Post on 28-Jun-2020
transcript
Handout 1
DS-GVOEinführung und Roll-out imTechnologiekonzernDr. Philip RupprathSyndikusanwaltSiemens AG
siemens.comFrei verwendbar © Siemens AG 2017
Frei verwendbar © Siemens AG 2017Juni 2017Seite 2 Philip Rupprath / LC C DP
Pflichten und Problemfelder unter der DS-GVO
Datenschutz-beauftragte
Verfahrens-verzeichnis
Einwilligung
Informations-pflichten
Auftrags-datenver-arbeitung
Profiling
Big Data
Inter-nationale
Daten-transfer
Datenschutz-Folgen-
abschätzung
Auskunfts-rechtSanktionen
Daten-geheimnis
Rechen-schafts-pflicht
Rechts-grundlagen
DataBreach
Notifications
Recht aufDaten -
portabilität
Recht auf„Vergessen-
werden“
Widerspruchs- recht
Handout 2
Frei verwendbar © Siemens AG 2017Juni 2017Seite 3 Philip Rupprath / LC C DP
Rechenschaftspflicht
Art. 5 Abs. 2 DSGVO: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und mussdessen Einhaltung nachweisen können (Rechenschaftspflicht).”
Art. 5 Abs. 1 DSGVO: Personenbezogene Daten müssen
• auf rechtmäßige Weise, (…) und in einer (…) nachvollziehbaren Weise verarbeitet werden(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
• für festgelegte, eindeutige und legitime Zwecke erhoben werden (…) („Zweckbindung“);
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Datengewährleistet, (…) durch technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Frei verwendbar © Siemens AG 2017Juni 2017Seite 4 Philip Rupprath / LC C DP
Rechenschaftspflicht
Art. 24 Abs. 1 DSGVO:
“Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die
Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um,
um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser
Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
Handout 3
Frei verwendbar © Siemens AG 2017Juni 2017Seite 5 Philip Rupprath / LC C DP
Top 5 Operational Impacts
1. Rechenschaftspflichten
3. PIA
2. Verfahrensverzeichnis
4. Informationspflichten
5. Auftragsdatenverarbeitung
Frei verwendbar © Siemens AG 2017Juni 2017Seite 6 Philip Rupprath / LC C DP
Verfahrensverzeichnis – Praktische Umsetzung (1/9)
Handout 4
Frei verwendbar © Siemens AG 2017Juni 2017Seite 7 Philip Rupprath / LC C DP
Verfahrensverzeichnis – Praktische Umsetzung (3/9)
Inhalt des Verarbeitungsverzeichnisses, Art. 30 (1)(a) the name and contact details of the controller and, whereapplicable, the joint controller, the controller's representative andthe data protection officer(b) the purposes of the processing(c) a description of the categories of data subjects and of thecategories of personal data(d) the categories of recipients to whom the personal datahave been or will be disclosed including recipients in thirdcountries or international organisations(e) transfers of personal data to a third country(f) the envisaged time limits for erasure(g) a general description of the technical and organisationalsecurity measures
Siem
ensC
DP
Center
Frei verwendbar © Siemens AG 2017Juni 2017Seite 8 Philip Rupprath / LC C DP
Verfahrensverzeichnis – Praktische Umsetzung (4/9)
Handout 5
Frei verwendbar © Siemens AG 2017Juni 2017Seite 9 Philip Rupprath / LC C DP
Top 5 Operational Impacts
1. Rechenschaftspflichten
3. PIA
2. Verfahrensverzeichnis
4. Informationspflichten
5. Auftragsdatenverarbeitung
Frei verwendbar © Siemens AG 2017Juni 2017Seite 10 Philip Rupprath / LC C DP
Datenschutz-Folgenabschätzung –Praktische Umsetzung (1/2)
Mindestinhalt der Datenschutzfolgen-abschätzung, Art. 35 (7):
(a) a systematic description of theenvisaged processing operations and thepurposes of the processing, including,where applicable, the legitimate interestpursued by the controller
(b) an assessment of the necessity andproportionality of the processingoperations in relation to the purposes
(c) an assessment of the risks to the rightsand freedoms of data subjects
(d) the measures envisaged to address therisks […]
Siemens CDP Center
Handout 6
Frei verwendbar © Siemens AG 2017Juni 2017Seite 11 Philip Rupprath / LC C DP
Top 5 Operational Impacts
1. Rechenschaftspflichten
3. PIA
2. Verfahrensverzeichnis
4. Informationspflichten
5. Auftragsdatenverarbeitung
Frei verwendbar © Siemens AG 2017Juni 2017Seite 12 Philip Rupprath / LC C DP
Informationspflichten – Anforderungen (1/3)
§ 4 Absatz 3
BDSG
Art. 13 and 14
DSGVO
Namen und Kontaktdaten des Datenschutzbeauftragten2
Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. des Vertreters1
Datenkategorien, die verarbeitet werden sowie Zwecke, für diedie personenbezogenen Daten verarbeitet werden3
Rechtsgrundlage für die Verarbeitung4
Handout 7
Frei verwendbar © Siemens AG 2017Juni 2017Seite 13 Philip Rupprath / LC C DP
