2016-12-01_handout-datenschutz
Werbung
Die EU-Datenschutzgrundverordnung Praktische Umsetzung der DSGVO Thiemo Sammern - Managing Partner bei METHIS CRM-Agentur aus Salzburg Datenaufbereitung und Datenqualität /data.mill Technologie Praktische Umsetzung der DSGVO Der Umgang mit personenbezogenen Daten - Vorsicht und Sensibilität sind gefragt Daten verraten viel über Persönlichkeit, Möglichkeiten und Intentionen Ohne Vertrauen keine Daten Siehe dazu http://human-data-responsibility.org Praktische Umsetzung der DSGVO Datenqualität - Die Realität - Doppelte Zusendungen Falsche Geschlechtsanrede Falsche Groß/Kleinschreibung Seltsame Adressanschriften (und noch einiges mehr, das der Empfänger nie zu sehen bekommt) Praktische Umsetzung der DSGVO Der Trend zu mehr Datenqualität - Datenqualität ist ein wichtiges Thema Abhilfe war bisher teuer und umständlich Nun zusätzlich: Die Datenschutzgrundverordnung verlangt nach einer hohen Datenqualität Praktische Umsetzung der DSGVO Elemente der DSGVO - Rechtliche Grundlagen Zusammenarbeit zwischen Behörden IT-Security Datenprozesse (!) Auskunftsrecht Widerspruchsrecht Datenportabilität Informationspflicht Etc. Praktische Umsetzung der DSGVO IT Security - „Verletzung des Schutzes personenbezogener Daten“ = eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Art. 4 Abs. 12 Praktische Umsetzung der DSGVO Unbeabsichtigte oder unrechtmäßige Vernichtung bzw. Verlust - Redundante Speichersysteme (RAID) Daten-Backups (mit Test der Wiederherstellung!) Offsite Backup (Wo? Wie? Wer?) Nicht nur Daten sondern ganze Systeme? (Virtuelle Maschinen) Praktische Umsetzung der DSGVO Unbeabsichtigte oder unrechtmäßige Veränderung - Zutrittsschutz Zugangsschutz Zugriffsschutz Praktische Umsetzung der DSGVO Zutrittsschutz - Schlüsselsysteme Empfang mit Anmeldung Alarmanlage / Überwachung Einbruchhemmende Systeme Partner-Screening? Praktische Umsetzung der DSGVO Zugangsschutz - Benutzername/Passwort/ Chipkarten/Biometrie Passwort-Richtlinien Bildschirmschoner mit Kennwort Passwort-Management Spamfilter/Virenscanner Software-Patch-Management Externe Arbeitsplätze? Datenträger-Verschlüsselung Minimum Access Prinzip; besonders von außen Praktische Umsetzung der DSGVO Zugriffsschutz - Berechtigungskonzept Achtung bei Wechsel zwischen Abteilungen! Schutz gegen Attacken (z.B. SQL Injection) Vorsicht bei Funktionen zum Datenexport! Praktische Umsetzung der DSGVO Offenlegung und Weitergabe - - An wen werden Daten (geplant) weiter gegeben? Wie erfolgt die Weitergabe? (Verschlüsselung!) Hat der Partner eine Zertifizierung bzw. erfüllt er die DSGVO-Anforderungen? Wo liegen die Daten physisch? (USA? Safe Harbor privacy shield) Praktische Umsetzung der DSGVO Datenaustausch mit Partnern - Nicht via e-mail (Archivierung! Löschrechte!) Nicht unverschlüsselt! Datenaustausch-Plattform nutzen? (Owncloud, SFTP-Server, …) Achtung: Dropbox, Google Drive, Microsoft OneDrive,… arbeiten mit Servern in USA (Privacy Shield)! Praktische Umsetzung der DSGVO Datenprozesse - Rechtmäßigkeit der Verarbeitung Informationspflicht Speicherung von Einwilligungen Auskunftsrecht Widerspruchsrecht Recht auf Löschung („Recht auf Vergessen“) Datenweitergabe Dubletten Datenqualität!!! Automatisierte Datenprüfung Start Mach was Ja Fertig? Das Eine machen Nein Das Andere machen Ende Praktische Umsetzung der DSGVO Rechtmäßigkeit der Verarbeitung - Darf ich die Daten überhaupt besitzen? Durchführung eines Auftrags oder vorvertragliche Maßnahmen: OK Einwilligung gegeben: OK Berechtigtes Interesse: Interessensabwägung! Achtung bei Daten von Kindern! Sensible Daten (Art. 9 DSGVO): Datenschutzfolgeabschätzung! Praktische Umsetzung der DSGVO Informationspflicht - Unternehmensdaten (Wer?) Welche Daten (Was?) Wofür werden die Daten erhoben? Wie lange werden die Daten aufgehoben? An wen werden sie weiter gegeben? (Genau!) Information über Beschwerdemöglichkeit und Rechte. Einfach und verständlich formulieren! Leicht auffindbar Praktische Umsetzung der DSGVO Speicherung von Einwilligungen - - - Wozu hat die Person eingewilligt? Standarddisclaimer verwenden! Einwilligung kann auch elektronisch erfolgen. Nicht nur das Ob sondern auch das Wann protokollieren! Idealerweise als double opt-in, revisionssicher oder auditiert Aktualisierungsregeln definieren Am besten auch Einwilligung für Kontaktaufnahme einholen (§107 TKG) Software-Vorbereitung! Praktische Umsetzung der DSGVO Auskunftsrecht - - Recht zu erfahren, ob und welche Daten gespeichert sind (Artikel 15), etc. Muss in manchen Fällen auch strukturiert und maschinenlesbar sein (Datenportabilität; Artikel 20) Lieferung innerhalb von 1 Monat (Verlängerung möglich) Kostenlos zumindest bei erster Auskunft Software-Vorbereitung! Praktische Umsetzung der DSGVO Widerspruchsrecht - Widerrufen von Einwilligungen Widerspruch zur Verarbeitung (Artikel 21) Widerspruch zum Versand von Direktwerbung Verwandt: Recht auf Löschung Pseudonymisierung Backups müssen nicht gleich verändert werden. Software-Vorbereitung! Praktische Umsetzung der DSGVO Datenweitergabe - Weitergabe an Dritte ist generell heikel Besondere Vorsicht bei Weitergabe in Staaten außerhalb der EU USA: Safe Harbor Privacy Shield Berichtigte Daten müssen auch weiter gegeben werden (Artikel 19) Eine Weitergabe an eine FulfillmentAgentur ist keine Weitergabe im Sinne der DSGVO sondern die Agentur ist dann ein Auftragsverarbeiter. Praktische Umsetzung der DSGVO Der Dublettenfluch - - - Dubletten sind in den meisten Datenbanken Realität Oft nicht leicht zu erkennen Die Dublettenerkennung in den meisten CRM-Systemen ist verbesserungswürdig In Zusammenhang mit Auskunfts-, Widerspruchs- und Löschrecht gefährlich!!! Nachhaltige Dublettenstrategie ist notwendig Herrn Karl Mustermann Schillerstr. 12 1000 Musterort Frau Karl-Heinz Mustermann Friedrich-Schiller-Straße 12 1000 Musterort Lead Management Was hat das mit Datenqualität zu tun? Artikel 5 der DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten Personenbezogene Daten müssen[…] d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Lead Management Vorteile hoher Datenqualität - - Standardisierte Schreibweisen erleichtern die Dublettensuche Weniger Nachbearbeitung notwendig (Mailing-Vorbereitung, Telefonaktionen, etc.) Sicherer Umgang mit Auskunftsrecht, Widerspruchsrecht, etc. Lead Management Wie entsteht hohe Datenqualität? - Fehlende Inhalte erkennen Tippfehler erkennen Groß-/Kleinschreibung korrigieren Schreibweisen standardisieren Anreicherung mit zusätzlichen Informationen am besten bereits bei der Eingabe Auch bestehende Daten prüfen Link Lead Management Das Resultat - Vollständige Informationen Standardisierte Schreibweisen Einfachere Weiterverwendung in anderen Systemen Leichtere Erkennung von Dubletten Bessere Kommunikation mit dem Kunden Angereicherte Zusatzinformationen Bessere Analyse-Möglichkeiten Besseres Auftreten des Unternehmens Höhere Kundenloyalität Praktische Umsetzung der DSGVO http://human-data-responsibility.org Lead Management Der Kreis schließt sich - - Achtsamkeit und Wertschätzung gelten nicht nur für Daten, sondern auch für Prozesse Datenschutzgrundverordnung verlangt das ebenso Die Chance: ein Neustart der Kundenbeziehung Die Unterstützung durch Technologien wie data.mill erlaubt den Blick auf das Wesentliche: Hinter jedem Datensatz steht ein Mensch. Thiemo Sammern [email protected] METHIS Software GmbH Vogelweiderstraße 44a 5020 Salzburg https://methis.at Coming soon: Mikrolern-Kurs zur DSGVO auf der Knowledgefox-Plattform
