DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
1. DSGVO: So setzen Sie die neue
Verordnung in Ihrer Firma um!
14.08.2018
Michael Rohrlich
Lexware Akademie
2. Ihr Referent
Rechtsanwalt
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!2 |
Zulassung als Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV)
Mitglied im Fachausschuss IT-Recht und GRUR des Aachener AnwaltVereins
Fachautor & Dozent seit 1997
Michael Rohrlich
Video-Trainer bei video2brain (LinkedIn / Microsoft)
5. Einführung / Überblick
Bundesdatenschutzgesetz (BDSG)
IT-Sicherheitsgesetz
Telemediengesetz (TMG)
Telekommunikationsgesetz (TKG)
div. branchenspezifische Spezial-Vorschriften, z.B. Transplantationsgesetz (TPG)
…
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!5 |
Bislang war Datenschutzrecht nationale Angelegenheit Wunsch nach Harmonisierung des
Datenschutzrechts auf EU-Ebene
Folge: EU-Datenschutzgrundverordnung (DSGVO)
zusätzl.: E-Privacy-Verordnung für E-Commerce-Sektor (vorauss. 2019/2020)
Weitere nationale Datenschutzregelungen u.a.:
6. Einführung / Überblick
spezielle Erlaubnistatbestände
Verarbeitung von Beschäftigtendaten
Vorgaben für Auftragsverarbeiter
…
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!6 |
Vollharmonisierung des Datenschutzrechts?
DSGVO enthält 99 Artikel, unterteilt in 11 Kapitel, sowie 173 Erwägungsgründe
und: 60-80 Öffnungsklauseln (je nach Auslegung)
d.h. Gestaltungsspielraum für nationale Gesetzgeber, z.B. für
7. Einführung / Überblick
Save the Date!
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!7 |
auch für alle Behörden.
in der EU sitzen,
Verträge mit Verbrauchern in der EU abschließen oder
Verbraucher in der EU „beobachten“ (z.B. mittels Google Analytics & Co. auf der Website)
DSGVO & BDSG-neu seit 25. Mai 2018 verbindlich
für alle Unternehmen, die personenbezogene Daten verarbeiten (von Mitarbeitern, Kunden, Dienstleistern etc.),
die…
8. Einführung / Überblick
Wichtigste Änderungen durch die DSGVO:
1. Stärkung der Rechte Betroffener u.a. durch „sicherheits-basierten Ansatz“
Frage: Besteht ein Risiko für die vom Betroffenen erhobenen Daten bei der konkreten Verarbeitung?
2. sog. Accountability-Prinzip (Nachweispflicht)
3. umfangreiche Dokumentationspflichten
4. massiv gestiegene Bußgelder
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!8 |
9. Einführung / Überblick
Mögliche Sanktionen:
Leichte Ordnungswidrigkeiten (u.a. Verstoß gegen die Pflichten als verantwortliche Stelle):
Bußgeld bis 10 Mio. € oder 2% des weltweit erzielten (Konzern-) Jahresumsatzes
Schwere Ordnungswidrigkeiten (u.a. Verstoß gegen die Grundsätze der Datenverarbeitung oder gegen die Rechte der
Betroffenen):
Bußgeld bis 20 Mio. € oder 4% des weltweit erzielten (Konzern-) Jahresumsatzes
Straftaten (nationale Vorschriften, (§ 42 Abs. 1, 2 BDSG-neu):
Freiheitsstrafe bis zu 2 bzw. 3 Jahre oder Geldstrafe
Schadensersatz / Schmerzensgeld:
Betroffene Person kann bei Verletzung ihrer Rechte ggf. Schadensersatz bzw. Schmerzensgeld verlangen
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!9 |
10. Einführung / Überblick
Zusätzlich möglich:
Kostenpflichtige Abmahnungen durch
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!10 |
Mitbewerber wegen unlauteren Verhaltens (z.B. Spam-Versand, falscher Datenschutzerklärung…)
Verbraucherschutz-Institutionen (z.B. bei fehlerhaften oder unterlassenen DSGVO-Informationspflichten)
12. Begriffe
Wichtige „Vokabeln“ zur Verständnis des Datenschutzrechts in Art. 4 DSGVO werden über
20 Begrifflichkeiten definiert.
Zentrale Begriffe der DSGVO sind:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!12 |
„personenbezogene Daten“
„betroffene Person“
„verantwortliche Stelle“
„verarbeiten“
13. Begriffe
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO):
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
(der sog. „Betroffene“).
„2-in-1-Definition“:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!13 |
„personenbezogene Daten“
„betroffene Person“
14. Begriffe
Wann ist eine Person „identifizierbar“?
Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt anhand von bestimmten Merkmalen identifiziert
werden kann, die Ausdruck der
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!14 |
Identität dieser Person sind.
physischen,
physiologischen,
genetischen,
psychischen,
wirtschaftlichen,
kulturellen oder
sozialen
15. Begriffe
Dabei geht es insbesondere um die Möglichkeit der Zuordnung zu einer Kennung, wie
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!15 |
einem Namen,
einer Kennnummer,
Standortdaten,
einer Online-Kennung oder
einem sonstigen besonderen Merkmal
16. Begriffe
„Personenbezogene Daten“ als zentraler Begriff des Datenschutzrechts
gem. DSGVO sehr weitreichend
nur reine Unternehmensdaten nicht erfasst, wie z.B.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!16 |
Faustregel: im Zweifel davon ausgehen, dass Daten Personenbezug haben
Bilanzen
Konstruktionspläne
o.ä.
17. Begriffe
Besondere Kategorien personenbezogener Daten (Art. 9 DSGV):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!17 |
diese besonders sensiblen Daten dürfen nur unter ganz bestimmten Voraussetzungen verarbeitet werden.
rassische und ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
genetische Daten
biometrischen Daten
Gesundheitsdaten
Daten zum Sexualleben bzw. sexuellen Orientierung
18. Begriffe
Verarbeitung von Daten (Art. 4 Nr. 2 DSGVO):
jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit
personenbezogenen Daten
sehr weitgehender Begriff
egal, ob es sich um normale oder besondere personenbezogene Daten handelt
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!18 |
Faustregel: im Zweifel davon ausgehen, dass Tätigkeit als „Verarbeitung“ i.S.d. DSGVO gilt
19. Begriffe
Datenverarbeitung i.S.d. DSGVO bedeutet:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!19 |
Erheben / Erfassen
Organisieren
Ordnen
Speichern
Anpassen bzw. Verändern
Auslesen
Abfragen
Verwenden
Abgleichen
Verknüpfen
Einschränken
Löschen
Vernichten
Offenlegen durch Übermittlung, Verbreitung oder andere Form der Bereitstellung
21. Prinzipien
Zentrale Grundsätze (Art. 5, 6 DSGVO):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!21 |
Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
Transparenz
Treu und Glauben
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
Rechenschaftspflicht
22. Prinzipien
Grundsatz der Rechtmäßigkeit (Art. 6 Abs. 1 DSGVO)
Verbot mit Erlaubnisvorbehalt
jede Verarbeitung personenbezogener Daten ist grdsl. unzulässig, sofern keine Ausnahme vorliegt
Ausnahmen:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!22 |
Einwilligung des Betroffenen
gesetzlicher Ausnahmetatbestand
Interessenabwägung
23. Prinzipien
gesetzl. Ausnahmetatbestände (Art. 6 Abs. 1 lit. b-e DSGVO):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!23 |
zur Erfüllung eines Vertrages (z.B. Bestellung im Onlineshop)
aufgrund rechtlicher Verpflichtung (z.B. steuerrechtliche Aufbewahrungsfristen)
Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten (z.B. Verarbeitung von
Gesundheitsdaten zum Schutz vor Epidemien oder aus humanitären Gründen)
Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe bzw. Ausübung öffentlicher Gewalt
(z.B. „Knöllchen“ vom Ordnungsamt)
24. Prinzipien
Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO):
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht
in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Ausnahmen bestehen für die Weiterverarbeitung für
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!24 |
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche oder historische Forschungszwecke
statistische Zwecke
25. Prinzipien
Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):
Personenbezogene Daten müssen dem Zweck angemessen sowie auf das für den Zweck der Verarbeitung notwendige
Maß beschränkt sein.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!25 |
Faustregel: so viel wie nötig, so wenig wie möglich!
26. Prinzipien
Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO):
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen
Personen nur so lange ermöglicht, wie es für den Zweck der Verarbeitung erforderlich ist.
Ausnahmsweise längere Speicherung mittels geeigneter technischer und organisatorischer Maßnahmen
ausschließlich für
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!26 |
im öffentlichen Interesse liegende Archivzwecke
wissenschaftliche oder historische Forschungszwecke
statistische Zwecke
27. Prinzipien
Aber: ggf. gesetzliche Aufbewahrungsfristen beachten, z.B.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!27 |
Praxistipp: Löschkonzept erstellen!
(Wer löscht die Daten wann, warum und wie?)
Steuerrecht (10 Jahre)
Handelsrecht (6 Jahre)
Daten abgelehnter Bewerber (ca. 6 Monate, gem. AGG)
…
28. Prinzipien
Grundsatz der Integrität bzw. der Vertraulichkeit (Art. 5 Abs. lit. 1 f DSGVO):
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet.
Mittels geeigneter technischer und organisatorischer Maßnahmen Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung
Außerdem: Grundsatz der Datensicherheit (Art. 32 DSGVO)
Ziele: Vertraulichkeit, Integrität & Verfügbarkeit der Daten
Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten, unter Berücksichtigung
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!28 |
des Stands der Technik,
der Kosten sowie
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
30. Rechte der Betroffenen
Rechte betroffener Personen (Art. 12-23 DSGVO):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!30 |
Auskunft
Widerspruch
Widerruf einer erteilten Einwilligung
Berichtigung
Einschränkung der Verarbeitung
Mitteilung (z.B. bei Berichtigung oder Löschung von Daten)
Recht auf Datenübertragbarkeit (Datenportabilität)
Sperrung
Löschung (Recht auf Vergessenwerden)
31. Rechte der Betroffenen
Neue Rechte:
Recht auf Vergessenwerden („lex google“)
Möglichkeit, z.B. ggü. Google o.a. Suchmaschinen die Löschung eines Links zu beantragen
Recht auf Datenportabilität („lex facebook“)
Möglichkeit, seine Daten z.B. von einem sozialen Netzwerk zu einem anderen „mitzunehmen“
gilt aber für alle verantwortliche Stellen, nicht nur für soziale Netzwerke
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!31 |
32. Rechte der Betroffenen
Vermutlich hohe Praxisrelevanz: Auskunftsrecht (Art. 15 DSGVO)
Umfang des Auskunftsanspruch:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!32 |
Zwecke der Datenverarbeitung
erfasste Daten-Kategorien
Empfänger oder Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch
offengelegt werden
geplante Speicherdauer oder zumindest Kriterien für die Festlegung dieser Dauer
Bestehen des Rechts auf Berichtigung bzw. Löschung der Daten oder auf Einschränkung der Verarbeitung
Bestehen des Widerspruchsrechts gegen die Verarbeitung
Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
alle verfügbaren Informationen über die Herkunft der Daten, wenn diese nicht bei dem Betroffenen selbst
erhoben werden
ggf. Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling)
33. Rechte der Betroffenen
Praxis-Tipp:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!33 |
Muster-Vorlage für Antwortschreiben bei Ausübung der Betroffenenrechte fertigen (lassen)
Arbeitsanweisung an Mitarbeiter, wie diese sich im Fall der Ausübung von Betroffenenrechten verhalten sollen
Muster-Vorlage + Arbeitsanweisung dienen auch als Nachweis der Einhaltung der DSGVO
35. Pflichten von Unternehmen
Zentrale Pflichten im Unternehmen:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!35 |
Bereitstellung von Regelungen bzgl. Datenschutz und IT-Sicherheit
Implementierung von Prozessen zur Sicherstellung der Compliance
Dokumentation von Datenverarbeitungsvorgängen
Risikoanalyse über Folgen der Datenverarbeitung
geeignete technische und organisatorische Maßnahmen (TOM)
Durchführung von Datenschutz-Folgenabschätzungen (bei hohen Risiken für Daten der Betroffenen)
Bereitstellung von Informationen ( z.B. Datenschutzerklärung auf Website)
ggf. Bestellung eines Datenschutzbeauftragten (in Dt. weiterhin „alte“ Regelungen)
„Privacy by design“
„Privacy by default“
regelmäßige Überprüfung der eigenen Datenschutz-Maßnahmen (ca. 1-2 pro Jahr & bei entsprechendem
Anlass)
36. Pflichten von Unternehmen
„Privacy by design“ (Art. 25 Abs. 1 DSGVO):
Pflicht zur datenschutzfreundlichen Technikgestaltung
bei allen neuen Produkten, Verfahren etc. zu berücksichtigen
schon im Zuge der Planung
auch im Rahmen des Verarbeitungsvorgangs
nach Stand der Technik & mit Blick u.a. auf die Kosten
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!36 |
37. Pflichten von Unternehmen
„Privacy by default“ (Art. 25 Abs. 2 DSGVO):
Pflicht zur datenschutzfreundlichen Voreinstellung
Einstellungen müssen so voreingestellt werden, dass möglichst wenig personenbezogene Daten erfasst werden
Kunde hat Möglichkeit, ggf. später Einstellungen zu ändern
Beispiel: Verbot von „pre-ticked boxes“, etwa beim E-Mail-Marketing (gilt bereits)
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!37 |
39. Schritt-für-Schritt-Umsetzung in die Praxis
allg. Maßnahmen zur Umsetzung der DSGVO-Vorgaben:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!39 |
Grundlagenwissen aneignen
Umsetzung planen (Personal, Zeit & Geld)
Bestandsaufnahme durchführen (Prozessanalyse)
Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
Liste mit Dienstleistern anlegen (Name, Anschrift & Kontaktdaten + Beschreibung der Tätigkeit)
Verarbeitungsverzeichnis erstellen
Umgang mit Betroffenenrechten dokumentieren
ggf. Datenschutzbeauftragten (DSB) benennen
Online-Datenschutzerklärung aktualisieren & allg. Datenschutzhinweise erstellen (für den „Offline-Bereich“)
ggf. Datenschutz-Folgenabschätzungen (DSFA) durchführen
Verträge erstellen / aktualisieren (speziell die sog. Auftragsverarbeitungsverträge)
ggf. Einwilligungstexte aktualisieren (z.B. für Newsletter-Versand)
neue Prozesse im Unternehmen umsetzen
System zur regelmäßigen Überprüfung des status quo einrichten (ggf. Datenschutz-Management-Software)
40. Schritt-für-Schritt-Umsetzung in die Praxis
1. Maßnahmen mit „Außenwirkung“ (sehr hohe Priorität):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!40 |
ggf. DSB benennen & der Behörde melden
Online-Datenschutzerklärung aktualisieren
allg. Datenschutzhinweise erstellen (für den „Offline-Bereich“)
41. Schritt-für-Schritt-Umsetzung in die Praxis
2. Maßnahmen geringer Außenwirkung („nur“ hohe Priorität):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!41 |
Verträge erstellen / aktualisieren (speziell die sog. Auftragsverarbeitungsverträge)
ggf. Einwilligungstexte aktualisieren (z.B. für Newsletter-Versand)
42. Schritt-für-Schritt-Umsetzung in die Praxis
3. sonstige, interne Maßnahmen (geringere Priorität):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!42 |
Grundlagenwissen aneignen
Bestandsaufnahme durchführen (Prozessanalyse)
Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
Liste mit Dienstleistern anlegen (Name, Anschrift & Kontaktdaten + Beschreibung der Tätigkeit)
Verarbeitungsverzeichnis erstellen
Umgang mit Betroffenenrechten dokumentieren
neue Prozesse im Unternehmen umsetzen
System zur regelmäßigen Überprüfung des status quo einrichten (ggf. Datenschutz-Management-Software)
43. Schritt-für-Schritt-Umsetzung in die Praxis
Vorgaben der DSGVO:
Behörden immer Unternehmen nur dann, wenn
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!43 |
„Kerntätigkeit“: das Hauptgeschäft, mit dem das Unternehmen am Market auftritt (rein interne Vorgänge werden
nicht erfasst, wie z.B. das Führen der Personalakten)
Benennungspflicht also z.B. für Detektivbüro, Online-Werbenetzwerk oder Krankenhaus.
Kerntätigkeit = Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder
ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen
erforderlich machen
Kerntätigkeit = umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von
Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)
Pflicht zur Benennung eines DSB?
44. Schritt-für-Schritt-Umsetzung in die Praxis
Vorgaben des BDSG-neu für Unternehmen, wenn
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!44 |
Fazit: i.d.R. gilt für Unternehmen die 10-Personen-Grenze, da heutzutage fast jeder Mitarbeiter in irgendeiner
Form mit der Verarbeitung personenbezogener Daten befasst ist (weitgehende Begriffe)
Ausnahme ggf. nur für Mitarbeiter in der Produktion (Fließbandarbeit o.ä.), aber eher selten
mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind,
für bestimmte Datenverarbeitungsvorgänge eine Pflicht zur Datenschutz-Folgenabschätzung besteht,
eine geschäftsmäßige Übermittlung von Daten erfolgt oder
Markt- bzw. Meinungsforschung betrieben wird.
Pflicht zur Benennung eines DSB?
Praxistipp: im Zweifel alle Mitarbeiter mitzählen
45. Schritt-für-Schritt-Umsetzung in die Praxis
DSB kann eigener Mitarbeiter oder externer Dienstleister sein
DSB muss Fachkunde haben (zumindest jur. Grundlagen des Datenschutzrechts + techn. Basis-Wissen)
DSB muss spätestens zum 25.5. der zuständigen Aufsichtsbehörde gemeldet werden (Online-Formulare)
DSB darf keine Interessenkollision aufweisen, wie z.B.
• Geschäftsführung
• Abteilungsleiter (Personal-, IT-, Buchhaltungs-, Marketing-Abteilung…)
• externer IT-Dienstleister
• „Firmen-Anwalt“
• Geldwäsche-Beauftragter
• Betriebsratsmitglieder
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!45 |
46. Schritt-für-Schritt-Umsetzung in die Praxis
Aufgaben des DSB:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!46 |
Erstellen bzw. Führen der Verzeichnisse von Verarbeitungstätigkeiten,
Prüfung bzw. Umsetzung der technischen und organisatorischen Maßnahmen (TOM)
Durchführung einer DSFA
Keine Aufgaben des DSB mehr (nur beratend tätig):
Unterrichtung und Beratung der Geschäftsführung und der Beschäftigten im Hinblick auf ihre
datenschutzrechtlichen Pflichten
Überwachung der Einhaltung des Datenschutzrechts
Zuweisung von Zuständigkeiten
Sensibilisierung und Schulung der Mitarbeiter
Beratung und ggf. Überwachung in Bezug auf eine Datenschutz-Folgenabschätzung (DSFA)
ggf. Zusammenarbeit mit der Aufsichtsbehörde
Anlaufstelle für Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen
47. Schritt-für-Schritt-Umsetzung in die Praxis
Online-Datenschutzerklärung für Website, Webshop, Social-Media-Profile etc., u.a. mit Beschreibung von
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!47 |
allg. Datenschutzhinweise für alles andere (außer Internetpräsenzen)
Pflichtinhalte in beiden Fällen gem. Art. 13, 14 DSGVO
Form (Art. 12 DSGVO): „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren
und einfachen Sprache“
Google Analytics & Co.
Newsletter
Kontaktformular
WebFonts (Google, FontAwesome…)
Social Plugins…
Datenschutzhinweise?
48. Schritt-für-Schritt-Umsetzung in die Praxis
Fortgeltung bestehender Einwilligungen: ja, wenn sie „ihrer Art nach“ den Vorgaben der DSGVO entsprechen
Voraussetzungen einer wirksamen Einwilligung gem. DSGVO:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!48 |
freiwillig
unmissverständlich
vor Beginn der Datenverarbeitung
auf Basis ausreichender Informationen
bezogen auf einen konkreten Verarbeitungszweck
durch Willenserklärung oder konkludente Handlung
formlos möglich (kein Schriftformerfordernis mehr)
Einverständnis mit konkreter Datenverarbeitung
Hinweis auf Widerrufsrecht (Widerruf muss genauso einfach möglich sein, wie die Einwilligung)
Nachweispflicht der verantwortlichen Stelle
Einwilligungstexte?
49. Schritt-für-Schritt-Umsetzung in die Praxis
Verantwortliche Stelle & Auftragsverarbeiter müssen beide Verarbeitungsverzeichnis führen.
Vorlagen z.B. über www.lexware.de/dsgvo/mustervorlagen
Grobe Unterteilung in 3 Teile:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!49 |
Deckblatt
Beschreibungen der einzelnen Verfahren
technische und organisatorische Maßnahmen (TOM)
Verarbeitungsverzeichnis?
50. Schritt-für-Schritt-Umsetzung in die Praxis
Name, Anschrift & Kontaktdaten der verantwortlichen Stelle / des Auftragsverarbeiters
ggf. Name, Anschrift & Kontaktdaten des DSB
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!50 |
Verarbeitungsverzeichnis – Deckblatt (Teil 1):
51. Schritt-für-Schritt-Umsetzung in die Praxis
Verarbeitungsverzeichnis – TOMs (Teil 3):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!51 |
Vertraulichkeit (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungsgebot,
Auftragskontrolle, Pseudonymisierung & Verschlüsselung), z.B. Alarmanlage, Sicherheitsschlösser,
Passwortregelung, E-Mail-Verschlüsselung…
Integrität (Eingabekontrolle, Weitergabekontrolle), z.B. Berechtigungskonzept, Protokoll-Funktion in
Software…
Verfügbarkeit (Verfügbarkeitskontrolle), z.B. Update- / Patch-Management, unterbrechungsfreie
Stromversorgung (USV), Rauchmelder, Feuerlöscher…
Belastbarkeit, z.B. Testen der System, regelmäßige Aktualisierung von Betriebssystem &
Anwendungssoftware…
Wiederherstellung der Verfügbarkeit, z.B. Ersatz-Hardware, Notdienst-Regelung IT-Service, Backup-
Konzept…
Verfahren zur regelmäßigen Überprüfung
52. Schritt-für-Schritt-Umsetzung in die Praxis
Beispiele für typische Verarbeitungstätigkeiten / Prozesse in Unternehmen:
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!52 |
Personal- / Bewerbermanagement
Internetseite
Verkauf / Vertrieb
Kundenverwaltung
Kontaktverwaltung
Terminverwaltung
E-Mail
Einkauf
IT
Marketing
Produktion
Buchhaltung
Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
53. Schritt-für-Schritt-Umsetzung in die Praxis
Pflichtangaben / Mindestinhalt (Art. 30 DSGVO):
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!53 |
Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke),
Kategorien der betroffenen Personen (beispielsweise Kunden, Beschäftigte, Lieferanten etc.),
Kategorien der verarbeiteten Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.),
ggf. Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten),
Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),
ggf. geplante Übermittlung der Daten in Länder außerhalb der EU
einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter
Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.).
Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
54. Schritt-für-Schritt-Umsetzung in die Praxis
Zum Start bzw. für ein rudimentäres Verzeichnis anhand einzelner Abteilungen des Unternehmens, z.B.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!54 |
Geschäftsführung
Personal
Buchhaltung
IT
Marketing
Vertrieb
Gebäudemanagement / Hausmeister
Fuhrparkmanagement
…
Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
55. Schritt-für-Schritt-Umsetzung in die Praxis
Beschreibung der einzelnen Abteilungen / Verarbeitungstätigkeiten nach den Vorgaben i.S.d. Art. 30 DSGVO
Muster-Verarbeitungsverzeichnisse u.a. für Handwerksbetriebe, Einzelhändler oder Vereine auf der Internetseite des
Bayrischen Landesdatenschutzbeauftragten (www.lda.bayern.de)
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!55 |
Verarbeitungsverzeichnis – Beschreibungen der Verarbeitungstätigkeiten (Teil 2):
56. Schritt-für-Schritt-Umsetzung – Beispiel Verarbeitungsverz.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!56 |
Verarbeitung / Zweck
Kategorien
betroffener Personen
Kategorien personen-
bezogener Daten
Kategorien
Empfänger
Löschfristen
Lohnabrechnung Beschäftigte Name & Adressen
ggf. Religions-
zugehörigkeit
Steuer/Kennzahlen
Lohnbuchhaltung
ext. Dienstleister
10 Jahre (gem.
Steuerrecht)
Betrieb Website Kunden
Website-Besucher
IP-Adressen
ggf. Name & E-Mail
- 30 Tage (IP-Adressen)
Kundenverwaltung Kunden Stammdaten
Kaufhistorie
- 10 Jahre (gem.
Steuerrecht)
Zahlungsabwicklung Kunden
Dienstleister
Stammdaten
Zahlungsdaten
(Bankverbindung)
Zahlungsdienstleister 10 Jahre (gem.
Steuerrecht)
Werbemaßnahmen Bestandskunden
poten. Neukunden
Adressdaten - 6 Jahre (gem.
Handelsrecht)
…
57. Vielen Dank.
Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern.
In Kürze in Ihrer Mediathek:
Video-Aufzeichnung der Online-Schulung
Fragen & Antworten-Dokument
58. Zeit für Ihre Fragen
Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts: In Ihrer
Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
59. Weitere Schulungen, die Sie interessieren könnten
€ 49,95
Bilanzen lesen, BWAs
verstehen!
Mi, 06.06.18 / 10:00 Uhr
ca. 120 Min.
14.08.2018 | DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um!59 |
Empfehlung für Sie Empfehlung für Sie
€ 49,95
Projektmanagement leicht
gemacht. Ideal für
Anfänger!
Do, 21.06.18 / 15:00 Uhr
ca. 80 Min.
€ 49,95
Das Mindestlohngesetz
kennen und prüfungssicher
umsetzen
Mo, 09.07.18 / 10:00 Uhr
ca. 80 Min.
€ 49,95
Reisekosten – schnell,
effektiv und steuerlich
korrekt abrechnen
Di, 07.08.18 / 09:00 Uhr
ca. 80 Min.
Empfehlung für SieEmpfehlung für Sie