dascdc - dgdatenschutzde.b-cdn.net · als ihr steter begleiter ... enterprises face particular...
Post on 04-Jun-2018
214 Views
Preview:
TRANSCRIPT
Compliance mit der Datenschutz-Grundverordnung (DS-GVO) Compliance with the General Data Protection Regulation (GDPR)
DATENSCHUTZHANDBUCHDATA PROTECTION MANUAL
DGD DEUTSCHE GESELLSCHAFT FÜR DATENSCHUTZ GMBHROBERT-BOSCH-STR. 1185221 DACHAU TELEFON: +49 (0) 8131-77987-0TELEFAX: +49 (0) 8131-77987-99WEB: WWW.DG-DATENSCHUTZ.DEE-MAIL: INFO@DG-DATENSCHUTZ.DE
”“
In an adjustable and customizable data protection manual, together we will establish the basic structure for your data protection, and work out an individual concept that will be
constantly improved. The regular data protection audit thereby serves as a basis for documentation.
In einem anpassbaren und personalisierbaren Datenschutzhandbuch legen wir mit Ihnen
gemeinsam die Grundstruktur für Ihren Datenschutz fest. Wir erarbeiten mit Ihnen ein individuelles Konzept, das stets weiterentwickelt wird. Das
regelmäßige Datenschutz-Audit dient dabei als Dokumentationsgrundlage.
”
“
4 | DATENSCHUTZHANDBUCH
SEITE 1
DER DATENSCHUTZBEAUFTRAGTEALS IHR STETER BEGLEITER
Ein Datenschutzbeauftragter zeigt sich dem Verantwortlichen bzw. dem Auftragsverarbeiter gegenüber für eine praxisnahe und dem Gesetz entsprechende Organisation des Datenschutzes verantwortlich. Unsere Experten beraten sowohl Unternehmen als auch Behörden. Der vertrauensvolle Umgang mit personenbezogenen Daten steht für uns dabei im Mittelpunkt.
Bennenung zum Datenschutzbeauftragten
Stellenbeschreibung des Datenschutzbeauftragten
Information über die Verarbeitungpersonenbezogener Daten
DATA PROTECTION MANUAL | 5
SEITE 2
THE DATA PROTECTION OFFICERAS YOUR CONSTANT COMPANION
A data protection officer is responsible for a practice-oriented and legally compliant organization of data protection on behalf of the controller or processor. Our experts advise both companies and public authorities. The confidential handling of personal data is our focus.
Designation as Data Protection Officer
Job Description of the Data Protection Officer
Information about the Processingof Personal Data
6 | DATENSCHUTZHANDBUCH
SEITE 1
MIT EINEM KONZEPT SICHERHEIT DEFINIEREN
Datenschutz und Informationssicherheit sind differenziert zu betrachten. Das Datenschutzrecht erfasst nur personenbezogene Daten, während Datensicherheit auch andere Informationen mit einbezieht. Zwar ergeben sich Schnittmengen, doch darf die bestehende Divergenz nicht außer Acht gelassen werden. Wir behandeln Informationssicherheit und Datenschutz jeweils als eigenständige Fachbereiche, vereinen jedoch beides in kombinierten Konzepten.
Leitlinie zur Informationssicherheit
Datenschutz- und Datensicherheitskonzept
Computerviren-Schutzkonzept
DATA PROTECTION MANUAL | 7
SEITE 2
DEFINING SECURITY AS AN OVERALL CONCEPT
Data protection and information security are to be viewed differently. Data protection law covers only personal data, while data security includes other types of information. Although there are overlaps, the existing divergence must not be ignored. We treat information security and data protection as separate subject areas, but bring them together in combined concepts.
Guideline for Information Security
Data Protection and Data Security Concept
Computer Viruses Protection Concept
8 | DATENSCHUTZHANDBUCH
SEITE 1
MIT PLANUNG FÜR TRANSPARENZ SORGEN
Der Entwicklung von Konzepten und Richtlinien kommt im Unternehmensalltag ein besonders hoher Stellenwert zu. Zum einen dienen sie als Nachweis der Einhaltung gesetzlicher Vorschriften, zum anderen können sie nach einem Sicherheitsvorfall ggf. die Exkulpation der Geschäftsführung ermöglichen. Deshalb sollten sowohl Konzepte zur Datensicherung und Archivierung als auch ein Notfallvorsorgekonzept vorgehalten werden können.
Datensicherungskonzept
Archivierungskonzept
Notfallvorsorgekonzept
DATA PROTECTION MANUAL | 9
SEITE 2
PLANNING TO ENSURE TRANSPARENCY
The development of concepts and guidelines is a particularly high priority in the daily business of an enterprise. On the one hand, concepts and guidelines serve as proof of compliance with legal requirements, and, on the other hand, may enable exculpation of the management after a security incident. Therefore, concepts for data backup and archiving, as well as an emergency preparedness concept, should be kept available.
Data Backup Concept
Archiving Concept
Emergency Preparedness Concept
10 | DATENSCHUTZHANDBUCH
SEITE 1
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ SORGT FÜR TRANSPARENZ
Zwar ist das öffentliche Verfahrensverzeichnis in der Datenschutz-Grundverordnung nicht mehr vorgesehen, doch schafft es Transparenz. Dies vereinen wir mit dem Definitionsverzeichnis des Verantwortlichen oder Auftragsverarbeiters. Die hier festgelegten Definitionen gelten für die gesamte Datenschutzdokumentation und bilden einen der Grundpfeiler unseres Gesamtkonzepts.
Technische und organisatorischeMaßnahmen
Öffentliches Verfahrensverzeichnis undDefinitionen
DATA PROTECTION MANUAL | 11
SEITE 2
Public Index of Procedures and Definitions
TECHNICAL AND ORGANIZATIONAL DATA PROTECTION ENSURES TRANSPARENCY
Although the public index of procedures is no longer envisaged in the General Data Protection Regulation, it creates transparency. We combine it with the definition directory of the controller or processor. The definitions determined here apply to all data protection documentation, and form one of the cornerstones of our overall concept.
Technical and Organisational Measures
12 | DATENSCHUTZHANDBUCH
SEITE 1
MITARBEITER UMFASSEND INDATENSCHUTZPROZESSE EINBINDEN
Die Einhaltung datenschutzrechtlicher Vorschriften schafft Vertrauen. Deshalb erläutern wir die gesetzlichen Vorschriften gegenüber der Belegschaft und stellen Mitarbeiterinformationen bereit.
Erläuterungen zu den Datenschutzgesetzen
Mitarbeiterinformation zu QR-Codes undgekürzten Hyperlinks
Mitarbeiterinformation: SicheresLöschen mobiler Endgeräte
DATA PROTECTION MANUAL | 13
SEITE 2
EXTENSIVELY INVOLVING EMPLOYEESIN DATA PROTECTION PROCESSES
Compliance with data protection regulations creates trust. That is why we explain legal regulations to staff, and provide employee information.
Explanatory Notes to the Data Protection Laws
Employee Information about QR Codesand Short Links
Employee Information: Secure Deletionof Mobile Devices
14 | DATENSCHUTZHANDBUCH
SEITE 1
VORBEUGENDE AUFKLÄRUNG DER MITARBEITER
IT-Sicherheit spielt im Unternehmensalltag eine bedeutende Rolle. Bedachte Sicherheitsstrategien dienen dazu, der enormen Verantwortung gegenüber den Geschäftspartnern, Kunden und Aktionären gerecht zu werden. Sind die Mitarbeiter über potentielle Gefahren informiert, können Sicherheitsvorfälle vermieden werden.
Mitarbeiterinformationen zum Virenschutz und zuInternetgefahren
Mitarbeiterinformationen zu Schutzmaßnahmen gegen Phishing-Attacken
Mitarbeiterinformationen zum Einsatzvon Notebooks, Tablets und PDAs
DATA PROTECTION MANUAL | 15
SEITE 2
PREVENTIVE INFORMING OF EMPLOYEES
IT security plays an important role in day-to-day business. Thoughtful security strategies are designed to meet the enormous responsibilities of business partners, customers and shareholders. If employees are informed of potential dangers, security incidents may be avoided.
Employee Information about VirusProtection and Internet Threats
Employee Information for the Use ofNotebooks, Tablets and PDAs
Employee Information on ProtectionMeasures against Phishing Attacks
16 | DATENSCHUTZHANDBUCH
SEITE 1
DAS EIGENE PERSONALINFORMIEREN
In der heutigen Informationsgesellschaft stehen Unternehmen vor besonderen Herausforderungen. Das Management trägt nicht mehr die alleinige Verantwortung für Entscheidungen; diese werden von Mitarbeitern aus der gesamten Unternehmensstruktur getroffen. Doch zur Anleitung des Personals ist die Zugänglichmachung von Mitarbeiterinformationen notwendig.
