Musterpräsentation - Auftragsklärung für das Projekt

Musterpräsentation - Auftragsklärung für das Projekt
Musterpräsentation - Auftragsklärung für das Projekt „EU-Datenschutz-Grundverordnung (EU-DSGVO)“ Musterpräsentation der Verbände der deutschen Sparkassen zur Anpassung durch die Sparkasse Autor Datum: xx.yy.2018

Einführung Diese Präsentation dient dem Projektleiter als Hilfestellung bei der Auftragsklärung mit dem Auftraggeber/Vorstand. Der Projektleiter erhält einen möglichst genauen Eindruck der Wünsche, Ziele und Vorgaben des Auftraggebers, wodurch mögliche Unklarheiten bereits im Vorfeld behoben werden. Zudem wird durch diese Vorarbeit die Erstellung des Projektantrags erheblich erleichtert und die Projektgenehmigung beschleunigt. Anwendungshinweise: Hinweise und weiterführende Fragestellungen finden sie jeweils in Form von Sprechblasen ( ) auf den einzelnen Folien. Nicht benötigte Folien können ebenso wie die Sprechblasen gelöscht werden.

Hier beginnt die eigentliche Präsentation zur Auftragsklärung
Hier beginnt die eigentliche Präsentation zur Auftragsklärung. Wenn nötig, ist das Inhaltsverzeichnis nach der Überarbeitung anpassen. Inhaltsverzeichnis Einstieg – Einführung, Ausgangslage, gesetzl. Anforderungen, Ergebnistypen DSGV-Projekt „EU-DSGVO“ Inhaltliche Basis Interne Ausgangslage Gesamtzielsetzung Zielgruppenorientierter Nutzen Projektorganisation Schnittstellen zu anderen Projekten in der Sparkasse Risiken und Gegenmaßnahmen Weitere Entscheidungen Weitere Vorgehensweise für die Sparkasse

Einstieg: Einführung zum Thema „EU-DSGVO"
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wird ab dem 25. Mai 2018 unmittelbar anwendbares Recht und schafft insoweit einen völlig neuen Rechtsrahmen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Die DSGVO löst dabei das bestehende Bundesdatenschutzgesetz (BDSG) und auch die bisherige EU-Datenschutzrichtlinie 95/46/EG ab. Mit der EU-DSGVO soll ein weitgehend einheitliches Datenschutzrecht und damit ein weitgehend einheitliches Datenschutzniveau in allen Mitgliedsstaaten der Europäischen Union geschaffen werden. Die EU-DSGVO enthält über den eigenen Regelungsumfang hinaus knapp 50 Öffnungsklauseln, die den Mitgliedsstaaten normativen Gestaltungsspielraum für nationale Sonderregelungen eröffnen. Den Gestaltungsrahmen der EU-DSGVO wird der deutsche Gesetzgeber nutzen, um erforderliche Änderungen im (nationalen) bestehenden Datenschutzrecht umzusetzen. Am 12. Mai 2017 hat der Bundesrat das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) mit dem BDSG Nachfolgegesetz (BDSG-neu) beschlossen. Damit hat Deutschland neben der EU-DSGVO ein neues und grundlegend geändertes Bundesdatenschutzgesetz, welches mit der Grundverordnung Ende Mai 2018 in Kraft treten wird.

Einstieg: Ausgangslage (1/2)
In der Folge ist in der Sparkassen-Finanzgruppe von erheblichen Auswirkungen auf die Formulare, Prozesse und IT-Systeme auszugehen. Einige der wesentlichen Änderungen und Verschärfungen sind: Erweiterte Informationspflichten an den Betroffenen zu Zweck, Umfang und Inhalt der Datenverarbeitung, Neuregelung der Verarbeitung personenbezogener Daten durch Dritte (z. B. Finanz Informatik, S-Rating), Erleichterter Datenaustausch, Erweiterte Betroffenenrechte („Recht auf Vergessen“), Umsetzung neuer Datenschutzprinzipien bei der Entwicklung von Produkten und Dienstleistungen sowie bei der Vornahme von Standardeinstellungen („Privacy by Design“, „Privacy by Default“), Pflicht zur Durchführung von Datenschutzfolgeabschätzungen, Deutliche Anhebung des Sanktionsrahmens bei Datenschutzverstößen als Mittel zur Umsetzung der Verordnung, Zwingende Einbeziehung des Datenschutzbeauftragten bei Datenverarbeitungen mit hohem Risiko für die Rechte der Betroffenen (bislang vorabkontrollpflichtige Verfahren),

Einstieg: Ausgangslage (2/2)
Zur koordinierten Begleitung der EU-DSGVO Umsetzung hat der DSGV ein Projekt initiiert (Laufzeit: bis ). Das Projekt stellt eine zentrale Koordinations-Plattform dar und ermöglicht hierdurch eine einheitliche und effiziente Umsetzung der EU-DSGVO in der Sparkassen-Finanzgruppe. Eine enge Verzahnung mit allen wesentlichen umsetzenden Einheiten der Sparkassen-Finanzgruppe ist sichergestellt. Folgende Projektergebnisse sind für die Sparkassen vorgesehen: Zentrale rechtliche Auslegungen / Interpretationen / Synopse altes vs. neues Recht Quick Checks / Umsetzungshilfen / Rollout-Leitfaden (ROLF)

Einstieg: Gesetzliche Anforderungen
„Schutz natürlicher Personen bei der Verarbeitung pbD und zum freien Verkehr solcher Daten.“ (Art.1 Abs.1) , „…schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art.1 Abs.2) Einheitlich verbindliche Regelungen zum Datenschutz in der ganzen EU („Vollharmonisierung“) Marktortprinzip: EU-DSGVO findet Anwendung, wenn sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder wenn die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU dient. „One-Stop-Shop-Mechanismus“ als Instrument der einheitlichen Rechtsanwendung: Bei grenzüberschreitenden Datenverarbeitungen für Unternehmen und deren Tochtergesellschaften ist nur noch eine Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig -> zentrale Behördenzuständigkeit Erleichterter Datenaustausch Mehr Transparenz für betroffene Personen Besserer, effektiver Rechtsschutz

Wenn nötig, ist das Inhaltsverzeichnis nach der Überarbeitung anpassen.
Einstieg – Einführung, Ausgangslage, gesetzl. Anforderungen, Ergebnistypen DSGV- Projekt „EU-DSGVO“ Inhaltliche Basis Interne Ausgangslage Gesamtzielsetzung Zielgruppenorientierter Nutzen Projektorganisation Schnittstellen zu anderen Projekten in der Sparkasse Risiken und Gegenmaßnahmen Weitere Entscheidungen Weitere Vorgehensweise für die Sparkasse

Inhaltliche Basis (1/2) Neue bzw. Anpassung der Prozesse, Regelungen etc. erforderlich (Auswahl): Eskalationssystem für Datenschutzverfälle Dokumentation aller Datenverarbeitungsprozesse im Unternehmen, mittels derer personenbezogene Daten verarbeitet werden Datenschutzerklärungen online und offline Umsetzung der Anforderungen aus der EU-DSGVO zur Wahrung und Sicherstellung der Rechte der Betroffenen Einwilligungserklärungen Prozess für Widerruf der Einwilligungen Prozesse zur Umsetzung von Widersprüchen Anpassung aller Arbeitsanweisungen und Dienstvereinbarungen/ Betriebsvereinbarungen Erstellung eines Löschkonzeptes

Inhaltliche Basis (2/2) Anpassung von Vereinbarungen zur Auftragsverarbeitung Prozess zum Umgang mit Datenpannen Regelungen zur Zusammenarbeit mit der Datenschutzaufsicht Regelungen zur Durchführung und Identifikation von Prozessen, die eine Datenschutzfolgeabschätzung erfordern Schulung aller Mitarbeiter hins. der neuen Regelungen Monitoring nationaler Gesetzgebung und Fortbildung …

Interne Ausgangslage: Bestandsaufnahme (1/2)
Tauschen Sie die Folie mit dem/den aktuellen Ergebnis/ Ergebnissen der Bestandsaufnahme für Ihre Sparkasse aus. Interne Ausgangslage: Bestandsaufnahme (1/2) Da die EU-DSGVO nicht alle Erlaubnisnormen des BDSG kennt und die bekannten Erlaubnistatbestände teils mit erheblichen Auswirkungen inhaltlich anders ausgestaltet, ergibt sich ein deutlicher zusätzlicher Prüfungs- und Anpassungsaufwand für das bestehende Datenschutzmanagementsystem und die Datenschutzorganisation. Bereits etablierte Datenverarbeitungsprozesse sind an den Regelungen der EU-DSGVO und dem nationalen Umsetzungsgesetz (DSAnpUG) zu messen. Bereits erteilte Datenschutzeinwilligungen sind auf ihre weitere Eignung als ausreichende Rechtsgrundlage einer Datenverarbeitung zu überprüfen, ggf. anzupassen oder auch erneut einzuholen. Die Information des Kunden über ihn konkret betreffende Datenverarbeitungen ist zu überprüfen, umzugestalten und ggf. sind neue Informationsprozesse zu etablieren. Sämtliche bestehenden Auftragsdatenverarbeitungsverträge (§ 11 BDSG) sind an die neuen Anforderungen der EU-DSGVO („Auftragsverarbeitung“) anzupassen. Hierbei ist insbesondere auf die wesentlich verstärkten Haftungsrisiken eines Auftragnehmers einer Auftragsverarbeitung hinzuweisen.

Interne Ausgangslage: Bestandsaufnahme (2/2)
Tauschen Sie die Folie mit dem/den aktuellen Ergebnis/ Ergebnissen der Bestandsaufnahme für Ihre Sparkasse aus. Interne Ausgangslage: Bestandsaufnahme (2/2) Bedingt durch die Veränderungen und Erweiterungen der datenschutzrechtlichen Vorgaben ergeben sich folglich im Bereich der internen Organisation deutliche sowohl zeitlich als auch prüfungstechnisch zusätzlich einzuplanende Aufwände für die Tätigkeit des Datenschutzbeauftragten. Überprüfungs- und Anpassungsbedarf ergibt sich z. B. bei den zu führenden Verzeichnissen über Datenverarbeitungstätigkeiten und Darüber hinaus sind Prozesse zur Identifikation zwingender unternehmensinterner Datenschutz-Folgeabschätzungen (DSFA) und Verfahren zur Einbeziehung der Datenschutzaufsichtsbehörden zu implementieren. 

Gesamtzielsetzung für die Sparkasse
Leitbild „Datenschutz aktiv leben, um Datenschatz zu heben“ Weiterentwicklung zu einem strategischen Datenschutz-Leitbild zur Unterlegung der Markenpositionierung. und Die Sicherstellung der Einhaltung der Vorschriften der EU-DSGVO kann erheblich dem Risiko von Datenlecks Haftung Bußgelder Image- und Reputationsschäden Rechnung tragen und damit wesentlich die Marke „Sparkasse“ schützen.

Gesamtzielsetzung: Überprüfung
Ergänzungen sind im Projektantrag zu übernehmen. Gesamtzielsetzung: Überprüfung Anhand der folgenden Fragen kann die Gesamtzielsetzung/Nutzen überprüft bzw. erweitert werden: Wann ist aus Sicht des Vorstandes das Projekt erfolgreich? wenn die Gesamtzielsetzung erreicht wurde (vollständige Umsetzung der Anforderungen der EU-DSGVO entsprechend der Vorgaben) Was soll unsere SK nach dem Projekt besser als vorher können? die Sparkasse kann im Punkt „Sicherheit geben“ ihre Markenpositionierung stärken und ausbauen Was soll auf keinen Fall während des Projekts oder nach dem Projekt passieren? Gefahr möglicher Feststellungen aus Prüfungen der Aufsichtsbehörden/ Datenschutzverletzungen steigt Welche konkreten Erwartungen hat der Vorstand an den Projektleiter ? 

Einstieg – Einführung, Ausgangslage, gesetzl. Anforderungen, Rolloutverlauf Inhaltliche Basis Interne Ausgangslage Gesamtzielsetzung Zielgruppenorientierter Nutzen Projektorganisation Schnittstellen zu anderen Projekten in der Sparkasse Risiken und Gegenmaßnahmen Weitere Entscheidungen Weitere Vorgehensweise für die Sparkasse

Zielgruppenorientierter Nutzen
Sparkasse 1 Datenschutz als Markenkern „Gute Daten – gute Kundenberatung!“ Zukunftsorientierte Datennutzung sichert neue Geschäftsmodelle Daten bereinigen, Daten strukturieren -> Kosten reduzieren  Betroffene Abteilung 2 EU-DSGVO richtig interpretiert -> forciert die Standardisierung (Regulatorik)  Mitarbeiter 3 Aufsetzen auf standardisierte Formulare und Prozesse bessere technische Unterstützung 

Projektorganisation: Ablauf und Inhalte
1 2 3 4 5 Projektinitialisierung Auftragsklärung Bestandsaufnehme Umsetzung Projektabschluss & Nachhaltigkeit Laufende Projektkommunikation an die beteiligten Personen Projektziele festlegen Projektantrag erstellen Fragenkatalog Datenschutzmanagement Arbeitspakete „Umgang mit Kundendaten und Personenmanagement“ Projektdokumentation Projektleitung, -teams und Ressourcen festlegen Projekt genehmigen lassen Fragenkatalog Rechtsgrundlagen für die DV Arbeitspakete „Einwilligung, Infoblatt und Auswertungen“ Projektabschlussbericht   Fragenkatalog Verfahrensdokumentation Arbeitspakete „Formulare“ Planung von Maßnahmen zur laufenden Überprüfung der Umsetzungsergebnisse   Fragenkatalog Datenschutz- Folgeabschätzung Vgl. Übersicht der Arbeits- pakete im Umsetzungsbau- kasten    Fragenkatalog Auftrags- Verarbeitung und Daten übermitteln  

Projektorganisation: Rolle des Vorstandes
1 2 3 4 5 Projektinitialisierung Auftragsklärung Bestandsaufnehme Umsetzung Projektabschluss & Nachhaltigkeit Rolle des Vorstands: Auftraggeber Entscheider

Projektorganisation: Projektstruktur
Projektinitialisierung / Auftragsklärung Vorstand unterrichten Projektinitiierung Verantwortlichkeiten Ressourcen Budgets Termine (ab EU-DSGVO unmittelbar geltendes Recht, unter Berücksichtigung erforderlicher Nacharbeiten Projektlaufzeit bis voraussichtlich Ende 2018) Sensibilisierung der Führungskräfte für die Themen Projektauftakt Erhebung und Bewertung der aktuell realisierten Datenschutzorganisation sowie der umgesetzten Maßnahmen zum Datenschutz und zur Datensicherheit sowie Priorisierung des Handlungsbedarfs im Hinblick auf die Umsetzung der EU-DSGVO Diese Punkte sollen vollständig bis zum Ende des 2. Quartals 2017 erledigt werden.

Bestandsaufnahme Teilnehmer: Betriebsorga, Prozessorga, Vertriebssteuerung, Personal, Personalrat, DSB, Revision Vorbereitung anhand der Fragenkataloge Datenschutzmanagement Rechtsgrundlagen für die Datenverarbeitung Betroffenenrechte Verfahrensdokumentation Datenschutz-Folgeabschätzung Auftragsverarbeitung und Daten übermitteln

Projektumsetzung: z. B. Arbeitspaket Datenschutz-Management Teilnehmer: Betriebsorga, Prozessorga, Personal, Personalrat, DSB, Revision Datenbasis und Maßnahmen: Erstellung Datenschutzleitbild/-strategie Weiterentwicklung der Arbeitsanweisung Datenschutz und der Prozesse bei meldepflichtigen Datenschutzverstößen Regelung des Umgangs mit deutlich erweitertem Sanktionsrahmen und Haftungsrisiken Prozesse und Zusammenarbeit mit der Aufsichtsbehörde Umgang mit Klagen von Verbraucherverbänden

Projektumsetzung: z. B. Arbeitspakte Betroffenenrechte Teilnehmer: IT-Orga, Betriebsorga, DSB, ggf. Fachabteilung, Revision Datenbasis und Maßnahmen: Weiterentwicklung der Prozesse zur Sicherstellung erweiterter Transparenzpflichten gegenüber dem Betroffenen Umsetzung des Rechts auf Auskunft und Datenportabilität unter Berücksichtigung aller Datenquellen und geeigneter Dateiformate Betrachtung Prozess Anwendungsentwicklung (privacy by design und default) Anpassung Prozesse bei Geltendmachung von Betroffenenrechten Löschung von Daten bei Dritten

Projektumsetzung: z. B. Verzeichnis der Verarbeitungstätigkeiten inkl. Datenschutz-Folgeabschätzung Teilnehmer: IT-Orga, Betriebsorga, DSB, ISB, Risikomanagement, ggf. Fachabteilung Datenbasis und Maßnahmen: Betrachtung und Bewertung sämtlicher Verfahren mit personenbezogenen Daten Entwicklung und Einsatz eines weiterentwickelten Formates zur zukünftigen Dokumentation der Verfahren unter Berücksichtigung der Nachweisbarkeit Anpassung des Prozesses „Vorabkontrolle“ Erarbeitung eines Konzepts zur Identifikation und Messung von Datenschutzrisiken auf Basis der aktuellen datenschutzrechtlichen Vorgaben Bewertungsmatrix, Vorgehensweise und Prozess zur Ermittlung von Datenschutzrisiken Qualifizierung und Quantifizierung von Datenschutzrisiken (Risiko-Folgenabschätzung) Einbindung der ermittelten Datenschutzrisiken in das Gesamt-Risikomanagement

Projektumsetzung: z. B. Arbeitspaket Auftragsdatenverarbeiutng Teilnehmer: Rechtsabteilung, IT-Orga, Betriebsorga, DSB, ggf. Fachabteilung, Revision Datenbasis und Maßnahmen: Identifikation von Auftragsverarbeitern (AV) / Joint Controllern (JC) und Festlegung der Verantwortlichkeiten Festlegung Muster-AV und Anschreiben Dienstleister wegen Anpassung Erhebung und Anpassung der bestehenden Verträge Anpassung / Einführung von Prozessen zur Kontrolle der Auftragsverarbeiter und JC (Planung, Turnus, Art und Umfang) Prüfung von internationalen Datentransfers und ggf. Abschluss der erforderlichen zusätzlichen Verträge Kontrolle von AV Datenübermittlungen ins Ausland

Projektorganisation: Kosten/Budget
Wie hoch sind jeweils die geplanten Kosten? Welche weiteren Kosten könnten entstehen/sind geplant? Entsprechend auch im Projektantrag ändern. Projektorganisation: Kosten/Budget Projektkosten: Personalkosten … Euro Hardware/Software … Euro Technische Dienstleistung … Euro externe Dienstleistungen (ggf. Sparkassenakademie Bayern) … Euro Mobiliar/Ausstattung … Euro Büro-/Schulungsmaterial … Euro Bewirtungskosten … Euro Reisekosten … Euro Marketing/Werbung … Euro Organisationsberatung … Euro Voraussichtliche Gesamtkosten: … Euro

Schnittstellen zu anderen Projekten in der Sparkasse
Gibt es Schnittstellen zu anderen Projekten in der Sparkasse? Wenn ja: wo, wie und mit welchen Auswirk-ungen und Abhängigkeiten? Dazu sind auch im Muster-Projektantrag unter Punkt 2.6 Angaben zu machen. Schnittstellen zu anderen Projekten in der Sparkasse Projekt Auswirkung Abhängigkeiten … ….

Risiken und Gegenmaßnahmen
Welche Risiken gibt es? Welche Gegenmaßnahmen/ vorbeugende Maßnahmen können getroffen/geplant werden? Entsprechend auch im Projektantrag eintragen. Risiken und Gegenmaßnahmen Projektrisiko Gegenmaßnahme Enger Terminplan Restriktionen aufgrund zeitlicher Verzögerungen bei Entscheidungen Priorität des Projektes klären Krankheitsbedingter Ausfall von wichtigen Projektbeteiligten Unzureichende Ressourcen im Projekt Stv. Projektleiter, der von Anfang an vollumfänglich eingebunden wird Planung und Ressourceneinsatz mit den jeweiligen Linienvorgesetzten abstimmen Technische Voraussetzungen sind nicht vollumfänglich geschaffen Regelmäßiger Abgleich der Soll-Bedingungen mit der Ist-Situation der Technikausstattung …

Weitere Entscheidungen
Gibt es weitere Entscheidungen, die getroffen werden müssen? Weitere Entscheidungen 

Weitere Vorgehensweise für die Sparkasse
Gibt es weitere Termine/ anstehende Aufgaben o.ä.? Weitere Vorgehensweise für die Sparkasse Aufgrund der im Rahmen der Auftragsklärung getroffenen Entscheidungen werden folgende Dokumente erstellt: Projektantrag Terminplanung …. Diese werden dem Gesamtvorstand zur Genehmigung vorgelegt (im Rahmen eines Umlaufbeschlusses oder Präsentation in einer Vorstandssitzung) Optional kann zudem diese Präsentation „Auftragsklärung“ im Gesamtvorstand vorgetragen werden.

Musterpräsentation - Auftragsklärung für das Projekt

Ähnliche Präsentationen

Präsentation zum Thema: "Musterpräsentation - Auftragsklärung für das Projekt"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

Musterpräsentation - Auftragsklärung für das Projekt

Ähnliche Präsentationen

Präsentation zum Thema: "Musterpräsentation - Auftragsklärung für das Projekt"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback