Consulting Quarterly Hamburg - KPMG...17.10Uhr Customer Journey – von den Daten zur Digitalstrategie Markus Deutsch 17.40Uhr Daten richtig schützen – die DSGVO tritt in Kraft

1© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Germany. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Document Classification: KPMG Confidential

Consulting Quarterly Hamburg Aus Daten Werte schaffen –Wie manage ich die Chancen und Risiken?



16.30 Uhr Begrüßungskaffee

17.00 Uhr Daten sind das neue Öl –Begrüßung und Einführung Dr. Justus Marquardt

17.10 Uhr Customer Journey – von den Daten zur Digitalstrategie Markus Deutsch

17.40 Uhr Daten richtig schützen –die DSGVO tritt in Kraft Marko Vogel

18.10 Uhr Grundvoraussetzungen schaffen – Datenqualitäts-management und Daten-sicherheitLisa Loch, Marko Vogel

19.10 Uhr Networking und Ausklang mit Imbiss

Dr. Justus Marquardt Partner, Consulting KPMG, Hamburg

Markus Deutsch Director, ConsultingKPMG, Frankfurt am Main

Marko Vogel Director, Consulting KPMG, Essen

Lisa LochManager, Consulting KPMG, Köln

Freitag, 19. März 2018IT-Abteilung von der Kosten-stelle zum Businessinnovator –Entwicklung und Umsetzung digitaler Strategien

Programm Referenten Nächster Termin



Agenda

Daten sind das neue Öl – Einführung und Begrüßung1

Customer Journey – von den Daten zur Digitalstrategie 2

Daten richtig schützen – die DSGVO tritt in Kraft 3

Grundvoraussetzungen schaffen – Datenqualitätsmanagement4

Grundvoraussetzungen schaffen – Datensicherheit5



Dr. Justus Marquardt

Hamburg11. Dezember 2017

Daten sind das neue Öl –

Begrüßung und Einführung

Markus Deutsch


Customer Journey –

von den Daten zur Digitalstrategie



Alles dreht sich um Kundenorientierung

EINSATZ INNOVATIVER

TECHNOLOGIEN

STRATEGIE-REVIEWS

GESCHÄFTS-MODELL-

ENTWICKLUNG

CUSTOMER INTELLIGENCE

VERTRIEBS-OPTIMIERUNG

− Status- undStrategiereview

− Trend Scouting für Marktentwicklungen

− Identifikation zukünftiger Trends und Technologien

− Identifikation von Marktpotenzialen

− Entwicklung von Geschäftsmodellszenarien

− Kunden-segmentierung

− CX Analyse− Touchpoint Analyse− Entwicklung von

Customer Journeys− CX Governance− Entwicklung von

Personas und Persona-Rastern

− Status und Strategie Review (z.B. Digital Readiness Assessment)

− Identifikation künftiger Trends und Innovationen (e.g. VR/AR, RPA)

− Entwicklung von Anwendungsfällen

− Kooperationen

− Strategieentwicklung− Organisationsentwicklung

(KAM, B2C…)− Controlling− Prozessoptimierung− CRM- & IT-Support− Kooperationen− Training− Verknüpfung von

Marketingstrategien und Kundenservice (z.B. Call Center)



Und wie komme ich meinen Kunden

dann noch näher?



— Bilden den Übergang zwischen Kundensegmenten & Einzelpersonen

— Verwandeln Segmentierung in „greifbares Werkzeug“, ohne dabei übergreifende Perspektive zu verlieren

— Eigenen sich besonders für Exploration von Kundenbedürfnissen & Bewertung der End-to-End-Kundenerfahrung

Unterschiedliche Tools mit gemeinsamen Zielen, aber verschiedenen Eigenschaften, Einsatzbereichen und Herausforderungen

Ziele: Ausbau der Pipeline, Intensivierung bestehender Kundenbeziehungen, Steigerung von Effektivität und Effizienz

— Real existierende Personen können individuell adressiert werden

— Umfangreiche personenbezogene Daten sind notwendig, um Schnittstellen zu personalisieren

Person Persona

— Kundensegmente reduzieren Komplexität, indem sie die Realität abstrahiert abbilden

— Diese Basis eignet sich, um über-greifende Entscheidungen zu treffen

Kundensegment

A B …C

Existenzabstrakt/fiktiv real

Sichtunternehmensseitigg

kundenseitig

Aufgabenbereichstrategisch operativ

Bedarf an personenbezogenen Datenniedrig hoch

Informationenaggregiert detailliert

Personalisierungniedrig hoch



Zusammentragen und Strukturierung von Konsumentenmerkmalen entlang von vier Merkmalskategorien

— Einkaufsmission— Einkaufsstätte— Primäre Warengruppe— Anzahl Warengruppen— Einkäufer = ≠ Konsument— Ø Bon— Einkaufshäufigkeit

— Ernährungsstil— Bedarfsdeckung Mobilität— Mediennutzung— Online-Nutzung— Social-Media-Nutzung

II. Sozioökonomische Merkmale— Bildung— Beruf— Einkommensart— Haushaltsnettoeinkommen

I. Soziodemografische Merkmale

— Persönlichkeitsmerkmale- Lebensstil: Aktivitäten, Interessen, Einstellungen- Werte, Persönlichkeit

— Konsumspezifische Merkmale- Wahrnehmungen- Motive, Kaufabsichten- Einstellungen

III. Psychografische Merkmale IV. Verhaltensorientierte Merkmale

— Geschlecht— Alter— Familienstand/Lebensphase— Wohnort— Distanz zu stationärem Handel— Haushaltsgröße— Anzahl Kinder im Haushalt



Psychografische Merkmale— Grundorientierung

„Familie und Beruf sind zwei Dinge, die für mich zusammengehören.“

— Emotionstyp„Kraft ziehe ich aus der Zeit mit meinen Kindern. In meinem Beruf setze ich diese Energie um.“

— Konsumententyp„Welche Produkte ich kaufe, hängt nicht nur vom Preis ab. Gerade für meine Familie ist eine ausgewogene Ernährung wichtig. Gesunde Rezepte sind heutzu-tage gut im Internet zu finden.“

Konsumverhalten „In Supermärkten erwarte ich kompetentes Fachpersonal und eine große Auswahl an Lebensmitteln. Am Wochenende gehe ich gemeinsam mit meiner Familie einkaufen. Besonders gefällt mir, wenn ich ungestört shoppen kann und meine Kinder sich austoben können, wie bei IKEA.“„In den Urlaub fahre ich mit meinen Kleinen eher selten, dafür reicht das Geld nicht, wobei ich regelmäßig Unterhalt bekomme. Damit ermögliche ich meinen Kindern ihre Hobbies. Zur guten Organisation helfen mir daher Apps, wie Trello.“„Mit anderen Müttern tausche ich mich gerne aus, entweder auf einen Kaffee mit Freundinnen oder auf Plattformen, wie Mamikreisel oder WhatsApp.“

Individuali-sierbarkeit

Identitäts-stiftend

Zeit-ersparnis

Aufwands-reduzierung Information Inspiration Qualität Kosten Austausch Mitsprache

06:00 09:00 12:00 15:00 18:00

— Brigitte— Handzettel

— Gmail (Mail-Account)— WhatsApp/Instagram— Mamikreisel/Trello— Chefkoch.de

Kauft bei:

On-line

Off-line

Elifs primäre Kundenbedürfnisse

Mediennutzung

Ein

typi

sche

rTa

g — 36 Jahre alt— Arbeitet Teilzeit als Arzthelferin

— Geschieden, zwei Kinder wohnt in Bamberg— Ausbildung zur medizinischen Fachangestellten

Share of Wallet (HHNE: 2.000 €)

33%

19%30%

10%

8%

ExemplarischElif Günes – Die vernetzte Frau, die Familie & Beruf vereinbart

Beispielhafte Persona



SocialMedia

Web-seite

Smart-phone

Filiale

Blogs/Foren

Pers. Ebene

Touc

h-po

ints

Vorkauferfahrung

Cha

nnel

s

Einkaufserlebnis NachkauferfahrungLogistik

Recherche Planung An-kommen

Produkt-auswahl

Zahlung Shop Leave

Nutzung TeilenTransport Auslie-ferung

InspirationImpuls

1.1 1.2 1.3 2.1 2.3 2.4 2.5 3.1 3.2 4.1 4.2 4.32.2

Navigation

— 36 Jahre alt— Arbeitet Teilzeit als

Arzthelferin— Geschieden, zwei Kinder— Wohnt in Bamberg— HHNE: 2.000€

Impulse aufs

Smart-phone

Infor-mation via Preisver-gleichs-portal

Baby-nahrung

neigt sich dem Ende

Einkaufs-zettel

Indiv. Gut-scheine

Zu Fuß mit

Kinder-wagen

Günstig/ Angebote

Bar/ Haushalts-

börse + Gut-scheine

Nimmt Kunden-zeitschrift

mitZu Fuß

Feedback auf

Facebook

Feedback/ Austausch in Foren

Gut-scheine

Kunden antworten Kunden

Aufruf Rezept mit Anleitung, Fotos und

Videos

Speichern als Digitaler

Einkaufszettel im Log-In-

Bereich

ExemplarischElif Günes – Die vernetzte Frau, die Familie & Beruf vereinbart

Beispielhafte Customer Journey

Andere Mütter be-

richten von Erfahrun-

gen



Generierung von Kundendaten sowie Transaktionsdaten als Schlüssel zur personalisierten Ansprache

möglicheDaten-quellen

Gewinn-spiele

Website

…

Kunden-karte

Kasse (Filiale)

Premium-Content

Kunden-service

App…

Kunden-konto

…

Kontakt-formular

News-letter

Adress-broker

Face-book

Waren-korb

(Online-shop)

Insta-gram

Kunden-befra-gung

Mailings mit

Antwort-element

Produkt-proben/Testan-gebote

Aus-kunfteien

Twitter

Google+

Youtube

ScoringCoupons

...

...

...

...

... Geo-grafische Merkmale

Kauf-verhalten

Soziodemo-grafischeMerkmale

Psycho-grafische Merkmale

Exemplarisch



Ausgangslage: Customer Intelligence ist der Grundstein für strategische Kundenzentrierung

Vision und ZielbildWie kann sich Customer Intelligence auf das Geschäftsmodell und die Kundenbeziehung auswirken?

InformationsbedarfWelche Daten und Informationen werden für strategische Maßnahmen benötigt?

Daten-EvaluationWelche Daten existieren bereits heute in der Organisation? Welche müssen neu erhoben oder beschafft werden?



Die Basis einer erfolgreichen kundenzentrierten Ausrichtung ist der Aufbau eines umfänglichen Informationsmanagements

Sammlung der richtigen Kundeninformationen

Auswertung der Kundendaten

Kundenbetreuungsstrategie und Konkretisierung von Maßnahmen

Wirksamkeit/Wirkung im Unternehmen

Erkenntnisse und Feedback

Datenauf-bereitung

und -analyse

Business Intelligence

Data Manage-

ment/ Governance

Strateg.Kunden-segmen-tierung

Geschäfts-modell

Erhöhung Kunden-loyalität

Erhöhung Kunden-nutzen

Produkte u. Zusatz-

leistungen

Omni-Channel

Mgt.

Kam-pagnen-

Mgt.

Differen-zierte

Services

Höhere Effizienz Akquise/ Betreu-

ung

Optimierte Akquisition

Erhöhung Umsatz- und Ressourcen-

potenzial

Prozess-optimierung

Höherer DB

Kosten-senkung Vertrieb/ Service

Umsatz-erhöhung

Profitabilität

Daten Org. Ausrichtung Kundenprozessen Ertragsteuern führt zu bewirkt



Strategie Zielbild

Business Modell

EngineeringDigital Agenda und Roadmap

Transformation Prozesse und IT

Begleitung technische Umsetzung

Rollout und Trainings

Change Management

Datenstrategie (Evaluation) ErmittlungDaten-Gap

Umsetzung Dateneinbindung und AnwendungDigital

ReadinessAssessment

Business Intelligence

„Informationsmanagement“

Customer

„Experience & Digitalisierung“Beinhaltet folgende Customer Ansätze — Future Technology Impact— Kundensegmentierung— OMA u. Omnichannel-Management— Umsetzung CRM & Customer Experience— SMA und Digital Sales— Digitalisierung von Unternehmenseinheiten

Beinhaltet folgende Customer Ansätze — Cross Sector Transformation— Kundenzentrierte digitale

Geschäftsmodelle

Phase 1: Analyse und Strategie

Phase 2: Umsetzung Kundenzentrierung

Customer Intelligence entwickelt in einem parallelen Vorgehen die Zukunft der Kundeninteraktion



Beispiel



GrößteDistanzen

GrößteÄhnlichkeit

Zufällige Auswahl des Startpunktes

Bildung der Cluster-repräsentanten

Bildung der ClusterBerechnung der

Clusterrepräsentanten

Neubildung der Cluster

Basics

Funktionsweise des Austauschverfahrens



Kundenbeispiel− Kondensierung von 52 Variablen auf 6

− Bildung von 4 Clustern



Definition von Attributen zur Bildung von Segmenten

Analyse der Kundendaten und Generierung von Kundensegmenten nach denfestgelegten Kriterien

Entwicklung von gezielten Marketingmaßnahmen für die generierten Kundensegmenten

Was?

Analyse und Gruppierung von Kunden anhand von festgelegten Kriterien

Generierung von Kunden-Segmenten, die über “ähnliche” Eigenschaften verfügen

Wie?

Klassifizierung von Kundendaten mittels Clustering-Analyse

Kundensegmente nach festgelegten Attributen für Marketingkampagnen

Vorteile?

Erkennen von Kundenmustern

Effektive Ansprache von Kundengruppen

Identifikation von lukrativen Kundensegmenten anhand selbst definierter Kriterien zur Bestimmung von Dialogmarketing-Maßnahmen und Marktsegmenten für kundenspezifische Marketing-Strategien

A

B

C

D

Use Cases

Kundenspezifische Strategien

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

KPMG in social networkswww.kpmg.de


Ihre Ansprechpartner

Markus DeutschDirectorERP & CRMT +69 9587 2798M +49 170 [email protected]

Dr. Justus MarquardtPartnerDigital FinanceT +49 320 15 4727M +49 171 [email protected]

Daten richtig schützen –die DSGVO tritt in Kraft

Marko Vogel




Aktuelle Situation im Datenschutz für Unternehmen

Viele Unternehmen müssen immer größere Herausforderungen bewältigen aufgrund einer Vielzahl an Regelungen und Änderungen im Datenschutz!



KPMG-Datenschutzmanagement-Framework

Datenschutzgrundsätze:Die Grundsätze des Datenschutzes bilden vor dem Hintergrund der international akzeptierten „Allgemein anerkannten Daten-schutzgrundsätze“ die Grundlage des Datenschutzmanagement-Frameworks.

Datenschutzmanagement-Framework:Unser Framework beinhaltet alle Bausteine, die Unternehmen helfen die Einhaltung von geltenden Datenschutzgesetzen und -regelungen sicherzustellen. Dabei bieten sie eine zweckmäßige und pragmatische Struktur, um den täglichen Geschäftsbetrieb und das Management so zu organisieren, dass Datenschutzrisiken vermindert werden.

Unterstützung durch KPMG:Unsere Datenschutzdienstleistungen haben wir auf der Grundlage konzipieren, dass Unternehmen individuelle, risikoorientierte Lösungen benötigen, die ihren Datenschutzanforderungen, Risiko-neigung und zukünftigen Unternehmensstrategie berücksichtigen.Unsere Unterstützung bei der Umsetzung ihrer individuellen Datenschutzanforderungen erstreckt sich über die Bewertung der aktuellen Lage, der Konzeption einer Umsetzungsstrategie und Projektplänen bis hin zur konkreten Umsetzung von pragmatischen und nachhaltigen Lösungen im Betrieb.

Datenschutzgrundsätze

Unterstützung durch KPMG

Datenschutzmanagement-Framework

Unser bewährter globaler Ansatz!

Governance and Operating

Model

Inventory/Data Mapping

Risk and Control

Training and Awareness Monitoring Incident

Management

Processes, Procedures

and Technology

Security for Privacy

Third Party Oversight

Regulatory Management

Information Lifecycle

ManagementPolicies

Ass

ess Des

ign

Imp

lem

ent

Mo

nit

or



DSGVO Artikel33 Meldung von Verletzungen des Schutzes an die Aufsichtsbehörde

34 Benachrichtigung d. von einer Verletzung d. Schutzes betroffenen Personen

DSGVO Artikel24 Verantwortung des für die Verarbeitung Verantwortlichen

DSGVO Artikel39 Aufgaben des Datenschutzbeauftragten

DSGVO Artikel26 Gemeinsam für die Verarbeitung Verantwortliche28 Auftragsverarbeiter29 Verarbeitung unter der Aufsicht des Verantwortlichen

DSGVO Artikel25 Datenschutz durch Technikgestaltung32 Sicherheit der Verarbeitung

DSGVO Artikel24 Verantwortung des für die Verarbeitung Verantwortlichen

DSGVO Artikel5 Grundsätze für die Verarbeitung personenbezogener Daten (pD)6 Rechtmäßigkeit der Verarbeitung 7 Bedingungen für die Einwilligung 8 Bedingungen für die Einwilligung eines Kindes9 Verarbeitung besonderer Kategorien von pD10 Informationen über strafrechtliche Verurteilungen und Straftaten12 Transparente Information, Kommunikation und Modalitäten

