Die "neue" Datenschutz-grundverordnung in der Praxis - Erste juristische Erfahrungen und Tipps für Unternehmen - IT ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die “neue” Datenschutz- grundverordnung in der Praxis Erste juristische Erfahrungen und Tipps für Unternehmen
Über mich
IT-Kanzlei Lutz
Ravensburg, Bremen
ü Seit über 15 Jahren bundesweite Beratung von
Firmen im gesamten IT-Recht.
ü Beratung im Datenschutzrecht, der Umsetzung
der DSGVO in Unternehmen sowie im Marken-
und Urheberrecht.
Ravensburg
Bachstr. 3
88214 Ravensburg
T 0751 27 088 530
Stefan Lutz, LL.M. www.datenschutz-rv.de
Rechtsanwalt
Fachanwalt für IT-Recht Bremen
IT-Kanzlei Lutz Datenschutz- & Teerhof 59
28199 Bremen
Ravensburg, Bremen
Rechtsberatung T 0421 40 892 660
www.hb-law.de
Über Zoom
Zoom Warum denn Performance
ausgerechnet das Es gibt kaum vergleichbare Systeme, welche
ähnlich performant sind wie Zoom. Viele
Webinar mit dieser Systeme brechen bereits ab wenigen Nutzern
ein.
Datenschleuder?
Neuer Client 5.x
Während der Mittlerweile ist der neue Client 5.x
Coronakrise nutzten verpflichtend. Alte Sicherheitslücken wurden
viele Unternehmen behoben und Datenschutzstandards
Zoom in verstärkter verbindlich eingeführt.
Weise. Das rief
sowohl Hacker als
auch Auftragsverarbeitungsvertrag
Datenschutzaufsichts Wie mit allen Dienstleistern habe ich
behörden auf den entsprechende Auftragsverarbeitungsverträge
Plan. Es wurde sich geschlossen. Zusätzlich wurden die EU-
intensive mit Zoom Standardvertragsklauseln vereinbart. Damit ist
auseinandergesetzt. ein datenschutzkonformer Einsatz möglich.
Entwarnung der Aufsichtsbehörde
Die Warnung des LfDI Baden-Württemberg,
Zoom nicht an Schulen einzusetzen, hat dieser
am 24.6.2020 aufgehoben.Über Zoom
Corona Krise Zoombombing etc. Datenschutzaufsicht
Erste Stimmen wurden Zoombombing, Nutzen Sie Zoom nicht.
laut, dass Zoom nicht Sicherheitslücken, Zoom ist böse
datenschutzkonform Verschlüsselungs-
genutzt werden könne schwächen
März 2020 April 2020 Mai 2020
Nachbesserungen Nachbesserungen Endlich
• Überarbeitung Mit Zoom 5.0 erledigt „…Daher besteht aus
Datenschutzhinweise Sicht des LfDI kein
• Abschaltung Anlass mehr, seine an
Facebook alle Schulen in Baden-
Übermittlung Württemberg
ausgesprochene
Warnung länger
aufrechtzuerhalten.“Agenda 01 Die Ausgangslage
• Kurzer Rückblick um was es eigentlich bei der DSGVO ging
• Warum müssen wir uns mit EU-Recht beschäftigten?
02 Die aktuelle Lage
• Wie wirkt sich die DSGVO in Deutschland aus?
03 Aktuelle Problemfelder
• Ist Ihr Betrieb wirklich DSGVO-fit?
04 Fazit und Empfehlungen
• Mit was fangen wir zuerst an?Die Ausgangslage
DSGVO 2018
• Antwort auf
DSRL 1995 fortschreitende Evaluierung
Digitalisierung
• Datenschutzrichtlinie • Big Data
• Richtlinien sind in • Profilbildung Umsetzung in DE 2 Jahre DSGVO
nationales Recht • Webtracking
• DSGVO sei zeitgemäß
umzusetzen • Cloud Computing
BDSG neu • Corona-App zeige, wie
• Mehr oder weniger Ziele gut sich
geglückt in den EU
• DSGVO gilt direkt in Rechtsrahmen für
Staaten
Zentrale Elemente allen Mitgliedsstaaten neue Verfahren und
DSGVO
• Öffnungsklauseln technische Mittel
• Europaweit ermöglichen strengere eigne
einheitliches Regelungen • Große
Datenschutzrichtlinie
Datenschutzniveau • BDSG neu Herausforderungen für
• Pseudonymisierung KMUs
von Daten • Keine
• Verschiedene Ausnahmeregelungen
Rechtsgrundlagen für für KMU
Datenverarbeitungen
• Mehr Transparenz und
Kontrolle für
BetroffeneUmfrage Haben Sie sich mit der DSGVO bereits beschäftigt?
Die aktuelle Lage
EU-US Privacy Shield DSGVO-Müdigkeit
EuGH kippte Mitte Juli 2020 das EU- Menschen reagieren immer mehr mit
US Privacy Shield Abkommen. Neue Müdigkeit auf die DSGVO und lesen
erhebliche Probleme beim z.B. Datenschutzhinweise nicht mehr
transatlantischen Datentransfer tun genau. Mitarbeiter sind nicht mehr
sich auf. sensibilisiert genug.
Gemeinsame DSGVO und Corona
Verantwortlichkeit Corona offenbarte, dass Unternehmen
Betrieb ist mitunter gemeinsam mit auf Pandemien nicht hinreichend
anderen Betrieben Verantwortlicher datenschutzrechtlich vorbereitet waren
(z.B. Facebook Fanpage)
DSGVO (Home Office)
Bußgelder Wirkung der DSGVO?
Extrem hohe Bußgelder wurden DSGVO wirkt direkt und unmittelbar.
verhängt. Übersicht unter BDSG nur noch ergänzend
https://Enforcementtracker.com anzuwenden.
14.5 Millionen EUR Deutsche Wohnen
200.000 EUR Delivery HeroUmfrage Was haben Sie selbst im Betrieb in DSGVO-Hinsicht umgesetzt?
“Aktuelle” Problemfelder
Auftragsverarbeitung und Datenschutzschulungen
gemeinsame
1 4
Verantwortlichkeit
Informationspflichten Kundendaten & CRM
Offline und Online
2 5
Auskunftsrechte von Beschäftigtendatenschutz
Betroffenen
3 6“Aktuelle” Problemfelder
Datensicherheit Datenschutzmanagement
Technisch und Organisatorisch 7 10
Löschkonzepte Privacy by Design &
Privacy by default
8 11
Verzeichnis von Cookies, Pixel & Co.
Verarbeitungstätigkeiten Datenschutz im Internet
9 12Auch der kleine Handwerker? Müssen diese Dinge tatsächlich auch von dem „kleinen“ Handwerksbetrieb umgesetzt werden?
“Aktuelle” Problemfelder
“Aktuelle” Problemfelder
Verzeichnis von Verarbeitungstä3gkeiten Handwerksbetriebe gehen regelmäßig mit Kunden- und Mitarbeiterdaten um und müssen ein – vom Umfang her überschaubares – Verzeichnis ihrer VerarbeitungstäAgkeiten führen. ð BayLDA Muster-Verzeichnis für Handwerksbetriebe: www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf ð DSK-Kurzpapier Nr. 1: www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaeAgkeiten.pdf ð DSK-Muster-Verzeichnis allgemein: www.lda.bayern.de/media/dsk_muster_vov_verantwortlicher.pdf
Datenschutz-Verpflichtung von
Beschä:igten
Bei der Aufnahme der TäAgkeit sind BeschäQigte, die mit personenbezogenen Daten umgehen, zu informieren und
dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den
Grundsätzen der DSGVO erfolgt.
ð BayLDA Info-BlaW zur Verpflichtung: www.lda.bayern.de/media/info_verpflichtung_beschaeQigte_dsgvo.pdfInforma3ons- und Auskun:spflichten Jeder Handwerksbetrieb hat die betroffenen Personen (d.h. insbesondere Kunden und Mitarbeiter) schon bei der Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die betroffenen Personen haben auch das Recht, AuskunQ über die Verarbeitung ihrer Daten zu erhalten. ð DSK-Kurzpapier Nr. 6: www.lda.bayern.de/media/dsk_kpnr_6_auskunQsrecht.pdf ð DSK-Kurzpapier Nr. 10: www.lda.bayern.de/media/dsk_kpnr_10_informaAonspflichten.pdf
Löschen von Daten Sobald keine gesetzliche Grundlage (z.B. steuerliche oder handelsrechtliche Au`ewahrungspflicht) für die Speicherung von personenbezogenen Daten mehr besteht, sind diese zu löschen. Dies ist z.B. der Fall, wenn ein Kunde mehrere Jahre lang keine neuen AuQräge mehr erteilt hat. ð DSK-Kurzpapier Nr. 11: www.lda.bayern.de/media/dsk_kpnr_11_vergessenwerden.pdf
Sicherheit Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. ð BayLDA-Kurzpapier Nr. 1: www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf
Au:ragsverarbeitung Sofern Handwerksbetriebe externe Dienstleistungen (z.B. Buchhaltung oder HosAng der Webseite) in Anspruch nehmen, um personenbezogene Daten in ihrem AuQrag durch andere Unternehmen verarbeiten zu lassen, müssen sie mit dem Dienstleister einen schriQlichen Vertrag zur AuQragsverarbeitung abschließen. Der Steuerberater gilt jedoch nicht als AuQragsverarbeiter, sondern als eigenständiger Verantwortlicher, mit diesem ist daher kein Vertrag zur AuQragsverarbeitung erforderlich. ð DSK-Kurzpapier Nr. 13: www.lda.bayern.de/media/dsk_kpnr_13_auQragsverarbeitung.pdf ð BayLDA-FormulierungshilfezumVertrag:www.lda.bayern.de/media/muster_adv.pdf
Datenschutzverletzungen Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Verlust von Tablet oder Smartphone mit unverschlüsselten Kundendaten, Fehlversendung der Rechnung), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko. ð BayLDA-Kurzpapier Nr. 8: www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_noAficaAon.pdf ð BayLDA-Online-Service zur Meldung: www.lda.bayern.de/de/datenpanne.html
Umfrage Gab es bei Ihnen schon einmal einen Zwischenfall mit Kundendaten?
Datenschutz-Folgeabschätzung (DSFA) Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel. ð DSK-Kurzpapier Nr. 5: www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf
Videoüberwachung Führt ein Handwerksbetrieb Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoüberwachung zu informieren. ð DSK-Kurzpapier Nr. 15: www.lda.bayern.de/media/dsk_kpnr_15_videoueberwachung.pdf
Fazit und Empfehlung • Sofern noch nicht umgesetzt, starten Sie jetzt! • Nehmen Sie sich nicht zu viel auf einmal vor. Kleine Schritte führen zum Erfolg • Beginnen Sie mit den Touchpoints nach Außen: • Datenschutzerklärung • Betroffenenrechte Prozesse einrichten • Auftragsverarbeitungsverträge schließen • AGB anpassen • Verarbeitungsverzeichnis erstellen • Löschkonzepte erstellen • Mitarbeiterschulungen • …
Vielen Dank Fragerunde über die Chatfunktion
Sie können auch lesen
