Software gestütztes Datenschutz-Management-Systems ... · 2020-06-15 · 1. Was bedeutet...
Transcript of Software gestütztes Datenschutz-Management-Systems ... · 2020-06-15 · 1. Was bedeutet...
SEQUDATA_DSGVO-DuD2020 15.06.2020
1
Software gestütztesDatenschutz-Management-Systems
zur umfassenden Verwaltung sämtlicherAnforderungen der DSGVO
:
Stand: Juni 2020
Seite 1
Thema:Strukturierte Vorgehensweise zur
Umsetzung von aktuellen Datenschutz-Standards und
Norminterpretationen
DuD 2020Berlin
Oder:Datenschutzmanagement nach der DSGVO
„Wie organisiere ich den Datenschutz im Unternehmen?“
SEQUDATA_DSGVO-DuD2020 15.06.2020
2
Seite 2
� IT Management Consulting
� Datensicherheit und Datenschutz
� Automotive Management
� Schulungen und Auditierung
Seite 3
Jörg StolzBerater u. Lehrbeauftragter für Wirtschaftsinformatik
Sachverständiger und Auditor für EDV und Datenschutz
- Datenschutzbeauftragter -
Studium der Rechtswissenschaften in Bonn,
diverse Fortbildungen zum IT Network-Manager , EDV-Sachverständigen und IT-Forensiker
(FernUni Hagen, IIR, TU Chemnitz, DESAG, IHK),
Beauftragter und Auditor für Datenschutz (cert.)
(Hochschule Aalen, IHK, DESAG, BSG),
freiberuflich tätig seit 1992
SEQUDATA_DSGVO-DuD2020 15.06.2020
3
Seite 11© 2018 SEQUDATA GmbH & Co. KG
Datenschutzmanagement nach der DSGVO„Wie organisiere ich den Datenschutz im Unternehmen?“
Übersicht und Inhalt
1. Was bedeutet Datenschutz-Management
2. Ausgangsüberlegung - Rechtlage nach DSGVO
3. Die wesentlichen Datenvorschriften der DSGVO
4. Die Datenschutzleitlinie („Datenschutzpolitik“)
5. Datenschutzmanagement-System (DSMS)
6. Die Datenschutz-Kernprozesse
6.1 Verarbeitung personenbezogener Daten (Rechtmäßigkeit)
6.2 Sicherstellung der Betroffenenrechte
6.3 Vorgangsweise bei Datenschutzverletzungen (Data Breach)
7. Umsetzungs-Szenarien
Seite 12© 2018 SEQUDATA GmbH & Co. KG
1. Was bedeutet Datenschutz-Management?
die Einhaltung sämtlicher rechtlicher Anforderungen
dass sämtliche Geschäftsprozesse , bei denen personenbezogene Daten verarbeitet werden, datenschutzkonform auszugestalten und
Datenschutzverstöße zu vermeiden sind.
Dokumentation- und Rechenschaftspflichten umsetzen (Nachweisbarkeit)
wirtschaftliche Umsetzung und Beibehaltung der Datenschutz-Standards
'Kontinuierbarkeit' (Audit)
Datenschutz-Management ist kein allgemein verbindlich definierter Begriff. Durch ein Datenschutz-Management soll sichergestellt werden, dass die Anforderungen des Datenschutzrechts eingehalten werden. Es zielt insbesondere ab (dar-)auf
SEQUDATA_DSGVO-DuD2020 15.06.2020
4
Seite 13© 2018 SEQUDATA GmbH & Co. KG
Orientierungsrahmen für ein DSMS: Die Datenschutz-Kernprozesse
Rechtmäßigkeit der Verarbeitung personenbezogener Da ten
Sicherstellung der Betroffenenrechte
Vorgehensweise bei Datenschutzverletzungen (Data Brea ch)
Die Datenschutzpyramide
Seite 14© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
5
Die Datenschutzpyramide
Seite 15© 2018 SEQUDATA GmbH & Co. KG
Rechtsgrundlagen für ein DSMS
Seite 16© 2018 SEQUDATA GmbH & Co. KG
2. Ausgangsüberlegung - Rechtslage nach DSGVO
(2) Grundsatz nach Art. 5 Abs. 1 und 2 DSGVO
... Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Die Basis und wesentlichen Grundsätze des neuen EU-Datenschutzrechts sind in
Art. 5 DSGVO geregelt. Ein klares Verständnis der in Art. 5 DSGVO normierten
Vorgaben ist für die Auslegung und Anwendung der Vorschriften der gesamten
Verordnung notwendig.
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene
Person nachvollziehbaren Weise verarbeitet werden "Rechtmäßigkeit,
Verarbeitung nach Treu und Glauben, Transparenz") ...
- Artt. 5 (Abs. 2); 24 Abs. 1, 42 (43) DSGVO,
- ferner Artt. 30 Abs. 1 S. 2, Art 32, 33 DSGO
SEQUDATA_DSGVO-DuD2020 15.06.2020
6
Die Grundsätze im einzelnen
Seite 17© 2018 SEQUDATA GmbH & Co. KG
Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)
Verarbeitung nach Treu und Glauben (Verhältnismäßig keitsgrundsatz)
Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
Rechenschaftspflicht
Nach Art. 83 Abs. 5 lit a) DSGVO drohen bei der fehlenden oder mangelhaften
Umsetzung der Grundprinzipien der DSGVO Bußgelder von bis zu vier Prozent des
globalen Umsatzes des Konzerns bzw. des Unternehmens. Daher sind die
Grundprinzipien der Verordnung etwa auch aus Compliance-Sicht eine maßgebliche
Anforderung an Unternehmen.
Bedeutung für das DSMS
Seite 18© 2018 SEQUDATA GmbH & Co. KG
Das Unternehmen muss den Nachweis erbringen können, dass es die Anforderungen der DSGVO umgesetzt hat.
Lt. ErwGr 74 bezieht sich diese Nachweispflicht auch auf die Wirksamkeit der umgesetzten Maßnahmen
Art. 24 Abs. 1 fordert die Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen und den Nachweis, dass die Verarbeitung nach den Bestimmungen der DSGVO erfolgt ist sowie, dass diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden.
Datenschutz ist somit kein Einmalereignis sondern eine kontinuierliche Verpflichtung zur Überwachung und Verbesserung der getroffenen Maßnahmen.
In diesem Zusammenhang hat sich der Plan ‐‐‐‐Do‐‐‐‐Check ‐‐‐‐Act ‐‐‐‐Zyklus (PDCA ‐‐‐‐Zyklus) bewährt.
Daraus folgt:
SEQUDATA_DSGVO-DuD2020 15.06.2020
7
Seite 19© 2018 SEQUDATA GmbH & Co. KG
3. Die wesentlichen Datenvorschriften der DSGVO
Schema Kernprozesse
Seite 20© 2018 SEQUDATA GmbH & Co. KG
Schema der erweiterten Kernprozesse bei der Datenverarbeitung aus Sicht der DSGVO
SEQUDATA_DSGVO-DuD2020 15.06.2020
8
Bedeutung für Verantwortliche
Seite 21© 2018 SEQUDATA GmbH & Co. KG
Wegen der Fülle der datenschutzrechtlichen
Anforderungen – vor allem der weitreichen-den
Dokumentations- und Rechenschaftspflicht –
empfiehlt es sich, ein Datenschutz-Management-
System (einschließlich insbesondere Löschkonzept
und Meldekonzept bei Datenschutzverstößen) zu
etablieren.
Es dient damit insbesondere der Sicherstellung von
rechtskonformer Unternehmenstätigkeit.
Fazit:
Datenschutzleitlinie
Seite 22© 2018 SEQUDATA GmbH & Co. KG
4. Die Datenschutzleitlinie als wesentlicher Bestandteil der "Datenschutzpolitik des Unternehmens"
Selbstverpflichtung des Unternehmens zur Umsetzung des Datenschutzes
Dokumentation der Datenschutzziele, Rollen und Vera ntwortlichkeiten (Governance ‐‐‐‐Struktur)
Innen ‐‐‐‐ und Außenwirkung
Datenschutzleitlinie =
SEQUDATA_DSGVO-DuD2020 15.06.2020
9
Inhalte einer Datenschutzleitlinie
Seite 23© 2018 SEQUDATA GmbH & Co. KG
Einleitung
Geltungsbereich
Grundprinzipien des Datenschutzes
Datenschutzziele des Unternehmens
Verantwortlichkeiten
Datenschutzbeauftragter
Auditing
Sanktionen bei Verstößen
Inhalte:
Umsetzung
Seite 24© 2018 SEQUDATA GmbH & Co. KG
5. Datenschutz-Management-System(DSMS)
Der in Phase III durchgeführte Auditprozess kann die Notwendigkeit von Änderungen von Zielen, Maßnahmen und Richtlinien ergeben. Die Verbesserung bzw. Beseitigung von Mängeln findet in dieser Phase statt.
I. PLAN – Aufbau eines Managementsystems
II. DO – Implementierung des Managementsystems
III. CHECK – Überprüfung durch ständige Überwachung
IV. ACT – Optimierung und Mängelbeseitigung
In der Planungsphase werden zunächst die Ziele formuliert und die Anforderungen identifiziert. Es erfolgt darüber hinaus eine Bestandsaufnahme der im Unternehmen eingerichteten Prozesse und implementierten Datenanwendungen und Richtlinien. Erstellung eines Umsetzungsplanes und Realisierung der Anforderungen.
In dieser Phase werden die Ziele und Maßnahmen aus der Planungsphase implementiert und die Verantwortlichkeiten festgelegt. Besonders wichtig ist in dieser Phase die Schulung und Sensibilisierung der Mitarbeiter.
Die Wirksamkeit der Umsetzung muss überprüft werden (Audit). Das bedeutet, eine laufende Überwachung der umgesetzten Maßnahmen und Prozesse.
SEQUDATA_DSGVO-DuD2020 15.06.2020
10
Methode nach Deming oder P-D-C-A Zyklus
Seite 25© 2018 SEQUDATA GmbH & Co. KG
Der PDCA - Zyklus in der Übersicht
• Umsetzung• Umsetzung ko-
ordinieren
• Ergebnisse
dokumentieren
• Kontrolle und Überwachung
• Ergebnisse auswerten
• Stichproben-Prüfungen
durchführen
• Soll-Ist-Analysen erstellen
• Planung und Konzeption
• Thema (an)erkennen
• Problem abgrenzen
• Ursachen identifizieren
• Ziele definieren
• Umsetzung planen
• Optimierung• Erfahrung sichern
• Verbesserungspotenzial
analysieren
• Verbesserungen
initiieren
ACT PLAN
DOCHECK
Umsetzung P-D-C-A Methode auf die Normen der DSGVO
Seite 26© 2018 SEQUDATA GmbH & Co. KG
6. Schlüssel zur Strukturierung: Die Datenschutz-Kernprozesse
Rechtmäßigkeit der Verarbeitung personenbezogener D aten
Sicherstellung der Betroffenenrechte
Vorgehensweise bei Datenschutzverletzungen (Data Bre ach)
SEQUDATA_DSGVO-DuD2020 15.06.2020
11
Seite 30© 2018 SEQUDATA GmbH & Co. KG
7. Umsetzungs-Szenarien
Übersicht - Grundstruktur u. Datenschutz-Kernprozesse
Die Datenschutz-Kernprozesse als Prüfkatalog
� Status Quo Ermittlung – Assessment
� Datenschutzpolitik der Organisation – Governance
� Kernprozess I: Rechtmäßigkeit der Verarbeitung personenbezogener Daten
� Kernprozess II: Sicherstellung der Betroffenenrechte
� Kernprozess III: Vorgehensweise bei Datenschutzverletzungen (Data Breach)
� DSMS und Audit
Seite 31
§
© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
12
Regelkreis - Kernprozesse des Datenschutzes gem. DSGVO
DSGVO
A]Status-Quo-Ermittlung;
DS-Assessment,DS-Konzept
B]Governance:
DS-Politik derOrganisation
C]Zulässigkeit
der Verarbeitung
pb Daten
D] Sicherstellung
derBetroffenen-
Rechte
E] Verfahren
bei Datenschutz-Verletzungen
'DataBreach'
F]
Datenschutz-Management-
System
'DSMS'
G]
Audits,Organisation,
Projektmngmt.
Seite 32© 2018 SEQUDATA GmbH & Co. KG
Zielsetzung
Seite 33© 2018 SEQUDATA GmbH & Co. KG
Festlegung eines systemimmanenten Prüfablaufs und Kataloges zur Abbildung und Überprüfung der datenschutzrechtlichen Anforderungen, d.h.:
gesetzliche, organisatorische und technische Vorgab en zum Datenschutz sind inhaltlich vorbelegt und sind durch die Anwendung des Systems nachhaltig umsetzbar
vollständige Erfassung der tatbestandlichen Situati on in der Institution
Erfüllung der rechtlichen, organisatorischen und te chnischen Vorgaben i.S.d. DSGVO, div. Spezialgesetze und Normen
Abbildung aller relevanten Vorgaben und Maßnahmenum setzungen in einer Prozessstruktur
dogmatisch sauber geordnet
replizierbar aus Sicht des Anwenders (DSB, Berater) , also systematisch wiederkehrend anwendbar
Ordnungssystem, welches aktuelle und zukünftige Vor gaben vollumfänglich verwaltet
SEQUDATA_DSGVO-DuD2020 15.06.2020
13
Zielsetzung
Seite 34© 2018 SEQUDATA GmbH & Co. KG
umfassende Prüfkataloge der SOLL-Vorgaben
Assessment- und Analyse-Funktionen zur Ermittlung de s IST-Zustandes in einer Institution
Funktionen zur Erstellung einer GAP-Analyse mit Rep ort aus SOLL-IST-Abgleich
Ermittlung des Handlungsbedarfes und Lieferung von detaillierten Maßnahmenempfehlungen, die aus dem Ergebnis des Ass essments resultieren
Bereitstellung von Unterstützungsdokumenten über de n gesamten Prozess:
• Leitfäden und Checklisten (z.B. vollständige Implem entierungsleitfäden)• Formulierungshilfen, Mustertexte, Erklärungen• Vertragsbeispiele (z.B. DSB, AVV, GmV ...)• Konzepte, Richtlinien, Formular-Sets (z.B. 'DataBre ach', TOM)• DS-Handbuch, VVT, Vorlagen zur DSFA• Gesetze, Normen und WP
Zielsetzung
Seite 35© 2018 SEQUDATA GmbH & Co. KG
AUDIT-Modul• Bewertungsanalyse des Datenschutzreifegrades• grafische Auswertung
Reporting
Projekt-Management-Tool zur Steuerung und -verfolgu ng des Datenschutz-Projektes in der Umsetzungs-, Auditieru ngs-, und Nachverfolgungsphase (DSMS, P-D-C-A-Zyklus (Deming) )
sog. Projektblätter
jeder Prozessschritt wird mit einem Projektblatt ab gebildet
SEQUDATA_DSGVO-DuD2020 15.06.2020
14
Seite 36© 2018 SEQUDATA GmbH & Co. KG
P-D-C-A-Zyklus für jeden Prozessabschnitt
Nachhaltigkeit und Verbesserung der datenschutzrech tlichen Umsetzungsmaßnahmen
Audit und Messbarkeit des Datenschutzreifgrades
Dokumentation
Der Kerngedanke des DSMS ist integraler Bestandteil des Software-System-Aufbaus, der gerichtet ist auf:
Die SEQUDATA Datenschutz-Management-Software
Seite 37© 2018 SEQUDATA GmbH & Co. KG
8. Umsetzungs-Szenarien – Software-Lösung
SEQUDATA_DSGVO-DuD2020 15.06.2020
15
Die SEQUDATA Datenschutz-Management-Software
Seite 38© 2018 SEQUDATA GmbH & Co. KG
8. Merkmale der Software-Lösung
offengestanden: Excel basiertgute Handhabbarkeithohe Einsatz-Flexibilität,
da keine hohen Software-Policy-Standardsda gut geeignet für 'mobilen Einsatz' bei Inhouse-Beratung durch externe DSBbei regulatorischer Fortschreibung des Datenschutzrechts (rechtl. u. organisator.)bei inhaltlicher Erweiterbarkeit
Q|DIAS - Datenschutz Implementierungs- und Audit-System
Die SEQUDATA Datenschutz-Management-Software
Seite 39© 2018 SEQUDATA GmbH & Co. KG
8. Merkmale der Software-Lösung
Q|DIAS - Datenschutz Implementierungs- und Audit-System
Systemimmanenter Prüfungskatalog für alle Verfahren anwendbar
DSGVO SOLL-Katalog
Basis-Assessment, IST-Analyse und GAP Report
Implementierungsvorgaben und Maßnahmenempfehlungen
Leitfäden, Checklisten, Formulierungshilfen, Muster texte
Erklärungen, Verträge, Konzepte und Richtlinien, DS- Handbuch
Führung der Verfahrensverzeichnisse
Datenschutz-Audit mit Messung des Datenschutzreifegra des
grafische Auswertungen und Reporting der Assessment s und Audits
Projektsteuerung zur internen und externen Verwendun g (DSB)
Datenschutz-Management-System mit P-D-C-A-zyklischer Vorgehensweise
Umfassende Verwaltung sämtlicher betrieblicher Dat
Prüfung der technisch-organisatorischen Vorgaben, S icherheit der Verarbeitung (TOM)
Unterstützung bei Datenschutz-Folgenabschätzungen (DSF A)
Dokumentation und Nachweis des ordnungsgemäßen betr ieblichen Datenschutzes
Mandantenfähigkeit
SEQUDATA_DSGVO-DuD2020 15.06.2020
16
Q-DIAS
Seite 40© 2018 SEQUDATA GmbH & Co. KG
Das SEQUDATA Datenschutz-Management-System dient auf der Basis von
fachlich abgesicherten Beschreibungen und standardisierten Prozessen zur
Erkennung von Defiziten des Datenschutzzustandes in einer betrieblichen oder
behördlichen Organisation.
Das vorliegende System liefert den rechtlichen und organisatorischen Rahmen zur
▪ Dokumentation relevanter Vorgaben
▪ Umsetzung der Datenschutzanforderungen
▪ Prüfung auf Soll-Ist Abweichung
▪ Einordnung zur Beurteilung der Prüfergebnisse
▪ Kontrolle relevanter Vorgaben
▪ Nachhaltige Validierungsmethodik der Umsetzungsergebnisse und ein anerkanntesVerbesserungsmanagement (P-D-C-A Zyklus)
entsprechend der gesetzlichen Vorgaben der DSGVO und deren Begleitvorschriften.
Zur Behebung aufgedeckter Defizite stellt es rahmengebend Leitfäden, Maßnahmen, Handlungsanweisungen sowie Formulierungshilfen für ein erfolgreiches Change-Management zur Einhaltung der Vorgaben der DSGVO bereit. Das Q|DIAS wird laufend aktualisiert und fortgeschrieben.
Q-DIAS - Cockpit
Seite 41© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
17
Prüfablauf und Katalog
Seite 43© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf und Katalog
Seite 44© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
18
Prüfablauf – Auszug: Zulässigkeit der Verarbeitung
Seite 45© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Abschnitt 'Datenschutzvorfall'
Seite 46© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
19
Prüfablauf – Annex: Prüfleitfaden 'Datenschutzvorfall'
Seite 47© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Annex: Prüfleitfaden VVT (Auszug)
Seite 48© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
20
Prüfablauf – Projektblatt 'Datenschutzvorfall' (Seite 1)
Seite 49© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Projektblatt 'Datenschutzvorfall' (Seite 2)
Seite 50© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
21
Prüfablauf – Assessment Status-Quo-Ermittlung (Auszug)
Seite 51© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Assessment Report
Seite 52© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
22
Prüfablauf – Audit Fragebogen (Auszug)
Seite 53© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Audit Grafische Auswertung (Auszug)
Seite 54© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
23
Prüfablauf – Audit Grafische Auswertung (Auszug)
Seite 55© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Audit Grafische Auswertung (Auszug)
Seite 56© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
24
Prüfablauf – Audit Grafische Auswertung (Auszug)
Seite 57© 2018 SEQUDATA GmbH & Co. KG
Prüfablauf – Audit Grafische Auswertung (Auszug)
Seite 58© 2018 SEQUDATA GmbH & Co. KG
SEQUDATA_DSGVO-DuD2020 15.06.2020
25
DSGVO-Assessment und IT-Prüfung
� Erstellung eines Datenschutzgrundgut-achtens und Aushändigung aussagekräf-tiger Reports über den betrieblichen Datenschutz- und IT-Sicherheitszustand
� Die Analysen und Prüfungen werden im Dialog mit den Verantwortlichen im Un-ternehmen durchgeführt.
� Die Auswertung der Analyse erfolgt durch die SEQUDATA Unternehmensberatung.
� Eine Überlassung des Prüf- und Dokumen-tationssystems kann nach Abschluss einer Implementierungsphase vereinbart werden.
Seite 59© 2018 SEQUDATA GmbH & Co. KG
Vielen Dank für Ihre Aufmerksamkeit!
Sprechen Sie uns an.
+49 (0)172 – 25 70 662