CYBER SECURITY FAIREVENT: AUS SICHT DATENSCHUTZ - DIE (TOM-) SCHNITTSTELLE ZUR INFORMATIONSSICHERHEIT
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER SECURITY FAIREVENT: AUS SICHT DATENSCHUTZ – DIE (TOM-) SCHNITTSTELLE ZUR INFORMATIONSSICHERHEIT Karin Tresp | REWE Group | März 2020
ERFOLGREICH IN
DEUTSCHLAND UND EUROPA
Die REWE Group in Zahlen:
61,2 Mrd. Euro
360.315 15.686
GESAMTAUSSENUMSATZ 2018 MITARBEITER 2018 MÄRKTE 2018
2020 REWE Group 2
DIE REWE GROUP AUF EINEN BLICK HANDEL DEUTSCHLAND HANDEL INTERNATIONAL BAUMARKT TOURISTIK SONSTIGE 2020 REWE Group 3
IN 22 LÄNDERN EUROPAS MIT MÄRKTEN UND REISEBÜROS VERTRETEN BELGIEN KONING AAP · BULGARIEN BILLA · DÄNEMARK APOLLO · FINNLAND APOLLO · FRANKREICH KUONI · GROSSBRITANNIEN KUONI · ITALIEN PENNY · LITAUEN IKI · KROATIEN BIPA · NIEDERLANDE PRIJSVRIJ.NL · NORWEGEN APOLLO · ÖSTERREICH BILLA, MERKUR, PENNY, BIPA, ADEG, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ADAC REISEN, BILLA REISEN · POLEN DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · RUMÄNIEN PENNY, DERTOUR · RUSSLAND BILLA · SCHWEDEN APOLLO · SCHWEIZ KUONI, HELVETIC TOURS, ITS COOP TRAVEL · SLOWAKEI BILLA, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · TSCHECHIEN BILLA, PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · UKRAINE BILLA · UNGARN PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING 2020 REWE Group 4
NACHHALTIG HANDELN FÜR EIN BESSERES LEBEN
Verantwortliches Handeln im Sinne der Gemeinschaft ist Langfristig kann sie nur weiter wachsen, wenn
für die REWE Group Bestandteil der Unternehmens- sie Ressourcen schont, mit Mitarbeitern ebenso
kultur. Die REWE Group ist davon überzeugt: wie mit Partnern fair und vertrauensvoll umgeht
und einen Beitrag für die Gesellschaft leistet.
2020 REWE Group 5
UNTERNEHMENSLEITBILD:
SECHS WERTE FÜR EINE KULTUR
GEMEINSAM DIE BESTE LEISTUNG –
FÜR EIN BESSERES LEBEN FÜR KUNDEN, KAUFLEUTE UND MITARBEITER
1 / Wir handeln eigenverantwortlich 4 / Wir begegnen einander offen,
im Sinne der Gemeinschaft. mit Vertrauen und Respekt. Unser Wort gilt.
2 / Wir handeln für den Kunden. 5 / Wir ringen um die beste Lösung, entscheiden
Wir sind mitten im Markt. wohlüberlegt und handeln konsequent.
3 / Wir haben Mut für Neues. 6 / Wir sind uns unserer Verantwortung
Stillstand ist Rückschritt. bewusst und handeln nachhaltig.
2020 REWE Group 6
DATENSCHUTZ UND
INFORMATIONSSICHERHEIT
Datenschutz
Datensicherheit
Informationssicherheit
IT Security
IT Sicherheit
Cyber Security
2020 REWE Group 7
DATENSCHUTZ UND INFORMATIONSSICHERHEIT
Der Begriff "Datenschutz" ist leider etwas missverständlich und führt daher manchmal innerhalb
eines Unternehmens auch zur Verwirrung bezüglich der Abgrenzung zur "Informationssicherheit“
Datenschutz Informationssicherheit
Informationssicherheit hat das Ziel, Informationen
Datenschutz ist kein Selbstzweck im Sinne von Daten zu jeglicher Art und Herkunft zu schützen. Dabei können
schützen, sondern es dient dem Schutz der Menschen Informationen auf Papier, in IT-Systemen oder auch in
und ihrem Recht auf informationelle den Köpfen der Benutzer gespeichert sein.
Selbstbestimmung, dem Schutz des
Persönlichkeitsrechts bei der Datenverarbeitung und IT-Sicherheit als Teilmenge der Informations-sicherheit
auch dem Schutz der Privatsphäre. konzentriert sich auf den Schutz elektronisch
gespeicherter Informationen und deren Verarbeitung. *
➢ Schutz der Menschen ➢ Schutz der Informationen
➢ „Bewahrung des Persönlichkeitsrechts“ ➢ „Bewahrung der Unternehmensrechte“
Manchmal decken sich die Interessen, manchmal nicht (Bsp. Auskunftsrecht)!
* Quelle. BSI https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200_1.pdf?__blob=publicationFile&v=8
2020 REWE Group 8
DATENSCHUTZ UND INFORMATIONSSICHERHEIT
Weiterhin ist nicht allen Menschen der Unterschied zwischen den beiden Begriffen „Daten“ und
„Informationen“ geläufig, was die Verwirrung im Kontext „Datensicherheit“ noch erhöht
Datenschutz Informationssicherheit
Datensicherheit ist ein Bestandteil der Informationssicherheit
Quelle Abbildung: http://www.potenzialfinder.com/glossar/
2020 REWE Group 9
DATENSCHUTZ UND INFORMATIONSSICHERHEIT
Sowohl Datenschutz als auch Informationssicherheit beschäftigen mit dem Schutz von Daten,
wobei Datenschutz sich „nur“ auf die personenbezogenen Daten fokussiert
Datenschutz Informationssicherheit
Betrifft personenbezogene Daten Betrifft alle Informationen*
(und Informationen)
Ist Bestandteil von Ist Bestandteil von
Datensicherheit
Betrifft alle Daten
Im Unterschied zum Datenschutz befasst sich die Datensicherheit mit dem Schutz von Daten, unabhängig davon ob diese einen
Personenbezug aufweisen oder nicht.
Unter den Begriff Datensicherheit fallen daher grundsätzlich auch Daten, die keinen Personen-bezug haben sowohl digital als auch
analog.
Datensicherheit soll Sicherheitsrisiken begegnen und die Daten vor z.B. Manipulation, Verlust oder unberechtigter Kenntnisnahme
schützen. Hier geht es also nicht um die Frage, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das ist eine Frage des
Datenschutzes), sondern um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen.*
Datenschutz betrachtet „nur“ die personenbezogenen Daten
* Quelle: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/
2020 REWE Group 10DATENSCHUTZ UND INFORMATIONSSICHERHEIT
Datenschutz setzt sich nicht „nur“ mit dem Schutz von personenbezogenen (pb) Daten auseinander,
sondern auch damit, ob pb Daten überhaupt erhoben und verarbeitet werden dürfen
Datenschutz Informationssicherheit
Dürfen die jeweiligen personenbezogenen Daten Welche Maßnahmen müssen zum Schutz der jeweiligen
überhaupt erhoben und verarbeitet werden? Informationen erhoben werden?
Datensicherheit
Welche Maßnahmen müssen zum Schutz bei der
Welche Maßnahmen müssen zum Schutz der jeweiligen
Verarbeitung der jeweiligen personenbezogenen
Daten erhoben werden?
Daten erhoben werden?
Gemäß der Europäischen Datenschutz-Grundverordnung (EU DS-GVO) und dem Bundesdatenschutzgesetz (BDSG)
muss der Schutz der jeweiligen personenbezogenen Daten durch Umsetzung geeigneter technischer und
organisatorischer Maßnahmen (TOM) zu gewährleisten sein.
In Anlehnung: https://www.datenschutzbeauftragter-info.de/unterschiede-zwischen-datenschutz-datensicherheit-informationssicherheit-oder-it-sicherheit/
2020 REWE Group 11TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM) … … oder auch: „Die Suche nach dem verdrängten Schatz“ 2020 REWE Group 12
TOM ALS BESTANDTEIL DER EUROPÄISCHEN DS-GVO ... … sind keine neue Anforderung, nur wurde bei mangelnden TOM das Strafmaß drastisch erhöht 2020 Quelle: https://images.app.goo.gl/qf5ojTMUV43notM27 REWE Group 13
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM) …
… werden nicht erst
durch die DS-GVO
gefordert … und auch
nicht nur durch den
Datenschutz!
