Dsgvo − Datenschutzgrundverordnung Herausforderungen in der Praxis Mainz


Download 0.58 Mb.
Pdf ko'rish
Sana12.09.2020
Hajmi0.58 Mb.
#129431
Bog'liq
1.2.4 Herausforderungen in der Praxis der Kreditinstitute


SKS Group 



DSGVO 



Datenschutzgrundverordnung

Herausforderungen in der 

Praxis

Mainz  |  20.06.2018  |  Dr. Volker Gehrmann – Christian R. Kast 


SKS Group 

|  DSGVO - Datenschutzgrundverordnung



2

Übersichtsinformationen EU-Datenschutzgrundverordnung

20.06.2018


SKS Group 



Wesentliche Änderungen aufgrund der DSGVO



Umsetzung musste per 25.5.2018 erfolgen



Der territoriale Bereich wurde wesentlich erweitert. Die DSGVO gilt nun in allen EU 

Mitgliedstaaten und auch für Nicht-EU-Unternehmen, wenn sie Waren oder Dienstleistungen 

in der EU anbieten oder Personen in der EU beobachten. 

Es gelten wesentlich höhere Geldbußen und mehr Befugnisse für die Aufsichtsbehörden.





Strengere Regeln für die Erlangung, aber leichtere für den Widerruf der Zustimmung der 

Betroffenen.



Strengere Benachrichtigungspflichten bei Datenschutzbruch.



Weniger Unterschiede zwischen den Mitgliedstaaten.



One-stop shop bei Aufsichtsbehörden vereinfacht das Vorgehen.

|  DSGVO - Datenschutzgrundverordnung

3

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Die DSGVO ist maßgebend für die Verarbeitung personenbezogener Daten durch 

private Unternehmen und öffentliche Stellen EU-weit.

SKS Group 



Ziele der 



EU-Datenschutzgrundverordnung



Stärkung, Erweiterung und Präzisierung der Rechte der betroffenen Personen.



Besonderer Schutz besonderer Daten (rassische und ethnische Herkunft, politische 

Meinungen, religiöse oder weltanschauliche Überzeugungen oder die 

Gewerkschaftszugehörigkeit sowie die Verarbeitung von genetischen Daten, biometrischen 

Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder 

Daten zum Sexualleben oder der sexuellen Orientierung sowie Verarbeitung von 

personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten).

Besondere Anforderungen an Transparenz bei Profiling und automatisierten 



Entscheidungen



Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und 

darüber entscheiden.



Gleichartige Befugnisse der Mitgliedsstaaten bei der Überwachung und Durchsetzung 

der Vorschriften (Sanktionen, hohe abschreckende Geldbußen).

Drastische Verschärfung der Geldbußen.



|  DSGVO - Datenschutzgrundverordnung

4

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Letzte Änderungen im April/Mai 2018

|  DSGVO - Datenschutzgrundverordnung

5

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

DS-GVO

Original

Korrektur

Änderung im Bereich besondere Daten

ErwGr. 71 S. 5,6

Diese Maßnahme sollte kein Kind betreffen.



Um unter Berücksichtigung der besonderen Umstände und 

Rahmenbedingungen, unter denen die personenbezogenen 

Daten verarbeitet werden, der betroffenen Person gegenüber 

eine faire und transparente Verarbeitung zu gewährleisten, sollte 

der für die Verarbeitung Verantwortliche geeignete 

mathematische oder statistische Verfahren für das Profiling

verwenden, technische und organisatorische Maßnahmen 

treffen, mit denen in geeigneter Weise insbesondere 

sichergestellt wird, dass Faktoren, die zu unrichtigen 

personenbezogenen Daten führen, korrigiert werden und das 

Risiko von Fehlern minimiert wird, und personenbezogene 

Daten in einer Weise sichern, dass den potenziellen 

Bedrohungen für die Interessen und Rechte der betroffenen 

Person Rechnung getragen wird und mit denen verhindert 



wird, dass es gegenüber natürlichen Personen aufgrund von 

Rasse, ethnischer Herkunft, politischer Meinung, Religion oder 

Weltanschauung, Gewerkschaftszugehörigkeit, genetischer 

Anlagen oder Gesundheitszustand sowie sexueller Orientierung 

zu diskriminierenden Wirkungen oder zu Maßnahmen kommt

die eine solche Wirkung haben."

Diese Maßnahme sollte kein Kind betreffen. Um unter 



Berücksichtigung der besonderen Umstände und 

Rahmenbedingungen, unter denen die personenbezogenen 

Daten verarbeitet werden, der betroffenen Person gegenüber 

eine faire und transparente Verarbeitung zu gewährleisten, sollte 

der für die Verarbeitung Verantwortliche geeignete 

mathematische oder statistische Verfahren für das Profiling

verwenden, technische und organisatorische Maßnahmen 

treffen, mit denen in geeigneter Weise insbesondere 

sichergestellt wird, dass Faktoren, die zu unrichtigen 

personenbezogenen Daten führen, korrigiert werden und das 

Risiko von Fehlern minimiert wird, und personenbezogene 

Daten in einer Weise sichern, dass den potenziellen 

Bedrohungen für die Interessen und Rechte der betroffenen 

Person Rechnung getragen wird und unter anderem



verhindern, dass es gegenüber natürlichen Personen aufgrund 

von Rasse, ethnischer Herkunft, politischer Meinung, Religion 

oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer 

Anlagen oder Gesundheitszustand sowie sexueller Orientierung 

zu diskriminierenden Wirkungen oder zu einer Verarbeitung 

kommt, die eine solche Wirkung hat."


SKS Group 



Letzte Änderungen im April/Mai 2018

|  DSGVO - Datenschutzgrundverordnung

6

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

DS-GVO

Original

Korrektur

Änderung im Bereich besondere Daten

Art. 58 Abs. 1 

lit. f

"f) gemäß dem Verfahrensrecht der Union oder dem 

Verfahrensrecht des Mitgliedstaats Zugang zu den 

Geschäftsräumen, einschließlich aller 

Datenverarbeitungsanlagen …

f) gemäß dem Verfahrensrecht der Union oder dem 

Verfahrensrecht des Mitgliedstaats Zugang zu den 



Räumlichkeiten, einschließlich aller 

Datenverarbeitungsanlagen …



Gewöhnlicher Aufenthalt beziehungsweise Wohnung

Art. 77 Abs. 1

… insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres 

Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes …

… insbesondere in dem Mitgliedstaat ihres gewöhnlichen

Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des 

mutmaßlichen Verstoßes …



Art. 79 Abs. 2

…, in dem die betroffene Person ihren Aufenthaltsort hat, es sei 

denn, es handelt sich bei dem Verantwortlichen oder dem 

Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in 

Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

…, in dem die betroffene Person ihren gewöhnlichen

Aufenthaltsort hat, es sei denn, es handelt sich bei dem 

Verantwortlichen oder dem Auftragsverarbeiter um eine 

Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen 

Befugnisse tätig geworden ist.



ErwGr. 145

…, oder des Mitgliedstaats, in dem die betroffene Person ihren 



Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem 

Verantwortlichen um eine Behörde eines Mitgliedstaats handelt, 

die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden 

ist.


…, oder des Mitgliedstaats, in dem die betroffene Person 

wohnt; dies gilt nicht, wenn es sich bei dem Verantwortlichen 

um eine Behörde eines Mitgliedstaats handelt, die in Ausübung 

ihrer hoheitlichen Befugnisse tätig geworden ist."

Keine Ausnahmen mehr im Bereich der Voreinstellungen!

Art. 25 Abs. 2 

S. 1

… die sicherstellen, dass durch Voreinstellung grundsätzlich



nur personenbezogene Daten, deren Verarbeitung für den 

jeweiligen bestimmten Verarbeitungszweck erforderlich ist, 

verarbeitet werden. …

… die sicherstellen, dass durch Voreinstellung nur

personenbezogene Daten, deren Verarbeitung für den 

jeweiligen bestimmten Verarbeitungszweck erforderlich ist, 

verarbeitet werden. …


SKS Group 



Letzte Änderungen im April/Mai 2018

Die Datenschutzkonferenz hat die Regelungen des Telemediengesetzes zu Cookies als nicht 



mehr anwendbar gesehen und daher ein Positionspapier veröffentlicht.

Danach gilt nunmehr folgendes:



Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-

Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar 

machen und bei der Erstellung von Nutzerprofilen. 

Das bedeutet, dass eine informierte Einwilligung im Sinne der DSGVO, in Form einer 



Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung 

eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät 

des Nutzers gespeicherte Informationen gesammelt werden. 

|  DSGVO - Datenschutzgrundverordnung

7

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Bis zu einer Änderung durch die geplante Cookie-Richtlinie, ist die Anforderung an 

ein Tracking auf Webseiten erheblich verschärft.

SKS Group 



Übersicht Handlungsfelder und 



Handlungsbedarf

|  DSGVO - Datenschutzgrundverordnung

8

Übersichtsinformationen EU-Datenschutzgrundverordnung



1 Datenschutz-Governance / Rechenschaftspflicht

2 Verarbeitungsverzeichnis



3 Betroffenenrisiko / Datenschutz-Folgenabschätzung

4 Betroffenenrechte und Recht auf Löschung



5 Notifikation bei Datenschutzverstößen

6 Auftrags(daten)-Verarbeitung



7 Drittstaatenübermittlung

8 Ergänzende Themen zu neuen Anforderungen der 



DSGVO

Ein DSMS ist zu etablieren unter Beachtung der Three-



Lines-of-Defense. Die DS-Funktion ist auszubauen. Die 

sfO ist anzupassen / zu ergänzen.

Alle Verarbeitungen personenbezogener Daten sind 



durch die Fachbereiche (1st Line) zu erfassen und im 

Verarbeitungsverzeichnis aufzunehmen.

Pro Verarbeitung ist eine Risikobewertung sowie ggf. 



eine DSFA durchzuführen, zu dokumentieren und ggf. 

sind Schutzmaßnahmen anzupassen.

Ein Prozess zum Umgang mit Betroffenenanfragen 



bzgl. aller Betroffenenrechte ist zu etablieren. Ein 

Löschkonzept ist zu erarbeiten.

Es ist eine zentrale Meldestelle und ein Prozess zur 



Behandlung von Datenschutzverstößen zu etablieren.

Bestandsverträge sind zu überprüfen. Ein Prozess zur 



vollständigen Erfassung aller Auftragsverarbeitungen 

als Auftraggeber und Auftragnehmer ist zu etablieren.

Bestandsverträge sind zu überprüfen. 



Standardvertragsklauseln sind zu verankern. Ein 

Prozess zur vollständigen Erfassung ist zu etablieren.

Prüfung der neuen Vorgaben auf Anwendbarkeit und 



Umsetzung der neuen rechtlichen Anforderungen.

Handlungsfelder

Handlungsbedarf

20.06.2018



SKS Group 



Die neun Grundprinzipien des DSGVO

|  DSGVO - Datenschutzgrundverordnung

9

Übersichtsinformationen EU-Datenschutzgrundverordnung



Rechtmäßigkeit

Verarbeitung nach Treu und Glauben

Transparenz

Rechenschaftspflicht

Integrität und Vertraulichkeit

Richtigkeit

Speicher(zeit)begrenzung

Zweckbindung

Datenminimierung

Einwilligung der betroffenen Person 

zur Verarbeitung der Daten.

Umfassende Information der 

betroffenen Person über die 

Datenverarbeitung.

Jederzeit umfassende Auskunft, 

welche Daten durch wen und zu 

welchen Zwecken verarbeitet 

werden.


Erhebung personenbezogener 

Daten nur für vorher festgelegte, 

eindeutige und legitime Zwecke.

Zeitlich begrenzte Daten-

speicherung.

Richtigkeit der Datenverarbeitung 

und Fehleraktualisierungs-

anspruch.

Nur Erhebung notwendiger Daten.

Durch Technik, datenschutz-

freundliche Voreinstellungen, 

Zertifizierungsverfahren und 

Datenschutzsiegel.

Auskunftspflicht über Inhalt, 

Umfang, Reichweite sowie 

Sicherheit der Datenverarbeitung.

20.06.2018


SKS Group 



Voraussetzung für Rechtmäßigkeit

|  DSGVO - Datenschutzgrundverordnung

10

Übersichtsinformationen EU-Datenschutzgrundverordnung



Keine explizite Einwilligung

Einwilligung

Daten können auch ohne explizite Einwilligung 

der betroffenen Person rechtmäßig erhoben 

werden, wenn sie:

für die Erfüllung eines Vertrags, dessen 



Vertragspartei die betroffene Person ist, oder 

zur Durchführung vorvertraglicher Maßnahmen 

erforderlich sind,

zur Erfüllung einer rechtlichen Verpflichtung 



erforderlich sind,

erforderlich sind, um lebenswichtige Interessen 



der betroffenen Person zu schützen oder

zur Wahrung der berechtigten Interessen des 



Verantwortlichen oder eines Dritten erforderlich 

sind.


Eine Einwilligung der Person ist jede

freiwillig



für den bestimmten Fall,

in informierter Weise und



unmissverständlich abgegebene 

Willensbekundung

in Form einer Erklärung oder einer sonstigen 



eindeutigen bestätigenden Handlung,

mit der die betroffene Person zu verstehen gibt

dass sie mit der Verarbeitung der sie betreffenden 

personenbezogenen Daten einverstanden ist.

20.06.2018


SKS Group 



Praktische Bedeutung der Grundprinzipien I

Die Zweckbindung in der DSGVO bedeutet, dass personenbezogene Daten nur für vorher 



festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen.

Sie dürfen darüber hinaus nicht in einer, mit diesen ursprünglichen Zwecken nicht zu 



vereinbarenden Art und Weise weiterverarbeitet werden.

Dabei müssen die Zwecke der Datenverarbeitung im Zeitpunkt der Erhebung der Daten 



festgelegt werden und die Zwecke müssen ausreichend bestimmt und angemessen sein.

Eine nachträgliche Zweckänderung kommt nur auf Grundlage einer gesonderten 



Rechtsgrundlage oder einer weiteren Einwilligung des Betroffenen in Betracht.



Besondere Daten sind besonders zu schützen, insbesondere persönliche Merkmale und 

Daten im höchstpersönlichen Lebensbereich des Betroffenen sowie persönliche Vorlieben 

wie zum Beispiel Einkaufsverhalten, Zahlungsverhalten, Bonitätsauskünfte.



Verknüpfungen zu § 59 ZAG – Datenschutz im Bereich Zahlungsdienste sowie 

beispielsweise Inhaberkontrollverordnung und Meldepflichten nach KWG

|  DSGVO - Datenschutzgrundverordnung

11

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Praktische Bedeutung der Grundprinzipien II



Personenbezogene Daten sind solche Daten, die sich auf natürliche Personen beziehen.

Allerdings gilt das nicht nur für eindeutig identifizierte Personen, sondern auch für 



identifizierbare Personen.



Identifizierbar ist dabei eine Person, wenn die ursprüngliche Information mit weiteren 



Informationen verknüpft einen Rückschluss auf die konkrete Person zulässt, wobei dies 

auch über Daten Dritter erfolgen kann (z. B. IP Adresse, wenn der Datenverarbeiter über 

rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der 

Zusatzinformationen bestimmen zu lassen). 



Keine personenbezogenen Daten liegen (mehr) vor, wenn die Daten dergestalt 

anonymisiert wurden, dass ein (erneuter) Personenbezug nicht mehr möglich ist.



Vorübergehend keine personenbezogenen Daten liegen vor, wenn und solange die Daten 



pseudonymisiert oder verschlüsselt vorliegen.

Hier wird erst dann der Personenbezug wiederhergestellt, wenn die Pseudonyme 



aufgelöst oder die Daten entschlüsselt werden.

|  DSGVO - Datenschutzgrundverordnung

12

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Praktische Bedeutung der Grundprinzipien III

Eine Schutzverletzung liegt dann vor, wenn eine Verletzung der Sicherheit entsteht, die

unbeabsichtigt oder unrechtmäßig



zur Vernichtung,

zum Verlust, 



zur Veränderung,

zur unbefugten Offenlegung oder 



zum unbefugten Zugang

personenbezogener Daten führt, die übermittelt, gespeichert oder auf sonstige Weise 

verarbeitet wurden.

Eine Schutzverletzung ist gegenüber den Aufsichtsbehörden unverzüglich, spätestens binnen 



72 Stunden zu melden. 

Ähnliche Pflichten gibt es in § 54 ZAG; dort sind spezielle Meldewege beziehungsweise 



Schnittstellen zu beachten.

|  DSGVO - Datenschutzgrundverordnung

13

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Organisationsverantwortung

Die Durchführung der Organisationsverantwortung im Hinblick auf die Umsetzung der DSGVO 

kann insbesondere durch folgende Maßnahmen erfolgen: 

Einrichtung eines ISMS (



I

nformation 



S

ecurity 


M

anagement 



S

ystems),


Erstellung und Umsetzung von IT Leitlinien für den Umgang mit einzelnen Aspekten der 

Datenverarbeitung (z. B. mobile Geräte),

Erstellung und Umsetzung eines Rollenkonzeptes mit datenschutzspezifischen 



Berechtigungen und Beschränkungen (z. B. funktionsbezogener Zugriff auf Daten, 

Beschränkung der Nutzung von Daten bei Sperrung),

Erstellung und Umsetzung einer ISP (



I

nformation 



S

ecurity 


P

olicy) sowie

entsprechende Schulung der Mitarbeiter.



|  DSGVO - Datenschutzgrundverordnung

14

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Befugnisse der Aufsichtsbehörden

|  DSGVO - Datenschutzgrundverordnung

15

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Befugnisse bei Verstößen

Untersuchungsbefugnis

Initiale Warnbefugnis,



Verwarnbefugnis,

Kommunikation von Anweisungen für 



bestimmte Handlungen / Änderungen, 

Anweisung, die von einer Verletzung des 



Schutzes personenbezogener Daten 

betroffenen Personen zu benachrichtigen,

Anordnung einer vorübergehenden oder 



endgültigen Beschränkung der (Daten-) 

Verarbeitung bzw. eines Verbots,

Aussprache einer 



Geldbuße

gem. Artikel 83.

Empfang aller, für die Aufgabenerfüllung 



erforderlichen, Informationen,

Datenschutzüberprüfungen,



Überprüfung erteilter Zertifizierungen,

Hinweisrecht auf vermeintlichen Verstoß gegen 



DSGVO,

Zugang zu allen personenbezogenen Daten 



und Informationen, die für Erfüllung der 

Aufgaben benötig werden,

Zugang zu den Geschäftsräumen (inkl. aller 



Datenverarbeitungsanlagen und -geräte) 

gemäß dem Verfahrensrecht der Union oder 

dem Verfahrensrecht des Mitgliedstaats.


SKS Group 



Geldstrafe

|  DSGVO - Datenschutzgrundverordnung

16

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Zielsetzung

Größenordnung

Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die 



DSGVO in jedem Einzelfall wirksamverhältnismäßig und abschreckend ist.

In jedem Fall führt eine solche zu einem enormen Imageschaden für das Institut.



10 Mio. EUR bzw. 20 Mio. EUR oder 

im Fall eines Unternehmens von bis zu 2 % 



(bzw. 4 %) des gesamten, weltweit erzielten 

Jahresumsatzes



Maßstab

Art, Schwere und Dauer des Verstoßes,



Kategorien personenbezogener Daten, die von 

dem Verstoß betroffen sind,

Art, Umfang oder Zweck der betreffenden 



Verarbeitung,

Anzahl, der von der Verarbeitung betroffenen 



Personen und 

Ausmaß des von ihnen erlittenen Schadens.



Höhere Geldstrafen bei

Verstößen gegen die Einwilligungsregeln



Verstöße im Rahmen der 

Drittstaatenübermittlung


SKS Group 



Beratungsansatz

|  DSGVO - Datenschutzgrundverordnung

17

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Soweit kein Verfahrensverzeichnis allgemein bei einer der Parteien geführt werden 

muss, entsteht diese Pflicht nicht durch die Aufnahme der Auftragsverarbeitung.

Verzeichnis der Verarbeitungstätigkeiten (VdV)

Auftragsverarbeitung

Dokumentation der Grundsätze des Datenschutzes und deren Umsetzung im Unternehmen, ebenso wie die eigenen 



Maßnahmen (gem. Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO).

Dokumentation der Prozesse des Datenschutzes (auch zu Nachweiszwecken gegenüber den Aufsichtsbehörden), 



unabhängig davon, ob die Führung eines Verfahrensverzeichnisses verpflichtend ist.

Im Grundprinzip bleibt die bisherige Verarbeitung von Daten im Auftrag beibehalten.



Neu ist die gemeinsame Verantwortung beider an der Auftragsverarbeitung beteiligter Parteien.

Das führt dazu, dass nicht mehr wie bisher der Auftragnehmer „abwarten“ kann, ob der Auftraggeber eine Vereinbarung 



„fordert“, sondern selbst dafür Sorge tragen muss, dass eine Vereinbarung über die Auftragsverarbeitung geschlossen 

wird.


Datenschutzfolgeabschätzung

Hat eine Form der Datenverarbeitung

aufgrund der Verwendung neuer Technologien,



aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche 

vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten 

durchführen.


SKS Group 



Start-Workshop zur DSGVO Umsetzung

|  DSGVO - Datenschutzgrundverordnung

18

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Was ist das Ziel?



Wie lautet die Problemstellung?

Wer? Projekt – GF, Vertreter IT, Datenschutzbeauftragter, Fachabteilungen, 



Betriebsrat, externe Dienstleister

Zieldefinition

Sichtung des Status Quo



Übermittlung von Bestandsinformationen vorab: Organigramm, 

Verfahrensverzeichnis (bereits vorhanden?), IT Infrastruktur (IT-Handbuch?), 

Auftragsdatenverarbeitung, Betriebsvereinbarungen?

Auswertung der Informationen



Vorbereitung eines Fragebogens inkl. Ziel-/Problemdarstellung

Zusammenfassung des Workshops



Erfassung

Umsetzungs-

planung

SKS Group 



Next Steps - Umsetzungsprojekt

|  DSGVO - Datenschutzgrundverordnung

19

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

2

3



4

5

6



Projektsetup:

• Ziele


• Beteiligte

• Ressourcen

• Zeitplan

Erfassung der 

Verarbeitungs-

vorgänge durch

Fragebögen und 

andere


Instrumente

Prozessanalyse

und Festlegung

notwendiger

Maßnahmen

Erfassung und 

Auswertung der 

Bestands-

informationen

Erstellung eines

Verarbeitungs-

verzeichnisses

1

Umsetzung, 



Erfolgskontrolle und 

laufende


Überwachung

SKS Group 



Beispielprojektstruktur einer 



DSGVO Umsetzung

|  DSGVO - Datenschutzgrundverordnung

20

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Umsetzung DSGVO

Steuerung / Koordination: Projektleitung, Teilprojektleitungen, PMO  

Prüfungssichere 



Dokumentation (sfO inkl. 

Strategie, GAW, ÜAW, 

Abstimmung AKVs, IKS) 

Governance-Modell (u.a. 



Verankerung von DSMS-

Rollen und -Funktionen) 

Schulung (Konzept und 



Unterlagen für Key Player) 

Reporting (Datenschutzreport, 



Schnittst. Risikocontrolling) 

Notifikationspflichten (inkl. 



Schnittstelle zur Aufsicht) 

Sonstiges (Einwilligung, 



Beschäftigtendatenschutz etc.) 

Toolunterstützung 



(Konzeption, Auswahl / 

Implementierung) 

Auftragsverarbeitung 



(Verankerung und Prüfung 

Bestandsverträge) 

Drittstaatenübermittlung 



(Verankerung und Prüfung 

Bestandsverträge)  



Betroffenenrechte, 

Löschkonzept

Umgang mit 



Betroffenenrechten 

(Verankerung Informations-, 

Auskunftspflicht, 

Löschpflichten etc.) 

Konzept zu Löschung und 



Datenübertragbarkeit 

(fachliches Löschkonzept und 

technische Implementierung) 

Verarbeitungsverzeichnis 



(Transparenz über alle 

Verarbeitungen inkl. 

Pflichtangaben) 

Datenschutz-



Folgenabschätzung inkl. 

Risikobewertung 

TOMs (Schnittstelle ISMS)



Ums

e

tz

u

n

g

s

a

u

fwa

n

d

 n

ach

Ha

n

d

lu

n

g

s

fe

ld

e

rn

Verarbeitungsverzeichnis, 

Risikobewertung, 

Datenschutzfolgeabschätzung

DSGVO-Kernteam

Rollout: Koordination von Fachbereichen / IT

v.a. Einkauf / Recht

Datenschutz-Governance

und sonstige Themen

ADV / 

Drittstaatenübermittlung

SKS Group 



Praxistipp Verarbeitungsverzeichnis



Prozessorientierte Erfassung der Datenverarbeitungsvorgänge bei der Erstellung des 

Verarbeitungsverzeichnisses

Erfassung aller Einzelschritte von der Erhebung bis zur Löschung 



Erfassung aller technischen und organisatorischen Maßnahmen



Verknüpfung der wesentlichen Informationen mit dem Datensatz, wie zum Beispiel 

Löschfristen oder Übermittlungssperren 

|  DSGVO - Datenschutzgrundverordnung

21

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Praxistipp Verarbeitungsverzeichnis



Woher kommen unsere Daten?



Was machen wir damit? 



Wo speichern wir die Daten?

Und wann löschen wir sie? 



|  DSGVO - Datenschutzgrundverordnung

22

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Struktur Verarbeitungsverzeichnis



Prozess

 kurze Beschreibung des Prozesses



Zweck der Verarbeitung der personenbezogenen Daten



Art der personenbezogenen Daten



Speicherort



Personenkategorie



Kategorien von Empfängern



Regelfristen für die Löschung der Daten



Technisch-organisatorische Maßnahmen zum Schutz der Daten in Hinblick auf:

Vertraulichkeit, Integrität, Verfügbarkeit



Besondere Verfahren und Maßnahmen



Notwendige Änderungen und Maßnahmen

|  DSGVO - Datenschutzgrundverordnung

23

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Prozessbeispiele

Recruiting-Prozess (intern/extern)



Einstellungsprozess

laufende Mitarbeit



Vertriebsprozess

Marken- und Marketingmanagement



Change Management

Incident- und Problemmanagement



Remotewartung, Vorortwartung und Service Desk as a Service

Project Management



Projektumsetzung

Rechenzentrumsbetrieb/Managed Services



|  DSGVO - Datenschutzgrundverordnung

24

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Umfang des Änderungsbedarfs

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des 

Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen 

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher 

Personen treffen der 

Verantwortliche und Auftragsverarbeiter





geeignete technische und organisatorische Maßnahmen,

um ein dem Risiko 



angemessenes Schutzniveau

zu gewährleisten.

|  DSGVO - Datenschutzgrundverordnung

25

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

SKS Group 



Ansprechpartner

|  DSGVO - Datenschutzgrundverordnung

26

Übersichtsinformationen EU-Datenschutzgrundverordnung



20.06.2018

Christian R. Kast 

Rechtsanwalt, Anwaltscontor

Telefon   + 49 (0)89 189 3537 10

E-Mail

Kast@anwaltscontor.de



Matthias von der Schulenburg

Director, Strategic Advisory

Telefon   + 49 (0)174 342 42 55

E-Mail


Matthias.Schulenburg@sks-group.eu

Dr. Volker Gehrmann 

Senior Manager, Strategic Advisory

Telefon   + 49 (0)162 286 20 66



E-Mail

Volker.Gehrmann@sks-group.eu



Document Outline

  • DSGVO  Datenschutzgrundverordnung Herausforderungen in der Praxis
  • Foliennummer 2
  • Wesentliche Änderungen aufgrund der DSGVO
  • Ziele der EU-Datenschutzgrundverordnung
  • Letzte Änderungen im April/Mai 2018
  • Letzte Änderungen im April/Mai 2018
  • Letzte Änderungen im April/Mai 2018
  • Übersicht Handlungsfelder und Handlungsbedarf
  • Die neun Grundprinzipien des DSGVO
  • Voraussetzung für Rechtmäßigkeit
  • Praktische Bedeutung der Grundprinzipien I
  • Praktische Bedeutung der Grundprinzipien II
  • Praktische Bedeutung der Grundprinzipien III
  • Organisationsverantwortung
  • Befugnisse der Aufsichtsbehörden
  • Geldstrafe
  • Beratungsansatz
  • Start-Workshop zur DSGVO Umsetzung
  • Next Steps - Umsetzungsprojekt
  • Beispielprojektstruktur einer DSGVO Umsetzung
  • Praxistipp Verarbeitungsverzeichnis
  • Praxistipp Verarbeitungsverzeichnis
  • Struktur Verarbeitungsverzeichnis
  • Prozessbeispiele
  • Umfang des Änderungsbedarfs
  • Ansprechpartner

Download 0.58 Mb.

Do'stlaringiz bilan baham:




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling