rating service  security service privacy service
 
2018/05/18 Datenschutzbeauftragte vernetzt euch!
4. jährlichen Kongress der ASSO DPO am 8. und 9. Mai 2018 in Mailand
Zu ihrem 4. jährlichen Kongress am "Vorabend" der Implementierung der Datenschutz Grundverordnung (GDPR) bringt ASSO DPO die italienische Gesellschaft der Datenschutzbeauftragten die wesentlichen Akteure im Reformprozess des europäischen Datenschutzes zusammen: Datenschutzbeauftragte (DPOs), Datenschutzorganisationen und Datenschutzbehörden (DPAs).

Wesentliches Ziel des Kongresses war es ein europäisches Netzwerk der Datenschutzbeauftragten zu errichten und ein effektives Privacy Programm für Datenverantwortliche und Datenverarbeiter aufzubauen. Die ARGE DATEN war durch Ihren Obmann Dr. Zeger vertreten, der die neuesten Initiativen des Vereins anschaulich präsentierte und Fragen seiner europäischen Kollegen behandelte.

Der folgende Bericht fasst die wichtigsten Themen und Fragestellungen des zwei-tägigen Kongresses zusammen.

Vertreter der DPAs einiger Europäischer Länder und von HongKong sowie zahlreicher Datenschutzorganisationen stellten ihre Initiativen und Hilfestellungen zur Umstellung auf die GDPR vor. Weiters berichteten DPOs öffentlicher Stellen und internationaler Konzerne über ihre Wege ins neue Datenschutzzeitalter.

Die Rolle des Datenschutzbeauftragten nach dem 25. Mai 2018

Mit dem 25. Mail 2018 beginnt nicht nur ein neues Zeitalter für den europäischen Datenschutz auch die Rolle des DPO hat sich fundamental geändert. "Accountability" statt "Compliance" sowie "proaktives statt reaktives Handeln" ist nun die Devise.

In der Vergangenheit war die Rolle des Datenschutzbeauftragten eine statische. Die Gesetze zu kennen und sie zu befolgen reichte in den meisten Fällen aus. Internationale Konzerne sahen Datenschutz eher als notwendiges Übel das der DPO mit möglichst geringem Aufwand unter Kontrolle bringen sollte. Das Management der meisten multinationelen Konzerne wollte sich mit Datenschutz nicht weiter befassen.

Heute ist das nicht mehr möglich. Mit in Kraft treten der GDPR ist Datenschutz zu einem wesentlichen Grundpfeiler jedes zukunftsorientierten Unternehmens geworden und der DPO ein zentraler Akteur der Unternehmensplanung. Angesichts der in der GDPR vorgesehenen hohen Strafen bei Datenschutzverletzungen konnten auch notorische
Datenschutzverweigerer zum Umdenken bewegt werden.

Der neue Datenschutzbeauftragte ist Architekt und Designer

"Accountability" heisst  Übernahme der vollen Verantwortung für die Privacy Policy des Unternehmens. Der Rechtsrahmen ist zwar weiter geworden und lässt dem Datenschutzbeauftragten mehr Raum zur kreativen Gestaltung einer individuellen Privacy Policy, er muss aber mit der Freiheit umgehen können. Er muss die Risken aller Datenanwendungen abschätzen, die Vorgehensweisen dokumentieren und seine Entscheidungen begründen und vertreten können. Somit handelt der neue DPO nicht reaktiv auf begangene Verletzungen wie vor der GDPR sondern proaktiv und risikobewusst.

Best Practice - Multinationale Konzerne strukturien sich neu

Datenschutzbeauftragte Multinationaler Konzerne (Stefania Tonutti DPO des Danieli Konzerns, Anna Pouliou DPO von Channel) schildern ihre Wege zu neuen kreativen Datenschutzstrukturen.

Eckpfeiler der neuen Datenarchtekturen sind Risikobewusstsein und Transparenz dem Kunden gegenüber. Das heisst die Planung von Schnittstellen die es Betroffenen erlaubt den Fluss ihrer Daten nachzuverfolgen und auf Wunsch auch zu erhalten (data portability) sowie das Recht auf Vergessen also auf Löschung von Betroffenendaten unter Berücksichtigung gesetzlicher Behaltefristen.

Dazu muss der DPO das gesamte System kennen, die Vorgaben und die technischen Möglichkeiten. Er muss widersprüchliche Wünsche und verschiedene Interessen in Einklang bringen und dazu Lösungen entwickeln. Er muss diese dokumentieren und jederzeit vertreten können.

Stefania Tonutti schildert wie sich der gesamte Danieli Konzern anlässlich der Transition zur GDPR neu aufgestellt hat und dadurch schlanker leichter und effizienter wurde. Prozesse, neue Policies, neue Technologien wurden nötig um neue Rechte umzusetzen. HR Daten von einigen 1.000 Angestellten auf der ganzen Welt konnten abgeglichen und danach besser verwaltet werden.

Anna Pouliou schildert ihren Weg bei Chanel, wie sie Direktoren überzeugen musste das Geld für die neue Datenarchitektur in die Hand zu nehmen. Die Überzeugungsarbeit die sie innerhalb des Konzerns leistete um dem Management klarmachen dass der Ruf des Unternehmens von seiner Privacy Policy abhängt war wie Marketing. "Überzeuge sie vom Nutzen sprich niemals von Pflicht" war ihr Rat an die Kollegen im Publikum.

Privacy by Design am Beispiel einer weltweiten Cloudlösung

Ernst O. Wilhelm DPO GFT Technologies SE Germania zeigt an einem anschaulichen Beispiel wie er aus komplexen Anforderungen das Privacy Design einer Cloud entwickelte.

Sein Team, das die Software entwickelte musste das Recht auf Vergessen also auf Datenlöschung mit unterschiedlichen rechtlichen Behaltefristen der einzelnen Länder in Einklang bringen. Die Software des Multinationalen Konzerns wurde so angelegt, dass mit jedem Datensatz auch die Behaltefrist der Daten eingespeichert wurde um sie vor der Löschung abzufragen. (Behaltefristen variieren signifikant von Land zu Land - Spitzenreiter ist Polen mit 50 Jahren Behaltefrist).

Wann ist ein Verfahrensverzeichnis zu führen?

Art. 30 der Verordnung betreffend das Führen von Verfahrensverzeichnissen wurde sehr unterschiedlich ausgelegt und war vielen unklar. Im April 2018 befasste sich die Artikel 29 Gruppe mit der Frage wer nun wirklich ein komplettes Verfahrensverzeichnis zu führen hat und stellte ihre Position in einem Arbeitspapier in Netz. Fabio Ferrara Vice Presidente del Comitato Scientifico ASSO DPO hat die wesentlichen Aussagen des Working_Paper_260 für uns zusammengefasst:

Demnach müssen Klein und Mittelbetriebe (bis 250 Mitarbeiter) kein komplettes Verfahrensverzeichnis führen sondern nur in 3 Fällen.
bei Datenanwendungen die große Risiken bergen, bei Daten besonderer Kategorien wie Gesundheit, Sexualität, Gewerkschaftszugehörigkeit und bei strafrechtlich relevanten Daten. Bei üblichen Kunden- oder Lieferantendateien sind also keine Verfahrensverzeichnisse nötig was die Arbeit des DPO in KMUs um einiges leichter macht.
http://ec.europa.eu/newsroom/article29/document.cfm?action=di...

Unterstützung durch Datenschutzbehörden

Die Aufstellung der europäischen Datenschutzbehörden könnte nicht unterschiedlicher sein. Während Portugal zum Stichtag überhaupt keine funktionierende Behörde haben wird und die griechische DPA gerade zwei hauptberufliche Mitarbeiter beschäftigt hat Deutschland zusätzlich zur nationalen DPA in jedem einzelnen Bundesland eine eigene Behörde mit ständig wachsenden Mitarbeiterzahlen. Die anderen Länder liegen in etwa
dazwischen. (Dale Sunderland Irland, Albine Vincent France CNIL, Michael Kaiser Hessen DPA Germany, Spyridon Vlachopoulos Griechenland, Sandra Liu Hongkong waren
vertreten)

Zu den Hilfestellungen, die die Behörden zum Umstieg anbieten gehört - das Klarstellen des Texts der GDPO, die Präsentation von Muster Fällen sowie Vorschläge zum Update von IT-Systemen.

Besonders hervorgestochen ist dabei die CNIL - die französische Behörde. Sie betreibt eine elektronische Kommunikationsplattform in zwei Sprachen und bietet eine eigenes entwickelte Software zur Datenschutzfolgenabschätzung kostenlos zum Download an. Das Tool orientiert sich an der vor der CNIL favorisierten Variante des Umsetzens einer DSFA (https://www.cnil.fr/en/privacy-impact-assessments-cnil-publis...
und https://www.cnil.fr/en/guidelines-dpia
https://www.cnil.fr/en/open-source-pia-software-helps-carry-o...)

Europaweit zu agieren ist die Zielsetzung der französischen Behörde. Um von der CNIL akkreditiert zu werden müssen DPOs, die französische Firmen betreuen, auf europäischer Ebene gut arbeiten können.

Die Präsenz der DPA Hongkongs zeigt uns wie wichtig die neue Area im Datenschutz auch außerhalb Europas ist, auch für ein Land das rechtlich gesehen nur am Rand betroffen scheint. Als Smart City der Zukunft ist für Hongkong Transparenz wie in der GDPR vorgesehen unumgänglich. Die Hongkonger DPA setzt weniger auf Zwang als  auf Überzeugung auf Best practice guides, Bewusstseinsbildung und Datenethik. Die DPA sieht sich als Katalysator, der lokale Unternehmen dazu bewegt aktiver zu werden.

Hongkong war auch das erste asiatische Land das bereits auf die EU-Richtlinie von 1995 reagiert hat und sein Datenschutzgesetzt danach formuliert hat.
Dadurch ist die Umstellung auf GDPR konforme Datenanwendungen für Hongkonger Unternehmen die Daten von EU-Bürgern sammeln leichter und somit ein Wettbewerbsvorteil.

Unterstützung durch nationale Datenschutzvereine

Zwei Dachorganisationen für Datenschutzvereine sowie einige Vertreter nationaler Orangisationen waren bei der Konferenz vertreten:

CEDPO als eine Dachorganisation europäischer Datenschutzvereine mit einigen ihrer Mitgliedern aus Italien, Frankreich, Spanien, Irland, Deutschland und Österreich (Die ARGE ist seit 2013 dabei). Schweden und Portugal sind noch keine Mitglieder nahmen aber dennoch teil (http://www.cedpo.eu).

IAPP The International Association of Privacy Professionals ist nach eigenen Angaben die größte Datenschutzorganisation weltweite mit Büros in Belgien und den USA (https://iapp.org/).

Die meisten Vereinigungen setzen auf Schulungen und Beratung, organisieren Veranstaltungen, einige stellen interaktive Plattformen zur Verfügung, manche auch Jobportale für Datenschutzbeauftragte. Ihre wichtigste Funktion ist jedoch die internationale Vernetzung ihrer Mitglieder und dazu dienen Konferenzen wie diese.

Facit

Datenschutzbeauftragten österreichischer Unternehmen ist dringend anzuraten über den Tellerrand hinauszublicken und sich mit europäischen Kollegen zu vernetzen. Wer die Umstellung auf die GDPR nicht als lästige Pflicht sondern als Chance sieht, hat schon gewonnen. Es zählen Kreativität und der Mut zur Veränderung. Unterstützung gibts Länder übergreifend. Wem das Angebot seiner nationalen Behörde nicht ausreicht, der kann jedenfalls die Freeware zur Datenschutzfolgenabschätzung der CNIL nutzen. Die großen Konzerne weltweit nutzen die Anforderungen der GDPR um sich neu aufzustellen. Wer nicht bereit ist sich zu verändern kann nicht mithalten und wird sein Geschäft bald den Großkonzernen überlassen müssen.




mehr --> http://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZ
mehr --> http://www.argedaten.at/php/cms_monitor.php?q=DS-GVO
andere --> Intensivseminar: DSGVO und DSG neu - 4. September 2018

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster