Umsetzung der EU-Datenschutz-Grundverordnung

Größe: px

Ab Seite anzeigen:

Download "Umsetzung der EU-Datenschutz-Grundverordnung"

Gerburg Meinhardt
vor 5 Jahren
Abrufe

1 Umsetzung der EU-Datenschutz-Grundverordnung Bettina von Fechthelm Konzerndatenschutzbeauftragte BvD-Herbstkonferenz Datenschutz Rolls-Royce Power Systems AG Die Informationen in diesem Dokument sind Eigentum der Rolls-Royce Power Systems AG. Veröffentlichungen, Vervielfältigungen oder Weitergabe an Dritte sind ohne eine ausdrückliche schriftliche Genehmigung der Rolls-Royce Power Systems AG nicht gestattet. Die enthaltenen Informationen werden in gutem Glauben und auf der Grundlage der neuesten Informationen, die der Rolls-Royce Power Systems AG zur Verfügung stehen kommuniziert. Rolls-Royce Power Systems AG erteilt keine Garantie noch wird es eine Stellungnahme zu den hier enthaltenen Informationen geben. Diese Informationen stellen keine Grundlage für die Gründung eines vertraglichen oder sonstigen Engagements der Rolls-Royce Power Systems AG oder einer ihrer Tochtergesellschaften oder ihr verbundenen Unternehmen dar. Der Name ROLLS-ROYCE, das RR Abzeichen und die RR-Monogramm-Logos sind eingetragene Warenzeichen der Rolls-Royce plc.

2 Agenda Ø Vorstellung der Rolls-Royce Power Systems AG Ø Die Projektaufgabe Ø Der Lösungsweg Ø Was haben wir bis zum erreicht Ø Vorteile Ø Aktuelle Herausforderungen 2

3 Rolls-Royce Ein Weltklasse-Team Kerngeschäftsfelder Civil Aerospace Defense Power Systems Umsatz 2017: 15,1 Mrd. GBP Marine 7 % Mitarbeiter Civil Aerospace 53 % Marine & Defense Power Systems 20 % Marine (Privatschifffahrt) 28 % Energie 31 % Industrie 24 % Defense & Sonstiges 11 % Civil Nuclear 6 % Defense 19 % Sonstige Geschäftstätigkeiten 1 % ca

4 Power Systems zweitgrößter Geschäftsbereich des Rolls-Royce-Konzerns Kerngeschäftsfelder Civil Aerospace Defense Power Systems Umsatz nach Region Mitarbeiter Europa 44 % Nord- und Südamerika 23 % China 12 % Marine & Defense Mittlerer Osten, Afrika und Zentralasien 6 % Asien- Pazifik 16 % ca

5 Rolls-Royce Power Systems AG Ø Ø Ø Ø Ø Ø 5 Kontinente 24 Länder 60 Gesellschaften Ca. 70 Prozessverantwortliche Ca. 130 Manager Ca Mitarbeiter Die Projektaufgabe 5

6 Die Projektaufgabe Implementierung der EU-Datenschutz- Grundverordnung (DS-GVO) bis zum

7 Der Lösungsweg 1. Entscheidung zur Einführung eines Datenschutzmanagementsystems (DSMS) Ø Umgesetzt nach international anerkannter und im Konzern etablierter Vorgehensweise in Anlehnung an ISO/IEC Ø Dokumentation erfolgt nach dem PDCA-Zyklus (Plan, Do, Check, Act) 7

8 Der Lösungsweg 2. Etablierung einer globalen Konzernrichtlinie Ø Festlegung, was zur Umsetzung der EU-Datenschutz- Grundverordnung erforderlich ist Ø Schutz personenbezogener Daten von Beschäftigten und Geschäftspartnern Ø Ausrollung und Implementierung weltweit 8

9 Der Lösungsweg 3. Etablierung von zugehörigen Handlungsanweisungen Ø Festlegung für unterschiedliche Zielgruppen (Beschäftigte, IT, HR, Facility Management, Dienstleistermanagement) wie Datenschutz weltweit umgesetzt wird 9

10 Der Lösungsweg 4. Konkrete Hilfestellung im Arbeitsalltag Ø Zurverfügungstellung von Formularen, Checklisten, etc. Ø Anpassung des bestehenden Online-Tools auf die DS-GVO Ø Schulung der Führungskräfte und Mitarbeiter 10

11 Der Lösungsweg 5. Zuordnung der Verantwortlichkeiten und Aufgaben Schlüsselrollen : Ø Konzerndatenschutzbeauftragte Ø Datenschutzkoordinator Ø Prozessverantwortlicher Ø Ressourcen-Verantwortlicher (IT, HR, Facility Management) 11

12 Der Lösungsweg 6. Risikobasierter Ansatz Weshalb die Anlehnung an ISO/IEC 27001? Ø international etabliert Ø Prozesse werden erfasst und dokumentiert Ø Risikobewertung erfolgt bei der ISO/IEC durch den Fachbereich, beim DSMS durch den Datenschutz 12

13 Der Lösungsweg 6. Risikobasierter Ansatz Den Unternehmensprozessen wird in Abhängigkeit der möglichen Beeinträchtigungen für die Rechte und Freiheiten der Betroffenen ein Schutzbedarf zugeordnet Prozesse (Verarbeitungstätigkeiten) - Bewerbungsprozess - Einstellungsprozess - Führen der Personalakte - etc.... Schutzbedarf Vertraulichkeit Integrität Verfügbarkeit Hoch Hoch Mittel 13

Der Lösungsweg Ø Aus dem Schutzbedarf folgen Kontrollziele für die mit den Prozessen verbundenen Ressourcen Ø Aus Kontrollzielen werden konkrete technische und organisatorische Maßnahmen abgeleitet

14 Der Lösungsweg Ø Aus dem Schutzbedarf folgen Kontrollziele für die mit den Prozessen verbundenen Ressourcen Ø Aus Kontrollzielen werden konkrete technische und organisatorische Maßnahmen abgeleitet Ressourcen umzusetzende Schutzmaßnahmen Anforderungskatalog Teil II Physische Infrastruktur Gebäude, Räume, Behältnisse z.b. Büro HR IT-Systeme & Anwendungen Server, Anwendungen, etc. z.b. Fileserver Organisation Mitarbeiter, Personal z.b. Mitarbeiter HR 14

15 Der Lösungsweg Abgrenzung von Datenschutz- und Unternehmensrisiken Datenschutzrisiken Unternehmensrisiken Im Fokus Die einzelne Person Im Fokus Das Unternehmen Geschützt werden Die Persönlichkeitsrechte Geschützt werden Unternehmenswerte Risiko Verletzung der Rechte und Freiheiten von Personen Risiko Beeinträchtigung des Unternehmenserfolgs 15

16 Was haben wir bis zum erreicht Ø Globale Konzernrichtlinie seit international implementiert Ø Zentrales Online-Tool für weltweiten Einsatz gerüstet Ø Führungskräfte und Mitarbeiter wurden geschult 16

17 Vorteile Ø Schaffung von einheitlichen Standards weltweit Ø Risikobasierter Lösungsansatz: Risiko analysieren Schutzbedarf festlegen Anforderungen an Ressourcen definieren alle Prozesse in dem Online-Tool dokumentieren umgesetzte Anforderungen regelmäßig auditieren 17

18 Vorteile Ø Erfüllung der Dokumentations- und Nachweispflichten im Sinne der EU-DSGVO Ø Standardisierter Lösungsansatz kann für weitere zukünftige Bedarfe und Anforderungen innerhalb des Konzerns verwendet werden Ø Nutzung der Synergien im Unternehmen 18

19 Aktuelle Herausforderungen Ø Weiterführung des Verzeichnisses von Verarbeitungstätigkeiten Ø Etablierung der datenschutzkonformen Prozesse Ø Vertiefende Schulungen für Prozessverantwortliche und Datenschutzkoordinatoren Ø Regelmäßige Auditierung 19

Aktuelle Herausforderungen GAP-Analyse Konzeption Einführung Betreuung

Ist-Abweichungen Vorschlag einer bewerteten Maßnahmenliste Präsentation der Ergebnisse

Grundlagen für ein DSMS aufbauen DS-Organisation inkl.

Arbeitshilfen DSMS etablieren üdauer ca.

(Integration des DSMS in die tägliche Arbeit) Mitarbeiter informieren und aufklären

20 Aktuelle Herausforderungen GAP-Analyse Konzeption Einführung Betreuung Handlungsempfehlungen erstellen Dokumentation und Gewichtung der Soll- Ist-Abweichungen Vorschlag einer bewerteten Maßnahmenliste Präsentation der Ergebnisse Diskussion der nächsten Schritte ü Grundlagen schaffen Organisatorische und formale Grundlagen für ein DSMS aufbauen DS-Organisation inkl. Definition von Verantwortlichkeiten und Aufgaben DS-Richtlinien und entsprechende Arbeitshilfen DSMS etablieren üdauer ca. 1 Jahr Organisation in Kraft setzen und bekannt machen DS-konforme Prozesse etablieren (Integration des DSMS in die tägliche Arbeit) Mitarbeiter informieren und aufklären DSMS betreiben Prüfen, dokumentieren, empfehlen und aufklären Anfragen (intern, extern) bearbeiten Schulen und sensibilisieren DSMS fortschreiben Jahresbericht erstellen und dem Vorstand vorstellen 19

21 Vielen Dank! 20

Ähnliche Dokumente

Rolls-Royce Power Systems AG Ihr leistungsstarker Partner

Rolls-Royce Power Systems AG Ihr leistungsstarker Partner "Berufsbildung - international und attraktiv" 03.November 2015 2014 Rolls-Royce Power Systems AG Die Informationen in diesem Dokument sind Eigentum