Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.


Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

Datenschutzbeauftragen bestellen („Désigner un pilote“)        
Datenstruktur erheben („Cartographer“)          
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
      
Organisieren („Organiser“)       

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

 

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

 

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

 

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

 

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

 

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

 

Zum nächsten Schritt können Organisationen übergehen, wenn

 

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten
sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben
sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

 

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

 

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind


Schritt 4: Risiko managen („Gerer le risques“)

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

 

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

 

Schritt 5: Organisieren („Organiser“)

 

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

Im Einzelnen erfordert dies:

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.

  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)

  • Richtlinien zur Behandlung von Datenschutzanfragen

  • Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Schritt 6: Dokumentieren („Documenter“)

 

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

  1. Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
  2. Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  3. Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  4. Datenschutzerklärungen
  5. Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
  6. Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
  7. Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
  8. Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

mangelhafte Authentifizierungsroutine führt zu einer DSGVO-Strafe von EUR 9.550.000,--

 



In einer Pressemitteilung vom 9.12.2019 hat der Bundesbeauftragte für den Datenschutz informiert, dass gegen 1&1 Telekom GmbH eine DSGVO-Geldbuße in Höhe von EUR 9.550.000,-- verhängt wurde.

 

mehr lesen 0 Kommentare

kein Recht auf „partielle“ Löschung von Daten aus Kundenbindungsprogramm

 

 

Bitte löschen Sie:

· Spalte Einkaufsdatum: die Uhrzeit
· Spalte Filale: die Filiale (Bundesland genügt, daher zB statt 3023 3XXX).
· Spalte Artikelbezeichnung: Artikelbezeichnung

 

 

 

 

Was ist zu tun, wenn ein Kunde die teilweise Löschung seiner Daten aus einem Kundenbindungsprogramm verlangt?

mehr lesen 0 Kommentare

CNIL: EUR 500T DSGVO-Strafe

Frankreich: DSGVO-Strafe in Höhe von EUR 500.000 verhängt.

Unangemessene Einträge in der CRM-Datenbank sind zu löschen und zu verhindern!

 

mehr lesen 0 Kommentare

Hackerangriff - EUR 645.000 an DSGVO-Strafe

mehr lesen 0 Kommentare

DSGVO-Strafe in den Niederlanden … bis zu EUR 900.000,-- für fehlende Mehr-Faktor-Authentifizierung

 

 

 

 

Mehr-Faktor-Authentifzierung beim Internetzugriff auf Gesundheitsdaten ist vorzusehen, sonst droht eine DSGVO-Strafe von bis zu EUR 900.000,--

 

 

 

 

 

 

Die niederländische Datenschutzbehörde (AP) verhängte eine DSGVO-Strafe, und zwar EUR 150T pro Monat mit einem Höchstbetrag von EUR 900T (dh für 6 Monate).

 


Es hat die staatliche  "Agentur für Arbeitnehmerversicherung" (Uitvoeringsinstituut Werknemersverzekeringen (UWV)) getroffen, die Arbeitslosen- und Invaliditätsleistungen anbietet, und Arbeitssuchende vermittelt. Das ist mE mit dem Arbeitsmarktservice (in Ö) oder der Agentur für Arbeit (D) vergleichbar.

 

Die Strafe wurde mE "bedingt" verhängt, dh der Verantwortliche muss diese Strafe bezahlen, wenn er sein Portal nicht dem Sicherheitsniveau anpasst, dass die Aufsichtsbehörde als angemessen ansieht.

 

 

 

Die UWV bekam die Möglichkeit, das Sicherheitsniveau bis 31.10.2019 anzupassen, wobei diese Frist nun bis März 2020 verlängert wurde.

 

 

 

Aleid Wolfsen, Vorsitzender des Aufsichtsbehörde:

 

 

"Es geht um Gesundheitsdaten einer großen Anzahl von Menschen.
Alle diese Menschen müssen sich darauf verlassen können,
dass die UWV mit ihren Daten sorgsam umgeht."

 

 

 

Gesundheitsdaten

 

Da die UWV beim Gewähren des Zugriffs auf das Online-Arbeitgeber­portal keine Mehr-Faktor-Authentifizierung verwendet, aber ein Zugriff auf Gesundheitsdaten möglich ist, ist die Aufsichtsbehörde der Ansicht, dass keine ausreichende Sicherheit gewährleistet ist, da keine Mehr-Faktor-Authentifizierung verwendet wird.

 

Im Portal sind Gesundheitsdaten für Arbeitgeber einsehbar, da Krankenstandsdaten eingepflegt sowie eingesehen werden können. Die Entscheidung der Aufsichtsbehörde betrifft daher Gesundheitsdaten von Mitarbeiter*Innen. Als Anbieter und Betreiber dieses Systems zur Verwaltung der Abwesenheitsdaten ist die UWV verpflichtet, den Zugang zu diesem Portal durch Anwendung einer Mindestauthentifizierung mit mehreren Faktoren sicher zu gestalten.

 


Berechtigungskonzept / Absicherung vor unbefugten Zugriffen

 

Bei der Verarbeitung von personenbezogenen Daten hat der Verantwortliche geeignete Maßnahmen (siehe auch Art 32 DSGVO) zum Schutz derselben zu setzen. Wenn Gesundheitsdaten verarbeitet werden, sind sehr hohe Anforderungen an die Datensicherheitsmaßnahmen zu stellen.

 

Besteht die Möglichkeit auf Gesundheitsdaten über das Internet zuzugreifen, ist es nach Ansicht der Aufsichtsbehörde erforderlich, dass (mindestens) eine Mehr-Faktor-Authentifzierung verwendet wird.

 

 

26.11.2019, Autor:

Michael Schweiger, zert DSBA

 

mehr lesen 0 Kommentare

DSGVO Strafe in Rumänien

mehr lesen 0 Kommentare

Google Analytics nur mehr mit Einwilligung

mehr lesen 0 Kommentare

neuer Artkel: immaterieller Schadenersatz

mehr lesen 0 Kommentare

Lernsieg ... die umstrittene APP

mehr lesen 3 Kommentare

21.11.2019: DSGVO-Update - noch Plätze frei

mehr lesen 0 Kommentare

Informationspflicht - Verweis auf Website

mehr lesen 0 Kommentare

Gastkommentar im GBV-Newsletter

mehr lesen 0 Kommentare

DSGVO-Strafe in Polen

mehr lesen 0 Kommentare

Datenfriedhof

mehr lesen 0 Kommentare