DSGVO nach Maß

Edt 4

84558 Kirchweidach (bei Altötting)

Vertreten durch:

Vorstand: Franz Obermayer

Kontakt:

Telefon: +49 8632 987 39 - 40E-Mail: info@complimant.deWeb: http://www.complimant.de

© complimant AG, Edt 4, 84558 Kirchweidach

Alle Rechte vorbehalten. Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb

der engen Grenzen des Urheberrechtsgesetzes ist ohne schriftliche Zustimmung der complimant AG unzulässig und strafbar.

complimant AG - Ihr ISO27001-zertifiziertes Beratungshaus

https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=31

Mythos 1: DSGVO tritt am 25. Mai 2018 in Kraft.

• Realität: Falsch! Es mag übertrieben erscheinen, doch alle

Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in

Kraft tritt, machen einen Fehler. Die Datenschutz-Grundverordnung ist

bereits in Kraft, die zweijährige Übergangszeit endet am 25. Mai 2018.

Warum soll das wichtig sein? Ganz einfach: Man könnte denken, die

DSGVO tritt ohne jede Vorwarnzeit in Kraft, plötzlich ist sie da und

muss angewendet werden.

• In Wirklichkeit aber liegt die DSGVO bereits seit über 1,5 Jahren auf

dem Tisch. Die Umsetzung läuft und sollte laufen, mit der Frist 25. Mai

2018. Diese Erkenntnis hilft nicht bei der Bewältigung, wohl aber bei

der Argumentation, dass die Schonfrist bald um ist. Es ist Zeit, das

Projekt DSGVO mit Vollgas voranzutreiben.

Mythos 2: Es drohen Bußgelder von bis zu 20 Mio EUR, wenn Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird!

• Realität: Stimmt nicht! Es geht nicht darum, die möglichen

Sanktionen herunterzuspielen, wenn die bis zu 20 Mio Euro Bußgeld

bei Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) als falsch

eingestuft werden. Es geht vielmehr darum, dass man sich genauer

mit den möglichen Sanktionen befassen muss. Dann stellt man fest:

Art.83 DSGVO (Allgemeine Bedingungen für die Verhängung von

Geldbußen) listet den Artikel 32 (Sicherheit der Verarbeitung) dort auf,

wo steht: „Bei Verstößen gegen die folgenden Bestimmungen werden

Geldbußen von bis zu 10.000.000 EUR oder im Fall eines

Unternehmens von bis zu 2 Prozent seines gesamten weltweit

erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs

verhängt, je nachdem, welcher der Beträge höher ist“.

Mythos 3: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!

• Realität: Unsinn! Um es kurz machen: Von Haftstrafen ist in der DSGVO

nicht die Rede. Anstatt sich über einen Aufenthalt im Gefängnis Sorgen zu

machen, sollte man lieber daran denken, dass es neben den Sanktionen und

Bußgeldern auch Haftung und Recht auf Schadenersatz gibt. Artikel 82

DSGVO besagt: Jede Person, der wegen eines Verstoßes gegen diese

Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat

Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den

Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche

haftet für den Schaden, der durch eine nicht dieser Verordnung

entsprechende Verarbeitung verursacht wurde.

• Hier drohen also Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis

bringt einen die DSGVO selbst nicht.

Mythos 4: Das BDSG ist abgeschafft

Realität: Falsch

BDSG NEU tritt zeitgleich in Kraft:

https://dsgvo-gesetz.de/bdsg-neu/

FÜR WEN GILT BDSG ?

§ 1 BDSG (neu)Anwendungsbereich des Gesetzes

• Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch

– öffentliche Stellen des Bundes,

– öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist

und soweit sie

• Bundesrecht ausführen oder

• als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

• Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte

Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung

personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert

werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur

Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Mythos 5: Cloud-Lösung XY ist DSGVO-konform!

• Realität: Wer sagt das? Viele Anbieter verweisen gegenwärtig auf ihre

Konformität mit der DSGVO. Ob dies nach besten Wissen und Gewissen

geschieht oder auf Basis eines bestehenden Datenschutz-Zertifikats: Wer

zum Beispiel einen Cloud-Service nutzen möchte, braucht mehr als eine

Selbstauskunft des Anbieters, er braucht hinreichende Garantien des

Anbieters dafür, dass geeignete technische und organisatorische Maßnahmen

so durchgeführt werden, dass die Verarbeitung im Einklang mit den

Anforderungen der Verordnung erfolgt und den Schutz der Rechte der

betroffenen Person gewährleistet.

• Eine Garantie können in Zukunft zum Beispiel ein genehmigtes

Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein

Datenschutz-Zertifikat, das unter dem Bundesdatenschutzgesetz (BDSG)

vergeben wurde, reicht dagegen nicht. Zuerst muss das entsprechende

Zertifizierungsverfahren umgestellt sein auf die DSGVO.

Mythos 6: Wir sind DSGVO-zertifiziert!

• Realität: Noch gar nicht möglich! Artikel 42 DSGVO (Zertifizierung)

macht deutlich, dass Zertifizierungsverfahren, die zu einem DSGVO-

Zertifikat führen sollen, zuerst genehmigt werden müssen. So fordert

die DSGVO: Eine Zertifizierung nach diesem Artikel wird durch die

Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde

anhand der von dieser zuständigen Aufsichtsbehörde genehmigten

Kriterien erteilt. Erst wenn genehmigte Kriterien vorliegen, kann also

mit einer Zertifizierung nach DSGVO begonnen werden. Das ist aber

bisher nicht der Fall.

Mythos 7: Die Meldepflichten nach DSGVO sind ein Novum!

• Realität: Blödsinn! Die Meldepflichten nach DSGVO sind nicht etwa komplett

neu, wie manche Meldungen suggerieren. Vielmehr gibt es Änderungen

gegenüber den Informationspflichten nach Bundesdatenschutzgesetz, man

kann auch von einer Verschärfung sprechen, insbesondere, wenn man an die

72-Stunden-Frist zur Meldung an die zuständige Aufsichtsbehörde denkt.

Trotzdem: Es gibt schon jetzt eine Informationspflicht bei unrechtmäßiger

Kenntniserlangung von Daten. Unternehmen sollten also keinen komplett

neuen Melde-Prozess aufsetzen müssen, wenn sie denn die Vorgaben des

BDSG einhalten.

Mythos 8: Die DSGVO verbietet die Datenübermittlung in die USA!

• Realität: Stimmt nicht! Die DSGVO verbietet nicht etwa die

Datenübermittlung in Drittstaaten wie die USA, sondern sie stellt

mehrere Anforderungen an eine solche Datenübermittlung. Dabei geht

es um die Garantie, dass das Datenschutzniveau bei dem Empfänger

dem der DSGVO entspricht. Für den Nachweis gibt es verschiedene

Wege, darunter Privacy Shield, bei dem die Aufsichtsbehörden

weiterhin Bedarf für Nachbesserungen sehen. Denkbar ist es aber

auch, dass ein Empfänger aus einem Drittstaat ein Datenschutz-

Zertifikat nach DSGVO erlangt und so den Nachweis erbringt. Von

einem generellen Verbot kann also keine Rede sein.

Mythos 9. Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!

• Realität: Falsch ! Zweifellos ist die Verschlüsselung eine der zentralen Maßnahmen

der Datensicherheit. In vielen Fällen wird auch eine Verschlüsselung von E-Mails sehr

sinnvoll sein. Aber die DSGVO sieht keinen Zwang zur Verschlüsselung vor.

• Vielmehr besagt Artikel 32 DSGVO: Unter Berücksichtigung des Stands der Technik,

der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke

der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere

des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der

Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische

Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese

Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und

Verschlüsselung personenbezogener Daten (…).

• Ob eine Verschlüsselung zum Einsatz kommen soll oder nicht, hängt somit von dem zu

ermittelnden Schutzbedarf der Daten, dem Risiko für die Betroffenen sowie weiteren

Faktoren ab wie Stand der Technik, Implementierungskosten und Art, Umfang,

Umstände und Zwecke der Verarbeitung. Verschlüsselung ist also kein Automatismus,

sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die

Vertraulichkeit der Daten.

Mythos 10: Jeder muss jetzt einen Datenschutzbeauftragten haben!

Realität: Nein!

• https://dsgvo-gesetz.de/bdsg-neu/

§ 38 BDSG (neu)Datenschutzbeauftragte nichtöffentlicher Stellen

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU)

2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine

Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der

Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung

personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der

Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-

Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen,

oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der

Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder

Meinungsforschung, haben sie unabhängig von der Anzahl der mit der

Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen

Datenschutzbeauftragten zu benennen.

IS

IS

Management des Datenschutzes

Organisation

&

Prozesse

Personalschulung

&

Awareness

ComplianceSichere

IT-Landschaft

Einordnung Datenschutz

VerfügbarkeitVertraulichkeit Integrität

IS

IS

Bereitschaft

Bewusstsein

Klare

Vorgaben

Gelebter

Datenschutz

Von der Geschäftsleitung…

…bis zum Praktikanten

Datenschutz braucht Commitment

Aufbau von Strukturen und Prozessen

Notwendig vor Allem zur Erfüllung der Rechenschafts- bzw. Nachweispflicht:

• Nachweis über Einhaltung der Grundsätze der Datenverarbeitung

– (Art. 5 Abs. 2)

• Nachweis über korrekt eingeholte und vorhandene Einwilligungen

– (Art. 12)

• Nachweis über Anwendung technischer und organisatorischer Maßnahmen

– (Art. 24)

• Nachweis über Verarbeitung personenbezogener Daten durch Verzeichnis aller Verarbeitungstätigkeiten

• Nachweis über erfolgte DS-Folgeabschätzungen (bei voraussichtlich hohem Risiko)

Datenschutz

„Nur so viele Daten

wie unbedingt nötig“

Flexibilität

Schnelllebiger Markt

Dynamik

Serviceorientierung

„So viel Daten wie

möglich“

Prozesssteuerung

Nachweisbarkeit

Dokumentation

Der schmale Grat

„Open Doors“

Unbürokratische

Entscheidungen

Klare Organisation

Klare Verantwortlichkeiten

Feste Entscheidungswege

Wertschöpfungskette „am Kunden“

Information bei Datenerhebung

• Informationspflicht zum Zeitpunkt der Erhebung der Daten

– Namen und Kontaktdaten des Verantwortlichen

– Kontaktdaten des DSB

– Zwecke der Verarbeitung

– Rechtsgrundlage der Verarbeitung

Wenn Verarbeitung aufgrund berechtigter Interessen: Angabe der Interessen

– Empfänger der Daten

– ggf. Übermittlung an ein Drittland und Grundlage der Zulässigkeit

Information bei Datenerhebung

• Zusätzlich bereitzustellende Informationen (z.B. auf der Homepage)

– Dauer der Speicherung bzw. Kriterien zur Bestimmung dieser

– Aufklärung über Rechtsansprüche: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Widerrufsrecht, Beschwerderecht bei der Aufsichtsbehörde und Recht auf Datenübertragbarkeit

– ggf. Erforderlichkeit der Bereitstellung der Daten aufgrund eines Gesetzes oder zur Erfüllung eines Vertrages

– Bei automatischer Entscheidungsfindung: Aussagekräftige Informationen über involvierte Logik

Melde- und Benachrichtigungspflichten

• Meldepflicht gegenüber der Aufsichtsbehörde

– Innerhalb von 72 Stunden nach Bekanntwerden

• Benachrichtigungspflicht betroffener Personen

– Wenn voraussichtlich ein hohes Risiko für persönliche Rechte und Freiheiten besteht

– Bei unverhältnismäßigem Aufwand öffentliche Benachrichtigung möglich

• Fehler bei der Umsetzung der Melde- und Benachrichtigungspflichten werden ebenfalls mit Bußgeldern geahndet

Projekt DSMS

Bestands-aufnahme

Schutzbedarffeststellen und Risikenbewerten

Maßnahmenplanerstellen

Maßnahmen abarbeiten

Interne Audits durchführen

Managementsysteme sind Maßanfertigung

Schwachstelle

Bedrohung

Schaden

Risikoorientierter Ansatz

Risiko

Maßnahmen zur Sicherung der Vertraulichkeit

• Zutrittskontrolle

• Zugangskontrolle

• Zugriffskontrolle

• Trennung der Daten

• Pseudonymisierung

Maßnahmen zur Sicherung der Integrität

• Weitergabekontrolle

• Eingabekontrolle

Maßnahmen zur Sicherung der Verfügbarkeit

• Verfügbarkeitskontrolle

• Rasche Wiederherstellbarkeit

Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management

• Incident-Response-Management

• Auftragskontrolle

Hackingangriff

“Es ist besser, Deiche zu bauen,

als darauf zu hoffen,

dass die Flut allmählich Vernunft annimmt.”

Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor