Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 1Insight PresentationInsight’s Tagline Would Go HereInsight Presentation
EU Datenschutz-Grundverordnung(EU-DSGVO) Recht auf Schutz personenbezogener Daten
Herzlich Willkommen zum heutigen Webinar:
Markus Horschig, Manager License Consulting Services
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 2Insight Presentation
DSGVO Quick Facts
Die Verordnung schützt natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten
Einheitlicher Rechtsrahmen für den Datenschutz in EU und EWR (im nicht-öffentlichen Bereich)
Die DSGVO gilt für alle Unternehmen innerhalb der EU und für alle internationalen Unternehmen die Daten von EU Bürgern speichern oder verarbeiten.
Die DSGVO tritt am 25.05.2018 unmittelbar in Kraft.
Die derzeitigen, nationalen Gesetze werden unwirksam oder aktualisiert
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 3Insight Presentation
Wichtige Neuerungen
Eine klare Einwilligung der betroffenen Person zur Verarbeitung von personenbezogenen Daten
Das Recht auf Berichtigung und Löschung (Right to beForgotten) von personenbezogenen Daten
Datenschutz durch aktuelle Technik (Privacy by Design)
Datensparsamkeit – Es sollen nur die Daten erhoben werden die nötig sind (Privacy by Default)
Erweiterte Dokumentations- und Nachweispflichtensämtlicher Datenverarbeitungsprozessen (Privacy Impact Assessment).
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 4Insight Presentation
Bußgelder
Die Bußgelder sollen „wirksam und abschreckend“ sein
Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 6Insight PresentationInsight Presentation
Die Realität …in einigen Unternehmen
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 7Insight Presentation
Zitat:
When anyone asks me how I can best describe my experiences of nearly forty years at sea, I merely say uneventful. I have never been in an accident of any sort worth speaking about....I never saw a wreck and have never been wrecked, nor was I ever in any predicament that threatened to end in disaster of any sort.
Edward Smith
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 8Insight Presentation
Edward John Smith – Kapitän der Titanic
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 9Insight Presentation
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 10Insight Presentation
Human Error
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 11Insight Presentation
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 12Insight Presentation
Vorbereitung von skandinavischenFirmen auf die DSGVO
0% 5% 10% 15% 20% 25% 30% 35%
We do not think we will be audited in 2018
We really do not know where to start
Not relevant (the GDPR does not affect our organization)
Don't know
We are awaiting further guidelines
It is largely ready already because we are compliant withthe current data protection regulation
There is a solid plan in place to ensure readiness by May2018
We will start addressing it this year (2017)
IDC #EMEA42212817 (January 2017) Source: IDC's 2017 Nordic CIO Survey (n = 182)
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 13Insight PresentationInsight Presentation
Die Paragraphen
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 14Insight Presentation
Art. 8 Charta der Grundrechte der EU
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 15Insight Presentation
Art 1. Datenschutz-Grundverordnung
Gegenstand und Ziele
1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 16Insight Presentation
Art. 3 Räumlicher Anwendungsbereich
Die DSGVO gilt neben Unternehmen innerhalb der EU auch für Unternehmen aus Drittländern, wenn:
diese Unternehmen personenbezogene Daten von betroffenen Personen die sich in der Union befindenverarbeiten und diese Verarbeitung mit dem Angebot von Waren oder Dienstleistungen oder mit der Beobachtung des Verhaltens betroffener Personen in der Union in Verbindung steht.
Die DSGVO ist auch dann anzuwenden, wenn die Daten-verarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. Unter Letzteres fällt die Analyse des Surfverhaltens im Internet und auch die Speicherung von Cookies, egal zu welchem Zweck.
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 17Insight Presentation
Art. 5 Grundsätze für die Verarbeitung personenbezogener DatenPersonenbezogene Daten müssen:
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werdenfür festgelegte, eindeutige und legitime Zwecke erhoben werdendem Zweck angemessen und auf das notwendige Maß beschränkt seinsachlich richtig und erforderlichenfalls auf dem neuesten Stand seinin einer Form gespeichert werden, die die Identifizierungder betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich istin einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 18Insight Presentation
Art. 14 Informationspflicht
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
Name und Kontaktdaten des für die Datenerhebung Verantwortlichendie Kontaktdaten des Datenschutzbeauftragtendie Zwecke und die Rechtsgrundlage der Verarbeitungdas berechtigte Interesse des Verantwortlichen oder eines DrittenEmpfänger der personenbezogenen Datendie Absicht der Übermittlung an ein Drittland oder eine internationale Organisation…
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 19Insight Presentation
Art. 15 Auskunftsrecht
Das Datensubjekt hat das Recht auf Auskunft über
die voraussichtliche Dauer der Datennutzungdie betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechtedas Recht auf jederzeitigen Widerruf der Einwilligungdas Beschwerderecht bei einer Aufsichtsbehördedie Bereitstellung der personenbezogenen Dateneine automatische Entscheidungsfindung
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 20Insight Presentation
Art. 17 Recht auf Löschung
Die betroffene Person hat das Recht, von dem Verantwort-lichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden… wenn:
Die personenbezogenen Daten nicht mehr notwendig sind Die Einwilligung zur Datenverarbeitung widerrufen wird und es keine anderweitigen Rechtsgrundlage vorliegt.Wiederspruch gegen die Verarbeitung eingelegt wird und es keine vorrangig berechtigten Gründe vorliegenpersonenbezogenen Daten unrechtmäßig verarbeitet wurden ...
Wurden die personenbezogenen Daten öffentlich gemacht sind andere verantwortliche Stellen darüber zu informieren, dass der Betroffene die Löschung aller Links zu diesen Daten sowie von Kopien verlangt.
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 21Insight Presentation
Art. 8 Einwilligung eines Kindes
Eine Einwilligung in die Datenverarbeitung personenbezogener Daten ist erst mit 16 Jahren möglich ist.
Zuvor bedarf es der elterlichen Einwilligung.
Eine nachträgliche Genehmigung ist ausdrücklich ausgeschlossen
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 22Insight Presentation
Art. 35 Datenschutz-Folgenabschätzung
Eine Datenschutzfolgenabschätzung muss durchgeführt werden, wenn durch die Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht.
Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet.Verarbeitung von sensitiven personenbezogener Daten (genetischen Daten, biometrischen Daten, sexuelle Orientierung … Art. 9 I)Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 23Insight Presentation
Art. 33 Meldung an die Aufsichtsbehörde
Tritt ein Datenleck auf meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde.
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
Alle bekannten Fakten zum Datenleck inkl. Auswirkungen und der ergriffenen Abhilfemaßnahmen müssen dokumentiert werden.
Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 24Insight Presentation
Art. 33 Benachrichtigung der betroffenen Person
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich
Die Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält Informationen und Empfehlungen.
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 25Insight Presentation
Art. 83 Geldbußen
Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs … je nachdem, welcher der Beträge höher ist u.a. bei Verstoß gegen:
die Grundsätze für die Verarbeitung inkl. Einwilligung
die Rechte der betroffenen Person
Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation
Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde oder Nichtgewährung des Zugangs
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 26Insight Presentation
Auftragsverarbeiter in der DSGVO
Kapitel 4 - Verantwortlicher und Auftragsverarbeiter
Zusätzlich zu Artikel 11 BDSG u.a.:
Art. 30 I Schriftliches Verzeichnis von VerarbeitungstätigkeitenArt. 30 II Schriftliches Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der VerarbeitungArt 30 IV Zur Ferfügungstellung des Verzeichnis auf Anfrage
Art 31 Zusammenarbeit mit der Aufsichtsbehörde
Art 44 Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation nur unter Vorgabe der DSGVO
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 27Insight PresentationInsight Presentation
Next Steps
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 28Insight Presentation
Checkliste für Unternehmen
Sensibilisierung Geschäftsführung, Datenschutzbeauftragten
Welche personenbezogenen Daten sind wo im Unternehmen
Risikoanalyse des Unternehmen und der Geschäftsbereiche
Bestandsaufnahme sämtlicher Prozesse und Verfahren in denen personenbezogene Daten verarbeitet werden
Gap-Analyse. Strukturierter Abgleich des Ist-Zustandes mit dem künftigen Soll-Zustand
Mitarbeiterschulungen und Anpassungen bei bestehenden Betriebsvereinbarungen
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 29Insight Presentation
Outputs
High-Level-Gap-Analyse und Risk-Assessment auf GrundlegendeGDPR Fragestellungen
Erfassen von Verantwortlichen, Prozessen und eingesetztenTechnologien.Erste Maßnahmeempfehlungen
Process
Beantwortung der Frage: Wo steht das Unternehmen heute bei der Umsetzung der DSGVO
Outcome: High-Level-Gap-Analyse und Risk-AssesmentInputs
2 tägigerWorkshop
Arbeitszeit definierter Stakeholder
Arbeitszeit Insight ConsultantInsight DSGVO Fragebogen
Client
Insight
DSGVO Discovery Workshop
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 30Insight Presentation
Pre-workshop questionnaire
completed by client
Review pre-workshop questionnaire and iterate any missing data
Workshop
GAP analysis of workshop data
Present Results
1 week 2 weeks 2 days 1 week 1 day
DSGVO Discovery Workshop - Timeline
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 31Insight PresentationInsight Presentation
Beispiele aus dem Workshop
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 32Insight Presentation
Beispiele für Fragen aus dem Workshop
Kann Ihre Organisation Auskunft über alle Orte geben an denen personenbezogene Daten unternehmens- oder konzernweit gespeichert sind
Können personenbezogene Daten kategorisiert werden?
Ist ein Tool im Einsatz mit dem aufgezeichnet wird wie, wo und von wem personenbezogene Daten verarbeitet werden?
Gibt es einen Prozess mit dem personenbezogene Daten lokalisiert und gelöscht werden können
Gibt es einen Prozess nach dem entscheiden wird welche personenbezogene Daten verschlüsselt gespeichert werden
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 33Insight PresentationInsight Presentation
Prozessdesign Am Beispiel Incident Management nach ISO/IEC 27035
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 34Insight Presentation
Incident Response Management
Planen und Vorbereiten
Incident Response Plan (IRP) festlegen
Incident Response Team (IRT) etablieren
Maßnahmen für relevante und denkbare IS-Vorfälle definieren
Melde- und Kontaktlisten pflegen/veröffentlichen/ Awareness schaffen
Eskalationswege definieren
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 35Insight Presentation
Incident Response Management
Erkennen und Annehmen
Eindeutige Meldewege und Verhaltensregeln für relevante Gruppen
Definierter Meldeprozess
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 36Insight Presentation
Incident Response Management
Klassifizieren und Entscheiden
Prüfung und ggf. Verifikation des gemeldeten Vorfalls
Bei Bestätigung des Verdachts initiale Erfassung und Bewertung inkl. Risikoklassifizierung
Festlegen des weiteren Vorgehens/Zusammenstellen Incident Response Team (IRT)
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 37Insight Presentation
Incident Response Management
Incident Response
Reaktion auf den IS-Vorfall gemäß vereinbartem Vorgehen
Organisatorisch: Kommunikation/Information
Technisch: Beweise sichern/Ursachenfindung, Forensik, Eindämmung, Beseitigung/ Wiederher-stellung
Insight Proprietary & Confidential. Do Not Copy or Distribute. © 2017 Insight Direct USA, Inc. All Rights Reserved. 38Insight Presentation
Incident Response Management
Lessons Learned/Nachbereitung
Formaler Abschluss
Reflexion/Identifikation von Verbesserungs -möglichkeiten