©2017 Grant Thornton Austria
DSGVO –
PRAXISEINFÜHRUNG
IN 7 SCHRITTEN
Diese Präsentation
finden Sie unter:
www.gt.at/beham
©2017 Grant Thornton Austria2
Vorstellung
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Grant Thornton Präsenz
133 Länder | 742 Offices | 47.000 Mitarbeiter
LINZ | WIEN | BRUCK/LEITHA
Grant Thornton ist weltweit das sechstgrößte
Netzwerk von Wirtschaftsprüfungsgesellschaften.
Georg Beham
• Studium Fachhochschule Hagenberg
„Sichere Informationssysteme“
• Geschäftsführer | Partner
IT-Advisory
• Gerichtssachverständiger für
Datenschutz, IT-Forensik und
IT-Sicherheit
• Lektor Donau Universität Krems,
Universität Liechtenstein, FH
Hagenberg und Eisenstadt
• Herausgeber und Autor der
Fachbücher
“Datenschutz-Audit” und
“EU-DSGVO” Praxiseinführung
in 7 Schritten
Audit - Wirtschaftsprüfung
Tax - Steuerberatung
Advisory - Unternehmensberatung
©2017 Grant Thornton Austria
Datenschutz
Grundverordnung
Datenschutz
Anpassungs-
Gesetz 2018
DSG 2000
AUSGANGSSITUATION
3
©2017 Grant Thornton Austria4
Die Straßenverkehrsordnung - Historie
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
http://www.laenderdaten.de/verkehr/links_oder_rechtsverkehr.aspx
http://members.a1.net/oswag/wago55.html
Rechtsverkehr
Früher Linksverkehr, jetzt Rechtsverkehr
Linksverkehr
Früher Rechtsverkehr, jetzt Linksverkehr
Früher uneinheitliche Regelung (abhängig
vom Ort), jetzt Rechtsverkehr
Weltweite (mit historischen Umstellungen seit 1858)
Verteilung von Rechts- und Linksverkehr
©2017 Grant Thornton Austria5
http://www.laenderdaten.de/verkehr/links_oder_rechtsverkehr.aspx
http://members.a1.net/oswag/wago55.html
Rechtsverkehr
Früher Linksverkehr, jetzt Rechtsverkehr
Linksverkehr
Früher Rechtsverkehr, jetzt Linksverkehr
Früher uneinheitliche Regelung (abhängig
vom Ort), jetzt Rechtsverkehr
Weltweite (mit historischen Umstellungen seit 1858)
Verteilung von Rechts- und Linksverkehr
Die Straßenverkehrsordnung - Historie
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Rechtsverkehr seit:
©2017 Grant Thornton Austria6
http://www.laenderdaten.de/verkehr/links_oder_rechtsverkehr.aspx
http://members.a1.net/oswag/wago55.html
Weltweite (mit historischen Umstellungen seit 1858)
Verteilung von Rechts- und Linksverkehr
Rechtsverkehr
Früher Linksverkehr, jetzt Rechtsverkehr
Linksverkehr
Früher Rechtsverkehr, jetzt Linksverkehr
Früher uneinheitliche Regelung (abhängig
vom Ort), jetzt Rechtsverkehr
Weltweite Verteilung von Rechts- und
Linksverkehr im Straßenverkehr
Die Straßenverkehrsordnung - Historie
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Rechtsverkehr seit:
©2017 Grant Thornton Austria7
https://de.slideshare.net/HolgerSchmidt/internet-der-dinge-der-nchste-groe-schritt-fr-die-digitale-wirtschaft
https://www.finews.ch/news/finanzplatz/26711-big-data-sind-daten-tats%c3%a4chlich-das-neue-gold
Wie einst der Straßenverkehr, so hat auch unsere digitale Abhängigkeit zugenommen.
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Apps
Internet der Dinge /
Industrie 4.0
Web 2.0 /
Social MediaOnline
HandelWeb
1.0
Digitale Produkte
und Services
Die digitale Evolution
ALLE
©2017 Grant Thornton Austria8
Wie einst der Straßenverkehr, so hat auch unsere digitale Abhängigkeit zugenommen.
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
René Mayerhofer, Johannes Kepler Universität Linz
„Wissen entsteht aus rohen
Daten und Algorithmen.
Vergleiche von Daten mit Öl
oder Gold sind irreführend, weil
Daten mit marginalen Kosten
kopierbar sind.“
„Daher wird zukünftig –
anders als bei physischen
Ressourcen – nicht die
Knappheit, sondern die
Kontrolle über Datenkopien
entscheidend sein.“
Die Datenschutzgrundverordnung
ist mit 25. Mai 2016 in Kraft
getreten und ist nach einer 24-
monatigen Frist mit 25. Mai 2018
anzuwenden.
Sie vereinheitlicht die Regelungen
für die Verarbeitung von
personenbezogenen Daten durch
private Unternehmen und
öffentliche Stellen innerhalb der
UNION. (…)
Datenschutz Grundverordnung
Ist Big Data das neue Gold?
©2017 Grant Thornton Austria9
25. Mai 2018heuteDie Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft.
Bis dahin müssen alle Verarbeitungstätigkeiten an die neue Rechtslage angepasst werden.
Privacy by
design and
default
• Geeignete
technische und
organisatorische
Maßnahmen
Meldung von
Datenschutz-
vorfällen
• Unverzügliche bzw.
Meldung nach 72h
an die
Aufsichtsbehörde
und Betroffene
Datenschutz-
Folgenabschätzung
(DSFA)
• Risikobewertung der
Verarbeitungstätigkeiten
Benennung
eines
Datenschutz-
beauftragten
• Unabhängig davon:
Datenschutz-
verantwortlicher ist
jedenfalls erforderlich
Rechte der
Betroffenen
• Information, Auskunft,
Berichtigung und
Löschung
(„Vergessen“)
• Datenübertragbarkeit,
Einschränkung und
Widerspruch
Geldbußen
• Bis zu 20 000 000 EUR
• 4 % des gesamten weltweit
erzielten Jahresumsatzes des
vorangegangenen
Geschäftsjahres
Dokumentation der
Verarbeitungstätigkeiten
• Führen eines Verzeichnisses
der Verarbeitungstätigkeiten
(VdV)
DSGVO
Wesentliche Neuerungen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria
Verarbeitungstätigkeiten
Erhöhte Eigenverantwortung von
Unternehmen – Risikobeurteilung
durch Unternehmen anstelle von
Meldeverfahren
Möglichkeit von Sammelklagen
durch Interessensvertretungen
gegen Unternehmen
Falsche Erfassung von
Verarbeitungstätigkeiten
(Prozessen) anstelle von
Datenverarbeitungen (Applikationen)
Verhältnismäßig einfache Prüfung
von offensichtlichen
Abweichungen bzw. Vergehen
(z.B. Dokumentations-pflichten,
Bestellung eines DSB)
Verpflichtende Meldepflichten
innerhalb von 72 Stunden an die
Aufsichtsbehörde bei
Datenschutzvorfällen
Sammelklagen
Meldepflicht
Prüfung von
Abweichungen
Hohe Geldbußen, die
abschreckend wirken sollen
Geldbußen
Beweislastumkehr im Falle
von Datenschutzvorfällen oder
BeschwerdenBeweislastumkehr
Haftung der zur Vertretung nach
außen befugten Organe
Haftung
Eigenverantwortung
10
Die größten Risiken für Unternehmen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria
Jedes fünfte (20%)Unternehmen gab in der Umfrage
an, sich noch nicht auf die
DSGVO vorbereitet zu haben.
Quelle: IDC-Forschungsumfrage 2017
• Datenschutz- und Datensicherheitsanforderungen gemäß
Datenschutzgesetz 2000 wurden oftmals nicht ausreichend
betrachtet und umgesetzt.
• Die Anforderungen der DSGVO bedeuten für die meisten
Unternehmen die Einführung von neuen Prozessen und
Maßnahmen in vielen Bereichen der IT- und Prozesslandschaft.
• Datenschutzkontrollen oder Aufforderungen zur Stellungnahme
durch die Aufsichtsbehörde bei ausgewählten Unternehmen in
Österreich und Deutschland zeigen, dass Datenschutz an
Bedeutung gewinnt.
• Interessensvertretungen (z.B. AK und VKI) rüsten
datenschutzrechtlich zu Sammelklagen auf.
• Daher müssen Unternehmen die Einhaltung der Vorgaben der
DSGVO bis Mai 2018 sicherstellen und gegebenenfalls nachweisen
können.
11
52% der befragten
Unternehmen sind sich
nicht sicher, welche
Veränderungen die
DSGVO nach sich ziehen.
Beobachtungen und Ableitungen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria
Datenschutz
Grundverordnung
Datenschutz
Anpassungs-
Gesetz 2018
DSG 2000
DATENSCHUTZMANAGEMENT
12
©2017 Grant Thornton Austria
Art. 24 und Art 32. DSGVO fordern:
Feststellung des IST-Standes
Feststellung des SOLL-Standes (Pflichten)
Vergleich IST-SOLL: Feststellung der
Abweichungen und der Risiken für Rechte
und Freiheiten Betroffener
IT-Risikomanagement für die
risikoorientierte Umsetzung der
Datensicherheitsmaßnahmen
13
PLAN
DO
CHECK
ACT
Festlegung von geeigneten organisatorischen und technischen Maßnahmen
Kontinuierliche Überwachung der Wirksamkeit der organisatorischen und technischen Maßnahmen
Verbesserung der Maßnahmen;
Nachweis und Dokumentation aller Schritte
Risikoorientierte Umsetzung der Maßnahmen;
Implementierung der Datenschutzprozesse
Die DSGVO verpflichtet Unternehmen zu vielfältigen Maßnahmen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria
Art. 24 und Art 32. DSGVO fordern:
Feststellung des IST-Standes
Feststellung des SOLL-Standes (Pflichten)
Vergleich IST-SOLL: Feststellung der
Abweichungen und der Risiken für Rechte
und Freiheiten Betroffener
IT-Risikomanagement für die
risikoorientierte Umsetzung der
Datensicherheitsmaßnahmen
14
Festlegung von geeigneten organisatorischen und technischen Maßnahmen
Kontinuierliche Überwachung der Wirksamkeit der organisatorischen und technischen Maßnahmen
Verbesserung der Maßnahmen;
Nachweis und Dokumentation aller Schritte
Risikoorientierte Umsetzung der Maßnahmen;
Implementierung der Datenschutzprozesse
Ableitung: Die Umsetzung der DSGVO erfordert einen strukturierten Ansatz –
ein Datenschutzmanagement-System
Die DSGVO verpflichtet Unternehmen zu vielfältigen Maßnahmen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
PLAN
DO
CHECK
ACT
©2017 Grant Thornton Austria
Von der Geschäftsführung …
… bis zum Lehrling und Praktikanten.
Managementunterstützung für
Themen des Datenschutzes
Datenschutz ist eine
Querschnittsfunktion und betrifft
alle Ebenen und
Organisationseinheiten des
Unternehmens
Ausreichend Zeit sowie
Ressourcen für das Design, die
Entwicklung und Umsetzung zur
Verfügung stellen
Ganzheitliche Sensibilisierung für das Thema
Datenschutz
Akzeptanz des Managements und der
Mitarbeiter für Datenschutz
Schutz vor Schäden jeder Art durch proaktives
Managen von Risiken
• Image- und Vertrauensverlust,
• Datenverlust, Ausfall von Teilen des
Kerngeschäfts finanzieller Verlust,
• Industriespionage,
• Verletzung von gesetzlichen und vertraglichen
Anforderungen)
15
Erfolgsfaktoren für die Umsetzung - Datenschutz braucht ein klares Miteinander
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria
IT
PROZESS
Datenschutz Arbeitspakete und involvierte Fachbereiche
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Datenschutz
Strategie
Management
Commitment
Verhaltens-
grundsätze
Datenschutz
Beauftragter
Datenschutz
Gremium
Risiko-
management
Datenschutz
Folgenab-
schätzung
Datenschutz
Audit
Nachweise
&
Zertifikate
Kontinuierliche
Verbesserung
Data Breach
Notification
Prozess
Interne
Awareness-
Bildung
Datenschutz
Schulung
ToM - Techn.
& organ.
Maßnahmen
Bericht-
erstattung
Datenschutz
Beratung
Datenschutz
Information
(Transparenz)
Richtlinien
&
Vorgaben
Betroffenen
Rechte
Datenschutz
Anfragen
Vertragliche
Vereinbarung
ADV
Einbindung
Datenschutz
Beauftragter
Daten
Übermittlung
Externe
Komm. &
neue Medien
Verzeichnis
Verarbeitungs-
tätigkeiten
16
RECHT
ORGANISATION
©2017 Grant Thornton Austria
Datenschutz-maßnahmen
Data Collection
Assessment
PROJEKTABLAUF
(BEISPIEL)
17
©2017 Grant Thornton Austria18
Buch „Datenschutz-Audit“
Kontroll-
Beschreibungen
Datenschutz-Policy,
Datenschutz-Standard &
Implementierungsroadmap
Implementierungs-
unterstützung• Erhebung der
Verarbeitungstätigkeiten
• Durchführen der
Datenschutzfolge-
abschätzung
• Umsetzen von
Betroffenenrechten
• Organisatorische
Anpassung
(Datenschutzbeauftragter)
DSGVO Quick
Check• Erheben des
Status Quo des
Umsetzungsgrades
der DSGVO
• Vergleichbarkeit
innerhalb des
Konzerns
Kontinuierliche
Verbesserung
(KPI)
DSGVO
Datenschutz-Assessment• DSGVO FIT/GAP Analyse
• ISO 27001 FIT/GAP Analyse
Der Weg zu einem kontinuierlichen Datenschutzmanagement
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria19
25.5.2018Heute
DSGVO
Quick Check
Identifikation von Handlungsfeldern
und Ableitung von risikoorientierten
und pragmatischen Arbeitspaketen
Anpassung bestehender bzw.
Einführung neuer Prozesse, Rollen und
VerantwortlichkeitenRoadmap
Anpassung aller
Datenanwendungen an die neue
RechtslageGT Toolkit
„Management“ des Datenschutzes
im UnternehmenKontrollbasierter
Ansatz
Einführung eines Managementsystems
für Datenschutz
(Systematische Planung, Umsetzung, Überprüfung
sowie kontinuierliche Verbesserung des
Datenschutzes)DSMS
Reif
eg
rad
Erhebung Datenverarbeitungen
Datenschutzrichtlinien
Dokumentationspflichten / Nachweispflichten
Data Breach Notification Duty
usw.
Risikoorientierte Einführung von Datenschutzmaßnahmen
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Wesentliche Aufgaben im Rahmen des Datenschutz-Managements
©2017 Grant Thornton Austria
Risikoorientierte Einführung von wesentlichen Komponenten des Datenschutzes (Risikopotential)
1. Umsetzung einer Datenschutzorganisation unter Berücksichtigung der bestehenden Strukturen
2. Erforderliches Datenschutz-Dokumentenframework (insbesondere Datenschutz-Policy und grundlegendes Handbuch)
3. Identifikation von personenbezogenen Daten und Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
4. Durchführung einer Datenschutz-Folgenabschätzung für betroffene Verarbeitungstätigkeiten
5. Adaptierung und Aktualisierung in Bezug auf Informationspflichten und Einwilligung der betroffenen Person
6. Entwicklung der erforderlichen Datenschutzprozesse (insbesondere Auskunft und Datenlöschung Fristen!)
7. Entwicklung einer Vorgangsweise zur effizienten Behandlung von Datenschutzvorfällen (Data Breach)
8. Erhebung und Bewertung bestehender Maßnahmen zur Sicherstellung der Datensicherheit (Vertraulichkeit, Integrität,
Verfügbarkeit, Belastbarkeit) Datensicherheitskonzept
9. Anpassung bestehender oder Erstellung von notwendigen vertraglichen Vereinbarungen (Auftragsverarbeiter,
Nachweis der hinreichenden Garantien, Verschwiegenheitsvereinbarung)
10. Datenschutz Awareness und
Schulung
20
Datenschutz-
Organisation
1
Datenschutz-
Policy
2
Dokumentation
Verarbeitungs-
tätigkeiten
3
Datenschutz
Folgen-
abschätzung
4
Transparenz
5
Betroffenen
Rechte
6
Meldung von
Datenschutz-
Vorfällen
7
Dokumentation
Datensicherheit
8
Anpassung
Verträge
9
Awareness &
Training
10
Wesentliche Aufgaben im Rahmen des Datenschutz-Managements
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
©2017 Grant Thornton Austria21
Betroffenen-
rechte
Verarbeitungstätigkeiten
müssen identifiziert und
dokumentiert werden
Verarbeitungstätigkeiten werden
in Workshops erhoben
Liste der
Verarbeitungstätigkeiten in
einem Excel oder mit
Toolunterstützung
dokumentieren.VdV
DSFA
Bei einem hohen Risiko
der Verarbeitungstätigkeit
bzw. bei Sonderfällen
muss eine DSFA
durchgeführt werden
Impact-Assessment,
Gefährdungsanalyse, Kontroll-
Assessment, Risikobewertung,
DSFA Bericht
Durchführung der DSFA
mithilfe eines EXCEL-
Templates oder mit
Toolunterstützung.
Entsprechende
Datenschutzprozesse zur
Sicherstellung der Rechte
der Betroffenen müssen
umgesetzt werden
Die erforderlichen
Datenschutzprozesse werden
anhand der Kontroll-
Beschreibungen modelliert und
im Unternehmen umgesetzt
Modellieren der Prozesse in
Visio und Implementierung
der Prozesse in einem
Workflow-
Managementsystem.
Pragmatische Implementierungswerkzeuge
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Datenschutz
Organisation
Definieren der
Datenschutzorganisation
und wenn notwendig
Benennung eines
Datenschutzbeauftragten
Die Struktur des Unternehmens wird
analysiert und die Datenschutz-
organisation entsprechend angepasst.
Die Notwendigkeit zur Benennung des
Datenschutzbeauftragten wird geprüft.
Die Datenschutzorganisation
wird in Visio dargestellt und der
Datenschutzbeauftragte wird
offiziell bestellt.
Dokumenten
Framework
Erforderliche Vorgaben
für den Umgang mit
personenbezogenen
Daten müssen definiert
werden
Auf Basis von „Good Practice“
Vorgaben werden erforderliche
Dokumente erarbeitet
Datenschutz-Policy,
Datenschutz-Handbuch,
Datenschutz
Umsetzungsvorgaben,
Checklisten & Templates
©2017 Grant Thornton Austria22
Datenschutz Organisation
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Management Gruppe
Datenschutzbeauftragter der
GruppeDatenschutz Gremium
Datenschutzbeauftragter Datenschutzbeauftragter Datenschutzbeauftragter
Fachbereich Fachbereich Fachbereich
Datenschutz Gremium
Gesellschaft Gesellschaft Gesellschaft
Datenschutz
Koordinator
Datenschutz
Koordinator
Datenschutz
Koordinator
Beispielorganisation BETRIEB
Datenschutzmanagement
Projektsteuerung/Lenkung
Recht / Compliance
Risikomanagement
Business/Fachbereich
IT-Abteilung
Koordination Business
Units
Datenschutzbeauftragter
Projektteam Mitglieder
Jeder Bereich nominiert EINEN Point of Contact (POC).
Dieses Projektteammitglied verantwortet die Erreichung von Teilzielen
der Leistungsbereiche und koordiniert die Bearbeitung der
Arbeitspakete.
Beispielorganisation IMPLEMENTIERUNG
Datenschutzmanagement
Geschäftsführung
Datenschutzbeauftragter
Recht/Compliance
IT-Abteilung
Informationssicherheit
Business
Informationssicherheit
Projektleiter
Datenschutz
Organisation
©2017 Grant Thornton Austria23
Datenschutz Quick Check und kontinuierliches Reporting
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Datenschutz
Quick Check
• Zu Beginn des Datenschutz-Projektes
Selbsteinschätzung des Unternehmens zur
Identifikation von Risikopotentialen
Abschätzung des Risikopotentials auf Basis der
verarbeiteten Daten und der tatsächlich
vorhandenen Maßnahmen
Entwicklung einer Risiko-orientierten
Implementierungs-Roadmap
• Währen der Umsetzung des Projektes
Kontinuierliches Reporting zur Bewertung des
Projektfortschritts
Vergleichbare Ergebnisse aufgrund von
geschlossener Fragestellungen und einheitlichen
Bewertungsgrad (COBIT)
• Bei Betrieb des Datenschutzmanagements
Interne Audits als Teil des Aufgabengebietes des
Datenschutzbeauftragten
Bewertung von KPIs und Reporting an die GF
Datenschutz-Audits bei Auftragsverarbeitern
Ansatz
• Geschlossene
Fragestellungen zu Risiko-
Indikatoren, Datenschutz
und Datensicherheit
• Erweiterung des Self-
Assessments durch
Interviews
• Automatisierte Erstellung
von vergleichbaren
Kennzahlen und Risiko
Heat Maps auf Basis der
Bewertung
Ergebnis: High Level
Betrachtung der existierenden
Datenschutz-Risiken
Unterschiedlich Zielsetzung für die Durchführung eines Quick Checks
©2017 Grant Thornton Austria24
Datenschutz Folgenabschätzung
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Datenschutz
Folgenabschätzung
Fachliches
AssessmentImpact-Assessment
(Auswirkung)
DSFA notwendig
Datenschutz-
Folgenabschätzung (DSFA)
Datenerhebung &
Dokumentation der
Datenverarbeitung *
Gefährdungs-
AnalyseRisikobewertung
Rechtliche Bewertung
Teil 2
Festlegung MaßnahmenZusammenfassen der
Ergebnisse
Output:
DSFA-Bericht
(= „Summary“)
DSFA nicht
notwendig
Output:
Datenverarbeitung
im VdV
Überleiten in VdV
Ggfs. weitere Schritte:
- Freigabe der Datenverarbeitung durch DSB
- Konsultation Aufsichtsbehörde
- Maßnahmentracking
Rechtliche Bewertung
Teil 1Kontroll-
Assessment
High-level Bewertung
techn. & org.
Sicherheitsmaßnahmen
• Bewertung Notwendigkeit zur Durchführung einer DSFA
• Bewertung der Auswirkung
©2017 Grant Thornton Austria25
Datenschutz Folgenabschätzung
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
Datenschutz
Folgenabschätzung
„Good Practice“ für die Durchführung einer DSFA
1. Definition und Dokumentation von nachvollziehbaren und adaptierbaren Bewertungskriterien
2. Einbeziehen von unterschiedlichen Fachbereichen (DSB, Legal, IT) zur GEMEINSAMEN Durchführung der DSFA
• DSGVO – Artikel 39 – Aufgaben des DSB: „Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-
Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35“
3. Anlehnung an bereits etablierte Standards zur Bewertung von Risiken (z.B. ISO 27005)
„Good Practice“ für die UMSETZUNG einer DSFA
1. Erprobung der Methodik in einer einfach anzupassender Umgebung – (Tool vs. Excel)
2. Sicherstellung der Versionierung von Verarbeitungstätigkeiten und Durchgeführten DSFA
3. Transparente Darlegung von Maßnahmen zur Risiko-Reduktion
4. Verwendung von Hilfestellungen & geschlossenen
Fragestellung zur Sicherstellung der Nachvollziehbarkeit
und Transparenz
©2017 Grant Thornton Austria26
„Good Practice“ für die Umsetzung des Datenschutzprojekts
Praxisleitfaden zur Einführung eines professionellen Datenschutz-Managements
• Durchführung einer High Level Gap Analyse (zB Quick Check) als Startpunkt für die Projektplanung und laufendes Reporting