Mitarbeiterinformationenzur Nutzung von VPN- und RAS
Mitarbeiterinformationen zur E-Mail-Kommunikation
Mitarbeiterinformationenzu Mobilfunkdaten
DATA PROTECTION MANUAL | 17
SEITE 2
INFORMING OWN STAFF
With the abundance of information in today’s society, enterprises face particular challenges. Management no longer bears sole responsibility for decisions; these are made by employees throughout the entire company structure. Still, making employee information available is necessary for the personnel guidance.
Employee Information to the Email Communication
Employee Informationon Mobile Communications Data
Employee Information for the Use of VPN and RAS
18 | DATENSCHUTZHANDBUCH
SEITE 1
RICHTLINIEN ZUR VERMEIDUNGVON RISIKEN
Richtlinien dienen der Entwicklung rechtskonformer Organisationsstrukturen. Den Mitarbeitern eines Unternehmens erlauben sie, Entscheidungen in Übereinstimmung mit Unternehmensinteressen und Gesetzen zu treffen. Richtlinie zu Einführung und Nutzung
bestehender und zukünftigerMobilfunkeinrichtungen
Richtlinie zur Datenschutzorganisation
Richtlinie und Informationzur Nutzung der Kommunikationssysteme
DATA PROTECTION MANUAL | 19
SEITE 2
GUIDELINES FOR PREVENTION OF RISKS
Guidelines serve the development of legally compliant organizational structures. They allow the employees of an enterprise to make decisions in accordance with company interests and legal provisions.
Policy to the Data ProtectionOrganisation
Policy to the Introduction and Use of existing and future Mobile CommunicationFacilities
Policy and Information on the Use of Communication Systems
20 | DATENSCHUTZHANDBUCH
SEITE 1
DATENVERARBEITUNG VORAUSSCHAUEND REGELN
Richtlinien legen strukturelle Rahmenbedingungen fest. Sie regeln sowohl den richtigen Einsatz der im Unternehmen vorhandenen IT-Systeme als auch die Vorgehensweise bei unterschiedlichen Datenverarbeitungsvorgängen. Dadurch werden rechtskonforme Prozessstrukturen gebildet.
Richtlinie zum sicheren Löschen vonDaten auf Datenträgern
Richtlinie zum Einsatz vonFirewall-Systemen
Richtlinie zum elektronischenPersonalaktensystem
DATA PROTECTION MANUAL | 21
SEITE 2
Policy for the Secure Deletion of Data on Data Carriers
Policy to the Deployment of FirewallSystems
Policy to the ElectronicEmployee Information System
PROACTIVE REGULATION OF DATA PROCESSING
Guidelines establish structural framework conditions. They regulate both the correct utilisation of IT systems available at the enterprise, as well as the approach to different data processing operations. Thereby, legally compliant process structures are formed.
22 | DATENSCHUTZHANDBUCH
SEITE 1
SICHERHEITSRICHTLINIENFESTLEGEN
Für Mitarbeiter aus unterschiedlichen Fachabteilungen sollten jeweils eigene Sicherheitsrichtlinien gelten. Dadurch kann der stets rechtskonforme Zugriff auf IT-Umgebungen gewährleistet sowie ein hohes Datenschutzlevel aufrechterhalten werden.
Sicherheitsrichtlinie für Administratoren
Sicherheitsrichtlinie für das Outsourcingvon IT-Dienstleistungen
Sicherheitsrichtlinie für Benutzer
DATA PROTECTION MANUAL | 23
SEITE 2
Safety Policy for Administrators
Security Policy for the Outsourcingof IT Services
Safety Policy for Users
ESTABLISHING SECURITY GUIDELINES
For employees from different departments, separate security guidelines should apply. In this way, legally compliant access to IT environments is guaranteed, and a high level of data protection is maintained.
24 | DATENSCHUTZHANDBUCH
SEITE 1
BETRIEBSVEREINBARUNGEN SCHAFFEN TRANSPARENZ
Der steigende Einsatz informationstechnologischer Systeme und die Abhängigkeit vom technologischen Fortschritt erfordern oft eine gemeinsame Ausarbeitung von Betriebsvereinbarungen. Vorlagen dieser Vereinbarungen können dabei die Arbeit für den Betriebsrat erheblich erleichtern.
Betriebsvereinbarung über die Arbeitan Bildschirmgeräten
Betriebsvereinbarung über die Installationund Nutzung von Videosystemen
Betriebsvereinbarung über die Errichtung außerbetrieblicher Arbeitsstätten in Mitarbeiterwohnungen
DATA PROTECTION MANUAL | 25
SEITE 2
Betriebsvereinbarung über die Errichtung außerbetrieblicher Arbeitsstätten in Mitarbeiterwohnungen
WORK COUNCIL AGREEMENTS CREATE TRANSPARENCY
Both the increasing use of information technology systems and dependence on technological progress often require a joint development of work council agreements. Templates of these agreements may significantly facilitate operation of the works council.
Works Council Agreement on the Work withDisplay Screen Devices
Works Council Agreement on the Installationand Use of Video Systems
Works Council Agreement on the Establishment of ExternalWorkplaces in Employee Homes
26 | DATENSCHUTZHANDBUCH
SEITE 1
MITARBEITERDATEN SOLLTEN BESONDERS GESCHÜTZT SEIN
Verarbeitungen der Mitarbeiterdaten gehören in einem Unternehmen heute zum Alltag. Ist ein Betriebsrat vorhanden, so ist er in die Verarbeitung von Personaldaten zu involvieren. Dann werden auch Betriebsvereinbarungen unabdingbar.
Betriebsvereinbarung über die Nutzung von Festnetztelefon, Handy und Fax
Betriebsvereinbarung über dieZeiterfassung
Betriebsvereinbarung über dieZutrittskontrolle
DATA PROTECTION MANUAL | 27
SEITE 2
EMPLOYEES SHOULD BE PARTICULARLY PROTECTED
Processing of employee data is a daily routine at a company. If there is a work council, it is to be involved into the processing of personnel data. Work council agreements will then become indispensable.
Works Council Agreement on the Useof Fixed-line Phones, Mobile Phones and Fax
Works Council Agreement onthe Time Recording
Works Council Agreement onAccess Control
28 | DATENSCHUTZHANDBUCH
SEITE 1
AUFTRAGSVERARBEITER IN DIE PFLICHT NEHMEN
Datenschutz spielt im Auftragsverhältnis eine besondere Rolle. Der Verantwortliche verpflichtet daher den Auftragsverarbeiter durch einen Vertrag auf die Einhaltung gesetzlicher Bestimmungen. Werden die Obliegenheiten dabei missachtet, drohen empfindliche Strafen.
Vertrag zum Datenschutz und zurDatensicherheit in Auftragsverhältnissen
Standardvertragsklauseln
DATA PROTECTION MANUAL | 29
SEITE 2
COMMITING PROCESSORS
Data protection plays a special role in contractual relations. Therefore, the controller commits the processor to comply with legal requirements through a contract. If the requirements are ignored, severe penalties may follow.
Contract for Data Protection andData Security in a Contractual Relationship
Standard Contractual Clauses
30 | DATENSCHUTZHANDBUCH
SEITE 1
VERZEICHNISSE UNDDATENSCHUTZ-FOLGENABSCHÄTZUNGEN
Der Verantwortliche muss seine Verfahrensabläufe in Verfahrensverzeichnissen dokumentieren. Wiederum der Auftragsverarbeiter hat ein Verzeichnis über Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten zu führen. Ferner sind Datenschutz-Folgenabschätzungen zu dokumentieren.
Verzeichnis der Kategorien von im Auftrag eines Verantwortlichen durchgeführtenTätigkeiten
Datenschutz-Folgenabschätzung
Verzeichnis von Verarbeitungstätigkeiten
DATA PROTECTION MANUAL | 31
SEITE 2
RECORDS AND DATA PROTECTION IMPACT ASSESSMENTS
The controller must document his procedures in records of processing activities. In turn, the processor shall keep records of categories of processing activities carried out on behalf of a controller. Data protection impact assessments are also to be documented.
Records of Categories of Processing Activitiescarried out on Behalf of a Controller
Data Protection Impact Assessment
Record of Processing Activities
DGD Deutsche Gesellschaft für Datenschutz GmbHRobert-Bosch-Str. 1185221 Dachau
Telefon: +49 (0) 8131-77987-0Telefax: +49 (0) 8131-77987-99Web: www.dg-datenschutz.deE-Mail: info@dg-datenschutz.de
top related