13/4 Informationspflichten an den Betroffenen20 Recht auf Datenübertragbarkeit21 Widerspruchsrecht22 Automatisierte Entscheidungen im Einzelfall einschließlich Prüfung

DSGVO Artikel31 Zusammenarbeit mit der Aufsichtsbehörde

DSGVO Artikel32 Sicherheit der Verarbeitung35 Datenschutz-Folgenabschätzung36 Vorherige Konsultation

DSGVO Artikel30 Verzeichnis von Verarbeitungstätigkeiten

DSGVO Artikel11 Verarbeitung, für die eine Identifizierung nicht erforderlich ist

15-18 Auskunftsrechts, Berichtigung, Löschung, Einschränkung der Verarbeitung

19 Mitteilungspflicht für Berichtigung, Löschung, Einschränkung der Verarbeitung

21 Recht auf Datenübertragbarkeit22 Automatisierte Entscheidungen im Einzelfall einschließlich Prüfung25 Datenschutz durch Technikgestaltung35 Datenschutz-Folgenabschätzung36 Vorherige Konsultation44 Allgemeine Grundsätze der Datenübermittlung45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses46 Datenübermittlung vorbehaltlich geeigneter Garantien49 Ausnahmen für bestimmte Fälle

DSGVO Artikel27 Verantwortlichkeiten von Vertretern nicht in d. EU37 Benennung eines Datenschutzbeauftragten38 Stellung des Datenschutzbeauftragten39 Aufgaben des Datenschutzbeauftragten

KPMG-Datenschutzmanagement-Framework und DSGVO

Mapping der DSGVO-Anforderungen zum KPMG-Framework

Hinweis: Nachfolgend sind die Artikel der DSGVO aufgelistet, die nicht im Rahmen des KPMG Datenschutzmanagement-Frameworks behandelt werden, da sie sich u.a. auf die Zuständigkeiten der Aufsichtsbehörde beziehen. Diese Artikel beziehen sich im Wesentlichen nicht auf Prozesse, die von einer Organisation erwartet werden:

1. Gegenstand und Ziele2. Sachlicher Anwendungsbereich3. Räumlicher Anwendungsbereich4. Begriffsbestimmungen40-43. Aufsichtsbehörden47. Verbindliche interne Datenschutzvorschriften48. Nach dem Unionsrecht nicht zulässige

Übermittlung 50-91. Aufsichtsbehörden, Datenschutzausschuss

und andere Gremien

Governance & Operating

Model

Processes, Procedures & Technology

All24

Verantwortung des für die Verarbeitung Verantwortlichen

Inventory/ Data Mapping

Risk &Controls

RegulatoryManagement

Information Lifecycle

Management

Policies

Security for Privacy

Third Party Oversight

Training &Awareness

Monitoring

IncidentManagement



Kundenbeispiel 1: Assessment & Roadmap



Kundenbeispiel 1: Assessment & Roadmap



Kundenbeispiel 2: Verfahrensverzeichnis

2. Erfassung neuer und geänderter Verarbeitungen z.B. im Bereich Change-/Release Management

• Anforderungskonzept oder Change Request sollte schon definieren, ob personenbezogene Daten verarbeitet werden

• Prüfung des Verfahrensverzeichnisse auf Richtigkeit & Vollständigkeit vor Inbetriebnahme neuer Software oder Änderungen

1. Konsolidierung bestehender Verfahrensverzeichnisse/Verfahrensübersichten

Mapping & Konsolidierung

Anreicherung mit DS-GVO relevanten Informationen

1

2

Die GDPR ist für die EU verbindlich, kann aber auch bei Erfüllung bestimmter Voraussetzungen außerhalb der EU verpflichtend sein! Transparenz und Überblick sind dabei wesentlich!

Verfahrensverzeichnis von Verarbeitungen

Anforderung:- Kontakt des Verantwortlichen, ggf. Vertreters- Zweck der Verarbeitung- Beschreibung der Kategorien betroffener Personen und der Kategorien

pD- die Kategorien von Empfängern, gegenüber denen pD offengelegt wurden

oder noch werde, einschließlich Empfänger in Drittländern- Übermittlung an Drittländer, inkl. Garantien- Löschfristen der Datenkategorien- Allgemeine Beschreibung der TOMs- Ggf. weitere nicht gesetzlich geforderte Informationen: Risikoanalyse/DS-

Folgenabschätzung, ADV-Verträge, Verlinkung zu Nachweisen

Erhöhter Dokumentationsanforderungen (Rechenschaftspflicht)



Kundenbeispiel 2: Verfahrensverzeichnis

Vom Verfahrensverzeichnis zum integrierten und transparenten Information Lifecycle Management



Kundenbeispiel 3: Meldeprozess

Meldeprozess - Grundsätzlich ist jeder Verstoß zu melden, es sei denn, dieser führt „voraussichtlich nicht zu einem Risiko für den Betroffenen“. Jeder Vorfall ist nachvollziehbar zu dokumentieren!

