IMPLEMENTIERUNG EINES DATENSCHUTZ-MANAGEMENT-SYSTEMSNACH DSGVO

Dr. Wolfgang Tankcatworkx GmbH - 2018

• Motivation und Zielsetzung• Konzept und Implementierung von Verfahrensverzeichnissen• Ausblick-Auskunfts- und Meldesystem-Anonymisierung von Benutzern-Special Midsummer Day Offer

• Take Aways

2

AGENDA

WAS TUN? / WARUM SOLLTE ICH WAS TUN?

4

Erhöhung der Haftungshöchstgrenze von max. 300.000 Euro laut BDSG auf bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes

5

HAFTUNGSRISIKIO

Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) wird nach Art. 5 Abs. 2 der Begriff der Rechenschaftspflicht eingeführt, nach dem Verantwortliche die Einhaltung des Datenschutz nachweisen müssen.

6

RECHENSCHAFTSPFLICHT

Verfahrensverzeichnis- Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten

- z.B. Bewerbungsverfahren, Newsletterversand, Lohnabrechnung

Auskunftssystem- Bearbeitung von Anfragen von Betroffenen

- Anfragen: Auskunft, Löschung, Einschränkung, Berichtigung, Datenübertragbarkeit, Widerspruch

Meldesystem- Meldung möglicher Datenpannen / Datenschutzverletzungen

7

DATENSCHUTZ-MANAGEMENT-SYSTEM (DSMS)

Pseudo anonymisi

erungAno

nymisierung

Rechte

Fristen

Ernennung DSB

Mitarbeiter vereinbarung

Auskunftssystem IT-

Sicherheits

richtlin ien

Datenschutz-erklörung

Melde-system

Verfahrens-verzeichnis

• keine Insellösung / keine neue ApplikationØ Individualentwicklung• Umsetzung in der bestehenden JIRA und Confluence

Umgebung nach catworkx Philosophie

“ Jira First “

8

ZIELSETZUNG FÜR DIE IMPLEMENTIERUNG BEI CATWORKX

Adaption von Lösungsbausteinen: Qualitäts-Management, Change- und Release-Management

9

LÖSUNGSFINDUNG

• Pflege relevanter Informationsbestandteile der Verfahren und TOM sowie der Datenschutzfolgenabschätzung in Jira mit begleitender Dokumentation in Confluence

• Lifecycle für die Revision der dokumentierten Verfahren und TOM (Erstellen, Prüfen, Freigabe, Review und Redesign)

• Automatisierte Generierung der Dokumentation und Export aus Confluence• Dynamische Einordnung in ein Verfahrensverzeichnis• Versionierung der Dokumentationen nach Review (Änderungshistorie wird in

Confluence nachvollziehbar)

10

DSMS ALS CUSTOMIZING-ANSATZ

• Dokumentation der Verfahren• Lebender Prozess (Lifecycle) • Aktualisierung und Überprüfung der

Verfahren

11

DSMS ARCHITEKTUR (VERZEICHNISSE)

• Erstellung der Dokumentation• Einordnung in ein

Verfahrensverzeichnis• Export

Approval-Cycle• 4 Augen Prinzip• Überprüfung der Verfahren/TOM auf DSGVO Konformität • Genehmigung durch einen DSB oder Experten

Lifecycle• Aktualisierung und Überprüfung der Verfahren/TOM• Release-Management (Versionierung)

12

VERFAHREN UND TOM WORKFLOW

13

VOM WORD-FORMULAR ZUR VORGANGSMASKE

14

VERFAHRENSPUBLIKATION NACH CONFLUENCE

Issue Publisher for Jira

15

DSMS-DOKUMENTENSTRUKTUR IN CONFLUENCE

16

DYNAMISCHE VERFAHRENSVERZEICHNISSE

17

JÄHRLICHE ÄNDERUNGSNACHWEISE ODER NACH AUDITS

18

DASHBOARD FÜR DIE OPERATIVE STEUERUNG

19

DSMS ARCHITEKTUR (ERWEITERT)

20

AUSKUNFTSSYSTEM ÜBER JIRA SERVICE DESK

21

MELDEPROZESS MIT 72H ESKALATIONS-AUTOMATION

1

2

3

4

JIRA BENUTZER ANONYMISIEREN

Jira mit Max Mustermann

Jira ohne Max Mustermann

CSV Steuerdatei für die Ersetzung vorbereiten

2 SQL Dateien mit Unix Tools daraus erzeugen

Jira Herunterfahren

SQL Dateien ausführen

Jira Starten

Jira vollständig reindizieren

22

• Erweiterung des Auskunfts- und Meldesystems • Verbessertes Reporting (KPIs)• Implementierung von Audits• Aus der Inhouse-Anwendung für den Eigenbedarf wird ein

Produkt

23

AUSBLICK

24

DSGVO2GO SYSTEMKOMPONENTEN

Angebotsbundle:

1. Lizenzen für Atlassian Software plus Apps (ohne Optionen)2. Jira Konfigurationstemplate (als Backup-Zip-File) und Confluence Space-Template

3. 2 PT Atlassian Consulting (Senior Expert Level)

25

SPECIAL MIDSUMMER DAY OFFER

für 25 User: 7.500€*

*) DSGVO2GO auch ohne Lizenzen für bestehende Jira / Confluence-Umgebungen in Verbindung mit erhöhtem Roll-Out-Aufwand nach Absprache lieferbar.

• Der catworkx Ansatz für ein Datenschutz-Management-System ist ein Jira-zentrierter Dokumentationsansatz mit Dokumentenspeicher in Confluence

• Für das Auskunfts- und Meldesystem eignet sich am besten ein Jira Service Desk

26

TAKE AWAYS I

• Unser Issue Publisher for JIRA ist der Kitt, um die Dokumentation automatisch zu erzeugen

27

TAKE AWAYS II

Struktur ist noch kein Content.

28

TAKE AWAYS III

Die catworkx Implementierung wurde von unserem Datenschutzbeauftragten “abgenommen’ und wird als Blaupause auch anderen Unternehmen zur Verfügung gestellt

29

TAKE AWAYS IV

Anonymisierung von Usern ist bedingt durch individuelleDatenstrukturen und App-Abhängigkeiten ein Customizing Thema, wozu catworkx eine Basislösung in der Schublade hat.

30

TAKE AWAY V

catworkx GruppeDeutschland | Schellerdamm 16 | 21079 Hamburg | Tel. +49 40 89 06 46-0 | Fax +49 40 89 06 46-66 | info-de@catworkx.com | www.catworkx.comÖsterreich | Gußhausstr. 23/1/18 | 1040 Wien | Tel. +43 1 23 69 317-22 | Fax +43 1 23 69 317-9 | info-at@catworkx.com | www.catworkx.atSchweiz | Bahnhofplatz 17 | 8400 Winterthur | Tel. +41 52 560 22-20 | Fax +41 52 560 21-00 | info-ch@catworkx.com | www.catworkx.ch

Vielen Dank für Ihre Aufmerksamkeit und weiterhin gute Gespräche.