Transcription

Herzlich Willkommen zum Seminar„Betrieblicher Datenschutzbeauftragter“gemäß DS-GVO & BDSG(neu)Ihr Referent: Wirtschaftsinformatiker Michael J. SchüsslerEDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerWirtschaftsinformatiker, Schiedsgutachter, anerkannter EDV-Sachverständiger (ULD), externer Datenschutzbeauftragtergemäß § 4f Abs. 2 S. 1 BDSG. ISO/IEC 27001 Foundation zert. und zertifizierter PECB ISO 27001 Lead Auditor. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 1

Datenschutz ist ein spannendes Thema welches auch IhrePersönlichkeitsrechte betrifft!Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit (GG Art. 2 Abs. 1) EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 2

Die DS-GVO und das BDSG(neu)Art. 1 DS-GVO Gegenstand und ZieleAbs. 1 Diese Verordnung enthält Vorschriften zum Schutz natürlicherPersonen bei der Verarbeitung personenbezogener Daten und zumfreien Verkehr solcher Daten.Abs. 2 Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen undinsbesondere deren Recht auf Schutz personenbezogener Daten.Abs. 3 Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzesnatürlicher Personen bei der Verarbeitung pbD weder eingeschränkt noch verboten werden.Sicht- und Stichtag 25Mai 2018§ 1 BDSG (neu) Anwendungsbereich des GesetzesAbs. 1 Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch1. öffentliche Stellen des Bundes,2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist undsoweit siea) Bundesrecht ausführen oderb) als Organe der Rechtspflege tätig werden und es sich nicht umVerwaltungsangelegenheiten handelt.Für nichtöffentliche Stellen (AG, GmbH, Vereine ) gilt dieses Gesetz für die ganz oder teilweiseautomatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte VerarbeitungpbD, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, dieVerarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärerTätigkeiten. Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften diesesGesetzes vor (Subsidaritätsprinzip). EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 3

Rechtsgrundlagen und Meilensteine im DatenschutzDie Würde des Menschen ist unantastbar (GG Art. 1 Abs. 1)Allgemeine Erklärung der Menschenrechte (UNO - 1948)12345Jeder hat das Recht auf die freie Entfaltungseiner Persönlichkeit (GG Art. 2 Abs. 1)Das Grundrecht auf informationelle Selbstbestimmung (BVerfG, 19 . .)Europäische Datenschutzrichtlinie 95/ . ./ . . (19 . .)Bundesdatenschutzgesetz (Novelle III, 2 . . .)Die EU-Datenschutz-Grund . . . . . . . . . . (DS- . . ., 25.Mai 2018)Bundesdatenschutzgesetz (BDSG-n . ., 25.Mai 20 . .) EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 4

Rechtsakte mit allgemeiner Geltung (Verordnungen und Richtlinien)Europäischer RatStrategische VorgabenEuropäischer KommissionEntwirft neue Rechtsvorschriften anhandder Vorgaben des RatesTrilog-VerhandlungenVorschläge der KommissionMitbestimmungMitbestimmungEuropäisches ParlamentRat der EU (Ministerrat)Neue Rechtsvorschriften müssen sowohl vom Europäischen Parlament wie auch vom Ratder EU angenommen werden.Triloge sind informelle Verhandlungen zwischen dem Europäischen Parlament, dem Ratund der Kommission mit dem Ziel, frühes Einvernehmen zu EU-Gesetzen zu erreichen. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 5

Die Zeittafel der EU-DS-GVOAuf nationaler deutscher Ebene müssen die vorhandenen gesetzlichen Regelungen (vor allem das BDSGNovelle III von 2009) noch an die DS-GVO angepasst werden (Öffnungsklauseln“).Die DS-GVO ist in Kraft. Damit kann der nat. Gesetzgeber die Vorgaben der DS-GVO zum Erlassergänzender nationaler Regelungen – Öffnungsklauseln (etwa für ein „neues BDSG IV“) nutzen.24. Mai20164. Quart.20161. Quart.2017Der Bundestag und Bundesrat berät die Gesetzentwürfe für die nationalen Regelungen,zu erwarten im Frühjahr 2017.4. Quart.2017Ablauf der Legislaturperiode und automatischer Verfall von noch nicht verabschiedetenGesetzentwürfen (z.B. für ein sog. „neues BDSG IV“ - Diskontinuitätsprinzip ). NeuerBundestag und Bundesrat kann neue Gesetzesinitiative zur Verabschiedung starten.24. Mai201825. Mai2018Bis Herbst 2016 sind die neuen Gesetzentwürfe für die ergänzenden nationalen Regelungenzu erwarten. Derzeit befinden sich diese in der Ausarbeitungsphase.Bis 24. Mai 2018 - Anwendbarkeit des geltenden BDSG (entweder BDSG Novelle III oder„neues BDSG IV“, noch keine Anwendbarkeit der DS-GVO für juristische Personen, Behördenoder für Betroffene.Anwendbarkeit der DS-GVO und Anwendbarkeit des „neuen BDSG IV“ (insofern verabschiedet).Die BDSG Novelle III von 2009, ist nicht mehr anwendbar. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 6

Die Datenschutz-Grundverordnung (DS-GVO) - AuszugVERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATESzum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zurAufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) – Angenommen vom Rat am 8. April 2016.ZIELSETZUNG Erwägungsgrund 11 der Datenschutz-Grundverordnung (DS-GVO)Haben wir ein Grundrecht auf Privatheit?ErwGr. 11 - Ein unionsweiter wirksamer Schutz pbD erfordert dieStärkung und präzise Festlegung der Rechte der betroffenenPersonen sowie eine Verschärfung der Verpflichtungen für diejenigen, die pbD verarbeiten und darüber entscheiden, ebenso wie - in den Mitgliedstaaten gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriftenzum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.Ja. dies haben wir sehr wohl! EU-Grundrechtecharta Art. 1 i.V.m. Art. 1 Abs. 1 GG„Die Würde des Menschen ist unantastbar“ Art. 7 „Achtung des Privat- und Familienlebens “. Die DS-GVO „Diese VO schützt die Grundrechte und Grundfreiheitennatürlicher Personen und insbesondere deren Recht auf Schutz pbD“ – BDSG(neu) EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 7

Wesentliche Umsetzungsmaßnamen bez. der Vorbereitung auf die DS-GVOÜbersicht der Handlungsempfehlungen zur Umsetzung der DS-GVO bis zum Stichtag: 25. Mai 2018Die Projektinitialisierung erfolgt durch die Geschäftsleitung - VerantwortlicherPhase I mit sehr hoher DringlichkeitBestellung desUnterweisung rstellung desVerzeichnisses vonVerarbeitungstätigkeitenSensibilisierungder Mitarbeiter,Datenschutz-UnterweisungBeurteilungder DatenschutzfolgeabschätzungPhase II mit hoher DringlichkeitImplementierung derAuskunftserteilung, unddie ÜbertragungpersonenbezogenerDatenÜberprüfung undAnpassungvon Vertragsvorlagen undEinwilligungserklärungenÜberarbeitung derDokumentationen mitAuftragsdatenverarbeiternAktualisierung undÜberarbeitung desDatenschutz-HandbuchsNeuaufstellung des betriebl.bzw. externenDatenschutzbeauftragtenEinführung eineskontinuierlichenVerbesserungsprozesses –PDCA –ISO 27001Identifikation undKontaktaufnahme mit derZuständigenAufsichtsbehördePhase III mit mittlerer DringlichkeitImplementierung derProzesse"Privacy by Design" und byDefault"Festlegung undÜberarbeitung der TOMinkl. risikobasiertemAnsatzÜberprüfung derVerschlüsselungs-, Anonymisierungs & Pseudonymisierungs Möglichkeiten EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 8

Die Systematik (Aufbau) - Der DS-GVO I (Table of Contents)Erwägungsgründe 1 – 173Artikel 1 – 99Kapitel I: ALLGEMEINE BESTIMMUNGENArtikel 1 Gegenstand und ZieleArtikel 2 Sachlicher AnwendungsbereichArtikel 3 Räumlicher AnwendungsbereichArtikel 4 BegriffsbestimmungenS. 2-107S. 108S. 108S. 110S. 111Kapitel II: GRUNDSÄTZEArtikel 5 Grundsätze für die Verarbeitung personenbezogener DatenArtikel 6 Rechtmäßigkeit der VerarbeitungArtikel 7 Bedingungen für die EinwilligungArtikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der InformationsgesellschaftArtikel 9 Verarbeitung besonderer Kategorien personenbezogener DatenArtikel 10 Verarbeitung von pbD über strafrechtliche Verurteilungen und StraftatenArtikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich istS. 117S. 118S. 122S. 123S. 124S. 127S. 128Kapitel III: RECHTE DER BETROFFENEN PERSONArtikel 12 Transparente Inform., Kommunikation und Modalitäten für die Ausübung der Rechte der betroff.Artikel 13 Informationspflicht bei Erhebung von pbD bei der betroffenen PersonArtikel 14 Informationspflicht, wenn die pbD nicht bei der betroffenen Person erhoben wurdenArtikel 15 Auskunftsrecht der betroffenen PersonArtikel 16 Recht auf BerichtigungArtikel 17 Recht auf Löschung ("Recht auf Vergessenwerden")Artikel 18 Recht auf Einschränkung der VerarbeitungArtikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung pbD oder der Artikel 20 Recht auf DatenübertragbarkeitArtikel 21 WiderspruchsrechtArtikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich ProfilingArtikel 23 BeschränkungenS. 129S. 131S. 134S. 138S. 140S. 140S. 142S. 143S. 144S. 145S. 146S. 147 EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 9

Art. 9 DS-GVO Verarbeitung besonderer Kategorien pbD IProcessing of special categories of personal dataArtikel 9 Verarbeitung besonderer Kategorienpersonenbezogener DatenAbs. 1 Die Verarbeitung pbD, aus denen dieist untersagt!1 rassische und ethnische Herkunft,2 politische Meinungen,3 religiöse oder weltanschauliche Überzeugungen oder die4 Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von5 genetischen Daten,6 biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,7 Gesundheitsdaten oder Daten zum8 Sexualleben oder der sexuellen Orientierung einer natürlichen Personist untersagt.Die Erhebung dieser Daten ohne Rechtsgrundlage löst eineMeldepflicht (Datenschutzpanne) gemäß Art. 33 DS-GVO aus.Es können Bußgelder bis zu 20 Mio. gemäß Art. 83 Abs. 5DS-GVO verhängt werden! EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 10

Wen oder was schützt die DS-GVO?Eine natürlichePerson und denUmgang mitdessen titätKreuzen Sie bitte die richtigen Lösung an. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 11

Datenschutzkonforme Datenverarbeitung IBei den Prozessen der datenschutzkonformen Datenverarbeitung stellt sich die Frage, welcheAnforderungen ein Unternehmen erfüllen muss, damit die Verarbeitung personenbezogener Datenim Einklang mit der DS-GVO erfolgt.Überblick Datenverarbeitung:Die rechtmäßige Datenverarbeitung ist an folgende Voraussetzungen geknüpft: Der Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 1, 2) Die Rechtmäßigkeit der Verarbeitung basierend auf den Rechtsgrundlagen (Art. 6) Transparenz zur Erhebung durch angemessene Information der betroffenen Person (Art. 12) Die Sicherheit der Verarbeitung durch Umsetzung geeigneter TOM‘s (Art. 24, 32) Die Datenschutzkonforme Auftragsverarbeitung, u.a. durch geeignete TOM‘s (Art. 28) Die Dokumentation der Verarbeitungstätigkeiten (Art. 30) Die Sicherstellung des Schutzniveaus bei der Übermittlung pbD in Drittländer (Art. 44)Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung pbD ergeben sich ausArt. 6 Abs. 1 lit. a-f.Hiernach dürfen personenbezogene Daten zu folgenden Zwecken verarbeitet werden: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung gegeben (Art. 6 Abs. 1 lit. a), zur Erfüllung vertraglicher- und vorvertraglicher Pflichten (Art. 6 Abs. 1 lit. b), zur Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c) z.B. Finanzbuchhaltung (§ 238 Abs. 1 HGB), zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d ), zur Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e) sowie zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) z.B. Marketing, Forschungsfreiheit. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 12

Datenschutzkonforme Datenverarbeitung nach DS-GVO567Grundsätze der Datenübermittlung (Art. 44)4VZ von Verarbeitungstätigkeiten (Art.30)Sicherheit der Verarbeitung (Art. 32)3Auftragsverarbeiter (Art. 28)Verantwortung d. f. d. Verarb. Verantwortl. (Art. 24)2Transparenz – Information & Kommunik. (Art. 12)Rechtmäßigkeit der Verarbeitung (Art. 6)Datenschutzgrundsätze (Art. 5 Abs. 1, 2)11Rechenschaftspflichtgemäß Art. 5 Abs. 22Rechtsgrundlage & Zweck3Informations- undKommunikationspflicht4Geeignete TOM vorh.?5TOM vorh.? & Gewährl.der Vertraulichkeit,Integrität, Verfügbarkeit 6Geeignete TOM vorh.? &Auswahl & AV-Vertag7Dokumentationspflicht8„Drittland“, Schutzniveau gewährleistet? &Binding Corporate Rules8DS-GVO EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 13

Die drei Kernprozesse im Datenschutz gemäß DS-GVOGeneral Data Protection Regulation1RechtsverbindlicheDatenverarbeitung vonpersonenbezogenen DatenJede Verarbeitung von pbDbedarf einer Rechtsgrundlage. DatenschutzgrundsätzeArt. 5 Abs. 1, 2 Rechtmäßigkeit derVerarbeitung Art. 6 Auftragsverarbeiter Art. 28 VZ von Verarbeitungstätigkeiten Art.30 Grundsätze der Datenübermittlung Art. 44Die Überprüfung der TOM sindbspw. ein weiter Prozess.2Sicherstellung undGewährleistung derBetroffenenrechteDie Betroffenenrechte sind zugewährleisten - (informationelleSelbstbestimmung).Die transparenten Mitteilungspflichten an die Betroffenenstellen einen weiteren wichtigenKernprozess für das Unternehmen dar (z.B. durch dasAuskunftsrecht).Die Betroffenenrechte sind einwesentlicher Bestandteil der DSGVO und in den Unternehmensalltag ebenfalls zu integrieren.3Die Handhabung vonDatenschutzverletzungen unddie rechtzeitige ErkennungEinen weiteren Geschäftsprozessstellt die Handhabung von Datenschutzverletzungen gemäß Art. 4Nr. 12, dar.Welche eine Melde- und Benachrichtigungspflicht auslösen können(z.B. durch das Abhandenkommenvon pbD gemäß Art. 9 DS-GVO).Eine Verletzung des Schutzes pbDliegt vor, wenn ein Verlust, eineVeränderung / eine unbefugteOffenlegung oder ein unbefugterZugang zu pbD stattgefunden hat. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 14

Geschäftsprozesse nach Fachabteilungen habteilungen 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26F0(GL)X XX XXF0.1 (AM)X XXF0.2 (BR)XXF0.3 (BH)XXF0.4 (Contrl)XXF0.5 (DS)XXF0.6 (Eink)XXF0.7 (Empfang) XX XF0.8F0.9X XF0.18XXF0.19XXF0.20XXF0.21XXF0.22XX XXAbb. Fachabt. & Verfahren EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 15

Vereinfachte systematische Darstellung der Prozessabläufe – ?A) Bei Registrierung werdenfolgende Daten erhoben:Anrede, Vn, Nn, Adresse,Tel. , E-Mail & Passwort.B) Automatisiert gespeichertwerden der Zeitpunkt &die IP-Adresse.JDSErklärungakzept.?NJNDaten in DB speichernFehlermeldung ausgebenDouble OPT-INE-Mail an UserJUserbestätigt?2NWebseite Login/Abmeld.Datenerhebung:E-Mail & Passwortund B).Loginok?NFehlermeldungFalsche Login-DatenJDB updatenStandard Geschäftsprozess2Abmeldung?FakturierungRechnung übersendenNE-Learning InhaltAnzeigenLogoutJDB updatenUser freischaltenJEndeNJE-Mail an UsersendenRechnungbez.?Account sperren bzw.LöschenEnde EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 16

Die neuen Sanktionen bzw. Bußgelder der DS-GVOArtikel 83 Abs. 4Artikel 83 Abs. 5Artikel 83 Abs. 6bis 10 Mio. oder bis 2% desweltweiten Vorjahresumsatzesbis 20 Mio. oder bis 4% desweltweitenVorjahresumsatzesbis 20 Mio. oder bis 4% desweltweiten VorjahresumsatzesVerstöße gegen Regelungenz.B. im Bereich:Verstöße gegen Regelungenz.B. im Bereich:Verstöße gegen Anordnungen derAufsichtsbehörde. Schutzmaßnahmen (TOM) Auftragsverarbeitung bzw.Auftragsverarbeiter Verzeichnis derVerarbeitungstätigkeiten DatenschutzFolgenabschätzung Bestellung des Datenschutzbeauftragten Grundsätze (Art. 5) Treu und Glaube Rechtmäßigkeitz.B. Verarbeitungbesonderer KategorienpbD (Art. 9) Einwilligung Rechte Betroffener Drittlandsübermittlung Zusammenarbeit mitAufsichtsbehörde Die Bußgeldtatbestände der DS-GVOsind in Art. 83 Abs. 4, 5, 6 geregelt.Bei Verstößen gegen Tatbestände der zweiten Gruppe gemäß Art. 83 Abs. 5 und 6 DS-GVO sind in jedemEinzelfall Bußgelder zu verhängen, die wirksam, verhältnismäßig und abschreckend sind. EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 17

Urheberrechte - BildernachweisAlle Bilder welche zur optischen Unterstützung des Lernenden im Seminar: „BetrieblicherDatenschutzbeauftragter“ gemäß DS-GVO & BDSG dienen, wurden erworben bei:https://de.depositphotos.com oder bei http://de.fotolia.comQuellangaben:BDSG III von 2009, BDSG(neu), EU-DSG-VO bund.de, www.bsi.bund.de, hsen.de, liance nach der DS-GVO – Autoren: Kranig · Sachs · GierschmannDanke für Ihre AufmerksamkeitAllgemeiner Hinweis:Wer Zeigefinger und Daumen in Deutschland zu einem Kreis formt, möchte damit anzeigen,dass er etwas gut findet oder das Essen ausgezeichnet schmeckt. Auch in der Tauchersprachebedeutet dieses Zeichen, dass alles in bester Ordnung ist. (https://www.welt.de/reise/.) EDV Sachverständigen- und Datenschutzbüro Michael J. SchüsslerSeite 18

Herzlich Willkommen zum Seminar „Betrieblicher Datenschutzbeauftragter“ gemäß DS-GVO & BDSG(neu) Ihr Referent: Wirtschaftsinformatiker Michael J. Schüssler EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker, Schiedsgutachter, anerkannter EDV-Sachverständiger