BOS - Flexible Arbeitsplätze der Zukunft- aber sicher!
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 07 - DSGVO - Praktische Umsetzung in Unternehmen
1. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Praktische Umsetzung der DSGVO im
Unternehmen
2. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Praktische Umsetzung
der DSGVO im Unternehmen
3. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Inhalt
Aufgaben im Datenschutz
Komponenten eines Datenschutzsystems
Dokumentation
Prozesse
Schutzmaßnahmen
Projektplan zum Einrichten eines Datenschutzsystems
4. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Das Wesen des Datenschutzes
nach der DSGVO
Das eigentliche Ziel des DSGVO ist, es die Unternehmen zu zwingen, die Kontrolle über die Verarbeitung von
Personendaten zu erhalten. Voraussetzung dafür ist eine vollständige Transparenz der Informationsverarbeitung.
Es muss bekannt und dokumentiert sein:
Welche Verfahren der Informationsverarbeitung gibt es?
Welchem Zweck dienen sie und auf welcher rechtlichen Grundlage erfolgen sie?
Welche Daten werden dabei benötigt?
Woher kommen diese Daten und wohin werden sie gegebenenfalls weitergegeben?
Die Aufgaben des betrieblichen Datenschutzes ist es vorrangig, genau diese Transparenz herzustellen,
und zwar durch Betreiben eines Datenschutzsystems.
3
5. 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Aufgaben im Datenschutz
Einmalig:
Einrichten eines Datenschutzsystems
• Datenschutzorganisation: Rollen und
Aufgaben
• Erstellen der obligatorische
Dokumentation
• Planung und Implementierung der
technischen und organisatorischen
Sicherheitsmaßnahmen (TOM)
Dauerhafte Aufgabe:
Datenschutz im Alltag
• Pflege der Dokumentation
• Betrieb der Sicherheitsmaßnahmen
• Controlling, u.a. interne und externe
Audits
• Bearbeitung von Anfragen,
Sicherheitsvorfällen etc.
6. 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Obligatorische Dokumentation
Unmittelbar von der DSGVO gefordert:
• Verarbeitungsübersicht (Art. 30)
• Verarbeitungsbeschreibung
• Grund der Verarbeitung
• Umfang: Daten, Funktionen, Datenflüsse
• Rechtsgrundlage der Verarbeitung
• Datenschutzfolgeabschätzung (Art. 35)
• Gegebenenfalls anderes mehr, z.B. Meldebögen an Aufsichten wie staatliche Datenschutzbehörden (Art. 33)
5
7. 6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Weitere Dokumentation
Dokumentation, ohne die ein effektiver Datenschutz kaum möglich ist:
• Datenschutzstrategie (Policy) inkl. Datenschutzorganisation
• Minimale technische Dokumentation der Verfahren inkl. Darstellung der Datenflüsse
• Risikoanalyse? Siehe dazu Art. 32 Abs. 2 DSGVO
• Schutzkonzept als Compliance-Nachweis für die einzelnen Verfahren
• Qualifiziertes Lieferantenverzeichnis (wegen Auftragsverarbeitung)
• Gegebenenfalls anderes mehr, z.B.
• Anpassung der AGB, der SLAs und anderer Vertragstexte
• Datenschutzerklärung auf der Website
• Schulungsnachweise
• Prüfnachweise, Auditberichte, Zertifikate
• …
8. 7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Datenschutzmanagement
Unmittelbar von der DSGVO und vom BDSG gefordert:
Datenschutzorganisation
U.a. Datenschutzbeauftragter
Datenschutzprozesse
Pflege der Datenschutzdokumentation
Verifikation der Wirksamkeit der Schutzmaßnahmen
Steuerung der Auftragsverarbeitung
Umgang mit Datenschutzvorfällen (Incident Response)
Datenschutz im Entwicklungsprozess inkl. Privacy by Design und Privacy by Default
9. 8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schutzmaßnahmen
nach Artikel 32 DSGVO
Allgemeine Informationssicherheit
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Verfügbarkeit und Belastbarkeit
Spezifische Datenschutzvorschriften
Trennungsgebot
Pseudonymisierung und Anonymisierung
Verschlüsselung
IT Service Continuity Management
Herausforderungen:
• Identifikation der nötigen Maßnahmen
(Compliance vs. Risk Assessment)
• Compliance-Nachweise
10. 9EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Beispiele
Verarbeitungsübersicht
Verarbeitungsbeschreibung
Datenschutzfolgeabschätzung
11. 10EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Anhang
Projektplan für die
Einführung eines Datenschutzsystems
12. 11EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Projektplan - Schritte
1. Kickoff: Darstellung der Situation und Projektplanung
2. Vorbereitung, inkl. Bereitstellung der nötigen Vorlagen und sonstiger Werkzeuge
3. Erstellung der minimal nötigen Dokumentation
4. Training der Mitarbeiter und Erstellung der Trainingsnachweise
5. Evtl.: Planung und Implementierung von Schutzmaßnahmen gemäß Artikel 32 DSGVO
13. 12EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 1: Kickoff
Workshop (halbtags)
Evtl. Einführung in das Thema Datenschutz
Situation im Unternehmen
IT-Verfahren
Organisation & Rollen
Prozesse & Workflows
Dokumentation
Mögliche weitere Vorgehensweise
14. 13EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 2: Vorbereitung
Vorbereitung (offsite)
Projektplan
Erstellen der Vorlagen
Basis sind fertige Vorlagen und Metadokumente.
Diese werden an die Bedürfnisse des Unternehmens angepasst.
Einrichten der Projektinfrastruktur, zum Beispiel der Projektablage
15. 14EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 3: Dokumentation
Workshops zur Informationsbeschaffung und anschließend Erstellen der obligatorischen Dokumente
Business Definition:
Organisationstruktur Verarbeitungsübersicht
Service Design
Verarbeitungsbeschreibungen
Datenschutzfolgeabschätzungen
Lieferantenverzeichnis inkl. Bewertung des Thema Auftragsverarbeitung
Evtl. weitere Aufgaben prüfen; Schwerpunkt sind die von außen sichtbaren Dinge wie Web-Site, AGB/SLAs
etc.
16. 15EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 4: Training
Datenschutzschulung für die Mitarbeiter
Einführung in das Thema
Umsetzen im eigenen Unternehmen
Eigene Aufgaben und Pflichten
Gegebenenfalls formale Verpflichtung der betroffenen Mitarbeiter
17. 16EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 5: Schutzmaßnahmen
Risikoanalyse
Sicherheitskonzept
Tasks zur Implementierung von Sicherheitsmaßnahmen
Gegebenenfalls Compliance-Nachweise erstellen
Dies ist eher nicht Kernaufgabe des Datenschutzes, sondern der allgemeinen Entwicklung von Verfahren und
Lösungen (Service Design) bzw. der Informationssicherheit.