Vom BDSG zur DSGVO – Ein Praxisbeitrag 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP
Agenda – vom BDSG zur DSGVO • Vorüberlegungen • Phasen eines typischen DSGVO-Projekts • Herausforderungen und praktische Empfehlungen
2
Vorüberlegungen • Wer ist für das Datenschutz-Projekt im Unternehmen
verantwortlich? – Leitung des Projekts: Datenschutz oder Fachseite – Unterstützung durch Geschäftsführung – Einbindung / Verantwortung der Fachabteilungen
• Welche Ressourcen stehen zur Verfügung? – Interne Umsetzung oder externe Unterstützung – Welche Hilfen stehen von Behörden und Verbänden zur Verfügung?
• Was soll erreicht werden? Bis wann? – Nur Mindestanforderungen erfüllen? – Datenschutz als Wettbewerbsvorteil? – Vollständige Einhaltung der DSGVO bereits ab Mai 2018, oder
“nachlaufende Aufgaben” auch nach dem Inkrafttreten der DSGVO
4
Vorschritt: Lücken-Analyse • Systematisches Erfassen der Anforderungen der DSGVO
– Erstellen einer Checkliste
• Erfassen der derzeit im Unternehmen bestehenden Datenschutzstrukturen – Datenschutzorganisation vorhanden? – Verfahrensverzeichnis nach BDSG vorhanden? – Abgleich mit Checkliste
• Identifizierung der Lücken • Priorisierung und Zeitplan
7
Phase 1: Daten-Erfassung • Bestehendes Verfahrensverzeichnis als Grundlage? • Technisches System zum Erfassen der Verfahren? • Erfassen aller Verfahren
– Top-down: Von den Geschäftsprozessen ausgehend in die Tiefe – Bottom-up: Ausgehend von IT-Systemen und Anwendungen – Zuordnung von Rechtsgrundlagen
• Erstellung weiterer Listen – Liste aller Auftragsverarbeiter à zum Update der ADV-Vereinbarungen – Liste aller Einwilligungen, „Re-Consent“ erforderlich? – Übermittlungen in Drittstaaten – Automatische Entscheidungen / Profiling
1
8
Phase 2: Entwurf von Mustern und Standardtexten • Benachrichtigen aktualisieren
– Kundendaten, Beschäftigten-Daten, Daten von Dritten (Videoüberwachung, etc.)
• Update von Einwilligungen • Erstellung/Update von Mustern
– Auftragsverarbeitung – Muster für Datenschutzfolgeabschätzung, etc.
• Erstellung/Update von Unternehmens-Richtlinien – Unterstützung durch Geschäftsleitung, Zuständigkeiten, Datenschutzorganisation – Schutzverletzungen und Meldepflichten – Aufbewahrung und Löschung – Integration in Unternehmensprozesse, z.B. Lieferantenauswahl
• Erstellung von Schulungsmaterialien – Allgemeine Schulung aller Beschäftigten – Spezielle Schulung von HR, IT, Marketing und anderen „datenlastigen“ Bereichen – Schulung von R&D zu Datenschutz durch Technik und Voreinstellungen
2
9
Phase 3: Roll-out • Schulung der Beschäftigten • Technik anpassen – Verschlüsselung, etc. • Update von Verträgen
– Auftragsverarbeitungen – Haftungsreglungen
• Benachrichtigung der Betroffenen • Unternehmensprozesse umstellen
3
10
Regelmäßige Kontrolle • Regelmäßige Kontrollen: Jährlich? Intern/extern? • Verfahrensverzeichnis vollständig? • Kontrollen bei Dritten • Aufbau eines Datenschutz Management Systems
11
Typische Herausforderungen • Unterstützung durch Fachabteilungen • Globaler Ansatz – oder pro EU Mitgliedstaat?
– Bei Beschäftigtendaten: Anpassung pro Mitgliedstaat empfehlenswert – Bei Kundendaten: Es kommt darauf an. Globaler Ansatz ggf. möglich – Risikoabschätzung. – Auftragsverarbeitungen: Globaler Ansatz eher möglich
• Stilfragen – ein Muster für alle?
13
Praktische Empfehlungen • Unmittelbare Unterstützung durch die oberste Geschäftsleitung • Einbindung aller betroffener Bereiche • Verantwortung durch Fachabteilung /
Kontrolle durch die Datenschutzabteilung
14