Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO Dipl.-Kfm. Christian Westerkamp, LL.M., ANMATHO AG, 30.01.2018, Linstow
Vielzahl von Anforderungen und Pflichten der EU-DSGVO Anforderungen Datenschutzgrundsätze Betroffenenrechte Datenschutzkonformität Gewährleistung d. Schutzniveaus Datenschutzfolgenabschätzung Risikomanagement Bestellung/Benennung DSB Internat. Datentransfer? Meldepflichten Pflichten Dokumentationspflichten Nachweispflicht Rechenschaftspflichten Informations- & Auskunftspflichten Umsetzung angemessener TOM s (Stand der Technik) Einführung von Prozessen 2
Stand der Umsetzung bisher sehr langsam und schleppend Bereits vollständig compliant 15% Vereinzelte Maßnahmen umgesetzt 41% Mit der Planung begonnen, aber noch keine konkreten Maßnahmen umgesetzt 16% Anforderungen bekannt, aber noch abwartend 25% 44% Noch nicht mit dem Thema auseinandergesetzt 3% Basis: (n=251) Quelle: International Data Corporation (IDC), Studie im Oktober 2017 3
Unsicherheit macht vielen Unternehmen zu schaffen Schwer abzuschätzender Umsetzungsaufwand 52% Rechtsunsicherheit 43% Mangelnde praktische Umsetzungshilfen Zu kurzer Umsetzungszeitraum Fehlende finanzielle Ressourcen Schwierige technische Umsetzung Mangel an qualifizierten Mitarbeitern 32% 30% 27% 21% 17% Mangel an Unterstützung im Unternehmen 10% Basis: Unternehmen, die sich bereits mit der DSGVO auseinandergesetzt haben oder dies noch tun wollen (n=417) Mehrfachnennungen möglich Quelle: Bitkom Research Umfrage zur Privacy Conference im September 2017 4
Umsetzungskonzept erforderlich Anforderungen + erfordern Ganzheitliche Strategie Struktur & Rahmen Pflichten KVP Gewährleistet Gesetzeskonformität & Erfüllung der Rechenschaftspflichten 5
Vorsicht vor Aktionismus & Stand alone-maßnahmen Ohne Umsetzungskonzept sind die (meisten) Datenschutzmaßnahmen wirkungslos und können mühelos umgangen werden! 6
EU-DSGVO schreibt kein konkretes Umsetzungskonzept vor ABER: Art. 32 Abs. 1 Ziff. d DSGVO Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung 7
Fragebogen des Bayerischen Landesamts für Datenschutzaufsicht (Auszug) Ein konkreter Hinweis für ein How to?! 8
Definitionsansatz Art. 32 Abs. 1 Ziff. d EU-DSGVO: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Ein Datenschutz Managementsystem (DSMS) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, den Datenschutz im Sinne der EU-DSGVO/des BDSG (neu) dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten, nachweisbar zu machen und fortlaufend zu verbessern. Basisquelle: Wikipedia Definition eines ISMS 9
Art. 32 EU-DSGVO beschreibt den Regelprozess PDCA & KVP 10
Orientierungsmaßstab Managementsysteme nach ISO Einen ISO-Standard Datenschutz gibt es noch nicht. Aber - bereits in der Entwicklung: ISO 29151 Leitfaden für den Schutz personenbezogener Daten Veröffentlichung vorrausichtlich April 2018 ISO 27552 Erweiterung zu ISO 27001 Datenschutzmanagement Veröffentlichung noch ungewiss Eröffnet Zertifizierungsmöglichkeit (vgl. Art. 42) Datenschutz (DSMS) Möglichkeit zur Integration durch einheitliche High Level-Structure aller ISO-Standards 11
ISO 27001-Standard inhaltsverwandt, etabliert, anerkannt Ableitung für das Umsetzungsschema des DSMS 12
Ganzheitlicher Ansatz Komponenten des DSMS Organisation Strategie Support High Level-Structure Datenschutz- Governance- Organisation Datenschutzstrategie & -leitlinie Risikomanagement & DSFA Bewertung & Überprüfbarkeit der Wirksamkeit Anpassung & Verbesserung PDCA/KVP- Zyklus TOM s Nachweisbarkeit 13
Der Regelprozess des DSMS Strategie GAP-Analyse DS- Leitlinie DS-Ziele Organisation DSB DS-Koordinatoren Kommunikations- und Meldeprozesse Dokumentenlenkung Identifikation pb Daten, Prozesse (Datenschutz-Assets) Risikomanagement (vgl. ISO 27005) Datenflussdiagramm Rechtsgrundlagen Einwilligungen Verarbeitungsverzeichnis Auftragsverarbeitung Bei hohen Risiken Datenschutzfolgenabschätzung gemäß Art.35 DSGVO Anpassungen Ggf. Zertifizierung Managementreview Priorisierte Risikoliste KPI s Leistungsbewertung Internes Audit Auswahl der TOM s Etablierung notwendiger Prozesse Privacy by design & default Umsetzung Ggf. Einfluss eigener Überlegungen und des Annex der ISO 27001 14
Fahrplanübersicht zur konformen (nicht mehr fristgemäßen) Umsetzung Benennung des DSB Aufwände abhängig von Größe & Datenschutzausprägung 15
Besten Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 16