Vom BDSG zur DSGVO – Ein Praxisbeitrag 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

Agenda – vom BDSG zur DSGVO • Vorüberlegungen • Phasen eines typischen DSGVO-Projekts • Herausforderungen und praktische Empfehlungen

2

Vorüberlegungen

Vorüberlegungen • Wer ist für das Datenschutz-Projekt im Unternehmen

verantwortlich? –  Leitung des Projekts: Datenschutz oder Fachseite –  Unterstützung durch Geschäftsführung –  Einbindung / Verantwortung der Fachabteilungen

• Welche Ressourcen stehen zur Verfügung? –  Interne Umsetzung oder externe Unterstützung –  Welche Hilfen stehen von Behörden und Verbänden zur Verfügung?

• Was soll erreicht werden? Bis wann? –  Nur Mindestanforderungen erfüllen? –  Datenschutz als Wettbewerbsvorteil? –  Vollständige Einhaltung der DSGVO bereits ab Mai 2018, oder

“nachlaufende Aufgaben” auch nach dem Inkrafttreten der DSGVO

4

Phasen eines DSGVO Projekts

Kontrolle

Phase 2: Dokument-

Entwurf

Phase 3: Umsetzung

Phase 1: Daten-

Erfassung

Lücken- Analyse

6

Vorschritt: Lücken-Analyse • Systematisches Erfassen der Anforderungen der DSGVO

–  Erstellen einer Checkliste

• Erfassen der derzeit im Unternehmen bestehenden Datenschutzstrukturen –  Datenschutzorganisation vorhanden? –  Verfahrensverzeichnis nach BDSG vorhanden? –  Abgleich mit Checkliste

•  Identifizierung der Lücken • Priorisierung und Zeitplan

7

Phase 1: Daten-Erfassung • Bestehendes Verfahrensverzeichnis als Grundlage? • Technisches System zum Erfassen der Verfahren? • Erfassen aller Verfahren

–  Top-down: Von den Geschäftsprozessen ausgehend in die Tiefe –  Bottom-up: Ausgehend von IT-Systemen und Anwendungen –  Zuordnung von Rechtsgrundlagen

• Erstellung weiterer Listen –  Liste aller Auftragsverarbeiter à zum Update der ADV-Vereinbarungen –  Liste aller Einwilligungen, „Re-Consent“ erforderlich? –  Übermittlungen in Drittstaaten –  Automatische Entscheidungen / Profiling

1

8

Phase 2: Entwurf von Mustern und Standardtexten • Benachrichtigen aktualisieren

–  Kundendaten, Beschäftigten-Daten, Daten von Dritten (Videoüberwachung, etc.)

• Update von Einwilligungen • Erstellung/Update von Mustern

–  Auftragsverarbeitung –  Muster für Datenschutzfolgeabschätzung, etc.

• Erstellung/Update von Unternehmens-Richtlinien –  Unterstützung durch Geschäftsleitung, Zuständigkeiten, Datenschutzorganisation –  Schutzverletzungen und Meldepflichten –  Aufbewahrung und Löschung –  Integration in Unternehmensprozesse, z.B. Lieferantenauswahl

• Erstellung von Schulungsmaterialien –  Allgemeine Schulung aller Beschäftigten –  Spezielle Schulung von HR, IT, Marketing und anderen „datenlastigen“ Bereichen –  Schulung von R&D zu Datenschutz durch Technik und Voreinstellungen

2

9

Phase 3: Roll-out • Schulung der Beschäftigten • Technik anpassen – Verschlüsselung, etc. • Update von Verträgen

–  Auftragsverarbeitungen –  Haftungsreglungen

• Benachrichtigung der Betroffenen • Unternehmensprozesse umstellen

3

10

Regelmäßige Kontrolle • Regelmäßige Kontrollen: Jährlich? Intern/extern? • Verfahrensverzeichnis vollständig? • Kontrollen bei Dritten • Aufbau eines Datenschutz Management Systems

11

Typische Herausforderungen und praktische Empfehlungen

Typische Herausforderungen • Unterstützung durch Fachabteilungen • Globaler Ansatz – oder pro EU Mitgliedstaat?

–  Bei Beschäftigtendaten: Anpassung pro Mitgliedstaat empfehlenswert –  Bei Kundendaten: Es kommt darauf an. Globaler Ansatz ggf. möglich – Risikoabschätzung. –  Auftragsverarbeitungen: Globaler Ansatz eher möglich

• Stilfragen – ein Muster für alle?

13

Praktische Empfehlungen • Unmittelbare Unterstützung durch die oberste Geschäftsleitung • Einbindung aller betroffener Bereiche • Verantwortung durch Fachabteilung /

Kontrolle durch die Datenschutzabteilung

14