3. Namics.
Was ist die neue DSGVO?
Definition
− DSGVO steht für Datenschutz-Grundverordnung (EN: GDPR:
General Data Protection Regulation). Dies ist die neue
Verordnung der EU Kommission zum Schutz persönlicher Daten
von Bürgern in der EU.
− Die Umsetzungsfrist der Verordnung lief am 25. Mai 2018 ab.
Zielsetzung
− Stärkung der Betroffenenrechte
− Vereinheitlichung des Datenschutzstandards
− Schaffung eines einheitlichen Rechtsrahmens für die digitale Welt
4. Namics.DSGVO – WAS KOMMT DA AUF UNS ZU?
Wer ist durch die DSGVO betroffen?
Die DSGVO betrifft alle Unternehmen, die
personenbezogene Daten von Bürgern in der EU
erfassen und nutzen, unabhängig davon, ob das
Unternehmen in der EU domiziliert ist und wo die
Verarbeitung der Daten stattfindet.
5. Namics.DSGVO – WAS KOMMT DA AUF UNS ZU?
Personenbezogene Daten. Verarbeitung.
6. Namics.
"Für mich ist Datenschutz wichtig. Mir
begegnet’s z.B. auch im Kaufhaus mit
den Punktekarten, das wird ja auch
gespeichert."
"Wird jetzt zu persönlich, wenn ich
Ihnen sage, bei welchen Firmen ich
diese Rechte ausüben werde."
"Ich sag denen dann auch: wenn
Sie mich nochmals anrufen, dann
verklag ich Sie."
"Das Recht auf Vergessenwerden bei Daten,
die schon seit Jahren kursieren und die man
löschen will."
"Wenn man sagt, dass man das nicht will,
muss es wirklich gelöscht werden und nicht
einfach nur: machen wir dann schon."
"Recht auf
Widerspruch: Klar."
"Das Recht auf
Datenübertragbarkeit würde ich
sehr intensiv nutzen."
"Ich frage mich, was machen die
genau mit meinem Datensatz."
Aussagen befragter Konsumenten.
7. Namics.
Rechte des Kunden im Überblick.
§15 Auskunft
§16 Berichtigung
§17 Löschung / Vergessenwerden
§18 Einschränkung der Verarbeitung
§20 Datenübertragbarkeit
§21 Widerspruch
8. Namics.
Risiko lohnt sich nicht.
Verletzungen der DSGVO können mit
bis zu 20 Millionen oder vier Prozent des
globalen Umsatzes sanktioniert werden.
9. DSGVO – wie wir Sie
unterstützen können.
ZWEITENS
10. Namics.
Umsetzung
Umsetzung von Migrationen
und Upgrades,
Implementierung von neuen
Features webbasierter und
mobiler Lösungen sowie
Konsolidierung von
personenbezogenen Daten
(Golden record).
Analyse
Systeme, Prozesse und
deren Zusammenhänge im
Bezug auf Speicherung
und Nutzung von
personenbezogenen
Daten.
Vorgehen
Konzept
Erarbeitung des Konzepts
zur Umsetzung der
definierten Massnahmen
zusammen mit dem
Kunden.
Strategie
Moderation des
Strategieprozesses zur
Umsetzung der DSGVO.
Entscheidungen sind in
der Verantwortung des
Kunden.
11. Namics.
Interne Awareness (Aufgabe Kunde)
Identifikation der verantwortlichen Stakeholder
- Datenschutzverantwortlicher, Rechtsabteilung,
Management, Abteilungen, die personenbezogene Daten
verarbeiten (erheben, speichern, nutzen etc.).
Awareness bei den Stakeholdern wecken
- Infoveranstaltung, um die Problematik zu erläutern und
ein mögliches Vorgehen präsentieren.
Optional mit Unterstützung von Namics.
Aufsetzen eines DSGVO Projektteams
- Bildung eines DSGVO Projektteams (Kern- und
erweitertes Team) mit den betroffenen Stakeholdern und
Datenschutzverantwortlichen.
Ergebnis
- Notwendigkeit zum
Handeln wird von den
Stakeholdern erkannt
- Bereitschaft in DSGVO
Konformität zu
investieren ist
grundsätzlich vorhanden
Lieferobjekte Namics
- optional: Support bei
Infoveranstaltung
Skillset Namics
- Solution Specialist
- Consultant
Aufwandsindikation
(optional)
1 PT
12. Namics.
Analyse Datenquellen & Prozesse
Kick-Off Meeting
Kick-Off-Meeting mit DSGVO Projektteam (Terminplanung,
Verantwortlichkeiten, Definition des Scopes für Datentypen,
Datenquellen und Prozesse).
Analyse der von der Namics Solution betroffenen Systeme
- Analyse der Systeme mit personenbezogenen Daten in
Zusammenarbeit mit dem Kunden.
- Erhebung der mit den Daten verbundenen Prozesse
(Speicherung, Weiterverarbeitung, Nutzung).
- Dokumentation der DSGVO-Konformität der von Namics
eingesetzten Produkte.
Abgrenzung: Für eine Analyse von Systemen, die nicht von Namics
implementiert oder betrieben werden, bitte Anzahl der zu analysierenden
Datenquellen angeben, um den Aufwand schätzen zu können.
Ergebnis / Lieferobjekte
- Inventarisierung der
verarbeiteten
personenbezogenen
Daten und damit
verbundenen Prozesse
- Dokumentation im
Namics Kunden Wiki
Skillset Namics
- Solution Specialist
- Consultant
Aufwandsindikation
ab 4 PT/System
13. Namics.
Aufwandsindikation
(Zeitbudget)
4 – 8 PT
DSGVO Strategieentwicklung
Aufzeigen der technischen Möglichkeiten den
Betroffenenrechten gem. DSGVO zu entsprechen
Technische Optionen aufgeschlüsselt nach Betroffenenrechten.
Z.B. Upgrade auf neueste Produktversion, Eigenentwicklung,
Golden Record etc.
Moderation eines Workshops mit den Entscheidern des
Kunden zur Entwicklung einer DSGVO Strategie (optional)
- Präsentation der Ist-Situation und der technischen
Optionen.
- Definition eines Soll-Zustands liegt in Verantwortung des
Kunden (keine Rechtsberatung).
Abgrenzung: Keine Beratung für TOMs zur Sicherstellung der
Datensicherheit im Unternehmen oder für gesetzlich erforderliche
Risikoanalyse.
Ergebnis / Lieferobjekte
- Präsentation der
technischen Optionen
- Moderation des Strategie
Workshops (optional)
- Dokumentation im
Kunden Wiki
Skillset Namics
- Solution Specialist
- Consultant
14. Namics.
Konzeption Massnahmen (tech.)
Erarbeitung der umzusetzenden Massnahmen gemäß der
DSGVO Strategie des Unternehmens
Workshop mit dem DSGVO Projektteam des Kunden zur Definition
der umzusetzenden technischen Massnahmen – organisatorische
Massnahmen werden vom Kunden parallel erarbeitet.
Aufstellung und Priorisierung der Massnahmen
Review durch Rechtsabteilung des Kunden.
Fachliche Spezifikation der technischen Massnahmen
im verfügbaren Zeitrahmen – weitere nach Aufwand.
Review und Abnahme durch den Kunden.
Abgrenzung: Keine Konzeption von organisatorischen Massnahmen sowie
Massnahmen zur Datensicherheit (ausgenommen betroffene Namics Systeme).
Ergebnis / Lieferobjekte
- Priorisierter
Massnahmenkatalog
- Fachliche Spezifikation
der techn. Massnahmen
- Dokumentation im
Namics Kunden Wiki
Skillset Namics
- Technical Engineer
- Consultant
Aufwandsindikation
10 – 15 PT
15. Namics.
Umsetzung Massnahmen (tech.)
Umsetzung der DSGVO Massnahmen für die von Namics
erstellten und/oder betriebenen Systeme, z.B.
- Upgrade auf die neueste Softwareversion
- Erstellung von Custom Features, um den
Betroffenenrechten Rechnung zu tragen
Optional: Datenkonsolidierungsprojekt zur Erstellung von
Golden Records der im Unternehmen vorhandenen
personenbezogenen Daten
Abgrenzung: Keine Umsetzung von organisatorischen Massnahmen und
Massnahmen zur Datensicherheit (ausgenommen betroffene Namics
Systeme)
Ergebnis / Lieferobjekte
- t.b.d.
Skillset Namics
- Technical Engineer
- Consultant
Aufwandsindikation
Abhängig von den spezifizierten
Massnahmen.