SlideShare ist ein Scribd-Unternehmen logo

GDPR Datenschutz-Compliance: von der Pflicht zur Kür

L
learningculture

Dokumentation im Rahmen der GDPR / DSGVO mit Schwerpunkt Verzeichnis der Verarbeitungstätigkeiten

Internet
1 von 23
Downloaden Sie, um offline zu lesen
Building Competence. Crossing Borders. GDPR-Datenschutz-Compliance: von der Pflicht zur Kür Dr. Nico Ebert, nico.ebert@zhaw.ch, Institut für Wirtschaftsinformatik, 16.11.2017
2 Datenschutz – ein Kompetenzbereich innerhalb des ZHAW Datalab
4 Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)  Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung (Dauer)  Integrität und Vertraulichkeit Rechenschaftspflicht bei Verarbeitung personenbezogener Daten (Art. 5)
5 Werkzeuge zur Gewährleistung der Rechenschaftspflicht Verzeichnis der Verarbeitungstätigkeiten (Art. 30) Technische und organisatorische Massnahmen (Art. 32) Datenschutz- Folgen- abschätzung (Art. 35) Rechte des Betroffenen (Art. 13-22) Einwilligung, Vertrag (Art. 6) Rechenschaftspflicht bei der Verarbeitung (Art. 5)
6 Verzeichnis der Verarbeitungstätigkeiten: Muster https://www.gdd.de/aktuelles/startseite/ verzeichnis-von-verarbeitungstaetigkeiten-1 https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
7 Verzeichnis der Verarbeitungstätigkeiten: Buchtipp
8 Verzeichnis der Verarbeitungstätigkeiten: Tools https://iapp.org/resources/article/ 2017-privacy-tech-vendor-report/
9 Wer muss es führen?  Firmen mit min. 250 Mitarbeiter oder unabhängig davon, wenn z.B. stetige Datenverarbeitung erfolgt Was ist ein Verfahren?  Paket von Verarbeitungen, die einen ähnlichen Zweck verfolgen und Daten mit vergleichbarem Schutzbedarf verarbeiten (Z.B. Kontoführung Privatkunden vs. Kontoführung Geschäftskunden)  Kein IT-System/keine IT-Anwendung, sondern ein Prozess Wer sind die Nutzer des Verzeichnisses?  Leitungsebene (Nachweis der Compliance)  DSB (Grundlage für die Prüfung der Rechtmässigkeit der Compliance)  Aufsichtsbehörde (wie DSB)  Betroffener z.B. Kunden, Mitarbeiter, Räte (Wahrnehmung der Betroffenenrechte) Allgemeines zum Verzeichnis der Verarbeitungstätigkeiten Quelle: Schäffter (2016) Verfahrensverzeichnis 2.0
Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten 10 Struktur des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck(e) Personenkategorie Datenkategorie Empfänger Datenübermittlung  Techn/Op. Massnahmen* Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen* Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet statt ( Verträge) 10 Jahre  Massnahmen zum Schutz von Kundendaten Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ * Wortlaut Art. 30: «Wenn möglich»
11 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Pseudonymisierung Verschlüsselung Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Vertraulichkeit Integrität (Unversehrtheit) Verfügbarkeit Belastbarkeit der Systeme Verfahren zur Wiederherstellung Verfahren zur Evaluierung der Massnahmen z.B. ID statt Klarname z.B. Berechtigungskonzept z.B. Public-/Private-Key-Verfahren z.B. Berechtigungskonzept z.B. redundante Systeme z.B. skalierbare Systeme z.B. Business Continuity Management (ITIL) z.B. KVP-Zyklus
12 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Interne Verhaltensregeln Risikoanalyse Allg. Datensicherheitsbeschreibungen Datensicherheitskonzept Wiederanlaufkonzept Zertifikat Sobald verfügbar (GoodPrivacy, etc.) z.B. via ISO 27001 / ITIL
13 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten 1. Personen (z.B. Kunden, Mitarbeiter, Lieferanten, …) 2. Prozesse (Verkauf, Produktion, Einkauf, Marketing, …) 3. Programme (CRM, ERP, E-Mail…) 4. Daten
14 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Prozesse Quelle: ZHAW
15 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Datenlebenszyklus Verkauf Gewinnung Verwaltung Synthese Nutzung Publikation Archivierung Löschung Produktion Einkauf Service HR Verfahren Verfahren Verfahren Verfahren Verfahren VerfahrenVerfahren Verfahren
16 Erkenntnisse zum Verzeichnis aus der Praxis (Deutschland, 2015) Quelle: Datenschutzpraxis in Unternehmen 2015, https://www.2b-advice.com/GmbH-de/Studie-Datenschutzpraxis-2015
17 Forschungsbedarf: Privacy by Design 16.11.2017 People Processes Systems Data Proactive&Preventative PrivacybyDefault PrivacyEmbeddedintoDesign Positive-Sum,notZero-Sum End-to-EndSecurity–LifecycleProtection Visibility&Transparency User-centritcity Q: in Anl. an Cavoukian (2009) Privacy by Design - The 7 Foundational Principles
18 Forschungsbedarf: Best Practices und digitale Unterstützung für das Datenschutzmanagement Digital privacy inventory Privacy impact assessment Technical and operational measures Data breach management Data subject rights (e.g. correct, delete …) Privacy terms, consent & contracts Privacy by design and default Digital Privacy Management
19 BACKUP
20 Rechenschaftspflicht (Art. 5)
21 Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 1
22 Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 2
23 Rechte der betroffenen Personen (Beispiel Auszug Art. 15)
24 Datenschutz-Folgenabschätzung (Art. 35 Auszug)

Empfohlen

Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakteid-netsolutions Digital Solutions GmbH
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 

Empfohlen

Digitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitDigitalisierung - Datenschutz - IT-Sicherheit
Digitalisierung - Datenschutz - IT-SicherheitPeter Haase
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakteid-netsolutions Digital Solutions GmbH
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecMichael Lanzinger
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOBokowsky + Laymann GmbH
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPRB-S-S Business Software Solutions GmbH
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVOVerzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVODeinData UG (haftungsbeschränkt)
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Sascha Kremer
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Webcast DSGVO im bw
Webcast DSGVO im bwWebcast DSGVO im bw
Webcast DSGVO im bwPatric Dahse
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVOPraetor Intermedia
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO AngebotNamics
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Fujitsu Central Europe
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationPatric Dahse
 

Weitere ähnliche Inhalte

Was ist angesagt?

DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Sascha Kremer
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Webcast DSGVO im bw
Webcast DSGVO im bwWebcast DSGVO im bw
Webcast DSGVO im bwPatric Dahse
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGigya
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVOPraetor Intermedia
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO AngebotNamics
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 

Was ist angesagt? (18)

DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVOVerzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
Webcast DSGVO im bw
Webcast DSGVO im bwWebcast DSGVO im bw
Webcast DSGVO im bw
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 

Ähnlich wie GDPR Datenschutz-Compliance: von der Pflicht zur Kür

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Fujitsu Central Europe
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018e-dialog GmbH
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationPatric Dahse
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
advanced store connect workshop
advanced store connect workshopadvanced store connect workshop
advanced store connect workshopadvanced store
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenA. Baggenstos & Co. AG
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Praxistage
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...kreuzwerker GmbH
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Thomas Schwenke
 
Die Zukunft des Wissensmanagements
Die Zukunft des WissensmanagementsDie Zukunft des Wissensmanagements
Die Zukunft des WissensmanagementsEduard Daoud
 
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...SQL Projekt AG
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]CGI Germany
 

Ähnlich wie GDPR Datenschutz-Compliance: von der Pflicht zur Kür (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: Anonymization
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
advanced store connect workshop
advanced store connect workshopadvanced store connect workshop
advanced store connect workshop
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
 
Die Zukunft des Wissensmanagements
Die Zukunft des WissensmanagementsDie Zukunft des Wissensmanagements
Die Zukunft des Wissensmanagements
 
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
 

GDPR Datenschutz-Compliance: von der Pflicht zur Kür

  • 1. Building Competence. Crossing Borders. GDPR-Datenschutz-Compliance: von der Pflicht zur Kür Dr. Nico Ebert, nico.ebert@zhaw.ch, Institut für Wirtschaftsinformatik, 16.11.2017
  • 2. 2 Datenschutz – ein Kompetenzbereich innerhalb des ZHAW Datalab
  • 3. 4 Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)  Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung (Dauer)  Integrität und Vertraulichkeit Rechenschaftspflicht bei Verarbeitung personenbezogener Daten (Art. 5)
  • 4. 5 Werkzeuge zur Gewährleistung der Rechenschaftspflicht Verzeichnis der Verarbeitungstätigkeiten (Art. 30) Technische und organisatorische Massnahmen (Art. 32) Datenschutz- Folgen- abschätzung (Art. 35) Rechte des Betroffenen (Art. 13-22) Einwilligung, Vertrag (Art. 6) Rechenschaftspflicht bei der Verarbeitung (Art. 5)
  • 5. 6 Verzeichnis der Verarbeitungstätigkeiten: Muster https://www.gdd.de/aktuelles/startseite/ verzeichnis-von-verarbeitungstaetigkeiten-1 https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
  • 7. 8 Verzeichnis der Verarbeitungstätigkeiten: Tools https://iapp.org/resources/article/ 2017-privacy-tech-vendor-report/
  • 8. 9 Wer muss es führen?  Firmen mit min. 250 Mitarbeiter oder unabhängig davon, wenn z.B. stetige Datenverarbeitung erfolgt Was ist ein Verfahren?  Paket von Verarbeitungen, die einen ähnlichen Zweck verfolgen und Daten mit vergleichbarem Schutzbedarf verarbeiten (Z.B. Kontoführung Privatkunden vs. Kontoführung Geschäftskunden)  Kein IT-System/keine IT-Anwendung, sondern ein Prozess Wer sind die Nutzer des Verzeichnisses?  Leitungsebene (Nachweis der Compliance)  DSB (Grundlage für die Prüfung der Rechtmässigkeit der Compliance)  Aufsichtsbehörde (wie DSB)  Betroffener z.B. Kunden, Mitarbeiter, Räte (Wahrnehmung der Betroffenenrechte) Allgemeines zum Verzeichnis der Verarbeitungstätigkeiten Quelle: Schäffter (2016) Verfahrensverzeichnis 2.0
  • 9. Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten 10 Struktur des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck(e) Personenkategorie Datenkategorie Empfänger Datenübermittlung  Techn/Op. Massnahmen* Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen* Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet statt ( Verträge) 10 Jahre  Massnahmen zum Schutz von Kundendaten Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ * Wortlaut Art. 30: «Wenn möglich»
  • 10. 11 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Pseudonymisierung Verschlüsselung Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Vertraulichkeit Integrität (Unversehrtheit) Verfügbarkeit Belastbarkeit der Systeme Verfahren zur Wiederherstellung Verfahren zur Evaluierung der Massnahmen z.B. ID statt Klarname z.B. Berechtigungskonzept z.B. Public-/Private-Key-Verfahren z.B. Berechtigungskonzept z.B. redundante Systeme z.B. skalierbare Systeme z.B. Business Continuity Management (ITIL) z.B. KVP-Zyklus
  • 11. 12 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Interne Verhaltensregeln Risikoanalyse Allg. Datensicherheitsbeschreibungen Datensicherheitskonzept Wiederanlaufkonzept Zertifikat Sobald verfügbar (GoodPrivacy, etc.) z.B. via ISO 27001 / ITIL
  • 12. 13 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten 1. Personen (z.B. Kunden, Mitarbeiter, Lieferanten, …) 2. Prozesse (Verkauf, Produktion, Einkauf, Marketing, …) 3. Programme (CRM, ERP, E-Mail…) 4. Daten
  • 13. 14 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Prozesse Quelle: ZHAW
  • 14. 15 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Datenlebenszyklus Verkauf Gewinnung Verwaltung Synthese Nutzung Publikation Archivierung Löschung Produktion Einkauf Service HR Verfahren Verfahren Verfahren Verfahren Verfahren VerfahrenVerfahren Verfahren
  • 15. 16 Erkenntnisse zum Verzeichnis aus der Praxis (Deutschland, 2015) Quelle: Datenschutzpraxis in Unternehmen 2015, https://www.2b-advice.com/GmbH-de/Studie-Datenschutzpraxis-2015
  • 16. 17 Forschungsbedarf: Privacy by Design 16.11.2017 People Processes Systems Data Proactive&Preventative PrivacybyDefault PrivacyEmbeddedintoDesign Positive-Sum,notZero-Sum End-to-EndSecurity–LifecycleProtection Visibility&Transparency User-centritcity Q: in Anl. an Cavoukian (2009) Privacy by Design - The 7 Foundational Principles
  • 17. 18 Forschungsbedarf: Best Practices und digitale Unterstützung für das Datenschutzmanagement Digital privacy inventory Privacy impact assessment Technical and operational measures Data breach management Data subject rights (e.g. correct, delete …) Privacy terms, consent & contracts Privacy by design and default Digital Privacy Management
  • 22. 23 Rechte der betroffenen Personen (Beispiel Auszug Art. 15)