SCHADOWSKI.com Professioneller Datenschutz.

Transkript

1 TÜV cert sachkundiger Datenschutzbeauftragter ISO/IEC zertifizierter / überwachter EU Datenschutzbeauftragter ISO/IEC zertifizierter Lead Auditor (PECB), anerkannter Auditor IT-Sicherheit Fachgruppenleiter für Datenschutz und Vorstand im Bundesfachverband der IT-Sachverständigen BISG e.v. aktives Mitglied in der Gesellschaft für Datenschutz und Datensicherheit GDD e.v.

2 SCHADOWSKI.com

3 Worum geht es im Vortrag? Datenschutz allgemein Daten sind Geld (Darknet, Big Data) Neue Gesetzgebung in der EU und in Deutschland Checklisten zur Umsetzung = alles gut? Wie setze ich Datenschutz angemessen um? Was muss ich als Messeveranstalter beachten? INTERAKTIV! 3

4 Mitmachen! Datenschutz funktioniert nur, wenn alle mitmachen damit fangen wir heute zusammen an! Votingsysteme für Feedback während der Veranstaltung. Wie denke ich, wie die anderen? Natürlich anonym. 4

5 Wer ist der BISG e.v.? Bundesfachverband der IT Sachverständigen und Gutachter e.v. Größter IT-Sachverständigen Fachverband in Deutschland 120 Gutachter (zunehmend, 2016: +80) 12 Fachbereiche Fördermitglieder Vermittlung von Gutachtern IT Prüfungen bei Unternehmen Produktprüfungen KRITIS, IT-SiG Gütesiegel Vergabe 5

6 Vita Schadowski Jahrgang 1966, verheiratet, 2 Söhne Naturwissenschaftler Chemie, Psychologie, Philospohie, BWL, Abfallwirtschaft IT Leiter RZ Leiter 98 Selbständig, Systemhaus, 4 Standorte international Übergabe Organisation an Führungskräfte 05 Erste Schritte im Datenschutz 15 Heute: GRC Manager von Mittelstand bis internationale Konzerne ISO Framework angemessen aufbauen 6

7 Wer sind wir? SCHADOWSKI.com 2 Organisationen: ADDAG.de (TOP 100 in D) IT Operations, Monitoring SAM, LM, Prozessberatung gegründet 1993 Schadowski.com Fokus Datenschutz / ISO / Compliance / KRITIS 4 Datenschutzbeauftragte 6 Datenschutzreferenten 6 ISO (LEAD) Auditoren in einem Team aus 22 Mitarbeitern in einem Partner-Netzwerk mit weiteren 80 kooperierten Datenschutzbeauftragten bundesweit 100 kooperierte IT-Sicherheitsbeauftragte bundesweit. 7

8 Wie viele Mitarbeiter (TZ/VZ) arbeiten in Ihrem Unternehmen? 1. < > % 41% 31% 5% 9%

9 SCHADOWSKI.com

10 Ist der Datenschutz bei Ihnen organisiert? 1. Ja, macht die IT Abteilung mit. 2. Ja, wir haben einen internen DSB. 3. Ja, wir haben einen externen DSB. 4. Nein, ich sehe keinen Nutzen. 54% 14% 20% 12%

11 ADDAG GmbH&Co.KG, Dr. 2016, Ralf Dr. Schadowski, Ralf W. Schadowski,

12 Wie bewerten Sie die Umsetzung Datenschutz bei Ihnen im Unternehmen? 1. Sehr gut 2. Gut 3. Befriedigend 4. Ausreichend 5. Mangelhaft 6. Ungenügend 4% 16% 29% 23% 23% 4%

13 Neulich unter 120 Datenschutzbeauftragten: (Mittelstand und Konzerne) SCHADOWSKI.com 13

14 Sind Ihnen bereits Daten entwendet worden? 1. Ja. 2. Nein. 3. Ich sehe keine Risiken. 71% 27% 1%

15 KPMG: e-crime-studien seit 2010 Computerkriminalität in der deutschen Wirtschaft Betroffen: jedes vierte Unternehmen alle Branchen Hauptgefahren bekannte Gesichter vs Dritten Datendiebstahl durch persönlichen wirtschaftlichen Druck Sensibilisierung der Mitarbeiter hat hohe Priorität! Technische Maßnahmen wichtig - aber: mehr Blick auf den Menschen

16 Der Handelsplatz für illegale Daten und mehr...:

17 Datenklau verhindern! Wer macht was mit welchen Daten auf welchen Systemen? Sprechen Sie mit Ihrem IT-Sicherheitsbeauftragten und / oder Datenschutzbeauftragten über Information Rights Management. Entkoppeln Sie Benutzer-und Nutzungsberechtigungen. Behalten Sie die Kontrolle über Daten. Immer. Auch und gerade in der Cloud.

18 Der kommende neue EU Datenschutz / BDSG ist für Messeveranstalter 1. Unwichtig. 2. Nur Aufwand = Kosten, kein Nutzen. 3. Strategisch wichtig. 4. Bereits umgesetzt. 74% 15% 5% 5%

19 19

20 general data protection regulation EU Datenschutz Grundverordnung EU DSGVO 20

21 EU Datenschutz Grundverordnung Ab dem Jeder muss erklären können, WIE er an die Daten eines anderen gekommen ist. Wir haften für die Datenpannen bei unseren Dienstleistern mit bis zu 4% vom Gesamt Unternehmens-Umsatz mit! und unsere Auftraggeber haften für Datenpannen bei uns! Schlussendlich: WER bekommt den Auftrag? Datenschutz wird überlebensnotwendig für jeden Betrieb. Jeder muss die Wirkung verinnerlichen! 21

22 EU Datenschutz Grundverordnung Datenschutz Folgeabschätzungen Grundlage Risiko-Inventar / -Management Marktortprinzip DSGVO gilt unabhängig vom Sitz des Unternehmens Ziel: Datenschutz als Grundrecht eines Menschen durchsetzen. 22

23 23

24 SCHADOWSKI.com

25 Datenmengen explodieren! 80% der Big Data wurden in den letzten 2 Jahren erzeugt. Compliance-Verletzungen sind dabei der Killer. Wie kann man Daten nebenher sammeln Massendatenerhebungen rechtskonform gestalten Das ist gestaltender Datenschutz! Wie nehmen wir den Menschen die Sorgen vor Industrie 4.0? 25

26 Geld verdienen mit BIG Data?! 1. Darüber haben wir noch nie nachgedacht. 2. Ist bei uns in Planung. 3. Damit verdienen wir bereits gutes Geld. 58% 33% 8%

27 Daten Jobs Geld. Rechtskonformes sammeln von Daten (zum Beispiel von Messebesuchern) über viele Veranstaltungen... bis hin zu repräsentativen Daten um mit diesen Daten Menschen zu binden Veranstaltungen zu organisieren Verkäufe zu steigern Massendaten werden nebenher gesammelt. zum Wohle der Menschheit -?

28 Checkliste: Was muss ich MINDESTENS tun? > 9 Mitarbeiter Datenschutzbeauftragte/r vorhanden? Intern vs. Extern bewerten. Stand der Technik umgesetzt? Optional: 2 Tage IST Aufnahme inkl. Handlungsempfehlungen. TOSR. Mitarbeiter auf Datenschutz verpflichtet und regelmäßig geschult? Dienstleister auf Datenschutz verpflichtet? Fehlende ADV bis zu 50 TEUR OWI Demnächst bis zu 2% vom Umsatz des Auftraggebers bei fehlender Vereinbarung, bis zu 4% bei Datenpanne (Art. 26 i.v.m. Art. 85ff) Innerhalb D, EU, non EU unterschiedlich regeln. Risikoinventar für DSFA vorhanden? (Art 35 DSGVO) Prozesse mit PBD dokumentiert? Stichwort: Verfahrensverzeichnis. Meldeprozess an Datenschutz-Aufsicht organisiert? (72h) Daten (alle) unter Kontrolle bekommen. Stichwort: IRM. Alles machbar anfangen! Datenschutz einfach. 28

29 Checkliste: Messeveranstalter (zusätzlich) ALLE Dienstleister schriftlich entsprechend 11 BDSG auf Datenschutz verpflichtet? Welche Daten werden von Besuchern erhoben? Datenschutzbewertung durchführen (lassen) Werden Daten vor/während/nach der Messe weitergegeben? An wen? Zulässig ja / nein? Benutze / biete ich Portale zur Registrierung an? Datenschutzerklärung / Nutzervereinbarungen prüfen. Nutze ich Analysetools innerhalb der Zulässigkeiten? Bin ich auskunftsfähig an Betroffene? Welche Daten wurden vom wem unter welchem Konsens erhoben? Wann muss ich welche Daten wieder löschen? Will ich das überhaupt? Messeveranstalter tragen Verantwortung für die Daten Dritter. Der Datenschutzbeauftragte kennt sich aus. 29

30 Nehmen Sie die Checklisten mit und lassen Sie von Ihren Fachbereichen bestätigen, das die Mindestanforderungen umgesetzt sind bewerten Sie Ihr finanzielles Risiko (Ordnungsgeld) Prüfen Sie, ob Ihre Organisation Compliance Prüfungen durch Ihre Auftraggeber stand halten kann. 30

31 Schritt 1: IST Aufnahme Nur 2 Tage vor Ort: Technik, Organisation, Strategie und Recht auf Basis BSI inkl. Handlungsempfehlungen Es gibt Fördergeld bei < 250 Mitarbeiter: 1. Geprüfte Auditierung nach BSI Benchmarking 2. DS Auditierung nach BSI / BDSG 3. Handlungsempfehlungen (Was? Wer? Bis wann? Budget.) 31

32 Wie bewerten Sie die Umsetzung Datenschutz bei Ihnen im Unternehmen? [2] 1. Sehr gut 2. Gut 3. Befriedigend 4. Ausreichend 5. Mangelhaft 6. Ungenügend 20% 15% 21% 34% 7% 3%

33 Fragen? Für noch mehr Informationen zu den Erfahrungen aus den Auditierungen klicken Sie einfach das Video an auf