CEH, CISA, CISSP - nik-nbg.de · 4 Die 8 Kostbarkeiten des Datenschutzes Einordnung Datenschutz in...

GRUNDKAPITAL

1,5 Mio. € - nicht börsennotiert, eigenfinanziert

Aktionäre: Gründerfamilien und Mitarbeiter

MITARBEITER

146 festangestellte MitarbeiterInnen

80 externe MitarbeiterInnen

UMSATZ

18,5. Mio € (2016)

4 STANDORTE

München, Nürnberg,

Stuttgart, Duisburg

KENNZAHLENINTERFACE AG 2017 – GEGRÜNDET 1984

ZERTIFIZIERUNG

DIN EN ISO 9001

3

IT-GOVERNANCE | IT-COMPLIANCE

SICHERHEIT &

COMPLIANCE

PROZESSE &

ORGANISATION

BUSINESS

ALIGNMENT

Bernhard Maischberger

Dipl. Inform.

Principal Consultant

Leitung Governance Team

Zertifizierter DSB (TÜV)

CEH, CISA, CISSP

4

Die 8 Kostbarkeiten des Datenschutzes

Einordnung Datenschutz in das Umfeld

o Oberstes Ziel des Datenschutzes:

o Grundrechtsschutz für EU Bürger

o Grundsätze des Datenschutzes

o Data Protection by Design

o Data Protection by Default

o 3 Kernprozesse im Datenschutz

o Datenschutzkonforme Datenverarbeitung

o Sicherstellen der Betroffenerechte

o Handhabung von Datenschutzverletzungen

o Risikobasierter Ansatz in der DSGVO

Informations-schutz

Datenschutz

IT Sicherheit

Compliance DSGVOBDSG neu

AktG, UWG,Kritis, GoBS,...

Technisch Organisatorisch

5


Betroffenenrechte (Art. 12 – 23) Kernprozess

o Sicherstellung der Betroffenenrechte

o Unabdingbar und höchstpersönlich

o Daten: Erhebung (Art. 13,14), Auskunft (Art. 15),

Berichtigung (Art. 16), Löschung (Art. 17),

Einschränkung (früher Sperrung) (Art. 18)

Widerspruch (Art. 21)

o Recht auf Datenübertragbarkeit (Art. 20)

o Auskunft (Art. 15)

o Datenkategorien und Zwecke

o Empfänger und Empfängerkategorien

o Recht auf Vergessenwerden (früher Löschung)

o Beschwerderecht bei einer Aufsichtsbehörde

o Einschränkung anstatt Löschung:

o Bei bestrittener Richtigkeit

o Aufbewahrungsfristen z.B. §257 HGB, §147 AO

o Bei Interessenverletzung der Betroffenen möglich

o Gesundheitsbereich Teilweise 30 Jahre Aufbewahrungsfrist (wg. Strafrecht)

o Kosten trägt die verantwortliche Stelle

o Automatisierte Entscheidungsfindung: Aussagekräftige Informationen über die Logik (eventuell: Geschäftsgeheimnis) (Art. 22)

o Widerruf der Einwilligung (Art. 7)

o Nachweis der Einwilligung (Art. 7, 8)

o Besondere Kategorien (Art. 9)

6


Der Datenschutzbeauftragte (DSB) (Art. 37 – 39)

o Pflicht bei mehr als 9 Mitarbeiter (Deutschland)

o EU Weit ab 250 MA

o Neu auch : Teilzeit-MA, ANÜ Geschäftsführung werden mitgezählt

o Markt und Meinungsforschung ab 1 MA

o Unternehmensinterne Kontrollinstanz

o Ernennung des DSB nötig

o Anpassung Arbeitsvertrag bei internem DSB

o Report direkt an GF

o Weisungsfrei im Thema Datenschutz

o DSB Intern oder Extern möglich

o Extern Geschäftsbesorgungsvertrag

o Intern: eingeschränkte Kündigungsmöglichkeit !!

o Abberufung nur §626 BGB (fristlos)

o Der DSB berät er genehmigt nicht

o Wichtige Voraussetzungen DSB

o Fachkunde

o Zuverlässigkeit

o Fachkunde

o Rechtliche Kompetenz

o BDSG, DSGVO, TMG, TKG, BetrVG

o Fachliche Kompetenz

o IT Sicherheit

o Organisatorische Kompetenz

o Zuverlässigkeit

o Verschwiegenheit, Sorgfalt Unbestechlichkeit, Verantwortungsbewußtsein

o Rollenkonflikte

o GF, Leitende Positionen

o Meldung des DSB an Aufsichtsbehörde ab 25. Mai

7


Die Aufsichtsbehörden (Art. 57, 58, 83)

o Zuständig für Unternehmen die Bundesländer

o Bayern: BayLDA Ansbach

o Telekommunikation

o Bundesnetzagentur

o Filialen und Tochterunternehmen

o Rechtliche Selbständigkeit zählt

o Auskunftspflicht der GF

o Alle relevanten Informationen

o In Zukunft grenzüberschreitende Verarbeitung: Hauptniederlassung

o Meldung von Betroffenen an „Ihre“ Behörde

o Untersuchungsbefugnisse

o Abhilfebefugnisse

o Genehmigungsbefugnisse

o Anlasslose Kontrolle möglich

o Bei Meldung Betroffener an die Aufsichtsbehörde

o Zutrittsrecht zu üblichen Betriebszeiten

o Einsichtsrecht in geschäftliche Unterlagen

o Maßnahmen:

o Beanstandung

o Beseitigungsanordnung

o Untersagungsanordnung

o Bußgeldverfahren

8


Auftragsdatenverarbeitung (ADV) (Art. 28)

o Verantwortliche Stelle → Auftragsverarbeiter

o Vertragliche Festlegung

o TOMS

o Kontrollbefugnis der Verantwortlichen Stelle

o Angemessenes Schutzniveau

o EU: Durch DSGVO alles OK

o Festlegung der EU Kommission

o EU Standardvertragsklauseln

o Binding Corporate Rules (Konzerne)

o Genehmigungspflichtig durch Aufsichtsbehörde

o EU - US Privacy Shield

o Ausnahme direkte Einwilligung der Betroffenen

o Neu: Selbständige Pflichten der Auftragsverarbeiters:

o Verzeichnis der Tätigkeiten

o TOMs mit hinreichenden Garantien

o DSB Bestellung

o Infopflicht an AG bei unzulässigen Weisungen

o Eigenständige Zusammenarbeit mit Aufsichtsbehörden

9


Technisch Organisatorische Maßnahmen (Art. 32)

o Jede Verantwortliche Stelle und jeder Auftragsverarbeiter

o BDSG alt: Zutritt, Zugang, Zugriff,

Weitergabe, Eingabe, Auftrag,

Verfügbarkeit, Trennungsgebot

o Umsetzung nach jeweiligem Stand der Technik

o BSI Standards 100-2 (IT Grundschutz)

o BSI TR-02102-x

o ISO 27000 Reihe

o ITIL (ISO 20000)

o Neu: Verantwortung bei beiden Vertragsparteien

o Ziele:

o Vertraulichkeit,

o Verfügbarkeit,

o Integrität,

o Belastbarkeit (Resilienz)

o Exemplarische Verfahren: PseudonymisierungVerschlüsselung

o Risikoabschätzung für die Rechte und Freiheiten der Betroffenen

o DSGVO allgemeiner als BDSG alt

o Anforderungen DSGVO lassen sich aber auf BDSG alt abbilden

10


Dokumentation des Datenschutzes

o Betroffenenkommunikation: (Art. 12)

o Einwilligungen, Auskünfte

o Klare einfache Sprache, keine Medienbrüche, Landessprache!

o Hier großes Abmahnpotential

o Internes Verfahrensverzeichnis wird Verzeichnis aller Verarbeitungstätigkeiten (Art. 30)

o Gesetzliche Grundlagen, Einwilligungen

o Aufbewahrungsfristen (Speicherbegrenzung)

o Auftragsverarbeiter, ADV Verträge

o Rechenschaftspflicht der verantwortlichen Stelle und des Auftragsverarbeiters (Art. 5)

o Wird auf „Lebendigkeit“ geprüft (3 Jahre)

o Datenschutzfolgeabschätzung (Art. 35, 36)

o Immer bei voraussichtlich hohem Risiko für Betroffene (besondere Arten von Daten) (Erw-Gründe 75, 89, 91)

o Bewertung persönlicher Aspekte

o Überwachung öffentlicher Bereiche

o Falls Hohes Risiko: vorherige Konsultation der Aufsichtsbehörde

o Aufsichtsbehörde: Antwort innerhalb 8 Wochen

o Meldepflicht bei Verletzungen (Art. 33)

o An die Aufsichtsbehörden (72 h Zeit)

o An Betroffene bei hohem Risiko unverzüglich (Art. 34)

o Voraussetzung: Erkennung

o Monitoring der eigenen Systeme, z.B. SIEM

o Beweislastumkehr erfordert eine umfangreiche Dokumentation

11


Datenschutz im Marketing

o Werbung

o Kleinste werbliche Ansprache grafisch oder inhaltlich macht etwas zu Werbung (UWG §7)

o Datenschutz: Schutz des Persönlichkeitsrechts (Einwilligung)

o In der Regel keine Werbung ohne Einwilligung

o „Listenprivileg“ aus dem BDSG fällt am 25.05.18 weg.

o Ausnahme §95 Abs. 2 TKG „Kundenrückgewinnung“

o Ausnahme §15 Abs. 3 TMG „Pseudonyme Nutzungsprofile“

o Widerruf der Einwilligung darf bis zu 4 Wochen dauern. (Aufsichtsbehörde)

o Werbeeinwilligung bisher:

o Elektronische Einwilligung

o Ausdrücklich: Haken aktiv setzen. (nur Opt In möglich)

o Keine Verbindung mit anderen Erklärungen

o Bestätigungspflicht (eMail an Betroff.)

o Widerruf: 3 Jahre aufbewahren

o Schriftliche Einwilligung

o Opt Out möglich

o Verbindung mit anderen Erklärungen möglich.

o Mündliche Einwilligung

o Zeitnahe schriftliche Bestätigung

o In Zukunft Opt out

o Dokumentation wird geprüft

12


Beschäftigtendatenschutz (Art. 88)

o Beschäftigte:

o AN, ehemalige AN, Lehrlinge, Heimarbeiter, Bewerber, Beamte, Richter, Soldaten

o Schutzwürdige Interessen des AN dürfen nicht überwiegen.

o Alle „besonderen Arten“ oder private Daten fallen i.d.R. zugunsten des AN aus

o Bewerber:

o Maximal 6 Monate Aufbewahrung beim AG

o Wenn länger nur mit aktiver Einwilligung des Bewerbers

o Recherche in Sozialen Netzten für AG tabu (nur öffentlich zugänglich: ohne login)

o Spezielle Situationen

o MuSchG, EFZG, Meldung des AN über seine Gesundheit erforderlich (z.B. Gaststätten)

o Führungszeugnisse

o Inhaltliche Beschränkungen beachten

§§30 – 42 BZRG

o Tarifverträge und Betriebsvereinbarungen als ergänzende Regelungen

o BAG: ja, aber Aufsichtsbehörden: nein

o Kein Konzernprivileg: Übermittlung im Konzern erfordert Erlaubnis

o AG: Zugriff auf Personaldaten: Immer so wenig Personen wie möglich

o Spezialfall: SÜG Einwilligung des MA

InterFace AG

KONTAKTWIR FREUEN UNS AUF IHRE NACHRICHT

[email protected]

www.InterFace-AG.com

Tel. : +49 (0) 89 61049-0

Fax : +49 (0) 89 61049-85

Leipziger Str. 16

82008 Unterhaching

CEH, CISA, CISSP - nik-nbg.de · 4 Die 8 Kostbarkeiten des Datenschutzes Einordnung Datenschutz in...

Documents

Transcript of CEH, CISA, CISSP - nik-nbg.de · 4 Die 8 Kostbarkeiten des Datenschutzes Einordnung Datenschutz in...