BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BvD-Verbandstage 2019:
Umsetzung der EU DS-
GVO in der REWE Group
Karin Tresp | REWE Group | Juni 2019
Präsentationsv
ersion
ohne Bildmater
ial
VORSTELLUNG KARIN TRESP
Seit 2018: Leitung des zentralen Datenschutz Management REWE Group
2013 – 2017: IT Governance & IT Compliance REWE Group
(ITG insbesondere im Kontext Digitalisierung & Agilität)
Vor 2013: Mehrjährige Erfahrungen in Beratung, Produktentwicklung,
Projektmanagement, Teamleitung (Cost & Profit Center)
sowie Geschäftsleitung zu u.a. folgenden Themen:
Business Development (B2B & B2C), Strategieentwicklung, Organisations- und Personal-
entwicklung, agile Transition, Digitalisierung, Digital Governance,
IT Governance, IT Compliance, IT Management, Projekt Management,
Produkt/Projekt/Service Portfolio Management, Prozessmanagement,
HR Change Management, Communication, Nachhaltigkeit,
Daten-/Informations-/Wissensmanagement sowie Datenschutz
2019 REWE Group 2
Statement
ZUSAMMENSPIEL VON DATENSCHUTZ,
AGILITÄT UND DIGITALISIERUNG
Digitalisierung Agilität Datenschutz
Digitalisierung und Agilität dienen jeweils nicht einem „Selbstzweck“, sondern haben
immer das Ziel die beste Lösung bzw. einen Mehrwert für den Kunden zu schaffen* …
… wobei Agilität für u.a. die Digitalisierung
das Rahmenwerk zur Zusammenarbeit ermöglicht …
… und Datenschutz das rechtliche Rahmenwerk
für u.a. die Digitalisierung bildet.
Das betrifft nicht nur die „Digitalisierung“,
sondern auch alle „Technologie-Trends“, wie z.B. KI, IoT, etc.
* „Kunde“ als Zielgruppe kann sein: Unternehmensexterne Kunden (B2C oder B2B), Geschäftspartner, Interessenten, etc. sowie unternehmensinterne Kunden,
wie z.B. der jeweilige Fachbereich oder die Beschäftigten
2019 REWE Group 3
Statement
GEMEINSAMKEITEN VON DATENSCHUTZ
UND AGILITÄT
Agilität Datenschutz
Agilität und Datenschutz bilden beide nicht nur einen Rahmen
für u.a. die Digitalisierung, sondern …
… weisen zudem selbst in ihren Ansätzen viele Gemeinsamkeiten auf, wie u.a. der Fokus
auf den Menschen / Betroffenen und …
… wirken beide als Rahmengeber auf das jeweilige Thema ähnlich, wie z.B. als Treiber
zum Aufräumen von Daten, Organisation, Prozesse, IT-Landschaft, etc.
Obwohl Agilität und Datenschutz einen unterschiedlichen Ruf aufweisen, haben sie
dennoch viele Gemeinsamkeiten *
* Hierzu gibt es bei Bedarf einen gesonderten Beitrag
2019 REWE Group 4
SEIT 1927 2019 REWE Group 5
ERFOLGREICH IN
DEUTSCHLAND UND EUROPA
Die REWE Group in Zahlen:
61,2Mrd. Euro
360.315 15.686
GESAMTAUSSENUMSATZ 2018 MITARBEITER 2018 MÄRKTE 2018
2019 REWE Group 6
IN 22 LÄNDERN EUROPAS MIT MÄRKTEN UND REISEBÜROS VERTRETEN BELGIEN KONING AAP · BULGARIEN BILLA · DÄNEMARK APOLLO · FINNLAND APOLLO · FRANKREICH KUONI · GROSSBRITANNIEN KUONI · ITALIEN PENNY · KROATIEN BIPA · LITAUEN IKI · NIEDERLANDE PRIJSVRIJ.NL · NORWEGEN APOLLO · ÖSTERREICH BILLA, MERKUR, PENNY, BIPA, ADEG, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ADAC REISEN, BILLA REISEN · POLEN DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · RUMÄNIEN PENNY · RUSSLAND BILLA · SCHWEDEN APOLLO · SCHWEIZ KUONI, HELVETIC TOURS, ITS COOP TRAVEL · SLOWAKEI BILLA, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · TSCHECHIEN BILLA, PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · UKRAINE BILLA · UNGARN PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING 2019 REWE Group 7
DIE REWE GROUP AUF EINEN BLICK HANDEL DEUTSCHLAND HANDEL INTERNATIONAL BAUMARKT TOURISTIK SONSTIGE 2019 REWE Group 8
NACHHALTIG HANDELN FÜR EIN BESSERES LEBEN
Verantwortliches Handeln im Sinne der Gemeinschaft ist Langfristig kann sie nur weiter wachsen, wenn
für die REWE Group Bestandteil der Unternehmens- sie Ressourcen schont, mit Mitarbeitern ebenso
kultur. Die REWE Group ist davon überzeugt: wie mit Partnern fair und vertrauensvoll umgeht
und einen Beitrag für die Gesellschaft leistet.
2019 REWE Group 9
UNTERNEHMENSLEITBILD:
SECHS WERTE FÜR EINE KULTUR
GEMEINSAM DIE BESTE LEISTUNG –
FÜR EIN BESSERES LEBEN FÜR KUNDEN, KAUFLEUTE UND MITARBEITER
1 / Wir handeln eigenverantwortlich 4 / Wir begegnen einander offen,
im Sinne der Gemeinschaft. mit Vertrauen und Respekt. Unser Wort gilt.
2 / Wir handeln für den Kunden. 5 / Wir ringen um die beste Lösung, entscheiden
Wir sind mitten im Markt. wohlüberlegt und handeln konsequent.
3 / Wir haben Mut für Neues. 6 / Wir sind uns unserer Verantwortung
Stillstand ist Rückschritt. bewusst und handeln nachhaltig.
2019 REWE Group 10UMSETZUNGSPROJEKT ZUR EU DS-GVO:
UNSER GENERELLES VORGEHEN Nicht nur IST-
Ergänzender H
inweis:
und SOLL-Zusta
Schließung de nd ermitteln, so
r GAP‘s immer ndern für die
Voraussetzung auch die hierfü
en und Rahmen r notwendigen
bedingungen kl
ären
Projekt „EU DS-GVO“
Analyse und Auswertung
§ Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“
§ Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes
§ Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige Maßnahmen
Vorgehensweise
Konzeption
§ Überarbeitung der DS-Ziele sowie Erstellung und Bereitstellung einer neuen DSGVO-konformen DS-Konzernrichtlinie
§ Überarbeitung der „DS-Organisation“ und zugehörige Rollen sowie Erstellung von weiteren Stellenbeschreibungen
§ Entwicklung und Bereitstellung von DS-relevanten Prozesse, Vorlagen sowie Hilfsmittel (Checkliste, Tools, etc.)
Realisierung
§ Besetzung der noch offenen DS-Rollen in der überarbeiteten DS-Organisation
§ Umsetzung der Konzern-Richtlinie sowie Durchführung begleitender Maßnahmen, wie z.B. Informationen & Schulungen
Ø Mit Abschluss des Projektes erfolgte die Übergabe an die DS-Linienorganisation, inkl. der beständigen Überprüfung der
Ergebnisse (Stichwort „PDCA“)
„Konzeption“ und „Realisierung“ sind nicht zwingendermaßen zeitlich getrennte Phasen. Je nach Fertigstellung der jeweiligen (Teil-)Konzepte kann schon die zugehörige
Realisierung starten.
2019 REWE Group 11UMSETZUNGSPROJEKT ZUR EU DS-GVO:
ANALYSE UND AUSWERTUNG
Projekt „EU DS-GVO“
Analyse und Auswertung
§ Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“
§ Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes
§ Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige Maßnahmen
Vorgehensweise
Analyse und Auswertung von …
§ … vorliegenden Verfahren, TOMs, Verträge, ADVs, etc.
§ … aktuelle Organisationen bzw. Organigrammen, Prozessen, IT-Landschaft, etc.
Bekenntnis des Gesamtvorstands
§ … Ergebnissen aus den bisherigen Audits der DSB und des Konzern-
Risikomanagement, Konzern-IKS, etc.
§ … Ergebnissen aus den Interviews mit den bisherigen DSBs und den jeweiligen
Fachbereichen
2019 REWE Group 12UMSETZUNGSPROJEKT ZUR EU DS-GVO:
KONZEPTION DER DS-ZIELE, -LEITLINIEN UND -ORGANISATION
DS-Ziele DS-Organisation
§ Die DS-Ziele des Konzerns sind
Bestandteile der Konzern-
Richtlinie und des Bekenntnis des
Bekenntnis des Gesamtvorstands
Vorstands Bekenntnis des Gesamtvorstands
§ Unberührt davon: Die DS-
Strategie der „Verantwortlichen“
DS-Konzernrichtlinie DS-Bekenntnis des Vorstands
Bekenntnis des Gesamtvorstands Bekenntnis des Gesamtvorstands
2019 REWE Group 13MIT DER UMSETZUNG DER DS-GVO IN DER REWE GROUP WURDEN
DIE DS-ORGANISATION UM NEUE ROLLEN ERWEITERT Und ergänzen
Ansprechpartn
d:
er zu
DS im Bereich
„Recht“
Zuständigkeit Rolle Verantwortlichkeiten
Verantwortliche Rechenschaftspflicht gegenüber betroffenen Personen oder Aufsichtsbehörden für die Ein-
(= Geschäftsleitungs- haltung der datenschutzrechtlichen Regelungen. Benennt zu seiner Unterstützung den GFV.
organe) à Verantwortet die Einhaltung der datenschutzrechtlichen Vorgaben
NEU Organisation & Kontrolle der Umsetzung der datenschutz-rechtlichen Vorgaben. Stellt die
Geschäftsfeld-
Verantwortlicher hierzu benötigten Ressourcen zur Verfügung, inkl. Benennung des DSK.
(GFV) à Verantwortet die DS-rechtlichen Themen in der jeweiligen Organisations-/Geschäftseinheit
Umsetzung der datenschutzrechtlichen Vorgaben durch die Personen in den Fachbereichen,
Zuständiger die den jeweiligen Geschäftsprozess verantworten, mit dem personenbezogene Daten
Je Gesell- verarbeitet werden.
Fachbereich
schaften/en
à Verantwortet die DS-rechtlichen Themen für den jeweiligen Geschäftsprozess
NEU Koordination und beratende Begleitung der Umsetzung der datenschutzrechtlichen Vorgaben
Datenschutz- in den zuständigen Fachbereichen bzw. Einheiten. Berichtet an das DSM und an den GFV.
Koordinatoren (DSK)
à Zentraler Ansprechpartner für die jeweilige Organisations-/Geschäftseinheit
Beratung und Überwachung (inkl. Audits) in Bezug auf die datenschutzrechtlichen Vorgaben.
Datenschutz- Er ist dabei weisungsunabhängig, berichtet an den Verantwortlichen und tauscht sich mit dem
Beauftragte (DSB) DSM und den DSK aus.
à Unabhängiger Berater für die jeweilige Organisations-/Geschäftseinheit
NEU Konzernweite Regelungshoheit (Governance) und Konsolidierung der Kontrollen, Förderung
Zentrales von Awareness und der Nutzung von Synergien sowie Leitung des „REWE Group DS Board“.
REWE Group weit Datenschutz-
Berichtet an den Vorstand und an den Aufsichtsrat.
Management (DSM)
à Gesamtkoordination des konzernweiten Datenschutz-Managements
2019 REWE Group 14ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“
SIND BESETZT
Wichtig: Guter
Service
trägt wesentlic
h zur
Akzeptanz bei
Geschäftsfelder (GF)
Rolle
GF 1 GF 2 GF 3 GF … GF … GF …
Verantwortliche Geschäftsleitungsorgane à Vorstand und die jeweilige Geschäftsführung
Geschäftsfeld-
A.B. C.D. E.F. G.H. I.J. K.L.
Verantwortlicher (GFV)
Die jeweiligen Personen in den Fachbereichen, die den jeweiligen Geschäftsprozess verantworten,
Zuständiger Fachbereich
mit dem personenbezogene Daten verarbeitet werden
Datenschutz-Koordinatoren
x DSK x DSK x DSK x DSK x DSK x DSK
(DSK) *
Datenschutz-Beauftragter M.N. M.N.
M.N. Q.R. S.T. O.P.
(DSB) O.P. O.P.
Zentrales Datenschutz-
x DSM
Management (DSM)
DSM in der Zusammenarbeit mit DSB, DSK sowie mit Kollegen aus der Rechtsabteilung
DS-Krisenstab
und in Abhängigkeit des Krisen-Levels und Art der DS-Verletzung auch mit weiteren Personen (z.B. mit dem ISB)
Bestehend aus 1.) beständige Mitglieder (DSM sowie der das jeweilige Geschäftsfeld vertretende DSB/DSK), 2.)
REWE Group DS-Board
einem erweiterten Teilnehmerkreis in rein beratender Funktion sowie 3.) das Board Office
2019 REWE Group 15ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“ SIND BESETZT Geschäftsfelder § Die DS-relevanten Geschäftsfelder richten sich nach den REWE Group Geschäftsfelder, wie z.B. „Handel national“ § Ein Geschäftsfeld umfasst i.d.R. mehrere Gesellschaften Datenschutz-Beauftragte (DSB) § Um den Anforderungen der EU DS-GVO und des BDSG neu gerecht zu werden gibt es derzeit sowohl „interne DSB“ als auch „externe DSB“ § Die meisten DSB betreuen mehrere Gesellschaften Datenschutz-Koordinatoren (DSK) § Die Anzahl und die Zuordnung der DSK richtet sich innerhalb des Geschäftsfeldes nach u.a. folgenden Kriterien: Geschäftstätigkeit (Verwaltung, Logistik, B2B, B2C, etc.), Größe des Unternehmens, Verteilung der Standorte, Landeszuordnung, etc. § Aufgrund der aufgeführten Kriterien gibt je nach Geschäftsfeld zwischen DSK und Gesellschaften 1:n-, 1:1- oder n:1-Beziehungen 2019 REWE Group 16
EINE GESCHICHTE VOLLER MISSVERSTÄNDNISSE … DIE „DATENSCHUTZ-KOORDINATOREN“ (DSK) § Vorab: Eine Rolle besteht nicht nur aus Titel, Verantwortlichkeiten, Aufgaben sowie Anforderungen an Kenntnisse und Kompetenzen, sondern auch immer aus einem sogenannten „Rollenverständnis“, wie z.B. „Vernetzer“, „Unterstützer“, etc. § Der Austausch innerhalb der REWE Group als auch außerhalb mit anderen Unternehmen, externen Berater und Trainer zeigt, dass die Rolle des Datenschutz-Koordinators (DSK) die meistdiskutierte – und meist missverstandene – Rolle ist § Empfehlung Nr. 1: Immer wieder erneut die Abgrenzung der – angedachten und gelebten – Rolle „DSK“ zu den anderweitigen Rollen überprüfen! § Der DSK ist kein „Entscheider“ (à Verantwortlicher), oder „Cleaner“ & „Umsetzer“ (à Fachbereiche) § Empfehlung Nr. 2: In der Zusammenarbeit mit dem DSB ist immer darauf zu achten, wer welche Art von beratenden Leistungen erbringt § Empfehlung Nr. 3: Ein externer DSB, welcher nicht mit den Unternehmen vertraut ist, sollte möglichst immer gemeinsam mit einem internen DSK die Möglichkeiten zur Umsetzung der DSGVO in dem betreffenden Fachbereich klären 2019 REWE Group 17
DAS „REWE GROUP DATENSCHUTZ BOARD“ (DS-BOARD)
IST MIT VERTRETERN ALLER GESCHÄFTSFELDER BESETZT
Ständige Mitglieder Erweiterter Teilnehmerkreis Back-Office
§ Leitung Zentrales Datenschutz Nur beratende Funktion: Das „Zentrale Datenschutz
Management (DSM) à Vorsitz § Vertreter aus dem Bereich Management (DSM) stellt das
§ Ein Datenschutz-Koordinator (DSK) „Informationssicherheit“ Back-Office für das DS-Board
je Geschäftsfeld bereit
§ Vertreter aus dem Bereich
§ Alle Datenschutz-Beauftragten „Konzernrevision“
(DSB) intern/extern
§ Vertreter aus dem Bereich „Recht“
Alle ständigen Mitglieder haben jeweils „eine Stimme“. Die Vertretung aus dem Bereich „Recht“ hat
unabhängig von der Anzahl derer Teilnehmer insgesamt auch nur „eine Stimme“.
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board
2019 REWE Group 4ZIEL, MANDAT UND ABGRENZUNG DES
„REWE GROUP DATENSCHUTZ BOARDS“ (DS-BOARD)
Ziel Mandat Abgrenzung
Sicherstellung einer REWE Erstreckt sich über alle Die Umsetzung bzw. die
Group weiten Datenschutz- Geschäftsfelder hinweg und Anpassung von operativen
Strategie durch Austausch beinhaltet bindende Prozessen verbleibt bei den
und Entscheidungen zu Entscheidungen sowie Fachbereichen. Die Aufgaben
übergreifenden Datenschutz- Empfehlungen zu über- der DS-Organisation nach
Fragestellungen, um greifenden datenschutz- der Konzern-Richtlinie
datenschutzrechtliche rechtlichen Sachverhalten. bleiben unberührt.
Risiken zu minimieren.
Turnus der Board Treffen: Quartalsweise
Ergänzend möglich: Entscheidungen und Empfehlungen per Umlaufverfahren
Wichtig: Der „Verantwortliche“ ist rechenschaftspflichtig für die Einhaltung der
datenschutzrechtlichen Vorgaben. Letztendlich entscheidet dieser im Sinne der EU DS-GVO,
ob er einer Empfehlung des DS-Boards folgt.
2019 REWE Group 19VERANTWORTLICHKEITEN UND AUFGABEN
DES „REWE GROUP DATENSCHUTZ BOARD“
Vorstand & Datenschutz-
Geschäftsführung Koordinatoren (DSK)
Datenschutz Board
REWE Group
Strategische Planung Datenschutz Governance Koordination & Umsetzung
Verantwortlichkeiten & Aufgaben Verantwortlichkeiten & Aufgaben Verantwortlichkeiten & Aufgaben
§ Festlegung der generellen § Austausch- und § Ansprechpartner und
Strategie zum Datenschutz Entscheidungsgremium Koordination der Datenschutz-
§ Strategisch relevante § Eskalationsinstanz zur Lösung Fragestellungen
Entscheidungen (z.B. von Konflikten § Beratung und Unterstützung der
wesentliche Auswirkungen auf Fachbereiche bei der Umsetzung
Geschäftstätigkeiten) datenschutzrechtlicher
Anforderungen
Datenschutz-Beauftragte (DSB): Beratung und Überwachung
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board
2019 REWE Group 7BERICHTS- UND AUSTAUSCHFORMATE
(AUSZUG) Und ergänzen
d: Austausch üb
er das
unternehmense
xterne Netzwer
k
• Jahresbericht DSM an die Verantwortlichen
jährlich (Vorstand & GF) sowie an die TopEx
• Berichtserstattung DSM im Audit Committee
an den Aufsichtsrat
2-monatlich/
• 2-Monatsbericht DSM an den Gesamt-
vorstand
• 2-Monatsbericht DSM –mit bei Bedarf
ergänzenden Informationen aus dem
quartalsweise jeweiligen Geschäftsfeld – an die GF
• Jour Fixe DSM mit der Konzernrevision
• „DSK-Meeting“ mit DSB & DSM
• Kennzahlen Reporting an das DSM
monatlich • Jour Fixe DSM mit dem zuständigen Ressort
Vorstand
• Die jeweiligen Jour Fixe der DSK / DSB mit je
nachdem mit dem Vorgesetztem / GF / etc.
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management
2019 REWE Group 21PROZESSE UND IT-ANWENDUNGEN
(AUSZUG)
Prozesse IT-Anwendungen
Im Projekt „EU DS-GVO“ wurden u.a. folgende DS-relevanten In der REWE Group werden verschiedene Anwendungen zur
Prozesse überarbeitet oder erarbeitet: Unterstützung der DS-relevanten Prozesse genutzt:
§ Auftragsverarbeitungsvertrag (AVV) § Dokumentations- und Collaboration-Lösungen für die
§ Automatische Einzelfallentscheidung Bereitstellung / Ablage (und Zusammenarbeit) von
§ Datenschutz-Folgenabschätzung (DSFA) § Vorlagen und Hilfsmittel, wie z.B. Checklisten
§ Datenübermittlung an Drittländer § DS-relevanten zu erstellenden Dokumenten, wie z.B.
§ Datenübertragbarkeit das Verzeichnis der Verarbeitungstätigkeiten, TOMs,
AVV, etc.
§ Datenschutz-Verletzungen
§ Reports & (Audit-, Jahres-, etc.)Berichte
§ Informationspflichten
§ Schulungsdokumentation
§ Joint Controllership
§ Info-Plattform als DS-Wiki und DS-Austauschforum
§ Verarbeitungsdokumentation
§ Ticket-Tool des „Krisenmanagement der REWE Group“
§ Widerspruchsrecht zwecks Meldung und Dokumentation von (potentiellen)
Ergänzend gibt es in den Geschäftsfeldern jeweils weitere DS-Verletzungen / DS-Verstöße (à Callcenter, welches 24
definierte Prozesse, welche jedoch von deren jeweiligen Stunden/7 Tage die Woche erreichbar ist)
Rahmenbedingungen abhängen, wie z.B. bei der Abwicklung Die DS-relevante Konzern-Richtlinie wird über den „REWE
der Betroffenenrechte: Auskunftsrecht, Löschantrag, etc. Group Konzern-Richtlinien Bereich“ bereitgestellt.
Weiterhin gibt es Info-Portale zu anderweitigen Themen, welche ebenfalls eine DS-Relevanz/-Schnittstelle haben, wie z.B. zu Cloud, ISMS, etc.
2019 REWE Group 22ZUGRIFFSBEREICHE FÜR DOKUMENTATIONS-, COLLABORATION-,
INFORMATIONS- UND AUSTAUSCHBEREICHE
Geschäftsfeld 1
Interner Bereich für DSK,
DSB und DSM (und ISB)
Geschäftsfeld 2
REWE Group
Geschäftsfeld 3
Interner Bereich für DSM
Geschäftsfeld …
Öffentlicher Bereich ohne Zugriffseingeschränkte Zugriffseingeschränkte
Zugriffseinschränkungen für Bereiche je Geschäftsfeld/ Bereiche für ausgewählte
alle Mitarbeiter Gesellschaft DS-Rollen
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / ISB = Informationssicherheitsbeauftragte
2019 REWE Group 23LEITLINIEN, VORLAGEN UND HILFSMITTEL
(AUSZUG) Ausblick: „DS-C
heckliste Due
ist derzeit in Ü Diligence“
berarbeitung (=
Nutzung für Se auch zur
lf Assessment
& Audit)
Leitlinien, Vorlagen & Hilfsmittel (Teil 1) Leitlinien, Vorlagen & Hilfsmittel (Teil 2)
Folgende Leitlinien, Vorlagen & Hilfsmittel wurden u.a. bisher § „Muster-Vorlage Löschkonzept“ (in beständiger
erarbeitet/überarbeitet und bereitgestellt (Auszug): Weiterentwicklung bzw. bei Bedarf anzupassen)
§ Konzern-Richtlinie als Dokument § Übersicht über Aufbewahrungs-/Löschfristen
§ Konzern-Richtlinie – Inhalte als „Fragen & Antworten“ § Checkliste für DS-Überprüfung von Websites
§ DS-Organisation mit Rollenbeschreibung § Definition der Krisen-Level bezüglich DS-Verletzungen/-
§ Stellenbeschreibung für DSB, DSK & DSM Verstöße
§ Dokumentation einer Verarbeitung (Vorlage) § Dokumentation einer DS-Verletzung
§ Daten-Schutzklassen (abgestimmt mit dem ISMS) § Checkliste Videoüberwachung
§ Dokumentation einer DSFA (Vorlage) § Muster-Auftragsverarbeitungsvereinbarung (AVV) –
REWE Group intern/extern
§ Mindestinhalte DSFA
§ Mustertexte für Antworten an die Betroffene (bei Bedarf
§ Leitfaden Datenschutzfolgenabschätzung (DSFA) anzupassen)
§ Leitfaden zu den TOMs (Vorgehen) § Schulungsunterlagen (bei Bedarf anzupassen)
§ TOM-Checkliste für Verarbeitungen – REWE Group § Kennzahlen-Reporting an DSM
intern/extern
§ (Kennzahlen-)Reporting an die Verantwortlichen
§ Leitlinie zu Löschkonzepten
§ Glossar
§ Mindestinhalte Lösch- und Einschränkungskonzept
Weiterhin werden die veröffentlichten Hilfsmittel der Aufsichtsbehörden, der Datenschutz-Konferenz, etc. bereitgestellt bzw. darauf verlinkt
2019 REWE Group 24MÖGLICHE HANDHABUNG DER „VERANTWORTLICHKEITEN ZU
EINER VERARBEITUNG“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE)
Erhalten Bearbeiten Entsorgen
Erheben Organisieren Löschen
Erfassen Ordnen Sperren
Zugestellt bekommen Speichern Entsorgen
Anpassen Anonymisieren
Verändern Vernichten
Auslesen
Abfragen Einschränken durch:
Verwenden • Pseudonymisieren
Offenlegen durch übermitteln, verbreiten, etc.
Bereitstellen
Auswerten
Abgleich
Verknüpfen
Zuständigkeiten und Verantwortung
Data Owner Process Owner Data Owner / System Owner
2019 REWE Group 25MÖGLICHE HANDHABUNG DER ZUM „SCHNITT DER VERARBEITUNGEN“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE) Drei Empfehlungen zum Schnitt von Verarbeitungen und deren Zusammenspiel – immer unter Beachtung deren Zweck und Rechtsgrundlage: 1) Bei Unsicherheiten zu der Fragestellung wie feingranular (z.B. Gehaltsabrechnung für IT- Mitarbeiter, Gehaltsabrechnung für HR-Mitarbeiter, etc.) oder grobgranular (z.B. Gehaltsabrechnung für die Beschäftigen) sollte man die Verarbeitung schneiden, dann empfiehlt es sich im Zweifelsfalle mit „grobgranular“ starten und mit dem betreffenden Fachbereichen die ggf. vorhandenen Abweichungen zu klären 2) Sogenannte „Service Units“ bzw. in Verwaltungsbereichen (Betriebswirtschaft, Recht, etc.) ändern seltener ihre Prozesse, etc. als die sog. „Business Units“ (Produktion, Verkauf, etc.), daher sind bei Letzteres „feingranularer Schnitte“ aufgrund der modularen Flexibilität hilfreich 3) Sollten deutlich erhöhte TOM-Anforderungen bei nur zu einem (geringen) Teil der betreffenden Verarbeitung bestehen, kann ggf. eine Zerlegung der betreffenden Verarbeitung sinnvoll sein 2019 REWE Group 26
MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES
VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 1
Variante „Dokumente“
Schritt 1: Schritt 1:
§ Zur Dokumentation einer „Verarbeitung“ wird eine excel-Vorlage Angaben
zum Ver- Daten
angeboten DSFA
Verant- arbeitung (arten)
§ Die Vorlage wird erstmalig ausgefüllt (inkl. links zu TOMs, etc.)* – wortlichen
i.d.R. ohne Angaben zum Verantwortlichen
§ Die Vorlage wird im Ablagebereich „Verarbeitung“ des
Dokumentationsmanagement-Tools für alle bereitgestellt Excel-Datei mit diesen vier Tabellenblätter
Schritt 2: Schritt 2:
runterladen
VVT der Gesellschaft X
§ Für die Gesellschaft, welche die Verarbeitung relevant ist, wird und ergänzen
diese runtergeladen – bei Bedarf ggf. ergänzt/angepasst und um die sowie ggf. anpassen
„Angaben zum Verantwortlichen“ ergänzt VVT der Gesellschaft Y
§ Die vollständige Dokumentation wird in dem Ablagebereich
„Verzeichnis der Verarbeitungstätigkeiten“ (VVT) der betreffenden
Gesellschaft hochgeladen und um Metadaten ergänzt (= entspricht VVT der Gesellschaft Z
Im jeweiligen
nur um einen Teil der Angaben aus dem Dokument selbst)
VVT hochladen
§ Die Dokumentation wird ggf. um zugehörige Anlagen ergänzt
* Wer übernimmt die erstmalige Befüllung? à siehe dazu auch Folie Nr. 25
2019 REWE Group 27MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES
VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 2
Variante „objektorientierte DB“
§ Das bedeutet jedes Element „Verantwortlicher“, „DSB“, „Zweck der Verarbeitung“, etc. ist ein Objekt und kann beliebig kombiniert
werden und für ein „Verzeichnis der Verarbeitungstätigkeit“ zusammengestellt werden und entsprechend auch gefiltert,
ausgewertet, etc. und für individuelle Übersichten als Basis für Reports, Prüfungsplan, etc. zusammengestellt werden.
Gesammelte Erfahrungen zu den aktuell am Markt bisherig angebotenen sog. „DS-Tools“
§ Die aktuellen IT-Anwendungen, welche als „DS-Tool“ auf dem Markt angeboten werden lassen sich in zwei Arten von Lösungen
unterscheiden:
1) Entweder sind es bereits auf dem Markt schon länger bestehende IT-Anwendungen aus dem „Dokumentations- und
Collaboration“-Umfeld, bei denen nicht nur die bisherigen Unternehmensdokumente abgelegt und bearbeitet werden
können, sondern auch DS-relevante Dokumente.
2) Oder die „DS-Tools“ wurden explizit für den Anwendungsfall „Umsetzung DSGVO“ konzipiert. Das bedingt jedoch, dass
deren Entwicklung oft nicht vor 2017 gestartet ist und daher einige Tools noch nicht alles abdecken.
§ Empfehlung an die „Tool-Anbieter Fall 2“: Erst mit einem Teilthema fokussiert starten, wie z.B. mit dem „Verzeichnis der
Verarbeitungstätigkeiten“ und erst nach und nach die anderen Teilthemen, wie z.B. „Meldung und Dokumentation von DS-
Verletzungen“ angehen.
§ Generell: Der Großteil der aktuell angebotenen „DS-Tools“ können eher den Bedarf von KMU‘s* abdecken als den von Konzernen
* KMU = Kleine und mittelständische Unternehmen
2019 REWE Group 28BESTÄNDIGE ÜBERPRÜFUNG UND ANPASSUNG
(AUSZUG)
Formate zur Überprüfung Weitere Formate
In folgenden Formate wird derzeit der Status zum „REWE Darüber hinaus werden sog. „Lessons Learned Workshops“
Group Datenschutz“ ermittelt wird (Auszug): zu Prozessen/Dokumentationen/Tools/etc. durchgeführt mit
Plan
§ REWE Group interne & externe DS-Audits durch den den folgenden Zielen
jeweiligen internen/externen DSB in Abhängigkeit des § Ermittlung des IST-Zustandes,
jeweiligen jährlichen Prüfungsplans § Austausch zu den gesammelten Erfahrungen,
§ REWE Group DS-Kennzahlen Reporting im monatlichen § Ableitung Verbesserungs- bzw. Handlungsbedarf und
Turnus zu u.a. Betroffenen-Rechte, (potent.) DS- § Ableitung konkreter Maßnahmen zur Verbesserung.
Act Do
Verletzungen /-Verstöße, etc.
§ REWE Group Risikomanagement erfolgt im jährlichen Weiterhin wird das „DSK-Meeting“ nicht nur für u.a. den
Turnus inkl. zu den „potentiellen Datenschutz-Risiken“ Austausch von Informationen und Erfahrungen genutzt,
§ REWE Group IKS im jährlichen (bzw. für DS im zwei- sondern auch zur Nutzung von Synergien sowie zur
jährlichen) Turnus Identifizierung von Optimierungspotentiale. Hieraus werden
§ Konzernrevisionsprüfungen zu dem Thema „Datenschutz“ entsprechend auch konkrete Maßnahmen abgeleitet und
Check
in Abhängigkeit des jeweiligen jährlichen Prüfungsplans umgesetzt.
Anhand der Ergebnisse (z.B. Audit-Berichte) werden
Maßnahmen abgeleitet (z.B. Konzernrevisionsmaßnahmen)
und umgesetzt.
2019 REWE Group 29BEGLEITENDE INFORMATIONS-, SCHULUNGS- & AWARENESS-
KAMPAGNEN ZUR DSGVO* – WIE SIND WIR GESTARTET (AUSZUG)
Erstkommunikation Kommunikation der Kommunikation Kommunikation
§ Allgemeine Infos zur DS-GVO
§ Zeitpunkt Inkrafttreten
DS-Organisation der Konzern- eLearning
§ Grundsätzliche § Sensibilisierung für die
anstehenden Veränderungen
Richtlinie Informationen zur eLearning-
Kampagne sowie Hinweise
Sensibilisierung für das Hinweis auf Inkrafttreten
Thema Datenschutz ab dem 25.05.2018 zu Ansprechpartner
§ Hinweise zu der neuen DS- der Konzern-Richtlinie zu
Organisation à Überblick Datenschutz sowie
Aktuell: Im Rahm Ausblick: Kons
en der REWE G Informationen über die olidierung des
Nachhaltigkeits roup über die jeweils relevanten eLearning für „D
projekte der A Bereitstellung & Rollout atenschutz &
„Awareness-Ka zubis: Ansprechpartner Informationssi
cherheit“,
mpagne in der
zum Umgang m Grundschule Inkl. Abgrenzun
it Medien im H Zusammenspie g und
Informationssi inblick DS & l (à Datensich
cherheit“ erheit)
Grundschulungen erfolgen eher online spezifische Schulungen – je nach Geschäftsfeld, Zielgruppe oder Thema – eher offline
Präsenz-Schulungen Awareness-Kampagne eLearning-Kampagne
§ Durchführung von Präsenzschulungen für § DS-Quiz auf BR-Betriebsversammlung Erläuterungen mit Fragen-Quiz zu u.a.
die DSKs § Vorstellung ausgewählter DS-Themen als Verarbeitung von personenbezogenen Daten,
§ Einführung in die DS-GVO für die jeweiligen Bestandteil von Veranstaltungen im DS-Grundsätze, Datensicherheit, Hinweise zu
Fachbereiche jeweiligen Fachbereich oder auch von den Meldewegen bei (potentiellen) DS-
§ Durchführung von Workshops für IT- Events (z.B. bei sog. Hackdays/Hackathon) Verletzungen/DS-Verstöße sowie zu den
Demand- & Supply-Bereiche § Bereitstellung von DS-Informationsfilmen relevanten Ansprechpartner
§ Ergänzend: Teilnahme an externen Schul- § Versendung von DS-Newsletter à Teilnehmer erhält Zertifikat
ungen, Zertifizierungskurse, Tagungen, etc.
* Diese Übersicht bezieht sich „nur“ auf die Umsetzung der „DSGVO & BDSG neu“. DS-Schulungen gibt es bei der REWE Group schon seit Jahren.
2019 REWE Group 30AKTUELL ERFOLGT DIE ÜBERARBEITUNG DES KONZEPTES FÜR
PRÄSENZ-SCHULUNGSANGEBOTE
Die für künftig angedachten Präsenz-Schulungsangebote umfassen drei Themenblöcke:
Teil 1: EU DS-GVO Teil 2: REWE Group DS Teil 3: „Zielgruppen-DS“
Einführender Teil zu den Überblick über die konkrete Überblick über die konkreten
wesentlichen Änderungen durch Ausprägung bei der REWE Group Vorlagen und Hilfsmittel für die
die DSGVO sowie zur Motivation (Prozesse, Vorlagen, Hilfsmittel, jeweilige Zielgruppe
für Datenschutz Ansprechpartner, etc.)
Ausblick: Ergä
Zu Teil 3 – Zielgruppen und zugehöriger Themenfokus: nzung des Schu
um „Selbst Dat lungsangebot
enschutz Man
Themenfokus Zielgruppen à DS für alle agement“
Mitarbeiter als
zwecks Awaren Privatperson
ess und Intere
Beschäftigtendaten Mitarbeiter von HR und Mitglieder der Betriebsräte sse für DS
Kundendaten Mitarbeiter aus den Bereichen Marketing, Kundenbeziehungsmanagement, Vertrieb, etc.
IT Mitarbeiter aus IT-Abteilungen/IT-Gesellschaften
„Ausgewählte DS-
Themen für den Alltag“ Alle Mitarbeiter aus den Verwaltungsbereichen, wie z.B. Betriebswirtschaft, Recht, Compliance, etc.
Neben den offenen Schulungsangeboten gibt es weiterhin auf Bedarf individuell zugeschnittene Schulungen
sowie weiterhin Onboarding- und Update-Schulungen für DSK!
2019 REWE Group 31WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .
Motivation und Vorteile aufzeigen (Teil 1)
§ Schulungen sollen nicht „nur“ die DSGVO erläutern sowie ihre konkrete
Umsetzung, sondern zu Beginn auch immer aufzeigen, warum es die DSGVO
gibt und welche Vorteile sie bietet
§ Hierbei die Perspektive der Betroffenen aufzeigen
§ Fallbeispiele z.B. auch aus einem möglichen „privaten Umfeld“ des
Mitarbeiters nehmen
§ Mehrwert für Mitarbeiter und für das Unternehmen aufzeigen (z.B. Stärkung
des sensiblen Umgangs mit Beschäftigtendaten, One-Stop-Shop“, etc.
2019 REWE Group 32WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .
Motivation und Vorteile aufzeigen (Teil 2)
§ Die EU DS-GVO geht davon aus, dass für ihre Umsetzung die Daten, Organisation,
Prozesse sowie die IT-Landschaft in einer entsprechend (Mindest)Qualität
vorhanden sind
Ø Bisher lag es im freiwilligen Ermessen der Unternehmen, wie gut sie zu den obig
aufgeführten Themen aufgestellt ist, um erfolgreich am Markt zu bestehen sowie
um Themen, wie z.B. Digitalisierung, Big Data, KI, etc. voranzutreiben
Ø Das bedeutet die EU DS-GVO ist derzeit DER „Treiber“ zum Aufräumen von
Daten, Organisation, Prozessen und der IT-Landschaft ...
Ø … was die Unternehmen einerseits gegenüber Mitbewerbern am Markt
erfolgreich stärkt,
Ø … aber auch die entsprechenden Ressourcen & Budgets erfordert à mehr
als „nur ein DSGVO-Projekt“
2019 REWE Group 33WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
. . . 2.) UNSICHERHEIT NEHMEN . . .
Datenschutz ist nicht „neu“!
§ Weiterhin hilfreich: Aufzeigen, dass mit der DSGVO nicht alles „neu“ ist,
sondern es Datenschutz auch schon vor dem 25.05.2019 gab, inkl. vieler
der aktuellen Regelungen
Unsicherheit nehmen
§ Die Schulung soll Unsicherheit nehmen, indem Transparenz gegeben wird
über u.a. die wesentlichen Änderungen, die Grundsätze, das generelle
Vorgehen, die DS-Organisation (Verantwortlichkeiten und Aufgaben), über
die konkreten Hilfsmittel, etc. und immer über die relevanten
Ansprechpartner bei Fragen rund um DS
2019 REWE Group 34WICHTIGE BOTSCHAFTEN IN DER SCHULUNG: . . . UND 3.) FÜR DATENSCHUTZ BEGEISTERN Für Datenschutz begeistern § DS-Schulungen dürfen auch humorvolle Aspekte beinhalten § Neben Fallbeispiele helfen auch Veran-schaulichungen und Bildnisse beim Vermitteln von „gefühlten abstrakten Regelungen“ § Interaktive Anteile in der Schulung tragen zu einem besseren Verständnis und zum Interesse bei 2019 REWE Group 35
HANDEL NATIONAL BEISPIEL „DATENSCHUTZ-KONZEPT-ORDNER“ 2019 REWE Group 36
HANDEL NATIONAL BEISPIEL „NEWSLETTER“ 2019 REWE Group 37
HANDEL INTERNATIONAL BEISPIEL „DATENSCHUTZ-INFO-VIDEOS“ 2019 REWE Group 38
DS QUIZ Einer der Überblick über Anbieter von „Audience Response Systeme“: https://wiki.llz.uni-halle.de/Vergleich_Audience_Response_Systeme 2019 REWE Group 39
BEWUSSTSEIN UND AWARENESS ZU DATENSCHUTZ
Quelle: https://www.otto-schmidt.de/news/wirtschaftsrecht/ein-jahr-datenschutz-grundverordnung-menschen-werden-sich-neuer-rechte-immer-bewusster-2019-05-23.html
2019 REWE Group 40EXKURS zu
„HR Change Management“
„Gesagt ist noch nicht gehört,
gehört noch nicht verstanden,
verstanden noch nicht einverstanden,
einverstanden noch nicht angewandt
und angewandt noch nicht beibehalten.“
Konrad Zacharias Lorenz, 1903-1989)
2019 REWE Group 41EXKURS zu
„HR Change Management“
EMOTIONALE REAKTIONEN AUF VERÄNDERUNGEN
Erkenntnis Integration
Wahrgenommene Eigen-Kompetenz
Ablehnung
Lernen
der Mitarbeiter
Rationale
Einsicht
Schock
Akzeptanz
Quelle: enowa AG
Vorbereitungs- und Konzeptphase Umsetzung Evaluation
2019 REWE Group 42EXKURS zu
„HR Change Management“
MENSCHEN REAGIEREN JE NACH TYP
UNTERSCHIEDLICH AUF VERÄNDERUNGEN
Quelle: wibas – In Anlehnung von Everett M. Rogers „Innovation Adoption Curve“
2019 REWE Group 43EXKURS zu
„HR Change Management“
CHANGE MANAGEMENT IN ABGRENZUNG
ZUM PROJEKT MANAGEMENT
Veränderungsdurchführung çè Veränderungsbegleitung
§ Steuerung / Leitung von § Begleitung von Veränderungs-
Veränderungsprojekten projekten
è Ziel: Veränderungen in einem è Ziel: Möglichst reibungsloser
Unternehmen durchführen Ablauf von Veränderungen
2019 REWE Group 44EXKURS zu
„HR Change Management“
CHANGE MANAGEMENT IN ABGRENZUNG
ZUM PROJEKT MANAGEMENT
Veränderungsdurchführung çè Veränderungsbegleitung
§ Steuerung / Leitung von § Begleitung von Veränderungs-
Veränderungsprojekten projekten
Projekt
è Ziel: Management
Veränderungen in einem Change
è Ziel: Management
Möglichst reibungsloser
Unternehmen durchführen Ablauf von Veränderungen
2019 REWE Group 45EXKURS zu
„HR Change Management“
DAS MEIST GENUTZTE CHANGE-MANAGEMENT-MODELL:
DER 8-PHASEN-PROZESS DER VERÄNDERUNG NACH KOTTER
1) Die Notwendigkeit für die Veränderungen darlegen:
Erklären Sie den Sinn und die Ernsthaftigkeit.
2) Verbündete Mitstreiter suchen:
Bauen Sie sich Ihre Lobby auf, der Sie voll vertrauen können. Keine Veränderung ist von einer Person alleine zu bewältigen.
3) Eine klare Vision und Ziele formulieren:
Die Vision hilft, Widerstände zu brechen und die Richtung der Veränderung aufzuzeigen.
4) Kommunizieren der Veränderungsvision:
Gesagt ist nicht gehört; gehört ist nicht verstanden; verstanden ist nicht einverstanden; einverstanden heißt noch nicht „ich tue“.
5) Empowerment Ihrer Mitarbeiter:
Bauen Sie demotivierende Rahmenbedingungen ab und geben Sie den Mitarbeitern Freiheiten und Verantwortungen. Fordern Sie
„Beiträge“. Siehe dazu folgende Folie
6) Einforderung kurzfristiger Erfolge:
Damit lassen sich skeptische Mitarbeiter von dem richtigen Kurs der Veränderung überzeugen.
7) Konsolidieren und weiter treiben:
Hinwei
Kommunizieren Sie Teilerfolge und beharren Sie auf das Vorankommen. Stillstand ist Rückfall. s:
auch „K Es gibt
otter 2.
8) Verankern der neuen Ansätze: 0 “!
Verankern Sie Ihre Veränderung in der Unternehmenskultur.
2019 REWE Group 46EXKURS zu
„HR Change Management“
§ Verfügbarkeit von High- § Detaillierte Erklärung § Die Beteiligten mit § Einbeziehung der Beteiligten
level Informationen (z.B. für die Notwendigkeit den neuen in Maßnahmen
Info-Wiki) des Change (z.B. Video) Maßnahmen
vertraut machen § Unterstützung vor und
§ Informierung über § Individuelle Zielgruppen- nach der Umsetzung
(z.B. Schulungen)
aktuelle Aktivitäten ansprache (z.B. Newsletter)
§ Letzter Check
(z.B. Intranet Seite)
§ Meetings mit wichtigen
§ Bewusstsein schaffen Stakeholdern
(z.B. Poster)
Commitment
Commitment
“Wir finden
den Weg gut“
Akzeptanz
“Das ist ok“
Verständnis
Bewusstsein “Ich erkenne meine
“Ich weiß, persönlichen
worum es geht“ Auswirkungen”
Quelle: enowa AG
Zeit Umsetzung
2019 REWE Group 47EXKURS zu
„HR Change Management“
MASSNAHMENAUSWAHLIN ABHÄNGIGKEIT
DER ZIELE UND DER REICHWEITE
Engagement
des Top Mgt.
Wikis/
10.000 Projekt-
Weblogs
Homepage Podcasts Diskussions-
(Anzahl der erreichten Mitarbeiter)
foren
Groß-
Business-TV
Veranstaltung
E-Mail Interne Multi-
1.000 Projekt-
plikatoren
Mitarbeiter-
Reichweite
Newsletter
zeitung Info-Markt
Messe Demos am IT-
System
Rund- Broschüre Kickoff-
schreiben Meeting Erfolge feiern
100 Veranstaltung
Ergebnis- Fach- Workshops
präsentation präsentation
Projekt-
Einzel- arbeit
gespräch
Persönlicher
10 Brief
Wirkungstiefe: Oberflächliche Deutliche Anstoß zum Verhaltens-
Impulse Signale Umdenken änderung
Kommunikationsziele: Information Verständnis Überzeugen Handlung
Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“
2019 REWE Group 48EXKURS zu
„HR Change Management“
Vorhandene Spezielle Vorhandene Spezielle
Einweg-Information Einweg-Information Zweiweg- Zweiweg-
Information Information
Mitarbeiterzeitschrift Business-TV Mitarbeitergespräche Workshops
E-Mails Broschüre Gruppengespräche Kick-off-
Veranstaltungen
Aushänge Videos Offene Türen World Cafés
Pressemitteilungen Infotafeln/Plakate Intranet Infobörsen
Führungs- Individual Weblogs Social-Networking- Pressekonferenzen
informationen Plattformen
Corporate Weblogs Pod/Webcasts ... Marktplatz
... ... ...
Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“
2019 REWE Group 49EXKURS zu
„HR Change Management“
MASSNAHMEN-AUSWAHL ZWECKSQUALIFIZIERUNG
Training- Training- Training-
Qualifizierungsmaßnahme
on-the-job off-the-job near-the-job
§ Coaching x
§ E-Learning x
§ Erfahrungsgruppen x x
§ Fallstudie x
§ Gruppenberatungsgespräch x x
§ Gruppendynamisches Gespräch x
§ Lernstatt x
§ Mentoring x x
§ Projektarbeit x
§ Qualitätszirkel x
§ Rollenspiel/Planspiel x
§ Seminare x
§ Sonderaufgaben x
§ Teamteaching x
§ Training x
§ Unterweisung
§ Workshop x x x
...
Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“
2019 REWE Group 50EXKURS zu
„HR Change Management“
NUR ÜBER VERÄNDERUNGEN DES „SYSTEMS“ KANN
DAS „VERHALTEN“ UND DAMIT DIE „KULTUR“ VERÄNDERT WERDEN
Quelle: wibas GmbH
Manage the system, not the people.
Jurgen Appelo
2019 REWE Group 51Statement
TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?
Ist die DSVGO vollständig in zwei Jahren umsetzbar?
Die DSGVO bringt zwar nur in Teilen neue Veränderungen mit, jedoch
haben diese nicht nur einen Einfluss auf Organisation, Prozesse und IT-
Landschaft, sondern erfordern auch einen „kulturellen Wandel“.
Kultureller Wandel benötigt – je nach Studie – ca. 5 bis 7 Jahre.
2019 REWE Group 52Statement
TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?
Die DS-GVO erfordert einen „Kulturwandel“ …
NEW MINDSET
… sowohl in Bezug auf Unternehmensprinzipien
§ wie z.B. Selbst-Verantwortung; der
„Verantwortliche“ ist nun mehr in der Pflicht
Ø Konträr zu der oft üblichen konzernweiten
Steuerung eines Themas
NEW RESULTS
… als auch bezüglich der Unternehmenswerte
§ wie z.B. der offene Umgang mit Fehlern für
die Meldung von DS-Verletzungen
Ø Ein Wandel der „Fehlerkultur“ dauert länger
als zwei Jahre
2019 REWE Group 53Statement
AB WANN DSGVO-KONFORM?
100% DSGVO-konform?
Nein.
Voraussichtlich werden auch die meisten Unternehmen
niemals die 100% erreichen!
2019 REWE Group 54DER „FAKTOR MENSCH“ BEEINFLUSST IM WESENTLICHEN DIE
ERREICHBARKEIT VON DS-GVO-KONFORMITÄT
Datenschutz Informationssicherheit
Betrifft personenbezogene Daten Betrifft alle Informationen*
Ist Bestandteil von Ist Bestandteil von
Datensicherheit
Betrifft alle Daten
beeinflusst
Faktor „Mensch“
§ Es können noch so gute technische und organisatorische Maßnahmen (TOMs)
definiert und umgesetzt werden, es zählt letztendlich das „schwächste Glied in der
Sicherheitskette“ und das ist je nach Studie etwa in 70% der Fälle der „Mensch“
§ Sei es mit vorsätzlichen, als auch um unwissentlich sowie unbeabsichtigt
schädigenden Aktivitäten
* Informationen: Daten wird eine Bedeutung zugewiesen (Semantik); z.B. der Datensatz „heute, morgen, übermorgen, etc.“ kombiniert mit dem Datensatz „Regen, Sonnenschein,
etc.“ ergibt z.B. die Information „morgen Sonnenschein“.
2019 REWE Group 55EXKURS
„WARUM WIR KÜNSTLICHE INTELLIGENZ UNTERSCHÄTZEN“
„Das menschliche Gehirn ist auf lineares Denken ausgerichtet“
Quelle: Karl Olsberg – „Warum wir Künstliche
Intelligenz unterschätzen“ (09.12.2015)
2019 REWE Group 56EXKURS
„WARUM WIR KÜNSTLICHE INTELLIGENZ UNTERSCHÄTZEN“
„Menschen schätzen exponentielle Trends meistens falsch ein“
Quelle: Karl Olsberg – „Warum wir Künstliche
Intelligenz unterschätzen“ (09.12.2015)
2019 REWE Group 57HAMBACHER ERKLÄRUNG ZUR KÜNSTLICHEN INTELLIGENZ –
SIEBEN DATENSCHUTZRECHTLICHE ANFORDERUNGEN
Quelle: Datenschutzkonferenz à https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf
2019 REWE Group 58EIN ANSATZ FÜR DEN KÜNFTIGEN UMGANG MIT „NEUEN
TECHNOLOGIEN“: CORPORATE DIGITAL RESPONSIBILITY (CDR)
Corporate Digital Responsibility (CDR) –
mehr als „nur“ Datenschutz!
§ Es existiert derzeit nicht die „eine Definition“
§ Was haben alle Definitionen gemeinsam:
§ Zielt auf die Unternehmensverantwortung ab
§ Es handelt sich um eine freiwillige Selbstverpflichtung im Kontext „Digitalisierung“,
welche über die Erfüllung der regulatorischen Anforderungen hinaus geht
§ Fokus ist eine nachhaltige Gestaltung der Digitalisierung für alle Menschen (bzw.
„Betroffene“) – unternehmensintern und -extern
2019 REWE Group 59DIE „CDR-INITIATIVE“ DES BUNDESMINISTERIUM DER JUSTIZ
UND FÜR VERBRAUCHERSCHUTZ (BMJV)
Quelle: xxx
2019 REWE Group 60DEUTSCHLANDWEITE GREMIEN UND INITIATIVEN IM UMFELD
„DIGITALISIERUNG“ UND/ODER „KI“ (AUSZUG)
Datenethik- Initiative D21 e.V.
Bitkom e.V. kommission des
BMI & BMJV Projekt „Ethik der
Algorithmen“ der
„Gemeinsam Digital“ Bertelsmann Stiftung
Charta digitale des BVMW
Vernetzung e.V.i.G
„Vor:Denker (Corporate) Digital
Handelsverband
Responsibility“ von Deloitte &
Deutschland - HDE e.V. F.A.Z.-Institut
KI Bundesverband
„CDR-Initiative“ Stiftung Neue
e.V.
des BMJV Verantwortung e.V.
Es gibt auch Gremien und Initiativen innerhalb der Bundesländer, wie z.B. „KI.NRW“
oder auch über Deutschland hinaus europaweit, wie z.B. „European AI Alliance“
2019 REWE Group 61SELBSTVERSTÄNDNIS DES DATENSCHUTZES
Art. 1 DSGVO Gegenstand und Ziele
§ Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
§ Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher
Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
§ Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des
Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten
weder eingeschränkt noch verboten werden.
2019 REWE Group 62Statement
SELBSTVERSTÄNDNIS DES DATENSCHUTZES
Corporate Digital Responsibility (CDR) sollte nicht nur . . .
… als freiwillige ergänzende Einschränkungen über die
gesetzlichen Anforderungen hinaus verstanden werden,
… sondern auch als Unterstützung (z.B. Social Entrepreneurs) der
Digitalisierung und Förderung (z.B. der digitalen Kompetenzen)
… sowie als Öffnung für den Datenverkehr (z.B. gemeinsamer
Datenpool), aber immer unter der Gewährleistung der DS-GVO!
2019 REWE Group 63AUSBLICK: WO GEHT DIE REISE (NICHT NUR) FÜR DIE REWE GROUP HIN? Unternehmensintern u.a.: § Aufräumarbeiten & beständige Optimierungen („PDCA-Zyklus“) § Weitere Erfahrungen sammeln § Regelmäßig: Informationen & Schulungen § Corporate Digital Responsibility (CDR) Unternehmensextern u.a.: § Regelungen zum Abmahnmissbrauch (vs. Möglichkeiten zum Erfahrungsaustausch mit anderen Unternehmen) § IT-Sicherheitsgesetz 2.0 § E-Privacy § ... 2019 REWE Group 64
UND . . . WEITERHIN: MUT ZU DEM ABENTEUER DS-GVO! Auch wenn immer noch Unsicherheiten bestehen – sei es bezüglich datenschutzrechtlicher Klärungen oder bezüglich Fragen zur konkreten Umsetzung: Einfach mit der Umsetzung anfangen! Sich einen Überblick über das IST und SOLL verschaffen. Ein übergreifendes Vorgehen/Plan mit Maßnahmen ableiten. Und dann nach Prioritäten abarbeiten – nach dem risiko-basierten Ansatz – in der Reihenfolge: 1. aus Sicht des Betroffenen und 2. aus Sicht des Unternehmens. Im Zweifelsfalle grobgranular starten sowie nach und nach die Qualität verbessern. Für diejenigen, welche sich schon auf die Reise gemacht haben: Sich immer bewusst sein, dass es sich hierbei um eine dauerhafte Reise handelt! D.h. es werden immer mal gefühlte „Hoch und Tiefs“ folgen. Also: Sich „Mitstreiter“, „Gleichgesinnte“, „Rüttelstellen“, etc. suchen… und auch Erfolge für alle transparent machen – sowie auch mal feiern! 2019 REWE Group 65
Sie können auch lesen
