zur Verständnis des Datenschutzrechts in Art. 4 DSGVO werden über 20 Begrifflichkeiten definiert. Zentrale Begriffe der DSGVO sind: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!12 |  „personenbezogene Daten“  „betroffene Person“  „verantwortliche Stelle“  „verarbeiten“
  13. 13. Begriffe Personenbezogene Daten (Art. 4 Nr. 1 DSGVO): Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (der sog. „Betroffene“). „2-in-1-Definition“: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!13 |  „personenbezogene Daten“  „betroffene Person“
  14. 14. Begriffe Wann ist eine Person „identifizierbar“? Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt anhand von bestimmten Merkmalen identifiziert werden kann, die Ausdruck der 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!14 | Identität dieser Person sind.  physischen,  physiologischen,  genetischen,  psychischen,  wirtschaftlichen,  kulturellen oder  sozialen
  15. 15. Begriffe Dabei geht es insbesondere um die Möglichkeit der Zuordnung zu einer Kennung, wie 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!15 |  einem Namen,  einer Kennnummer,  Standortdaten,  einer Online-Kennung oder  einem sonstigen besonderen Merkmal
  16. 16. Begriffe „Personenbezogene Daten“ als zentraler Begriff des Datenschutzrechts gem. DSGVO sehr weitreichend nur reine Unternehmensdaten nicht erfasst, wie z.B. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!16 | Faustregel: im Zweifel davon ausgehen, dass Daten Personenbezug haben  Bilanzen  Konstruktionspläne  o.ä.
  17. 17. Begriffe Besondere Kategorien personenbezogener Daten (Art. 9 DSGV): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!17 | diese besonders sensiblen Daten dürfen nur unter ganz bestimmten Voraussetzungen verarbeitet werden.  rassische und ethnische Herkunft  politische Meinungen  religiöse oder weltanschauliche Überzeugungen  Gewerkschaftszugehörigkeit  genetische Daten  biometrischen Daten  Gesundheitsdaten  Daten zum Sexualleben bzw. sexuellen Orientierung
  18. 18. Begriffe Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO): jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten sehr weitgehender Begriff egal, ob es sich um normale oder besondere personenbezogene Daten handelt 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!18 | Faustregel: im Zweifel davon ausgehen, dass Tätigkeit als „Verarbeitung“ i.S.d. DSGVO gilt
  19. 19. Begriffe Datenverarbeitung i.S.d. DSGVO bedeutet: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!19 |  Erheben / Erfassen  Organisieren  Ordnen  Speichern  Anpassen bzw. Verändern  Auslesen  Abfragen  Verwenden  Abgleichen  Verknüpfen  Einschränken  Löschen  Vernichten  Offenlegen durch Übermittlung, Verbreitung oder andere Form der Bereitstellung
  20. 20. Prinzipien 3
  21. 21. Prinzipien Zentrale Grundsätze (Art. 5, 6 DSGVO): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!21 |  Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)  Transparenz  Treu und Glauben  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung  Integrität und Vertraulichkeit  Rechenschaftspflicht
  22. 22. Prinzipien Grundsatz der Rechtmäßigkeit (Art. 6 Abs. 1 DSGVO) Verbot mit Erlaubnisvorbehalt jede Verarbeitung personenbezogener Daten ist grdsl. unzulässig, sofern keine Ausnahme vorliegt Ausnahmen: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!22 |  Einwilligung des Betroffenen  gesetzlicher Ausnahmetatbestand  Interessenabwägung
  23. 23. Prinzipien gesetzl. Ausnahmetatbestände (Art. 6 Abs. 1 lit. b-e DSGVO): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!23 |  zur Erfüllung eines Vertrages (z.B. Bestellung im Onlineshop)  aufgrund rechtlicher Verpflichtung (z.B. steuerrechtliche Aufbewahrungsfristen)  Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z.B. Verarbeitung von Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen)  Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. Ausübung öffentlicher Gewalt (z.B. „Knöllchen“ vom Ordnungsamt)
  24. 24. Prinzipien Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Ausnahmen bestehen für die Weiterverarbeitung für 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!24 |  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche oder historische Forschungszwecke  statistische Zwecke
  25. 25. Prinzipien Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!25 | Faustregel: so viel wie nötig, so wenig wie möglich!
  26. 26. Prinzipien Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den Zweck der Verarbeitung erforderlich ist. Ausnahmsweise längere Speicherung mittels geeigneter technischer und organisatorischer Maßnahmen ausschließlich für 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!26 |  im öffentlichen Interesse liegende Archivzwecke  wissenschaftliche oder historische Forschungszwecke  statistische Zwecke
  27. 27. Prinzipien Aber: ggf. gesetzliche Aufbewahrungsfristen beachten, z.B. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!27 | Praxistipp: Löschkonzept erstellen! (Wer löscht die Daten wann, warum und wie?)  Steuerrecht (10 Jahre)  Handelsrecht (6 Jahre)  Daten abgelehnter Bewerber (ca. 6 Monate, gem. AGG)  …
  28. 28. Prinzipien Grundsatz der Integrität bzw. der Vertraulichkeit (Art. 5 Abs. lit. 1 f DSGVO): Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Mittels geeigneter technischer und organisatorischer Maßnahmen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung Außerdem: Grundsatz der Datensicherheit (Art. 32 DSGVO) Ziele: Vertraulichkeit, Integrität & Verfügbarkeit der Daten Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, unter Berücksichtigung 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!28 |  des Stands der Technik,  der Kosten sowie  der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
  29. 29. Rechte der Betroffenen 4
  30. 30. Rechte der Betroffenen Rechte betroffener Personen (Art. 12-23 DSGVO): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!30 |  Auskunft  Widerspruch  Widerruf einer erteilten Einwilligung  Berichtigung  Einschränkung der Verarbeitung  Mitteilung (z.B. bei Berichtigung oder Löschung von Daten)  Recht auf Datenübertragbarkeit (Datenportabilität)  Sperrung  Löschung (Recht auf Vergessenwerden)
  31. 31. Rechte der Betroffenen Neue Rechte: Recht auf Vergessenwerden („lex google“) Möglichkeit, z.B. ggü. Google o.a. Suchmaschinen die Löschung eines Links zu beantragen Recht auf Datenportabilität („lex facebook“) Möglichkeit, seine Daten z.B. von einem sozialen Netzwerk zu einem anderen „mitzunehmen“ gilt aber für alle verantwortliche Stellen, nicht nur für soziale Netzwerke 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!31 |
  32. 32. Rechte der Betroffenen Vermutlich hohe Praxisrelevanz: Auskunftsrecht (Art. 15 DSGVO) Umfang des Auskunftsanspruch: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!32 |  Zwecke der Datenverarbeitung  erfasste Daten-Kategorien  Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch offengelegt werden  geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer  Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf Einschränkung der Verarbeitung  Bestehen des Widerspruchsrechts gegen die Verarbeitung  Bestehen des Beschwerderechts bei einer Aufsichtsbehörde  alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst erhoben werden  ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
  33. 33. Rechte der Betroffenen Praxis-Tipp: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!33 |  Muster-Vorlage für Antwortschreiben bei Ausübung der Betroffenenrechte fertigen (lassen)  Arbeitsanweisung an Mitarbeiter, wie diese sich im Fall der Ausübung von Betroffenenrechten verhalten sollen  Muster-Vorlage + Arbeitsanweisung dienen auch als Nachweis der Einhaltung der DSGVO
  34. 34. Pflichten von Unternehmen 5
  35. 35. Pflichten von Unternehmen Zentrale Pflichten im Unternehmen: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!35 |  Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit  Implementierung von Prozessen zur Sicherstellung der Compliance  Dokumentation von Datenverarbeitungsvorgängen  Risikoanalyse über Folgen der Datenverarbeitung  geeignete technische und organisatorische Maßnahmen (TOM)  Durchführung von Datenschutz-Folgenabschätzungen (bei hohen Risiken für Daten der Betroffenen)  Bereitstellung von Informationen ( z.B. Datenschutzerklärung auf Website)  ggf. Bestellung eines Datenschutzbeauftragten (in Dt. weiterhin „alte“ Regelungen)  „Privacy by design“  „Privacy by default“  regelmäßige Überprüfung der eigenen Datenschutz-Maßnahmen (ca. 1-2 pro Jahr & bei entsprechendem Anlass)
  36. 36. Pflichten von Unternehmen „Privacy by design“ (Art. 25 Abs. 1 DSGVO): Pflicht zur datenschutzfreundlichen Technikgestaltung bei allen neuen Produkten, Verfahren etc. zu berücksichtigen schon im Zuge der Planung auch im Rahmen des Verarbeitungsvorgangs nach Stand der Technik & mit Blick u.a. auf die Kosten 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!36 |
  37. 37. Pflichten von Unternehmen „Privacy by default“ (Art. 25 Abs. 2 DSGVO): Pflicht zur datenschutzfreundlichen Voreinstellung Einstellungen müssen so voreingestellt werden, dass möglichst wenig personenbezogene Daten erfasst werden Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern Beispiel: Verbot von „pre-ticked boxes“, etwa beim E-Mail-Marketing (gilt bereits) 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!37 |
  38. 38. Schritt-für-Schritt-Umsetzung 6
  39. 39. Schritt-für-Schritt-Umsetzung in die Praxis allg. Maßnahmen zur Umsetzung der DSGVO-Vorgaben: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!39 |  Grundlagenwissen aneignen  Umsetzung planen (Personal, Zeit & Geld)  Bestandsaufnahme durchführen (Prozessanalyse)  Dokumentation der technischen und organisatorischen Maßnahmen (TOM)  Liste mit Dienstleistern anlegen (Name, Anschrift & Kontaktdaten + Beschreibung der Tätigkeit)  Verarbeitungsverzeichnis erstellen  Umgang mit Betroffenenrechten dokumentieren  ggf. Datenschutzbeauftragten (DSB) benennen  Online-Datenschutzerklärung aktualisieren & allg. Datenschutzhinweise erstellen (für den „Offline-Bereich“)  ggf. Datenschutz-Folgenabschätzungen (DSFA) durchführen  Verträge erstellen / aktualisieren (speziell die sog. Auftragsverarbeitungsverträge)  ggf. Einwilligungstexte aktualisieren (z.B. für Newsletter-Versand)  neue Prozesse im Unternehmen umsetzen  System zur regelmäßigen Überprüfung des status quo einrichten (ggf. Datenschutz-Management-Software)
  40. 40. Schritt-für-Schritt-Umsetzung in die Praxis 1. Maßnahmen mit „Außenwirkung“ (sehr hohe Priorität): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!40 |  ggf. DSB benennen & der Behörde melden  Online-Datenschutzerklärung aktualisieren  allg. Datenschutzhinweise erstellen (für den „Offline-Bereich“)
  41. 41. Schritt-für-Schritt-Umsetzung in die Praxis 2. Maßnahmen geringer Außenwirkung („nur“ hohe Priorität): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!41 |  Verträge erstellen / aktualisieren (speziell die sog. Auftragsverarbeitungsverträge)  ggf. Einwilligungstexte aktualisieren (z.B. für Newsletter-Versand)
  42. 42. Schritt-für-Schritt-Umsetzung in die Praxis 3. sonstige, interne Maßnahmen (geringere Priorität): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!42 |  Grundlagenwissen aneignen  Bestandsaufnahme durchführen (Prozessanalyse)  Dokumentation der technischen und organisatorischen Maßnahmen (TOM)  Liste mit Dienstleistern anlegen (Name, Anschrift & Kontaktdaten + Beschreibung der Tätigkeit)  Verarbeitungsverzeichnis erstellen  Umgang mit Betroffenenrechten dokumentieren  neue Prozesse im Unternehmen umsetzen  System zur regelmäßigen Überprüfung des status quo einrichten (ggf. Datenschutz-Management-Software)
  43. 43. Schritt-für-Schritt-Umsetzung in die Praxis Vorgaben der DSGVO: Behörden immer Unternehmen nur dann, wenn 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!43 | „Kerntätigkeit“: das Hauptgeschäft, mit dem das Unternehmen am Market auftritt (rein interne Vorgänge werden nicht erfasst, wie z.B. das Führen der Personalakten) Benennungspflicht also z.B. für Detektivbüro, Online-Werbenetzwerk oder Krankenhaus.  Kerntätigkeit = Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen erforderlich machen  Kerntätigkeit = umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) Pflicht zur Benennung eines DSB?
  44. 44. Schritt-für-Schritt-Umsetzung in die Praxis Vorgaben des BDSG-neu für Unternehmen, wenn 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!44 | Fazit: i.d.R. gilt für Unternehmen die 10-Personen-Grenze, da heutzutage fast jeder Mitarbeiter in irgendeiner Form mit der Verarbeitung personenbezogener Daten befasst ist (weitgehende Begriffe) Ausnahme ggf. nur für Mitarbeiter in der Produktion (Fließbandarbeit o.ä.), aber eher selten  mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind,  für bestimmte Datenverarbeitungsvorgänge eine Pflicht zur Datenschutz-Folgenabschätzung besteht,  eine geschäftsmäßige Übermittlung von Daten erfolgt oder  Markt- bzw. Meinungsforschung betrieben wird. Pflicht zur Benennung eines DSB? Praxistipp: im Zweifel alle Mitarbeiter mitzählen
  45. 45. Schritt-für-Schritt-Umsetzung in die Praxis  DSB kann eigener Mitarbeiter oder externer Dienstleister sein  DSB muss Fachkunde haben (zumindest jur. Grundlagen des Datenschutzrechts + techn. Basis-Wissen)  DSB muss spätestens zum 25.5. der zuständigen Aufsichtsbehörde gemeldet werden (Online-Formulare)  DSB darf keine Interessenkollision aufweisen, wie z.B. • Geschäftsführung • Abteilungsleiter (Personal-, IT-, Buchhaltungs-, Marketing-Abteilung…) • externer IT-Dienstleister • „Firmen-Anwalt“ • Geldwäsche-Beauftragter • Betriebsratsmitglieder 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!45 |
  46. 46. Schritt-für-Schritt-Umsetzung in die Praxis Aufgaben des DSB: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!46 |  Erstellen bzw. Führen der Verzeichnisse von Verarbeitungstätigkeiten,  Prüfung bzw. Umsetzung der technischen und organisatorischen Maßnahmen (TOM)  Durchführung einer DSFA Keine Aufgaben des DSB mehr (nur beratend tätig):  Unterrichtung und Beratung der Geschäftsführung und der Beschäftigten im Hinblick auf ihre datenschutzrechtlichen Pflichten  Überwachung der Einhaltung des Datenschutzrechts  Zuweisung von Zuständigkeiten  Sensibilisierung und Schulung der Mitarbeiter  Beratung und ggf. Überwachung in Bezug auf eine Datenschutz-Folgenabschätzung (DSFA)  ggf. Zusammenarbeit mit der Aufsichtsbehörde  Anlaufstelle für Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen
  47. 47. Schritt-für-Schritt-Umsetzung in die Praxis Online-Datenschutzerklärung für Website, Webshop, Social-Media-Profile etc., u.a. mit Beschreibung von 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!47 | allg. Datenschutzhinweise für alles andere (außer Internetpräsenzen) Pflichtinhalte in beiden Fällen gem. Art. 13, 14 DSGVO Form (Art. 12 DSGVO): „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“  Google Analytics & Co.  Newsletter  Kontaktformular  WebFonts (Google, FontAwesome…)  Social Plugins… Datenschutzhinweise?
  48. 48. Schritt-für-Schritt-Umsetzung in die Praxis Fortgeltung bestehender Einwilligungen: ja, wenn sie „ihrer Art nach“ den Vorgaben der DSGVO entsprechen Voraussetzungen einer wirksamen Einwilligung gem. DSGVO: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!48 |  freiwillig  unmissverständlich  vor Beginn der Datenverarbeitung  auf Basis ausreichender Informationen  bezogen auf einen konkreten Verarbeitungszweck  durch Willenserklärung oder konkludente Handlung  formlos möglich (kein Schriftformerfordernis mehr)  Einverständnis mit konkreter Datenverarbeitung  Hinweis auf Widerrufsrecht (Widerruf muss genauso einfach möglich sein, wie die Einwilligung)  Nachweispflicht der verantwortlichen Stelle Einwilligungstexte?
  49. 49. Schritt-für-Schritt-Umsetzung in die Praxis Verantwortliche Stelle & Auftragsverarbeiter müssen beide Verarbeitungsverzeichnis führen. Vorlagen z.B. über www.lexware.de/dsgvo/mustervorlagen Grobe Unterteilung in 3 Teile: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!49 |  Deckblatt  Beschreibungen der einzelnen Verfahren  technische und organisatorische Maßnahmen (TOM) Verarbeitungsverzeichnis?
