2. Berufliche Entwicklung
• Angestellt
• bei mbp
• ThyssenKrupp Rasselstein
• Dr. Rossbach (heute comforte21)
• Seit mehr als 30 Jahren freiberuflicher IT-Berater und Trainer
• HP NonStop Systemspezialist
• 4 Jahre Vorsitzender der German NonStop User Group (GTUG)
• Prüfer für IT-Professionals bei der IHK Köln
• ITIL Service Manager (TÜV Akademie München)
• Datenschutzbeauftragter (IHK Koblenz)
• Berater für Audit der IT-Sicherheit von Rechenzentren mit HP NonStop Systemen
4. EU-DSGVO
• VERORDNUNG (EU) 2016/679
DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016
• zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG
• 99 Artikel und 173 Erwägungsgründe
• Geltung ab dem 25. Mai 2018:
„Diese Verordnung ist in allen ihren Teilen verbindlich
und gilt unmittelbar in jedem Mitgliedstaat.“
5. Erwägungsgrund 78
Geeignete technische und organisatorische Maßnahmen
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von
Anwendungen, Diensten und Produkten,
die entweder auf der Verarbeitung von personenbezogenen Daten
beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten
verarbeiten,
sollten die Hersteller ermutigt werden, das Recht auf Datenschutz
bei der Entwicklung und Gestaltung zu berücksichtigen
und unter gebührender Berücksichtigung des Stands der Technik
sicherzustellen, dass die Verantwortlichen und die Verarbeiter
in der Lage sind, ihren Datenschutzpflichten nachzukommen.
6. Änderungen bei den Vorgaben zur IT-Sicherheit
• IT-Sicherheitsmanagement
• Plan / Do / Check / Act -> Plan / ...
• Datenschutz durch Voreinstellungen - „data protection by default“
• Datenschutz durch Technik - „data protection by design“
• Verschlüsselung
• Performanz und Skalierbarkeit
• Konzept für Löschung und Sperrung
• Notfallkonzept
• Stand der Technik
• Die „Anerkannten Regeln der Technik“ sind die Regeln, die sich praktisch bewährt haben.
• Der „Stand der Technik“ beschreibt die technische Möglichkeiten
zu einem bestimmten Zeitpunkt.
• Der „Stand von Wissenschaft und Technik“ umschreibt technische Spitzenleistungen,
die wissenschaftlich gesichert sind.
7. Änderungen im Datenschutz
- Verarbeitungen -
• Verzeichnis aller Verarbeitungen von personenbezogenen Daten
• Bewertung der Verarbeitungen anhand der Prinzipien
1. Rechtmäßigkeit - Verarbeitung nach Treu und Glauben - Transparenz
2. Zweckbindung
3. Datenminimierung
4. Richtigkeit
5. Speicherzeit-Begrenzung
6. Integrität - Verfügbarkeit – Vertraulichkeit
• Risikoprüfung aller Verarbeitungen
• Genehmigung aller Verarbeitungen mit hohem Risiko
durch die Aufsichtsbehörde
8. Änderungen im Datenschutz
- Neue Verteilung von Rechten und Pflichten -
• Einwilligungen Betroffener sind evtl. nicht mehr gültig!
• Alle Verträge über Datenverarbeitung im Auftrag
müssen angepasst und neu verhandelt werden!
• Ein Management-Prozess zu Sicherung der Rechte Betroffener
ist einzurichten!
9. Grundsätze für die Verarbeitung
personenbezogener Daten
gem. Art. 5 DSGVO
Rechenschaftspflicht
• Die verantwortliche (über das Verfahren entscheidende) Stelle ist
für die Einhaltung der Grundsätze (rechtlich) verantwortlich und
muss deren Einhaltung nachweisen können.
10. Auswirkung auf Softwareentwicklung i.A.
• Pflichten für Anwender / Chancen für Softwarehäuser
• Tooleinsatz
• Inventarisierung
• Dokumentation von Quelltexten
• Schnittstellen-Dokumentation
• Konfigurationskontrolle
• Monitoring
• Von IT-Prozessen
• Von Management-Prozessen
• Prüfung bestehender Anwendungen
11. DSGVO als Chance für die
HP NonStop Gemeinschaft
• Verfügbarkeit, Integrität, Vertraulichkeit, Performanz, Skalierbarkeit
• HP NonStop Anwendungen !
• Optimierung dieser Bereiche
• HP Richtlinien
• Brainstorming der Supporter
• Berater
• HP NonStop definiert „Stand der Technik“
12. Die Zeit wird knapp!
• 1. Halbjahr 2017 - Sichtung von Informationen
• DSGVO / ITSM: VdS_3473 / Risikoanalyse: BSI-Standard_200-3 / TeleTrusT „Stand der Technik“
• 2. Halbjahr 2017:
• Einführung von IT-Sicherheit- und Datenschutz-Management
• Erstellung der geforderten Dokumente
• Änderung bestehender Verträge zur Verarbeitung im Auftrag
• Prototypen der Verfahren
• Bis zum 25.5.2018:
• Anpassung an nationale Reglungen und
neue EU-Verordnungen auf Basis der DSGVO
• z.B. neues BDSG / E-Privacy-VO
• Feintuning der Verfahren
• Versicherungen der IT-Restrisiken
• Allgemeine Einführung der Verfahren
13. Meine Beratungsangebote
• Vorbereitung auf die EU-DSGVO
• Inforeihe
1.Die DSGVO-Prinzipien 2. Die DSGVO-Zulässigkeitstatbestände
3.Die DSGVO-Einwilligung 4. Die DSGVO-Informationspflichten
5.Die DSGVO-Betroffenenrechte 6. Die DSGVO-Auftragsverarbeitung
7.Die DSGVO-Datensicherheitsvorgaben 8. Die DSGVO-Datenschutzfolgenabschätzung
• Datenschutz Management gem. EU-DSGVO
• Management der Informationssicherheit für KMU
• Compliance Management für KMU (speziell für Softwarehäuser)
14. Compliance Management
Compliance steht für den Versuch der Unternehmen,
den Haftungsrisiken
eine vorbeugende Unternehmensorganisation
entgegen zu stellen,
welche diese Risiken so weit wie möglich minimiert.
16. Compliance Management
• Rechtskataster für Branche
• Rollen
• unternehmensweit
• Compliance Manager
• Data Privacy Manager
• Transparency Manager
• Continuity Manager
• per Standort
• User Manager
• Security Manger
• Social Responsibility Manager
• Aufgaben
• Prozesse
17. Peter Haase Consulting
Peter Haase
Kirchstr. 12 – 56820 Mesenich/Mosel
info@peterhaase.de
—
Mobile 0171-8442242
Telefon 02673-9580050
Voice-Mail und Fax: 03212-9860123
18. Bedenken zur EU-DSGVO
• Rechtsvereinheitlichung wird nicht erreicht.
• Zahlreiche Öffnungsklauseln für nationale Gesetze und Verordnungen.
• Verbotsprinzip für die Verarbeitung personenbezogener Daten:
• Europaweites Kommunikationsverbot (mit Erlaubnisvorbehalt)
• Die EU hat keine Regelungskompetenz
für den Datenschutz im privatrechtlichen Bereich
• Art. 16 Vertrag über die Arbeitsweise der Europäischen Union
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Das Europäische Parlament und der Rat erlassen gemäß dem ordentlichen Gesetzgebungsverfahren
Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die
Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der
Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien
Datenverkehr.