sowie nach Möglichkeit Parallelisierung von Tätigkeiten (z.B. Datenerhebung, Quick Check) sowie Erstellung einer Roadmap bis
05-2018 und darüber hinaus
• Berücksichtigung von weiteren erforderlichen Anforderungen (z.B. Gesundheitstelematik-Gesetz, ePrivacy Verordnung, NIS-
Richtlinie) sowie Datenschutz und IT-Definitionen festlegen für die Organisation (Applikation, Verarbeitungstätigkeit, Logging etc)
• Klare Festlegung ob ein DSMS oder einzelne technische und organisatorische Maßnahmen implementiert werden sollen, um
die kurzfristige Datenschutz-Compliance herzustellen
• Durchführung von Projekt-Awareness Veranstaltungen (Projekt-Marketing) für das Datenschutz-Projekt, „Tone at the Top“ – auf
hoher Managementebene und regelmäßige Kommunikation der Wichtigkeit des Vorhabens
• Definition von Projektverantwortlichkeiten (Projektmanager unabhängig von der fachlichen Projektleitung) sowie
Entscheidungsmatrix, damit strategische und fachliche Entscheidungen rasch getroffen werden können
• Klare Trennung der Aufgaben zwischen Organisation, Recht, Prozess und IT sowie Vorabinformation bereits im Projekt-Setup
an die Fachbereiche (Bereichs-/Abteilungsleiter) über das Projekt und Anfrage von Ressourcen aus den Fachbereichen
• Regelmäßige Freigabe/Abstimmung mit Projekt-Steuerungsausschuss mit Projektrelevanten Fragestellungen –
Verbindlichkeit dieser Entscheidungen für alle involvierte Fachbereiche (z.B. IT) sicherstellen
• Frühzeitige Einbindung des Datenschutzbeauftragten bereits bei der Implementierung, daher frühzeitige Definition der
Datenschutz-Organisation für den Zeitraum der Implementierung und des Betriebs, Einbindung der verwandten Risk- und
Compliance Bereiche (zB Information Security Officer, Qualitätsmanagement)
©2017 Grant Thornton Austria
© 2017 Grant Thornton Unitreu Advisory GmbH. All rights reserved.
Grant Thornton Unitreu Advisory GmbH ist eine Mitgliedsfirma von Grant Thornton International Ltd (Grant Thornton International).
Die Bezeichnung Grant Thornton bezieht sich auf Grant Thornton International oder eine ihrer Mitgliedsfirmen. Grant Thornton International und die
Mitgliedsfirmen sind keine weltweite Partnerschaft. Jede Mitgliedsfirma erbringt ihre Dienstleistungen eigenverantwortlich und unabhängig von Grant
Thornton International oder anderen Mitgliedsfirmen.
www.gti.org www.grantthornton.at
Alle Rechte vorbehalten.
Die Informationen in dieser Publikation sind allgemeiner Art und sind nicht auf die individuelle Situation einer natürlichen oder juristischen Person abgestimmt. Obwohl wir
uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir keine Haftung dafür übernehmen, dass diese Informationen so zutreffend sind, wie sie dies
zum Zeitpunkt ihres Eingangs waren oder dass sie dies auch in Zukunft sein werden. Die Informationen haben lediglich den Zweck, Sie für die jeweilige Problematik zu
sensibilisieren, um gegebenenfalls rechtzeitig den Rat eines Wirtschaftsprüfers, Steuerberaters oder Rechtsanwaltes Ihres Vertrauens in Anspruch nehmen zu können. Die
zur Verfügung gestellten Informationen können eine individuelle Beratung nicht ersetzen. Es ist daher in jedem Falle notwendig, durch eine fachkundige Person, die unter
Berücksichtigung der konkreten Umstände des Einzelfalles eine gründliche Analyse der betreffenden Situation vorgenommen hat, beraten zu werden.
KONTAKTGeorg Beham, MSc. Partner | IT-Advisory
Handelskai 92, Gate 2, 7A | 1200 WienE [email protected]
die Kontrollen:das Projekt
Diese Präsentation
finden Sie unter:
www.gt.at/beham
georg-beham-2242439