Aufbau einer Datenschutz-Organisation im Unternehmen · 3 Was soll mit dem Thema Datenschutz...
Transcript of Aufbau einer Datenschutz-Organisation im Unternehmen · 3 Was soll mit dem Thema Datenschutz...
Aufbau einer Datenschutz-Organisation
im Unternehmen Bird&Bird LawCamp
09.03.2015
Dr. Sebastian Kraska | Rechtsanwalt, Dipl.-Kfm. | Externer Datenschutzbeauftragter
Telefon: 089 1891 7360 | Internet: www.iitr.de | E-Mail: [email protected]
2
Über den Referenten: Dr. Sebastian Kraska
Als Rechtsanwalt spezialisiert auf betriebliches
Datenschutzrecht
Gemeinsam mit Team von Regionalpartnern bundesweite
Tätigkeit als externe Datenschutzbeauftragte
www.iitr.de
www.iitr.us
www.dr-kraska.de
www.datenschutzbeauftragter-online.de
www.facebook.com/datenschutzkodex
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 2
3
Was soll mit dem Thema Datenschutz erreicht werden?
Ziele und Erwartungen richtig erfassen
Auswahl möglicher Zielstellungen:
– Audit einer Datenschutz-Aufsichtsbehörde überstehen?
– Datenschutz als Teil einer globalen Compliance-Strategie?
– IT-Sicherheit erhöhen?
– Ist Datenschutz für das Unternehmen von strategischer Bedeutung?
– Soll der Vertrieb mit Datenschutz-Dokumenten unterstützt werden?
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 3
4
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (1/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 4
5
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (2/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 5
6
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (3/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 6
7
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (4/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 7
8
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (5/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 8
9
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (6/7)
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 9
10
Schwerpunkte richtig setzen:
Audit einer Datenschutz-Aufsichtsbehörde überstehen? (7/7)
Daraus insb. ableitbare Maßnahmen:
– „Privacy Impact Assessments“ und Vorabkontrollen
– Datenschutz-Training (persönlich/webbasiert)
– Regelmäßigen Austausch mit Fachabteilungen organisieren
– Einbindung in Prozess zur Beauftragung von Drittdienstleistern
– Regelungen zu den Themen Datenschutz/IT-Sicherheit
– Webseiten auf Datenschutzkonformität überprüfen
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 10
11
Schwerpunkte richtig setzen:
Datenschutz als Teil einer globalen Compliance-Strategie?
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 11
Daraus ableitbare Maßnahmen:
– Standardisierung oder Eingehen auf regionale Besonderheiten?
– Verantwortlichkeiten klar definieren
– Strategie zum Umgang mit internationalen Datentransfers festlegen
12
Schwerpunkte richtig setzen:
IT-Sicherheit erhöhen?
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 12
Daraus ableitbare Maßnahmen:
– Kleines 1x1 der IT-Sicherheit (BSI Checklisten:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge
/Inhalt/_content/hilfmi/checklisten/checklisten.html)
– Durchführung regelmäßiger IT-Pentests
– Auditierung von eingesetzten Dritt-Dienstleistern
– Installation revisionssicherer Logfile-Archivierungssysteme
– (Teil-)Zertifizierung von IT-Systemen (ISO 27001)
13
Schwerpunkte richtig setzen:
Ist Datenschutz für das Unternehmen von strategischer Bedeutung?
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 13
Daraus ableitbare Maßnahmen:
– Regelmäßiger Austausch mit Entwicklungsabteilung
– Proaktiver Kontakt mit Aufsichtsbehörden
– Mitgliedschaft in Datenschutz-Organisationen (IAPP, GDD, BvD etc.)
– Publikationen zu bestimmten neuen datenschutzrechtlichen Fragestellungen
14
Schwerpunkte richtig setzen:
Soll der Vertrieb mit Datenschutz-Dokumenten unterstützt werden?
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 14
Daraus ableitbare Maßnahmen:
– Vorbereitung von standardisierten Antworten für Kundenanfragen
– Kurzdarstellung der eigenen Datenschutzorganisation
– Entwicklung einer Datenschutzphilosophie
– Datenschutzhandbuch für Kundenanfragen
– Entwicklung von Standard-Datenschutzvereinbarungen für Kunden
– Vorhalten von Audit-Reports unabhängiger Dritter
15
Fazit
09.03.2015 | Aufbau einer Datenschutz-Organisation im Unternehmen | Dr. Sebastian Kraska 15
Datenschutz sollte keinen Selbstzweck darstellen
Klare Vorstellung bzgl. der Zielstellung des Unternehmens entwickeln
Aus Zielstellung gewünschten Maßnahmenkatalog ableiten
IITR GmbH | Marienplatz 2 | 80331 München
Telefon: 089 1891 7360 | Internet: www.iitr.de | E-Mail: [email protected]
Fragen?
Newsletter: www.iitr.de/newsletter.html
Kontakt: Dr. Sebastian Kraska