Die (ersten) Schritte zur Compliance. Rainer Sternecker

Transkript

1 Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker

2 Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai 2018 wirksam. Die Reform stärkt Grundrechte der EU-Bürger im digitalen Raum mit Fokus auf personenbezogene Daten. Die Verordnung fordert Techniken wie Anonymisierung (PD* entfernen), Pseudonymisierung (PD* ersetzen) und Verschlüsselung (PD* kodieren). Strafen: bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes europa.eu/rapid/press-release_memo _de.htm *) personenbezogene Daten

3 Die DSGVO und wir: Vor- und Nachteile für Bürger: Vorteile Datenschutz Recht auf Vergessen Datenzugriff Recht auf Auskunft Nachteile keine für Unternehmen: 1 Regelung statt 28 1 Aufsicht statt 28 1 Recht für alle Datenzugriff keine

4 Themenfelder mit Bauchweh und Handlungs-/Klärungsbedarf Informationspflicht Datenübertragbarkeit Berichtigung Löschen/Sperren Einschränkung der Verarbeitung Automatisierte Entscheidung Informationen an die betroffene Person bezüglich der verarbeiteten Daten, des Verantwortlichen, des Zwecks sowie der entsprechenden Aufbewahrungspflichten. Die betroffene Person hat das Recht, die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbarem Format zu erhalten. Personenbezogene Daten müssen korrekt sein und berichtigt werden (spätestens nach Aufforderung der betroffenen Person). Die Möglichkeit, personenbezogene Daten nach Ablauf aller entsprechenden Aufbewahrungsfristen zu löschen. Die betroffene Person hat in bestimmten Fällen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen. Die betroffene Person hat bei der automatischen Entscheidung das Recht, das Eingreifen eines Menschen zu verlangen. Welche Daten sind nochmal betroffen? Alle Daten. Wirklich alle Daten? Ja, alle Daten.

5 DSGVO-relevant sind: ALLE Daten, und zwar wirklich alle. Herzlich willkommen MAX MUSTERMANN (männlich, München) zum heutigen Event!

6 Weitere Herausforderungen Gegenüber Aufsichtsbehörden Interne Herausforderungen Haben wir einen Überblick über sämtliche Datenquellen? Was sind personenbezogene Daten? Wie hoch ist das Risiko- Level pro Datenquelle? Wie erkennen wir personenbezogene Daten? Können wir nachweisen, wo personenbezogene Daten gespeichert sind? Kontrollieren wir Zugriffsrechte? Können wir nachweisen, dass wir die notwendigen Prozesse etabliert haben? Protokollieren wir Nutzeraktivitäten für jeden Datenbestand? Haben wir Tools für die Dokumentation und die Protokollierung im Einsatz? Inwiefern erschweren Duplizierung und schlechte Datenqualität das Löschen und Vergessen?

7 EU-Datenschutz-Grundverordnung (DSGVO) Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann. Indirekt = Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

8 Personal Data Protection Merkmale Bank Account o Bank Identifier Code (BIC) o IBAN Kreditkartennummer o American Express o VISA o MasterCard o Dinners Club o Discover o JCB Demographische Daten o Name o Geschlecht o Geburtsdatum o Alter o Nationalität Kanäle o Telefonnummer o Adresse o Stadt o Land o Addresse Behörden Identifizierungsmerkmal o Passnummer o Sozialversicherungsnummer o Fahrgestellnummer o Führerschein Digitale Identifizierungsmerkmale o IP Adresse (V4, V6) o MAC Adresse o X/Y Geographische Koordinaten Sociale Medien o Twitter Account o URL FaceBook o URL Linkedin o URL Pinterest o URL Instagram Organisation Sensitive Daten o o o o o o o o o o Gesundheit Politisch Religiös Philosophisch Genetisch Biometrisch Rasse Ethnisch Kinder Mitgliedschaften

9 DSGVO Analyse Operative Systeme DWH Datenprozesse Reports / Analysen User Data Stores IDV - CI - Analytics Web ERP CRM SCM Operative Entscheidungen Dieses Produkt dem Kunden anbieten? Strategische Entscheidungen In neue Märkte investieren? Offenlegungen Behörden Stakeholder Partner

10 DSGVO Analyse (1) Erkennen von PD Operative Systeme DWH Datenprozesse Reports / Analysen User Data Stores IDV - CI - Analytics Web ERP CRM SCM Operative Entscheidungen Dieses Produkt dem Kunden anbieten? Strategische Entscheidungen In neue Märkte investieren? Offenlegungen Behörden Stakeholder Partner

11 DSGVO Analyse (2) Identifizieren und (3) Zuordnen Operative Systeme DWH Datenprozesse Reports / Analysen User Data Stores IDV - CI - Analytics Web ERP CRM SCM Operative Entscheidungen Dieses Produkt dem Kunden anbieten? Strategische Entscheidungen In neue Märkte investieren? Offenlegungen Behörden Stakeholder Partner

12 DSGVO Analyse (4) Absichern und Loggen Operative Systeme DWH Datenprozesse Reports / Analysen User Data Stores IDV - CI - Analytics Web ERP CRM SCM Operative Entscheidungen Dieses Produkt dem Kunden anbieten? Strategische Entscheidungen In neue Märkte investieren? Offenlegungen Behörden Stakeholder Partner

13 DSGVO Analyse (5) Überwachen Operative Systeme DWH Datenprozesse Reports / Analysen User Data Stores IDV - CI - Analytics Web ERP CRM SCM Operative Entscheidungen Dieses Produkt dem Kunden anbieten? Strategische Entscheidungen In neue Märkte investieren? Offenlegungen Behörden Stakeholder Partner

14 DSGVO mit SAS Data Quality Lineage Business Data Network Federation Server Visual Analytics Erkennen Identifizieren Zuordnen Absichern Überwachen Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan) Inventurliste PD-kritischer Felder Verbinden mit den Datenfluss- Metadaten zur Dokumentation der Prozesse Visualisierung der Lineage Rollenbasiertes Glossar mit Verantwortlichen Verknüpfung fachlicher Verfahren mit technischem Data Dictionary Zentrale Zugriffsbeschränkung mit dynamischen User- Rechten Federation Pseudonymisierung Anonymisierung DSB-Dashboard Auditing-Logs Monitoring Eskalieren und Nachhalten von Verstößen per Workflow

15 ACCELERATOR FOR EU DATA PROTECTION Identify data flow Access data flow Mitigate data flow risks Reports

16 ACCELERATOR FOR EU DATA PROTECTION Auffälligkeiten in der Datenqualität sollten ebenfalls Teil des Reportings sein

17 ACCELERATOR FOR EU DATA PROTECTION Beispiel: Aufspüren und Extrahieren mithilfe vordefinierter DQ-Regelwerke (SAS Quality Knowledge Base)

18 ACCELERATOR FOR EU DATA PROTECTION Verknüpfung von Systemen, Prozessen und Verantwortlichen entlang der Datenflüsse

19 ACCELERATOR FOR EU DATA PROTECTION Automatisiertes Glossar der personenbezogenen Daten Definition von Begriffen und Geschäftsobjekten, um eine Zusammenarbeit von Fachabteilung und IT zu gewährleisten Klare Übersicht der Rollen und Verantwortlichkeiten

20 ACCELERATOR FOR EU DATA PROTECTION Anonymisierung (Entfernen der PD) Pseudonymisierung (Ersetzen der PD) Verschlüsselung (Encodieren der PD)

21