Projektpraxis Datenschutz

Transkript

1 Projektpraxis Datenschutz Lessons learned gt.at/beham Paradigmenwechsel im Datenschutz #DSGVO#Blockchain Grant Thornton Austria

2 2018 Grant Thornton Austria

3 2018 Grant Thornton Austria

4 Über Grant Thornton Grant Thornton Austria

5 Erfahrene Experten Vorstellung Georg Beham Partner, IT Advisory Grant Thornton Weitere Tätigkeiten: Gerichtssachverständiger für Datenschutz, IT- Forensik und IT-Sicherheit Lektor Donau Universität Krems, Universität Liechtenstein, FH Hagenberg und Eisenstadt Herausgeber und Autor der Fachbücher Datenschutz-Audit und EU-DSGVO Praxiseinführung in 7 Schritten Grant Thornton Austria

6 Risiken für Unternehmen Grant Thornton Austria

7 Die größten Risiken für Unternehmen Geldbußen Hohe Geldbußen, die abschreckend wirken sollen Sammelklagen Möglichkeit von Sammelklagen durch Interessensvertretungen gegen Unternehmen Beweislastumkehr Beweislastumkehr im Fall von Datenschutzvorfällen oder Beschwerden Verarbeitungstätigkeiten Falsche Erfassung von Verarbeitungstätigkeiten (Prozessen) anstelle von Datenverarbeitungen (Applikationen) Haftung Haftung der zur Vertretung nach außen befugten Organe Prüfung von Abweichungen Verhältnismäßig einfache Prüfung von offensichtlichen Abweichungen bzw. Vergehen (z.b. Dokumentations-pflichten, Bestellung eines DSB) Eigenverantwortung Erhöhte Eigenverantwortung von Unternehmen Risikobeurteilung durch Unternehmen anstelle von Meldeverfahren Meldepflicht Verpflichtende Meldepflichten innerhalb von 72 Stunden an die Aufsichtsbehörde bei Datenschutzvorfällen Grant Thornton Austria

8 eines Datenschutz Projektes Grant Thornton Austria

9 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 5 3 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechte & Pflichten Datenschutz- Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

10 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten Datenschutz- Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

11 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten Datenschutz- Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

12 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten Datenschutz- Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

13 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 Datenschutz- Folgenabschätzung 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

14 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 Datenschutz- Folgenabschätzung 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

15 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 Datenschutz- Folgenabschätzung 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

16 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 3 5 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 Datenschutz- Folgenabschätzung 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechten & Pflichten und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

17 Wesentliche Aufgaben im Rahmen des Datenschutz-Managements 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach AGENDA - ROADMAP 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 5 3 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Datenschutz-Organisation Definition von Rechten & Pflichten 6 Datenschutz-Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters 10 Awarenessprogramm DSGVO Readiness Prüfung Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

18 Wesentliche Aufgaben im Rahmen des Datenschutz 1 DSGVO FIT/GAP Analyse Risiko Heat Maps Kontinuierliches Reporting Audit von Dienstleistern Prozessbeschreibung Checklisten für Incident Management Checklisten für Bewertung Data Breach 7 Datenschutz-Vorfall 4 Vorgaben & Prozesse Datenschutz-Policy Datenschutz-Handbuch Checklisten zur Durchführung von Prozessen 5 3 Stärkung von Betroffenenrechten 17 GT Datenschutz-Musterprozesse Kontrollen zur Einhaltung der Prozesse Verstärkte Dokumentationspflichten prozessgetriebenes VdV Methodik zur Nutzung in anderen Datenschutz-Anforderungen 6 2 Bestellung eines DSB und Definition einer Datenschutzorganisation Rollenbeschreibungen Vorschlag für Datenschutz- Organisation Definition von Rechte & Pflichten Datenschutz- Folgenabschätzung und prozessgetriebene Durchführung einer DSFA Bewertungskriterien Fragenkatalog 8 9 Prüfen, testen und evaluieren GT DSGVO Kontroll-Set GT AV Kontroll-Set Umsetzungsbeschreibungen Vertragliche Vereinbarungen Vorlage für Data Processing Agreement Vorlage für Bewertung/Audit von Dienstleistern Kontroll-Set aus der Sicht eines Auftragsverarbeiters DSGVO Readiness Prüfung 10 Awarenessprogramm : grantthornton.at Projekt-Marketing Entwicklung Schulungsprogramm Zielgerichtete Schulungsunterlagen Durchführung von Datenschutz- Schulungen Grant Thornton Austria

19 Good Practice Grant Thornton Austria

20 Good Practice Durchführung einer High Level Gap Analyse (z.b. Quick Check) als Startpunkt für die Projektplanung und laufendes Reporting sowie nach Möglichkeit Parallelisierung von Tätigkeiten (z.b. Datenerhebung, Quick Check) sowie Erstellung einer bis und darüber hinaus Berücksichtigung von weiteren erforderlichen Anforderungen (z.b. Gesundheitstelematik-Gesetz, eprivacy Verordnung, NIS-Richtlinie) sowie Datenschutz und IT-Definitionen festlegen für die Organisation (Applikation, Verarbeitungstätigkeit, Logging etc) Klare Festlegung ob ein DSMS oder einzelne technische und organisatorische Maßnahmen implementiert werden sollen, um die kurzfristige Datenschutz-Compliance herzustellen Durchführung von Projekt-Awareness Veranstaltungen (Projekt-Marketing) für das Datenschutz-Projekt, Tone at the Top auf hoher Managementebene und regelmäßige Kommunikation der Wichtigkeit des Vorhabens Grant Thornton Austria

21 Good Practice Definition von Projektverantwortlichkeiten (Projektmanager unabhängig von der fachlichen Projektleitung) sowie Entscheidungsmatrix, damit strategische und fachliche Entscheidungen rasch getroffen werden können Klare Trennung der Aufgaben zwischen Organisation, Recht, Prozess und IT sowie Vorabinformation bereits im Projekt-Setup an die Fachbereiche (Bereichs-/Abteilungsleiter) über das Projekt und Anfrage von Ressourcen aus den Fachbereichen Frühzeitige Einbindung des Datenschutzbeauftragten bereits bei der Implementierung, daher frühzeitige Definition der Datenschutz-Organisation für den Zeitraum der Implementierung und des Betriebs, Einbindung der verwandten Risk- und Compliance Bereiche (zb Information Security Officer, Qualitätsmanagement) Rasches festlegen welche Tools/Anwendungen eingesetzt werden. Excel und Word eignen sich nur in einer Prototyp-Phase. In größeren Organisationen ist eine passende durchgängige Toolunterstützung ein kritischer Erfolgsfaktor Grant Thornton Austria

22 Georg Beham, MSc. Partner, IT-Advisory T E georg.beham@at.gt.com Die Präsentation finden Sie unter: gt.at/beham 2018 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten. Grant Thornton bezieht sich auf die Marke unter jener die Grant Thornton Mitgliedsfirmen Assurance-, Steuer- und Beratungsdienstleistungen für Klienten erbringen und/oder bezieht sich je nach Anforderung auf eine oder mehrere Mitgliedsfirmen. Grant Thornton Unitreu GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft ist Mitglied von Grant Thornton International Ltd (GTIL). GTIL und die Mitgliedsfirmen sind keine weltweite Gesellschaft. GTIL und jede Mitgliedsfirma sind eine eigene Rechtseinheit. Dienstleistungen werden von den Mitgliedsfirmen erbracht. GTIL erbringt keine Dienstleistungen an Klienten. GTIL und die Mitgliedsfirmen vertreten sich nicht gegenseitig, sind einander nicht verpflichtet und für Handlungen oder Unterlassungen des anderen nicht haftbar. grantthornton.at