SlideShare ist ein Scribd-Unternehmen logo
1 von 9
Downloaden Sie, um offline zu lesen
0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Datenschutz-Referenzarchitekturen
Die neue EU Datenschutz-Grundverordnung:
Britta Laatzen
Strategisches IT-Consulting
Öffentliche Auftraggeber Deutschland
1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Herausforderungen der neuen DSGVO
Befragungsergebnis
 13 % der befragten Firmen
arbeiten aktiv an der Umsetzung.
 49 % der Befragten beschäftigen
sich mit dem Thema.
 33 % der Befragten gaben an, sich
bislang nicht mit den Vorgaben der
Verordnung befasst zu haben.
Herausforderungen
 32%: Mangelnde praktische
Umsetzungshilfen
 43%: Rechtsunsicherheit
 52 %: Schwer abzuschätzender
Implementierungsaufwand
Laut Bitkom-Studie glaubt nur eine Minderheit, pünktlich zum 25. Mai 2018 fit für die EU-DSGVO zu sein.
Gründe
Quelle: https://www.bitkom.org/Presse/Presseinformation/Jedes-fuenfte-IT-Unternehmen-ignoriert-bislang-Datenschutzgrundverordnung.html
2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Rechtsunsicherheit
0III000IIIII0I0I0000IIIIII0III000II00I0
0IIIIII0I0I00III00I0III00I00I0III000II0
0000I0II0III0I0000III0II00II0II000III0
00II00I00IIIIIIII0I0I00III000III00I00I0
III00000II0II0I00III00III00I00I0III000
II0I00I00I00I0III000II00000I0II0III0I
0000II0II00II0II000III000II00I00IIIIIII
0I0I00III00III0I0I00III0I0I0III00I00I0I
II000II00000I0II0III0I0000IIII00III0I0
I00III0I0I0III00I00I0III000II00000I0II
0III0I0000II0II00II0II000III000III00I0
0IIIIIII0I0I00III000I0II00II0II000III00
0III00I00IIIII00II0II000III000II00I00II
IIIII0I0I00III00III0I0I00III0I0I0III00I0
0I0III000II00000I0II0III0I0000IIII00II
I0I0I00III0I0I0III00I00I0III000II0000I
Rechtsverträgliche
Technikgestaltung
?abstrakt konkret
§
Grundsätze der EU-DSGVO
Art. 5 Absatz 1
Personenbezogene Daten
müssen ..
a. .. in einer .. nachvollziehbaren Weise
verarbeitet werden (Transparenz).
b. .. Für festgelegte und legitime Zwecke
erhoben werden ..(Zweckbindung).
c. Für die Zwecke der Verarbeitung
notwendige Maß beschränkt sein
(Datenminimierung).
d. .. Daten, die .. unrichtig sind, gelöscht
oder berichtigt werden.
f. .. Schutz vor Verlust, .. Integrität und
Vertraulichkeit durch geeignete
technische und organisatorische
Maßnahmen ..
Rechtliche Anforderungen
3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Anwendung des Standard-Datenschutzmodells
Das Standard-Datenschutzmodell (SDM) ist eine Methode zur Datenschutzberatung und -prüfung auf Basis
einheitlicher Gewährleistungsziele und
 überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,
 gliedert die betrachteten Verfahren in die Komponenten Daten, IT-Systeme und Prozesse,
 berücksichtigt die Einordnung von Daten in drei Schutzbedarfsabstufungen und
 bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen.
Quelle: SDM – Das Standard-Datenschutzmodell, Erprobungsfassung V1.0, 2016
4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Rechtsverträgliche Technikgestaltung
§
Grundsätze der EU-DSGVO
Art. 5 Absatz 1
Personenbezogene Daten
müssen ..
a. .. in einer .. nachvollziehbaren Weise
verarbeitet werden (Transparenz).
b. .. Für festgelegte und legitime Zwecke
erhoben werden ..(Zweckbindung).
c. Für die Zwecke der Verarbeitung
notwendige Maß beschränkt sein
(Datenminimierung).
d. .. Daten, die .. unrichtig sind, gelöscht
oder berichtigt werden.
f. .. Schutz vor Verlust, .. Integrität und
Vertraulichkeit durch geeignete
technische und organisatorische
Maßnahmen ..
Nichtverkettbarkeit
• Rechte- und Rollenkonzept
• Mandantentrennung der Daten bei
gemeinsamer Verarbeitung
• Frühestmögliche Anonymisierung
• Zweckbezogene
Pseudonymisierung
• Beschränkung der
Datenschnittstellen
• Beschränkung der Funktionalität
• ...
Transparenz ..
Datenminimierung ..
..
Rechtliche Anforderungen
(Auszug)
Sollvorgaben zur
Technikgestaltung (Auszug)
 Vertraulichkeit
 Integrität
 Verfügbarkeit
 Zweckbindung
 Nichtverkettbarkeit
 Transparenz
 Datenminimierung
 Intervenierbarkeit
Gewährleistungsziele
Gemeinsame Sprache, die Juristen
und Techniker gleichermaßen
verstehen
Quelle: angelehnt an das SDM – Das Standard-Datenschutzmodell, Erprobungsfassung V1.0, 2016
5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Mit Sicherheit Datenschutz in der Gesetzlichen UV
Informations-
sicherheit
Datenschutz
Datenminimierung
Transparenz
Nichtverkettbarkeit
Intervenierbarkeit
Vertraulichkeit
Integrität
Verfügbarkeit
Artikel 32 DSGVO, Sicherheit der Verarbeitung: Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.”
Fokus: personenbezogene Daten
Datenschutz unterstellt methodisch:
Jede Organisation ist ein Angreifer!
Fokus: Unternehmensdaten
IT-Sicherheit unterstellt methodisch:
Jede Person kann ein Angreifer sein!
6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
IT-Managementsysteme effektiv verbinden
Informations-
sicherheits-
Management
Datenschutz
Management
Enterprise
Architektur
Management Datenschutz darf nicht als isolierte Aufgabe betrachtet
werden, sondern muss integraler Bestandteil einer
Digitalisierungs- und Umsetzungsstrategie sein.
Digitale
Transformation
7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Datenschutz-Referenzarchitektur integraler Bestandteil
einer Digitalisierungs- und Umsetzungsstrategie
Enterprise Architektur Datenschutz-
gewährleistende IT-Bausteine
Sicherheits-gewährleistende
IT-Bausteine
Prävention
Reha &
Leistungen
Applikation 2 Applikation nApplikation 1
Storage NetzwerkServer
RZ-Standort 1 RZ-Standort 2
Mitglieder &
Beiträge
Anonymisierung,
Pseudonymisierung
Löschfunktionen
Change
Management
Revisionssichere
Protokollierung
Gefährdungen, Risikobewertungen,
Referenzmaßnahmen des
Standard-Datenschutzmodells / DSA
Gefährdungen, Risikobewertungen,
Referenzmaßnahmen der
IT-Grundschutzkataloge / BSI
Anti-Virus Notfallmanagement
Identity & Access
Management
IT Sicherheits-
Vorfallsmanagement
……
Enterprise Architektur-, Datenschutz-, Informationssicherheits-Management
8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU

Weitere ähnliche Inhalte

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 04 - Datenschutz-Referenzarchitekturen

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 04 - Datenschutz-Referenzarchitekturen (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Datenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivierenDatenschutzkonform kommunizieren und archivieren
Datenschutzkonform kommunizieren und archivieren
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakte
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
Alexander Krull (Webtrekk) 140 Tage DSGVO - ProgrammatiCon 2018
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
DSGVO-konform arbeiten mit TRANSCONNECT® und intergator (TRANSCONNECT®-ANWEND...
 
Enterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPREnterprise Search Technologien im Dienste der DSGVO / GDPR
Enterprise Search Technologien im Dienste der DSGVO / GDPR
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
Sind Sie rechtlich fit fürs Onlinemarketing 2018? - Allfacebook Marketing Con...
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
 
Risikobeurteilung als Teil einer verantwortungsbewussten Digitalisierung
Risikobeurteilung als Teil einer verantwortungsbewussten DigitalisierungRisikobeurteilung als Teil einer verantwortungsbewussten Digitalisierung
Risikobeurteilung als Teil einer verantwortungsbewussten Digitalisierung
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
 
M2M Journal - April 2015
M2M Journal - April 2015M2M Journal - April 2015
M2M Journal - April 2015
 

Mehr von Fujitsu Central Europe

Mehr von Fujitsu Central Europe (20)

Quantum Algorithms @ work - Short introduction to Quantum Annealing and opera...
Quantum Algorithms @ work - Short introduction to Quantum Annealing and opera...Quantum Algorithms @ work - Short introduction to Quantum Annealing and opera...
Quantum Algorithms @ work - Short introduction to Quantum Annealing and opera...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Fujitsu Storage Days 2018 - Kontrollverlust vermeiden
Fujitsu Storage Days 2018 - Kontrollverlust vermeidenFujitsu Storage Days 2018 - Kontrollverlust vermeiden
Fujitsu Storage Days 2018 - Kontrollverlust vermeiden
 
Fujitsu Storage Days 2018 - Eternus Survivalpack
Fujitsu Storage Days 2018 - Eternus SurvivalpackFujitsu Storage Days 2018 - Eternus Survivalpack
Fujitsu Storage Days 2018 - Eternus Survivalpack
 
Fujitsu Storage Days 2018 - Erfahrungsbericht crisp research
Fujitsu Storage Days 2018 - Erfahrungsbericht crisp researchFujitsu Storage Days 2018 - Erfahrungsbericht crisp research
Fujitsu Storage Days 2018 - Erfahrungsbericht crisp research
 
Fujitsu Storage Days 2018 - Der Bergdoktor in Aktion
Fujitsu Storage Days 2018 - Der Bergdoktor in AktionFujitsu Storage Days 2018 - Der Bergdoktor in Aktion
Fujitsu Storage Days 2018 - Der Bergdoktor in Aktion
 
Fujitsu Storage Days 2018 - 3-S-IT Dienstleistungen GmbH
Fujitsu Storage Days 2018 - 3-S-IT Dienstleistungen GmbHFujitsu Storage Days 2018 - 3-S-IT Dienstleistungen GmbH
Fujitsu Storage Days 2018 - 3-S-IT Dienstleistungen GmbH
 
Fujitsu Storage Days 2018 - Siemens Schweiz AG
Fujitsu Storage Days 2018 - Siemens Schweiz AGFujitsu Storage Days 2018 - Siemens Schweiz AG
Fujitsu Storage Days 2018 - Siemens Schweiz AG
 
Fujitsu Storage Days 2018 - „Mit Fujitsu zum Gipfelstürmer werden – Ihr Sherp...
Fujitsu Storage Days 2018 - „Mit Fujitsu zum Gipfelstürmer werden – Ihr Sherp...Fujitsu Storage Days 2018 - „Mit Fujitsu zum Gipfelstürmer werden – Ihr Sherp...
Fujitsu Storage Days 2018 - „Mit Fujitsu zum Gipfelstürmer werden – Ihr Sherp...
 
Fujitsu Storage Days 2018 - Josefs-Gesellschaft Köln (JG-Gruppe)
Fujitsu Storage Days 2018 - Josefs-Gesellschaft Köln (JG-Gruppe)Fujitsu Storage Days 2018 - Josefs-Gesellschaft Köln (JG-Gruppe)
Fujitsu Storage Days 2018 - Josefs-Gesellschaft Köln (JG-Gruppe)
 
Fujitsu Storage Days 2018 - Landestalsperrenverwaltung Sachsen
Fujitsu Storage Days 2018 - Landestalsperrenverwaltung SachsenFujitsu Storage Days 2018 - Landestalsperrenverwaltung Sachsen
Fujitsu Storage Days 2018 - Landestalsperrenverwaltung Sachsen
 
Fujitsu Storage Days 2018 - POPKEN Fashion Group
Fujitsu Storage Days 2018 - POPKEN Fashion GroupFujitsu Storage Days 2018 - POPKEN Fashion Group
Fujitsu Storage Days 2018 - POPKEN Fashion Group
 
Großveranstaltungen in Smart Citys
Großveranstaltungen in Smart CitysGroßveranstaltungen in Smart Citys
Großveranstaltungen in Smart Citys
 
FUJITSU PalmSecure™ ID Login - Passwörter in den Griff bekommen
FUJITSU PalmSecure™ ID Login - Passwörter in den Griff bekommenFUJITSU PalmSecure™ ID Login - Passwörter in den Griff bekommen
FUJITSU PalmSecure™ ID Login - Passwörter in den Griff bekommen
 
Fujitsu Campus Forum 2017
Fujitsu Campus Forum 2017Fujitsu Campus Forum 2017
Fujitsu Campus Forum 2017
 
BOS - Industrie 4.0 – die Evolution der Fertigung am Beispiel des Fujitsu Wer...
BOS - Industrie 4.0 – die Evolution der Fertigung am Beispiel des Fujitsu Wer...BOS - Industrie 4.0 – die Evolution der Fertigung am Beispiel des Fujitsu Wer...
BOS - Industrie 4.0 – die Evolution der Fertigung am Beispiel des Fujitsu Wer...
 
BOS - Hyperkonvergenz – Der einzige Weg zum Software definierten Rechenzentrum?
BOS - Hyperkonvergenz – Der einzige Weg zum Software definierten Rechenzentrum?BOS - Hyperkonvergenz – Der einzige Weg zum Software definierten Rechenzentrum?
BOS - Hyperkonvergenz – Der einzige Weg zum Software definierten Rechenzentrum?
 

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 04 - Datenschutz-Referenzarchitekturen

  • 1. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Datenschutz-Referenzarchitekturen Die neue EU Datenschutz-Grundverordnung: Britta Laatzen Strategisches IT-Consulting Öffentliche Auftraggeber Deutschland
  • 2. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Herausforderungen der neuen DSGVO Befragungsergebnis  13 % der befragten Firmen arbeiten aktiv an der Umsetzung.  49 % der Befragten beschäftigen sich mit dem Thema.  33 % der Befragten gaben an, sich bislang nicht mit den Vorgaben der Verordnung befasst zu haben. Herausforderungen  32%: Mangelnde praktische Umsetzungshilfen  43%: Rechtsunsicherheit  52 %: Schwer abzuschätzender Implementierungsaufwand Laut Bitkom-Studie glaubt nur eine Minderheit, pünktlich zum 25. Mai 2018 fit für die EU-DSGVO zu sein. Gründe Quelle: https://www.bitkom.org/Presse/Presseinformation/Jedes-fuenfte-IT-Unternehmen-ignoriert-bislang-Datenschutzgrundverordnung.html
  • 3. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Rechtsunsicherheit 0III000IIIII0I0I0000IIIIII0III000II00I0 0IIIIII0I0I00III00I0III00I00I0III000II0 0000I0II0III0I0000III0II00II0II000III0 00II00I00IIIIIIII0I0I00III000III00I00I0 III00000II0II0I00III00III00I00I0III000 II0I00I00I00I0III000II00000I0II0III0I 0000II0II00II0II000III000II00I00IIIIIII 0I0I00III00III0I0I00III0I0I0III00I00I0I II000II00000I0II0III0I0000IIII00III0I0 I00III0I0I0III00I00I0III000II00000I0II 0III0I0000II0II00II0II000III000III00I0 0IIIIIII0I0I00III000I0II00II0II000III00 0III00I00IIIII00II0II000III000II00I00II IIIII0I0I00III00III0I0I00III0I0I0III00I0 0I0III000II00000I0II0III0I0000IIII00II I0I0I00III0I0I0III00I00I0III000II0000I Rechtsverträgliche Technikgestaltung ?abstrakt konkret § Grundsätze der EU-DSGVO Art. 5 Absatz 1 Personenbezogene Daten müssen .. a. .. in einer .. nachvollziehbaren Weise verarbeitet werden (Transparenz). b. .. Für festgelegte und legitime Zwecke erhoben werden ..(Zweckbindung). c. Für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung). d. .. Daten, die .. unrichtig sind, gelöscht oder berichtigt werden. f. .. Schutz vor Verlust, .. Integrität und Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen .. Rechtliche Anforderungen
  • 4. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Anwendung des Standard-Datenschutzmodells Das Standard-Datenschutzmodell (SDM) ist eine Methode zur Datenschutzberatung und -prüfung auf Basis einheitlicher Gewährleistungsziele und  überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,  gliedert die betrachteten Verfahren in die Komponenten Daten, IT-Systeme und Prozesse,  berücksichtigt die Einordnung von Daten in drei Schutzbedarfsabstufungen und  bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen. Quelle: SDM – Das Standard-Datenschutzmodell, Erprobungsfassung V1.0, 2016
  • 5. 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Rechtsverträgliche Technikgestaltung § Grundsätze der EU-DSGVO Art. 5 Absatz 1 Personenbezogene Daten müssen .. a. .. in einer .. nachvollziehbaren Weise verarbeitet werden (Transparenz). b. .. Für festgelegte und legitime Zwecke erhoben werden ..(Zweckbindung). c. Für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung). d. .. Daten, die .. unrichtig sind, gelöscht oder berichtigt werden. f. .. Schutz vor Verlust, .. Integrität und Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen .. Nichtverkettbarkeit • Rechte- und Rollenkonzept • Mandantentrennung der Daten bei gemeinsamer Verarbeitung • Frühestmögliche Anonymisierung • Zweckbezogene Pseudonymisierung • Beschränkung der Datenschnittstellen • Beschränkung der Funktionalität • ... Transparenz .. Datenminimierung .. .. Rechtliche Anforderungen (Auszug) Sollvorgaben zur Technikgestaltung (Auszug)  Vertraulichkeit  Integrität  Verfügbarkeit  Zweckbindung  Nichtverkettbarkeit  Transparenz  Datenminimierung  Intervenierbarkeit Gewährleistungsziele Gemeinsame Sprache, die Juristen und Techniker gleichermaßen verstehen Quelle: angelehnt an das SDM – Das Standard-Datenschutzmodell, Erprobungsfassung V1.0, 2016
  • 6. 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Mit Sicherheit Datenschutz in der Gesetzlichen UV Informations- sicherheit Datenschutz Datenminimierung Transparenz Nichtverkettbarkeit Intervenierbarkeit Vertraulichkeit Integrität Verfügbarkeit Artikel 32 DSGVO, Sicherheit der Verarbeitung: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.” Fokus: personenbezogene Daten Datenschutz unterstellt methodisch: Jede Organisation ist ein Angreifer! Fokus: Unternehmensdaten IT-Sicherheit unterstellt methodisch: Jede Person kann ein Angreifer sein!
  • 7. 6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU IT-Managementsysteme effektiv verbinden Informations- sicherheits- Management Datenschutz Management Enterprise Architektur Management Datenschutz darf nicht als isolierte Aufgabe betrachtet werden, sondern muss integraler Bestandteil einer Digitalisierungs- und Umsetzungsstrategie sein. Digitale Transformation
  • 8. 7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU Datenschutz-Referenzarchitektur integraler Bestandteil einer Digitalisierungs- und Umsetzungsstrategie Enterprise Architektur Datenschutz- gewährleistende IT-Bausteine Sicherheits-gewährleistende IT-Bausteine Prävention Reha & Leistungen Applikation 2 Applikation nApplikation 1 Storage NetzwerkServer RZ-Standort 1 RZ-Standort 2 Mitglieder & Beiträge Anonymisierung, Pseudonymisierung Löschfunktionen Change Management Revisionssichere Protokollierung Gefährdungen, Risikobewertungen, Referenzmaßnahmen des Standard-Datenschutzmodells / DSA Gefährdungen, Risikobewertungen, Referenzmaßnahmen der IT-Grundschutzkataloge / BSI Anti-Virus Notfallmanagement Identity & Access Management IT Sicherheits- Vorfallsmanagement …… Enterprise Architektur-, Datenschutz-, Informationssicherheits-Management
  • 9. 8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU