Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
1
GRUNDKAPITAL
1,5 Mio. € - nicht börsennotiert, eigenfinanziert
Aktionäre: Gründerfamilien und Mitarbeiter
MITARBEITER
146 festangestellte MitarbeiterInnen
80 externe MitarbeiterInnen
UMSATZ
18,5. Mio € (2016)
4 STANDORTE
München, Nürnberg,
Stuttgart, Duisburg
KENNZAHLENINTERFACE AG 2017 – GEGRÜNDET 1984
ZERTIFIZIERUNG
DIN EN ISO 9001
3
IT-GOVERNANCE | IT-COMPLIANCE
SICHERHEIT &
COMPLIANCE
PROZESSE &
ORGANISATION
BUSINESS
ALIGNMENT
Bernhard Maischberger
Dipl. Inform.
Principal Consultant
Leitung Governance Team
Zertifizierter DSB (TÜV)
CEH, CISA, CISSP
4
Die 8 Kostbarkeiten des Datenschutzes
Einordnung Datenschutz in das Umfeld
o Oberstes Ziel des Datenschutzes:
o Grundrechtsschutz für EU Bürger
o Grundsätze des Datenschutzes
o Data Protection by Design
o Data Protection by Default
o 3 Kernprozesse im Datenschutz
o Datenschutzkonforme Datenverarbeitung
o Sicherstellen der Betroffenerechte
o Handhabung von Datenschutzverletzungen
o Risikobasierter Ansatz in der DSGVO
Informations-schutz
Datenschutz
IT Sicherheit
Compliance DSGVOBDSG neu
AktG, UWG,Kritis, GoBS,...
Technisch Organisatorisch
5
Die 8 Kostbarkeiten des Datenschutzes
Betroffenenrechte (Art. 12 – 23) Kernprozess
o Sicherstellung der Betroffenenrechte
o Unabdingbar und höchstpersönlich
o Daten: Erhebung (Art. 13,14), Auskunft (Art. 15),
Berichtigung (Art. 16), Löschung (Art. 17),
Einschränkung (früher Sperrung) (Art. 18)
Widerspruch (Art. 21)
o Recht auf Datenübertragbarkeit (Art. 20)
o Auskunft (Art. 15)
o Datenkategorien und Zwecke
o Empfänger und Empfängerkategorien
o Recht auf Vergessenwerden (früher Löschung)
o Beschwerderecht bei einer Aufsichtsbehörde
o Einschränkung anstatt Löschung:
o Bei bestrittener Richtigkeit
o Aufbewahrungsfristen z.B. §257 HGB, §147 AO
o Bei Interessenverletzung der Betroffenen möglich
o Gesundheitsbereich Teilweise 30 Jahre Aufbewahrungsfrist (wg. Strafrecht)
o Kosten trägt die verantwortliche Stelle
o Automatisierte Entscheidungsfindung: Aussagekräftige Informationen über die Logik (eventuell: Geschäftsgeheimnis) (Art. 22)
o Widerruf der Einwilligung (Art. 7)
o Nachweis der Einwilligung (Art. 7, 8)
o Besondere Kategorien (Art. 9)
6
Die 8 Kostbarkeiten des Datenschutzes
Der Datenschutzbeauftragte (DSB) (Art. 37 – 39)
o Pflicht bei mehr als 9 Mitarbeiter (Deutschland)
o EU Weit ab 250 MA
o Neu auch : Teilzeit-MA, ANÜ Geschäftsführung werden mitgezählt
o Markt und Meinungsforschung ab 1 MA
o Unternehmensinterne Kontrollinstanz
o Ernennung des DSB nötig
o Anpassung Arbeitsvertrag bei internem DSB
o Report direkt an GF
o Weisungsfrei im Thema Datenschutz
o DSB Intern oder Extern möglich
o Extern Geschäftsbesorgungsvertrag
o Intern: eingeschränkte Kündigungsmöglichkeit !!
o Abberufung nur §626 BGB (fristlos)
o Der DSB berät er genehmigt nicht
o Wichtige Voraussetzungen DSB
o Fachkunde
o Zuverlässigkeit
o Fachkunde
o Rechtliche Kompetenz
o BDSG, DSGVO, TMG, TKG, BetrVG
o Fachliche Kompetenz
o IT Sicherheit
o Organisatorische Kompetenz
o Zuverlässigkeit
o Verschwiegenheit, Sorgfalt Unbestechlichkeit, Verantwortungsbewußtsein
o Rollenkonflikte
o GF, Leitende Positionen
o Meldung des DSB an Aufsichtsbehörde ab 25. Mai
7
Die 8 Kostbarkeiten des Datenschutzes
Die Aufsichtsbehörden (Art. 57, 58, 83)
o Zuständig für Unternehmen die Bundesländer
o Bayern: BayLDA Ansbach
o Telekommunikation
o Bundesnetzagentur
o Filialen und Tochterunternehmen
o Rechtliche Selbständigkeit zählt
o Auskunftspflicht der GF
o Alle relevanten Informationen
o In Zukunft grenzüberschreitende Verarbeitung: Hauptniederlassung
o Meldung von Betroffenen an „Ihre“ Behörde
o Untersuchungsbefugnisse
o Abhilfebefugnisse
o Genehmigungsbefugnisse
o Anlasslose Kontrolle möglich
o Bei Meldung Betroffener an die Aufsichtsbehörde
o Zutrittsrecht zu üblichen Betriebszeiten
o Einsichtsrecht in geschäftliche Unterlagen
o Maßnahmen:
o Beanstandung
o Beseitigungsanordnung
o Untersagungsanordnung
o Bußgeldverfahren
8
Die 8 Kostbarkeiten des Datenschutzes
Auftragsdatenverarbeitung (ADV) (Art. 28)
o Verantwortliche Stelle → Auftragsverarbeiter
o Vertragliche Festlegung
o TOMS
o Kontrollbefugnis der Verantwortlichen Stelle
o Angemessenes Schutzniveau
o EU: Durch DSGVO alles OK
o Festlegung der EU Kommission
o EU Standardvertragsklauseln
o Binding Corporate Rules (Konzerne)
o Genehmigungspflichtig durch Aufsichtsbehörde
o EU - US Privacy Shield
o Ausnahme direkte Einwilligung der Betroffenen
o Neu: Selbständige Pflichten der Auftragsverarbeiters:
o Verzeichnis der Tätigkeiten
o TOMs mit hinreichenden Garantien
o DSB Bestellung
o Infopflicht an AG bei unzulässigen Weisungen
o Eigenständige Zusammenarbeit mit Aufsichtsbehörden
9
Die 8 Kostbarkeiten des Datenschutzes
Technisch Organisatorische Maßnahmen (Art. 32)
o Jede Verantwortliche Stelle und jeder Auftragsverarbeiter
o BDSG alt: Zutritt, Zugang, Zugriff,
Weitergabe, Eingabe, Auftrag,
Verfügbarkeit, Trennungsgebot
o Umsetzung nach jeweiligem Stand der Technik
o BSI Standards 100-2 (IT Grundschutz)
o BSI TR-02102-x
o ISO 27000 Reihe
o ITIL (ISO 20000)
o Neu: Verantwortung bei beiden Vertragsparteien
o Ziele:
o Vertraulichkeit,
o Verfügbarkeit,
o Integrität,
o Belastbarkeit (Resilienz)
o Exemplarische Verfahren: PseudonymisierungVerschlüsselung
o Risikoabschätzung für die Rechte und Freiheiten der Betroffenen
o DSGVO allgemeiner als BDSG alt
o Anforderungen DSGVO lassen sich aber auf BDSG alt abbilden
10
Die 8 Kostbarkeiten des Datenschutzes
Dokumentation des Datenschutzes
o Betroffenenkommunikation: (Art. 12)
o Einwilligungen, Auskünfte
o Klare einfache Sprache, keine Medienbrüche, Landessprache!
o Hier großes Abmahnpotential
o Internes Verfahrensverzeichnis wird Verzeichnis aller Verarbeitungstätigkeiten (Art. 30)
o Gesetzliche Grundlagen, Einwilligungen
o Aufbewahrungsfristen (Speicherbegrenzung)
o Auftragsverarbeiter, ADV Verträge
o Rechenschaftspflicht der verantwortlichen Stelle und des Auftragsverarbeiters (Art. 5)
o Wird auf „Lebendigkeit“ geprüft (3 Jahre)
o Datenschutzfolgeabschätzung (Art. 35, 36)
o Immer bei voraussichtlich hohem Risiko für Betroffene (besondere Arten von Daten) (Erw-Gründe 75, 89, 91)
o Bewertung persönlicher Aspekte
o Überwachung öffentlicher Bereiche
o Falls Hohes Risiko: vorherige Konsultation der Aufsichtsbehörde
o Aufsichtsbehörde: Antwort innerhalb 8 Wochen
o Meldepflicht bei Verletzungen (Art. 33)
o An die Aufsichtsbehörden (72 h Zeit)
o An Betroffene bei hohem Risiko unverzüglich (Art. 34)
o Voraussetzung: Erkennung
o Monitoring der eigenen Systeme, z.B. SIEM
o Beweislastumkehr erfordert eine umfangreiche Dokumentation
11
Die 8 Kostbarkeiten des Datenschutzes
Datenschutz im Marketing
o Werbung
o Kleinste werbliche Ansprache grafisch oder inhaltlich macht etwas zu Werbung (UWG §7)
o Datenschutz: Schutz des Persönlichkeitsrechts (Einwilligung)
o In der Regel keine Werbung ohne Einwilligung
o „Listenprivileg“ aus dem BDSG fällt am 25.05.18 weg.
o Ausnahme §95 Abs. 2 TKG „Kundenrückgewinnung“
o Ausnahme §15 Abs. 3 TMG „Pseudonyme Nutzungsprofile“
o Widerruf der Einwilligung darf bis zu 4 Wochen dauern. (Aufsichtsbehörde)
o Werbeeinwilligung bisher:
o Elektronische Einwilligung
o Ausdrücklich: Haken aktiv setzen. (nur Opt In möglich)
o Keine Verbindung mit anderen Erklärungen
o Bestätigungspflicht (eMail an Betroff.)
o Widerruf: 3 Jahre aufbewahren
o Schriftliche Einwilligung
o Opt Out möglich
o Verbindung mit anderen Erklärungen möglich.
o Mündliche Einwilligung
o Zeitnahe schriftliche Bestätigung
o In Zukunft Opt out
o Dokumentation wird geprüft
12
Die 8 Kostbarkeiten des Datenschutzes
Beschäftigtendatenschutz (Art. 88)
o Beschäftigte:
o AN, ehemalige AN, Lehrlinge, Heimarbeiter, Bewerber, Beamte, Richter, Soldaten
o Schutzwürdige Interessen des AN dürfen nicht überwiegen.
o Alle „besonderen Arten“ oder private Daten fallen i.d.R. zugunsten des AN aus
o Bewerber:
o Maximal 6 Monate Aufbewahrung beim AG
o Wenn länger nur mit aktiver Einwilligung des Bewerbers
o Recherche in Sozialen Netzten für AG tabu (nur öffentlich zugänglich: ohne login)
o Spezielle Situationen
o MuSchG, EFZG, Meldung des AN über seine Gesundheit erforderlich (z.B. Gaststätten)
o Führungszeugnisse
o Inhaltliche Beschränkungen beachten
§§30 – 42 BZRG
o Tarifverträge und Betriebsvereinbarungen als ergänzende Regelungen
o BAG: ja, aber Aufsichtsbehörden: nein
o Kein Konzernprivileg: Übermittlung im Konzern erfordert Erlaubnis
o AG: Zugriff auf Personaldaten: Immer so wenig Personen wie möglich
o Spezialfall: SÜG Einwilligung des MA
InterFace AG
KONTAKTWIR FREUEN UNS AUF IHRE NACHRICHT
www.InterFace-AG.com
Tel. : +49 (0) 89 61049-0
Fax : +49 (0) 89 61049-85
Leipziger Str. 16
82008 Unterhaching