CEMA online IT.Special: Wie werden Unternehmen der DSGVO gerecht? Vortrag 4: Wie werden Unternehmen der DSGVO gerecht? Andreas Swierkot CEMA Management Consultant aswierkot@cema.de
These: Der Schutz personenbezogener Daten gem. muss ausgehend von der dokumentierten Unternehmensstrategie Teil eines jeden Prozesses und Service sein Digitalisierung Schutz personenbezogener Daten gem. Unternehmensprozesse Unternehmenserfolg IT- Strategie definiert Unternehmensstrategie IT-Services
DSGVO - Was Unternehmen jetzt wissen, prüfen, anpacken müssen!!! => CEMA: Organisatorische und Technische Schlüsselschritte auf dem Weg zur Wertschöpfung Wissen Ziel: Einheitliches DS-Recht in EU Übergangsfrist bis 25. Mai 2018 Sieben betroffene Bereiche Gültig für jede Person/Organisation Keine Ausnahmen durch deutsche Gesetzgebung NEU: Pflicht (1) zum Nachweis der Einhaltung (2) zur systematischen Kontrolle der Einhaltung Geänderte Rolle des betrieblichen DSB Datenschutz ist U-/GF-Leitungsaufgabe. Beweislastumkehrung, neue Anzeigemöglichkeiten, Verbandsklagerecht Die Datenspeicherungen unterliegt neuen Regelungen Prüfen Unternehmensrisiko Outsourcing (Verträge, AGB, SLA) unmissverständliche Einwilligung Recht auf vergessen!! Technische und organisatorische Maßnahmen Anzeige bei Verstößen GDPR als Geschäftsmöglichkeit verstehen Wo stehen wir? Ihr Unternehmen? Neue Möglichkeiten Vorteile Markenwert und Geschäftserfolg Anpacken errichtet auf starken Fundamenten Daten sind persönlicher Mehr Zugang und Zustimmung Europäisch, überall End-to-end Verantwortung Neue Datenschutzpflichten Fünf Schlüsselschritte auf der Reise zur Wertschöpfung Governance Berechtigungen und Prozesse Daten Datensicherheit Menschen und Kommunikation
Zusammenhang von Datenschutz und Datensicherheit personenbezogene Daten alle Datenarten Datenschutz Datensicherheit Technisch-organisatorischer Datenschutz
Zusammenhang von Datenschutz und Datensicherheit personenbezogene Daten alle Datenarten Datenschutz Datensicherheit Ziel: Technisch-organisatorischer Datenschutz Vermeidung von Risiken bei der Verarbeitung personenbezogener Daten, dir entstehen durch: zufällige Zerstörung unrechtmäßige Zerstörung zufälligen Verlust unberechtigte Änderung unberechtigte Weitergabe Unberechtigten Zugang Unrechtmäßigkeit Weg: Technische und organisatorische Maßnahmen, die den neuesten Stand der Technik berücksichtigen, sowie zur Erreichung der Schutzziele geeignet und angemessen sind, müssen angewendet werden.
Ziel und Weg zur Sicherheit in der Informationstechnik Ziel: Vertrauenswürdigkeit der Informationstechnik Weg: Grundanforderungen an sichere Informationstechnik, Grundfunktionen der IT-Sicherheit Maßnahmen: Sicherheitsfunktionen (technisch und organisatorische Maßnahmen); z.b. Grundschutz
Ziel und Weg zur Sicherheit in der Informationstechnik Ziel: Vertrauenswürdigkeit der Informationstechnik Weg: Grundanforderungen an sichere Informationstechnik, Grundfunktionen der IT- Sicherheit Eine unbefugte Preisgabe der Daten möglichst ausgeschlossen ist (Vertraulichkeit) Eine unbefugte Veränderung der Daten, der Software und auch der Hardware möglichst ausgeschlossen wird (Integrität, Korrektheit, Unversehrtheit) Daten, Software und Hardware dann zur Verfügung stehen, wenn Sie zur Aufgabenerfüllung gebracht werden (Verfügbarkeit, Zuverlässigkeit) Die Urheberschaft von Daten eindeutig beweisbar ist (Authentizität) Maßnahmen: Sicherheitsfunktionen (technisch und organisatorische Maßnahmen); z.b. Grundschutz
Ziel und Weg zur Sicherheit in der Informationstechnik Ziel: Vertrauenswürdigkeit der Informationstechnik Weg: Grundanforderungen an sichere Informationstechnik, Grundfunktionen der IT- Sicherheit Maßnahmen: Sicherheitsfunktionen (technisch und organisatorische Maßnahmen); z.b. Grundschutz Identifikation (Zugangskontrolle) Authentifikation (Zugangskontrolle) Rechteprüfung (Zugriffskontrolle) Rechteverwaltung (Zugriffskontrolle) Beweissicherung (Eingabekontrolle) Protokollauswertung (Eingabekontrolle) Wiederaufbereitung Wahrung der Integrität (Unverfälschtheit) Fehlerüberbrückung / Gewährleistung der Funktionalität (Verfügbarkeitskontrolle) Übertragungssicherung (Weitergabekontrolle)
Datenschutz und Datensicherheit im Gesamtkontext personenbezogene Daten alle Datenarten Datenschutz Datensicherheit Technisch-organisatorischer Datenschutz Unternehmensleitung, Führungskräfte, Management Geschäftsprozesse Geschäfts-Softwareanwendungen Technische Infrastruktur
Datensicherheitsmanagement im Zusammenhang mit Datenschutzrechtlichen Anforderungen NEU: Datenschutz-Folgenabschätzung Risikomanagement Datensicherheitskonzeption und richtlinien Dokumentationssicherheit Maßnahmen zur Erhaltung und Verbesserung des Datensicherheitsniveaus Revision der Datensicherheit Restrisikoabdeckung durch eine Versicherung Kosten und Nutzen der Datensicherheit Organisatorische Regelungen
Datensicherheitsmanagement im Zusammenhang mit Datenschutzrechtlichen Anforderungen Datenschutzverstöße sind keine Kavaliersdelikte mehr Die Grundprinzipien des bisherigen Datenschutzes bleiben erhalten Betroffenenrechte: mehr Transparenz Dokumentationspflichten IT-Sicherheit Paradigmenwechsel: Beweise deine Unschuld Neue Aufgaben für (HR)Fach- und Führungskräfte
DSGVO - Was Unternehmen jetzt wissen, prüfen, anpacken müssen!!! => CEMA: Organisatorische und Technische Schlüsselschritte auf dem Weg zur Wertschöpfung Bestandsaufnahme Prozesse Datenquellen Softwaresysteme Datenfelder Rechtsgrundlagen Dienstleister Dokumentation Prozessbeschreibungen Zwecke & Rechtsgrundlage pro Datenfeld Sicherheitskonzept & Meldepflichten Dienstleister mit Verträgen Löschfrist pro Datenfeld Datenquellen Datenfelder pro Softwaresystem, Datenflüsse Informationspflichten Bewertung DSGVO eingehalten? Aktion Lücken beheben Dauerhaften Prozess und Dokumentation einrichten
DSGVO - Was Unternehmen jetzt wissen, prüfen, anpacken, implementieren müssen!!! => CEMA: Organisatorische und Technische Schlüsselschritte auf dem Weg zur Wertschöpfung Assessment Tool zum Management/Managementsystem (LOHN+GEHALT 1/2017, Lepperhoff): Informationssicherheits 9 Fragen zu Konzepten und Prozessen Datenschutz 6 Fragen zu Konzepten, Rollen und Prozessen Auftragsdatenverarbeitung 2 Fragen zu Verträgen, Garantien und Prozessen (je Dienstleister) Betriebsvereinbarungsmanagementsystem 1 Frage zu jeder Vereinbarung Software- und Prozesse 16 Fragen zu Konzept, Aufgaben und Prozessen (je Software, je Prozess) Nachweisfähigkeit 6 Fragen zu Konzept, Aufgaben und Prozessen (je Software, je Prozess) Erfüllungsgrad < 100 % => Handlungsbedarf
DSGVO - Was Unternehmen jetzt wissen, prüfen, anpacken, implementieren müssen!!! => CEMA: Organisatorische und Technische Schlüsselschritte auf dem Weg zur Wertschöpfung Einführung der Datenschutz-Grundverordnung im Unternehmen als Projekt/Programm Transitionsprojekt aufsetzen Projektorganisation Projektleiter Projektsponsor, Auftraggeber Lenkungsausschuss, Stakeholder Projektteam Awareness schaffen (Risiken & Vorgaben; Handlungsbedarf und konkrete Umsetzung mit Bezug zum Aufgabenfeld) Geschäftsführung / Vorstand Bereichsleiter Abteilungsleiter Sachbearbeiter Projekt strukturieren Projekt planen (klassisch oder agil) Arbeitspakete definieren Das Projekt startet mit einem Kickoff aller am Projekt Beteiligten
DSGVO - Was Unternehmen jetzt wissen, prüfen, anpacken, implementieren müssen!!! => CEMA: Organisatorische und Technische Schlüsselschritte auf dem Weg zur Wertschöpfung Leistungsspektrum der CEMA Programm-/Projektleitung von Transitionsprojekten Tools: IT-Analyzer, Assessment, Stellung / Vermittlung von internen / externen Spezialisten für Datenschutz, Datensicherheit, Technologien und Produkten Unterstützung im Bereich der IT-Prozessmodellierung CEMA Spezialisten für einzelne oder übergreifende Technologien und Produkte zur den Themen IT- Management, Datensicherheit und Datenschutz
Fazit: Der Schutz personenbezogener Daten gem. muss ausgehend von der dokumentierten Unternehmensstrategie muss Teil eines jeden Prozesses und Service sein Digitalisierung Schutz personenbezogener Daten gem. Unternehmenserfolg Unternehmensstrategie definiert Unternehmensprozesse IT- Strategie Unternehmens- Services
CEMA online IT.Special: Wie werden Unternehmen der DSGVO gerecht? Vortrag 4: Wie werden Unternehmen der DSGVO gerecht? Andreas Swierkot CEMA Management Consultant aswierkot@cema.de