Sie auf Kurs. Besuchen Sie uns im Internet unter: www.intersoft-consulting.de Datenschutzmanagement Die Umsetzung der DSGVO in der Praxis Dr. Nils Christian Haag Vorstand am 16.01.2018 beim Hannoverschen Datenschutztag
neue Bußgelder! Beauftragung einer DSGVO-GAP-Analyse Hilf-/Ratlosigkeit! Erstellung eines umfang- reichen Projektplans Feststellung mangelnder Umsetzbarkeit Keine konkreten Lösungsvorschläge Gewaltiger Umsetzungsbedarf Geschäftsführung möchte sich absichern
für das Datenschutz-Management unter der DSGVO ¡ Erforderliche Schritte für den Aufbau 1. Bestandsaufnahme: Ersterfassung der relevanten Verfahren & Verantwortlichen im Unternehmen 2. Erfassung der Details gemäß Art. 30 DSGVO: Erfassung aller Detailinformationen bei den Verantwortlichen, moderiert vom Datenschutzbeauftragten oder von geschulten Koordinatoren ¡ Wesentliche Fragen für die Planung und Durchführung unter Berücksichtigung der vorhandenen Ressourcen: ú Wer ist zuständig (u.a. Projektmanagement)? ú Was wird als „Verfahren“ erfasst? ú Welche Vorlagen/Tools werden verwendet (datenbankgestützt)? ú Welches System in welchem Umfang kann dauerhaft gepflegt werden?
für Unternehmen < 250 Mitarbeiter (Art. 30 Abs. 5), es sei denn, die Verarbeitung… ú birgt ein Risiko für die Rechte und Freiheiten der betroffenen Person, ú erfolgt nicht nur gelegentlich oder ú betrifft besondere Datenkategorien (besonders schützenswerte Daten, Art. 9 Abs. 1 DSGVO) ¡ Wortlaut/h.M.: Befreiung für KMU greift in der Praxis nie ein ¡ Gegenargumente: ú Willes des Gesetzgebers (Erwägungsgrund 13 DSGVO) ú „Risiko“ kann eng ausgelegt werden ú „gelegentlich“ nicht zeitlich verstehen, sondern als untergeordnet im Verhältnis zur Haupttätigkeit ¡ Auffassung der Aufsichtsbehörden?
verwendet (z.B. für Softwarelösungen) ¡ Ideal wäre die Einführung eines Datenschutz-Management-Systems (DMS) nach Vorbild eines ISMS (PDCA-Kreislauf) ¡ Basis hierfür ist die Definition wesentlicher Datenschutz-Prozesse, die in einer Datenschutzrichtlinie dokumentiert werden (vgl. Art. 24 Abs. 2 DSGVO)
Prozess zur Einbindung des Datenschutzbeauftragten ¡ Dokumentation: ú Verzeichnis von Verarbeitungstätigkeiten + DS-Folgenabschätzung ú Tätigkeitsbericht des Datenschutzbeauftragten ¡ Vertragsmanagement (Datenschutzvereinbarungen mit externen Dienstleistern) ¡ Schulungen ¡ Erfüllung von Informationspflichten ¡ Prozess für Auskunft und Beschwerden ¡ Prozess zur Meldung von Datenschutzverletzungen
Veil zur Reichweite der Rechenschaftspflicht (ZD 2018, 9 ff.) Bei beck-online oder kostenlos abrufbar bei beck: http://rsw.beck.de/rsw/upload/ZD/ ZD_01-2018_-_Beitrag_Veil_1.pdf
Sie auf Kurs. Besuchen Sie uns im Internet unter: www.intersoft-consulting.de Vielen Dank für Ihre Aufmerksamkeit. Gerne stehe ich Ihnen für Fragen zur Verfügung. Dr. Nils Christian Haag Vorstand E-Mail: [email protected] | Telefon: +49 40 790 235 – 161 Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg