DS-GVO Einführung und Roll-out im Technologiekonzern · 2017-07-13 · Seite 2 Juni 2017 Philip...

Handout 1

DS-GVOEinführung und Roll-out imTechnologiekonzernDr. Philip RupprathSyndikusanwaltSiemens AG

siemens.comFrei verwendbar © Siemens AG 2017

Frei verwendbar © Siemens AG 2017Juni 2017Seite 2 Philip Rupprath / LC C DP

Pflichten und Problemfelder unter der DS-GVO

Datenschutz-beauftragte

Verfahrens-verzeichnis

Einwilligung

Informations-pflichten

Auftrags-datenver-arbeitung

Profiling

Big Data

Inter-nationale

Daten-transfer

Datenschutz-Folgen-

abschätzung

Auskunfts-rechtSanktionen

Daten-geheimnis

Rechen-schafts-pflicht

Rechts-grundlagen

DataBreach

Notifications

Recht aufDaten -

portabilität

Recht auf„Vergessen-

werden“

Widerspruchs- recht

Handout 2


Rechenschaftspflicht

Art. 5 Abs. 2 DSGVO: “Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und mussdessen Einhaltung nachweisen können (Rechenschaftspflicht).”

Art. 5 Abs. 1 DSGVO: Personenbezogene Daten müssen

• auf rechtmäßige Weise, (…) und in einer (…) nachvollziehbaren Weise verarbeitet werden(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

• für festgelegte, eindeutige und legitime Zwecke erhoben werden (…) („Zweckbindung“);

• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Datengewährleistet, (…) durch technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).


Rechenschaftspflicht

Art. 24 Abs. 1 DSGVO:

“Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke

der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die

Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um,

um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser

Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Handout 3


Top 5 Operational Impacts

1. Rechenschaftspflichten

3. PIA

2. Verfahrensverzeichnis

4. Informationspflichten

5. Auftragsdatenverarbeitung


Verfahrensverzeichnis – Praktische Umsetzung (1/9)

Handout 4



Inhalt des Verarbeitungsverzeichnisses, Art. 30 (1)(a) the name and contact details of the controller and, whereapplicable, the joint controller, the controller's representative andthe data protection officer(b) the purposes of the processing(c) a description of the categories of data subjects and of thecategories of personal data(d) the categories of recipients to whom the personal datahave been or will be disclosed including recipients in thirdcountries or international organisations(e) transfers of personal data to a third country(f) the envisaged time limits for erasure(g) a general description of the technical and organisationalsecurity measures

Siem

ensC

DP

Center



Handout 5




3. PIA





Datenschutz-Folgenabschätzung –Praktische Umsetzung (1/2)

Mindestinhalt der Datenschutzfolgen-abschätzung, Art. 35 (7):

(a) a systematic description of theenvisaged processing operations and thepurposes of the processing, including,where applicable, the legitimate interestpursued by the controller

(b) an assessment of the necessity andproportionality of the processingoperations in relation to the purposes

(c) an assessment of the risks to the rightsand freedoms of data subjects

(d) the measures envisaged to address therisks […]

Siemens CDP Center

Handout 6




3. PIA





Informationspflichten – Anforderungen (1/3)

§ 4 Absatz 3

BDSG

Art. 13 and 14

DSGVO

Namen und Kontaktdaten des Datenschutzbeauftragten2

Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. des Vertreters1

Datenkategorien, die verarbeitet werden sowie Zwecke, für diedie personenbezogenen Daten verarbeitet werden3

Rechtsgrundlage für die Verarbeitung4

Handout 7



BDSG DSGVO

Übermittlung in ein Drittland sowie Rechtsgrundlage derÜbermittlung7

Vorrangiges berechtigtes Interesse der verantwortlichen Stelleoder eines Dritten bei Interessenabwägung alsRechtfertigungsgrundlage

5

Aufbewahrungsfrist8

Empfänger oder Empfängerkategorien der personenbezogenenDaten6



BDSG DSGVO

Information, ob die Bereitstellungder personenbezogenen Daten gesetzlich odervertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist11

Information über das Bestehen eines Beschwerderechts bei einerAufsichtsbehörde10

Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling12

Information des Betroffenen über seine Rechte9

Handout 8


Informationspflichten – Praktische Umsetzung (1/2)

Informationspflicht bei Direkterhebung, Art. 13 (1):(a) the identity and the contact details of the controller(b) the contact details of the data protection officer(c) the purposes of the processing […]as well as the legal basis for the processing(d) the legitimate interests pursued by the controller(e) the recipients or categories of recipients of thepersonal data(f) the fact that the controller intends to transfer personaldata to a third country(2) (a) the period for which the personal data will bestored

Siem

ensC

DP

Center


Informationspflichten – Praktische Umsetzung (2/2)

Siem

ensC

DP

Center

Informationspflicht, wenn Erhebung nicht beimBetroffenen erfolgt, Art. 14 (1):

(a) the identity and the contact details of the controller

(b) the contact details of the data protection officer

(c) the purposes of the processing as well as the legalbasis for the processing

(d) the categories of personal data concerned

(e) the recipients or categories of recipients of thepersonal data

(f) that the controller intends to transfer personal data toa recipient in a 3rd country

(2) (a) the period for which the personal data will bestored

Handout 9




3. PIA





Auftragsdatenverarbeitung

Inhalt des Verarbeitungsvertrags, Art. 28 (3):

- the subject matter and duration of processing

- the nature and purpose of the processing

- the type of personal data and categories of datasubjects

(e) […] assists the controller by appropriate technical andorganisational measures […]

(f) assists the controller in ensuring compliance with theobligations pursuant to Articles 32 to 36 (in particularDPIA)

(g) at the choice of the controller, deletes or returns all thepersonal data […]”

Siem

ensC

DP

Center

Handout 10


Vorgehensweise: Zu ergreifende Maßnahmen

• Prioritäre Maßnahmen: bereits jetzt umzusetzen oder zu beginnen– Verzeichnis von Verarbeitungstätigkeiten: welche personenbezogenen Daten werden wo verarbeitet

(Verfahrensverzeichnis Update)– Status-Quo/GAP-Analyse interner Richtlinien und Templates– Unternehmensinterne Sensibilisierung für PIA und Privacy by Design

• Mittlere Priorität: bis zum Inkrafttreten im Mai 2018– Update/Erstellen von internen Richtlinien und Policies, Update/Erstellen von Auditprozessen– Vorbereitung auf neue Betroffenenrechte – Prozesse überarbeiten

(Auskunft, Recht auf Vergessenwerden, Datenübertragbarkeit)– Überarbeiten Prozess für Benachrichtigungen bei Datenschutzverletzungen


4. Implementation Plan for Siemens“400-days-programm”

• May/June 2016: internal LC CO DP/LC C DP workshop (2 days)

• October 2016: publish “400-days-program”(action items + timeline)

• Spring 2017: EU DPO workshop

• January 2018: “400-days-program” implemented

Challenge:Moving target with respect to escape clauses and “remaining”

national DP laws.

Handout 11


6. Q&A


Kontakt

Dr. Philip RupprathSyndikusanwalt / Senior CounselOtto-Hahn-Ring 681739 Muenchen, GermanyTel.: +49 89 636-28083Mobile: +49 152 [email protected]

siemens.com

DS-GVO Einführung und Roll-out im Technologiekonzern · 2017-07-13 · Seite 2 Juni 2017 Philip...

Documents

Transcript of DS-GVO Einführung und Roll-out im Technologiekonzern · 2017-07-13 · Seite 2 Juni 2017 Philip...