Die DSGVO einfach in den Griff bekommen

Transkript

1 Solution Brief itelligence-lösungen für die Datenschutzgrundverordnung (DSGVO) Die DSGVO einfach in den Griff bekommen 1

2 Ab dem 25. Mai 2018 ist die DSGVO für alle Unternehmen verpflichtend. Worum geht es bei der Datenschutzgrundverordnung? Die europäische Datenschutzgrundverordnung (DSGVO) regelt detaillierter, wie Unternehmen personenbezogene Daten speichern und verarbeiten. Ab dem 25. Mai 2018 tragen Sie eine viel höhere Verantwortung für die Datensicherheit in Ihrem Unternehmen. Hinzu kommen neue Prozessanforderungen und umfangreichere Rechenschaftspflichten. Die EU-Verordnung soll Bürger künftig davor schützen, dass ihre personenbezogenen Daten zweckentfremdet, verarbeitet und weitergeleitet werden. Auch Ihr Unternehmen muss vollumfänglich über Art, Zweck, Weiterleitung und Umfang von teilweise oder vollständig automatisierten Datenverarbeitungen informieren können. Mit Inkrafttreten der Verordnung besitzt jede natürliche Person das Recht auf umfassende Auskunft über ihre Daten und kann deren Löschung fordern. Um diese Anforderungen zu erfüllen, gilt es, unter- schiedlichste Bereiche des Unternehmens einzubeziehen. Eine komplexe Aufgabe, denn die DSGVO vereinheitlicht das Datenschutzrecht in der EU. Zuvor galten in jedem Land unterschiedliche Gesetze und Standards. Auch Nicht-EU-Unternehmen müssen die DSGVO befolgen, wenn sie Daten von Europäern verarbeiten möchten. Die umfangreichen Vorschriften stellen Unternehmen vor mehrere Fragen: n Welche Bedeutung hat die DSGVO für unser Unternehmen? n Welche Unternehmensbereiche sind betroffen? n Was müssen wir beachten? Wir erklären, was Sie beachten müssen, damit Sie schnellstens mit der Umsetzung beginnen können. 4 % des jährlichen globalen Einkommens oder 20 Mio. können als Strafe verhängt werden. 2

3 Ihr Weg zur DSGVO-Compliance it.dsgvo Roadmap 1 Verantwortlichkeiten & Organisation festlegen 2 Rechtsgrundlage und Anforderungen kategorisieren Organisation 3 Daten- und Systemlandschaft analysieren Mitarbeiter 4 5 Prozesse DSGVO-konform definieren Datensicherheit gewährleisten Prozesse 6 Dokumentation & Datenschutzkonzept sicherstellen Datenfluss 7 Maßnahmen planen Datensicherheit it.dsgvo Roadmap Unser Workshop it.dsgvo Roadmap verschafft Ihnen einen Überblick darüber, in welchem Umfang Ihr Unternehmen bereits auf die DSGVO-Anforderungen vorbereitet ist. Mithilfe unseres siebenstufigen Vorgehensmodells werden alle relevanten Unternehmensbereiche untersucht und erste Handlungsschritte erarbeitet. Anschließend werden die fünf Teilbereiche, Organisation, Mitarbeiter, Prozesse, Datenfluss und Datensicherheit, unter die Lupe genommen und relevante Maßnahmen abgeleitet. n Wie werden die personenbezogenen Daten zwischen den Systemen ausgetauscht? n Welche organisatorischen Strukturen und Maßnahmen sind zu schaffen, beispielsweise für Auskunft und Bearbeitung von Löschanfragen? n Wie können Fachabteilungen in ihren Geschäftsprozessen unterstützt werden, wenn es um die Umsetzung der Verordnung geht? n Welche Tools können eingesetzt werden? Die Roadmap soll bei der Beantwortung folgender Beispielfragen unterstützen: n Wie kann maximale Transparenz bei personenbezogenen Daten geschaffen werden? Im Rahmen dieser High-Level-Analyse werden die Bereiche identifiziert, die eine besondere Aufmerksamkeit benötigen. Damit werden die dringenden Bereiche im Unternehmen zuerst angegangen und schnell die wichtigsten Maßnahmen ergriffen. 3

4 Das siebenstufige Vorgehensmodell erarbeiten Der Roadmap-Workshop erfolgt in drei Arbeitsschritten. In der Voranalyse werden Konzepte, Dokumente, Prozesse und Richtlinien geprüft. In dem darauffolgenden Workshop im Unternehmen wird das siebenstufige Vorgehensmodell abgearbeitet. Im letzten Schritt erfolgen die Ausarbeitung der Teilbereiche und die Maßnahmenplanung als Roadmap. Arbeitsschritte des Roadmap-Workshops Voranalyse Workshop Auswertung Konzepte, Dokumente, Prozesse, Richtlinien Checkliste, Ist-Situation, Best Practice, Lösungen Analyse, Ergebnisbericht, Maßnahmenplan, Roadmap Zur Unterstützung bei der Umsetzung der DSGVO in den relevanten High-Level-Bereichen im Unternehmen bietet itelligence im Rahmen der it.dsgvo Roadmap spezielle Lösungen an, die sich auf die jeweiligen Bereiche (Organisation, Prozesse, Datenfluss, Mitarbeiter und Datenschutz) konzentrieren. it.dsgvo Organisation Die meisten Unternehmen haben Schwierigkeiten, zentrale DSGVO-Verantwortlichkeiten festzulegen und in bestehende Strukturen einzubinden. itelligence berät und unterstützt Sie bei folgenden Aufgaben: n Organisationsstruktur aufstellen n Zuständigkeiten und Pflichten (bspw. des Datenschutzbeauftragten) definieren n Abgleich mit bereits bestehenden Rollen durchführen n Managementsystem für den Datenschutz aufbauen n DSGVO-Rollen in der bestehenden Gesamtorganisation etablieren n Bestehende Prozesse um erforderliche Kontrollmechanismen erweitern n Den Datenschutzprozess fortlaufend verbessern 4

5 it.dsgvo Prozesse Mit dem Paket it.dsgvo Prozesse bieten wir den perfekten Einstieg in die DSGVO-Prozessberatung. In unserem Prozess-Vorgehensmodell bieten wir folgende Leistungen: n Gemeinsame Aufstellung der Organisationsstruktur eines Unternehmens mit den DSGVO-relevanten Rollen n Identifikation und Modellierung der DSGVOrelevanten Schlüsselprozesse in übersichtlicher Form n Analyse der Schlüsselprozesse und Abgleich mit den datenschutzrelevanten Regelungen n Ermittlung erster Maßnahmen zur Konzeption neuer DSGVO-konformer Soll-Prozesse 1.Workshop Organisationsstruktur, Rollen, Verantwortlichkeiten 2.Workshop Analyse von max. 5 Kernpro- zessen, Soll-Prozessdefinition 3.Workshop Ergebnisbericht, Maßnahmenplan, Roadmap Weitere Pakete für detaillierte Prozesskonzeptionen sind zusätzlich zubuchbar it.dsgvo Datenfluss Die zu betrachtenden Aspekte im Bereich it.dsgvo Datenfluss sind vielfältig. Ein Hauptaugenmerk ist sicherlich auf die Vielzahl der IT-Systeme und die dort vorhandenen personenbezogenen Daten zu legen. Nicht zu vernachlässigen sind darüber hinaus die Schnittstellen zwischen IT-Systemen und die damit verbundenen Datenströme sowie personenbezogene Daten auf Test- und Qualitätssicherungssystemen. der Daten reichen. SAP ILM unterstützt durchgängig die Verwaltung personenbezogener Daten über deren gesamten Lebenszyklus hinweg und kann somit auch zum Sperren und Löschen von Kunden, Lieferanten, Geschäftspartnern und Mitarbeitern eingesetzt werden. Zur Erstellung eines DSGVO-konformen Lösch- und Archivierungs-konzeptes für Daten in SAP-Systemen unterstützen wir Ihr Unternehmen bei der Erstellung eines fachlichen Konzeptes. Unsere Lösungen: SAP Information Lifecycle Management (SAP ILM) Eine Komponente, die zur Einhaltung der DSGVO- Vorschriften genutzt werden kann, ist SAP Information Lifecycle Management (SAP ILM). Darin werden Regelwerke, Prozesse und Verfahrensweisen definiert, die von der Erfassung bis zum Löschen it.dsgvo Enterprise Content Management (ECM) Template Das it.dsgvo ECM Template ist eine ECM-basierte Lösung zur Verwaltung der DSGVO und eine unternehmensweite Plattform für die Dokumentation und Kommunikation gemäß DSGVO. Das Tool unterstützt Projektleiter dabei, alle im Rahmen der DSGVO zu erfüllenden Vorgaben vollständig abzuarbeiten und zu dokumentieren. Unsere Lösung kann 5

6 vom Datenschutzbeauftragten beliebig erweitert werden, um auf dieser Basis zukünftig alle erforderlichen Nachweise der DSGVO zu dokumentieren. Gleichzeitig bietet diese Lösung eine ideale Plattform dafür, alle DSGVO-konformen Prozesse zu dokumentieren oder über Workflows zu steuern. Elemente unserer Lösung: n Revisionssichere Nachvollziehbarkeit von Informationen, Akten, Maßnahmen und Workflows n Elektronische Aktenstruktur (Projektakte), auf die Mitarbeiter und Verantwortliche ortsunabhängig zugreifen können n Möglichkeit, verschiedenste Objekte abzulegen (bspw. Word-/Excel-Dokumente oder s) n Workflows zur Erstellung von Dokumenten (Erstellen, Prüfen, Freigeben, Kenntnisnahme) n Workflows zum Managen von Maßnahmen n Optional: Vertragsmanagement Die technische Basis der Lösung ist das ECM enaio blueline. Die Software bietet mit vielen Standardfunktionen allen Projektbeteiligten eine ideale Plattform, mit der diese ihre Aufgaben erledigen können. it.interface Scanner Eine der Hauptherausforderungen der DSGVO ist es, personenbezogene Daten in allen IT-Systemen und zugehörigen Schnittstellen zu ermitteln. Mit dem it.interface Scanner werden, ausgehend von einem Zentralsystem, alle ein- und ausgehenden Schnittstellen und Verarbeitungsprotokolle analysiert sowie die Häufigkeit der Nutzung ermittelt und grafisch dargestellt. it.dpm Mit der Lösung it.dpm (Data Provisioning & Masking) können nicht produktive Systeme schnell und einfach anonymisiert werden. Das it.dpm enthält eine zentrale Steuerungskomponente, mit der Migrationsszenarien sowie Anonymisierungsund Pseudonymisierungsregeln automatisch konfiguriert werden. Vorsysteme werden als Kopie der produktiven Systeme aufgebaut, bei dem Aufbau erfolgt bereits eine Anonymisierung, Pseudonymisierung oder Maskierung der personenbezogenen Daten. Das hat den Vorteil, dass für diese Daten die DSGVO immer erfüllt ist. Mittels der vordefinierten Verfremdungspakete lassen sich unter anderem folgende Daten schnell und einfach anonymisieren: n Namen, Adressdaten, Geburtsdaten n , Telefonnummern, Faxnummern n Bankverbindungen, Bankkontonummern/IBAN, Kreditkartennummern n Umsatzsteuer-ID it.dsgvo Mitarbeiter Das Paket it.dsgvo Mitarbeiter beinhaltet unter anderem it.dsgvo Human Capital Management (HCM). Damit erarbeiten wir eine Übersicht der IT-gestützten HCM-Prozesse und der in diesem Zusammenhang gespeicherten personenbezogenen Daten im Unternehmen. Unsere HCM-Tools und -Templates sind zudem optimal auf den Einsatz der Lösung SAP ERP Human Capital Managament zugeschnitten, aber auch generisch einsetzbar. Neben den gespeicherten Daten liegt unser Hauptaugenmerk auf den neuen Auskunfts und Meldepflichten rund um die DSGVO sowie einer Schwachstellenanalyse, aus der wir individuelle Handlungsempfehlungen ableiten. 6

7 Unsere Lösungen: it.dsgvo HCM Voranalyse Workshop Ergebnis Prozesse und Systeme, Richtlinien, Dokumente Checkliste, Analyse der Ist-Situation Ergebnisbericht, Schwachstellen, Maßnahmenplan, Roadmap Voranalyse: Prozessorientierte Analyse personenbezogener Daten n Personaladministration n Personalzeitwirtschaft n Entgeltabrechnung Workshop: Schwachstellenanalyse n Begutachtung vorhandener Berechtigungsstrukturen n Bewertung bestehender Schnittstellen n Identifikation potenzieller Konfliktfelder in Bezug auf EU-DSGVO HCM Transformer Unser HCM Transformer ist eine Lösung zum Kopieren und Anonymisieren personalwirtschaftlicher Daten, er enthält folgende Funktionen: n Laufende Bereitstellung von aktuellen, produktiven Personaldaten für Test und Schulung n Flexible Anonymisierung personenbezogener Daten n Vervielfältigung von Personaldaten n Umfangreiche Filter-/Selektionsmöglichkeiten n Konvertierungsfunktionen für Migrationsprojekte n Vergleich von Abrechnungs-/Zeitwirtschaftsdaten Ergebnis: Ableitung von Handlungsempfehlungen n Zentrale Zugriffsverwaltung/ zentrales Datenmanagement n Archivierung n Verantwortlichkeiten Der HCM Transformer beinhaltet umfangreiche Filter- und Selektionsmöglichkeiten, ist berechtigungsgeschützt und vollständig protokolliert. it.dsgvo Datensicherheit Unsere Lösungen: it.security Suite Ein DSGVO-konformes SAP-Security-Management besteht nicht nur aus Berechtigungskonzepten und der Einführung von Security-Tools zur Berechtigungsund Benutzeradministration. Es ist vielmehr das Abbild eines kompletten Security Lifecycles: von der regelmäßigen Anpassung der Applikationen bei sich ändernden Prozessen und Mitarbeitern bis hin zur permanenten Überwachung der kompletten Infrastruktur. SAP-Systeme sollten Geschäftsprozesse perfekt abbilden und bei der täglichen Arbeit unterstützen. Die Systeme müssen aber auch den aktuellen gesetzlichen DSGVO-Anforderungen entsprechen und sollten möglichst wenig Pflegeaufwand verursachen. Dies verlangt bzw. setzt ein funktionierendes Kontrollsystem innerhalb eines Unternehmens voraus. Ein ausgereiftes Zugriffs- und Berechtigungskonzept (User Authorization) stellt ein solches internes Kontroll- und Sicherheitssystem dar. Wir unterstützen Sie mit vielfältigen Security-Leistungen auf dem Weg zur DSGVO-Compliance. 7

8 Customer Identity Access Management (CIAM) itelligence unterstützt Sie beim Aufbau einer CIAM-Plattform, mit der Sie eine Gesamtsicht auf Ihre Kunden bekommen können. Dieses wird ermöglicht durch die Identifizierung des Kunden als eine Person, auch wenn er sich bei verschie- denen Applikationen und Systemen mit unterschiedlichen Logins anmeldet. Das CIAM stellt Werkzeuge zum Management von Kundenidentitäten zur Verfügung, womit zahlreiche Anforderungen der DSGVO und anderer Datenschutzbestimmungen systemübergreifend erfüllt werden können. DISCLAIMER itelligence erteilt keine Rechtsberatung. Die oben beschriebenen Informationen beschränken sich darauf, technische Funktionen sowie Lösungsmodelle zu erläutern, die unsere Kunden bei der Einhaltung von Datenschutzanforderungen unterstützen können. Sie möchten Ihre Daten in den Griff bekommen? Kontaktieren Sie uns direkt unter» / » Im itelligence AddStore erwartet Sie ein breites Angebot an AddOns auch zum Thema DSGVO! tag/dsgvo Headquarters: 8 itelligence AG Königsbreede Bielefeld Germany anfrage@itelligence.de 05/2018