Wie machen Sie Ihr Unternehmen fit für die Datenschutz- Grundverordnung? Gottfried Tonweber, EY

Transkript

1 Wie machen Sie Ihr Unternehmen fit für die Datenschutz- Grundverordnung? Gottfried Tonweber, EY

2 Fit oder nicht? Fragen die Sie sich stellen sollten! Ist Ihnen bewusst, welche Ihrer Prozesse personenbezogene Daten erheben/verarbeiten? Sind geeignete Maßnahmen vorhanden, um personenbezogene Daten angemessen zu schützen? Sind Ihnen alle gesetzlichen Anforderungen und Verpflichtungen betreffend Datenschutz bewusst? Was muss noch getan werden, um die gesetzlichen Anforderungen zu erfüllen? EU DSGVO Existiert eine Datenschutzrichtlinie, welche allen Mitarbeitern bekannt ist?

3 Datenschutz in Unternehmen Herausforderungen und Lösungsansätze Typische Herausforderungen Fehlende/unvollständige Strukturierung des Datenschutz Managements Begrenzte Ressourcen in der Datenschutzorganisation Wenig Vernetzung mit Nachbardisziplinen (z.b. Compliance, Information Security, Internal Audit Risk Management ) Kein voller Überblick über den Stand des Datenschutzes im Unternehmen Unklares Zielbild/Risikoappetit für Business Units uneinheitlich Datenschutz Governance/Implementierung von Richtlinien, Vorgaben und Prozessen national/international nicht voll wirksam Wichtige Business-Projekte werden nicht oder nur unzureichend begleitet Lösungsansätze Orientierung Datenschutz Management an Standards (z.b. IDW PS 980) Ausrichtung des Datenschutz Managements an Methode des Risikomanagements Doppelstrukturen vermeiden, gemeinsame Prozesse/ Strukturen nutzen Strukturiertes Vorgehen zur Ist-Aufnahme (Reifegrad) mit Risikobewertung der Gaps Festlegung Ambitionsniveau (risikobasiert flexibel auf Geschäftsfeld anpassbar) Rollout von Vorgaben & Prozessen intensiv steuern mit Fokus auf kritische Faktoren (Management Commitment, Kommunikation, Schulung, Best Practices, Umsetzungskontrolle) Beratung wichtiger Business-Projekten als Mediator (Datenschutz, IT und Business) Strukturiertes an den Risiken orientiertes Vorgehen zu Implementierung/Optimierung/Rollout von DS- Organisation, Richtlinien und Prozessen erforderlich

4 Strukturiertes Datenschutz Management angelehnt an IDW PS 980 Ein mögliches Vorgehen für ein strukturiertes Datenschutzmanagement baut auf dem Standard zur Prüfung von Compliance-Management-Systemen (IDW PS 980) auf. Angelehnt an die Grundelemente eines Compliance Management Systems besteht ein strukturiertes DSMS aus den folgenden Elementen: Ein Datenschutz Management System stellt die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen dar, mit denen der datenschutzkonforme Umgang mit personenbezogenen Daten im Unternehmen systematisch gemanaged wird.

5 Strukturiertes Datenschutz Management angelehnt an IDW PS 980 Tone from the Top Commitment zum Datenschutz muss von Führungskräften kommen und vorgelebt werden Umgang mit Datenschutzvorfällen Incident Management Verfahrensverzeichnis Übersicht aller Prozesse, die personenbezogene Daten verarbeiten Meldung von Datenschutzvorfällen Privacy Breach Notification Auftragsdatenverarbeitung Steuerung von Dienstleistern die die personenbezogene Daten erheben, verarbeiten oder nutzen Steigerung der Awareness durch regelmäßige Schulung der Mitarbeiter Schulung alksdjf Internationaler Datentransfer Daten außerhalb der EU müssen denselben Schutz-Standards entsprechen Durchführung von regelmäßigen internen oder externen Datenschutz-Audits Audit

6 Datenschutz Transformation Maturity Assessment als Ausgangspunkt Ist-Assessment Planung (Plan) Implementierung (Do) Reifegrad Risiken Def. Zielbild Roadmap Design Rollout Strukturiertes Maturity Assessment Angelehnt an Standards Modularer Ansatz National/ International Identifikation der Gaps Spiegelung an Business Model Identifikation der Hauptrisiken Priorisierung der Gaps Festlegung Ambitionsniveau Festlegung Struktur DSMS Business Case Minimierung der Compliance Risiken Effizienz und Effektivität Priorisierung Hygienemaßnahmen zuerst Fokus auf Tools of Effectiveness Schnittstellen mit anderen Mgmt. Systemen Neuerfindung des Rads vermeiden Implementierung priorisierter Prozesse/ Module Beispielsweise Organisation (z.b. int. Team) Richtlinien Konzepte (z.b. Schulungskonzept) Prozesse (PIA-, ADV-Prozess, ) Beispielsweise Verabschiedung/ Beschluss Best Practices/ Unterstützung Kommunikation/ Schulung Monitoring Erfolgskontrolle

7 Ist-Assessment Erhebung Prozessreifegrad DSMS Assessment Checkliste zu Prozessen/Policies/Organisation usw. ca. 130 Fragen, 5-stufige Bewertungsskala Interview + Dokumentensichtung Benchmarking mit über 30 relevanten Unternehmen möglich Heatmaps und Spider-Diagramme Schneller Überblick zu Reifegrad einzelner Bereiche Bewertung der Risiken für das Unternehmen Ergebnis

8 Gap-Assessment Ableitung von Gaps und Erstellen einer Roadmap Ergebnisse der Assessment Phase Identifikation der Gaps/ Handlungsfelder Detaillierter Projektplan für 2016, 2017 und 2018 Definition einer High-Level Roadmap

9 Strukturiertes Datenschutzmanagement Integration der Managementsysteme

10 Datenklau bei Yahoo

11 Kontaktinformationen Gottfried Tonweber Office: + 43 (1) Mobil: + 43 (664) gottfried.tonweber@at.ey.com Senior Manager und Leiter der Cyber Security Services bei EY Österreich. Mehr als 10 Jahre Erfahrung in IT Beratung und Prüfung in Österreich, Europa und weltweit.

12 EY Assurance Tax Transactions Advisory Die globale EY-Organisation im Überblick Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch Building a better working world. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter In Österreich ist EY an vier Standorten präsent. EY und wir beziehen sich in dieser Publikation auf alle österreichischen Mitgliedsunternehmen von Ernst & Young Global Limited Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.h. All Rights Reserved.