Einführung eines Datenschutz- Managementsystems

Ähnliche Dokumente

EU-Datenschutz-Grundverordnung (DSGVO)

Datenschutz-Management-System

Fragebogen zur Umsetzung der EU-DSGVO bis zum 25. Mai 2018

Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Wie machen Sie Ihr Unternehmen fit für die Datenschutz- Grundverordnung? Gottfried Tonweber, EY

EU-DSGVO & BDSG-neu START 25. Mai 2018!

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Sicherheit für Ihre Geodaten

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Operative Umsetzung des Datenschutzes nach EU-DSGVO. Rheinischer Unternehmertag

Dokumentationspflichten im neuen Datenschutzrecht

Datenschutzbeauftragte nach der DSGVO

Projektplan. Projektverantwortlicher: Projektbeginn: Projektende: Aufgabe Verantwortliche/r Beginn Ende Erledigt. 1. Management sensibilisieren

Checkliste zur Datenschutzgrundverordnung

in Recht, Technik, Prozessgestaltung und Kommunikation

Projektpraxis Datenschutz

Konzerndatenschutz und DSGVO Bürokratie oder Chance?

Zertifizierung gemäß ISO/IEC 27001

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Informationssicherheit für den Mittelstand

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Datenschutzmanagement ohne Kosten- und Stolperfallen

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Die DSGVO ist da. Kronos steht bereit, um Ihre Daten zu schützen.

DS-GVO und IT-Grundschutz

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Compliance-Management-Systeme. Dr. Hady Fink, Greenlight Consulting Compliance Circle München,

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Asset Management mit System

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

DATENSCHUTZ in der Praxis

Erfolg durch Wissen. Petershauser Straße 6, D Hohenkammer

Datenschutzgrundverordnung - DSGVO

Umsetzung der EU-Datenschutz-Grundverordnung

Konzernsteuerungssysteme Revision IKS - Compliance

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

Die EU-Datenschutz-Grundverordnung

DATENSCHUTZ DIE WORKSHOP-REIHE

Einführung Risk - Management

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Umweltmanagementsysteme / ISO 14001: Bedeutung, Prinzipien & Funktionsweise

Unser Service-Angebot für kommunalen Datenschutz in Hessen DATENSCHUTZ MIT QUALITÄT RECHTSKONFORM UMSETZEN

Secuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt

DSGVO erfolgreich meistern

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten

In sechs Schritten zur neuen DATENSCHUTZGRUNDVERORDNUNG (DSGVO) Der Bauplan für KMUs und andere Institutionen

Informationssicherheit

ISIS12 und die DS-GVO

Videoüberwachung in Unternehmen

Prüfkatalog Rechenschaftspflicht. nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen. (Version 1.0)

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

ISIS12 Tipps und Tricks

Datenschutzrecht. Revision und Herausforderungen. RA Dr. David Vasella, CIPP/E 23. November 2017

Stellenwert und praktische Bedeutung der Zertifizierung von Datenschutz- Managementsystemen nach DSGVO und DSG

InfoTechday Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

Inhaltsverzeichnis. Vorwort...5

EU-Datenschutz- Grundverordnung

Softwarelösung für den Prozess der IT-Sicherheit. Wie sicher ist Ihre IT?

Integration von Informationssicherheits- und Datenschutzmanagement

EU Datenschutz-Grundverordnung

Datenschutzreform 2018

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

WPK aktuell. Mitgliederinformation

Datenschutzkonzept. Vorwort. Das Datenschutzkonzept wurde an folgendem Datum veröffentlicht: Es wurde auf folgende Arten veröffentlicht:

Die Datenschutzgrundverordnung

EU-Datenschutz-Grundverordnung

Mit ISIS12 zur DS-GVO Compliance

Ausbildung zum Compliance Officer Mittelstand

- Vorschlag zur Entwicklung von

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Transkript:

Einführung eines Datenschutz- Managementsystems Oktober 2017 Wichtige Datenschutzinformationen für Ihr Unternehmen

Inhalte Datenschutzinformationen Inhaltsverzeichnis Begrüßung Ihr Datenschutzbeauftragter vor Ort 3 DSMS Grundlagen zum Datenschutz-Managementsystem 4 DSMS Ein Standardmodell 6 DSMS Prozessmodell zur Implementierung 10 DSMS Fazit 11 Seite 2

