Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 02 - DSGVO - GameChanger

1. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Der Game Changer
Die neue EU Datenschutz-Grundverordnung:
Britta Laatzen
Strategisches IT-Consulting
Öffentliche Auftraggeber Deutschland

2. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Die neue Datenschutz-Grundverordnung
Die neue Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018.
Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten
und bedarf keines nationalen Umsetzungsgesetzes.
Die nationalen Gesetzgeber erlassen lediglich neue Gesetze, um die nationalen Vorschriften, die durch die
Verordnung ersetzt werden, aufzuheben. Die nationalen Gesetzgeber sind an einigen Stellen der Verordnung – sog.
Öffnungsklauseln – ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen. Darüber hinaus
sind auch zwingende Regelungsaufträge an die nationalen Gesetzgeber enthalten.
Nationale datenschutzrechtliche Vorschriften sind daher auch nach dem 25.5.18 nicht vollständig obsolet.
Der Sozialdatenschutz unter Geltung der DSGVO1
Der Bundesgesetzgeber hat die Vorschriften des Ersten Buches Sozialgesetzbuch – Allgemeiner Teil – (SGB I) und
des Zehnten Buches Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdatenschutz – (SGB X) an die
DSGVO angepasst. Diese Änderungen werden – ebenso wie die DSGVO – am 25. Mai 2018 in Kraft treten.
1) Bayerische Landesbeauftragte für den Datenschutz, Der Sozialdatenschutz unter Geltung der Datenschutz-Grundverordnung (DSGVO) v. 25.9.17

3. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Ziele der neuen Datenschutz-Grundverordnung
1. Harmonisierung der bestehenden Regelungen
In den EU-Mitgliedstaaten wurden die Regelungen zum Datenschutz unterschiedlich gehandhabt, so dass sich
kein einheitliches Schutzniveau gebildet hat. Die DSGVO hat die Harmonisierung des Datenschutzrechts zum
Schutz der Grundrechte und Grundfreiheiten der betroffenen Personen zum Ziel.
2. Wettbewerbsangleichung
Die DSGVO hat zum Ziel, für alle Teilnehmer einen einheitlichen Markt für den freien Datenverkehr zu schaffen.
Sie schafft erhebliche Verbesserungen im Anwendungsbereich, indem sie vom Niederlassungs- auf das
Marktortprinzip umstellt.
3. Modernisierung des Datenschutzrechts
Die DSGVO soll Fortschritte und Verbesserungen im Datenschutzrecht bringen, die den technologischen
Entwicklungen Rechnung trägt.

4. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Geänderte Spielregeln unter Geltung der DSGVO
Privacy-by-Design / Default
fordert die Umsetzung geeigneter
technischer und organisatorischer
Maßnahmen, wie etwa
Pseudonymisierung, zur Umsetzung
der Datenschutzgrundsätze.
Beweisumkehrlast
Die Einhaltung genehmigter
Verhaltensregeln sowie deren
Überwachung oder eines
genehmigten Zertifizierungsverfahren
kann als Faktor herangezogen
werden, um die Erfüllung der
Anforderungen nachzuweisen.
Risiko-basierter Ansatz
der eine Dokumentation der
Risikoeinschätzung nötig macht.
Für besonders risikobehaftete
Datenverarbeitungen wird die
Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben.
Konsequenzen bei
Verstößen
1. Warnungen
2. Verwarnung
3. Anweisungen
4. Sanktionen:
- Beschränkung / Verbot der DV
- Widerruf eines Zertifikats
- Geldbußen
Rechte Betroffener
Informationspflicht
Auskunftsrecht
Berichtigungsrecht
Löschungsrecht
Widerspruchsrecht
Datenübertragbarkeit
Meldepflicht bei
Datenschutz-Verletzungen
Der für die Verarbeitung
Verantwortliche hat spätestens
innerhalb von 72 Stunden nach
Kenntnisnahme den Verstoß gegen
die Datenschutzbestimmungen der
Aufsichtsbehörde anzuzeigen.

5. 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Die neue DSGVO: der Game Changer
Geänderte Spielregeln
 Konsequenzen bei Verstößen (Art. 83+84)
 Gestärkte Rechte Betroffener (Art. 12 ff)
 Nachweispflicht und Zertifizierung (Art. 42+43)
 Datenschutz durch Technikgestaltung (Art. 25(1))
 Datenschutzfreundliche Voreinstellung (Art. 25(2))
 Datenschutz-Folgeabschätzung (Art. 35)
 Meldepflicht bei Datenschutz-Verletzungen
 ..
Chancen
 Die gesetzlichen Regelungen werden aktiv verfolgt.
 Hohes Datenschutzniveau in der EU (wie schon in
Deutschland); Privatheit und personenbezogene
Daten werden respektiert und geschützt.
 Datenschutz-freundliche IT-Verfahren werden neu
entwickelt als Bestandteil einer
Digitalisierungsstrategie
 Aufsichtsbehörden nutzen die Chance und setzen
sich durch
 EU als digitaler Markt, in dem Datenschutz ein
Wettbewerbsfaktor ist
 Audit- und Zertifizierungsverfahren sind digitalisiert.
Umsetzung der DSGVO

6. 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Herausforderungen der neuen DSGVO
Befragungsergebnis
 13 % der befragten Firmen
arbeiten aktiv an der Umsetzung.
 49 % der Befragten beschäftigen
sich mit dem Thema.
 33 % der Befragten gaben an, sich
bislang nicht mit den Vorgaben der
Verordnung befasst zu haben.
Herausforderungen
 32%: Mangelnde praktische
Umsetzungshilfen
 43%: Rechtsunsicherheit
 52 %: Schwer abzuschätzender
Implementierungsaufwand
Laut Bitkom-Studie glaubt nur eine Minderheit, pünktlich zum 25. Mai 2018 fit für die EU-DSGVO zu sein.
Gründe
Quelle: https://www.bitkom.org/Presse/Presseinformation/Jedes-fuenfte-IT-Unternehmen-ignoriert-bislang-Datenschutzgrundverordnung.html

7. 6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU

8. 7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Aus der Praxis für die Praxis
Praktische Umsetzungshilfen, rechtsverträgliche Technikgestaltung und Managementlösungen
 Thorsten Höhnke, Fujitsu, Leiter Strategie Cyber Security
 Stephan Müller, Fujitsu, Datenschutzbeauftragter
 Frank Gries, Berufsgenossenschaft der Bauwirtschaft, Stv. Abteilungsleiter
 Friedrich Abraham, secunomic GmbH, Security Consultant
 Thorsten Jansen, DWF Germany Rechtsanwaltsgesellschaft mbH, Rechtsanwalt
 Robert Sindlinger, One Trust, Vertriebsleiter Deutschland
 Dr. Bastian Braun, Datenschutz und Sicherheit von Anfang an, mgm security partners GmbH, Senior
Consultant IT Security
Compliance, Risiko
Management
(Fokus Unternehmen)
Verfahrens-
verzeichnis
Risiko
Assessment
(Fokus Betroffene)
Datenschutz-
folgenabschätzung
Privacy-by-Design
TOMs
KVP

9. 8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Die neue EU-DSGVO: der Game Changer
Es gibt nichts zu fürchten, sondern nur zu verstehen.
Marie Curie

10. 9EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin © 2018 FUJITSU
Mit Sicherheit die EU-DSGVO umsetzen
Beratung
 Strategische Beratung zur Einordnung, Planung und Umsetzung
der EU-DSGVO
Vorbereitung und Umsetzung
 Bereitschaftstest
 Risiko Assessment
 Datenschutzfolgenabschätzung, ..
 Sicherheits-Vorfallsmanagement
 Notfallmanagement
 Identifikation wesentlicher „Datenschutz“ Architektur-Bausteine,
wie Pseudonymisierung, und rechtsverträgliche Technikgestaltung
 www.fujitsu.com/gdpr
Aufsichts-
behörden
Dienstleister
Öffentlicher IT
Fujitsu &
Partner
Chancen wahrnehmen mit Unterstützung von Fujitsu und Partnern