BOS - Flexible Arbeitsplätze der Zukunft- aber sicher!
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung - 10 - DSGVO - Umsetzungshilfen
1. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Services
Thorsten Höhnke, Fujitsu Enterprise & Cyber Security EMEIA
2. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Bis 2018 – Neue Gesetzgebung führt zu mehr Sicherheit
Richtlinie für Netz- und Informationssicherheit (NIS) & Datenschutz-Grundverordnung (GDPR)
Neue Gesetzgebung Hauptaufgabe Kunde Jetzt vorbereiten!
Richtlinie für Netz- und
Informationssicherheit (NIS)
• Übereinstimmende Anfor-
derungen an die Gesetzgebung
jedes Mitgliedstaates
• Jeder Mitgliedsstaat muss, auf NIS
basierend, ein nationales Gesetz
bis 2018 verabschieden
Datenschutz-Grundverordnung
(GDPR )
• Verordnung ist ab 2018 in jedem
Land gültig
• Länder dürfen nationale
Erweiterungen hinzufügen
• Offene Frage: Sind für geltende
Gesetze Benutzer oder Providers
zuständig?
Informationssysteme und
Datensteuerung
• Nachweis von Richtlinien und der
tatsächlichen Umsetzung, z.B.
• Sicherheitsaudit
• Datenschutzfolgenabschätzung
• Einführung eines
Datenschutzbeauftragten
Reporting
• Aufzeichnen von Vorgängen
• Konkrete Berichtserstattung von
Sicherheitsvorfällen /Datenschutz-
verletzungen ohne Verzögerung
Empfindliche Bußgelder
• GDPR: 20M€ oder 4% des jährlichen
Umsatzes
Steuerung, Risiko und
Einhaltung
• Security Consulting, z.B.
Kontinuität & Belastbarkeit
• Datenschutz, z.B. IAM,
Verschlüsselung
• MSS, z.B. Schwachstellen-
management, Perimeterschutz,
Inhaltskontrolle
Beurteilung & Audits
• Sicherheitsaudits
• Datenschutzfolgenabschätzung
Aufdecken und Reagieren
• Cyber Threat Intelligence
• SIEM erweitert durch Berichts-
erstattung gemäß NIS/GDPR
3. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Readiness Assessment
• Orientierung zu zentralen
Anforderungen
• Neutraler Analyseansatz
• Übertragbare Ergebnisse
• Festpreissicherheit
• Europaweite Durchführung
Orientierung durch DS-GVO Readiness Assessment
4. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Data Discovery Services
Was? Wir verwenden spezielle Tools, um offene und versteckte Datenstandorte
- auf Servern, in Datenbanken oder auf mobilen Geräten - zu lokalisieren und
Ihnen eine grafische Darstellung Ihrer bekannten und unbekannten
Datenbestände zu liefern.
Warum? DS- GVO schreibt vor, dass Organisationen genau wissen, welche
persönlichen Daten sie besitzen, wo sie sich befinden und wie sie verarbeitet
werden - keine leichte Aufgabe für die meisten Unternehmensnetzwerke. Unser
Service sagt Ihnen genau, was Sie wissen müssen, um die Anforderungen zu
erfüllen.
5. 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Gap Remediation Services
Was? Unser Team von Cyber-Sicherheitsexperten arbeitet mit Ihnen
zusammen, um relevante Bereiche der Optimierung personenbezogener Daten
zu identifizieren und Strategien und Initiativen zu definieren, um die DS-GVO -
Bereitschaft für Ihr Unternehmen zu ermöglichen. Dies kann beispielsweise die
Durchführung weiterer Evaluierungsscans zur Ermittlung neuer Datenbestände,
die Implementierung spezifischer Verschlüsselungskriterien oder die Abbildung
der zur Vorbereitung auf die DS-GVO erforderlichen Technologien umfassen.
Warum? Nachdem Sie den Status Ihres Datenmanagements bewertet und
mögliche Schwachstellen der DS- GVO im Bereich Compliance identifiziert
haben, können Sie unsere Spezialisten auffordern, alles Notwendige zu tun, um
diese Lücken zu schließen.
6. 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Data Loss Prevention Service
Was? Unser Data Loss Prevention Service bietet einen soliden Überblick über
die Art der persönlichen und sensiblen Daten, die in und aus Ihrem Netzwerk
fließen, so dass Sie bei Bedarf die IT Governance verbessern können.
Warum? Dies wird Ihre Bemühungen um die Einhaltung der DS- GVO
unterstützen, trägt aber auch zu umfassenderen Datenschutzinitiativen bei, um
den Verlust sensibler Daten - von persönlichen Daten bis hin zu vertraulichen
Forschungs- und Entwicklungs- Ergebnissen - zu verhindern.
7. 6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
DS-GVO Continious Data Mapping Services
Was? Mit unserer Data Appliance zur laufenden Datenermittlung und Data Loss
Prevention als Managed Service unterstützen wir Sie dabei, die Ströme von
persönlichen und sensiblen Daten kontinuierlich zu überwachen.
Warum? Dieser Service unterstützt Sie auf Ihrem Weg zur IT Governance und
zur Einhaltung der DS- GVO.
9. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
eIDAS Quick Check
Ausgangssituation
Mit der eIDAS Verordnung der EU werden die Signaturanwendungen und die
elektronischen Identitätsnachweise europaweit geregelt. Die EU-Verordnung,
die im September 2015 verabschiedet wurde, ist bindendes Recht in alle EU-
Mitgliedsländern.
Neben der europäischen Harmonisierung werden mit der eIDAS Verordnung
neue Formen der Signaturanwendung/-nutzung möglich. Dabei handelt es sich
im Wesentlichen um …
• die Nutzung von Fernsignaturen (Serverbasierte Signaturen) sowie um
• elektronische Siegel
… die neuen Möglichkeiten für die effiziente Signaturnutzung aufzeigen.
10. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Vertrauensdienste gemäß eIDAS für die
unterschiedlichsten Bereiche
Elektronische Einschreib-
Zustelldienste
Fortgeschrittene /
qualifizierte
Zeitstempel
Fortgeschrittene/
qualifizierte Siegel
Fortgeschrittene /
qualifizierte Signaturen
(auch fernausgelöst)
Elektronisches
Dokument
Prüf – und
Bewahrungsdienste
Vertrauens-
dienste
Fortgeschrittene / Qualifizierte
Websitezertifikate
11. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
eIDAS Quick Check
Ziele des Quick Check
Prozess für die Beschaffung von Signaturkarten (WebRA)/ Arten der Signaturen
• Welche anderen Technologien wären einsetzbar und sind diese wirtschaftlich?
Wirtschaftlichkeitsbetrachtung IST-Signatur-Technologie vs. Alternativen.
Elektronischer Postein- und Ausgang / elektronisches Verwaltungspostfach
• Wo werden bereits elektronische Signaturen genutzt und wo sollten/müssen künftig
welche verwendet werden?
Wo kann man ein Organisationssiegel einführen und den Anwender mit dem
Stempeln entlasten
• Wo stempeln wir heute ein Siegel?
12. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
eIDAS Quick Check
Status
Analyse Prozess Signaturkartenbeschaffung
Analyse Signaturnutzung PE/PA Prozesse
Analyse Ablösung manuelle Dienstsiegel
Beispielprozess qualifizierte Fernsignatur
Wirtschaftlichkeitsbetrachtung
13. 0EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Praktische Umsetzung der DSGVO im
Unternehmen
14. 1EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Praktische Umsetzung
der DSGVO im Unternehmen
15. 2EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Inhalt
Aufgaben im Datenschutz
Komponenten eines Datenschutzsystems
Dokumentation
Prozesse
Schutzmaßnahmen
Projektplan zum Einrichten eines Datenschutzsystems
16. 3EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Das Wesen des Datenschutzes
nach der DSGVO
Das eigentliche Ziel des DSGVO ist, es die Unternehmen zu zwingen, die Kontrolle über die Verarbeitung von
Personendaten zu erhalten. Voraussetzung dafür ist eine vollständige Transparenz der Informationsverarbeitung.
Es muss bekannt und dokumentiert sein:
Welche Verfahren der Informationsverarbeitung gibt es?
Welchem Zweck dienen sie und auf welcher rechtlichen Grundlage erfolgen sie?
Welche Daten werden dabei benötigt?
Woher kommen diese Daten und wohin werden sie gegebenenfalls weitergegeben?
Die Aufgaben des betrieblichen Datenschutzes ist es vorrangig, genau diese Transparenz herzustellen,
und zwar durch Betreiben eines Datenschutzsystems.
3
17. 4EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Aufgaben im Datenschutz
Einmalig:
Einrichten eines Datenschutzsystems
• Datenschutzorganisation: Rollen und
Aufgaben
• Erstellen der obligatorische
Dokumentation
• Planung und Implementierung der
technischen und organisatorischen
Sicherheitsmaßnahmen (TOM)
Dauerhafte Aufgabe:
Datenschutz im Alltag
• Pflege der Dokumentation
• Betrieb der Sicherheitsmaßnahmen
• Controlling, u.a. interne und externe
Audits
• Bearbeitung von Anfragen,
Sicherheitsvorfällen etc.
18. 5EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Obligatorische Dokumentation
Unmittelbar von der DSGVO gefordert:
• Verarbeitungsübersicht (Art. 30)
• Verarbeitungsbeschreibung
• Grund der Verarbeitung
• Umfang: Daten, Funktionen, Datenflüsse
• Rechtsgrundlage der Verarbeitung
• Datenschutzfolgeabschätzung (Art. 35)
• Gegebenenfalls anderes mehr, z.B. Meldebögen an Aufsichten wie staatliche Datenschutzbehörden (Art. 33)
5
19. 6EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Weitere Dokumentation
Dokumentation, ohne die ein effektiver Datenschutz kaum möglich ist:
• Datenschutzstrategie (Policy) inkl. Datenschutzorganisation
• Minimale technische Dokumentation der Verfahren inkl. Darstellung der Datenflüsse
• Risikoanalyse? Siehe dazu Art. 32 Abs. 2 DSGVO
• Schutzkonzept als Compliance-Nachweis für die einzelnen Verfahren
• Qualifiziertes Lieferantenverzeichnis (wegen Auftragsverarbeitung)
• Gegebenenfalls anderes mehr, z.B.
• Anpassung der AGB, der SLAs und anderer Vertragstexte
• Datenschutzerklärung auf der Website
• Schulungsnachweise
• Prüfnachweise, Auditberichte, Zertifikate
• …
20. 7EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Datenschutzsystem nach DSGVO
Datenschutzmanagement
Unmittelbar von der DSGVO und vom BDSG gefordert:
Datenschutzorganisation
U.a. Datenschutzbeauftragter
Datenschutzprozesse
Pflege der Datenschutzdokumentation
Verifikation der Wirksamkeit der Schutzmaßnahmen
Steuerung der Auftragsverarbeitung
Umgang mit Datenschutzvorfällen (Incident Response)
Datenschutz im Entwicklungsprozess inkl. Privacy by Design und Privacy by Default
21. 8EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schutzmaßnahmen
nach Artikel 32 DSGVO
Allgemeine Informationssicherheit
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Verfügbarkeit und Belastbarkeit
Spezifische Datenschutzvorschriften
Trennungsgebot
Pseudonymisierung und Anonymisierung
Verschlüsselung
IT Service Continuity Management
Herausforderungen:
• Identifikation der nötigen Maßnahmen
(Compliance vs. Risk Assessment)
• Compliance-Nachweise
22. 9EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Beispiele
Verarbeitungsübersicht
Verarbeitungsbeschreibung
Datenschutzfolgeabschätzung
23. 10EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Anhang
Projektplan für die
Einführung eines Datenschutzsystems
24. 11EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Projektplan - Schritte
1. Kickoff: Darstellung der Situation und Projektplanung
2. Vorbereitung, inkl. Bereitstellung der nötigen Vorlagen und sonstiger Werkzeuge
3. Erstellung der minimal nötigen Dokumentation
4. Training der Mitarbeiter und Erstellung der Trainingsnachweise
5. Evtl.: Planung und Implementierung von Schutzmaßnahmen gemäß Artikel 32 DSGVO
25. 12EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 1: Kickoff
Workshop (halbtags)
Evtl. Einführung in das Thema Datenschutz
Situation im Unternehmen
IT-Verfahren
Organisation & Rollen
Prozesse & Workflows
Dokumentation
Mögliche weitere Vorgehensweise
26. 13EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 2: Vorbereitung
Vorbereitung (offsite)
Projektplan
Erstellen der Vorlagen
Basis sind fertige Vorlagen und Metadokumente.
Diese werden an die Bedürfnisse des Unternehmens angepasst.
Einrichten der Projektinfrastruktur, zum Beispiel der Projektablage
27. 14EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 3: Dokumentation
Workshops zur Informationsbeschaffung und anschließend Erstellen der obligatorischen Dokumente
Business Definition:
Organisationstruktur Verarbeitungsübersicht
Service Design
Verarbeitungsbeschreibungen
Datenschutzfolgeabschätzungen
Lieferantenverzeichnis inkl. Bewertung des Thema Auftragsverarbeitung
Evtl. weitere Aufgaben prüfen; Schwerpunkt sind die von außen sichtbaren Dinge wie Web-Site, AGB/SLAs
etc.
28. 15EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 4: Training
Datenschutzschulung für die Mitarbeiter
Einführung in das Thema
Umsetzen im eigenen Unternehmen
Eigene Aufgaben und Pflichten
Gegebenenfalls formale Verpflichtung der betroffenen Mitarbeiter
29. 16EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Schritt 5: Schutzmaßnahmen
Risikoanalyse
Sicherheitskonzept
Tasks zur Implementierung von Sicherheitsmaßnahmen
Gegebenenfalls Compliance-Nachweise erstellen
Dies ist eher nicht Kernaufgabe des Datenschutzes, sondern der allgemeinen Entwicklung von Verfahren und
Lösungen (Service Design) bzw. der Informationssicherheit.
42. Das Verarbeitungsverzeichnis in der DSGVO
• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist
spezifische Anforderungen aus, die es künftig einzuhalten gilt
• Übliche Gefahren:
Nicht alle notwendigen Auskünfte werden aufgeführt
Verwechslungsgefahr mit bereits existierenden Verzeichnissen
• Relevante Artikel und Erwägungsgründe:
• Artikel 30
• Erwägungsgrund 13, 39, 82
43. Ausführlichkeit im Verarbeitungsvz. wird belohnt
• Neben Artikel 30 ist es sinnvoll auch weitere Elemente der DSGVO im
Verarbeitungsverzeichnis anzuführen
• Artikel 7 / Artikel 15-19 / Artikel 20 / Artikel 42-22
• Vor allem auch Artikel 32: Sicherheit der Verarbeitung (in Artikel 30 hingewiesen)
• Einbezug zusätzlicher Regulierungsbehörden und deren
Ausführungen
• Artikel 29 Datenschutzgruppe
• Deutsche Arbeitsgruppe
• Weitere Richtlinien einarbeiten wenn bekannt
44. Bei uns aus zwei Betrachtungswinkeln – Teil 1
• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen
Daten und damit verbundenen Informationen einer Organisation
• Beispiele:
• Datenart
• Datenerhebung
• Datenverarbeitung
• Datentransfer
• Datenspeicherung
• Datensicherheit
• Datenlöschung
45. Bei uns aus zwei Betrachtungswinkeln – Teil 2
• Data Map verweist visuell auf Datenflüsse und Standorte auf Grundlage des Data
Inventory
47. Schritt 1: Was kann übernommen werden?
• Auflistung
eigener Assets
(CMDB)
• Geschäfts-
prozesse /
Verfahren
• Auflistung von
Drittparteien
48. Schritt 2: Was fehlt noch in der Betrachtung (Art. 30+)?
• Alle DSGVO
Anforderunge
n abgedeckt?
• Einbezug von
weiteren
Elementen?
49. Schritt 3: Welche Zuordnung erscheint sinnvoll?
1. Geschäftsprozesse
2. Applikationen
Oder beides (Hybrid)
• ? • ?
50. Schritt 4: Wie befüllen Sie das
Verarbeitungsverzeichnis?
Drei Möglichkeiten:
Art. 30 DSGVO
Fragebögen
1
Data Discovery
(Automatisiertes Scanning)
2
API Integrationen
(Bestehendes weiterer
Systeme)
3
51. Schritt 5: Womit starten Sie am besten?
• Leichtester Prozess
Vs.
• Schwerster Prozess
Vs.
• Höchste Risiken
52. Schritt 6: Wer macht die ganze Arbeit?
Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema
ein
Kern-Datenschutz-Team
Privacy Champions &
Fachexperten aus:
• HR
• Marketing
• Einkauf
• IT
• Compliance
• Usw.
53. Schritt 7: Wie halten Sie das Verarbeitungsvz. aktuell?
Scanning Ergebnisse weisen auf Updates hin
UND
Wiederkehrende Prüfung über Änderungen nach
Risikograd
UND
Verknüpfung von Schwellwertanalysen und DSFAs
55. Unterscheidung: Schwellwertanalyse und DSFA
• Eine Schwellwertanalyse
ist ein Fragebogen zum Identifizieren von Datenschutzrisiken
sowie eine Hilfe zur Reduzierung dieser. .
• Eine Datenschutzfolgeabschätzung
ist eine spezielle Variante davon, welche in der DSGVO mit
besonderen Verpflichtungen verbunden ist (Artikel 35
DSGVO)
Verwechslungsgefahr
PIA & DPIA (Engl.)
58. Zu beachtende Punkte bei der Erstellung einer DSFA
• Artikel 30
Elemente mit
Assessments
(DSFA)
verknüpfen
• Verzeichnis wird
somit stets
aktualisiert
• Auslegung des
Fragebogens
nach DSGVO
• Checkliste
gestalten
• Rücksprache mit
Rechtsberatung
• Fragen nach
Sektionen unter-
teilen
• Erleichtert die
Handhabung bei
Beantwortung
und Prüfung
DSGVO beachten
Art. 30 Fragen
integrieren
Klare Struktur
2 31
59. Zu beachtende Punkte bei der Erstellung einer DSFA
• Mehr
Information
führt zu
qualitativer
Antwort
• Anhänge,
Beschreibungen,
Verweise, etc.
helfen
• Befragte
kommen aus
diversen
Fachbereichen
• Fragen Sie nicht
zu direkt:
Erfassen sie
personen-
bezogene Daten?
• Wenn-Dann-
Logik einbauen
• Nur relevante
Fragen werden
gestellt
• Risiken können
vordefiniert
werden
Verständlichkeit der
Fragen
Weitere Informationen
bereitstellen
Automatisierte Prozesse
5 64
61. …dennoch sollte der Befragte alle Möglichkeiten haben
Variable und offene Antwortmöglichkeiten
7
62. Effizienter Arbeitsablauf beim Durchführen einer DSFA
• Cockpit mit
effizienten
Fragebögen
• Auswahl eines
Fragebogens
bei neuem
Projekt
• Zuordnung
des Projekts
zum
Befragten
• Qualitative
Beantwortung
der richtigen
Fragen
• Überprüfung
der
Antworten
• Risiken
manuell
setzen &
automatisiert
e Risiken
prüfen
• Minderung
der Risiken
• Projekt
abschließen
• Reportfähig
mit nur einem
Klick
63. Die große Stärke eines Tools ist das Reporting!
• Prozesse vollständig dokumentiert und
Berichte stets verfügbar
• Berichte können an den Betrachter
angepasst werden (intern vs. Extern)
• Exportfähigkeit in diversen Formaten:
CSV, Excel, PDF und weitere
• Datenschutzaufsichtsbehörde
hinzuziehen bei hohen Risiken und
sensiblen Daten
Verschiedene Berichte
IT-Teams
Intern vs. Aufsichtsbehörden
*Zeigen Sie nur, was verlangt wird.
Transparenz als Schlüssel zur
DSGVO Compliance
64. Welche Erfahrungen machen wir beim Kunden
60%
15%
25%
Was verwenden die Kunden heute?
Manuelle Lösungen
Datenschutzmanagementsoftwar
e
Gar nichts
• Unterschiedlichste
Aufstellungen im
Unternehmen
• Die meisten
Organisationen stehen
am Anfang
• Guidance ist sehr
willkommen, ob von
Beratern oder uns
• Verarbeitungsverzeichni
s bei allen ein
Hauptaugenmerk