![Page 1: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/1.jpg)
Building Competence. Crossing Borders.
GDPR-Datenschutz-Compliance:
von der Pflicht zur Kür
Dr. Nico Ebert, [email protected], Institut für Wirtschaftsinformatik, 16.11.2017
![Page 2: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/2.jpg)
2
Datenschutz – ein Kompetenzbereich innerhalb des ZHAW
Datalab
![Page 3: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/3.jpg)
4
Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung (Dauer)
Integrität und Vertraulichkeit
Rechenschaftspflicht bei Verarbeitung personenbezogener
Daten (Art. 5)
![Page 4: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/4.jpg)
5
Werkzeuge zur Gewährleistung der Rechenschaftspflicht
Verzeichnis der
Verarbeitungstätigkeiten (Art. 30)
Technische und organisatorische Massnahmen
(Art. 32)
Datenschutz-
Folgen-
abschätzung
(Art. 35)Rechte des
Betroffenen
(Art. 13-22)
Einwilligung,
Vertrag
(Art. 6)
Rechenschaftspflicht bei der Verarbeitung (Art. 5)
![Page 5: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/5.jpg)
6
Verzeichnis der Verarbeitungstätigkeiten: Muster
https://www.gdd.de/aktuelles/startseite/
verzeichnis-von-verarbeitungstaetigkeiten-1
https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
![Page 6: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/6.jpg)
7
Verzeichnis der Verarbeitungstätigkeiten: Buchtipp
![Page 7: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/7.jpg)
8
Verzeichnis der Verarbeitungstätigkeiten: Tools
https://iapp.org/resources/article/
2017-privacy-tech-vendor-report/
![Page 8: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/8.jpg)
9
Wer muss es führen?
Firmen mit min. 250 Mitarbeiter oder unabhängig davon, wenn z.B. stetige
Datenverarbeitung erfolgt
Was ist ein Verfahren?
Paket von Verarbeitungen, die einen ähnlichen Zweck verfolgen und Daten mit
vergleichbarem Schutzbedarf verarbeiten (Z.B. Kontoführung Privatkunden vs.
Kontoführung Geschäftskunden)
Kein IT-System/keine IT-Anwendung, sondern ein Prozess
Wer sind die Nutzer des Verzeichnisses?
Leitungsebene (Nachweis der Compliance)
DSB (Grundlage für die Prüfung der Rechtmässigkeit der Compliance)
Aufsichtsbehörde (wie DSB)
Betroffener z.B. Kunden, Mitarbeiter, Räte (Wahrnehmung der Betroffenenrechte)
Allgemeines zum Verzeichnis der Verarbeitungstätigkeiten
Quelle: Schäffter (2016) Verfahrensverzeichnis 2.0
![Page 9: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/9.jpg)
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
Verweis auf TOM
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet nicht statt
10 Jahre
Massnahmen zum Schutz von Kundendaten
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
Verweis auf TOM
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet nicht statt
10 Jahre
Massnahmen zum Schutz von Kundendaten
10
Struktur des Verzeichnisses von
Verarbeitungstätigkeiten (Art. 30)
Verarbeitungstätigkeit: E-Mail-Marketing
Verantwortlicher
Verarbeitungszweck(e)
Personenkategorie
Datenkategorie
Empfänger
Datenübermittlung
Techn/Op.
Massnahmen*
Head of eMarketing
Marketingkampagne für Bestandskunden
Kunden
Löschfristen*
Kundenstammdaten (E-Mail), keine besonderen Daten
Intern (Head of Marketing)
Datenübermittlung an Dritte findet statt ( Verträge)
10 Jahre
Massnahmen zum Schutz von Kundendaten
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/ * Wortlaut Art. 30: «Wenn möglich»
![Page 10: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/10.jpg)
11
Struktur der Dokumentation technischer und organisatorischer
Massnahmen (Art. 32)
Pseudonymisierung
Verschlüsselung
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
Vertraulichkeit
Integrität (Unversehrtheit)
Verfügbarkeit
Belastbarkeit der Systeme
Verfahren zur Wiederherstellung
Verfahren zur Evaluierung der Massnahmen
z.B. ID statt Klarname
z.B. Berechtigungskonzept
z.B. Public-/Private-Key-Verfahren
z.B. Berechtigungskonzept
z.B. redundante Systeme
z.B. skalierbare Systeme
z.B. Business Continuity Management
(ITIL)
z.B. KVP-Zyklus
![Page 11: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/11.jpg)
12
Struktur der Dokumentation technischer und organisatorischer
Massnahmen (Art. 32)
Quelle: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/
Interne Verhaltensregeln
Risikoanalyse
Allg. Datensicherheitsbeschreibungen
Datensicherheitskonzept
Wiederanlaufkonzept
Zertifikat Sobald verfügbar (GoodPrivacy, etc.)
z.B. via ISO 27001 / ITIL
![Page 12: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/12.jpg)
13
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten
1. Personen
(z.B. Kunden, Mitarbeiter, Lieferanten, …)
2. Prozesse
(Verkauf, Produktion, Einkauf, Marketing, …)
3. Programme
(CRM, ERP, E-Mail…)
4. Daten
![Page 13: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/13.jpg)
14
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten: Prozesse
Quelle: ZHAW
![Page 14: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/14.jpg)
15
Ansatzpunkte für die Identifikation von
Verarbeitungstätigkeiten: Datenlebenszyklus
Verkauf
Gewinnung
Verwaltung
Synthese
Nutzung
Publikation
Archivierung
Löschung
Produktion Einkauf Service HR
Verfahren
Verfahren
VerfahrenVerfahren
VerfahrenVerfahrenVerfahren
Verfahren
![Page 15: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/15.jpg)
16
Erkenntnisse zum Verzeichnis aus der Praxis
(Deutschland, 2015)
Quelle: Datenschutzpraxis in Unternehmen 2015, https://www.2b-advice.com/GmbH-de/Studie-Datenschutzpraxis-2015
![Page 16: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/16.jpg)
17
Forschungsbedarf: Privacy by Design
16.11.2017
People
Processes
Systems
Data
Pro
ac
tive
& P
reve
nta
tive
Pri
va
cy b
yD
efa
ult
Pri
va
cy E
mb
ed
de
d i
nto
De
sig
n
Po
sit
ive
-Su
m, n
ot
Ze
ro-S
um
En
d-t
o-E
nd
Se
cu
rity
–L
ife
cyc
le P
rote
cti
on
Vis
ibilit
y&
Tra
ns
pa
ren
cy
Us
er-
ce
ntr
itc
ity
Q: in Anl. an Cavoukian (2009) Privacy by Design - The 7 Foundational Principles
![Page 17: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/17.jpg)
18
Forschungsbedarf: Best Practices und digitale Unterstützung
für das Datenschutzmanagement
Digital privacy inventory
Privacy impact
assessment
Technical and
operational measures
Data breach
management
Data subject rights
(e.g. correct, delete …)
Privacy terms, consent
& contractsPrivacy by design and
default
Digital Privacy Management
![Page 18: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/18.jpg)
19
BACKUP
![Page 19: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/19.jpg)
20
Rechenschaftspflicht (Art. 5)
![Page 20: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/20.jpg)
21
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 1
![Page 21: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/21.jpg)
22
Verzeichnis von Verarbeitungstätigkeiten (Art. 30) – Teil 2
![Page 22: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/22.jpg)
23
Rechte der betroffenen Personen (Beispiel Auszug Art. 15)
![Page 23: GDPR-Datenschutz-Compliance: von der Pflicht zur Kür...Kundenstammdaten (E-Mail), keine besonderen Daten Intern (Head of Marketing) Datenübermittlung an Dritte findet nicht statt](https://reader035.vdokument.com/reader035/viewer/2022081407/5f29d62d5b89c1406f085be5/html5/thumbnails/23.jpg)
24
Datenschutz-Folgenabschätzung (Art. 35 Auszug)