Begrüßung Ihr Datenschutzbeauftragter vor Ort Liebe Leserin, lieber Leser, mit der EU-Datenschutzgrundverordnung (EU-DSGVO) sind einige neue Vorgaben zu erfüllen. Unter anderem wird von Unternehmen eine umfassende Nachweis- und Rechenschaftspflicht gefordert, so dass nicht nur die Sicherstellung der Datenschutzvorgaben nachzuweisen sind, sondern auch proaktiv die Gewährleistung der Angemessenheit des Datenschutzniveaus. Durch die Rechenschaftspflicht wird die bisherige Lastenverteilung umgedreht und Sie müssen nun nachweisen, dass Ihr Datenschutz funktioniert und das unabhängig davon, ob Schaden entstanden ist oder nicht. Dr. Steffen Kathe Damit wird es unumgänglich, Prozesse umfangreich zu dokumentieren und eine Erfolgsmessung einzuführen. Nur so kann der Nachweis erfolgen, dass die Grundsätze der Datenverarbeitung nach EU-DSGVO eingehalten werden. Zudem ermöglicht ein solch effizientes Managementsystem schnellere Reaktionszeiten, falls es einmal zu einer Datenschutzpanne kommen sollte. Eine unzureichende Dokumentation hinsichtlich des Datenschutzes kann sich hingegen sehr negativ auswirken, vor allem wenn es um die Festlegung eines möglichen Bußgeldes geht. Somit ist die Einführung eines Datenschutz-Managementsystems (DSMS) nach EU-DSGVO für jedes Unternehmen sehr wichtig!! Grund genug, sich in dieser Ausgabe mit der Einführung und dem Betrieb eines Datenschutz-Managementsystems (DSMS) zu beschäftigen. Sie erhalten einen Überblick über die unterschiedlichen Ansätze, bewährte Methoden und Hinweise zur konkreten Gestaltung eines DSMS. Sollten Sie darüber hinaus weitere Informationen benötigen oder eine ausführliche Beratung in Anspruch nehmen wollen, stehen wir Ihnen jederzeit sehr gerne zur Verfügung. Sie erreichen uns unter der Telefonnummer +49 651 69990050 oder per E-Mail an info@datenschutzbeauftragter-trier.de. Mit besten Grüßen Dr. Steffen Kathe Externer Datenschutzbeauftragter Consultant für Datenschutz und Informationssicherheit Seite 3

DSMS Grundlagen zum Datenschutz-Managementsystem Das Datenschutz-Managementsystem Ein Datenschutz-Managementsystem (kurz: DSMS) stellt die Gesamtheit aller Dokumentationen, Regelungen, Maßnahmen und Prozesse dar. So werden die Anforderungen an die Verarbeitung personenbezogener Daten im Unternehmen gesteuert und kontrolliert. Man erhält ein Werkzeug, mit dem man durch kontinuierliche Planung, Umsetzung, Überwachung und Verbesserung eine einheitliche, strukturierte und nachhaltige Durchführung der Prozesse im Managementsystem sicherstellen kann. Ziel des DSMS sollten nicht nur resultierende Maßnahmen zum Erreichen eines angemessenen Datenschutzniveaus sein, sondern eine koordinierte Vorgehensweise abbilden, um eine Risikolenkung zum Datenschutz entstehen zu lassen. Plan Act Do Change Ein Datenschutz-Managementsystem sollte grundsätzlich auf bewährten Methoden zum Risikomanagement basieren (z.b. ISO 31000, IdW PS 340, etc.) nationale und internationale Gesetzgebungen berücksichtigen modular aufgebaut sein (verbindliche und optionale Komponenten beinhalten) eine Integration in eventuell vorhandene Management-Systeme ermöglichen (z.b. Informationssicherheits-Managementsystem (ISMS), Compliance, Financial Risk Management, etc.) Seite 4

DSMS Grundlagen zum Datenschutz-Managementsystem Risikomanagement Risikomanagement wird grundsätzlich als ein fortlaufender Prozess verstanden, in dem Planung, Umsetzung, Überwachung und Verbesserung kontinuierlich stattfinden ( Plan-Do-Check-Act ). die getroffenen technischen und organisatorischen Maßnahmen werden erst erdacht und geplant ( plan ) im kleinen Kreis getestet ( do ) die Wirksamkeit überprüft ( check ) und gegebenenfalls angepasst und dann im Großen eingeführt ( act ) Nationale und internationale Gesetzgebungen In global agierenden Unternehmen sollte auch der Datenschutz grenzenlos sein. Ein Datenschutzvorfall in nur einer Landesgesellschaft kann das Image des gesamten Konzerns empfindlich beschädigen. Außerdem werden Systeme und Prozesse in großen Konzernen zunehmend einheitlich und global implementiert. Modularer Aufbau Um die hohen Anforderungen an die Dokumentation effizient und vollständig zu realisieren, sollten Module erstellt werden, welche die Struktur der Dokumentation und der gesetzlichen Vorgaben abbilden und individuelle Anforderungen der Unternehmen wiederspiegeln. Sie können beispielsweise aus Dokumentvorlagen bestehen, um sie beliebig oft (und auch modulübergreifend) einsetzen zu können. Eine Anpassung und Erweiterbarkeit der Module und Vorlagen ist wünschenswert. Integration in vorhandene Management-Systeme Existieren bereits Management-Systeme wie zum Beispiel zur Qualitätssicherung (ISO 9001) oder zur IT-Sicherheit (ISO 2700x oder IT-Grundschutz nach BSI) lassen sich doppelte Tätigkeiten vermeiden, weil bereits vorhandene Ressourcen genutzt und das bestehende Management-System erweitert werden kann. Seite 5

DSMS Ein Standardmodell Standardmodelle Die Einführung eines Datenschutz-Managementsystems ist vergleichbar mit der Implementierung eines Compliance Management Systems (CMS). Der schwierigste Schritt ist dabei meistens die Überführung der theoretischen Grundlagenarbeit in die praktische Umsetzung. Angelehnt an diverse CMS- Standards kann das DSMS und dessen Implementierung in sieben Module unterteilt werden: 1. Datenschutzkultur 2. Datenschutzziele 3. Datenschutzrisiken 4. Datenschutzprogramm 5. Datenschutzorganisation 6. Datenschutzkommunikation 7. Datenschutzkontrolle Datenschutzkultur Um die Datenschutzziele zu erreichen, müssen das Topmanagement und alle Führungskräfte ihre Verpflichtung zur Umsetzung des Datenschutzes deutlich formulieren und ihre Vorbildfunktion wahrnehmen, damit dem Datenschutzbeauftragten (DSB) und der Datenschutzorganisation der Rücken gestärkt wird. Dieses wird auch als Tone from the Top bezeichnet. In dieser Phase sollten sich Unternehmen folgenden Fragen stellen: Was soll erreicht werden und welche Ambitionen hat das Unternehmen, national wie auch international? Wie sehen die Vision und das Mission Statement zum Datenschutz aus? Was trägt der Datenschutz zu den Unternehmenszielen bei? Seite 6

DSMS Ein Standardmodell Datenschutzziele Zu den Zielen gehört es u. a. die Begriffe Datenschutz und Compliance inhaltlich in Bezug auf das Unternehmen zu definieren und in den Statuten bzw. Leitsätzen des Unternehmens zu verankern. Die Ziele sollten dem Anspruch der Klarheit, Verständlichkeit und Messbarkeit genügen. Dies ist ein sehr wichtiger Schritt, da er die Positionierung des Unternehmens zu diesem Thema verdeutlicht und somit auch messbar macht. Dabei können bereits implementierte Grundsätze wie ein Code of Conduct oder verbindliche Unternehmensrichtlinien eine Basis darstellen. Datenschutzrisiken Effektiver Datenschutz kann nur implementiert werden, wenn man einen risikobasierten Ansatz wählt. Unternehmen müssen sich im Klaren darüber sein, welche Folgen z.b. der Verlust oder Missbrauch der personenbezogenen Daten für den Betroffenen und das Unternehmen haben kann. Risiken müssen dabei im Zusammenhang der Geschäftsfelder und des Informationswertes der zu verarbeitenden Daten gesehen werden. Bekannte Probleme und Komplexität des zu untersuchenden Datenverarbeitungsprozesses müssen dabei berücksichtigt werden. Werden sensible personenbezogene Daten verarbeitet, fließt dieses zusätzlich in die Bewertung mit ein. Datenschutzprogramm Hierbei handelt es sich um den größten Block bei der Implementierung eines Datenschutz-Managementsystems. In dieser Phase wird die Frage beantwortet, wie definierte Datenschutz-Anforderungen im Unternehmen umgesetzt werden. Folgende Arbeitspakete sind u.a. zu schnüren: Erstellung von Policies und Richtlinien Regelung der Auftragsverarbeitung Umsetzung des Mitarbeiterdatenschutz Umsetzung des Kundendatenschutz Dokumentation der Verarbeitungstätigkeiten Regelung des internationalen Datenverkehrs Erhebung und Bewertung der tech. und org. Maßnahmen Umsetzung der Betroffenenrechte Einführung eines Incident-Managements Seite 7

DSMS Ein Standardmodell Datenschutzorganisation Wer nun die definierten Datenschutz-Anforderungen im Unternehmen umsetzt, wird in diesem Baustein beschrieben. Folgende Fragen werden in diesem Modul beantwortet: Rollen und Verantwortlichkeiten (z.b. Aufgaben des DSB) Aufbau- und Ablauforganisation (z.b. internationale Datenschutz- Governance) Ressourcenplanung (z.b. Budgetierung) Datenschutzkommunikation Betroffene Mitarbeiter und ggf. Dritte werden in dieser Phase über das Datenschutz- Programm sowie über die Rollen und Verantwortlichkeiten informiert. Hier kann ein Berichtsweg für identifizierte Risiken, festgestellte Regelverstöße sowie eingehende Hinweise festgelegt werden. Zu den Aufgaben gehört: Schulung der Mitarbeiter Festlegung der Kommunikation mit Externen Festlegung der internen Kommunikation (Awareness) Privacy Breach Notification Regelung von Anfragen und Beschwerden Implementierung des Reportings Seite 8

DSMS Ein Standardmodell Datenschutzkontrolle Zu guter Letzt muss das implementierte DSMS regelmäßig auf dessen Wirksamkeit geprüft werden. Dieses wird im Kontroll-Modul des Managementsystems definiert. Dazu gehören: Implementierung von Datenschutzfolgenabschätzungen Bei Bedarf externe Prüfungen und Zertifizierungen Regelmäßige Audits Kontinuierliche Verbesserungen (Stichwort: PDCA-Zyklus ) Hinweis: CMS-Standards geben eine einheitliche Vorgehensweise vor, die sich auch gut auf den Datenschutz anwenden lässt. Die Umsetzung eines DSMS ist jedoch immer von unternehmerischen Entscheidungen abhängig. Eine unternehmensindividuelle Anpassung ist immer notwendig. Die hier aufgezeigten Module sind nur als mögliche Beispiele aufgeführt. Wichtig: Unternehmen sollten sich frühzeitig mit dieser Thematik auseinandersetzen, da ein DSMS bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, sich jedoch bußgeldmindernd auswirken kann. Entscheidender ist jedoch die schnelle Handlungsfähigkeit im Notfall oder bei Auskunftsersuchungen. Seite 9

DSMS Prozessmodell zur Implementierung Prozessmodell zur Implementierung Sind die verschiedenen Bausteine und Module definiert, muss der DSMS- Lifecycle im Unternehmen etabliert werden. Dabei ist es sinnvoll, die einzelnen Schritte (soweit wie möglich) zusammenzufassen und einem Prozessmodell zuzuordnen: Start Definition des Unternemensziels Datenschutz 1 2 Festlegung von Kompetenzen / Projektorganisation Bestandsaufnahme 5 4 Definition des Changemanagements 3 Dokumentationsmanagement und Reporting Identifikation von Defiziten 6 Implementierung von Maßnahmen Überführung in den Regelprozess 7 8 9 Ende Betrieb durch den Regelprozess Seite 10

DSMS Fazit Folgende Aufgaben (stichpunktartig) ergeben sich nach diesem Prozessmodell: 1 Definition Datenschutz für das Unternehmen Festlegung der Unternehmensbereiche Entscheidung für eine DSMS-Modell Budgetierung 2 Festlegung der Projektstruktur Einführung eines Kommunikationsmanagements 3 Dokumentationsformen Festlegung von Prüfszenarien Dokumentation der Berichtsempfänger 4 Vorgehensweise bei Anpassungsbedarf (Unternehmensänderungen) Gesetzes- und Vorschriftsänderungen 5 Aufnahme der Prozesse und Verfahrensweisen Aufnahme der technischen Begebenheiten 6 Abgleich der Verfahren mit den gesetzlichen Anforderungen 7 Ableitung von Maßnahmen nach SOLL/IST-Abgleich Einführungs- und Kontrollprozess implementieren Verantwortlichkeiten festlegen 8 Definition des PDCA-Zyklus 9 Awareness, Controlling, Reporting Fazit Für die Umsetzung der Datenschutzgrundverordnung (DSGVO) wird es nach wie vor keine Patentlösung geben. Jedes Unternehmen muss sich zwangsweise mit dem Thema auseinandersetzen, wobei die Einführung eines Datenschutz- Managementsystems (DSMS) Sie dabei unterstützt, der gesetzlich-geforderten Nachweis- und Rechenschaftspflicht nachzukommen. Dabei soll das DSMS Sie jedoch nicht nur bei der Erfüllung der gesetzlichen Anforderungen unterstützen, sondern idealerweise Bußgelder vermeiden und schnelle Reaktionszeiten garantieren. Eine Kombination mit anderen Managementsystemen ist durchaus möglich, so dass doppelte Tätigkeiten vermieden werden können. Seite 11

Oktober 2017 Impressum SRK Datenschutz GmbH Dr. Steffen Kathe Schöndorfer Strasse 59 54292 Trier Tel.: +49 (651) 69990050 Web: datenschutzbeauftragter-trier.de E-Mail: info@datenschutzbeauftragter-trier.de Redaktion: Dr. Steffen Kathe Bildnachweise: Diese Datenschutzbroschüre wurde in unserem Auftrag von der Firma ITKservice GmbH & Co. KG, Fuchsstädter Weg 2, 97491 Aidhausen erstellt. Alle in diesem Dokument dargestellten Bilder wurden von der ITKservice GmbH & Co. KG bei der Firma ccvision.de gekauft und lizensiert.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback