SlideShare ist ein Scribd-Unternehmen logo
Building Competence. Crossing Borders.
GDPR-Datenschutz-Compliance:
von der Pflicht zur Kür
Dr. Nico Ebert, nico.ebert@zhaw.ch, Institut für Wirtschaftsinformatik, 16.11.2017
2
Datenschutz – ein Kompetenzbereich innerhalb des ZHAW
Datalab
4
Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
 Zweckbindung
 Datenminimierung
 Richtigkeit
 Speicherbegrenzung (Dauer)
 Integrität und Vertraulichkeit
Rechenschaftspflicht bei Verarbeitung personenbezogener
Daten (Art. 5)
5
Werkzeuge zur Gewährleistung der Rechenschaftspflicht
Verzeichnis der
Verarbeitungstätigkeiten (Art. 30)
Technische und organisatorische Massnahmen
(Art. 32)
Datenschutz-
Folgen-
abschätzung
(Art. 35)
Rechte des
Betroffenen
(Art. 13-22)
Einwilligung,
Vertrag
(Art. 6)
Rechenschaftspflicht bei der Verarbeitung (Art. 5)
6
Verzeichnis der Verarbeitungstätigkeiten: Muster
https://www.gdd.de/aktuelles/startseite/
verzeichnis-von-verarbeitungstaetigkeiten-1
https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
7
Verzeichnis der Verarbeitungstätigkeiten: Buchtipp
8
Verzeichnis der Verarbeitungstätigkeiten: Tools
https://iapp.org/resources/article/
2017-privacy-tech-vendor-report/
9
Wer muss es führen?
 Firmen mit min. 250 Mitarbeiter oder unabhängig davon, wenn z.B. stetige
Datenverarbeitung erfolgt
Was ist ein Verfahren?
 Paket von Verarbeitungen, die einen ähnlichen Zweck verfolgen und Daten mit
vergleichbarem Schutzbedarf verarbeiten (Z.B. Kontoführung Privatkunden vs.
Kontoführung Geschäftskunden)
 Kein IT-System/keine IT-Anwendung, sondern ein Prozess
Wer sind die Nutzer des Verzeichnisses?
 Leitungsebene (Nachweis der Compliance)
 DSB (Grundlage für die Prüfung der Rechtmässigkeit der Compliance)
 Aufsichtsbehörde (wie DSB)
 Betroffener z.B. Kunden, Mitarbeiter, Räte (Wahrnehmung der Betroffenenrechte)
Allgemeines zum Verzeichnis der Verarbeitungstätigkeiten
Quelle: Schäffter (2016) Verfahrensverzeichnis 2.0
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
Verweis auf TOM
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet nicht statt
10 Jahre
 Massnahmen zum Schutz von Kundendaten
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
Verweis auf TOM
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet nicht statt
10 Jahre
 Massnahmen zum Schutz von Kundendaten
10
Struktur des Verzeichnisses von
Verarbeitungstätigkeiten (Art. 30)
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck(e)
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
 Techn/Op.
Massnahmen*
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen*
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet statt ( Verträge)
10 Jahre
 Massnahmen zum Schutz von Kundendaten
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ * Wortlaut Art. 30: «Wenn möglich»
11
Struktur der Dokumentation technischer und organisatorischer
Massnahmen (Art. 32)
Pseudonymisierung
Verschlüsselung
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
Vertraulichkeit
Integrität (Unversehrtheit)
Verfügbarkeit
Belastbarkeit der Systeme
Verfahren zur Wiederherstellung
Verfahren zur Evaluierung der Massnahmen
z.B. ID statt Klarname
z.B. Berechtigungskonzept
z.B. Public-/Private-Key-Verfahren
z.B. Berechtigungskonzept
z.B. redundante Systeme
z.B. skalierbare Systeme
z.B. Business Continuity Management
(ITIL)
z.B. KVP-Zyklus
12
Struktur der Dokumentation technischer und organisatorischer
Massnahmen (Art. 32)
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
Interne Verhaltensregeln
Risikoanalyse
Allg. Datensicherheitsbeschreibungen
Datensicherheitskonzept
Wiederanlaufkonzept
Zertifikat Sobald verfügbar (GoodPrivacy, etc.)
z.B. via ISO 27001 / ITIL
13
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten
1. Personen
(z.B. Kunden, Mitarbeiter, Lieferanten, …)
2. Prozesse
(Verkauf, Produktion, Einkauf, Marketing, …)
3. Programme
(CRM, ERP, E-Mail…)
4. Daten
14
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten: Prozesse
Quelle: ZHAW
15
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten: Datenlebenszyklus
Verkauf
Gewinnung
Verwaltung
Synthese
Nutzung
Publikation
Archivierung
Löschung
Produktion Einkauf Service HR
Verfahren
Verfahren
Verfahren
Verfahren
Verfahren
VerfahrenVerfahren
Verfahren
16
Erkenntnisse zum Verzeichnis aus der Praxis
(Deutschland, 2015)
Quelle: Datenschutzpraxis in Unternehmen 2015, https://www.2b-advice.com/GmbH-de/Studie-Datenschutzpraxis-2015
17
Forschungsbedarf: Privacy by Design
16.11.2017
People
Processes
Systems
Data
Proactive&Preventative
PrivacybyDefault
PrivacyEmbeddedintoDesign
Positive-Sum,notZero-Sum
End-to-EndSecurity–LifecycleProtection
Visibility&Transparency
User-centritcity
Q: in Anl. an Cavoukian (2009) Privacy by Design - The 7 Foundational Principles
18
Forschungsbedarf: Best Practices und digitale Unterstützung
für das Datenschutzmanagement
Digital privacy inventory
Privacy impact
assessment
Technical and
operational measures
Data breach
management
Data subject rights
(e.g. correct, delete …)
Privacy terms, consent
& contracts
Privacy by design and
default
Digital Privacy Management
19
BACKUP
20
Rechenschaftspflicht (Art. 5)
21
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 1
22
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 2
23
Rechte der betroffenen Personen (Beispiel Auszug Art. 15)
24
Datenschutz-Folgenabschätzung (Art. 35 Auszug)

Weitere ähnliche Inhalte

Was ist angesagt?

DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
Michael Lanzinger
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
B-S-S Business Software Solutions GmbH
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVOVerzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
DeinData UG (haftungsbeschränkt)
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
Sascha Kremer
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Sascha Kremer
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
Michael Rohrlich
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Sascha Kremer
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
Michael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
Michael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Sascha Kremer
 
Webcast DSGVO im bw
Webcast DSGVO im bwWebcast DSGVO im bw
Webcast DSGVO im bw
Patric Dahse
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
Gigya
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
Praetor Intermedia
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
Namics
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 

Was ist angesagt? (18)

DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVOVerzeichnis von Verarbeitungstätigkeiten nach DSGVO
Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
Webcast DSGVO im bw
Webcast DSGVO im bwWebcast DSGVO im bw
Webcast DSGVO im bw
 
GDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - GermanGDPR Implications Customer Identity Management - German
GDPR Implications Customer Identity Management - German
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 

Ähnlich wie GDPR Datenschutz-Compliance: von der Pflicht zur Kür

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
e-dialog GmbH
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Österreich
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: Anonymization
Patric Dahse
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
advanced store connect workshop
advanced store connect workshopadvanced store connect workshop
advanced store connect workshop
advanced store
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
A. Baggenstos & Co. AG
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Michael Rohrlich
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Praxistage
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
Michael Rohrlich
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
kreuzwerker GmbH
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
mmi-consult
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
Michael Rohrlich
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Fujitsu Central Europe
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Thomas Schwenke
 
Die Zukunft des Wissensmanagements
Die Zukunft des WissensmanagementsDie Zukunft des Wissensmanagements
Die Zukunft des Wissensmanagements
Eduard Daoud
 
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
SQL Projekt AG
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
CGI Germany
 

Ähnlich wie GDPR Datenschutz-Compliance: von der Pflicht zur Kür (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Webcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: AnonymizationWebcast Security & Data Privacy: Anonymization
Webcast Security & Data Privacy: Anonymization
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
advanced store connect workshop
advanced store connect workshopadvanced store connect workshop
advanced store connect workshop
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
2024-02-29_Webinar_DORA_(Digital Operational Resilience Act) praxistauglich e...
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
 
Die Zukunft des Wissensmanagements
Die Zukunft des WissensmanagementsDie Zukunft des Wissensmanagements
Die Zukunft des Wissensmanagements
 
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
 

GDPR Datenschutz-Compliance: von der Pflicht zur Kür

  • 1. Building Competence. Crossing Borders. GDPR-Datenschutz-Compliance: von der Pflicht zur Kür Dr. Nico Ebert, nico.ebert@zhaw.ch, Institut für Wirtschaftsinformatik, 16.11.2017
  • 2. 2 Datenschutz – ein Kompetenzbereich innerhalb des ZHAW Datalab
  • 3. 4 Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)  Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz  Zweckbindung  Datenminimierung  Richtigkeit  Speicherbegrenzung (Dauer)  Integrität und Vertraulichkeit Rechenschaftspflicht bei Verarbeitung personenbezogener Daten (Art. 5)
  • 4. 5 Werkzeuge zur Gewährleistung der Rechenschaftspflicht Verzeichnis der Verarbeitungstätigkeiten (Art. 30) Technische und organisatorische Massnahmen (Art. 32) Datenschutz- Folgen- abschätzung (Art. 35) Rechte des Betroffenen (Art. 13-22) Einwilligung, Vertrag (Art. 6) Rechenschaftspflicht bei der Verarbeitung (Art. 5)
  • 5. 6 Verzeichnis der Verarbeitungstätigkeiten: Muster https://www.gdd.de/aktuelles/startseite/ verzeichnis-von-verarbeitungstaetigkeiten-1 https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
  • 7. 8 Verzeichnis der Verarbeitungstätigkeiten: Tools https://iapp.org/resources/article/ 2017-privacy-tech-vendor-report/
  • 8. 9 Wer muss es führen?  Firmen mit min. 250 Mitarbeiter oder unabhängig davon, wenn z.B. stetige Datenverarbeitung erfolgt Was ist ein Verfahren?  Paket von Verarbeitungen, die einen ähnlichen Zweck verfolgen und Daten mit vergleichbarem Schutzbedarf verarbeiten (Z.B. Kontoführung Privatkunden vs. Kontoführung Geschäftskunden)  Kein IT-System/keine IT-Anwendung, sondern ein Prozess Wer sind die Nutzer des Verzeichnisses?  Leitungsebene (Nachweis der Compliance)  DSB (Grundlage für die Prüfung der Rechtmässigkeit der Compliance)  Aufsichtsbehörde (wie DSB)  Betroffener z.B. Kunden, Mitarbeiter, Räte (Wahrnehmung der Betroffenenrechte) Allgemeines zum Verzeichnis der Verarbeitungstätigkeiten Quelle: Schäffter (2016) Verfahrensverzeichnis 2.0
  • 9. Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck Personenkategorie Datenkategorie Empfänger Datenübermittlung Verweis auf TOM Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt 10 Jahre  Massnahmen zum Schutz von Kundendaten 10 Struktur des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30) Verarbeitungstätigkeit: E-Mail-Marketing Verantwortlicher Verarbeitungszweck(e) Personenkategorie Datenkategorie Empfänger Datenübermittlung  Techn/Op. Massnahmen* Head of eMarketing Marketingkampagne für Bestandskunden Kunden Löschfristen* Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet statt ( Verträge) 10 Jahre  Massnahmen zum Schutz von Kundendaten Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ * Wortlaut Art. 30: «Wenn möglich»
  • 10. 11 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Pseudonymisierung Verschlüsselung Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Vertraulichkeit Integrität (Unversehrtheit) Verfügbarkeit Belastbarkeit der Systeme Verfahren zur Wiederherstellung Verfahren zur Evaluierung der Massnahmen z.B. ID statt Klarname z.B. Berechtigungskonzept z.B. Public-/Private-Key-Verfahren z.B. Berechtigungskonzept z.B. redundante Systeme z.B. skalierbare Systeme z.B. Business Continuity Management (ITIL) z.B. KVP-Zyklus
  • 11. 12 Struktur der Dokumentation technischer und organisatorischer Massnahmen (Art. 32) Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ Interne Verhaltensregeln Risikoanalyse Allg. Datensicherheitsbeschreibungen Datensicherheitskonzept Wiederanlaufkonzept Zertifikat Sobald verfügbar (GoodPrivacy, etc.) z.B. via ISO 27001 / ITIL
  • 12. 13 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten 1. Personen (z.B. Kunden, Mitarbeiter, Lieferanten, …) 2. Prozesse (Verkauf, Produktion, Einkauf, Marketing, …) 3. Programme (CRM, ERP, E-Mail…) 4. Daten
  • 13. 14 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Prozesse Quelle: ZHAW
  • 14. 15 Ansatzpunkte für die Identifikation von Verarbeitungstätigkeiten: Datenlebenszyklus Verkauf Gewinnung Verwaltung Synthese Nutzung Publikation Archivierung Löschung Produktion Einkauf Service HR Verfahren Verfahren Verfahren Verfahren Verfahren VerfahrenVerfahren Verfahren
  • 15. 16 Erkenntnisse zum Verzeichnis aus der Praxis (Deutschland, 2015) Quelle: Datenschutzpraxis in Unternehmen 2015, https://www.2b-advice.com/GmbH-de/Studie-Datenschutzpraxis-2015
  • 16. 17 Forschungsbedarf: Privacy by Design 16.11.2017 People Processes Systems Data Proactive&Preventative PrivacybyDefault PrivacyEmbeddedintoDesign Positive-Sum,notZero-Sum End-to-EndSecurity–LifecycleProtection Visibility&Transparency User-centritcity Q: in Anl. an Cavoukian (2009) Privacy by Design - The 7 Foundational Principles
  • 17. 18 Forschungsbedarf: Best Practices und digitale Unterstützung für das Datenschutzmanagement Digital privacy inventory Privacy impact assessment Technical and operational measures Data breach management Data subject rights (e.g. correct, delete …) Privacy terms, consent & contracts Privacy by design and default Digital Privacy Management
  • 22. 23 Rechte der betroffenen Personen (Beispiel Auszug Art. 15)