Software gestütztes Datenschutz-Management-Systems ... · 2020-06-15 · 1. Was bedeutet...

SEQUDATA_DSGVO-DuD2020 15.06.2020

1

Software gestütztesDatenschutz-Management-Systems

zur umfassenden Verwaltung sämtlicherAnforderungen der DSGVO

:

Stand: Juni 2020

Seite 1

Thema:Strukturierte Vorgehensweise zur

Umsetzung von aktuellen Datenschutz-Standards und

Norminterpretationen

DuD 2020Berlin

Oder:Datenschutzmanagement nach der DSGVO

„Wie organisiere ich den Datenschutz im Unternehmen?“


2

Seite 2

� IT Management Consulting

� Datensicherheit und Datenschutz

� Automotive Management

� Schulungen und Auditierung

Seite 3

Jörg StolzBerater u. Lehrbeauftragter für Wirtschaftsinformatik

Sachverständiger und Auditor für EDV und Datenschutz

- Datenschutzbeauftragter -

Studium der Rechtswissenschaften in Bonn,

diverse Fortbildungen zum IT Network-Manager , EDV-Sachverständigen und IT-Forensiker

(FernUni Hagen, IIR, TU Chemnitz, DESAG, IHK),

Beauftragter und Auditor für Datenschutz (cert.)

(Hochschule Aalen, IHK, DESAG, BSG),

freiberuflich tätig seit 1992


3

Seite 11© 2018 SEQUDATA GmbH & Co. KG

Datenschutzmanagement nach der DSGVO„Wie organisiere ich den Datenschutz im Unternehmen?“

Übersicht und Inhalt

1. Was bedeutet Datenschutz-Management

2. Ausgangsüberlegung - Rechtlage nach DSGVO

3. Die wesentlichen Datenvorschriften der DSGVO

4. Die Datenschutzleitlinie („Datenschutzpolitik“)

5. Datenschutzmanagement-System (DSMS)

6. Die Datenschutz-Kernprozesse

6.1 Verarbeitung personenbezogener Daten (Rechtmäßigkeit)

6.2 Sicherstellung der Betroffenenrechte

6.3 Vorgangsweise bei Datenschutzverletzungen (Data Breach)

7. Umsetzungs-Szenarien


1. Was bedeutet Datenschutz-Management?

die Einhaltung sämtlicher rechtlicher Anforderungen

dass sämtliche Geschäftsprozesse , bei denen personenbezogene Daten verarbeitet werden, datenschutzkonform auszugestalten und

Datenschutzverstöße zu vermeiden sind.

Dokumentation- und Rechenschaftspflichten umsetzen (Nachweisbarkeit)

wirtschaftliche Umsetzung und Beibehaltung der Datenschutz-Standards

'Kontinuierbarkeit' (Audit)

Datenschutz-Management ist kein allgemein verbindlich definierter Begriff. Durch ein Datenschutz-Management soll sichergestellt werden, dass die Anforderungen des Datenschutzrechts eingehalten werden. Es zielt insbesondere ab (dar-)auf


4


Orientierungsrahmen für ein DSMS: Die Datenschutz-Kernprozesse

Rechtmäßigkeit der Verarbeitung personenbezogener Da ten

Sicherstellung der Betroffenenrechte

Vorgehensweise bei Datenschutzverletzungen (Data Brea ch)

Die Datenschutzpyramide



5

Die Datenschutzpyramide


Rechtsgrundlagen für ein DSMS


2. Ausgangsüberlegung - Rechtslage nach DSGVO

(2) Grundsatz nach Art. 5 Abs. 1 und 2 DSGVO

... Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Die Basis und wesentlichen Grundsätze des neuen EU-Datenschutzrechts sind in

Art. 5 DSGVO geregelt. Ein klares Verständnis der in Art. 5 DSGVO normierten

Vorgaben ist für die Auslegung und Anwendung der Vorschriften der gesamten

Verordnung notwendig.

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene

Person nachvollziehbaren Weise verarbeitet werden "Rechtmäßigkeit,

Verarbeitung nach Treu und Glauben, Transparenz") ...

- Artt. 5 (Abs. 2); 24 Abs. 1, 42 (43) DSGVO,

- ferner Artt. 30 Abs. 1 S. 2, Art 32, 33 DSGO


6

Die Grundsätze im einzelnen


Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt)

Verarbeitung nach Treu und Glauben (Verhältnismäßig keitsgrundsatz)

Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht

Nach Art. 83 Abs. 5 lit a) DSGVO drohen bei der fehlenden oder mangelhaften

Umsetzung der Grundprinzipien der DSGVO Bußgelder von bis zu vier Prozent des

globalen Umsatzes des Konzerns bzw. des Unternehmens. Daher sind die

Grundprinzipien der Verordnung etwa auch aus Compliance-Sicht eine maßgebliche

Anforderung an Unternehmen.

Bedeutung für das DSMS


Das Unternehmen muss den Nachweis erbringen können, dass es die Anforderungen der DSGVO umgesetzt hat.

Lt. ErwGr 74 bezieht sich diese Nachweispflicht auch auf die Wirksamkeit der umgesetzten Maßnahmen

Art. 24 Abs. 1 fordert die Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen und den Nachweis, dass die Verarbeitung nach den Bestimmungen der DSGVO erfolgt ist sowie, dass diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden.

Datenschutz ist somit kein Einmalereignis sondern eine kontinuierliche Verpflichtung zur Überwachung und Verbesserung der getroffenen Maßnahmen.

In diesem Zusammenhang hat sich der Plan ‐‐‐‐Do‐‐‐‐Check ‐‐‐‐Act ‐‐‐‐Zyklus (PDCA ‐‐‐‐Zyklus) bewährt.

Daraus folgt:


7


3. Die wesentlichen Datenvorschriften der DSGVO

Schema Kernprozesse


Schema der erweiterten Kernprozesse bei der Datenverarbeitung aus Sicht der DSGVO


8

Bedeutung für Verantwortliche


Wegen der Fülle der datenschutzrechtlichen

Anforderungen – vor allem der weitreichen-den

Dokumentations- und Rechenschaftspflicht –

empfiehlt es sich, ein Datenschutz-Management-

System (einschließlich insbesondere Löschkonzept

und Meldekonzept bei Datenschutzverstößen) zu

etablieren.

Es dient damit insbesondere der Sicherstellung von

rechtskonformer Unternehmenstätigkeit.

Fazit:

Datenschutzleitlinie


4. Die Datenschutzleitlinie als wesentlicher Bestandteil der "Datenschutzpolitik des Unternehmens"

Selbstverpflichtung des Unternehmens zur Umsetzung des Datenschutzes

Dokumentation der Datenschutzziele, Rollen und Vera ntwortlichkeiten (Governance ‐‐‐‐Struktur)

Innen ‐‐‐‐ und Außenwirkung

Datenschutzleitlinie =


9

Inhalte einer Datenschutzleitlinie


Einleitung

Geltungsbereich

Grundprinzipien des Datenschutzes

Datenschutzziele des Unternehmens

Verantwortlichkeiten

Datenschutzbeauftragter

Auditing

Sanktionen bei Verstößen

Inhalte:

Umsetzung


5. Datenschutz-Management-System(DSMS)

Der in Phase III durchgeführte Auditprozess kann die Notwendigkeit von Änderungen von Zielen, Maßnahmen und Richtlinien ergeben. Die Verbesserung bzw. Beseitigung von Mängeln findet in dieser Phase statt.

I. PLAN – Aufbau eines Managementsystems

II. DO – Implementierung des Managementsystems

III. CHECK – Überprüfung durch ständige Überwachung

IV. ACT – Optimierung und Mängelbeseitigung

In der Planungsphase werden zunächst die Ziele formuliert und die Anforderungen identifiziert. Es erfolgt darüber hinaus eine Bestandsaufnahme der im Unternehmen eingerichteten Prozesse und implementierten Datenanwendungen und Richtlinien. Erstellung eines Umsetzungsplanes und Realisierung der Anforderungen.

In dieser Phase werden die Ziele und Maßnahmen aus der Planungsphase implementiert und die Verantwortlichkeiten festgelegt. Besonders wichtig ist in dieser Phase die Schulung und Sensibilisierung der Mitarbeiter.

Die Wirksamkeit der Umsetzung muss überprüft werden (Audit). Das bedeutet, eine laufende Überwachung der umgesetzten Maßnahmen und Prozesse.


10

Methode nach Deming oder P-D-C-A Zyklus


Der PDCA - Zyklus in der Übersicht

• Umsetzung• Umsetzung ko-

ordinieren

• Ergebnisse

dokumentieren

• Kontrolle und Überwachung

• Ergebnisse auswerten

• Stichproben-Prüfungen

durchführen

• Soll-Ist-Analysen erstellen

• Planung und Konzeption

• Thema (an)erkennen

• Problem abgrenzen

• Ursachen identifizieren

• Ziele definieren

• Umsetzung planen

• Optimierung• Erfahrung sichern

• Verbesserungspotenzial

analysieren

• Verbesserungen

initiieren

ACT PLAN

DOCHECK

Umsetzung P-D-C-A Methode auf die Normen der DSGVO


6. Schlüssel zur Strukturierung: Die Datenschutz-Kernprozesse

Rechtmäßigkeit der Verarbeitung personenbezogener D aten

Sicherstellung der Betroffenenrechte

Vorgehensweise bei Datenschutzverletzungen (Data Bre ach)


11


7. Umsetzungs-Szenarien

Übersicht - Grundstruktur u. Datenschutz-Kernprozesse

Die Datenschutz-Kernprozesse als Prüfkatalog

� Status Quo Ermittlung – Assessment

� Datenschutzpolitik der Organisation – Governance

� Kernprozess I: Rechtmäßigkeit der Verarbeitung personenbezogener Daten

� Kernprozess II: Sicherstellung der Betroffenenrechte

� Kernprozess III: Vorgehensweise bei Datenschutzverletzungen (Data Breach)

� DSMS und Audit

Seite 31

§

© 2018 SEQUDATA GmbH & Co. KG


12

Regelkreis - Kernprozesse des Datenschutzes gem. DSGVO

DSGVO

A]Status-Quo-Ermittlung;

DS-Assessment,DS-Konzept

B]Governance:

DS-Politik derOrganisation

C]Zulässigkeit

der Verarbeitung

pb Daten

D] Sicherstellung

derBetroffenen-

Rechte

E] Verfahren

bei Datenschutz-Verletzungen

'DataBreach'

F]

Datenschutz-Management-

System

'DSMS'

G]

Audits,Organisation,

Projektmngmt.


Zielsetzung


Festlegung eines systemimmanenten Prüfablaufs und Kataloges zur Abbildung und Überprüfung der datenschutzrechtlichen Anforderungen, d.h.:

gesetzliche, organisatorische und technische Vorgab en zum Datenschutz sind inhaltlich vorbelegt und sind durch die Anwendung des Systems nachhaltig umsetzbar

vollständige Erfassung der tatbestandlichen Situati on in der Institution

Erfüllung der rechtlichen, organisatorischen und te chnischen Vorgaben i.S.d. DSGVO, div. Spezialgesetze und Normen

Abbildung aller relevanten Vorgaben und Maßnahmenum setzungen in einer Prozessstruktur

dogmatisch sauber geordnet

replizierbar aus Sicht des Anwenders (DSB, Berater) , also systematisch wiederkehrend anwendbar

Ordnungssystem, welches aktuelle und zukünftige Vor gaben vollumfänglich verwaltet


13

Zielsetzung


umfassende Prüfkataloge der SOLL-Vorgaben

Assessment- und Analyse-Funktionen zur Ermittlung de s IST-Zustandes in einer Institution

Funktionen zur Erstellung einer GAP-Analyse mit Rep ort aus SOLL-IST-Abgleich

Ermittlung des Handlungsbedarfes und Lieferung von detaillierten Maßnahmenempfehlungen, die aus dem Ergebnis des Ass essments resultieren

Bereitstellung von Unterstützungsdokumenten über de n gesamten Prozess:

• Leitfäden und Checklisten (z.B. vollständige Implem entierungsleitfäden)• Formulierungshilfen, Mustertexte, Erklärungen• Vertragsbeispiele (z.B. DSB, AVV, GmV ...)• Konzepte, Richtlinien, Formular-Sets (z.B. 'DataBre ach', TOM)• DS-Handbuch, VVT, Vorlagen zur DSFA• Gesetze, Normen und WP

Zielsetzung


AUDIT-Modul• Bewertungsanalyse des Datenschutzreifegrades• grafische Auswertung

Reporting

Projekt-Management-Tool zur Steuerung und -verfolgu ng des Datenschutz-Projektes in der Umsetzungs-, Auditieru ngs-, und Nachverfolgungsphase (DSMS, P-D-C-A-Zyklus (Deming) )

sog. Projektblätter

jeder Prozessschritt wird mit einem Projektblatt ab gebildet


14


P-D-C-A-Zyklus für jeden Prozessabschnitt

Nachhaltigkeit und Verbesserung der datenschutzrech tlichen Umsetzungsmaßnahmen

Audit und Messbarkeit des Datenschutzreifgrades

Dokumentation

Der Kerngedanke des DSMS ist integraler Bestandteil des Software-System-Aufbaus, der gerichtet ist auf:

Die SEQUDATA Datenschutz-Management-Software


8. Umsetzungs-Szenarien – Software-Lösung


15



8. Merkmale der Software-Lösung

offengestanden: Excel basiertgute Handhabbarkeithohe Einsatz-Flexibilität,

da keine hohen Software-Policy-Standardsda gut geeignet für 'mobilen Einsatz' bei Inhouse-Beratung durch externe DSBbei regulatorischer Fortschreibung des Datenschutzrechts (rechtl. u. organisator.)bei inhaltlicher Erweiterbarkeit

Q|DIAS - Datenschutz Implementierungs- und Audit-System



8. Merkmale der Software-Lösung

Q|DIAS - Datenschutz Implementierungs- und Audit-System

Systemimmanenter Prüfungskatalog für alle Verfahren anwendbar

DSGVO SOLL-Katalog

Basis-Assessment, IST-Analyse und GAP Report

Implementierungsvorgaben und Maßnahmenempfehlungen

Leitfäden, Checklisten, Formulierungshilfen, Muster texte

Erklärungen, Verträge, Konzepte und Richtlinien, DS- Handbuch

Führung der Verfahrensverzeichnisse

Datenschutz-Audit mit Messung des Datenschutzreifegra des

grafische Auswertungen und Reporting der Assessment s und Audits

Projektsteuerung zur internen und externen Verwendun g (DSB)

Datenschutz-Management-System mit P-D-C-A-zyklischer Vorgehensweise

Umfassende Verwaltung sämtlicher betrieblicher Dat

Prüfung der technisch-organisatorischen Vorgaben, S icherheit der Verarbeitung (TOM)

Unterstützung bei Datenschutz-Folgenabschätzungen (DSF A)

Dokumentation und Nachweis des ordnungsgemäßen betr ieblichen Datenschutzes

Mandantenfähigkeit


16

Q-DIAS


Das SEQUDATA Datenschutz-Management-System dient auf der Basis von

fachlich abgesicherten Beschreibungen und standardisierten Prozessen zur

Erkennung von Defiziten des Datenschutzzustandes in einer betrieblichen oder

behördlichen Organisation.

Das vorliegende System liefert den rechtlichen und organisatorischen Rahmen zur

▪ Dokumentation relevanter Vorgaben

▪ Umsetzung der Datenschutzanforderungen

▪ Prüfung auf Soll-Ist Abweichung

▪ Einordnung zur Beurteilung der Prüfergebnisse

▪ Kontrolle relevanter Vorgaben

▪ Nachhaltige Validierungsmethodik der Umsetzungsergebnisse und ein anerkanntesVerbesserungsmanagement (P-D-C-A Zyklus)

entsprechend der gesetzlichen Vorgaben der DSGVO und deren Begleitvorschriften.

Zur Behebung aufgedeckter Defizite stellt es rahmengebend Leitfäden, Maßnahmen, Handlungsanweisungen sowie Formulierungshilfen für ein erfolgreiches Change-Management zur Einhaltung der Vorgaben der DSGVO bereit. Das Q|DIAS wird laufend aktualisiert und fortgeschrieben.

Q-DIAS - Cockpit



17

Prüfablauf und Katalog


Prüfablauf und Katalog



18

Prüfablauf – Auszug: Zulässigkeit der Verarbeitung


Prüfablauf – Abschnitt 'Datenschutzvorfall'



19

Prüfablauf – Annex: Prüfleitfaden 'Datenschutzvorfall'


Prüfablauf – Annex: Prüfleitfaden VVT (Auszug)



20

Prüfablauf – Projektblatt 'Datenschutzvorfall' (Seite 1)


Prüfablauf – Projektblatt 'Datenschutzvorfall' (Seite 2)



21

Prüfablauf – Assessment Status-Quo-Ermittlung (Auszug)


Prüfablauf – Assessment Report



22

Prüfablauf – Audit Fragebogen (Auszug)


Prüfablauf – Audit Grafische Auswertung (Auszug)



23






24






25

DSGVO-Assessment und IT-Prüfung

� Erstellung eines Datenschutzgrundgut-achtens und Aushändigung aussagekräf-tiger Reports über den betrieblichen Datenschutz- und IT-Sicherheitszustand

� Die Analysen und Prüfungen werden im Dialog mit den Verantwortlichen im Un-ternehmen durchgeführt.

� Die Auswertung der Analyse erfolgt durch die SEQUDATA Unternehmensberatung.

� Eine Überlassung des Prüf- und Dokumen-tationssystems kann nach Abschluss einer Implementierungsphase vereinbart werden.


Vielen Dank für Ihre Aufmerksamkeit!

Sprechen Sie uns an.

[email protected]

+49 (0)172 – 25 70 662

Date post:	07-Jul-2020
Category:	Documents
Upload:	others
View:	2 times
Download:	0 times

Software gestütztes Datenschutz-Management-Systems ... · 2020-06-15 · 1. Was bedeutet...

Documents