50
2020 Quelle: https://images.app.goo.gl/ggudcVFV9bxtjinz8 REWE Group 14TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM) … … müssen durch den jeweiligen „Verantwortlichen“ festgelegt werden; ISB & DSB sind nur beratend tätig 2020 REWE Group 15
TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Es gibt für viele Verarbeitungen oft nicht „die eine TOM“, sondern mehrere TOM
Beispiel „Zusammenspiel mehrerer TOM für eine HR-relevante Verarbeitung, unterstützt
durch eine SAP HR-Anwendung“ aus Sicht Datenschutz („case für max. Anzahl TOM“)
Konzern-externer Konzern-interner Konzern-interner Konzern-interner Konzern-interner
Auftragsverarbeiter Auftragsverarbeiter Auftragsverarbeiter Verantwortlicher Verantwortlicher
(IT-DL) Nr. 1 (IT-DL) Nr. 2 (SAP-DL) Nr. 1 Nr. 2
z.B. internes SAP- z.B. Gesellschaft
z.B. interne IT-
Competence Center Nr. 3, welche von
Abteilung in z.B. HR-Bereich in
(übergreifend oder HR betreut wird und
z.B. SAP Gesellschaft Nr. 1, Gesellschaft Nr. 2
hier z.B. für speziell HR-relevante
welche u.a. Betrieb (HR Process Owner)
SAP HR) in Prozesse und IT-
& Hosting obliegt
Gesellschaft Nr. 2 Anwendungen nutzt
TOM der externen TOM TOM Verarbeitungs- Verarbeitungs-
AVV zwischen SAP spezifische TOM spezifische TOM
und Gesellschaft mit Fokus meist auf mit Fokus meist auf der
Nr. 1 Betrieb & Hosting Rollen & Gesellschaft Nr. 2 Der Gesellschaft
sowie Rollen & Berechtigungen Nr. 3 (kann ggf. von
mit Fokus meist auf Berechtigungen TOM der
Betrieb & Hosting Gesellschaft Nr. 2
abweichen)
2020 REWE Group 16TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Aus der Sicht des Datenschutzes reichen „einfach TOM-Checklisten“ für Konzerne nicht aus
▪ Im Internet stehen eine Vielzahl an „TOM-Checklisten“
bereit.
▪ Für kleinere Unternehmen sind sicherlich hilfreich. Für
größere Unternehmen nicht ausreichend.
▪ Abzudeckende Fragestellungen:
▪ Wie zahlt die jeweilige TOM auf Vertraulichkeit,
Integrität, etc. ein?
▪ Ist die ausgewählte TOM der Schutzklasse angemessen?
➢ Erweiterte Checklisten anbieten, z.B. „Welche TOM zahlt
auf welche Schutzklasse ein?“
➢ Neben Checklisten ist es hilfreich „TOM-Module“ für
gewisse Standards zu entwickeln
2020 REWE Group 17TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
TOM-Standards als Bestandteil eines modularen Baukasten helfen den Aufwand und mögliche Fehler zu minimieren
Empfehlung
▪ Für die TOM, welche übergreifend für einen bestimmten Fokus identisch sind, als fertig befüllte „TOM-Module“
den Fachbereichen bereitstellen
▪ Der Fokus kann z.B. System- oder Standort-bezogen sein
▪ Vorteile:
▪ Gewährleistung einheitlicher TOM für die selben Anforderungen und Rahmenbedingungen
▪ Minimierung des Aufwands zur Festlegung der TOM → der jeweilige Fachbereich muss „nur“ noch die
verarbeitungsspezifischen TOM bearbeiten
2020 REWE Group 18TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Prozess zur Auswahl angemessener TOM gemäß der Aufsichtsbehörde Niedersachsen
Quelle:
https://lfd.niedersachsen.de/startseite/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/zaw
as/praxisnahe-hilfe-zum-technisch-organisatorischen-datenschutz-173395.html
2020 REWE Group 19TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Ausschnitt Prozess „TOM-Zusammenarbeit“* – stark vereinfachte Darstellung
DSB ISB
... Dem jeweiligen „Verantwortlichen“ ...
des Fachbereichs/ Prozesses/ Schutzbedarfs-
Beratung Produktes/ Projektes/ Services/ etc. feststellung
Gemeinsame Be- obliegt u.a. die Dokumentation der Risikoanalyse &
darfsklärung DSFA geplanten Verarbeitung der -bewertung
Ggf. gemeinsame (personenbezogenen) Daten Ggf. Erstellung
Durchführung DSFA und der Festlegung der TOM Sicherheitskonzept
Beratung & Beratung &
bei Neueinführung/ Änderung
Überwachung Überwachung
... ...
* unabh. von vor- oder nachgelagerten Prozesse, wie z.B. der (IT-)-Strukturanalyse durch den ISB oder der beratenden Begleitung des DSB zur
Verarbeitungsdokumentation
2020 REWE Group 20TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Empfehlungen zur Zusammenarbeit von Datenschutz und Informationssicherheit
DSB ISB
Beratung Dem jeweiligen „Verantwortlichen“ ...
des Fachbereichs/
Datenschutz & Informationssicherheit (ebenso wie Prozesses/ Schutzbedarfs-
IT-Architektur, etc.) sowie früh wie möglich
Beratung
einbinden (in den ProzessenProduktes/ Projektes/
fest verankert) – dannServices/ etc.Themen auch keine
sind diese feststellung
„Bremse“
Gemeinsame Be-
Unternehmensweite obliegt u.a.
Definitionen derdie Dokumentation
„Schutzklassen“ der
einheitlich Risikoanalyse
für Datenschutz und &
darfsklärung DSFA
Informationssicherheit geplanten
festlegen Verarbeitung
– ergänzt mitder -bewertung
den jeweiligen Beispielen
Ggf. gemeinsame (personenbezogenen) Daten Ggf. Erstellung
Einheitliche Vorlagen und Checklisten für alle Beteiligten verwenden
Durchführung DSFA und der Festlegung der TOM Sicherheitskonzept
Beratung &
Austausch (z.B. gemeinsame Lessons Learned WS) und Zusammenarbeit von Beratung ISB und DSB&
bei Neueinführung/ Änderung
Überwachung
fördern – und damit u.a. auch mögliches Ausspielen beider verhindern Überwachung
... ...
2020 REWE Group 21TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOM)
Die Anzahl der TOM wird stark durch die Anzahl bzw. durch den Schnitt der „Verarbeitungen“ beeinflusst
Drei Empfehlungen zum Schnitt von Verarbeitungen und deren Zusammenspiel – immer unter Beachtung deren
Zweck und Rechtsgrundlage:
Bei Unsicherheiten zu der Fragestellung wie feingranular (z.B. Gehaltsabrechnung für IT-Mitarbeiter, Gehalts-
abrechnung für HR-Mitarbeiter, etc.) oder grobgranular (z.B. Gehaltsabrechnung für die Beschäftigen) sollte man die
Verarbeitung schneiden, dann empfiehlt es sich im Zweifelsfalle mit „grobgranular“ starten und mit dem
betreffenden Fachbereichen die ggf. vorhandenen Abweichungen zu klären
Sogenannte „Service Units“ bzw. in Verwaltungsbereichen (Betriebswirtschaft, Recht, etc.) ändern seltener ihre
Prozesse, etc. als die sog. „Business Units“ (Produktion, Verkauf, etc.), daher sind bei Letzteres „feingranularer
Schnitte“ aufgrund der modularen Flexibilität hilfreich
Sollten deutlich erhöhte TOM-Anforderungen bei nur zu einem (geringen) Teil der betreffenden Verarbeitung
bestehen, kann ggf. eine Zerlegung der betreffenden Verarbeitung sinnvoll sein
2020 REWE Group 22DOKUMENTATION EINER „VERARBEITUNG“
Mögliche Handhabung DER „Verantwortlichkeiten zu einer Verarbeitung“ (unter Beachtung von
Zweck & Rechtsgrundlage)
Erhalten Bearbeiten Entsorgen
Erheben Organisieren Löschen
Erfassen Ordnen Sperren
Zugestellt bekommen Speichern Entsorgen
Anpassen Anonymisieren
Verändern Vernichten
Auslesen
Abfragen Einschränken durch:
Verwenden • Pseudonymisieren
Offenlegen durch übermitteln, verbreiten, etc.
Bereitstellen
Auswerten
Abgleich
Verknüpfen
Zuständigkeiten und Verantwortung
Data Owner Process Owner Data Owner / System Owner
2020 REWE Group 23DATENSCHUTZ-ORGANISATION
Zuständigkeit Rolle Verantwortlichkeiten
Verantwortliche Rechenschaftspflicht gegenüber betroffenen Personen oder Aufsichtsbehörden für die Ein-
Mit der DS-GVO (= Geschäftsleitungs- haltung der datenschutzrechtlichen Regelungen. Benennt zu seiner Unterstützung den GFV.
organe) → Verantwortet die Einhaltung der datenschutzrechtlichen Vorgaben
wurde der Bedarf
Geschäftsfeld- Organisation & Kontrolle der Umsetzung der datenschutz-rechtlichen Vorgaben. Stellt die
einer Compliance- Verantwortlicher hierzu benötigten Ressourcen zur Verfügung, inkl. Benennung des DSK.
gerechten DS- (GFV) → Verantwortet die DS-rechtlichen Themen in der jeweiligen Organisations-/Geschäftseinheit
Organisation in Umsetzung der datenschutzrechtlichen Vorgaben durch die Personen in den Fachbereichen,
Zuständiger die den jeweiligen Geschäftsprozess verantworten, mit dem personenbezogene Daten
Unternehmen Je Gesell- verarbeitet werden.
Fachbereich
erhöht, manche schaften/en
→ Verantwortet die DS-rechtlichen Themen für den jeweiligen Geschäftsprozess
können ggf. auch als Koordination und beratende Begleitung der Umsetzung der datenschutzrechtlichen Vorgaben
Datenschutz-
Vorbild für ISMS- Koordinatoren (DSK)
in den zuständigen Fachbereichen bzw. Einheiten. Berichtet an das DSM und an den GFV.
→ Zentraler Ansprechpartner für die jeweilige Organisations-/Geschäftseinheit
Organisationen
Beratung und Überwachung (inkl. Audits) in Bezug auf die datenschutzrechtlichen Vorgaben.
dienen. Datenschutz- Er ist dabei weisungsunabhängig, berichtet an den Verantwortlichen und tauscht sich mit dem
Beauftragte (DSB) DSM und den DSK aus.
→ Unabhängiger Berater für die jeweilige Organisations-/Geschäftseinheit
Konzernweite Regelungshoheit (Governance) und Konsolidierung der Kontrollen, Förderung
Zentrales von Awareness und der Nutzung von Synergien sowie Leitung des „REWE Group DS Board“.
REWE Group weit Datenschutz-
Management (DSM) Berichtet an den Vorstand und an den Aufsichtsrat.
→ Gesamtkoordination des konzernweiten Datenschutz-Managements
2020 REWE Group 24DATENSCHUTZ-ORGANISATION
Der Datenschutz-Koordinator spielt eine zentrale Rolle als erster Ansprechpartner und ist eine
wertvolle Unterstützung für Fachbereiche, DSB und zentrales Datenschutz Management
Geschäftsfelder (GF)
Rolle
GF 1 GF 2 GF 3 GF … GF … GF …
Verantwortliche Geschäftsleitungsorgane → Vorstand und die jeweilige Geschäftsführung
Geschäftsfeld-
A.B. C.D. E.F. G.H. I.J. K.L.
Verantwortlicher (GFV)
Die jeweiligen Personen in den Fachbereichen, die den jeweiligen Geschäftsprozess verantworten,
Zuständiger Fachbereich
mit dem personenbezogene Daten verarbeitet werden
Datenschutz-Koordinatoren
x DSK x DSK x DSK x DSK x DSK x DSK
(DSK) *
Datenschutz-Beauftragter M.N. M.N.
M.N. Q.R. S.T. O.P.
(DSB) O.P. O.P.
Zentrales Datenschutz-
x DSM
Management (DSM)
DSM in der Zusammenarbeit mit DSB, DSK sowie mit Kollegen aus der Rechtsabteilung
DS-Krisenstab
und in Abhängigkeit des Krisen-Levels und Art der DS-Verletzung auch mit weiteren Personen (z.B. mit dem ISB)
Bestehend aus 1.) beständige Mitglieder (DSM sowie der das jeweilige Geschäftsfeld vertretende DSB/DSK), 2.)
REWE Group DS-Board
einem erweiterten Teilnehmerkreis in rein beratender Funktion sowie 3.) das Board Office
2020 REWE Group 25DATENSCHUTZ-ORGANISATION
Der Ansatz eines konzernweiten Datenschutz Board kann als Äquivalent für eine ISMS-Organisation ggf. hilfreich sein
Ständige Mitglieder Erweiterter Teilnehmerkreis Back-Office
▪ Leitung Zentrales Datenschutz Nur beratende Funktion: Das „Zentrale Datenschutz
Management (DSM) → Vorsitz ▪ Vertreter aus dem Bereich Management (DSM) stellt das
▪ Ein Datenschutz-Koordinator (DSK) „Informationssicherheit“ Back-Office für das DS-Board
je Geschäftsfeld bereit
▪ Vertreter aus dem Bereich
▪ Alle Datenschutz-Beauftragten „Konzernrevision“
(DSB) intern/extern
▪ Vertreter aus dem Bereich „Recht“
Alle ständigen Mitglieder haben jeweils „eine Stimme“. Die Vertretung aus dem Bereich „Recht“ hat
unabhängig von der Anzahl derer Teilnehmer insgesamt auch nur „eine Stimme“.
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board
2020 REWE Group 26DATENSCHUTZ-ORGANISATION
Ziel, Mandat und Abgrenzung des „REWE Group Datenschutz Boards“ (DS-Board)
Ziel Mandat Abgrenzung
Sicherstellung einer REWE Erstreckt sich über alle Die Umsetzung bzw. die
Group weiten Datenschutz- Geschäftsfelder hinweg und Anpassung von operativen
Strategie durch Austausch beinhaltet bindende Prozessen verbleibt bei den
und Entscheidungen zu Entscheidungen sowie Fachbereichen. Die Aufgaben
übergreifenden Datenschutz- Empfehlungen zu über- der DS-Organisation nach
Fragestellungen, um greifenden datenschutz- der Konzern-Richtlinie
datenschutzrechtliche rechtlichen Sachverhalten. bleiben unberührt.
Risiken zu minimieren.
Turnus der Board Treffen: Quartalsweise
Ergänzend möglich: Entscheidungen und Empfehlungen per Umlaufverfahren
Wichtig: Der „Verantwortliche“ ist rechenschaftspflichtig für die Einhaltung der
datenschutzrechtlichen Vorgaben. Letztendlich entscheidet dieser im Sinne der EU DS-GVO,
ob er einer Empfehlung des DS-Boards folgt.
2020 REWE Group 27DIE EU DATENSCHUTZ-
GRUNDVERORDNUNG
(DS-GVO) …
… ist derzeit DER Treiber in
Unternehmen zum Aufräumen
▪ Die Umsetzung der EU DS-GVO bedingt, dass
die Daten, Organisation, Prozesse sowie die
IT-Landschaft in einer entsprechend
(Mindest)Qualität vorhanden sind
▪ Nicht nur für die Umsetzung der DS-GVO ist
das bedeutend, sondern auch um erfolgreich
am Markt zu bestehen sowie um Themen,
wie z.B. Digitalisierung, Big Data, KI, etc.
voran zu treiben
2020 REWE Group 28DIE EU DATENSCHUTZ-
GRUNDVERORDNUNG
(DS-GVO) …
… ist derzeit DER Treiber in
Unternehmen zum Aufräumen
Das bedeutet die EU DS-GVO ist derzeit DER
„Treiber“ zum Aufräumen von Daten, Organisation,
Prozessen und der IT-Landschaft ...
➢ … was die Unternehmen einerseits gegenüber
Mitbewerbern am Markt erfolgreich stärkt,
➢ … aber auch die entsprechenden Ressourcen &
Budgets erfordert → mehr als „nur ein DSGVO-
Projekt“
2020 REWE Group 29AB WANN DS-GVO-KONFORM?
100% DSGVO-konform?
Nein.
Voraussichtlich werden auch die meisten Unternehmen
niemals die 100% erreichen!
2020 REWE Group 30WIE BEI DER INFORMATIONSSICHERHEIT – DER „FAKTOR MENSCH“ BEEINFLUSST IM
WESENTLICHEN AUCH DIE ERREICHBARKEIT VON DS-GVO-KONFORMITÄT
Datenschutz Informationssicherheit
Betrifft personenbezogene Daten Betrifft alle Informationen*
Ist Bestandteil von Ist Bestandteil von
Datensicherheit
Betrifft alle Daten
beeinflusst
Faktor „Mensch“
▪ Es können noch so gute technische und organisatorische Maßnahmen (TOM)
definiert und umgesetzt werden, es zählt letztendlich das „schwächste Glied in der
Sicherheitskette“ und das ist je nach Studie etwa in 70% der Fälle der „Mensch“
▪ Sei es mit vorsätzlichen, als auch um unwissentlich sowie unbeabsichtigt
schädigenden Aktivitäten
2020 REWE Group 31Danke für Ihre Aufmerksamkeit! 2020 REWE Group 32
Sie können auch lesen
