Der Datenschutzbeauftragte · 2019. 1. 25. · mit der Datenschutz-Folgenabschätzung und...

www.datenschutzzentrum.de

CAU - Der Datenschutzbeauftragte 1

Der DatenschutzbeauftragteBenennung, Stellung und Aufgaben

Heiko BehrendtISO 27001 Auditor

Fon: 0431 988 1212Mail: [email protected]: https://www.datenschutzzentrum.de/


DS-GVO Quellen

• https://www.datenschutzkonferenz-online.de/index.html

• https://www.bfdi.bund.de/DE/Home/home_node.html

• https://www.datenschutzzentrum.de/dsgvo/

• https://www.datenschutz-grundverordnung.eu/

• https://dsgvo-gesetz.de/

• https://www.gdd.de/eu-ds-gvo

• https://www.bvdnet.de/eu-dsgvo.html

• http://eur-lex.europa.eu/legal-

content/de/TXT/?uri=CELEX%3A32016R0679

• Becksche Kompakt-Kommentare Paal - Pauly




Rechtliche Anforderungen – DS-GVO und BDSG



Artikel 37 DS-GVOBenennung eines Datenschutzbeauftragten

Auszug Gesetzestext

• „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

� a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,

� b) regelmäßige und systematische Überwachung von betroffenen Personen,

� c) Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9.

• Bundesdatenschutzgesetz (BDSG)

� §§ 5 - 7 Datenschutzbeauftragter öffentlicher Stellen

� § 38 Datenschutzbeauftragter nicht öffentlicher Stellen




Auszug Gesetzestext § 38 BDSG

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen

der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen

Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der

automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der

Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-

Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten

sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten

Übermittlung oder für Zwecke der Markt oder Meinungsforschung, haben sie unabhängig von

der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder

einen Datenschutzbeauftragten zu benennen.




Auszug Gesetzestext

• „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der DSB leicht erreicht werden kann.“

• Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann ein gemeinsamer Datenschutzbeauftragter benannt werden.

• Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt …

• Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.




Erwägungsgrund 97

• In Fällen, in denen die Verarbeitung durch eine Behörde, im privaten Sektor durch einen Verantwortlichen erfolgt, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden.

• Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.



Artikel 38 DS-GVOStellung des Datenschutzbeauftragten

Auszug Gesetzestext

• Der Verantwortliche und der Auftragsverarbeiter

� stellen sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird,

� stellen zur Erfüllung seiner Aufgaben gemäß Artikel 39 die erforderlichen Ressourcenund den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung,

� stellen sicher, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

• Der DSB berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.



Artikel 39 DS-GVOPflichtaufgaben des Datenschutzbeauftragten

Auszug Gesetzestext

Dem DSB obliegen zumindest folgende Aufgaben und Pflichten:

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten

• Überwachung der Einhaltung der DS-GVO und anderer Datenschutzvorschriften

• Überwachung der Einhaltung der Strategien des Verantwortlichen/Auftragsverarbeiters

• Überwachung der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen

• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35

• Zusammenarbeit mit der Aufsichtsbehörde

• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen



• Mitwirkung bei der Führung des Verzeichnisses der Verarbeitungstätigkeiten (Artikel 30 DS-GVO)

• Bearbeitung von Datenschutzvorfällen (Artikel 33 und 34 DS-GVO)

• Bearbeitung von Auskunftsersuchen

• Erstellung von Dokumentationen (Datenschutzkonzept)

• Eignungsfeststellung und Kontrolle der Auftragsverarbeiter (Artikel 28 DS-GVO)

• Erstellung von Tätigkeitsberichten

• Fortbildung, Aufbau der Fachkompetenz

• Mitwirkung in Projekten

• …

Weitere Aufgaben des DSB



Datenschutz- und Informationssicherheitsmanagement


Datenschutz IT-GrundschutzISO 27001

Datenschutzrecht Datensicherheit Grundschutzstandard

KERNELEMENTE

- Zulässigkeit der Datenverarbeitung

- Zweckbindung- Transparenz- Verhältnismäßigkeit- Datenminimierung- Verzeichnis der

Verarbeitungstätigkeiten- Datenweitergabe- Rechte der betroffenen - Personen- Datenschutzbeauftragte(r)- Datenschutz-Folgenabschätzung- Ordnungswidrigkeiten- Haftung

- Gefährdungs- und Risikoanalyse

- Schutzbedürftigkeit- Technische und

organisatorische Sicherheitsmaßnahmen

- Überwachung und Audits

- Sicherheitsmanagement- IT-Sicherheitsbeauftragte(r)- Abgrenzung der Datenverarbeitung

(IT-Verbund)- Schutzbedarfsfestlegung- Grundschutzmaßnahmen- Risikoanalyse- Überwachung und Audits

ZWECK

- Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten - Schutz der Rechte und Freiheiten der betroffenen Personen

- Schutz der Informationen des Unternehmens bzw. der Behörde, keine Differenzierung zwischen personenbezogenen und nicht personenbezogenen Daten

§ - Rechtliche Vorschrift - Keine rechtliche Vorschrift

Datenschutz und Informationssicherheit

12

Datenschutz auf der Basis von IT-Grundschutz

CAU - Der Datenschutzbeauftragte


Quelle: BSI Standard 200-213

Aufbauorganisation für Datenschutz und Informationssicherheit

DatenschutzbeauftragterInformationssicherheitsbeauftragter

IT-LeiterLeiter Fachbereich 1Leiter Fachbereich 2

…




Aufgabenverteilung zwischen DSB und ITSB

Datenschutzbeauftragter (DSB) IT-Sicherheitsbeauftragter (ITSB)

Artikel 39 DS-GVO IT-Grundschutzstandard 200-2

• Unterrichtung/Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten

• Überwachung der Einhaltung dieser Verordnung … sowie der Strategien des Verantwortlichen oder des Auftragsverarbeitersfür den Schutz pers. Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen

• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung

• Zusammenarbeit mit der Aufsichtsbehörde

• (Verzeichnis von Verarbeitungstätigkeiten)

• (Bearbeitung von Datenschutzvorfällen)

• Anlaufstelle für Betroffene

• …

• Mitwirkung bei der Erstellung der Leitlinie zur Informationssicherheit

• Erstellung und Mitwirkung bei der Dokumentation

• (z. B. Sicherheitskonzept, Richtlinien etc.)

• Überprüfen der Sicherheitsmaßnahmen

• Leitungsebene über den Status quo der Informationssicherheit berichten

• Sicherheitsvorfälle untersuchen / bearbeiten

• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit koordinieren

• …


Beispiel ITK-Rheinland (Rechenzentrum)

15CAU - Der Datenschutzbeauftragte

Quelle: https://www.itk-rheinland.de/fileadmin/Redaktion/PDFs/Organigramm_ITK_Web.pdf



Beispiel CAU Kiel

Quelle: http://www.uni-kiel.de/download/verw/zv-organisationsplan-de.pdf


• Mit Informationssicherheitsmanagement oder auch kurz IS-Management wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.

• Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden.

• Der Datenschutz sollte/muss Bestandteil des ISMS sein!

Datenschutz- und Informationssicherheitsmanagement (DISM)

17

Informationssicherheitsmanagementsystem (ISMS)Standard ISO 27001



• Informationssicherheitsziele und –strategien bestimmen

• Leitlinie zur Informationssicherheit entwickeln und Umsetzung überprüfen

• Risiken für die Prozesse des Unternehmens identifizieren

• Sicherheitsprozess initiieren, steuern und kontrollieren

• Erstellung des Sicherheitskonzepts

• TOMs festlegen, umsetzen lassen und im Rahmen von Audits überprüfen

• Schulungs- und Sensibilisierungsprogramme für Informationssicherheit konzipieren

• Fachverantwortliche in Fragen der Informationssicherheit beraten

• …

• Rechtmäßigkeit der Datenverarbeitung prüfen

• Schutz der Daten des Betroffenen sicherstellen = Risiken identifizieren,

bewerten und durch technische und organisatorische Maßnahmen eindämmen

• Datenschutzprozess initiieren, steuern und kontrollieren

• Datenschutz-Folgenabschätzung durchführen

• Bearbeitung von Datenschutzvorfällen

• Fachverantwortliche in Fragen des Datenschutzes beraten

• …

Dat

ensc

hutz

I

nfor

mat

ions

sich

erhe

it

18

Datenschutz- und InformationssicherheitsmanagementDISM



19

Einsatz eines Tools für die Transparenz der TOMsBeispiel Verinice

CAU - Der Datenschutzbeauftragtehttps://verinice.com/


Schnittmengen – Rollen und Aufgabenprofile

Wirtschaftsprüfer

Externer Auditor

Interne Revision

Krisenstab

Informationssicherheits-Management-Team

Informationssicherheitsbeauftragter

Datenschutzbeauftragter

Risikomanager

Aufsichtsbehörden

Brandschutzbeauftragter

Fachaufsicht

?Geheimschutzbeauftragter

Betroffener

Auftraggeber

Notfallbeauftragter

Datenschutzmanagement

20CAU - Der Datenschutzbeauftragte


Worauf sollte die Organisation achten?

• Ziele und Stellenwert für Datenschutz und Informationssicherheit festlegen

• Vorgaben aus Gesetzen und/oder aus Richtlinien/Standards beachten

• Transparenz über die Datenverarbeitung schaffen

• Risiken der Datenverarbeitung für Geschäftsprozesse und Betroffene verifizieren

• Technische und organisatorische Maßnahmen für den Schutz der Daten umsetzen

• Ziel- und/oder Interessenkonflikte (wenn möglich) des DSB vermeiden

• Vertretungsaspekte bei Abwesenheit des DSB berücksichtigen

• Die Schnittstellen zwischen verschiedenen Rollen sollten klar definiert werden

• Unternehmens- bzw. Behördengröße berücksichtigen, Grundsatz: Je größer die Organisation, desto mehr Aufgaben- und Rollentrennung ist geboten

• Aufgabenkomplexität des DSB auf den Status Quo beziehen

• Fachliche Kenntnisse des DSB erfüllen und intensivieren

• Zusammenarbeit mittels DISM durchführen

• Kontrolle der Vorgaben und Regelungen im Rahmen von Audits

• …21CAU - Der Datenschutzbeauftragte



Informationen und Fortbildung für den DSB

• Berufsverband der Datenschutzbeauftragten

(Das berufliche Leitbild des Datenschutzbeauftragten)

https://www.bvdnet.de/datenschutzbeauftragten-finden

• Gesellschaft für Datenschutz und Datensicherheit (Fortbildung)

https://www.gdd.de/

• Ulmer Akademie für Datenschutz und Datensicherheit

https://www.udis.de/aktuell/

• Datenschutzakademie des ULD

https://www.datenschutzzentrum.de/

Der Datenschutzbeauftragte · 2019. 1. 25. · mit der Datenschutz-Folgenabschätzung und...

Documents

Transcript of Der Datenschutzbeauftragte · 2019. 1. 25. · mit der Datenschutz-Folgenabschätzung und...