Schlagwortarchiv für: DS-GVO

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Beim Einkaufen mit einer Payback-Karte, Bestellen von Waren im Internet oder bei einer einfachen telefonischen Anfrage bei einem Dienstleister – personenbezogene Daten werden beinahe ständig übermittelt. Damit die Betroffenen die Möglichkeit haben, Auskunft über ihre Daten zu haben, oder diese sogar wieder löschen zu lassen, ist in der DS-GVO ein eigenes Kapitel für die Rechte der betroffenen Personen vorhanden.

In unserer Folge „Betroffenenrechte – Rechte, Pflichten, Stolperfallen“ gehen wir auf folgende Aspekte ein:

  • Kapitel 3 DS-GVO „Rechte der betroffenen Person“
  • Fallstrick 1: Authentifizierung des Anfragenden
  • Fallstrick 2: entgegenstehende gesetzliche Fristen
  • Prozesse, Zeitrahmen und Dokumentation von Auskünften und Löschungen

Hier ein Paar Links zum Thema Betroffenenrechte:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind?

In unserer Folge „Mitarbeiterdatenschutz“ gehen wir auf folgende Aspekte ein:

  • Welche personenbezogenen Daten dürfen / müssen Arbeitgeber erheben?
  • Welche Daten bedürfen der Zustimmung und wie sollte diese Zustimmung eingeholt werden?
  • Was muss bei der Verarbeitung / Nutzung dieser Daten beachtet werden?
  • Themenschwerpunkte: Mitarbeiterfotos, Bewerber, Löschkonzept

Hier ein Paar Links zum Thema Mitarbeiterdatenschutz:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Datenschutz ist ein unumgängliches Thema, unabhängig von der Unternehmensgröße. Ab 20 Mitarbeitern, die mit personenbezogenen Daten arbeiten, muss ein Datenschutzbeauftragter benannt werden, doch auch schon vorher macht es Sinn diese Position im Unternehmen zu besetzten.

In unserem Podcast wollen wir die grundlegenden Aufgaben eines Datenschutzbeauftragten beleuchten, seine Rolle als Berater und Ansprechpartner für Aufsichtsbehörden und Mitarbeiter und die Wichtigkeit des frühzeitigen Einbindens in alle Projekte.

In unserer Folge “Die Aufgaben eines Datenschutzbeauftragten“ gehen wir auf folgende Aspekte ein:

  • Welche Pflichten und Aufgaben hat der DSB gemäß DS-GVO?
  • Von Dokumentenprüfung bis Mitarbeiterschulungen – der umfangreiche Job eines DSB
  • Wann ist ein DSB haftbar?

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Mit seinem Urteil vom 17.06.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DS-GVO sicherstellt. Das Urteil entfaltet unmittelbar Gültigkeit.

Datenübermittlungen von personenbezogenen Daten von EU-Bürgern in die USA sind damit ab sofort rechtswidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Die Übermittlung der personenbezogenen Daten kann nach wie vor auf die sog. Standardvertragsklauseln (SCC) der EU-Kommission gestützt werden. Allerdings auch nur dann, wenn das Recht des Ziellandes einen angemessenen Schutz personenbezogener Daten bietet. Darüber hinaus gibt es Ausnahmen, die sich in bestimmten Fällen für einen Datentransfer nach Art. 49 DS-GVO rechtfertigen lassen. Ebenso nicht vom Urteil betroffen sind Datenübertragungen, die freiwillig durch den Nutzer selbst initiiert werden, wie z.B. Buchungen von Leistungen über US-Websites oder den E-Mailversand ins Ausland.

Was bedeutet dies für Unternehmen?

Aus Unternehmenssicht beantwortet das Urteil die Frage der Rechtskonformität des Cloud-Computing. Unternehmen die Cloud-Services von US-Providern in Anspruch nehmen, also Microsoft Azure, Microsoft Office 365, Amazon Web Services, Google Drive, Salesforce, Dropbox & Co sind von der Entscheidung betroffen. Gleiches gilt auch für Webanalysedienste, wie z.B. Google Analytics, das in Deutschland das meist genutzte Tool zur Datenverkehrsauswertung ist. Zwar betreiben einige der Anbieter ihre Server teilweise auch innerhalb der EU, jedoch findet fast immer eine Datenspiegelung auf US- und andere Server in Drittländer statt, die derzeit datenschutzrechtlich mit dem EU-US-Privacy-Shield und/oder den EU-Standardvertragsklauseln gerechtfertigt werden.

Die Ausmaße dieser Entscheidung sind heute noch nicht abzusehen und schaffen für die betroffenen Unternehmen große Rechtsunsicherheit. Jedoch kann die Bedeutung des EuGH-Urteils gar nicht genug hervorgehoben werden, denn die Mehrheit der deutschen Unternehmen verwenden IT-Services von US-Providern.

Was sagen die Datenschutzbehörden?

Die Datenschutzbehörden reagieren unterschiedlich. In Berlin wird beispielsweise allgemein darauf hingewiesen, dass datenverarbeitende Stellen in den USA gespeicherte personenbezogene Daten nach Europa verlagern sollen, wohingegen die Behörde in Rheinland Pfalz konkreter wird und zeitnah an Unternehmen herantreten will. Dabei geht es darum, festzustellen inwieweit in der Vergangenheit Datenübermittlung in die USA auf das Privacy Shield gestützt wurden. In diesen Fällen müssen von den Verantwortlichen Maßnahmen getroffen und zudem erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Sind Unternehmen dazu nicht aussagefähig, sind Sanktionen möglich.

Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Daten-übermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Ziel ist es, Hilfestellungen und Empfehlungen geben zu können, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.

Was sollten Unternehmen jetzt tun?

In jedem Fall sollten Sie jetzt aktiv werden und unternehmensintern gemeinsam mit Ihrem Datenschutz-beauftragten und der IT-Abteilung die betroffenen Datenflüsse identifizieren, Risiken bewerten und gegebenenfalls auf datenschutzkonforme Alternativen umstellen. Hier ist eine gute Dokumentation wichtig, da Sie nur so bei einer Anfrage der Datenschutzbehörde belegen können, dass Sie sich ernsthaft mit dem Thema auseinandersetzen. Sollten Sie dabei Hilfe benötigen, wenden Sie sich gerne an uns.

Regelmäßig beschwören in einem ersten Schritt Unternehmen und Behörden, dass die durch sie genutzten Daten anonym seien – sie können auf keinen Fall konkreten Personen zugeordnet werden, zudem interessiere man sich für konkrete Personen ohnehin nicht. In einem zweiten Schritt berichten dann Medien, meist unter Hinzuziehung technisch Versierter, dass irgendwie dann doch ein Personenbezug hergestellt werden kann. Gibt es also etwas wie Anonymisierung überhaupt und könnten synthetische Daten eine Alternative sein?

Zu diesem Thema haben wir einen Beitrag in das kes Special B Datenschutz 3/2020 gestellt, dass im Juni erschienen ist.

Lesen Sie hier weiter:

Wie sahen Ihre Gesichtszüge aus, als Sie diese Überschrift gelesen haben? Genervt, wütend oder verzweifelt? Das ist schade, denn Hysterie oder Resignation rund um die Buchstaben „DS-GVO“ helfen niemandem weiter.

Datenschutz und Datenschutzgesetze gab es bereits vor dem 25. Mai 2018 und vor allem in Deutschland hat sich weit weniger geändert, als uns so mancher glauben lassen will. Glauben Sie mir gerne, wenn ich Ihnen verrate, dass ich mich bereits 2010 mit dem Thema Datenschutz in meinem Jurastudium beschäftigt habe. Auch damals gab es etwa ein Bundesdatenschutzgesetz (BDSG) sowie Abschnitte im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG), die sich ganz intensiv mit dem Thema Datenschutz auseinandersetzten.

Um es vorwegzunehmen: Einen sinnvollen Datenschutz braucht es! Aber vielleicht sollten eher die „großen Player“ und ihre Dienstleistungen, die häufig alles andere als datenschutzkonform gestaltet sind, unter die Lupe genommen werden. Wenn Kitas im Namen des Datenschutzes sämtliche Gesichter der betreuten Kinder schwärzen, man für die öffentliche Bekanntgabe einer Beerdigung mindestens einen Monat im Voraus eine Einwilligung im Pfarrbüro abgeben soll, Tischreservierungen nicht mehr namentlich erfolgen dürfen und sich Ihr Friseur nicht mehr traut Sie namentlich zu begrüßen, führt das zu Recht zu Unverständnis.

Also, lassen Sie sich gerne von Ihrem Arzt mit Ihrem vollen Nachnamen laut aufrufen und behalten Sie bitte im Auge: Der Datenschutz soll den Menschen dienen, nicht anders herum. Bleiben Sie tapfer!

Autor: Christian Schellhase ANMATHO AG

Die DS-GVO gilt seit dem 25. Mai 2018 und die meisten Unternehmen haben bisher viel Zeit sowie Geld aufgewendet, um die neuen datenschutzrechtlichen Anforderungen umzusetzen. Aber ist Ihr Unternehmen jetzt schon datenschutzkonform?

Nachdem nun die Umsetzungshektik verflogen ist, sollte man sich die Zeit nehmen und das bisher Geschaffene erneut einer kritischen Prüfung unterziehen, bemühen Sie hier gerne den „kontinuierlichen Verbesserungsprozess“. Möglicherweise liegt die Erarbeitung der einen oder anderen Sache auch bereits geraume Zeit zurück und sie ist nicht mehr ganz aktuell? Nur so wird man nicht überrascht, wenn sich ein Betroffener beschwert oder gar die Aufsichtsbehörde prüft.

Sehr hilfreich bei dieser Prüfung ist, dass die Aufsichtsbehörden diejenigen Fragen veröffentlicht haben, die sie regelmäßig im Zusammenhang mit Prüfungen stellen. So hat etwa die Landesbeauftragte für den Datenschutz Niedersachsen einen „Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft 2018/19“ veröffentlicht, den Sie hier finden: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html. In diesem Kriterienkatalog sind jedoch nicht nur „Standardfragen“ zu „prominenten“ Themen wie etwa dem Verzeichnis von Verarbeitungstätigkeiten oder den Betroffenenrechten enthalten, die hier aufgeführten Fragen gehen durchaus in die Tiefe und können auch mal „weh tun“.

Beim technischen Datenschutz werden der risikobasierte Ansatz und der damit einhergehende Abwägungsprozess „abgeklopft“. Mit Blick auf die Datenschutzfolgenabschätzung werden zudem nicht nur die vorhandenen Datenschutzfolgenabschätzungen geprüft, die Untersuchung setzt bereits eine Stufe höher an und prüft den Entscheidungsprozess, ob Verarbeitungen einer Datenschutzfolgenabschätzung unterzogen werden müssen oder nicht.

Auch das bayerische Landesamt für Datenschutzaufsicht hat bereits verstärkt mit der Prüfung bei kleinen und mittelständischen Unternehmen begonnen. Den hier bemühten Fragenkatalog finden Sie etwa hier: https://www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf.

Was müssen Sie jetzt tun?

Prüfen Sie bitte die Umsetzung des nunmehr geltenden Datenschutzrechtes in Ihrem Unternehmen anhand der veröffentlichten Fragenkataloge. Sollten Sie hierzu Fragen haben oder Unterstützung benötigen, kommen Sie jederzeit gerne auf uns zu.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Verantwortliche haben nach der DS-GVO eine Rechenschaftspflicht in der sie nachweisen müssen, dass die Datenschutzgrundsätze eingehalten werden und die Datenverarbeitung DS-GVO-konform erfolgt. Um im Zweifelsfall ihrer Rechenschafts- und Nachweispflicht nachkommen zu können, ist eine entsprechende Dokumentation erforderlich.

Die wichtigsten Dokumentationspflichten, haben wir hier aufgelistet:

Verarbeitungsverzeichnis:

Die Erstellung eines Verarbeitungsverzeichnisses ist für alle Verantwortlichen und Auftragsverarbeiter eine Pflicht, die sich aus Art. 30 der DS-GVO ergibt. Hier muss nachgewiesen werden, dass die Datenschutzgrundsätze erfüllt werden. Dazu gehört auch, dass geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden und diese regelmäßig zu überprüfen und zu aktualisieren. Am Besten wird die Rechtsgrundlage auf die sich die Verarbeitung stützt gleich mit dokumentiert.

Einwilligungs-Management:

Ist für die Datenverarbeitung eine Einwilligung erforderlich, muss diese durch eine unmissverständliche Willensbekundung erfolgen (Text, E-Mail, Fax) oder durch elektronische Einwilligung per Mausklick. In jedem Fall ist eine Widerrufserklärung erforderlich in der der Betroffene darüber informiert wird, dass einer Verarbeitung jederzeit widersprochen werden kann. Eine entsprechende Dokumentation darüber ist nach Art. 7 DS-GVO erforderlich und muss nachgewiesen werden können. Alte rechtswirksame Einwilligungen bleiben zwar wirksam, müssen aber ebenfalls nachgewiesen werden können.
Kinder ab 16 Jahren dürfen zwar eine Einwilligung erklären, allerdings ist dazu die Zustimmung der Eltern erforderlich. Dies haben Verantwortliche zu prüfen und nachzuweisen.

Datenpannen:

Im Falle einer Datenpanne sollte ein Meldeprozess implementiert werden, damit klar ist wer zu informieren ist und wer die Panne gegenüber der Aufsichtsbehörde und den Betroffenen entsprechend Art. 33, 34 DS-GVO meldet. In der Regel übernimmt dies der Datenschutzbeauftragte bzw. wenn keiner benannt wurde die Geschäftsleitung. Wird durch die Datenpanne keine Verletzung des Datenschutzes erkannt (z.B. die Daten auf dem gestohlenen Mobilgerät verschlüsselt sind), muss keine Meldung an die Aufsichtsbehörde erfolgen. Die Panne selbst ist allerdings zu dokumentieren.

Datenschutz-Folgenabschätzung:

Verantwortliche und Auftragsverarbeiter sind dazu verpflichtet zu prüfen, welche Risiken eine Verarbeitung von personenbezogenen Daten für die Betroffenen hat. Dies kann durch eine Datenschutz-Folgenabschätzung entsprechend Erwägungsgrund 90 DS-GVO erfolgen und schreibt zwingend eine Dokumentation vor. Wird keine Analyse durchgeführt, sind die Gründe dafür ebenfalls zu dokumentieren.

Auftragsverarbeitung:

Wer Dienstleister damit beauftragt Aufgaben zu übernehmen, die die Verarbeitung von personenbezogenen Daten erfordert, benötigt einen Vertrag. Dieser soll sicherstellen, das die personenbezogenen Daten nur nach ihren Weisungen und nur zum Zwecke der Vertragserfüllung verarbeitet werden. Damit kann der Verantwortliche gegenüber der Datenschutzsaufsichtsbehörde nachweisen, dass der Beauftragte die Anforderungen der DS-GVO erfüllt. Eine Übersicht darüber, welche Dienstleister beauftragt wurden, hilft wenn Betroffene, einen Wiederspruch geltend machen oder das Recht auf Löschung in Anspruch nehmen.

Mitarbeiter:

Da Mitarbeiter auf Anweisung des Verantwortlichen die personenbezogenen Daten verarbeiten dürfen, sind entsprechende interne Datenschutzregelungen (Betriebsanweisung/Dienstanweisung) zu erstellen. Auch wenn private Arbeitgeber nach der DS-GVO nicht mehr verpflichtet sind, die Mitarbeiter zur Verschwiegenheit zur verpflichten, ist es ratsam eine Verschwiegenheitserklärung unterschreiben zu lassen und die Mitarbeiter im erforderlichen Umfang im Datenschutz zu schulen.

Löschkonzept:

Ist ein Zweck für die Verarbeitung von personenbezogenen Daten erfüllt oder macht ein Betroffener sein Recht auf Löschung geltend, sind diese zu löschen. Ausnahmen bilden die gesetzlichen Aufbewahrungsfristen oder wenn andere zwingend schutzwürdige Gründe angegeben werden können. Daher ist es sinnvoll ein Löschkonzept zu etablieren, aus dem hervorgeht wie lange bestimmte Daten aufbewahrt werden müssen und dies zu dokumentieren. Wer personenbezogene Daten an Dritte zur Auftragsverarbeitung weitergibt oder im Internet veröffentlicht, sollte festhalten an wen welche Daten weitergegeben wurden, um diese bei Bedarf löschen zu können.

Zertifizierungen:

Zertifizierungen die von einer Datenschutzaufsicht genehmigt wurden, können als Nachweis herangezogen werde, dass die Vorgaben der DS-GVO eingehalten werden. Dies ist entsprechend zu dokumentieren.

Fazit:

Grundsätzlich gilt, was die Dokumentation angeht: „so wenig wie möglich – so viel wie nötig“. Denn die DS-GVO soll ein Unternehmen nicht lähmen, sondern Betroffene schützen. Dazu muss ein Unternehmen nachweisen können, dass es sich an die Datenschutzgrundsätze hält und alles getan hat um die Daten zu schützen.

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

Schlagwortarchiv für: DS-GVO