Zentrale Aufnahme von

Datenschutzverstößen

Tracking & Kontrolle des Vorfalls

Reporting & Dokumentation zum DS-Vorfall

Governance Modell Prozessablauf

Stakeholder

Datenschutzverstoß

- Aufnahme jedes Daten-schutzverstoßes

- Beurteilung, ob ein Risiko für einen Betroffenen besteht

- Beurteilung, ob ein hohes Risiko besteht

- Erfolgte 1. Bewertung?

- Sind geeignete TOMs vorhanden?

- Wurden wirksame Maß-nahmen eingeleitet?

- Liegen alle Informationen vor?

- Ist die Bewertung nach-vollziehbar und plausibel?

- Meldung an Behörde erforderlich?

- Vollständige & nach-vollziehbare Dokumen-tation (ggf. für die Kommunikation mit der Behörde) jedes DS-Vorfalls

- Adhoc-Beurteilung Top Management & Gesamt-datenschutzverant-wortlicher

- Überwachung von Trends & KPIs

V1 V… Vn

M

V2

Verantwortliche Stelle oder Auftragsverarbeiter

Tracking System

Zentrale Meldestelle

• Datenschutzverantwortliche• ggf. ManagementM

Dokumentation jedes DS-Vorfalls

Behörde

Verarbeitungen

Vorfall

Betroffener (z.B. Kunde, Mitarbeiter)

Auftrags-verarbeiter



GDPR-Aufwandstreiber

DSGVO-Bereiche Aufwandstreiber Aufwand und Zeit

Erweiterung territorialer Anwendungsbereich Globaler Prozess und Transparenz über angebotene Dienstleitungen & Produkte: Ansatz „Comply or Explain“

Verschärfung Compliance-Verantwortlichkeit Rechenschaftspflicht: Erbringung von Nachweisen für die Einhaltung der DS_GVO-Anforderungen, Erweiterte Anforderungen Verfahrensverzeichnis

Neue Anforderungen TOMs angemessene TOMs gemäß Risikoanalyse, Stand der Technik, Privacy by Design und - byDefault

Datenschutz-Folgenabschätzung Profilbildung, sensible Daten, umfangreiche Überwachung öffentlicher Bereiche, Prozess zur Konsultation der Behörde im Zweifelsfall

Löschfristen, Recht auf Vergessenwerden Transparenz über personenbezogene Daten (pD) d. Betroffenen, erweiterte Löschpflichten, Löschen von pD bei Dritten „Recht auf Vergessenwerden“

Anforderungen Auftrags(daten)verarbeitung Garantien für ausreichende TOMs, Anpassung ADV-Verträge, Vorlagen für zukünftige ADVs, ggf. erweiterte Unterstützungspflichten als Auftragsverarbeiter

Erweiterte Transparenz- und Informationspflichten Informationen müssen präzise, transparent, verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden

Einwilligungserklärung Anpassung Einwilligungserklärungen sowie Vorlagen für zukünftige Erklärungen

Datenübertragbarkeit Übergreifender Prozess und Transparenz über den Betroffenen betreffende pD; Bereitstellung der Daten strukturierter, gängig und maschinenlesbar

Recht des Betroffenen auf Auskunft Erweitere Auskunftspflichten, grundsätzlich innerhalb eines Monats (ggf. Prozessanpas-sungenoder neuer Prozess zur Einhaltung der Frist), Bereitstellung der relevanten pD

Meldung von Datenschutzverstößen 72-Stundenfrist, Anpassung aktueller Prozess, Thema zentrale vs. dezentralen Verantwortung Anpassung Datenschutz Governance-Modell

Datenübermittlung in Drittländer Transparenz & Garantien Datenschutzniveau in Drittländer, EU-Standardvertragsklauseln,Privacy-Shield






Daniel WernyManagerCyber SecurityT +49 201 455 8531M +49 174 [email protected]

Marko VogelDirectorCyber SecurityT +49 201 455 8838M +49 160 [email protected]

Grundvoraussetzungen schaffen –

Datenqualitätsmanagement

Lisa Aline Loch




Datenqualität – ein gefühlter Wert oder doch berechenbar?

verfügbar aktuell konsistent vollständig eindeutigDaten



Eine Dublettendefinition muss auf jedes Unternehmen spezifischzugeschnitten sein

3 Welche Feldinhalte sollen eindeutig (d.h. immer gleich) sein?

2 Welche Felder kommen für die Dubletten-definition in Betracht?

4 Welche Feldinhalte sollen ähnlich sein (d.h. fuzzy-Logik)?

5 Sollen gesperrte Stammdaten berücksichtigt werden?

GRUNDLEGENDE FRAGEN

1 Soll es mehrere Dublettendefinition geben abhängig nach Kontengruppe und / oder Land?



Eine Dublettendefinition muss auf jedes Unternehmen spezifischzugeschnitten sein

GRUNDLEGENDE FRAGENFeldbezeichnung Prüfungsart Bemerkung

LAND1 fix Diese Kriterien werden sowohl bei der Prüfung von Datensätzen mit Postfächern, als auch bei der Prüfung von Datensätzen ohne Postfachangaben, berücksichtigt

NAME1 + NAME2 + NAME3 + NAME4

fuzzy

STCEG fixSTCD5 + STENR fix Bei der Prüfung werden die Feldinhalte ohne

Leerzeichen und Schrägstrich betrachtetORT01 fuzzy Nur bei Datensätzen, bei denen keine

ausschließliche Angabe von Postfächern hinterlegt sind

PSTLZ fixSTRAS fuzzyORT02 fuzzy

Nur bei Datensätzen, bei denen aus-schließlich Postfächer hinterlegt sindPFACH fix

PSTL2 fix



Mit dem DAQEI das unternehmensspezifische Optimum aus Datenqualität und Prozessaufwand finden.

Datenverfügbarkeit

Datenaktualität

Datenkonsistenz

Datenvollständigkeit

Dateneindeutigkeit

DATENQUALITÄT

Datenerstellung

Datenüberwachung

Datenpflege

Datenarchivierung

MD PROZESSAUFWAND

Data QualityEfficiency Index

MD-Fehler

MDM-Aufwand



Eine Data Governance stellt langfristig die Datenqualität sicher

Komponenten

MD Anlegen

Anfragen Anreichern GenehmigenMD Ändern

MD Prozesse

MD Modell

MDMCRM

Proc.

DWH

ERPERP

HR

MD Architektur

Dat

a G

over

nanc

eD

ata

Man

agem

ent

Überwachen

Anpassen

Strategie & BudgetRichtlinien & Standards

Prozesse & SystemeDatenmodell



Haben Sie den Durchblick in Ihrem Datendschungel?






Lisa Aline LochManager Digital FinanceT +49 221 2073 [email protected]

Dr. Justus MarquardtPartner Digital FinanceT +40 320 15 4727M +49 171 [email protected]

Grundvoraussetzungen schaffen –Datensicherheit

Marko Vogel




aller CEOs sind um die Loyalität ihrer Kunden besorgt.

aller CEOs sehen Informationssicherheit /

Cyber als das Risiko, dass Ihnen am meisten Sorgen

bereitet30%

aller CEOs sehen CyberSecurity als das Thema mit dem größten Schadens-potential für ihr Unternehmen.

30%

aller CEOs machen sich Gedanken über die Relevanz

Ihrer Produkte und Dienstleistungen

82%

haben Schwierigkeiten mit dem technologischen Wandel mitzuhalten.77%

88% Können Sie Nachts schlafen? KPMG International führte eine Befragung

mit über 1.300 CEOs der weltweit größten Unternehmen durch.

Ziel dieser Studie war es, einen Überblick über die Top-Risiken und Sorgen von Unternehmensverantwortlichen zu gewinnen.

CEOs verarbeiten noch die Erfahrungen der Dritten industriellen Revolution und beginnen, die Risiken der neuen Welle an Technologien zu erkennen.

Source: KPMG CEO Outlook 2016

Ausgangspunkt



Sind Sie vorbereitet

Vollständig vorbereitet

Einigermaßen vorbereitet

Noch nicht da, wo wir sein müssen

Source: KPMG CEO Outlook 2016

Global25%69%

6%

75% der CEOs sagen, dass sie nicht vollständig auf eine Cyber-Attacke vorbereitet sind, deutlich höher als im Jahr 2015 (50%). In den Interviews sagten die CEOs häufig: "Wir sind so gut vorbereitet wie wir sein können" oder "Du kannst niemals vollständig vorbereitet sein", was Verständnis für die Komplexität und Unberechenbarkeit von Cyber Sicherheit zeigt.

Fragestellung



………………………………………………………………......

……

……

……

……

Organisierte Kriminalität Nationalstaaten Cyber Spionage Hactivism Interne Bedrohungen

Digitale Transformation Internet der Dinge, Industrie 4.0, Smart Cloud Computing, Big Data, Social Media,

Bring Your Own Device, Mobiles Business Kritische Infrastrukturen

Datenschutz - DSGVO IT-Sicherheitsgesetz BNetzA, Bafin, etc. Sorgfalts- und

Aufsichtspflichten

Strategische Ausrichtung Lagebild Cyber Security Informationsaustausch zu

Cyberangriffen Reaktionsfähigkeit auf

Cyberangriffe

4Wandel im Security-Markt und Kundenverhalten2

Rasanter geschäftlicher und technologischer Wandel

31 BedrohungenEinhaltung von Regularien und Gesetzen

Die vier wichtigsten Cyber Security Entwicklungen



4545

Aktuelle Lage: Alle Branchen sind betroffen

Handel

Banken

Industrie

Gesundheitswesen

Bedarf für professionelle Abwehr?



Beispiel: Ransomeware (WannaCry, NotPetya)



Beispiel: ThyssenKrupp



Zero-Day-Exploits?

Advanced Persistent Threats?

Ursache



* In Zusammenarbeit von IT und den Business-Einheiten werden die Informationen / Services ermittelt, die kritisch sind, weil sie z.B. ein “Alleinstellungsmerkmal“ am Markt darstellen** Systeme / Komponenten können beispielsweise IT-Systeme, End Points (PC, Laptop, Handy), Industrieanlage oder IoT-Komponenten sein.

1Identifizierung

2Umsetzung

SchützenEntwickeln und Implementieren der angemessenen Sicherheitsmaßnahmen zum Schutz von Informationen und Dienste.

1. Governance, Cyber Risk Management und Target Operating Model

2. User awareness3. Benutzer- und

Berechtigungsmanagement4. Datensicherheit5. Technische Absicherung der End Points,

Systeme, Komponenten und Netzwerke6. (Internet-)Perimeter-SchutzA. Sicherheit neuer Systeme und Produkte,

z.B. für IIoT (security by design)B. Sicherheit in der supply chain / 3rd

parties- Etc.

ErkennenEntwickeln und Implementieren der angemessenen Maßnahmen, um das Auftreten eines Cyber-Angriffs zu identifizieren.

ReagierenEntwickeln und Implementieren der angemessenen Maßnahmen, um auf einen Cyber-Angriff spezifisch und schnell zu reagieren.

WiederherstellenEntwickeln und Implementieren der angemessenen Maßnahmen zur Widerstandsfähigkeit, um Informationen oder Dienstleistungen nach einem Cyber-Angriff rechtzeitig wiederherzustellen.

FokussierenEntwickeln des Verständnis in der Organisation, um Cyber-Risiken auf Vermögenswerte, Systeme und Daten zu managen.

- Was sind die Kronjuwelen*?- Welche Systeme /

Komponenten** verarbeiten oder speichern diese Kronjuwelen?

- Welche Dritten (Partner, Service Provider, etc.) haben Zugriff auf oder verarbeiten die Kronjuwelen?

- Welchen Risiken sind diese Kronjuwelen ausgesetzt (CIA)?

3Anpassung & Verbesserung

OptimierenÜberwachen der Bedrohungssituation, der Veränderungen in der Organisation mit Auswirkungen auf Cyber-Risiken und des Security-Lagebilds zur Verbesserung der Sicherheitsmaßnahmen.

Ganzheitliche Cyber-Abwehrstrategie






Andreas MurankoSenior ManagerCyber Security+49 421 3355 77125+49 151 5000 [email protected]

Marko VogelDirectorCyber Security+49 201 455 8838+49 160 [email protected]



Consulting Quarterly Hamburg Freitag, 19. März 2018IT-Abteilung von der Kostenstelle zum Businessinnovator –Entwicklung und Umsetzung digitaler Strategien

Nächster Termin

Documents

Consulting Quarterly Hamburg - KPMG...17.10Uhr Customer Journey – von den Daten zur Digitalstrategie Markus Deutsch 17.40Uhr Daten richtig schützen – die DSGVO tritt in Kraft