Click here to load reader

Vom BDSG zur DSGVO – Ein Praxisbeitrag · PDF fileVorüberlegungen • Wer ist für das Datenschutz-Projekt im Unternehmen verantwortlich? – Leitung des Projekts: Datenschutz oder

  • View
    1

  • Download
    0

Embed Size (px)

Text of Vom BDSG zur DSGVO – Ein Praxisbeitrag · PDF fileVorüberlegungen • Wer ist...

  • Vom BDSG zur DSGVO – Ein Praxisbeitrag 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

  • Agenda – vom BDSG zur DSGVO • Vorüberlegungen • Phasen eines typischen DSGVO-Projekts • Herausforderungen und praktische Empfehlungen

    2

  • Vorüberlegungen

  • Vorüberlegungen • Wer ist für das Datenschutz-Projekt im Unternehmen

    verantwortlich? –  Leitung des Projekts: Datenschutz oder Fachseite –  Unterstützung durch Geschäftsführung –  Einbindung / Verantwortung der Fachabteilungen

    • Welche Ressourcen stehen zur Verfügung? –  Interne Umsetzung oder externe Unterstützung –  Welche Hilfen stehen von Behörden und Verbänden zur Verfügung?

    • Was soll erreicht werden? Bis wann? –  Nur Mindestanforderungen erfüllen? –  Datenschutz als Wettbewerbsvorteil? –  Vollständige Einhaltung der DSGVO bereits ab Mai 2018, oder

    “nachlaufende Aufgaben” auch nach dem Inkrafttreten der DSGVO

    4

  • Phasen eines DSGVO Projekts

  • Kontrolle

    Phase 2: Dokument-

    Entwurf

    Phase 3: Umsetzung

    Phase 1: Daten-

    Erfassung

    Lücken- Analyse

    6

  • Vorschritt: Lücken-Analyse • Systematisches Erfassen der Anforderungen der DSGVO

    –  Erstellen einer Checkliste

    • Erfassen der derzeit im Unternehmen bestehenden Datenschutzstrukturen –  Datenschutzorganisation vorhanden? –  Verfahrensverzeichnis nach BDSG vorhanden? –  Abgleich mit Checkliste

    •  Identifizierung der Lücken • Priorisierung und Zeitplan

    7

  • Phase 1: Daten-Erfassung • Bestehendes Verfahrensverzeichnis als Grundlage? • Technisches System zum Erfassen der Verfahren? • Erfassen aller Verfahren

    –  Top-down: Von den Geschäftsprozessen ausgehend in die Tiefe –  Bottom-up: Ausgehend von IT-Systemen und Anwendungen –  Zuordnung von Rechtsgrundlagen

    • Erstellung weiterer Listen –  Liste aller Auftragsverarbeiter à zum Update der ADV-Vereinbarungen –  Liste aller Einwilligungen, „Re-Consent“ erforderlich? –  Übermittlungen in Drittstaaten –  Automatische Entscheidungen / Profiling

    1

    8

  • Phase 2: Entwurf von Mustern und Standardtexten • Benachrichtigen aktualisieren

    –  Kundendaten, Beschäftigten-Daten, Daten von Dritten (Videoüberwachung, etc.)

    • Update von Einwilligungen • Erstellung/Update von Mustern

    –  Auftragsverarbeitung –  Muster für Datenschutzfolgeabschätzung, etc.

    • Erstellung/Update von Unternehmens-Richtlinien –  Unterstützung durch Geschäftsleitung, Zuständigkeiten, Datenschutzorganisation –  Schutzverletzungen und Meldepflichten –  Aufbewahrung und Löschung –  Integration in Unternehmensprozesse, z.B. Lieferantenauswahl

    • Erstellung von Schulungsmaterialien –  Allgemeine Schulung aller Beschäftigten –  Spezielle Schulung von HR, IT, Marketing und anderen „datenlastigen“ Bereichen –  Schulung von R&D zu Datenschutz durch Technik und Voreinstellungen

    2

    9

  • Phase 3: Roll-out • Schulung der Beschäftigten • Technik anpassen – Verschlüsselung, etc. • Update von Verträgen

    –  Auftragsverarbeitungen –  Haftungsreglungen

    • Benachrichtigung der Betroffenen • Unternehmensprozesse umstellen

    3

    10

  • Regelmäßige Kontrolle • Regelmäßige Kontrollen: Jährlich? Intern/extern? • Verfahrensverzeichnis vollständig? • Kontrollen bei Dritten • Aufbau eines Datenschutz Management Systems

    11

  • Typische Herausforderungen und praktische Empfehlungen

  • Typische Herausforderungen • Unterstützung durch Fachabteilungen • Globaler Ansatz – oder pro EU Mitgliedstaat?

    –  Bei Beschäftigtendaten: Anpassung pro Mitgliedstaat empfehlenswert –  Bei Kundendaten: Es kommt darauf an. Globaler Ansatz ggf. möglich – Risikoabschätzung. –  Auftragsverarbeitungen: Globaler Ansatz eher möglich

    • Stilfragen – ein Muster für alle?

    13

  • Praktische Empfehlungen • Unmittelbare Unterstützung durch die oberste Geschäftsleitung • Einbindung aller betroffener Bereiche • Verantwortung durch Fachabteilung /

    Kontrolle durch die Datenschutzabteilung

    14