  50. 50. Schritt-für-Schritt-Umsetzung in die Praxis Name, Anschrift & Kontaktdaten der verantwortlichen Stelle / des Auftragsverarbeiters ggf. Name, Anschrift & Kontaktdaten des DSB 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!50 | Verarbeitungsverzeichnis – Deckblatt (Teil 1):
  51. 51. Schritt-für-Schritt-Umsetzung in die Praxis Verarbeitungsverzeichnis – TOMs (Teil 3): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!51 |  Vertraulichkeit (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungsgebot, Auftragskontrolle, Pseudonymisierung & Verschlüsselung), z.B. Alarmanlage, Sicherheitsschlösser, Passwortregelung, E-Mail-Verschlüsselung…  Integrität (Eingabekontrolle, Weitergabekontrolle), z.B. Berechtigungskonzept, Protokoll-Funktion in Software…  Verfügbarkeit (Verfügbarkeitskontrolle), z.B. Update- / Patch-Management, unterbrechungsfreie Stromversorgung (USV), Rauchmelder, Feuerlöscher…  Belastbarkeit, z.B. Testen der System, regelmäßige Aktualisierung von Betriebssystem & Anwendungssoftware…  Wiederherstellung der Verfügbarkeit, z.B. Ersatz-Hardware, Notdienst-Regelung IT-Service, Backup- Konzept…  Verfahren zur regelmäßigen Überprüfung
  52. 52. Schritt-für-Schritt-Umsetzung in die Praxis Beispiele für typische Verarbeitungstätigkeiten / Prozesse in Unternehmen: 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!52 |  Personal- / Bewerbermanagement  Internetseite  Verkauf / Vertrieb  Kundenverwaltung  Kontaktverwaltung  Terminverwaltung  E-Mail  Einkauf  IT  Marketing  Produktion  Buchhaltung Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
  53. 53. Schritt-für-Schritt-Umsetzung in die Praxis Pflichtangaben / Mindestinhalt (Art. 30 DSGVO): 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!53 |  Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke),  Kategorien der betroffenen Personen (beispielsweise Kunden, Beschäftigte, Lieferanten etc.),  Kategorien der verarbeiteten Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.),  ggf. Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten),  Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),  ggf. geplante Übermittlung der Daten in Länder außerhalb der EU  einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.). Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
  54. 54. Schritt-für-Schritt-Umsetzung in die Praxis Zum Start bzw. für ein rudimentäres Verzeichnis anhand einzelner Abteilungen des Unternehmens, z.B. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!54 |  Geschäftsführung  Personal  Buchhaltung  IT  Marketing  Vertrieb  Gebäudemanagement / Hausmeister  Fuhrparkmanagement  … Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
  55. 55. Schritt-für-Schritt-Umsetzung in die Praxis Beschreibung der einzelnen Abteilungen / Verarbeitungstätigkeiten nach den Vorgaben i.S.d. Art. 30 DSGVO Muster-Verarbeitungsverzeichnisse u.a. für Handwerksbetriebe, Einzelhändler oder Vereine auf der Internetseite des Bayrischen Landesdatenschutzbeauftragten (www.lda.bayern.de) 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!55 | Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
  56. 56. Schritt-für-Schritt-Umsetzung – Beispiel Verarbeitungsverz. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!56 | Verarbeitung / Zweck Kategorien betroffener Personen Kategorien personen- bezogener Daten Kategorien Empfänger Löschfristen Lohnabrechnung Beschäftigte Name & Adressen ggf. Religions- zugehörigkeit Steuer/Kennzahlen Lohnbuchhaltung ext. Dienstleister 10 Jahre (gem. Steuerrecht) Betrieb Website Kunden Website-Besucher IP-Adressen ggf. Name & E-Mail - 30 Tage (IP-Adressen) Kundenverwaltung Kunden Stammdaten Kaufhistorie - 10 Jahre (gem. Steuerrecht) Zahlungsabwicklung Kunden Dienstleister Stammdaten Zahlungsdaten (Bankverbindung) Zahlungsdienstleister 10 Jahre (gem. Steuerrecht) Werbemaßnahmen Bestandskunden poten. Neukunden Adressdaten - 6 Jahre (gem. Handelsrecht) …
  57. 57. Vielen Dank. Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern. In Kürze in Ihrer Mediathek:  Video-Aufzeichnung der Online-Schulung  Fragen & Antworten-Dokument
  58. 58. Zeit für Ihre Fragen Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts: In Ihrer Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
  59. 59. Weitere Schulungen, die Sie interessieren könnten € 49,95 Bilanzen lesen, BWAs verstehen! Mi, 06.06.18 / 10:00 Uhr ca. 120 Min. 14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!59 | Empfehlung für Sie Empfehlung für Sie € 49,95 Projektmanagement leicht gemacht. Ideal für Anfänger! Do, 21.06.18 / 15:00 Uhr ca. 80 Min. € 49,95 Das Mindestlohngesetz kennen und prüfungssicher umsetzen Mo, 09.07.18 / 10:00 Uhr ca. 80 Min. € 49,95 Reisekosten – schnell, effektiv und steuerlich korrekt abrechnen Di, 07.08.18 / 09:00 Uhr ca. 80 Min. Empfehlung für SieEmpfehlung für Sie

×