© ztp.at 2018

InspektionenV1.0

DSGVO – Schutz personenbezogener Daten

© ztp.at 2018

Überblick

§ Allgemeines

2 Seite 2

© ztp.at 2018

Allgemeines

3

© ztp.at 2018 4

© ztp.at 2018

ZT Wolfgang Prentner

5

© ztp.at 2018

Rechtsgrundlage der ZTP.at

§ Ziviltechnikergesellschaft für Informatik

§ staatlich befugt und beeidet

§ ZT Gesetz § 4 Abs. 3: ... Ziviltechniker sind mit öffentlichem Glauben

versehene Personen gemäß § 292 der Zivilprozeßordnung, RGBl. Nr.

113/1895, in der jeweils geltenden Fassung.

§ ZPO (Zivilprozeßordnung) §292: .... Die von ihnen im Rahmen ihrer

Befugnis ausgestellten öffentlichen Urkunden werden von den

Verwaltungsbehörden in derselben Weise angesehen, als wenn diese

Urkunden von Behörden ausgefertigt wären.

6

© ztp.at 2018

Webinar-Reihe 1-4: im Herbst 2017§ Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN

§ Anwendungsbereiche, wichtige Begriffsbestimmungen, Grundsätze und Rechtmäßigkeit der Verarbeitung, Einwilligungserklärung und Betroffenenrechte

§ Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag RA Dr. J. Juranek/CMS§ Informationspflichten, Datenklassifikation, Aufbewahrung von Daten, Datenschutz-Folgenabschätzung, Datenschutzkonzept

und -management, Datensicherheitsmaßnahmen, Datensparsamkeit

§ Teil 3: 14. Di. Nov. 2017, 14-15h DSGVO mit Beitrag: DI Oliver Pönisch/EY§ Pflichten des Verantwortlichen, Pflichten der Auftragsverarbeiter, Dokumentationspflicht – Verzeichnis von

Verarbeitungstätigkeiten, Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung, Meldung von Datenschutz-Verletzungen (data breach notification)

§ Teil 4: 28. Di. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: Mag. Ines Freitag, CMS§ Gemeinsame Datenverarbeitung, Datenschutzmanagementsystem, Dokumentation und Nachweise (Richtlinien, Prüfpflicht,

Verhaltensregeln und Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen sowie Checklisten)

7

© ztp.at 2018

Aus der Vergangenheit

© ztp.at 2018 9

Umfrage vom 17.10.2017

© ztp.at 2018 10

Umfrage vom 31.10.2017

© ztp.at 2018 11

Umfrage – aus der Vergangenheit

© ztp.at 2018 12

© ztp.at 2018

© ztp.at 2018

Haben Sie bereits mit der Umsetzung der Anforderungen aus zur DSGVO begonnen?

1. Nein2. Gerade gestartet3. Teilweise umgesetzt4. Überwiegend umgesetzt

14

© ztp.at 2018 15

© ztp.at 2018 16

Zielsetzung von Inspektionen und Zertifizierung

GesetzeskonformWirtschaftlichkeit

Vermeidung von Sanktionen und GeldbusenKundenorientiertheit

© ztp.at 2018

DSGVOGLIEDERUNG

1. Sachlicher und räumlicher Anwendungsbereich2. Wichtige Begriffsbestimmungen3. Grundsätze und Rechtmäßigkeit der Verarbeitung 4. Einwilligungserklärung 5. Betroffenenrechte 6. Informationspflichten 7. Auskunftspflicht des Verantwortlichen und des Auftragsverarbeiters8. Pflicht zur Berichtigung, Löschung („Recht auf Vergessenwerden“) und zur Einschränkung der Verarbeitung9. Datenschutzrechtliche Pflicht zur Datenübertragung10. Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches11. Pflichten des Verantwortlichen 12. Pflichten der Auftragsverarbeiter 13. Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten 14. Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung 15. Meldung von Datenschutz-Verletzungen (data breach notification) 16. Risiko-Folgeabschätzung und vorherige Konsultation 17. Der Datenschutzbeauftragte 18. Internationaler Datenverkehr 19. Rechtsdurchsetzung und Strafen

Quelle: EU-Datenschutz-Grundverordung Hg: Rosenmayr-Klemenz, WKO April 2017

© ztp.at 2018

Datenschutz-Grundverordnung Architektur

18

DSGVO99 Artikel

6 (4+2) Bereiche

12 Arbeitspakete

250 Kontrollpunkte

© ztp.at 2018 19

Projekt-Organisation

Datenschutz-Organisation

Recht

Prozesse

Dokumentation

Technik

Kontrollbereiche (4 + 2)

1

2

53

4

6

© ztp.at 2018

1. Projekt-Organisation (10 Kontrollpunkte)

1. Projektauftrag vorhanden und unterfertigt?2. Projektleiter und Mitarbeiter bestimmt?3. Projekt-Organigramm vorhanden?4. Projektplan vorhanden?5. Projekt-Controlling vorhanden?

20

© ztp.at 2018

2. Datenschutz-Organisation (10 Kontrollpunkte)

1. Datenschutzbeauftragter definiert ?

2. Datenschutz-Organigramm vorhanden ?

3. Kontroll-Gremium vorhanden ?

4. Informationsfluss im Krisenfall definiert ?

5. Geschäftsführung – und Bereichsleitung involviert ?

21

© ztp.at 2018

3. Recht* (10 Kontrollpunkte)

1. Informationsverpflichtungen (12) auf Homepage, Verträge, Vereinbarungen erfüllt?

2. Einwilligung(en) notwendig?

3. Grundsätze (5) der Verarbeitung von personenbezogenen Daten berücksichtigt ?

4. Betroffenenrechte (6) berücksichtigt?

5. Datenschutz-Folgeabschätzung durchgeführt (verpflichtend?)?

22

* inhaltlich durch Juristen geprüft

© ztp.at 2018

4. Prozesse: 20 (Teil-)Prozesse plus Gut-, Schlechtfall

1. Prozess: Informationsverpflichtungen (Mitarbeiter, Kunden, Dientleister, DSB und Homepage)2. Prozess: Wahrung der Grundsätze der Datenverarbeitung (Anzahl 5)* 3. Prozess: Wahrung der Betroffenenrechte (Anzahl 6+6)

1. Prozess: Auskunft (2) (Gut-, Schlechtfall)2. Prozess: Widerspruch (2) (Gut-, Schlechtfall)3. Prozess: Einschränkung (2) (Gut-, Schlechtfall)4. Prozess: Berichtigung (2) (Gut-, Schlechtfall)5. Prozess: Übertragbarkeit (2) (Gut-, Schlechtfall)6. Prozess: Löschung (2) (Gut-, Schlechtfall)

4. Prozess: Data-Breach Prozess5. Prozess: Software-Entwicklung

1. Prozess: Lastenheft: Definition und Prüfung vor Projektbeauftragung zur DSGVO2. Prozess: Software-Testing, Testdaten in (1) Entwicklung, (2) Vorproduktion und (3) Betrieb

6. Prozess: Stetige Verbesserung zur DSGVO (Continuous Improvement, PDCA)

23* Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, Speicher(dauer)begrenzung

© ztp.at 2018

5. Dokumentation (60 Kontrollpunkte)

1. Datenschutzhandbuch vorhanden?2. Datenschutzbeauftragter – Rechte und Pflichten dokumentiert?3. Verzeichnis der Verarbeitungstätigkeiten vollständig (VVT)?4. Prozesse ausreichend bewertet und dokumentiert?5. IKS durch Wirtschaftsprüfer/STB. bestätigt?6. Vorhandene Zertifizierungen (ISO 27001, IS0 20000, Cobit, SAE, ..)

24

© ztp.at 2018

6. Technik (60 Kontrollpunkte)

1. Inventarisierung der IT-Systeme und Daten(banken) vorhanden?2. Netzwerk-Architekturplan vorhanden?3. TOM‘s umgesetzt?4. Datenschutz durch Technik umgesetzt? 5. Datenschutz durch Datenschutz-freundliche Voreinstellung umgesetzt?

25

© ztp.at 2018

Bereiche der DSGVO

26

© ztp.at 2018

Inspektions-, QS und Zertifzierungsteam

27

10 Personen im Kern

© ztp.at 2018 28

Ideale DSGVO-Architektur

© ztp.at 2018

Zeit- und Ablaufplan

Gap-/IST-Analyse

• Scope• IST-SOLL Vergleich• Prozess, Organisation,

Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM

Bewertung• Vorhandene Unterlagen

und Zertifizierungen• Datensicherheits-

management

Begleitende Inspektionen

• TOMs• Privacy by Default &

Design• Infrastrukturplan• Inspektions-Meetings

(14-tägig)• Protokolle• Empfehlungen• Maßnahmen

Ziviltechniker-gutachten

• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und

beeidet

Zertifizierung (2018-2020)

• Externe und interne Überwachung des DSMS

• TOMs extern, intern• PDCA-Zyklus

29

bis 15.5.2018

ab 25.5.201814-tägig

© ztp.at 2018

Zeit- und Ablaufplan

Gap-/IST-Analyse

• Scope• IST-SOLL Vergleich• Prozess, Organisation,

Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM

Bewertung• Vorhandene Unterlagen

und Zertifizierungen• Datensicherheits-

management

Begleitende Inspektionen

• TOMs• Privacy by Default &

Design• Infrastrukturplan• Inspektions-Meetings

(14-tägig)• Protokolle• Empfehlungen• Maßnahmen

Ziviltechniker-gutachten

• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und

beeidet

Zertifizierung (2018-2020)

• Externe und interne Überwachung des DSMS

• TOMs extern, intern• PDCA-Zyklus

30

bis 15.5.2018

ab 25.5.201814-tägig

© ztp.at 2018

Zeit- und Ablaufplan

Gap-/IST-Analyse

• Scope• IST-SOLL Vergleich• Prozess, Organisation,

Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM

Bewertung• Vorhandene Unterlagen

und Zertifizierungen• Datensicherheits-

management

Begleitende Inspektionen

• TOMs• Privacy by Default &

Design• Infrastrukturplan• Inspektions-Meetings

(14-tägig)• Protokolle• Empfehlungen• Maßnahmen

Ziviltechniker-gutachten

• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und

beeidet

Zertifizierung (2018-2020)

• Externe und interne Überwachung des DSMS

• TOMs extern, intern• PDCA-Zyklus

31

bis 15.5.2018

ab 25.5.201814-tägig

© ztp.at 2018

Zeit- und Ablaufplan

Gap-/IST-Analyse

• Scope• IST-SOLL Vergleich• Prozess, Organisation,

Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM

Bewertung• Vorhandene Unterlagen

und Zertifizierungen• Datensicherheits-

management

Begleitende Inspektionen

• TOMs• Privacy by Default &

Design• Infrastrukturplan• Inspektions-Meetings

(14-tägig)• Protokolle• Empfehlungen• Maßnahmen

Ziviltechniker-gutachten

• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und

beeidet

Zertifizierung (2018-2020)

• Externe und interne Überwachung des DSMS

• TOMs extern, intern• PDCA-Zyklus

32

bis 15.5.2018

ab 25.5.201814-tägig

© ztp.at 2018

Projektstrukturplan (Gantt-Diagramm)

33

© ztp.at 2018 34

© ztp.at 2018

12 Arbeitspakete

1. VVT & Risikoeinschätzung2. Technische & Organisatorische Maßnahmen3. Datenschutzfolgenabschätzung (DSFA)4. Gesteuerte Archivierung & Löschung5. Prozesse zur Wahrung der Betroffenenrechte6. Data Breach Notification Plan7. Geregelter (internationaler) Datentransfer8. Privacy by Design & Privacy by Default (SW-Entwicklung, Standard-SW und Homepage)9. Arbeitnehmerinformation/Awarenessbildung10. Definierte Rollen & Verantwortlichkeiten (Governance Modell)11. Aktualisierte Verträge & Betriebsvereinbarungen12. Testing-/Inspektions-Plan

35

© ztp.at 2018

© ztp.at 2018

Computer NutzungMobile & Desktop

37

Firma Privat

Firma PrivatRisk

© ztp.at 2018

Ansätze & Fragen1. Risikobasierender Ansatz (Schalenmodell, von Außen, nach Innen und von Innen nach Außen)2. Anwendungsbereich (Scoping ) (National, EU, World, Abteilung, App)3. Interner Projektauftrag (Auftrag, Budget, Zeit, Ressourcen)4. Systematik: minimal unstrukturiert, standardmäßig Excel- oder Web-Forms oder Maximal(- Ansatz5. Schutzbedarf (Kategorien, besondere Kategorien): normal, hoch, sehr hoch 6. Reifegradmodell: nicht erfüllt (<50%) , teilweise erfüllt (50-70%), überwiegend erfüllt (71-89%) erfüllt (90-100%)7. Inventarisierung - Systemblatt (Self-Assessement mit Mengengerüst – keinen deinen Freund/Kunden)8. Mengengerüst: MA, Standorte, Abteilungen, Anwendungen, APC, Server, Cloud, RZ, Admins, DEV, OP, Dienstleister, Netplan,

Controlcenter/RZ, Mobile, Apps, Technologien, Remote-Support, Systemblätter, Verträge9. Vorleistungen: Prüfberichte und Zertifikate des Kunden (techn.,org, IKS, ITIL, Cobit, ISO 27k)10. Vorgehensweise zu ROPT (Reihenfolge und Priorität)11. Organigramm des Unternehmens12. Projektorganisation ((Team/Projekt-Office/Partner/Supporter)13. Datenschutzorganisation14. PDCA-Zyklen

© ztp.at 2018

Beschwerde-/Anfragemanagement

1. Beschwerde-/Anfragemanagement mit ID

§ Hotline

§ E-Mails

§ Webformular

§ Identitätsmanagement (Ausweis, E-ID, E-Signatur)

§ Protokollierung

§ Häufigkeiten von Anfragen/Anzeigen?

© ztp.at 2018

Heise.de: Max Schrems . @noyb on Twitter

§ Web-Marketing/Server: Analyse des Profiling und Tracking Tools (Top10)§ Mobile Apps und Mobile Device Management

§ Zustimmungen, AGB und Sandboxes§ Firma oder Privat: Zustimmung und Zugriff: (1) Apple/Samsung AGB, Nutzungs-

/Marketing-/Datenschutz-/Analysedaten. (2) Google, (3) Galerie (Fotos, Personen, Kontakte, Gesichter).

§ Kids und Kindergarten§ Betriebsküche§ Zeiterfassung: Biometrie§ Außenhaut (Zwiebel-/Schalenmodell)

40

© ztp.at 2018

Grundsätze/Prinzipien der Verarbeitung von personenbezogenen DatenZu den allgemeinen Prinzipien der Verarbeitung personenbezogener Daten zählen nach Art. 5 Abs. 1 DSGVO:1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeitung auf

rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise.

2. Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, wobei eine Weiterverarbeitung diesen Zwecken nicht zuwider laufen darf.

3. Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß.

4. Richtigkeit: Sachlich richtige und ggf. aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten.

5. Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist.

6. Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung.

© ztp.at 2018

Pflichten des Verantwortlichen I

Eine Vielzahl von Vorschriften konkretisiert diese allgemeinen Grundsätze. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das v.a. folgende Punkte:1. „Data Privacy by Design“ und „Data Privacy by Default“, Art. 25 DSGVO: Der Verantwortliche muss

geeignete Maßnahmen zur wirksamen Umsetzung der datenschutzrechtlichen Grundsätze ergreifen (etwa zur Datenminimierung). Dabei muss er durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet.

2. Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO: Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen. Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren umsetzen.

3. Rechtmäßigkeit, Art. 6 DSGVO: Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten. Dazu zählen v.a. die Voraussetzung einer Einwilligung, Art. 7, 8 DSGVO, Einschränkungen für besondere Datenkategorien und Inhalte, Art. 9, 9a DSGVO, und die Verarbeitung ohne Bestimmung des Betroffenen, Art. 10 DSGVO.

4. Übermittlung in Drittländer, Art. 44 DSGVO: Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.

© ztp.at 2018

Pflichten des Verantwortlichen II

Zugleich fordert die DSGVO vom Verantwortlichen geeignete Maßnahmen zur datenschutzrechtlichen Information und Kommunikation, insbesondere für den „Fall des Falles“:1. Transparenz, Art. 12 DSGVO: Der Verantwortliche muss Betroffene in

präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Name und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung

2. Verletzung, Art. 33, 34 DSGVO: Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden. Gegebenenfalls muss er die Betroffenen benachrichtigen.

© ztp.at 2018

Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten „Verantwortliche„Der Verantwortliche hat ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, zu führen (<250, >250 MA).Dieses Verzeichnis hat Folgendes zu enthalten:• Namen und Kontaktdaten des/der Verantwortlichen, Vertreters sowie etwaigen Datenschutzbeauftragten• Zweck der Datenverarbeitung,• Beschreibung der Kategorien a.) betroffener Personen und b.) der Kategorien personenbezogener Daten

(z.B. Kunden- und Lieferantendaten; Rechnungs-, Adressdaten, Online-DB)• Kategorien von Empfängern a.) offengelegt worden sind oder b.) noch offengelegt werden (z.B. Finanzamt,

Sozialversicherung, Rechtsanwalt, Notare, Steuerberater), einschließlich c.) Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA), ....uU ist auch die Dokumentierung geeigneter Garantien.

• vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit),• allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach

Möglichkeit).

44

© ztp.at 2018

Technisch-organisatorische Maßnahmen nachweisenIm Rahmen der eigentlichen Verarbeitung personenbezogener Daten muss der Verantwortliche geeignete technisch-organisatorische Maßnahmen v.a. in folgenden Bereichen vorsehen, umsetzen und nachweisen können:

1. Verantwortung, Art. 24 DSGVO: Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten zu ergreifen. Die Maßnahmen muss er nachweisen und aktuell halten.

2. Auftragsverarbeitung, Art. 28 DSGVO: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen. Darüber muss ein Vertrag existieren.

3. Datensicherheit, Art. 32 DSGVO: Der Verantwortliche muss risikobasiert durch geeignete Maßnahmen die klassischen IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Datenverarbeitung sicherstellen.

© ztp.at 2018

Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung • Datensicherheit

• die Pseudonymisierung und Verschlüsselung z.B. Passwortsicherungen von Dateien• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. • Verfügbarkeit und Zugang bei physischen oder technischen Zwischenfällen rasch

wiederherzustellen (z.B. Backup-Programme); • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der

technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (wie zB. Selbstevaluierungsprozesse)

• Beurteilung des angemessenen Schutzniveaus• Datenschutz durch Technik• Datenschutzfreundliche Voreinstellungen• Geldstrafen

• bis zu 10 Mio Euro oder 2% des letztjährigen weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres

46

© ztp.at 2018

Datenschutzrichtlinie

§ Regelungen zum Datenschutzmanagement in der DSGVO§ Datenschutzrichtlinie

§ Datenschutzorganisation und Verantwortlichkeiten§ Einbindung des Datenschutzbeauftragten§ Verzeichnis von Verarbeitungstätigkeiten§ Datenschutz-Folgenabschätzung§ Vertragsmanagement§ Verpflichtung auf das Datengeheimnis§ Datenschutz-Schulung§ Prozess für die Wahrnehmung von Betroffenenrechten§ Prozess für die Meldung von Datenschutzverstößen

§ Nachweis der Datensicherheit§ Bußgelderhttps://www.datenschutzbeauftragter-info.de/datenschutzmanagement-nach-der-dsgvo-leitfaden-fuer-die-praxis/#Datenschutzorganisation

© ztp.at 2018

Fazit zum Datenschutz-Management-System

Ohne Datenschutz-Management-System geht es nicht• Der Verantwortliche muss im Ergebnis einen „bunten Blumenstrauß“

an Maßnahmen (risikobasiert) • definieren, • umsetzen, • dokumentieren und • kontrollieren.

Angesichts der Fülle von Anforderungen einerseits und der Rechenschafts- und Nachweispflicht aus der DSGVO andererseits wird er dabei um ein geordnetes System nicht herumkommen.

© ztp.at 2018

Einbindung des Datenschutzbeauftragten

Als solche „meldepflichtige“ Fälle als Beispiel gelten insbesondere (aber nicht

ausschließlich):

§ Beschwerden von Betroffenen (Mitarbeitern, Kunden)

§ Einführung eines neuen Systems/Tools

§ Einsatz eines neuen Dienstleisters

§ Werbemaßnahmen (z.B. Versand von Newsletter)

§ Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)

§ Verkauf von Teilen des Unternehmens

§ Datenschutz-Überwachung

© ztp.at 2018

Ausnahmen -Disclaimer

§ Kriminelle Handlungen§ Vorsatz§ Fehlhandlungen§ Technologien Schwächen wie:

§ Zero Days, Heart Bleed, Meltdown & Spectre

50

© ztp.at 2018

Datenschutzmanagement-Organisation

© ztp.at 2018

Datenschutzmanagement-Organisation(Klein)

Quelle: bsi.de

© ztp.at 2018

Datenschutzmanagement-Organisation(Mittel)

Quelle: bsi.de

© ztp.at 2018

Datenschutzmanagement-Organisation(Groß)

Quelle: bsi.de

© ztp.at 2018

© ztp.at 2018 56

© ztp.at 2018

Umfrage 2

Wie viele Tracker verwenden sie auf Ihrer Homepage?

1. keine Ahnung2. 1 – 23. 3 – 54. 6 – 105. über 10

57

© ztp.at 2018 58

Besten Dank fürIhre Aufmerksamkeit!

Haben Sie noch Fragen?

© ztp.at 2018

Bedrohungen & Sanktionen 1

Bedrohungen

Sanktionen

Geldbusen

Schadenersatz-forderungen

AT, EU,WorldVerkauf/

Weitergabe

illegal

Mitarbeiter

intern

Mitarbeiter

extern

Mitarbeiter

ehemalig

Kunden

Dienstleister

Auskunft

nicht zeitgerecht

DSGVO

nicht erfüllt VVZ, PIA,

TOM

Diebstahl

intern

Diebstahl

extern

Meldungen

Anzeigen

© ztp.at 2018

Bedrohungen & Sanktionen 2

BedrohungenSanktionenGeldbusen

Schadenersatz-forderungen

Stand der Technik

Mail, http(s), 2-Faktor, USP, VPN, Apps

Maßnahmen

Cloud

Mechanismen falsch, nicht ausreichend

Fehlbe-dienungen

(besondere)Kategorien

Trojaner-Angreifer

MobileApps

FB, WA, Insta

Zero Day

© ztp.at 2018

Datenschutz-Management DSGVOStart

© ztp.at 2018

© ztp.at 2018

Datenschutzrichtlinie(Spielregeln festlegen!)

© ztp.at 2018

Datenschutzbeauftragter

© ztp.at 2018

Datenschutz-Prozess

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018

© ztp.at 2018 94

Besten Dank fürIhre Aufmerksamkeit!

Haben Sie noch Fragen?

© ztp.at 2018

Begriffe und Anpassungen

95Quelle: Bundeskanzleramt/Verfassungsdienst

© ztp.at 2018

ZT Wolfgang Prentner

96

© ztp.at 2018

Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten „Auftragsverarbeiter„

• Name und Kontaktdaten des Auftragverarbeiters sowie jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls Vertreters und etwaiger Datenschutzbeauftragter,• Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen

durchgeführt werden,• Übermittlungen (gegebenenfalls) von personenbezogenen Daten an ein

Drittland oder internationalen Organisation, ... uU ist auch die Dokumentierung geeigneter Garantien erforderlich.• allgemeine Beschreibung der technischen und organisatorischen

Datensicherheitsmaßnahmen.

97

© ztp.at 2018

Erforderliche interne Maßnahmen

Schließlich fordert die DSGVO vom Verantwortlichen die Umsetzung einer Reihe interner Maßnahmen. Die wichtigsten:• Verzeichnis, Art. 30 DSGVO: Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen • Dokumentation,

26, 28, 31, 44 DSGVO: Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner Dokumentationspflicht nachkommen, z.B. bei Weisungen, Verletzungen oder Garantien im Rahmen der Drittlandübermittlung.

• Datenschutzbeauftragter, Art. 37–39 DSGVO: Der Verantwortliche hat unter bestimmten Vor-aussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.

• Recht auf Vergessenwerden, Art. 17 DSGVO: Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur ausnahmsweise nicht „unverzüglich“ gelöscht werden. Er muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte darüber informiert.

• Recht auf Interoperabilität, Art. 20 DSGVO: Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in einem gängigen, maschinenlesbaren Format ausgeben kann.

© ztp.at 2018

Ausblick: Der PDCA-Zyklus

Der PDCA-Zyklus• Die Marschrichtung für ein solches System gibt die DSGVO selbst vor. • Denn sie greift etablierte Prinzipien aus Management-Systemen

anderer Disziplinen wie etwa der Informationssicherheit oder des Risikomanagements auf. Das zeigt besonders deutlich Art. 24 DSGVO. • Danach muss der Verantwortliche unter Berücksichtigung des

Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. • Nichts anderes besagt im Kern der P(lan)-D(o)-C(heck)-A(ct)-Zyklus als

Prinzip eines jeden Management-Systems.

© ztp.at 2018

© ztp.at 2018

Kalkulation

101

Kalkulation (Standard Projektrahmen)Abrechnung auf Basis der Leistung

bis 25.5. 2018(6 Monate)

ab 25.5. 2018(12 Monate)

2019(12 Monate)

2020(12 Monate)

Erst-Inspektion (IST-SOLL Assessment, GAP-Analyse) 5 - 15 PT 0 0 0

Organisatorische Überwachung intern 18 - 30 PT 10 - 20 PT 10 - 20 PT 10 - 20 PT

Technische Überwachung intern 6 - 12 PT 8 - 16 PT 8 - 16 PT 8 - 16 PT

Technische Überwachung extern 5 - 20 PT 12 – 36 PT 12 - 36 PT 12 - 36 PT

Begutachtung inkl. Zertifizierung 6 - 12 PT 6 - 10 PT 6 - 10 PT 6 - 10 PT

Lizenzkosten (Richtwert €4k/a) offen offen offen offen

Datenschutzexperte/Recht RA (optional) 10 PT bzw. 80hPersonaltage je 8h 40 - 89 PT 36 - 82 PT 36 - 82 PT 36 – 82 PTHaftpflicht 1.5 Mio. Euro je Schadensfall

© ztp.at 2018 102

Systemblatt

+ Inventarisierung+ Abteilungen+ Ports – Services+ Device Management

© ztp.at 2018 Quelle: bsi.de

© ztp.at 2018 104

© ztp.at 2018 105