Digitalisierung versus Datenschutz und IT-Sicherheit Peter Haase
Berufliche Entwicklung Angestellt bei mbp ThyssenKrupp Rasselstein Dr. Rossbach (heute comforte21) Seit mehr als 30 Jahren freiberuflicher IT-Berater und Trainer HP NonStop Systemspezialist 4 Jahre Vorsitzender der German NonStop User Group (GTUG) Prüfer für IT-Professionals bei der IHK Köln ITIL Service Manager (TÜV Akademie München) Datenschutzbeauftragter (IHK Koblenz) Berater für Audit der IT-Sicherheit von Rechenzentren mit HP NonStop Systemen
Digitalisierung Wortfeld von Berlin-Brandenburgische Akademie der Wissenschaften: Digitales Wörterbuch der deutschen Sprache
EU-DSGVO VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG 99 Artikel und 173 Erwägungsgründe Geltung ab dem 25. Mai 2018: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Erwägungsgrund 78 Geeignete technische und organisatorische Maßnahmen In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Änderungen bei den Vorgaben zur IT-Sicherheit IT-Sicherheitsmanagement Plan / Do / Check / Act -> Plan /... Datenschutz durch Voreinstellungen - data protection by default Datenschutz durch Technik - data protection by design Verschlüsselung Performanz und Skalierbarkeit Konzept für Löschung und Sperrung Notfallkonzept Stand der Technik Die Anerkannten Regeln der Technik sind die Regeln, die sich praktisch bewährt haben. Der Stand der Technik beschreibt die technische Möglichkeiten zu einem bestimmten Zeitpunkt. Der Stand von Wissenschaft und Technik umschreibt technische Spitzenleistungen, die wissenschaftlich gesichert sind.
Änderungen im Datenschutz - Verarbeitungen - Verzeichnis aller Verarbeitungen von personenbezogenen Daten Bewertung der Verarbeitungen anhand der Prinzipien 1. Rechtmäßigkeit - Verarbeitung nach Treu und Glauben - Transparenz 2. Zweckbindung 3. Datenminimierung 4. Richtigkeit 5. Speicherzeit-Begrenzung 6. Integrität - Verfügbarkeit Vertraulichkeit Risikoprüfung aller Verarbeitungen Genehmigung aller Verarbeitungen mit hohem Risiko durch die Aufsichtsbehörde
Änderungen im Datenschutz - Neue Verteilung von Rechten und Pflichten - Einwilligungen Betroffener sind evtl. nicht mehr gültig! Alle Verträge über Datenverarbeitung im Auftrag müssen angepasst und neu verhandelt werden! Ein Management-Prozess zu Sicherung der Rechte Betroffener ist einzurichten!
Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DSGVO Rechenschaftspflicht Die verantwortliche (über das Verfahren entscheidende) Stelle ist für die Einhaltung der Grundsätze (rechtlich) verantwortlich und muss deren Einhaltung nachweisen können.
Auswirkung auf Softwareentwicklung i.a. Pflichten für Anwender / Chancen für Softwarehäuser Tooleinsatz Inventarisierung Dokumentation von Quelltexten Schnittstellen-Dokumentation Konfigurationskontrolle Monitoring Von IT-Prozessen Von Management-Prozessen Prüfung bestehender Anwendungen
DSGVO als Chance für die HP NonStop Gemeinschaft Verfügbarkeit, Integrität, Vertraulichkeit, Performanz, Skalierbarkeit HP NonStop Anwendungen! Optimierung dieser Bereiche HP Richtlinien Brainstorming der Supporter Berater HP NonStop definiert Stand der Technik
Die Zeit wird knapp! 1. Halbjahr 2017 - Sichtung von Informationen DSGVO / ITSM: VdS_3473 / Risikoanalyse: BSI-Standard_200-3 / TeleTrusT Stand der Technik 2. Halbjahr 2017: Einführung von IT-Sicherheit- und Datenschutz-Management Erstellung der geforderten Dokumente Änderung bestehender Verträge zur Verarbeitung im Auftrag Prototypen der Verfahren Bis zum 25.5.2018: Anpassung an nationale Reglungen und neue EU-Verordnungen auf Basis der DSGVO z.b. neues BDSG / E-Privacy-VO Feintuning der Verfahren Versicherungen der IT-Restrisiken Allgemeine Einführung der Verfahren
Meine Beratungsangebote Vorbereitung auf die EU-DSGVO Inforeihe 1.Die DSGVO-Prinzipien 3.Die DSGVO-Einwilligung 5.Die DSGVO-Betroffenenrechte 7.Die DSGVO-Datensicherheitsvorgaben 2. Die DSGVO-Zulässigkeitstatbestände 4. Die DSGVO-Informationspflichten 6. Die DSGVO-Auftragsverarbeitung 8. Die DSGVO-Datenschutzfolgenabschätzung Datenschutz Management gem. EU-DSGVO Management der Informationssicherheit für KMU Compliance Management für KMU (speziell für Softwarehäuser)
Compliance Management Compliance steht für den Versuch der Unternehmen, den Haftungsrisiken eine vorbeugende Unternehmensorganisation entgegen zu stellen, welche diese Risiken so weit wie möglich minimiert.
Vorteile des Compliance Managements Rechtliche Sicherheit Minimierung von Risiken Gemeinsame Unternehmenskultur Kontrollierte Delegation Organisatorische Effizienz
Compliance Management Rechtskataster für Branche Rollen unternehmensweit Compliance Manager Data Privacy Manager Transparency Manager Continuity Manager per Standort User Manager Security Manger Social Responsibility Manager Aufgaben Prozesse
Peter Haase Consulting Peter Haase Kirchstr. 12 56820 Mesenich/Mosel info@peterhaase.de Mobile 0171-8442242 Telefon 02673-9580050 Voice-Mail und Fax: 03212-9860123
Bedenken zur EU-DSGVO Rechtsvereinheitlichung wird nicht erreicht. Zahlreiche Öffnungsklauseln für nationale Gesetze und Verordnungen. Verbotsprinzip für die Verarbeitung personenbezogener Daten: Europaweites Kommunikationsverbot (mit Erlaubnisvorbehalt) Die EU hat keine Regelungskompetenz für den Datenschutz im privatrechtlichen Bereich Art. 16 Vertrag über die Arbeitsweise der Europäischen Union (1)Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2)Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr.