Der Datenschutzbeauftragte · 2019. 1. 25. · mit der Datenschutz-Folgenabschätzung und...
Transcript of Der Datenschutzbeauftragte · 2019. 1. 25. · mit der Datenschutz-Folgenabschätzung und...
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 1
Der DatenschutzbeauftragteBenennung, Stellung und Aufgaben
Heiko BehrendtISO 27001 Auditor
Fon: 0431 988 1212Mail: [email protected]: https://www.datenschutzzentrum.de/
www.datenschutzzentrum.de
DS-GVO Quellen
• https://www.datenschutzkonferenz-online.de/index.html
• https://www.bfdi.bund.de/DE/Home/home_node.html
• https://www.datenschutzzentrum.de/dsgvo/
• https://www.datenschutz-grundverordnung.eu/
• https://dsgvo-gesetz.de/
• https://www.gdd.de/eu-ds-gvo
• https://www.bvdnet.de/eu-dsgvo.html
• http://eur-lex.europa.eu/legal-
content/de/TXT/?uri=CELEX%3A32016R0679
• Becksche Kompakt-Kommentare Paal - Pauly
CAU - Der Datenschutzbeauftragte 2
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 3
Rechtliche Anforderungen – DS-GVO und BDSG
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 4
Artikel 37 DS-GVOBenennung eines Datenschutzbeauftragten
Auszug Gesetzestext
• „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
� a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,
� b) regelmäßige und systematische Überwachung von betroffenen Personen,
� c) Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9.
• Bundesdatenschutzgesetz (BDSG)
� §§ 5 - 7 Datenschutzbeauftragter öffentlicher Stellen
� § 38 Datenschutzbeauftragter nicht öffentlicher Stellen
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 5
Artikel 37 DS-GVOBenennung eines Datenschutzbeauftragten
Auszug Gesetzestext § 38 BDSG
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen
der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen
Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der
automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der
Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-
Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten
sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten
Übermittlung oder für Zwecke der Markt oder Meinungsforschung, haben sie unabhängig von
der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder
einen Datenschutzbeauftragten zu benennen.
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 6
Artikel 37 DS-GVOBenennung eines Datenschutzbeauftragten
Auszug Gesetzestext
• „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der DSB leicht erreicht werden kann.“
• Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann ein gemeinsamer Datenschutzbeauftragter benannt werden.
• Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt …
• Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 7
Artikel 37 DS-GVOBenennung eines Datenschutzbeauftragten
Erwägungsgrund 97
• In Fällen, in denen die Verarbeitung durch eine Behörde, im privaten Sektor durch einen Verantwortlichen erfolgt, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden.
• Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 8
Artikel 38 DS-GVOStellung des Datenschutzbeauftragten
Auszug Gesetzestext
• Der Verantwortliche und der Auftragsverarbeiter
� stellen sicher, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird,
� stellen zur Erfüllung seiner Aufgaben gemäß Artikel 39 die erforderlichen Ressourcenund den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung,
� stellen sicher, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
• Der DSB berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 9
Artikel 39 DS-GVOPflichtaufgaben des Datenschutzbeauftragten
Auszug Gesetzestext
Dem DSB obliegen zumindest folgende Aufgaben und Pflichten:
• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
• Überwachung der Einhaltung der DS-GVO und anderer Datenschutzvorschriften
• Überwachung der Einhaltung der Strategien des Verantwortlichen/Auftragsverarbeiters
• Überwachung der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
• Zusammenarbeit mit der Aufsichtsbehörde
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 10
• Mitwirkung bei der Führung des Verzeichnisses der Verarbeitungstätigkeiten (Artikel 30 DS-GVO)
• Bearbeitung von Datenschutzvorfällen (Artikel 33 und 34 DS-GVO)
• Bearbeitung von Auskunftsersuchen
• Erstellung von Dokumentationen (Datenschutzkonzept)
• Eignungsfeststellung und Kontrolle der Auftragsverarbeiter (Artikel 28 DS-GVO)
• Erstellung von Tätigkeitsberichten
• Fortbildung, Aufbau der Fachkompetenz
• Mitwirkung in Projekten
• …
Weitere Aufgaben des DSB
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 11
Datenschutz- und Informationssicherheitsmanagement
www.datenschutzzentrum.de
Datenschutz IT-GrundschutzISO 27001
Datenschutzrecht Datensicherheit Grundschutzstandard
KERNELEMENTE
- Zulässigkeit der Datenverarbeitung
- Zweckbindung- Transparenz- Verhältnismäßigkeit- Datenminimierung- Verzeichnis der
Verarbeitungstätigkeiten- Datenweitergabe- Rechte der betroffenen - Personen- Datenschutzbeauftragte(r)- Datenschutz-Folgenabschätzung- Ordnungswidrigkeiten- Haftung
- Gefährdungs- und Risikoanalyse
- Schutzbedürftigkeit- Technische und
organisatorische Sicherheitsmaßnahmen
- Überwachung und Audits
- Sicherheitsmanagement- IT-Sicherheitsbeauftragte(r)- Abgrenzung der Datenverarbeitung
(IT-Verbund)- Schutzbedarfsfestlegung- Grundschutzmaßnahmen- Risikoanalyse- Überwachung und Audits
ZWECK
- Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten - Schutz der Rechte und Freiheiten der betroffenen Personen
- Schutz der Informationen des Unternehmens bzw. der Behörde, keine Differenzierung zwischen personenbezogenen und nicht personenbezogenen Daten
§ - Rechtliche Vorschrift - Keine rechtliche Vorschrift
Datenschutz und Informationssicherheit
12
Datenschutz auf der Basis von IT-Grundschutz
CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
Quelle: BSI Standard 200-213
Aufbauorganisation für Datenschutz und Informationssicherheit
DatenschutzbeauftragterInformationssicherheitsbeauftragter
IT-LeiterLeiter Fachbereich 1Leiter Fachbereich 2
…
CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 14
Aufgabenverteilung zwischen DSB und ITSB
Datenschutzbeauftragter (DSB) IT-Sicherheitsbeauftragter (ITSB)
Artikel 39 DS-GVO IT-Grundschutzstandard 200-2
• Unterrichtung/Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten
• Überwachung der Einhaltung dieser Verordnung … sowie der Strategien des Verantwortlichen oder des Auftragsverarbeitersfür den Schutz pers. Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung
• Zusammenarbeit mit der Aufsichtsbehörde
• (Verzeichnis von Verarbeitungstätigkeiten)
• (Bearbeitung von Datenschutzvorfällen)
• Anlaufstelle für Betroffene
• …
• Mitwirkung bei der Erstellung der Leitlinie zur Informationssicherheit
• Erstellung und Mitwirkung bei der Dokumentation
• (z. B. Sicherheitskonzept, Richtlinien etc.)
• Überprüfen der Sicherheitsmaßnahmen
• Leitungsebene über den Status quo der Informationssicherheit berichten
• Sicherheitsvorfälle untersuchen / bearbeiten
• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit koordinieren
• …
www.datenschutzzentrum.de
Beispiel ITK-Rheinland (Rechenzentrum)
15CAU - Der Datenschutzbeauftragte
Quelle: https://www.itk-rheinland.de/fileadmin/Redaktion/PDFs/Organigramm_ITK_Web.pdf
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 16
Beispiel CAU Kiel
Quelle: http://www.uni-kiel.de/download/verw/zv-organisationsplan-de.pdf
www.datenschutzzentrum.de
• Mit Informationssicherheitsmanagement oder auch kurz IS-Management wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen.
• Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden.
• Der Datenschutz sollte/muss Bestandteil des ISMS sein!
Datenschutz- und Informationssicherheitsmanagement (DISM)
17
Informationssicherheitsmanagementsystem (ISMS)Standard ISO 27001
CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
• Informationssicherheitsziele und –strategien bestimmen
• Leitlinie zur Informationssicherheit entwickeln und Umsetzung überprüfen
• Risiken für die Prozesse des Unternehmens identifizieren
• Sicherheitsprozess initiieren, steuern und kontrollieren
• Erstellung des Sicherheitskonzepts
• TOMs festlegen, umsetzen lassen und im Rahmen von Audits überprüfen
• Schulungs- und Sensibilisierungsprogramme für Informationssicherheit konzipieren
• Fachverantwortliche in Fragen der Informationssicherheit beraten
• …
• Rechtmäßigkeit der Datenverarbeitung prüfen
• Schutz der Daten des Betroffenen sicherstellen = Risiken identifizieren,
bewerten und durch technische und organisatorische Maßnahmen eindämmen
• Datenschutzprozess initiieren, steuern und kontrollieren
• Datenschutz-Folgenabschätzung durchführen
• Bearbeitung von Datenschutzvorfällen
• Fachverantwortliche in Fragen des Datenschutzes beraten
• …
Dat
ensc
hutz
I
nfor
mat
ions
sich
erhe
it
18
Datenschutz- und InformationssicherheitsmanagementDISM
CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
19
Einsatz eines Tools für die Transparenz der TOMsBeispiel Verinice
CAU - Der Datenschutzbeauftragtehttps://verinice.com/
www.datenschutzzentrum.de
Schnittmengen – Rollen und Aufgabenprofile
Wirtschaftsprüfer
Externer Auditor
Interne Revision
Krisenstab
Informationssicherheits-Management-Team
Informationssicherheitsbeauftragter
Datenschutzbeauftragter
Risikomanager
Aufsichtsbehörden
Brandschutzbeauftragter
Fachaufsicht
?Geheimschutzbeauftragter
Betroffener
Auftraggeber
Notfallbeauftragter
Datenschutzmanagement
20CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
Worauf sollte die Organisation achten?
• Ziele und Stellenwert für Datenschutz und Informationssicherheit festlegen
• Vorgaben aus Gesetzen und/oder aus Richtlinien/Standards beachten
• Transparenz über die Datenverarbeitung schaffen
• Risiken der Datenverarbeitung für Geschäftsprozesse und Betroffene verifizieren
• Technische und organisatorische Maßnahmen für den Schutz der Daten umsetzen
• Ziel- und/oder Interessenkonflikte (wenn möglich) des DSB vermeiden
• Vertretungsaspekte bei Abwesenheit des DSB berücksichtigen
• Die Schnittstellen zwischen verschiedenen Rollen sollten klar definiert werden
• Unternehmens- bzw. Behördengröße berücksichtigen, Grundsatz: Je größer die Organisation, desto mehr Aufgaben- und Rollentrennung ist geboten
• Aufgabenkomplexität des DSB auf den Status Quo beziehen
• Fachliche Kenntnisse des DSB erfüllen und intensivieren
• Zusammenarbeit mittels DISM durchführen
• Kontrolle der Vorgaben und Regelungen im Rahmen von Audits
• …21CAU - Der Datenschutzbeauftragte
www.datenschutzzentrum.de
CAU - Der Datenschutzbeauftragte 22
Informationen und Fortbildung für den DSB
• Berufsverband der Datenschutzbeauftragten
(Das berufliche Leitbild des Datenschutzbeauftragten)
https://www.bvdnet.de/datenschutzbeauftragten-finden
• Gesellschaft für Datenschutz und Datensicherheit (Fortbildung)
https://www.gdd.de/
• Ulmer Akademie für Datenschutz und Datensicherheit
https://www.udis.de/aktuell/
• Datenschutzakademie des ULD
https://www.datenschutzzentrum.de/