Informationspflichten – Anforderungen (2/3)
BDSG DSGVO
Übermittlung in ein Drittland sowie Rechtsgrundlage derÜbermittlung7
Vorrangiges berechtigtes Interesse der verantwortlichen Stelleoder eines Dritten bei Interessenabwägung alsRechtfertigungsgrundlage
5
Aufbewahrungsfrist8
Empfänger oder Empfängerkategorien der personenbezogenenDaten6
Frei verwendbar © Siemens AG 2017Juni 2017Seite 14 Philip Rupprath / LC C DP
Informationspflichten – Anforderungen (3/3)
BDSG DSGVO
Information, ob die Bereitstellungder personenbezogenen Daten gesetzlich odervertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist11
Information über das Bestehen eines Beschwerderechts bei einerAufsichtsbehörde10
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling12
Information des Betroffenen über seine Rechte9
Handout 8
Frei verwendbar © Siemens AG 2017Juni 2017Seite 15 Philip Rupprath / LC C DP
Informationspflichten – Praktische Umsetzung (1/2)
Informationspflicht bei Direkterhebung, Art. 13 (1):(a) the identity and the contact details of the controller(b) the contact details of the data protection officer(c) the purposes of the processing […]as well as the legal basis for the processing(d) the legitimate interests pursued by the controller(e) the recipients or categories of recipients of thepersonal data(f) the fact that the controller intends to transfer personaldata to a third country(2) (a) the period for which the personal data will bestored
Siem
ensC
DP
Center
Frei verwendbar © Siemens AG 2017Juni 2017Seite 16 Philip Rupprath / LC C DP
Informationspflichten – Praktische Umsetzung (2/2)
Siem
ensC
DP
Center
Informationspflicht, wenn Erhebung nicht beimBetroffenen erfolgt, Art. 14 (1):
(a) the identity and the contact details of the controller
(b) the contact details of the data protection officer
(c) the purposes of the processing as well as the legalbasis for the processing
(d) the categories of personal data concerned
(e) the recipients or categories of recipients of thepersonal data
(f) that the controller intends to transfer personal data toa recipient in a 3rd country
(2) (a) the period for which the personal data will bestored
Handout 9
Frei verwendbar © Siemens AG 2017Juni 2017Seite 17 Philip Rupprath / LC C DP
Top 5 Operational Impacts
1. Rechenschaftspflichten
3. PIA
2. Verfahrensverzeichnis
4. Informationspflichten
5. Auftragsdatenverarbeitung
Frei verwendbar © Siemens AG 2017Juni 2017Seite 18 Philip Rupprath / LC C DP
Auftragsdatenverarbeitung
Inhalt des Verarbeitungsvertrags, Art. 28 (3):
- the subject matter and duration of processing
- the nature and purpose of the processing
- the type of personal data and categories of datasubjects
(e) […] assists the controller by appropriate technical andorganisational measures […]
(f) assists the controller in ensuring compliance with theobligations pursuant to Articles 32 to 36 (in particularDPIA)
(g) at the choice of the controller, deletes or returns all thepersonal data […]”
Siem
ensC
DP
Center
Handout 10
Frei verwendbar © Siemens AG 2017Juni 2017Seite 19 Philip Rupprath / LC C DP
Vorgehensweise: Zu ergreifende Maßnahmen
• Prioritäre Maßnahmen: bereits jetzt umzusetzen oder zu beginnen– Verzeichnis von Verarbeitungstätigkeiten: welche personenbezogenen Daten werden wo verarbeitet
(Verfahrensverzeichnis Update)– Status-Quo/GAP-Analyse interner Richtlinien und Templates– Unternehmensinterne Sensibilisierung für PIA und Privacy by Design
• Mittlere Priorität: bis zum Inkrafttreten im Mai 2018– Update/Erstellen von internen Richtlinien und Policies, Update/Erstellen von Auditprozessen– Vorbereitung auf neue Betroffenenrechte – Prozesse überarbeiten
(Auskunft, Recht auf Vergessenwerden, Datenübertragbarkeit)– Überarbeiten Prozess für Benachrichtigungen bei Datenschutzverletzungen
Frei verwendbar © Siemens AG 2017Juni 2017Seite 20 Philip Rupprath / LC C DP
4. Implementation Plan for Siemens“400-days-programm”
• May/June 2016: internal LC CO DP/LC C DP workshop (2 days)
• October 2016: publish “400-days-program”(action items + timeline)
• Spring 2017: EU DPO workshop
• January 2018: “400-days-program” implemented
Challenge:Moving target with respect to escape clauses and “remaining”
national DP laws.
Handout 11
Frei verwendbar © Siemens AG 2017Juni 2017Seite 21 Philip Rupprath / LC C DP
6. Q&A
Frei verwendbar © Siemens AG 2017Juni 2017Seite 22 Philip Rupprath / LC C DP
Kontakt
Dr. Philip RupprathSyndikusanwalt / Senior CounselOtto-Hahn-Ring 681739 Muenchen, GermanyTel.: +49 89 636-28083Mobile: +49 152 22621940philip.rupprath@siemens.com
siemens.com