Dr. Nils Christian Haag - Datenschutzmanagement - Die Umsetzung der DSGVO in der Praxis

Transcript

1. intersoft consulting services AG Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten

   Sie auf Kurs. Besuchen Sie uns im Internet unter: www.intersoft-consulting.de Datenschutzmanagement Die Umsetzung der DSGVO in der Praxis Dr. Nils Christian Haag Vorstand am 16.01.2018 beim Hannoverschen Datenschutztag

2. intersoft consulting services AG Typischer Beginn von DSGVO-Projekten Schreck über

   neue Bußgelder! Beauftragung einer DSGVO-GAP-Analyse Hilf-/Ratlosigkeit! Erstellung eines umfang- reichen Projektplans Feststellung mangelnder Umsetzbarkeit Keine konkreten Lösungsvorschläge Gewaltiger Umsetzungsbedarf Geschäftsführung möchte sich absichern

3. intersoft consulting services AG Bitkom-Umfrage (Herbst 2017) Quelle: https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich- noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html

4. intersoft consulting services AG Kernproblem bei der Umsetzung Normadressaten der

   DSGVO: Vom Bäcker um die Ecke bis Google & Co... …differenzierende Anwendung unumgänglich!

5. intersoft consulting services AG Kernvoraussetzung für eine erfolgreiche Umsetzung der

   DSGVO Planung und Art der Umsetzung auf das Unternehmen und die vorhanden Ressourcen für den Datenschutz anpassen

6. intersoft consulting services AG Art. 39 Abs. 2 DSGVO

7. intersoft consulting services AG Beispiel: Verzeichnis von Verarbeitungstätigkeiten ¡ Basis

   für das Datenschutz-Management unter der DSGVO ¡ Erforderliche Schritte für den Aufbau 1. Bestandsaufnahme: Ersterfassung der relevanten Verfahren & Verantwortlichen im Unternehmen 2. Erfassung der Details gemäß Art. 30 DSGVO: Erfassung aller Detailinformationen bei den Verantwortlichen, moderiert vom Datenschutzbeauftragten oder von geschulten Koordinatoren ¡ Wesentliche Fragen für die Planung und Durchführung unter Berücksichtigung der vorhandenen Ressourcen: ú Wer ist zuständig (u.a. Projektmanagement)? ú Was wird als „Verfahren“ erfasst? ú Welche Vorlagen/Tools werden verwendet (datenbankgestützt)? ú Welches System in welchem Umfang kann dauerhaft gepflegt werden?

8. intersoft consulting services AG Ausnahme für KMU? ¡ Keine Pflicht

   für Unternehmen < 250 Mitarbeiter (Art. 30 Abs. 5), es sei denn, die Verarbeitung… ú birgt ein Risiko für die Rechte und Freiheiten der betroffenen Person, ú erfolgt nicht nur gelegentlich oder ú betrifft besondere Datenkategorien (besonders schützenswerte Daten, Art. 9 Abs. 1 DSGVO) ¡ Wortlaut/h.M.: Befreiung für KMU greift in der Praxis nie ein ¡ Gegenargumente: ú Willes des Gesetzgebers (Erwägungsgrund 13 DSGVO) ú „Risiko“ kann eng ausgelegt werden ú „gelegentlich“ nicht zeitlich verstehen, sondern als untergeordnet im Verhältnis zur Haupttätigkeit ¡ Auffassung der Aufsichtsbehörden?

9. intersoft consulting services AG Datenschutz-Management-System ¡ Begriff wird oft uneinheitlich

   verwendet (z.B. für Softwarelösungen) ¡ Ideal wäre die Einführung eines Datenschutz-Management-Systems (DMS) nach Vorbild eines ISMS (PDCA-Kreislauf) ¡ Basis hierfür ist die Definition wesentlicher Datenschutz-Prozesse, die in einer Datenschutzrichtlinie dokumentiert werden (vgl. Art. 24 Abs. 2 DSGVO)

10. intersoft consulting services AG Datenschutz-Management-System Wesentliche Prozesse ¡ Datenschutzorganisation/Verantwortlichkeiten/Ressourcen ¡

    Prozess zur Einbindung des Datenschutzbeauftragten ¡ Dokumentation: ú Verzeichnis von Verarbeitungstätigkeiten + DS-Folgenabschätzung ú Tätigkeitsbericht des Datenschutzbeauftragten ¡ Vertragsmanagement (Datenschutzvereinbarungen mit externen Dienstleistern) ¡ Schulungen ¡ Erfüllung von Informationspflichten ¡ Prozess für Auskunft und Beschwerden ¡ Prozess zur Meldung von Datenschutzverletzungen

11. intersoft consulting services AG Lesenswert für die praktische DSGVO-Umsetzung Winfried

    Veil zur Reichweite der Rechenschaftspflicht (ZD 2018, 9 ff.) Bei beck-online oder kostenlos abrufbar bei beck: http://rsw.beck.de/rsw/upload/ZD/ ZD_01-2018_-_Beitrag_Veil_1.pdf

12. intersoft consulting services AG Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten

    Sie auf Kurs. Besuchen Sie uns im Internet unter: www.intersoft-consulting.de Vielen Dank für Ihre Aufmerksamkeit. Gerne stehe ich Ihnen für Fragen zur Verfügung. Dr. Nils Christian Haag Vorstand E-Mail: [email protected] | Telefon: +49 40 790 235 – 161 Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg