Die (ersten) Schritte zur Compliance. Rainer Sternecker
Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker
Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) • Die Verordnung ist ...
Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker
Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) • Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai 2018 wirksam.
• Die Reform stärkt Grundrechte der EU-Bürger im digitalen Raum mit Fokus auf personenbezogene Daten. • Die Verordnung fordert Techniken wie Anonymisierung (PD* entfernen), Pseudonymisierung (PD* ersetzen) und Verschlüsselung (PD* kodieren).
• Strafen: bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes • europa.eu/rapid/press-release_MEMO-15-6385_de.htm
*) personenbezogene Daten
Die DSGVO und wir: Vor- und Nachteile
Vorteile
Nachteile
für Bürger:
Datenschutz Recht auf Vergessen Datenzugriff Recht auf Auskunft
keine
für Unternehmen:
1 Regelung statt 28 1 Aufsicht statt 28 1 Recht für alle Datenzugriff
keine
Themenfelder mit Bauchweh und Handlungs-/Klärungsbedarf Informationspflicht
Informationen an die betroffene Person bezüglich der verarbeiteten Daten, des Verantwortlichen, des Zwecks sowie der entsprechenden Aufbewahrungspflichten.
Datenübertragbarkeit
Die betroffene Person hat das Recht, die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbarem Format zu erhalten.
Berichtigung
Personenbezogene Daten müssen korrekt sein und berichtigt werden (spätestens nach Aufforderung der betroffenen Person).
Löschen/Sperren
Die Möglichkeit, personenbezogene Daten nach Ablauf aller entsprechenden Aufbewahrungsfristen zu löschen.
Einschränkung der Verarbeitung
Die betroffene Person hat in bestimmten Fällen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
Automatisierte Entscheidung
Die betroffene Person hat bei der automatischen Entscheidung das Recht, das Eingreifen eines Menschen zu verlangen.
Welche Daten sind nochmal betroffen? Alle Daten. Wirklich „alle“ Daten? Ja, alle Daten.
DSGVO-relevant sind: ALLE Daten, und zwar wirklich alle.
Herzlich willkommen MAX MUSTERMANN (männlich, München) zum heutigen Event!
Weitere Herausforderungen Gegenüber Aufsichtsbehörden Haben wir einen Überblick über sämtliche Datenquellen?
Wie hoch ist das RisikoLevel pro Datenquelle?
Können wir nachweisen, wo personenbezogene Daten gespeichert sind?
Interne Herausforderungen Was sind personenbezogene Daten?
Wie erkennen wir personenbezogene Daten?
Kontrollieren wir Zugriffsrechte?
Können wir nachweisen, dass wir die notwendigen Prozesse etabliert haben?
Protokollieren wir Nutzeraktivitäten für jeden Datenbestand?
Haben wir Tools für die Dokumentation und die Protokollierung im Einsatz?
Inwiefern erschweren Duplizierung und schlechte Datenqualität das „Löschen und Vergessen”?
EU-Datenschutz-Grundverordnung (DSGVO) Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann. Indirekt = Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
Personal Data Protection Merkmale •
Bank Account
•
o Bank Identifier Code (BIC) o IBAN
•
•
American Express VISA MasterCard Dinners Club Discover JCB