Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Transkript

1 Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen? Copyright 2017 BSI. All rights reserved 1

2 Herzlich Willkommen. Josef Güntner Client Manager & Lead Assessor BSI Group Deutschland GmbH Qualifikationen: ISO Lead Auditor inkl. ISO ISO 9001 Lead Auditor ISO Lead Auditor BS Lead Auditor ISACA: CISA, CRISC ISC2: CISSP EXIN: ITIL Expert VDE: IT SiK Energienetze PCI SSC: Payment Card Industry Copyright 2017 BSI. All rights reserved 2

3 Ihr Vertrauenswürdiger und global anerkannter Partner 51% des Fortune % des FTSE % des Nikkei Index Kunden 182 Länder Mitarbeiter 76 Büros weltweit Branchenexperten Über Standards verfügbar Copyright 2017 BSI. All rights reserved.

4 Kapitel II Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten gemäß DSGVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht = Der Verantwortliche ist für die Einhaltung der o.g. Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können. Copyright 2017 BSI. All rights reserved 4

5 Kapitel IV - Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen (1)Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) (3)Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Copyright 2017 BSI. All rights reserved 5

6 Geeignete Managementsystemansätze zur Unterstützung der Umsetzung der Anforderungen der DGSVO Erweiterung des Control-Sets eines etablierten ISMS gemäß ISO 27001:2013 Etablierung eines eigenständigen Datenschutzmanagementsystem gemäß BS 10012:2017 Koexistenz eines Datenschutzmanagementsystem gemäß BS 10012:2017 mit einem Managementsystem gemäß Annex SL Copyright 2017 BSI. All rights reserved 6

7 Erweiterung des Control-Sets eines etablierten ISMS gemäß ISO 27001:2013 ISO/IEC 27018:2014 Zielgruppe: Anbieter öffentlicher Cloudlösungen Fokus: Verarbeitung personenbezogener Daten von Vertragskunden mit Einhaltung der aktuellen Gesetze und Vorschriften zum Schutz personenbezogener Daten. Fazit: deckt auch bei vollständiger Implementierung nicht alle Erfordernisse der DSGVO ab! Copyright 2017 BSI. All rights reserved 7

8 Erweiterung des Control-Sets eines etablierten ISMS gemäß ISO 27001:2013 ISO 29100, ISO/IEC FDIS und ISO/IEC ISO ist ein Framework, dessen Prinzipien denen der DSGVO entsprechen ISO/IEC FDIS ist ein Code of Practice mit datenschutzrelevanten Controls welche kompatibel mit den Controls der ISO/IEC Anhang A oder mit ISO/IEC sind ISO/IEC beschreibt die Methodik eines Privacy Impact Assessments. Wenn diese in den Risiko Management Ansatz des ISMS integriert wird, entsteht eine Lösung, um Informationssicherheits- und Datenschutzanforderungen zu bewerten und die relevanten Maßnahmen zum Schutz der Informationen und Daten abzuleiten Fazit: Ansatz zur Zertifizierung: Zu beachten: dieser Ansatz ist generell anwendbar Scope-Erweiterung durch zusätzliche Controls im SoA ggf. muss der Geltungsbereich des ISMS angepasst werden Copyright 2017 BSI. All rights reserved 8

9 Etablierung eines eigenständigen Datenschutzmanagementsystem gemäß BS 10012:2017 BS 10012:2017 spezifiziert ein Datenschutzmanagementsystem Die in 2017 aktualisierte Version des Standards berücksichtigt folgende Anforderungen: Die Anforderungen des Standards entsprechen der European Union General Data Protection Regulation 679/2016 (GDPR) Die Struktur des Standards wurde der ISO Management System Structure gemäß Annex SL angepasst Fazit: Ansatz zur Zertifizierung: Zu beachten: dieser Ansatz ist generell anwendbar dieser Standard beschreibt ein eigenständiges Managementsystem das Managementsystem ist schlanker als ein Managementsystem gemäß ISO 27001:2013 Hinweis: Copyright 2017 BSI. All rights reserved 9 Die britische Regierung hat am offiziell ihre Absicht erklärt, das nationale Datenschutzgesetz zu reformieren und dabei die EU-Vorgaben der GDPR zu übernehmen.

10 Koexistenz eines Datenschutzmanagementsystem gemäß BS 10012:2017 in Verbindung mit einem Managementsystem gemäß Annex SL Eine Zertifizierung nach BS 10012:2017 ist derzeit nicht-akkreditiert möglich. Diese kann dadurch umgangen werden, dass entweder ein ISMS mit dem Datenschutzmanagementsystem gemäß BS10012:2017 gekoppelt wird oder ein anderes Managementsystem wie ISO 9001 als Basis verwendet wird Copyright 2017 BSI. All rights reserved 10

11 Stand der Zertifizierung von Managementsystemen in Bezug auf DSGVO Noch keine finale Entscheidung seitens des Gesetzgebers Standards helfen jedoch, die Anforderungen im eigenen Unternehmen umzusetzen Die Ansätze sowohl in der ISO/IEC Reihe, als auch von BS 10012:2017 stellen eine brauchbare Basis dar Copyright 2017 BSI. All rights reserved 11

12 Datenschutzmanagement bei SAP Implementierung eines Datenschutzmanagementsystems in Koexistenz mit dem ISO zertifizierten Managementsystem Nutzen Vorteil durch standardisierte und damit erleichterte Prüfverfahren größere Verlässlichkeit geringere Kosten SAP erhält eine verlässliche Basis zur Bewertung der internen Compliance Akzeptierter Standard: damit können Kontrollmaßnahmen der Kunden auf ein Minimum reduziert und Kosten gespart werden Ein DSMS und ein Zertifikat geben Sicherheit und mindern den Aufwand für alle Beteiligten * Copyright 2017 BSI. All rights reserved 12 * Michael Wiedemann, Data Protection Officer SAP SE (Dep.), Head of Data Protection Operations

13 Gerne stehen wir Ihnen für weitere Fragen an unserem Messestand zur Verfügung Wir freuen uns auf Ihren Besuch! Copyright 2017 BSI. All rights reserved 13

14 BSI: Ihr globaler Partner für Auditierung, Zertifizierung und Weiterbildung BSI Group Deutschland GmbH Hanauer Landstraße Frankfurt am Main T: +49 (0) F: +49 (0) info.de@bsigroup.com Copyright 2017 BSI. All rights reserved 14