Webinar Aufnahme: http://pan.news/MfXX30kabvm
Abstrakt: Worauf Europäische Unternehmen künftig gesetzlich achtgeben müssen.
Arbeitnehmer, Kunden, bzw. jeder EU-Bürger hat durch die neue Gesetzgebung zum Schutz der eigenen Person neue Rechte, die sie jederzeit geltend machen können. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) tritt am 25. Mai 2018 in Kraft und ist die bisher einflussreichste Änderung im Bereich Privatsphäre und Datenschutz.
In diesem Webinar möchten wir die wichtigsten Gesetzesänderungen zusammenfassen. Und wir zeigen Ihnen Anhand des Einsatzes unserer Lösungen, wie IBM Domino-Kunden Ihren Dokumentationsverpflichtungen nachkommen können und effizient den gesetzlichen Anforderungen entsprechen können.
3. Agenda
• Was ist die EU-DSGVO?
• Datenverantwortlicher und Datenverarbeiter
• Vorraussetzungen für das Sammeln/Speichern/Verarbeiten
• Rechte von betroffenen Personen
• Vorher/Nachher / Informationspflichten
• Mehr Pflichten
• Übergeordnete Themen
• SSOT vs. MSOT
• Datenschutzverletzungen
• Eine Folie wie panagenda helfen kann
• Ressourcen
• Q&A
3
4. EU-DSGVO / GDPR
• EU-Datenschutzgrundverordnung
– General Data Protection Regulation (GDPR)
• Tritt am 25. Mai 2018 in Kraft
• Schützt personenbezogene Daten von EU-Bürgern
– Gilt für jedwede Organisation die personenbezogene Daten von EU-Bürgern
sammelt/speichert/verarbeitet
• Personenbezogene Daten = *Alle* Daten in Bezug auf eine Person
– Email-Addresse, Name(n), IP-Addresse, Haarfarbe, …
• Sensitive Daten
– Genetisch, Biometrisch, Sexualleben, Gesundheit, rassische oder ethnische Herkunft,
politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschafts-
zugehörigkeit, …
4
5. Bevor wir weitermachen
• Ich bin kein Anwalt
• EU-DSGVO ist komplex
– Abhängig von der Art der Daten (personenbezogen vs. sensitiv)
– Abhängig von der Art der Organisation
(z.B. Unternehmen vs. Bank vs. Versicherung vs. staatlich)
– Andere Gesetze können die EU-DSGVO verschärfend ergänzen oder übersteuern
• z.B. die Notwendigkeit die Historie einer Transaktion zu dokumentieren (Kauf/Verkauf)
• Dies kann von Land zu Land unterschiedlich sein
- ein Land kann die EU-DSGVO jedoch nicht abschwächen (Strafmaß ausgenommen)
• EU-DSGVO ist ernst zu nehmen – Strafen bis zu
– 10 Millionen EUR oder 2% des weltweiten Umsatzes (Pflichten)
– 20 Millionen EUR oder 4% des weltweiten Umsatzes (Personenbezogene Daten)
5
6. EU-DSGVO
• Gilt nicht für ausschließlich persönliche oder familiäre Aktivitäten
• Erfordert einen oder mehrere Datenschutzbeauftragte (DSB)
– Während KMU nicht zwingend einen DSB benötigen, müssen sie dennoch die EU-
DSGVO erfüllen dringend zu empfehlen.
• Erfordert eine oder mehrere Personen, die für jeweilige
personenbezogene Daten verantwortlich sind
– Diese müssen den betroffenen Personen mitgeteilt werden (EU-Bürger)
• Eins noch: Entschuldigen Sie bitte die Menge an Text
(Gesetztestexte sind schwer zu reduzieren/illustrieren).
6
7. Datenverantwortlicher und Datenverarbeiter
• Verantwortlicher = die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und
Mittel der Verarbeitung von personenbezogenen Daten entscheidet
• Auftragsverarbeiter = eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet
• In vielen Fällen sind Verantwortlicher und Verarbeiter in der selben Organisation
• Cloud: IBM, Microsoft, Salesforce, MailChimp, Hootsuite, Facebook, LinkedIn,
etc. etc. etc.
– Verantwortlicher = (Mitarbeiter in) Ihre(r) Organisation
– Verarbeiter = Cloud Provider (vorrausgesetzt, die Daten sind korrekt verschlüsselt)
Der Verarbeiter muss die EU-DSGVO ebenfalls erfüllen! (EU Privacy Shield)
7
8. Sammeln/Speichern/Verarbeiten persönlicher Daten
• Ausschließlich für „festgelegte, eindeutige und legitime Zwecke“
• Nur nach Einwilligung oder falls nötig
– für die Erfüllung eines Vertrages
– um einer gesetzlichen Verpflichtung nachzukommen
– um lebenswichtige Interessen der betreffenden oder anderer Person zu schützen
– zur Wahrnehmung einer Aufgabe im öffentlichen Interesse
– zur Wahrung berechtigter Interessen
• Beschränkungspflicht auf das absolut notwendige
• Daten müssen richtig sein; falsche Daten sind zu korrigieren oder löschen
– Falsch nicht rechtmäßig>löschen, nicht notwendig>löschen,
fehlerhaft>korrigieren oder löschen
8
9. Rechte von betroffenen Personen
• Datenverarbeitung ausschließlich nachdem Einwilligung gemäß Artikel 6 erteilt wurde
– Einwilligung muß freiwillig, für einen bestimmten Fall, in informierter Weise und unmisverständlich erfolgen
• Recht auf Information (Transparenz)
• Recht auf Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit („Daten mitnehmen“) – Denken Sie an Cloud
• Widerspruchsrecht
• Recht (ausschließlich) automatischen/maschinellen Entscheidungsfindungen
nicht unterworfen zu werden
9
10. Vorher – Nachher
• „Danke, dass Sie sich für unseren Newsletter registriert haben“
(oder z.B. Vertragstext)
vs.
• Was Sie nunmehr gemäß EU-DSGVO kommunizieren müssen, und zwar
in präziser, transparenter, verständlicher und leicht zugänglicher Form in
klarer und einfacher Sprache
10
11. Informationspflicht bei Erhebung personenbezogener Daten
• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
• Ggf. die Kontaktdaten des Datenschutzbeauftragten
• Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
sowie die Rechtsgrundlage für die Verarbeitung
– Rechtsgrundlage gemäß Artikel 6; z.B. Newsletter = Article 6-1(a) = die betroffene Person
hat in die Verarbeitung spezifischer personenbezogener Daten eingewilligt
– Beruht die Verarbeitung auf 6 -1(f) die berechtigten Interessen, die von dem
Verantwortlichen oder einem Dritten verfolgt werden
• Ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten
• Ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein
Drittland oder eine internationale Organisation zu übermitteln (…)
• Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls
dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
11
12. Informationspflicht bei Erhebung personenbezogener Daten
• Das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die
betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung
oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen
die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
• Wenn die Verarbeitung (…)auf freiwilligem Einverständnis beruht(…), das
Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten
Verarbeitung berührt wird
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die
betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen,
und welche mögliche Folgen die Nichtbereitstellung hätte
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich
Profiling und aussagekräftige Informationen über die involvierte Logik sowie die
Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung
12
13. Pflichten von Datenverantwortlichen
• Verpflichtung alle Empfänger, mit denen personenbezogene Daten geteilt
wurden, von der Berichtigung oder Löschung dieser zu informieren
• Verpflichtung betroffene Personen über solche Empfänger zu informieren (falls
eine betroffene Person „Recht auf Information“ ausübt)
• Verpflichtung Behörden innerhalb von 72 Stunden im Falle der Verletzung des
Schutzes personenbezogener Daten zu informieren
• Sicherheit personenbezogener Daten gewährleisten
• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinst.
– Data Protection by Design and by Default
• Verzeichnis von Verarbeitungstätigkeiten (~ nicht < 250 MA)
• Bei hohen Risiken:
Datenschutz-Folgenabschätzug und Vorherige Konsultation
• Verhaltensregeln und deren Überwachung
13
14. Diverse weitere Themen rund um EU-DSGVO
• Behörden innerhalb von max. 72 Stunden informieren
• Unternehmen müssen beweisen, dass sie „alles“ nur mögliche/machbare
(ökonomisch vertretbar/stand der technik) zum Schutz der Daten
unternommen haben, und was genau sie unternommen haben
• Sicherheit
• Dokumentation/Wissen/Kontrolle
(Wo ist was, Wer hat Zugang zu was, Wer nutzt was, …;
aber vor allem: Wo überall sind personenbezogene Daten)
• Bewusstsein/Kultur/Gegenmaßnahmen (SSOT vs. MSOT)
• Transparenz (in Richtung betroffener Personen)
14
15. SSOT vs. MSOT und verteilte Datenspeicherung
• Single Source of Truth vs. Multiple Sources of Truth
– SSOT: Es gibt genau EINEN Ort für personenbezogene Daten
– MSOT: Personenbezogene Daten sind vielerorts gespeichert …
– SSOT > MSOT: Verteilte personenbezogene Daten sind mit SSOT synchronisiert
• Das große Problem verteilter Datenspeicherung
– Screenshots, Dateianhänge, Exportierte Daten, Druck, …
– Email-Weiterleitung, Kopieren von Dokumenten und Inhalten, …
– Speichern von Dateien an vielen verschiedenen Orten
• Connections, SharePoint, Email, Netzlaufwerke, Lokal auf Rechnern, …
15
16. Was ist überhaupt eine (mögliche) Datenschutzverletzung?
• Teilen von Informationen (ohne Nachvollziehbarkeit/Dokumentation)
• Unzureichender Schutz von Informationen
• Datenübermittlung ohne ausreichenden Schutz/Verschlüsselung
• Verlust eines USB-Sticks ohne ausreichenden Schutz
• Verlust eines Laptops ohne ausreichenden Schutz
• Verlust von gedruckter Informationen
• Falscher Zugriff / Misbrauch von Zugriff
• Hack/Angriff
• …
16
17. Wie panagenda helfen kann
• Expertise und Services
• SecurityInsider
– Wer hat/hatte wann
welchen Zugriff auf was
• ConnectionsExpert
– Wer arbeitet mit wem
– Wer teilt Informationen mit Externen
• iDNA Foundation (Mail & Apps)
und ApplicationInsights (Apps)
– Wer hat wann wie auf was zugegriffen
• iDNA for Email
– Wer kommuniziert mit wem
• iDNA for Mail Journal
– Anhänge, Verschlüsselung,
Automatisierung, …
• MarvelClient
– Management von lokalen Repliken,
– Kacheln, Lesezeichen, …
• SmartChanger
– Ändern und Löschen von
Namen/Inhalten
17