Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen

0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Services
Thorsten Höhnke, Fujitsu Enterprise & Cyber Security EMEIA

Bis 2018 – Neue Gesetzgebung führt zu mehr Sicherheit
Richtlinie für Netz- und Informationssicherheit (NIS) & Datenschutz-Grundverordnung (GDPR)
Neue Gesetzgebung Hauptaufgabe Kunde Jetzt vorbereiten!
Richtlinie für Netz- und
Informationssicherheit (NIS)
• Übereinstimmende Anfor-
derungen an die Gesetzgebung
jedes Mitgliedstaates
• Jeder Mitgliedsstaat muss, auf NIS
basierend, ein nationales Gesetz
bis 2018 verabschieden
Datenschutz-Grundverordnung
(GDPR )
• Verordnung ist ab 2018 in jedem
Land gültig
• Länder dürfen nationale
Erweiterungen hinzufügen
• Offene Frage: Sind für geltende
Gesetze Benutzer oder Providers
zuständig?
Informationssysteme und
Datensteuerung
• Nachweis von Richtlinien und der
tatsächlichen Umsetzung, z.B.
• Sicherheitsaudit
• Datenschutzfolgenabschätzung
• Einführung eines
Datenschutzbeauftragten
Reporting
• Aufzeichnen von Vorgängen
• Konkrete Berichtserstattung von
Sicherheitsvorfällen /Datenschutz-
verletzungen ohne Verzögerung
Empfindliche Bußgelder
• GDPR: 20M€ oder 4% des jährlichen
Umsatzes
Steuerung, Risiko und
Einhaltung
• Security Consulting, z.B.
Kontinuität & Belastbarkeit
• Datenschutz, z.B. IAM,
Verschlüsselung
• MSS, z.B. Schwachstellen-
management, Perimeterschutz,
Inhaltskontrolle
Beurteilung & Audits
• Sicherheitsaudits
• Datenschutzfolgenabschätzung
Aufdecken und Reagieren
• Cyber Threat Intelligence
• SIEM erweitert durch Berichts-
erstattung gemäß NIS/GDPR

DS-GVO Readiness Assessment
• Orientierung zu zentralen
Anforderungen
• Neutraler Analyseansatz
• Übertragbare Ergebnisse
• Festpreissicherheit
• Europaweite Durchführung
Orientierung durch DS-GVO Readiness Assessment

DS-GVO Data Discovery Services
 Was? Wir verwenden spezielle Tools, um offene und versteckte Datenstandorte
- auf Servern, in Datenbanken oder auf mobilen Geräten - zu lokalisieren und
Ihnen eine grafische Darstellung Ihrer bekannten und unbekannten
Datenbestände zu liefern.
 Warum? DS- GVO schreibt vor, dass Organisationen genau wissen, welche
persönlichen Daten sie besitzen, wo sie sich befinden und wie sie verarbeitet
werden - keine leichte Aufgabe für die meisten Unternehmensnetzwerke. Unser
Service sagt Ihnen genau, was Sie wissen müssen, um die Anforderungen zu
erfüllen.

DS-GVO Gap Remediation Services
 Was? Unser Team von Cyber-Sicherheitsexperten arbeitet mit Ihnen
zusammen, um relevante Bereiche der Optimierung personenbezogener Daten
zu identifizieren und Strategien und Initiativen zu definieren, um die DS-GVO -
Bereitschaft für Ihr Unternehmen zu ermöglichen. Dies kann beispielsweise die
Durchführung weiterer Evaluierungsscans zur Ermittlung neuer Datenbestände,
die Implementierung spezifischer Verschlüsselungskriterien oder die Abbildung
der zur Vorbereitung auf die DS-GVO erforderlichen Technologien umfassen.
 Warum? Nachdem Sie den Status Ihres Datenmanagements bewertet und
mögliche Schwachstellen der DS- GVO im Bereich Compliance identifiziert
haben, können Sie unsere Spezialisten auffordern, alles Notwendige zu tun, um
diese Lücken zu schließen.

DS-GVO Data Loss Prevention Service
 Was? Unser Data Loss Prevention Service bietet einen soliden Überblick über
die Art der persönlichen und sensiblen Daten, die in und aus Ihrem Netzwerk
fließen, so dass Sie bei Bedarf die IT Governance verbessern können.
 Warum? Dies wird Ihre Bemühungen um die Einhaltung der DS- GVO
unterstützen, trägt aber auch zu umfassenderen Datenschutzinitiativen bei, um
den Verlust sensibler Daten - von persönlichen Daten bis hin zu vertraulichen
Forschungs- und Entwicklungs- Ergebnissen - zu verhindern.

DS-GVO Continious Data Mapping Services
 Was? Mit unserer Data Appliance zur laufenden Datenermittlung und Data Loss
Prevention als Managed Service unterstützen wir Sie dabei, die Ströme von
persönlichen und sensiblen Daten kontinuierlich zu überwachen.
 Warum? Dieser Service unterstützt Sie auf Ihrem Weg zur IT Governance und
zur Einhaltung der DS- GVO.

eIDAS Quick Check
Ausgangssituation
Mit der eIDAS Verordnung der EU werden die Signaturanwendungen und die
elektronischen Identitätsnachweise europaweit geregelt. Die EU-Verordnung,
die im September 2015 verabschiedet wurde, ist bindendes Recht in alle EU-
Mitgliedsländern.
Neben der europäischen Harmonisierung werden mit der eIDAS Verordnung
neue Formen der Signaturanwendung/-nutzung möglich. Dabei handelt es sich
im Wesentlichen um …
• die Nutzung von Fernsignaturen (Serverbasierte Signaturen) sowie um
• elektronische Siegel
… die neuen Möglichkeiten für die effiziente Signaturnutzung aufzeigen.

Vertrauensdienste gemäß eIDAS für die
unterschiedlichsten Bereiche
Elektronische Einschreib-
Zustelldienste
Fortgeschrittene /
qualifizierte
Zeitstempel
Fortgeschrittene/
qualifizierte Siegel
Fortgeschrittene /
qualifizierte Signaturen
(auch fernausgelöst)
Elektronisches
Dokument
Prüf – und
Bewahrungsdienste
Vertrauens-
dienste
Fortgeschrittene / Qualifizierte
Websitezertifikate

eIDAS Quick Check
Ziele des Quick Check
Prozess für die Beschaffung von Signaturkarten (WebRA)/ Arten der Signaturen
• Welche anderen Technologien wären einsetzbar und sind diese wirtschaftlich?
Wirtschaftlichkeitsbetrachtung IST-Signatur-Technologie vs. Alternativen.
Elektronischer Postein- und Ausgang / elektronisches Verwaltungspostfach
• Wo werden bereits elektronische Signaturen genutzt und wo sollten/müssen künftig
welche verwendet werden?
Wo kann man ein Organisationssiegel einführen und den Anwender mit dem
Stempeln entlasten
• Wo stempeln wir heute ein Siegel?

eIDAS Quick Check
Status
Analyse Prozess Signaturkartenbeschaffung
Analyse Signaturnutzung PE/PA Prozesse
Analyse Ablösung manuelle Dienstsiegel
Beispielprozess qualifizierte Fernsignatur
Wirtschaftlichkeitsbetrachtung

Praktische Umsetzung der DSGVO im
Unternehmen

Praktische Umsetzung
der DSGVO im Unternehmen

Inhalt
 Aufgaben im Datenschutz
 Komponenten eines Datenschutzsystems
 Dokumentation
 Prozesse
 Schutzmaßnahmen
 Projektplan zum Einrichten eines Datenschutzsystems

Das Wesen des Datenschutzes
nach der DSGVO
Das eigentliche Ziel des DSGVO ist, es die Unternehmen zu zwingen, die Kontrolle über die Verarbeitung von
Personendaten zu erhalten. Voraussetzung dafür ist eine vollständige Transparenz der Informationsverarbeitung.
Es muss bekannt und dokumentiert sein:
 Welche Verfahren der Informationsverarbeitung gibt es?
 Welchem Zweck dienen sie und auf welcher rechtlichen Grundlage erfolgen sie?
 Welche Daten werden dabei benötigt?
 Woher kommen diese Daten und wohin werden sie gegebenenfalls weitergegeben?
Die Aufgaben des betrieblichen Datenschutzes ist es vorrangig, genau diese Transparenz herzustellen,
und zwar durch Betreiben eines Datenschutzsystems.
3

Aufgaben im Datenschutz
Einmalig:
Einrichten eines Datenschutzsystems
• Datenschutzorganisation: Rollen und
Aufgaben
• Erstellen der obligatorische
Dokumentation
• Planung und Implementierung der
technischen und organisatorischen
Sicherheitsmaßnahmen (TOM)
Dauerhafte Aufgabe:
Datenschutz im Alltag
• Pflege der Dokumentation
• Betrieb der Sicherheitsmaßnahmen
• Controlling, u.a. interne und externe
Audits
• Bearbeitung von Anfragen,
Sicherheitsvorfällen etc.

Datenschutzsystem nach DSGVO
Obligatorische Dokumentation
Unmittelbar von der DSGVO gefordert:
• Verarbeitungsübersicht (Art. 30)
• Verarbeitungsbeschreibung
• Grund der Verarbeitung
• Umfang: Daten, Funktionen, Datenflüsse
• Rechtsgrundlage der Verarbeitung
• Datenschutzfolgeabschätzung (Art. 35)
• Gegebenenfalls anderes mehr, z.B. Meldebögen an Aufsichten wie staatliche Datenschutzbehörden (Art. 33)
5

Weitere Dokumentation
Dokumentation, ohne die ein effektiver Datenschutz kaum möglich ist:
• Datenschutzstrategie (Policy) inkl. Datenschutzorganisation
• Minimale technische Dokumentation der Verfahren inkl. Darstellung der Datenflüsse
• Risikoanalyse? Siehe dazu Art. 32 Abs. 2 DSGVO
• Schutzkonzept als Compliance-Nachweis für die einzelnen Verfahren
• Qualifiziertes Lieferantenverzeichnis (wegen Auftragsverarbeitung)
• Gegebenenfalls anderes mehr, z.B.
• Anpassung der AGB, der SLAs und anderer Vertragstexte
• Datenschutzerklärung auf der Website
• Schulungsnachweise
• Prüfnachweise, Auditberichte, Zertifikate
• …

Datenschutzmanagement
Unmittelbar von der DSGVO und vom BDSG gefordert:
 Datenschutzorganisation
 U.a. Datenschutzbeauftragter
 Datenschutzprozesse
 Pflege der Datenschutzdokumentation
 Verifikation der Wirksamkeit der Schutzmaßnahmen
 Steuerung der Auftragsverarbeitung
 Umgang mit Datenschutzvorfällen (Incident Response)
 Datenschutz im Entwicklungsprozess inkl. Privacy by Design und Privacy by Default

Schutzmaßnahmen
nach Artikel 32 DSGVO
 Allgemeine Informationssicherheit
 Zutrittskontrolle
 Zugangskontrolle
 Zugriffskontrolle
 Weitergabekontrolle
 Eingabekontrolle
 Verfügbarkeit und Belastbarkeit
 Spezifische Datenschutzvorschriften
 Trennungsgebot
 Pseudonymisierung und Anonymisierung
 Verschlüsselung
 IT Service Continuity Management
Herausforderungen:
• Identifikation der nötigen Maßnahmen
(Compliance vs. Risk Assessment)
• Compliance-Nachweise

Beispiele
 Verarbeitungsübersicht
 Verarbeitungsbeschreibung
 Datenschutzfolgeabschätzung

Anhang
Projektplan für die
Einführung eines Datenschutzsystems

Projektplan - Schritte
1. Kickoff: Darstellung der Situation und Projektplanung
2. Vorbereitung, inkl. Bereitstellung der nötigen Vorlagen und sonstiger Werkzeuge
3. Erstellung der minimal nötigen Dokumentation
4. Training der Mitarbeiter und Erstellung der Trainingsnachweise
5. Evtl.: Planung und Implementierung von Schutzmaßnahmen gemäß Artikel 32 DSGVO

Schritt 1: Kickoff
Workshop (halbtags)
 Evtl. Einführung in das Thema Datenschutz
 Situation im Unternehmen
 IT-Verfahren
 Organisation & Rollen
 Prozesse & Workflows
 Dokumentation
 Mögliche weitere Vorgehensweise

Schritt 2: Vorbereitung
Vorbereitung (offsite)
 Projektplan
 Erstellen der Vorlagen
Basis sind fertige Vorlagen und Metadokumente.
Diese werden an die Bedürfnisse des Unternehmens angepasst.
 Einrichten der Projektinfrastruktur, zum Beispiel der Projektablage

Schritt 3: Dokumentation
Workshops zur Informationsbeschaffung und anschließend Erstellen der obligatorischen Dokumente
 Business Definition:
 Organisationstruktur  Verarbeitungsübersicht
 Service Design
 Verarbeitungsbeschreibungen
 Datenschutzfolgeabschätzungen
 Lieferantenverzeichnis inkl. Bewertung des Thema Auftragsverarbeitung
 Evtl. weitere Aufgaben prüfen; Schwerpunkt sind die von außen sichtbaren Dinge wie Web-Site, AGB/SLAs
etc.

Schritt 4: Training
 Datenschutzschulung für die Mitarbeiter
 Einführung in das Thema
 Umsetzen im eigenen Unternehmen
 Eigene Aufgaben und Pflichten
 Gegebenenfalls formale Verpflichtung der betroffenen Mitarbeiter

Schritt 5: Schutzmaßnahmen
 Risikoanalyse
 Sicherheitskonzept
 Tasks zur Implementierung von Sicherheitsmaßnahmen
 Gegebenenfalls Compliance-Nachweise erstellen
Dies ist eher nicht Kernaufgabe des Datenschutzes, sondern der allgemeinen Entwicklung von Verfahren und
Lösungen (Service Design) bzw. der Informationssicherheit.

1
Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
Rechtsverträgliche
Technikgestaltung
„Privacy by Design“
Workshop Datenschutz in der Gesetzlichen Unfallversicherung
26 April 2018

EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
„Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO)
Gesetzliche Anforderungen
2
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Datenschutz durch Technikgestaltung:
• Berücksichtigung des Stands der Technik und der
Implementierungskosten
• Auf der Grundlage einer Risikoanalyse
 Geeignete technische und organisatorische Maßnahmen
zur wirksamen Umsetzung des Datenschutzes
Datenschutzfreundliche Voreinstellungen:
 Geeignete technische und organisatorische Maßnahmen
zur Sicherstellung, dass durch Voreinstellung nur
erforderliche personenbezogene Daten verarbeitet werden
• Betrifft: Menge der Daten, Verarbeitungsumfang,
Speicherfrist, Zugänglichkeit
…erforderlich, wenn und soweit:
• Ein hohes Risiko für Rechte und Freiheiten vorhersehbar
ist, z.B. durch Einsatz neuer Technologien
• Bestimmte besonders risikobehaftete Datenverarbeitung
erfolgt, z.B. Profiling, systematische Überwachung,
Verarbeitung besonderer Datenkategorien
…beinhaltet unter anderem:
• Abhilfemaßnahmen, Sicherheitsvorkehrungen und
Verfahren zum Schutz der personenbezogenen Daten
• Fortwährende Überprüfung und ggf. Neubeurteilung bei
Änderungen

Konzept „Privacy by Design“
3
PETs
Fertige
Standard-
Software
Älterer Ansatz: nachträgliche Anpassung an
Datenschutzanforderungen
• Datenschutz-
anforderungen
• Datenschutz-
freundliches Design
• Technische
Umsetzung in
Datenstruktur
Individual-
software
oder neue
Standard-
Software
Privacy by Design: Berücksichtigung von
Datenschutzanforderungen von Anfang an

Design-Prinzipien (Auswahl)
4
Minimieren
• Auswahl nur notwendiger Datenfelder
• Möglichkeit der Nichterhebung im
Einzelfall
• Nutzung von Pseudonymen
Verbergen
• Nichtanzeige
• Verschleierung des Umfangs durch
Verschlüsselung
• Vermischung mit sonstiger
Datenübertragung
Trennen
• Verschiedene Datenbanken für
verschiedene Quellen
• Keine übergreifenden
Identifikationsmerkmale
• Dezentrale Speicherung und
Verarbeitung
Zusammenfassen
• Viele Auswertungszwecke erfordern
keine Unterscheidung einzelner
Personen
• Ereignisse pro Zeitraum
zusammenfassbar
• Differenzieller Datenschutz
Durchsetzen
• Technische Umsetzung statt
Handlungsanweisungen
• Weitergabe von
Datenschutzmaßnahmen bei
Übermittlung
• Unternehmensübergreifendes
Berechtigungsmanagement
Dokumentieren
• Aufzeichnung von Zugriffen und
Änderungen an Daten
• Auditierung auf Unregelmäßigkeiten
• Revisionssicherheit

Anforderungsmanagement
(Auftraggeber)
5
Fachliche
Beschreibung des
Geschäftsprozesses
Ergänzung mit
Datenkategorien,
Betroffenen,
Datenquellen,
Datenübermittlungen,
etc.
Datenschutzprüfung:
- Rechtsgrundlage
- Verarbeitungs-
grundsätze
- besondere Risiken
Umsetzung im Rahmen von Beschaffungs- oder Erstellungsprojekten
Aufnahme von
„Privacy by Design“
Anforderungen in
Fachspezifikation
Datenschutzprüfung
der vorgeschlagenen
konkreten
Maßnahmen im
Pflichtenheft auf
Geeignetheit
Kontrolle der
Umsetzung der
Maßnahmen

Vergabeverfahren
Besonderheiten
6
Erstellungsprojekt
Offenes Verfahren
• Technologieneutralität und Produktneutralität
• Konkrete Datenschutzmaßnahmen abhängig von
eingesetzter Technologie/Produkt
• Umfangreiche Prüfung der Geeignetheit und
Angemessenheit von Maßnahmen
Andere Verfahrensarten
• Einschränkung Teilnehmerkreis sinnvoll möglich?
• Mehrstufige Verfahren (z.B. wettbewerblicher Dialog)
zeitaufwändig
…nach Wasserfall- oder V-Modell:
• Detaillierungsgrad Fachspezifikation bestimmt Soll-
Beschaffenheit (für Gewährleistung, etc.)
• Umsetzung konkreter Maßnahmen bleibt in Verantwortung
des Auftragnehmers
• Vorschnelle Auswahl von Maßnahmen kann zu Change-
Request führen
…nach agiler Methode:
• Fortlaufende Involvierung auch des
Datenschutzbeauftragten bzw. externer Berater
• Datenschutzrechtliche Neubewertung der Maßnahmen bei
signifikanter Änderung des Datenmodells bzw. der
technischen Gestaltung erforderlich

Kontakt
7
Thorsten Jansen, LL.M.
Rechtsanwalt (attorney at law)
T +49 221 534098-0
E Thorsten.Jansen@dwf.law

© DWF Germany Rechtsanwaltsgesellschaft mbH 2017.
DWF Germany Rechtsanwaltsgesellschaft mbH is a limited
company incorporated in Germany and registered at the
local court of Cologne with number HRB 68568,
represented by the managing directors Oliver Bolthausen,
LL.M. (USA), FCIArb (UK), Klaus M. Brisch, LL.M.
(USA), Michael Falter, Dr. Mathias Reif. Copyright in this
document belongs to DWF Germany
Rechtsanwaltsgesellschaft mbH which asserts the right to be
identified as such and hereby objects to any misuse thereof.
This information is intended as a general discussion
surrounding the topics covered and is for guidance purposes
only. It does not constitute legal advice and should not be
regarded as a substitute for taking legal advice.
dwf.law
DWF is a global legal business, connecting expert
services with innovative thinkers across diverse
sectors. Like us, our clients recognise that the world is
changing fast and the old rules no longer apply.
That’s why we’re always finding agile ways to tackle
new challenges together. But we don’t simply claim to
be different. We prove it through every detail of our
work, across every level. We go beyond conventions
and expectations.
Join us on the journey.
Beyond borders, sectors and expectations

DSFA trifft
Verarbeitungsverzeichnis
Umsetzung der Datenschutz-Grundverordnung

nach Artikel 30 DSGVO

Das Verarbeitungsverzeichnis in der DSGVO
• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist
spezifische Anforderungen aus, die es künftig einzuhalten gilt
• Übliche Gefahren:
 Nicht alle notwendigen Auskünfte werden aufgeführt
 Verwechslungsgefahr mit bereits existierenden Verzeichnissen
• Relevante Artikel und Erwägungsgründe:
• Artikel 30
• Erwägungsgrund 13, 39, 82

Ausführlichkeit im Verarbeitungsvz. wird belohnt
• Neben Artikel 30 ist es sinnvoll auch weitere Elemente der DSGVO im
Verarbeitungsverzeichnis anzuführen
• Artikel 7 / Artikel 15-19 / Artikel 20 / Artikel 42-22
• Vor allem auch Artikel 32: Sicherheit der Verarbeitung (in Artikel 30 hingewiesen)
• Einbezug zusätzlicher Regulierungsbehörden und deren
Ausführungen
• Artikel 29 Datenschutzgruppe
• Deutsche Arbeitsgruppe
• Weitere Richtlinien einarbeiten wenn bekannt

Bei uns aus zwei Betrachtungswinkeln – Teil 1
• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen
Daten und damit verbundenen Informationen einer Organisation
• Beispiele:
• Datenart
• Datenerhebung
• Datenverarbeitung
• Datentransfer
• Datenspeicherung
• Datensicherheit
• Datenlöschung

Bei uns aus zwei Betrachtungswinkeln – Teil 2
• Data Map verweist visuell auf Datenflüsse und Standorte auf Grundlage des Data
Inventory

Praxistipps:

Schritt 1: Was kann übernommen werden?
• Auflistung
eigener Assets
(CMDB)
• Geschäfts-
prozesse /
Verfahren
• Auflistung von
Drittparteien

Schritt 2: Was fehlt noch in der Betrachtung (Art. 30+)?
• Alle DSGVO
Anforderunge
n abgedeckt?
• Einbezug von
weiteren
Elementen?

Schritt 3: Welche Zuordnung erscheint sinnvoll?
1. Geschäftsprozesse
2. Applikationen
 Oder beides (Hybrid)
• ? • ?

Schritt 4: Wie befüllen Sie das
Verarbeitungsverzeichnis?
Drei Möglichkeiten:
Art. 30 DSGVO
Fragebögen
1
Data Discovery
(Automatisiertes Scanning)
2
API Integrationen
(Bestehendes weiterer
Systeme)
3

Schritt 5: Womit starten Sie am besten?
• Leichtester Prozess
Vs.
• Schwerster Prozess
Vs.
• Höchste Risiken

Schritt 6: Wer macht die ganze Arbeit?
Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema
ein
Kern-Datenschutz-Team
Privacy Champions &
Fachexperten aus:
• HR
• Marketing
• Einkauf
• IT
• Compliance
• Usw.

Schritt 7: Wie halten Sie das Verarbeitungsvz. aktuell?
Scanning Ergebnisse weisen auf Updates hin
UND
Wiederkehrende Prüfung über Änderungen nach
Risikograd
UND
Verknüpfung von Schwellwertanalysen und DSFAs

Abgrenzung der
Datenschutzfolgeabschätzung (DSFA)

Unterscheidung: Schwellwertanalyse und DSFA
• Eine Schwellwertanalyse
ist ein Fragebogen zum Identifizieren von Datenschutzrisiken
sowie eine Hilfe zur Reduzierung dieser. .
• Eine Datenschutzfolgeabschätzung
ist eine spezielle Variante davon, welche in der DSGVO mit
besonderen Verpflichtungen verbunden ist (Artikel 35
DSGVO)
Verwechslungsgefahr
PIA & DPIA (Engl.)

Verknüpfung von Schwellwertanalyse und DSFA

Praxistipps:
Datenschutzfolgeabschätzung

Zu beachtende Punkte bei der Erstellung einer DSFA
• Artikel 30
Elemente mit
Assessments
(DSFA)
verknüpfen
• Verzeichnis wird
somit stets
aktualisiert
• Auslegung des
Fragebogens
nach DSGVO
• Checkliste
gestalten
• Rücksprache mit
Rechtsberatung
• Fragen nach
Sektionen unter-
teilen
• Erleichtert die
Handhabung bei
Beantwortung
und Prüfung
DSGVO beachten
Art. 30 Fragen
integrieren
Klare Struktur
2 31

Zu beachtende Punkte bei der Erstellung einer DSFA
• Mehr
Information
führt zu
qualitativer
Antwort
• Anhänge,
Beschreibungen,
Verweise, etc.
helfen
• Befragte
kommen aus
diversen
Fachbereichen
• Fragen Sie nicht
zu direkt:
Erfassen sie
personen-
bezogene Daten?
• Wenn-Dann-
Logik einbauen
• Nur relevante
Fragen werden
gestellt
• Risiken können
vordefiniert
werden
Verständlichkeit der
Fragen
Weitere Informationen
bereitstellen
Automatisierte Prozesse
5 64

So könnten Automatisierungsprozesse aussehen…

…dennoch sollte der Befragte alle Möglichkeiten haben
Variable und offene Antwortmöglichkeiten
7

Effizienter Arbeitsablauf beim Durchführen einer DSFA
• Cockpit mit
effizienten
Fragebögen
• Auswahl eines
Fragebogens
bei neuem
Projekt
• Zuordnung
des Projekts
zum
Befragten
• Qualitative
Beantwortung
der richtigen
Fragen
• Überprüfung
der
Antworten
• Risiken
manuell
setzen &
automatisiert
e Risiken
prüfen
• Minderung
der Risiken
• Projekt
abschließen
• Reportfähig
mit nur einem
Klick

Die große Stärke eines Tools ist das Reporting!
• Prozesse vollständig dokumentiert und
Berichte stets verfügbar
• Berichte können an den Betrachter
angepasst werden (intern vs. Extern)
• Exportfähigkeit in diversen Formaten:
CSV, Excel, PDF und weitere
• Datenschutzaufsichtsbehörde
hinzuziehen bei hohen Risiken und
sensiblen Daten
Verschiedene Berichte
IT-Teams
Intern vs. Aufsichtsbehörden
*Zeigen Sie nur, was verlangt wird.
Transparenz als Schlüssel zur
DSGVO Compliance

Welche Erfahrungen machen wir beim Kunden
60%
15%
25%
Was verwenden die Kunden heute?
Manuelle Lösungen
Datenschutzmanagementsoftwar
e
Gar nichts
• Unterschiedlichste
Aufstellungen im
Unternehmen
• Die meisten
Organisationen stehen
am Anfang
• Guidance ist sehr
willkommen, ob von
Beratern oder uns
• Verarbeitungsverzeichni
s bei allen ein
Hauptaugenmerk

Bei weiteren Fragen jederzeit gerne!
Robert Sindlinger
Master of Science BWL (LMU); CIPP/E
rsindlinger@onetrust.com
+49 175 371 29 83
www.onetrust.com

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen

Ähnlich wie Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen (20)

Mehr von Fujitsu Central Europe

Mehr von Fujitsu Central Europe (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen