DSGVO / GDPR TDA Symposium '17 Hülchrath - Kurt Stempfle
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DSGVO / GDPR TDA Symposium `17 Hülchrath Kurt Stempfle
SD Worx im Überblick
3
4
Segmente und Branchen
Bereich Public
- fidelis.Personal – die HR-Lösung für alle
Bereiche der strategischen Personalarbeit
- Speziell für Non-Profit Organisationen
- Deckt alle relevantenTarife vom TVöD
über TV-L bis hin zur AVR ab
5
Segmente und Branchen
Bereich Public
Payroll Personalbeschaffung Personalverwaltung Personalentwicklung
Von der Personalbeschaffung über die Personalverwaltung und Personalabrechnung kann der
komplette Mitarbeiter-Lebenszyklus abgedeckt werden.
Abgerundet mit innovativen Lösungen
- Strategisches Personal-Controlling (HR Analyse)
- Digitalisierung (elektronische Personalakte,
Dokumentenerzeugung, formularbasierte Workflows)
- ESS/MSS (Portal)
6
DSGVO / GDPR
DSGVO: Datenschutzgrundverordnung
GDPR: General Data Protection Regulation
7
Geltungsbereich und Umsetzung
Alle Unternehmen weltweit, die personenbezogene Daten von
EU-Bürgern verarbeiten
Tritt am 25.05.2018 in Kraft
8
Geltungsbereich und Umsetzung
Keine gefestigten Interpretations- bzw. Auslegungshilfen:
EuGH-Rechtsprechung bezieht sich auf Richtlinie 95/46/EG
Stellungnahmen/Orientierungshilfen des Europäischen
Datenschutzausschusses müssen erst noch formuliert werden
Kommentierungen aus der Literatur existieren noch nicht. Unternehmen
werden sich anfangs einer großen Rechtsunsicherheit bei der Auslegung der
EU-DS-GVO stellen müssen.
Eine unterschiedliche Auslegungspraxis in den Mitgliedstaaten muss durch
den Europäischen Datenschutzausschuss und den EuGH nivelliert werden.
9
Maßnahmen
Bewusstsein:
Entscheidungsträger und
Schlüsselpersonen sind sich
der
Tragweite der DSGVO
bewusst.
Transparenz: Vertrauen:
Wir müssen nicht nur Sicherheit und Privatsphäre
sicherstellen, dass die sind nicht nur ein
Daten geschützt sind, Technologie- und
sondern müssen auch offen Compliance-Thema,
kommunizieren über das, sondern immer wichtiger für
was wir tun, um Kunden, - die Schaffung von
Mitarbeiterdaten zu Vertrauen in eine digitale
schützen. Welt.
10Welche Bereiche sind betroffen?
Organisationsmanagement:
• Marketing, Vertrieb
• Personalmanagement
IT (Anwendungen, Tools,
Cloudverarbeitung
Software):
/Services:
• Rechtmäßigkeit der
• Produktfunktionen
Services
• Rechtmäßigkeit der
• Rechtmäßigkeit der
Verarbeitung
Softwarewartung /
• Softwareentwicklung
Erweiterungen
11DSGVO / GDPR: Um was geht es?
Unterscheidung zwischen Kategorien von Daten
Umfang:
1. Personenbezogene Daten: Angaben über eine natürliche Person, die direkt oder indirekt unter
Bezugnahme auf eine Kennung identifiziert werden kann. Technologiebasierte Identifikatoren wie
MAC- und IPAdressen gelten als personenbezogene Daten.
2. Sensible personenbezogene Daten: personenbezogene Daten, die diskriminierend genutzt werden
können und mit größerer Sorgfalt behandelt werden müssen als andere persönliche Daten (z. B.
Rasse oder ethnische Herkunft, biometrische oder Gesundheitsdaten)
3. Pseudonyme Daten: Daten geben die Identität des Betroffenen nicht direkt an, es kann aber auch
eine Person durch Vereinigung mit zusätzlichen Informationen identifiziert werden
Nicht zum Umfang Gehören:
4. Anonyme Daten: Informationen, die nicht mit einer identifizierten oder identifizierbaren natürlichen
Person zusammenhängen, oder Daten, die keine Identifizierung zulassen
12Prinzipien der Datenverarbeitung
(Art. 5 DSGVO)
Rechenschafts-
Daten- Speicher- Integrität &
Rechtmäßigkeit Zweckbindung Richtigkeit pflicht
minimierung begrenzung Vertraulichkeit
(Accountability)
13Datenschutzfolgeabschätzung
Erfordernis abhängig von Art, Umfang und
Zwecken eingesetzter Technologie
Insbesondere bei:
Durchführen von • Bewertung persönlicher Aspekte, inkl. Profiling.
Privacy Impact Assessments • Verarbeitung besonderer Daten gem. Art. 9 Abs. 1
• Überwachung öffentlich zugängiger Bereiche
Konsultation der Aufsichtsbehörde, wenn ohne
getroffene Maßnahmen ein hohes Risiko bestünde
(Art. 36)
14Zulässigkeit der Datenverarbeitung?
Einwilligung
Gesetzliche Regelung
Vertragserfüllung
Zweckänderung
15Datenminimierung / Datensparsamkeit
Menge: Quantität der Datensätze, Datenfelder
Umfang der Verarbeitung: Anzahl Prozessschritte für die
Zweckerreichung benötigt werden
Speicherdauer: Aufbewahrungsfristen, relevant für die
Zweckerreichung
Zugänglichkeit der Informationen: Reduktion der
Zugriffsmöglichkeiten
Konfigurir Veröffenlichu
Wird Konfigurir
barkeit ng von
barkeit Rechtever
erreicht optionaler
optionaler
waltung
Daten
durch: Prozess (Zugriffsbegr
Datenfelde
schritte enzung)
16Information der Betroffenen
Zu schaffende Transparenz soll es dem Einzelnen ermöglichen,
Es ist eine Transparenz herzustellen die es dem Einzelnen
ermöglicht zu erkennen, wer was wann wozu über ihn erhebt,
verarbeitet und / oder speichert.
speichert!
• Informationspflicht wird ausgebaut.
• Speicherdauer
• Betroffenenrechte
• Beschwerderecht bei der Aufsichtsbehörde
• Auskunft zu "Profiling“
• Zweckbestimmung
• Kontaktdaten DSB
• Legitimation für Datenverarbeitung
• Empfänger der Daten
• Lösch- Aufbewahrungsfristen, Sperrung
• Vervollständigung (neu)
• Datenübertragbarkeit (neu)
• Nur Daten über die betroffene Person, keine Daten anderer Personen!
17Dokumentationspflicht
Sicherheitskonzept
Zwecke & Rechtsgrundlagen
Prozessbeschreibungen
Datenschutzfolgeabschätzungen
Dies wird erreicht durch:
Tätigkeitsnachweise
Ausgefüllte Checklisten, Formulare
Automatische Protokolle
Befolgen allein reicht nicht aus. Es muss alles nachgewiesen werden
d.h. Aufwändige Dokumentation / Formalismus
18Verzeichnis von Verarbeitungstätigkeiten §30
Kontaktdaten des Datenschutzbeauftragten Art. 37 DS-GVO
Zwecke der Verarbeitung Art. 5 Abs. 1 Lit. b) DS-GVO
Kategorien betroffener Personen Art. 6 DS-GVO
Kategorien personenbezogener Daten Art. 6 DS-GVO
Kategorien von Empfängern Art. 6 DS-GVO
Drittstaatentransfer: Empfängerland oder internationale Organisation Art. 44-
46 DS-GVO
Drittstaatentransfer: Garantien Art. 45-47 DS-GVO
Löschfristen (nur Verantwortlicher) Art. 5 Abs. 1 Lit. e) DS-GVO
19Datenlöschen
Wenn kein Zweck mehr gegeben ist
Wenn keine Aufbewahrungsfristen
mehr gegeben sind
Dies wird erreicht durch:
Löschprozesse in der Software
implementieren
Aufbewahrungs- Löschfristen
definieren
Standardisierte Löschzyklen vorsehen
20Auftragsverarbeiter
Neue Pflichten für Auftragnehmer
Erweiterung der datenschutzrechtlichen Verantwortung auf den
Auftragnehmer
Haftungsrisiko für Auftragnehmer erheblich erweitert – gesamtschuldnerische
Haftung (Art. 79)
• Einsatz von Subunternehmern
Zustimmungserfordernis für Einsatz von Subunternehmen und
Informationspflicht bei Änderungen
Auftragnehmer übernimmt die Pflichten des Auftraggebers gegenüber seinen
Subunternehmen
21IT-Sicherheitsmanagement
Regelmäßig überprüfen:
• IT-Sicherheit (z.B. Geräte, Programme, Passwörter, unberechtigte Nutzung)
• Gebäudesicherheit (z.B. Zutritt, Brandschutz)
• Organisatorische Regeln (z.B. Verantwortlichkeiten, Abläufe)
• Sicherstellung von:
• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Belastbarkeit der System
22Öffnungsklauseln / BDSG-Neu
Beschäftigtendatenschutz
Datenschutzbeauftragte
Verarbeitung sensibler Daten
Teilweise Einschränkung der Betroffenenrechte
Straftaten und Ordnungswidrigkeiten nach dem BDSG
23Meldepflicht: Wann
• Verletzung des Schutzes personenbezogener
Daten
• Verletzung der Sicherheit, die zur Folge hat,
dass personenbezogene Daten :
zufällig oder unrechtmäßig zerstört werden,
verloren gehen, verändert werden
Unbefugt offenbart werden
Zugang gewährt wird,
übermittelt werden,
gespeichert werden oder
anderweitig verarbeitet werden.
24Ablauf Meldepflicht
Verantwortliche/ - Jede Datenpanne
Auftraggeber - Dokumentation
Abschätzung - Für Rechte und Freiheiten
Risiko
Wenn Risiko hoch oder - Art der Panne
konkret vorhanden, - Folgen der Panne
dann - Anzahl der Betroffenen
besteht Pflicht zur Meldung - unternommene Maßnahmen
25Meldeprozess
• Alarmierungskette
festlegen
• PR / Marketing
• Zuständigkeiten
(Krisenkommunikation,
und Abläufe
Betroffene
definieren
informieren)
• Datenschutzbeauftragter
(gesetzlicher • Vertretungsregeln
Ansprechpartner der & Rufbereitschaft
Aufsichtsbehörde) festlegen
• IT & IT-Sicherheit Unternehmensführung
26DSGVO / GDPR: Bußgelder
Bis zu 4% des globalen
Jahresumsatzes oder bis zu 20
Mio. Euro.
Aufsichtsbehörden müssen
Bußen verhängen!
Beweislast = Unternehmer
27Vielen Dank für Ihre Aufmerksamkeit 28
Sie können auch lesen
