NAVAX DSGVO

Page 1

Deutschland | Österreich | Schweiz

|DSGVO Orientierung im Dschungel der Datenschutzgrundverordnung Eine Kooperation zwischen NAVAX und VACE IT & SECURITY SERVICES navax.com | vace-sec.at


|Die Zeit läuft Der Countdown zum 25. Mai 2018 hat begonnen Die Maßnahmen, die alle Unternehmen nun im Zuge der DSGVO treffen müssen, reichen weit über die IT-Security hinaus. Nahezu alle Abteilungen einer Organisation sind von der Gesetzgebung getroffen. Mit VACE haben wir einen Partner an Bord geholt, der unsere Kunden umfassend über eben diese Maßnahmen informieren kann.

Klaus Kremmair, Geschäftsführung VACE

Oliver Krizek, CEO NAVAX

Die Einhaltung gesetzlicher Bestimmungen zum Datenschutz ist ein wichtiger Baustein der IT-Security. Wir beraten Sie gerne zu Datenschutz und Einhaltung geltender Gesetze. Insbesondere zur Europäischen Datenschutzgrundverordnung (EU-DSGVO) & NIS-Richtlinie.


|Datenschutz Grundverordnung EU-DSGVO Für welche Unternehmen ist die Europäische Datenschutz-Grundverordnung gültig? - Es gelten grundsätzlich alle Pflichten der EU-DSGVO für alle Unternehmen! - Alle Regeln sowie der Haftungsrahmen gelten gleichermaßen für alle Unternehmensgrößen! - Die Ausnahme für den Entfall des „Verzeichnis der Verarbeitungstätigkeiten“ bei Unternehmen unter 250 Mitarbeitern gilt nur dann, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich geschieht.


|Datenschutz Grundverordnung EU-DSGVO Die Ausgangslage Grundrecht für EU Bürger Die Europäische Union verankert den Schutz (natürliche Personen betreffende) personenbezogener Daten auf Grundrechtsebene. EU-weites Datenschutzrecht Die Verordnung ist der Versuch, alle 28 bestehende nationale Gesetze zu vereinheitlichen – auf Grund der Öffnungsklauseln unzureichend. Beweislastumkehr Der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen. Meldepflicht bei Datenschutzvergehen Innerhalb von 72 Stunden an die Behörde und die Betroffenen.


|Sanktionen Was passiert, wenn man als Unternehmen nicht gesetzeskonform agiert Strafe bis 10 Mio. € bzw. 2 % des weltweiten Vorjahresumsatzes - Bei Verletzung technischer und organisatorischer Schutzmaßnahmen - Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung Strafe bis 20 Mio. € bzw. 4 % des weltweiten Vorjahresumsatzes - Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung - Verletzung der Rechte Betroffener - Drittlandübermittlung - Fehlende Zusammenarbeit mit der Aufsichtsbehörde


Die MaĂ&#x;nahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein!


|Datenschutz Grundverordnung EU-DSGVO Wann dürfen personenbezogene Daten verarbeitet werden Wenn von der betroffenen Person eine Einwilligung zur Verarbeitung vorliegt - Der Text der Einwilligung muss vom „Verantwortlichen“ zweifelsfrei nachgewiesen werden können - Zustimmung und Widerruf müssen in einfacher Sprache gleichermaßen präsent sein (Textgröße, Formulierung, Optik, …) - Zweck der Verarbeitung muss in klaren Worten dargelegt werden - Datenminimierung ist vorgeschrieben - Daten dürfen nur nach Treu und Glauben, also zum eindeutigen Zweck der Erhebung, verarbeitet werden

Zur Abwicklung eines Vertrages - Kopplungsverbot: es dürfen an die Erhebung der Daten keine weiteren Angebote/Verträge gekoppelt werden. Es gilt das Gebot der Freiwilligkeit.

Zur Erfüllung rechtlicher Verpflichtungen - Verträge - Rechtliche Aufbewahrungsfristen

Zur Wahrung berechtigter Interessen, öffentlicher Interessen bzw. Ausübung öffentlicher Gewalt


|Datenschutz Grundverordnung EU-DSGVO Grundsätze der Datenverarbeitung Personenbezogene Daten dürfen nur solange aufbewahrt werden, wie es für den ursprünglichen Zweck, für welchen sie erhoben wurden, unbedingt erforderlich ist. - Sobald der Zweck erfüllt ist oder der Betroffene es wünscht, müssen die Daten gelöscht werden. Die Integrität und Vertraulichkeit der Daten müssen am „Stand der Technik“ sowie mit entsprechenden organisatorischen Maßnahmen sichergestellt werden. Die Daten müssen vor - unbefugter oder unrechtmäßiger Verarbeitung - sowie vor unbeabsichtigtem Verlust oder Schädigung vom „Verantwortlichen“ geschützt werden. „Verantwortliche“ tragen die Verantwortung, unabhängig ob sie selbst oder externe Auftragsverarbeiter (Outsourcer, Cloud Service Provider und dgl.) ihre Daten verarbeiten. - Der „Verantwortliche“ muss jederzeit gegenüber betroffenen Personen sowie den Datenschutzbehörden die Rechtmäßigkeit und die Einhaltung der Vorschriften nachweisen können. Jeder Betroffene hat das Recht - eine Bestätigung darüber zu bekommen, ob und welche Daten von ihm verarbeitet werden - eine Kopie seiner elektronisch verarbeiteten Daten in einem gängigen Format wie Bsp. XML, CSV, DOC, usw. zu verlangen - Er kann jederzeit seine Einwilligung zur Verarbeitung widerrufen. - Er kann die Korrektur seiner Daten verlangen.


|Datenschutz Grundverordnung EU-DSGVO Verzeichnis der Verarbeitungstätigkeiten & Dokumentationspflicht Jeder „Verantwortliche“ führt ein Verzeichnis aller Verarbeitungstätigkeiten: - Beschreibung der getroffenen technischen Maßnahmen - Beschreibung der organisatorischen Prozesse zum Datenschutz - Name und Kontaktdaten des Verantwortlichen - Kategorien betroffener Personendaten und der Empfänger - Zweck der Verarbeitung - Fristen für die Löschung der Daten nach Kategorien - Bei der Übermittlung personenbezogener Daten in ein Drittland müssen diese mit entsprechenden Garantien dokumentiert werden.

Dokumentationspflicht - Alle Datenverarbeitungen mit personenbezogenen Daten sind zu dokumentieren. - Entsprechend der Eintrittswahrscheinlichkeit und der schwere der Risiken sind adäquate technische und organisatorische Maßnahmen für die rechtmäßige Verarbeitung zu setzen und zu dokumentieren. - Ergibt die Risikoabschätzung auf Grund von Technologien, Art oder Umfang ein hohes Risiko bei der Verarbeitung, ist vorab zwingend eine Folgenabschätzung zu machen. - Die korrekte Implementierung ist vom Verantwortlichen zu überprüfen. - Die Risikoabschätzungen und Dokumentationen sind regelmäßig zu prüfen und zu aktualisieren. - Dokumentation der Maßnahmen können von der Datenschutzbehörde überprüft werden!


|Datenschutz Grundverordnung EU-DSGVO Welche Daten dürfen nicht be- bzw. verarbeitet werden Verbot der Bearbeitung besonderer Kategorien, dieses Verbot umfasst die Verarbeitung personenbezogener Daten, aus denen - die rassische und ethnische Herkunft - politische Gesinnung - religiöse oder weltanschauliche Überzeugung oder - die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von - genetischen Daten - biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen, - Gesundheitsdaten (Brillenträger, Diabetes/Kantine, …) oder - Daten zur sexuellen Orientierung. Ausnahmen für Verarbeitung besonderer Kategorien: - ausdrückliche Einwilligung bzw. lebenswichtige Interessen ohne Einwilligung - Erfordernisse aus dem Arbeitsrecht - wenn die Daten der betroffenen Person selbst öffentlich gemacht wurden - zur Geltendmachung von Rechtsansprüchen vor Gericht


|Privacy by design

Privacy by design bedeutet, Datenschutzvorschriften bereits bei der Entwicklung neuer Applikationen/Prozesse/Technologien zu berücksichtigen - Datensparsamkeit: nur jene Daten welche dem Zweck entsprechend erhoben wurden - Löschfristen: automatische Löschung von Personendaten und Verifizierung ihrer Aktualität - Datenkorrekturen: entsprechend dem Recht auf Richtigstellung - Auskunftspflicht: Benachrichtigung, welche personenbezogenen Daten sind gespeichert?


|Privacy by default

Privacy by default bedeutet umfassender Schutz der Personendaten ohne Konfiguration - datenschutzfreundliche Voreinstellungen - Opt-In: Haken zur Einwilligung muss händisch gesetzt werden


Wir bieten Ihnen Workshops an, um Sie durch die Einhaltung der DSGVO vor teuren Sanktionen zu beschĂźtzen.



|Workshop Ablauf Für den Initialworkshop

Vorab erhalten Sie von uns umfassende Informationen, welche Unterlagen für den Workshop vorzubereiten sind. Der Workshop wird üblicherweise an zwei getrennten Tagen mit ca. 5 Stunden oder an einem Tag vor Ort beim Kunden abgehalten. Der angeführte Preis enthält sowohl die Workshop Vorbereitung, den Workshop vor Ort, als auch die Nachbereitung der Ergebnisse inklusive einer Management-Summary.


|Weitere NAVAX DSGVO Workshops

Preis auf Anfrage

Optionales Paket - rechtliche Beratung - EU-DSGVO-Katalog: Bereitstellung des EU-DSGVO Basismaßnahmenkatalogs & kontinuierliche Pflege entsprechend der nationalen Anpassungsgesetze & der aktuellen Judikatur (als Dokument) - Tool - Unterstützung

Plus Paket Aufbauend auf dem NAVAX DSGVO Initialworkshop Ergebnis: - Präsentation der Möglichkeiten für die Umsetzung der Maßnahmenempfehlungen in Microsoft Dynamics 365 (AX & CRM) und Microsoft Dynamics NAV - Realisierung der produktspezifischen Erweiterungen


|Referenzen Diese namhaften Unternehmen haben bereits DSGVO Workshops genossen

Weitere Branchen: Industrieofenbau, Lebensmittelindustrie, Biotechnik, Internationale Bankinstitute, Sozialvereine, Automotive Industry, Internationaler Fenster u. TĂźren Produzent


|NAVAX & VACE Eine starke Partnerschaft VACE IT & SECURITY SERVICES

NAVAX Consulting GmbH

VACE SECURITY IT & SECURITY SERVICES aus Linz (OÖ) bietet Unternehmen aus Österreich, Deutschland und der Schweiz umfassende Services in Sachen Informationssicherheit, Datenschutz und IT-Security. Unsere Experten liefern individuelle und herstellerunabhängige Beratung zur Absicherung der IT in Ihrem Unternehmen. Sie profitieren von unserem umfangreichen VACE IT & SECURITY SERVICES Portfolio in den Segmenten: Hacking Simulation & Penetration Testing Datenschutz und Security as a Service

Die NAVAX Unternehmensgruppe ist ein unabhängiges IT-Systemhaus, das Unternehmensprozesse optimiert und Business-Softwarelösungen für national und international tätige Unternehmen einführt. Das Systemhaus betreibt Unternehmen in Deutschland, Österreich und der Schweiz. Kunden mit über 750 Projekten in mehr als 100 Ländern der Welt arbeiten mit den NAVAX Unternehmens-Lösungen in den Bereichen ERP, CRM, Business Intelligence & Planung, Collaboration & Mobility sowie Cloud Services. Das Unternehmen ist u.a. Microsoft, Qlik und MicroStrategy Partner und stellt eigene Software für Finanzdienstleister und Leasingunternehmen her.

www.vace-sec.at

Dr. Mag. Thomas Schweiger, LL.M. (Duke) Rechtsanwalt, Partner der Kanzlei SMP Schweiger Mohr & Partner Rechtsanwälte OG (Linz) . Dr. Mag. Thomas Schweiger ist spezialisiert auf IT Recht und informiert kompetent und rechtsbindend in allen juristischen Belangen zum Thema DSGVO.

www.dataprotect.at

www.navax.com


|NAVAX & VACE Nehmen Sie noch heute Kontakt mit uns auf, im Juni 2018 ist es zu spät VACE Systemtechnik GmbH – Business Unit: VACE IT & SECURITY SERVICES Wahringerstraße 34, BG 11 4030 Linz Österreich

Tel: +43 732 6987 4900 Fax: +43 732 6980 5412 E-Mail: security@vace.at www.vace-sec.at

NAVAX Consulting GmbH Technologiestraße 8 1120 Wien Österreich Tel: +43 50 83830 Fax: +43 50 8383 199 E-Mail: office@navax.com

www.navax.com


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.