Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO

Größe: px

Ab Seite anzeigen:

Download "Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO"

Erika Beyer
vor 6 Jahren
Abrufe

1 Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO Dipl.-Kfm. Christian Westerkamp, LL.M., ANMATHO AG, , Linstow

Vielzahl von Anforderungen und Pflichten der EU-DSGVO Anforderungen Datenschutzgrundsätze Betroffenenrechte Datenschutzkonformität Gewährleistung d.

2 Vielzahl von Anforderungen und Pflichten der EU-DSGVO Anforderungen Datenschutzgrundsätze Betroffenenrechte Datenschutzkonformität Gewährleistung d. Schutzniveaus Datenschutzfolgenabschätzung Risikomanagement Bestellung/Benennung DSB Internat. Datentransfer? Meldepflichten Pflichten Dokumentationspflichten Nachweispflicht Rechenschaftspflichten Informations- & Auskunftspflichten Umsetzung angemessener TOM s (Stand der Technik) Einführung von Prozessen 2

3 Stand der Umsetzung bisher sehr langsam und schleppend Bereits vollständig compliant 15% Vereinzelte Maßnahmen umgesetzt 41% Mit der Planung begonnen, aber noch keine konkreten Maßnahmen umgesetzt 16% Anforderungen bekannt, aber noch abwartend 25% 44% Noch nicht mit dem Thema auseinandergesetzt 3% Basis: (n=251) Quelle: International Data Corporation (IDC), Studie im Oktober

4 Unsicherheit macht vielen Unternehmen zu schaffen Schwer abzuschätzender Umsetzungsaufwand 52% Rechtsunsicherheit 43% Mangelnde praktische Umsetzungshilfen Zu kurzer Umsetzungszeitraum Fehlende finanzielle Ressourcen Schwierige technische Umsetzung Mangel an qualifizierten Mitarbeitern 32% 30% 27% 21% 17% Mangel an Unterstützung im Unternehmen 10% Basis: Unternehmen, die sich bereits mit der DSGVO auseinandergesetzt haben oder dies noch tun wollen (n=417) Mehrfachnennungen möglich Quelle: Bitkom Research Umfrage zur Privacy Conference im September

5 Umsetzungskonzept erforderlich Anforderungen + erfordern Ganzheitliche Strategie Struktur & Rahmen Pflichten KVP Gewährleistet Gesetzeskonformität & Erfüllung der Rechenschaftspflichten 5

6 Vorsicht vor Aktionismus & Stand alone-maßnahmen Ohne Umsetzungskonzept sind die (meisten) Datenschutzmaßnahmen wirkungslos und können mühelos umgangen werden! 6

7 EU-DSGVO schreibt kein konkretes Umsetzungskonzept vor ABER: Art. 32 Abs. 1 Ziff. d DSGVO Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung 7

8 Fragebogen des Bayerischen Landesamts für Datenschutzaufsicht (Auszug) Ein konkreter Hinweis für ein How to?! 8

9 Definitionsansatz Art. 32 Abs. 1 Ziff. d EU-DSGVO: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Ein Datenschutz Managementsystem (DSMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, den Datenschutz im Sinne der EU-DSGVO/des BDSG (neu) dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten, nachweisbar zu machen und fortlaufend zu verbessern. Basisquelle: Wikipedia Definition eines ISMS 9

10 Art. 32 EU-DSGVO beschreibt den Regelprozess PDCA & KVP 10

Orientierungsmaßstab Managementsysteme nach ISO Einen

Aber - bereits in der Entwicklung: ISO 29151 Leitfaden für

vorrausichtlich April 2018 ISO 27552 Erweiterung zu ISO

Eröffnet Zertifizierungsmöglichkeit (vgl. Art.

11 Orientierungsmaßstab Managementsysteme nach ISO Einen ISO-Standard Datenschutz gibt es noch nicht. Aber - bereits in der Entwicklung: ISO Leitfaden für den Schutz personenbezogener Daten Veröffentlichung vorrausichtlich April 2018 ISO Erweiterung zu ISO Datenschutzmanagement Veröffentlichung noch ungewiss Eröffnet Zertifizierungsmöglichkeit (vgl. Art. 42) Datenschutz (DSMS) Möglichkeit zur Integration durch einheitliche High Level-Structure aller ISO-Standards 11

ISO 27001-Standard inhaltsverwandt, etabliert,

12 ISO Standard inhaltsverwandt, etabliert, anerkannt Ableitung für das Umsetzungsschema des DSMS 12

13 Ganzheitlicher Ansatz Komponenten des DSMS Organisation Strategie Support High Level-Structure Datenschutz- Governance- Organisation Datenschutzstrategie & -leitlinie Risikomanagement & DSFA Bewertung & Überprüfbarkeit der Wirksamkeit Anpassung & Verbesserung PDCA/KVP- Zyklus TOM s Nachweisbarkeit 13

Der Regelprozess des DSMS Strategie GAP-Analyse DS- Leitlinie DS-Ziele Organisation DSB DS-Koordinatoren Kommunikations- und Meldeprozesse Dokumentenlenkung Identifikation pb Daten, Prozesse

14 Der Regelprozess des DSMS Strategie GAP-Analyse DS- Leitlinie DS-Ziele Organisation DSB DS-Koordinatoren Kommunikations- und Meldeprozesse Dokumentenlenkung Identifikation pb Daten, Prozesse (Datenschutz-Assets) Risikomanagement (vgl. ISO 27005) Datenflussdiagramm Rechtsgrundlagen Einwilligungen Verarbeitungsverzeichnis Auftragsverarbeitung Bei hohen Risiken Datenschutzfolgenabschätzung gemäß Art.35 DSGVO Anpassungen Ggf. Zertifizierung Managementreview Priorisierte Risikoliste KPI s Leistungsbewertung Internes Audit Auswahl der TOM s Etablierung notwendiger Prozesse Privacy by design & default Umsetzung Ggf. Einfluss eigener Überlegungen und des Annex der ISO

15 Fahrplanübersicht zur konformen (nicht mehr fristgemäßen) Umsetzung Benennung des DSB Aufwände abhängig von Größe & Datenschutzausprägung 15

16 Besten Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 16

Ähnliche Dokumente

Die EU-DS-GVO und Möglichkeiten ihrer Umsetzung

Die EU-DS-GVO und Möglichkeiten ihrer Umsetzung Agenda Rechtlicher Rahmen und Systematik Anforderungen und Sanktionen Die Umsetzung 2 Die ANMATHO AG Gründung 1997, inhabergeführt Standort Hamburg - deutschlandweit