Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 05 - DSGVO - Fakten Fakten Fakten

0 © [2018] [Fujitsu]INTERNAL USE ONLY
Stand: April 2018
Fakten – Fakten – Fakten
Fujitsu DS-GVO 5 Minuten „Starter“
Stephan Müller

Bisher: Unterschiedliches
Datenschutzrecht in Europa
 Keine einheitliche Umsetzung der
europäischen Datenschutz-Richtlinie
95/46/EG in nationales Recht
 National eigenständige und unabhängige
Aufsichtsbehörden für den Datenschutz
 Nationale Sonderregelungen (DE:
Werbung, Adresshandel, Scoring )
AUSGANGSLAGE
Lösung:
NEUE
EUROPÄISCHE DATENSCHUTZ-
GRUNDVERORDNUNG
 Verordnung des Europäischen Parlaments
und des Rates zum Schutz natürlicher
Personen bei Verarbeitung
personenbezogener Daten und zum freien
Datenverkehr
 KURZ: DS-GVO / GDPR
Beschlossen durch
EU-Mitgliedsstaaten
Anwärter für
Mitgliedschaft

Geltung /Ende
Umsetzungsfrist
25. Mai 2018
Inkrafttreten
Beginn der
Umsetzungsfrist
+20 Tage nach Verkündung
(4. Mai 2016 + 20 Tage
25. Mai 2016)
Verkündung
EU-Amtsblatt
04. Mai 2016
Annahme durch
den
EU-Rat & EU
Parlament
April 2016 Ende
Einigung Trilog
17.-18.12.2015
5
4
3
2
1
Bisheriges Bundesdatenschutzgesetz (BDSG)
gilt weiter bis zur Umsetzungsfrist in
Mai/2018
BDSG ist ungültig
ab Mai/2018
+
BDSG-Folgegesetz
DSAnpUG-EU
BDSG_Neu
Juli 2017
Zeitplan und zeitliche Auswirkung der Umstellung

Geltung /Ende
Umsetzungsfrist
25. Mai 2018
Inkrafttreten
Beginn der
Umsetzungsfrist
+20 Tage nach Verkündung
(4. Mai 2016 + 20 Tage
25. Mai 2016)
Verkündung
EU-Amtsblatt
04. Mai 2016
Annahme durch
den
EU-Rat & EU
Parlament
April 2016 Ende
Einigung Trilog
17.-18.12.2015
5
4
3
2
1 28 Tage bis
ULTIMO!!!
Zeitplan und zeitliche Auswirkung der Umstellung

Wirkung der DS-GVO
Die DS-GVO hat folgende Wirkung …
 …gemäß der Regelung in Artikel 99 wirkt diese Verordnung in allen ihren Teilen
verbindlich und gilt als unmittelbar in jedem Mitgliedsstaat der EU ab dem 20 Tag
nach Ihrer Veröffentlichung im Amtsblatt der EU.
< 04.05.2016 + 20 + 2 Jahre = 25.05.2018>
 Die DS-GVO hat eine “Durchgriffswirkung” und ist eine allgemeine Regelung
mit unmittelbarer innerstaatlicher Geltung.
 Es besteht eine Vollharmonisierung im nicht-öffentlichen Bereich
 Nationale Datenschutzregelungen ( DE das BDSG) werden ersetzt!
über
 Öffnungsklauseln für nationale Gesetzgebung sind Anpassungen möglich. In
DE wurde dies bereits im Juli 2017 abgeschlossen und das BDSG (Neu) ist zum
gleichen Zeitpunkt gültig wie die DS-GVO
 Wie oben bereits erwähnt besteht eine zweijährige Anpassungsphase für
Rechtsbereinigungen und Folgeänderungen die am 25.05.2018 ausläuft!

Wirkung der DS-GVO
Allgemein ist die DS-GVO …
 ein Meilenstein im Schutz von Grundrechten und –freiheiten von Individuen in der
EU
 Erhöhte und allgemeine Verantwortlichkeiten für Unternehmen und staatliche
Stellen im Umgang mit personenbezogen Daten von EU-Bürgern, auch außerhalb
der EU
 Über die allgemeine Compliance-Anforderung hinaus stellt die DSGVO den
bisherigen Umgang mit personenbezogenen Daten grundsätzlich in Frage –
insbesondere in Bezug auf die zugrundeliegenden Prozesse und Technologien
 Gleichzeitig eröffnet die DSGVO Möglichkeiten für neue Geschäftsmodelle wie
Dienstleistungen und Technologien, die verantwortungsbewusst mit
personenbezogenen Daten umgehen.

Öffnungsklauseln in der DS-GVO
Die DS-GVO hat die Wirkung der…
…Verpflichtung der
Mitgliedstaaten zum
Tätigwerden
…Befugnis der
Mitgliedstaaten für
spezifische und /oder
abweichende Regelungen
…Vorgabe weiterer
konkretisierender Maßnahmen
DS-GVO
ES BESTEHEN 50-60 NATIONALE ÖFFNUNGSKLAUSELN
 bei Rechtsgrundlagen der Datenverarbeitung
 für spezifische nationale Regelungen
 für Ausnahmen bei Betroffenenrechten
 für andere Fälle

Wie sieht das künftige Datenschutz Spielfeld aus
und wer spielt mit?
DS-GVO
28 x
Nationales
Recht
Einfacher
wird es wohl nicht!
28
Nationale
Anpassungen
… die Kommission
 Überwachung der DS-GVO
Umsetzung
 Erlass delegierter Rechtsakte
… der EuGH
 Zuständig für die Auslegung der
DS-GVO
 Kontrolle der
Kommissionsentscheidungen
… der Europäischer
Datenschutzausschuss
 Interpretation der DS-GVO
 Koordination der
Zusammenarbeit
… die Aufsichtsbehörden
 Überwachung der Umsetzung des
Datenschutzes (Zusammenarbeit)
… die Mitgliedsstaaten
 Ergänzen und modifizieren den
Rechtsrahmen.
… die Nationale Gerichte
 Auslegung der DS-GVO und
nationaler Datenschutz-
Vorschriften
DE
BDSG
z.B.
BAY
NRW
RP
BW
…

STÄRKER IN DIE VERANTWORTUNG
VERTRIEB PERSONALWESEN
IT
EINKAUF
LEGAL
MARKETING
MANAGEMENT
DATENSCHÜTZER
MEHR IN DIE KONTROLLE
PRODUKTION
KOMMT:

Prinzipien
Prinzipien der Datenverarbeitung
Rechtmäßigkeit, Verarbeitung nach Treu und
Glauben, Transparenz
Bedeutet:
Verarbeitung nur auf rechtmäßige Weise, nach Treu und
Glauben und in für den Betroffenen nachvollziehbaren Weise.
Zweckbindung
Bedeutet:
Verarbeitung sprich Erhebung nur für festgelegte, eindeutige,
rechtmäßige Zwecke sowie Verbot der Weiterverarbeitung in
einer nicht vereinbarten Weise für andere Zwecke.
Datenminimisierung
Bedeutet:
Beschränkung auf den Zweck der Verarbeitung sowie das
angemessene und sachlich relevante notwendige Maß.
Richtigkeit
Bedeutet:
Sachlich richtige und ggf. aktuellste Daten, Vorsehen von
Maßnahmen zur unverzüglichen Löschung oder Berichtigung
von unzutreffenden Daten
Speicherbegrenzung
Bedeutet:
Speicherung mit Personenbezug höchstens so lange, wie es für
die Verarbeitungszwecke erforderlich ist.
Integrität und Vertraulichkeit
Bedeutet:
Geeignete TOM‘s* zum angemessenen Schutz der Daten.
Insbesondere vor unbefugter oder unrechtmäßiger
Verarbeitung, zufälligem Verlust, Zerstörung, Schädigung.
Über allem steht:
„Rechenschafts-
Pflicht (Account-
Ability)“:
Verantwortung;
Nachweispflicht
der Einhaltung
aller Prinzipien!
* TOM‘s = Technische und organisatorische Maßnahmen

Die 5 Schritte der Transparenz…
Transparenz nach Artikel 13-14
 Information des Betroffenen
 Benachrichtigung
Transparenz nach Artikel 15
 Auskunftsrecht des
Betroffenen
Transparenz nach Artikel 16-21
 Berichtigung (16)
 Löschung (17)
 Sperrung (18)
 Mitteilungspflicht (19)
 Übertragbarkeit (20)
 Widerspruch (21)
Transparenz nach Artikel 12
 Schaffung von Abläufen für die
transparente Information,
Kommunikation und
Ausführung der Betroffenen-
Rechte
Transparenz nach Artikel 5 Absatz 1a Prinzip der
“Rechtmäßigkeit Verarbeitung nach Treu und Glauben,
Transparenz”
Dies bedeutet, dass personenbezogene Daten immer:
 auf rechtmäßige Weise
 nach dem Grundsatz von Treu und Glauben und in
einer für den Betroffenen nachvollziehbaren Weise
verarbeitet werden!

Grundsätze in Bezug auf die Verarbeitung
personenbezogener Daten
Gemäß Artikel 4 DS-GVO (Begriffsbestimmung)
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren
besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen,
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person
sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die
Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Grundsätze in Bezug auf die Verarbeitung
personenbezogener Daten
Gemäß Artikel 5 DS-GVO (Grundsätze für die Verarbeitung
personenbezogener Daten)
1. Für personenbezogene Daten gilt:
a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
b) Zweckbindung
c) Datenminimierung
d) Richtigkeit
e) Speicherbegrenzung
f) Integrität und Vertraulichkeit
2. Rechenschaftspflicht
Gemäß Artikel 6 DS-GVO (Rechtmäßigkeit der Verarbeitung)
Zur “Rechtmäßigkeit der Verarbeitung “ muss mindestens eine der nachstehenden
Bedingungen erfüllt sein und zwar:
a) bei Einwilligung;
b) bei Verarbeitung zur Erfüllung eines Vertrags oder Durchführung vorvertraglicher
Maßnahmen;
c) zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;
d) um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen
Person zu schützen;
e) für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt;
f) Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich ist

Verarbeitungsregeln
Erhebung Verarbeitung Weiterverarbeitung
 Gundregelung
 Artikel 6 allgemeine DV
 Artikel 9 bes. Daten|
 Keine explizierte Regeln wie den
Direkterhebungsgrundsatz des § 4
BDSG
DS-GVO kommt nur mit
rudimentärer Regelung in Artikel
5 (a) (b)
 Informationspflichten bei
Direkterhebung Artikel 13 Abs.3
 Sonderregelungen
 Einwilligung Artikel 7
 Einwilligung eines Kindes Artikel 8
 Straftaten – Urteile Artikel 10
 Verarbeitung für die eine
Bestimmung der betroffenen
Person nicht erforderlich ist Artikel
11
 Betrifft die Zweckänderung Artikel
6 Abs. 4;s.a. Artikel 5 Abs. 1 (b)
 Informationspflichten bei
Direkterhebung Artikel 13 Abs.3
 Benachrichtigung bei Dritterhebung
Artikel 14 Abs. 4
 Verarbeitungsbeschränkung
 Einschränkungen Artikel 18
 Widerspruch Artikel 21 Abs. 1
 Werbewiderspruch Artikel 21 Abs.
2,3
 Wiederspruch bei öffentlichem
Interesse Artikel 21 Abs. 6
 Profiling/Einzelentscheidung
Artikel 22
 Benachrichtigung bei Dritterhebung
Artikel 14 Abs. 4

Alte und Neue Bekannte
DS-GVO:
Betroffene Person
BDSG:
Betroffener
DS-GVO:
Dritter/Empfänger
(Prozessor)
BDSG:
Dritter/Empfänger
DS-GVO:
Aufsichtsbehörde
BDSG:
Aufsichtsbehörde
Ist jede direkt oder indirekt
identifizierbare natürliche
Person
DS-GVO:
Auftragsverarbeiter
(Prozessor)
BDSG:
Verantwortliche Stelle
Auftragsverarbeiter „Prozessor“ ist
jeder Dritte, der personenbezogene
Daten im Auftrag erfasst, speichert
und verarbeitet! Z.B. Fujitsu als
Auftragnehmer)
Verantwortlicher „Controller) ist
Jede Organisation, die personen-
bezogene Daten beim Betroffenen
erfasst, speichert und verarbeitet!
Z.B. Kunde/Auftraggeber von
Fujitsu oder Fujitsu selbst als
Auftraggeber)
Dritter/Empfänger ist jede Organisation
die vom Processor / Auftragsverarbeiter
zusätzlich in die Leistungserbringung für
den Controller /Kunde aufgenommen wird.
Z.B. Externe Dritte (aber auch Konzernfirmen
der Fujitsu als Unterauftragnehmer).
DS-GVO:
Verantwortlicher
(Controller)
BDSG:
Verantwortliche Stelle

Grundlegende Anpassungen/Erweiterungen
Grundlegende Prinzipien des BDSG bleiben
erhalten, werden aber z.B. in folgenden
Bereichen erweitert:
Auftragsdatenverarbeitung
Auftragsdatenverarbeiter, wie z.B. Anbieter von Cloud Services wie Fujitsu, können erstmals
unmittelbar für die Datenverarbeitung verantwortlich und unmittelbar haftbar sein
Erweiterte Rechte des Individuums
Weitergehende Informationspflichten und Auskunftsrechte der Betroffenen. Umfassende
Löschungsverpflichtungen. (z.B. „ Recht auf Vergessen werden; Recht auf
Datenübertragbarkeit)
Extra-territoriale Anwendung
EU-Recht gilt auch außerhalb der EU – z.B. in den USA oder Japan – soweit die jeweilige
Verarbeitung personenbezogene Daten aus der EU betrifft – eine wesentliche Änderung
gerade für global agierende Unternehmen.
Strengere Sanktionen / Rechtsfolgen
Kartellrechtsähnliche Bußgelder von bis zu 4% des weltweiten Umsatzes bei Verletzung der
gesetzlichen Pflichten. Zusätzlich erheblich erhöhte Audit- und Prüfrechte der
Aufsichtsbehörden.

Datenübermittlung
Die internationale Datenübermittlung bleibt reguliert – der Datenfluss zwischen
Unternehmen und von der EU in Nicht-EU-Länder muss überwacht und kontrolliert werden.
Meldepflicht
Meldepflicht für Verletzung mit einer Frist von 72 Stunden nach Kenntnis – Kunden werden
kürzere Fristen von Fujitsu als Dienstleister fordern (müssen).
Grundlegende Anpassungen/Erweiterungen
Systemanforderungen
Datenbanken und Systeme müssen so aufgesetzt werden, dass Nachweis- und
Dokumentationspflichten erfüllt werden können, z.B. in Bezug auf die Erklärung von Einwilligungen.
Daten müssen binnen angemessener Zeit auf allen Systemen löschbar sein.
Privacy by Design
Datenschutzüberlegungen müssen bereits beim Design von Geschäftsmodellen und Produkten
Eingang finden. Dies muss nachweisbar dokumentiert werden, auch für Zwecke von Audits.

Stand: April 2018
Implementierung der DSGVO bei Fujitsu – ein
Erfahrungsbericht
Stephan Müller

1. EMEIA-Projekt
 12 Arbeitspakete EMEIA-weit über alle BU‘s
 Grundlegende Themen, Ansätze, Muster usw. Roll-out in die einzelnen Länder
2. CE-Projekt (Implementierung)
 Einzelne Roll-out-Themen in CE, soweit nicht bereits Teil des EMEIA-Projekts (z.B.
Kundenansprache)
 Berücksichtigung lokaler Besonderheiten / Sonderthemen
3. Laufende Compliance
 Compliance ist zukünftig eine laufende Aufgabe über alle BU‘s
 Integration in die bestehende Organisation
 Laufende Kontrolle, Schließen von Gaps
Projektansatz bei Fujitsu
DSGVO-Compliance ist eine laufende Aufgabe. Ziel ist, bis 25. Mai die
Voraussetzungen für eine dauerhafte Compliance zu schaffen.

Projektorganisation
 Projektorganisation
 Fachbereiche
BAS CISO
Commercial Compliance
Defence Enterprise Cyber
Security (ECS)
Enterprise Platform
Services (EPS)
Finance
CDC
Governance &
Assurance and
Strategy
Group Security HRMC
HR (People) ITG
Procurement Product
Sales
Lead Project Manager
PMO
Programme Lead / SME
Project Leader
Sponsor
Technical SME

Datenschutz Setup Deutschland
Executive Board
General Managers
Zuständigkeit
Fujitsu TDS
Zuständigkeit
UniCon Software GmbH
Data Protection Officer
Data Protection
Responsible/Contact
Zuständigkeit
Fujitsu Technology Solutions GmbH
Fujitsu Intellectual Property GmbH
ICT GmbH
Fujitsu Services GmbH
Fujitsu Technology Solutions Sales
Services GmbH
Data Protection Officer
20
DSGVO- Projekt Eingang

EMEIA Projekt: Arbeitspakete
Data Mapping System Capabilities Customer
Engagement
Supply Chain
Management
Security Evidence and Audit HR
.
Policies and
Processes
Awareness and
Training
Marketing Data Protection by
Design
International Data
Transfer

Was passiert in den Arbeitspakete
Data Mapping
Analyse aller
Datenflüsse intern und
extern zu Kunden und
Lieferanten
Beispiele: BU MIS 634
BAS 303
System Capabilities
Analyse aller IT-
Verfahren und
Prozesse > 1500
Customer
Engagement
Analyse der
Kundenverträge und
Erstellung neuer
Standardverträge
Supply Chain
Management
Analyse der
Einkaufsprozesse und
Lieferanten-
verbindungen. Neue
Standardverträge
Security
Analyse des internen
und externen Security
Umfeld (TOM)
Evidence and Audit
DPIA & Breach Prozess
geprüft, dokumentiert
und aufgesetzt. Art und
Weise der Nachweise
in Prüfung und
Anpassung
HR
Analyse aller
Personalprozesse von
Bewerbung –
Einstellung – Austritt
und Schulung der
Kollegen
Policies and
Processes
Analyse der Policies,
Guidelines,
Anweisungen in Bezug
auf die DSGVO
Awareness and
Training
Erstellung von Training
& Awareness Material
Training läuft >52 %
abgeschlossen
1300 Manager geschult
Marketing
Internet Privacy-Policy,
Cookie Handling,
Consent-Management
geprüft überarbeitet
und im Update
Data Protection by
Design
Regelung erstellt und in
die Fachbereiche zur
Umsetzung und
Beachtung gegeben.
International Data
Transfer
Datenflüsse geprüft und
internationales
Vertragswerk überprüft
und angepasst

Laufende
Compliance
Aktivitäten
und
Monitoring
Einführung
Governance
Änderungen
EMEIA
Programm
DSGVO Implementierungsprogramm
… und Einbindung der BU’s …
2017----------------------------------------------------------2018----------------------------+25 May
Prüfung
Review
Trainings
Maßnahmen
Einführung
Prozess
Änderungen
Einführung
Technischer
Änderungen
GapAnalyse
BAS
CIO/ITG
Cyber SEC
EPS
Finance
GDC
Group SEC
HR
Legal
Marketing
MIS
Products
Procurement
Sales
SOGA
SOGA/SEC

Training and Awareness
0
10000
20000
30000
40000
50000
60000
Nov 17 Dez 17 Jan 18 Feb 18 Mrz 18
Numberofimpressions
Total Communication Impressions
(exc. EMEIA Connect)
30,59%
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
Percentage of total employees who have completed
GDPR eLearning
In Progress

Register der Verarbeitungstätigkeiten
< Controller - Processor >

Data – Mapping Aktivitäten
Data Mapping
0
100
200
300
400
500
600
700
AT DE CH Annonym Total
60
544
21 9
634
Data - Mapping
Kunden MIS CE
0
50
100
150
200
250
300
350
CE Austria Germany Switzerland
303
7
287
9
Data-Mapping
Kunden BAS CE

Data – Mapping Aktivitäten
System Gap Analyse

EMEIA DPOffice
Stephan Müller
Member of EMEIA_ DPOffice
Data Protection Officer FTS-GmbH
Fujitsu
Mies-van-der-Rohe-Str. 8
D- 80807 Munich
Tel.: +49 89 62060 2111
Mobile: +49 171 8650010
Stephan.Mueller@ts.fujitsu.com
EMEIA_DPOffice@ts.fujitsu.com
Contact information
FUJITSU CONFIDENTIAL © Copyright 2017 Fujitsu

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 05 - DSGVO - Fakten Fakten Fakten

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 05 - DSGVO - Fakten Fakten Fakten

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 05 - DSGVO - Fakten Fakten Fakten (20)

Mehr von Fujitsu Central Europe

Mehr von Fujitsu Central Europe (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 05 - DSGVO - Fakten Fakten Fakten