Konzerndatenschutz in der DS-GVO Praktische Umsetzung in ... · Indikator zur Priorisierung wesentlicher Themen- Forts. Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 26.10.2017

Konzerndatenschutz in der DS-GVO Praktische Umsetzung in einer Unternehmensgruppe

Timo Ahland, Data Protection Officer Boehringer Ingelheim Deutschland

Unternehmenspräsentation 2017

Boehringer Ingelheim im Überblick

• Pharmaunternehmen in Familienbesitz

• 1885 in Ingelheim am Rhein gegründet

• Unternehmensschwerpunkte auf Humanpharmazeutika,

Tiergesundheit und biopharmazeutische Auftragsproduktion

• Mitarbeiter weltweit rund 45.700

• Weltweit vier F&E-Standorte für Humanpharmazeutika

• F&E-Aufwendungen: 3,1 Milliarden Euro

• 17 Produktionsstandorte für Humanpharma in 11 Ländern

• Umsatzerlöse: rund 15,9 Milliarden Euro

• Verbundene Unternehmen: 143 weltweit

• Investitionen in Sachanlagen: 645 Millionen Euro

Stand: 31.12.2016

Boehringer Ingelheim Center

Unsere Unternehmenszentrale

in Ingelheim


76 % der Konzernumsatzerlöse• Währungsbereinigt +7,4% gegenüber Vorjahr

• Umsatzerlöse wichtiger Produkte –

Wachstum währungsbereinigt

spiriva® 3,0 Mrd. EUR (-14,9 %)

pradaxa® 1,4 Mrd. EUR (+6,8 %)

trajenta®*/jentadueto®* 1,1 Mrd. EUR (+23,1 %)

ofev® 0,6 Mrd. EUR (+106,4 %)

in Mrd. EUR

12,0

PM

* In Zusammenarbeit mit Eli Lilly und Company

Verschreibungspflichtige Medikamente 2016 - Erwartung übertroffen


• Seit 1. Januar 2017 ist Merial Teil der Boehringer Ingelheim-Familie.

• Wir vereinen die Stärken von zwei führenden Anbietern für Tiergesundheit in einer gemeinsamen Geschäftseinheit von Boehringer Ingelheim.

• Unser gemeinsames Geschäft ist das zweitgrößte im Tiergesundheitssektor weltweit.

Merial – Seit 2017 ein Teil der Boehringer Ingelheim Familie

Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 55

Weltweit 2016Mitarbeiter: 50.000

Umsatz: 15,9 Mrd. Euro

Deutschland 2016Mitarbeiter: 15.000

Umsatz: 800 Mio. EuroDortmund

Hannover

Ingelheim

Biberach

26.10.2017

Boehringer Ingelheim in Deutschland


Global Data

Privacy Office

Data Protection

OfficeGermany

Data ProtectionCoordinator

Network Germany

EU Regional & Local

Data Protection

Officers

26.10.2017

Ex EU Regional & Local

Data Protection

Officers

Datenschutzorganisation weltweit

Der Datenschutzbeauftragte …

• ist bestellt als betrieblicher Datenschutzbeauftragter für die operativ tätige Landesgesellschaft Boehringer Ingelheim Pharma GmbH & Co. KG

• ist bestellt als externer Datenschutzbeauftragter für alle weiteren operativ tätigen Gesellschaften am Standort Deutschland

• wird unterstützt durch eine Sachbearbeiterin

und Netzwerk von 15 Koordinatoren

in allen Funktionen und an allen Standorten

• koordiniert für den Global Data Privacy Officer

die Zusammenarbeit in der Region Europa

• vertritt das Unternehmens auf nationaler

Ebene bei BDI, VCI, vfa, BVAC, GDD, im

Wissenschaftlichen Beirat LfDI Rheinland-Pfalz


Data Protection Office Deutschland

26.10.2017

Wie wir Datenschutz-Compliance-Management verstehen

geschäfts-

orientiert

ausgewogen

realistisch

risikobasiert

pragmatisch

Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 26.10.2017 8

Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 926.10.2017

Herausforderung EU DS-GVO


Über allem stehendes Ziel

Erfüllung der „Rechenschaftspflicht“ gemäß Art. 5 Absatz 2 EU DS-GVO:

Das heißt, sicherzustellen, dass die Geschäftsleitung ihrer Verantwortung zur Einhaltung der Kriterien aus Art. 5 Absatz 1 EU DS-

GVO (Grundsätze für die Verarbeitung personenbezogener Daten) nachkommen und dies nachweisen kann.


Workshop - Kernfragen

• Wie identifiziert man die wesentlichen Themen der DS-GVO in der Unternehmenspraxis und priorisiert sie richtig?

• Wie gelingt dies in einer international tätigen Unternehmensgruppe?

• Wen bezieht man intern ein und wie?

• Benötigt man externe Unterstützung und wenn ja, wofür?

• Was sagen eigentlich die Aufsichtsbehörden?Und: Empfiehlt sich die Kontaktaufnahme mit dieser?


Vorüberlegungen

• Überblick über Konzernstruktur und Länder, in denen das Unternehmen vertreten ist und Geschäftsaktivitäten gewinnen!

• Hauptsitz in D/EU/ex EU?

• Selbständige und unselbständige Niederlassungen?

• Strukturierter Konzern oder Matrixorganisation?

• Welche Partnerschaften, Gemeinschaftsunternehmen,

Konsortien usw.?

• Wer ist Verantwortlicher / gemeinsam Verantwortlicher?

• Shared Service Center - (Auftrags-)Verarbeiter ?

• Wo sitzt die federführende Aufsichtsbehörde innerhalb der EU?

• Wer hat/muss zukünftig DSB bestellen

(gemäß DS-GVO bzw. nationalen Vorgaben wie BDSG neu)?


Indikator zur Priorisierung wesentlicher Themen

• Was für Daten werden von wem erhoben, gespeichert, verarbeitet (bzw. erworben, weitergegeben…)

• Welche Daten sind geschäftsnotwendig, relevant, verzichtbar /„nice tohave“? Heute und morgen - Digitalisierung

• National, EU, ex EU –unterschiedliche Geschäftsaktivitäten/ Rahmenbedingungen

• Datenschutz-Compliance-Reifegrad der Organisation

Datenschutzorganisation, -management, Verfahrensverzeichnis vorhanden?

Richtlinien und Prozesse vorhanden und gelebt?

Sensibilisierungsgrad von Geschäftsleitung, Management und Belegschaft

Definierte Stakeholder, Koordinatoren, Ansprechpartner…national, EU, ex EU

vorhanden?

Indikator zur Priorisierung wesentlicher Themen- Forts.


• Zukünftige (maximale) Sanktionshöhen für welche Themen: Konzentration eher auf 4 % als auf 2 % - Risiken?

• Welche Anforderungen sind neu und damit unbekannt oder strenger ?

• Welche fallen dagegen weg (z.B. Datengeheimnis § 5 BDSG), behördliche Meldung bzw. Genehmigungsvorbehalte in einzelnen Staaten (F, AT, ES)

• Leitlinien der Aufsichtsbehörden Orientierungshilfen der Fachverbände wie BvD, GDD, Erfa-Kreise, aber: Aussagen sind mehrheitlich noch nicht europaweit geeinigt und konsolidiert

• Nationale Umsetzungsgesetze wie in D (BDSG neu), AT, PL


Benennung DPOs

Verfahrens-meldung,

DSFA, Verzeichnis

InternationaleKonzern-

datentransfere

Betroffenen-rechte

Management und Meldung

von Datenpannen

AV / externe int.

Datentransfere

Rechtsgrund-lagen

Anpassung TOM

Datenschutz-richtlinie(n) &

Training

26.10.2017

Relevante EU DS-GVO Themen für Unternehmensgruppen


Datenschutzfolgenabschätzung & Verarbeitungsverzeichnis

Privacy Impact Assessment Process:


Wen bezieht man intern ein und wie?

• Verantwortliche Geschäftsleitung und Geschäftsverantwortliche

• Vorhandene Datenschutzorganisation

• Koordinatoren, definierte Ansprechpartner national, international,

funktional, abhängig von Unternehmensstruktur

• Stakeholder/Unterstützungsfunktionen wie Compliance- und

Rechtsabteilung, IT, IT Security, Einkauf, Revision, Qualitätssicherung

• Schnittstellenverantwortliche in den Geschäftsbereichen

• Kommunikationsabteilung

• …

18

Data Privacy Task Force

steering & guidanceaccountability for overall success and central topics

steering & guidanceaccountability for overall success and central topics

Global Functions

functional accountability

functional accountability

Guidance and support

Reporting

OPU / ROPU Management

local accountabilitylocal accountability

EnablingFunctions

Leveraged as neededLeveraged as needed

Guidance and support

Local Local DPOs

“GDPR Readiness” - operating model based on actual processes, structures and accountabilities

26.10.2017Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart

EnablingFunctions

•support functions andbusiness according toactual role

•support functions andbusiness according toactual role

• accountable for local compliance with GDPR

• consult OPU/ROPU management

• engage with taskforce and DPO network

• assessment of statusquo (systems, kind ofdata etc.)

• identify impact (business processes, templates etc.)

• conduct gap assessment

• close gaps• steer local functional

units

•consult functions andOPUs/ROPUs on expectedoutcomes and ways to get there

•accountable for achievingoverall goal

•accountable for central topics:•privacy policies•transfers and processing•PIA and register•group data transfers

Task Force Global Functions

OPU / ROPU ManagementLocal DPOs

19

GDPR Readiness - actual processes, structures and accountabilities



Bestehender Geschäftsprozess

Implementierung/ von / Anpassung an EU DS-GVO-

Anforderungen

Neuer Geschäftsprozess

entspricht

EU DS-GVO

Geschäftsideen

Mitdenken von

EU DS-GVO Prinzipien wie z.B. privacy by design

Methodik: Integrativer und kooperativer Ansatz

• Datenschutzbeauftragter vermittelt EU DS-GVO-Anforderungen

• Geschäftsverantwortliche kennen Prozesse und leiten Anpassungs- und Änderungsbedarf ab

• Gemeinsam werden Maßnahmen festgelegt und umgesetzt

• Dokumentation durch Datenschutzbeauftragten (PDCA-Modell)

Externe Unterstützung - Wofür?


abhängig von Unternehmensgröße, -komplexität, Geschäftsmodell, vorhandener (Datenschutz-)Organisation bzw. unterstützender

Kapazitäten, internen Ressourcen, Ausstattung und Kompetenzen

Projekt-management

evtl. Durchführung Gap-Analyse

(Datenschutz-rechts-)

expertise

Erstellung von Materialien

Entlastung bei Projekt-Peaks

oder Tages-geschäft

Qualitäts-sicherung

als Partner ggü. Fachbereichen

Ressourcen-erweiterung

Kontaktaufnahme mit der Aufsichtsbehörde


Grundlage § 38 BDSG bzw. Art. 31, 57 EU DS-GVO

• Vertrauen schaffen, Geschäft erklären, Einblick gewähren, Expertise aufbauen

• Mit Unternehmen vernetzen, Stakeholder wie Kammern und Verbände einbinden und gemeinsam Dialog suchen

• Schlüsselpersonen wie DSB, CISO, Geschäftsführung mit Behördenvertretern bekannt machen

• abstrakte Themen und Fragestellungen besprechen, bei Bedarf um Stellungnahme zu konkreter Anfrage bitten

• Verständnis für verschiedene Standpunkte und Rollen entwickeln!

Beratungsdialog mit dem LfDI Rheinland-Pfalz


• Seit 2009, jährlich persönliche Treffen, Gedankenaustausch zu aktuellen Themen

• Teilnahme des Unternehmens an Veranstaltungen der Behörde

• Beteiligung der Behörde an Publikumsveranstaltung des Unternehmens zum Europäischen Datenschutztag seit 2014

• Stellungnahmen zu konkreten Sachverhalten, Bsp. Daten-Anonymisierungskonzept f. Transparenzinitiative der Industrie

• 2016: Intensiver Beratungsdialog nach Facebook/Schrembs-Urteil des EUGH (Safe Harbor)

• 2017: Beratung bei einzelnen Bausteinen des EU DS-GVO-Umsetzungsprogramms, u.a.: Konzernvertrag für Datentransfers

24

Flexibler Prozess um Vertrag allzeit aktuell zu halten

EU-SCC Controller – Controller + Controller – Processor in einem Rahmenvertrag; keine Binding Corporate Rules notwendig

Beteiligung der Aufsichtsbehörden während Entwicklung aber keine Genehmigungspflicht

Implementierung einer dynamischen Verweisung zum neuen weltweiten Verfahrensverzeichnis

Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart

Neuer Konzerndatentransfervertrag, abgeschlossen Sept. 2017

26.10.2017

25

BI GDTA 2.0 Agreement

Framework Agreement

Appendix 1: List of contracting parties

Appendix 2: EU-Standard-Contractual Clauses

Appendix 3: Technical and Organizational Measures

Appendix 4: Global Data Privacy Register

Scope & SubjectDefinitions

Authorization of Global Privacy OfficeDynamic Link to Global Data Privacy Register

List of all participating Data Exporters and Data Importers

Controller – Controller Set I of 2001Controller – Processor of 2010

Link to IT Security Guideline

Global Register of Systems and Applications fed by Privacy Impact Assessments and published twice per

year

Struktur Konzerndatentransfervertrag


3 Kernelemente des Konzern-Datenschutzmanagement-Systems

26

Privacy Impact Assessment (PIA)

Global Register ofProcessing

Activities (GROPA)

Group Data Transfer Agreement

(GDTA 2.0)

Input Link


Stellungnahme des LfDI Rheinland-Pfalz


Statement des LfDI Rheinland-Pfalz zum Dialog


Hallo Herr Ahland, so, wie es aussieht, kann ich am 26.10. noch nicht in Stuttgart sein, da an diesem Tag eine Veranstaltung […] Gerne dürfen Sie auf die guten Erfahrungen und die wechselseitigen Vorteile verweisen, die dieser konstruktive Dialog erbracht hat, der von beiden Seiten immer auch im Bewusstein und Verständnis für die jeweilige Rolle und die damit einhergehenden Interessen geführt wurde. Beste Grüße Helmut Eiermann ------------------------------------------------------------------------- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Stellvertretender Datenschutzbeauftragter / Leiter Bereich Technik Hintere Bleiche 34

26.10.2017

Fazit & Ausblick



Vielen Dank!

Fragen & Diskussion

mailto: [email protected]

26.10.2017

Ihr Referent

Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart

Rechtsanwalt Timo AhlandBetrieblicher DatenschutzbeauftragterBoehringer Ingelheim Deutschland

+49 (6132) 77-95608

[email protected]

www.boehringer-ingelheim.de

26.10.2017 31

Documents

Konzerndatenschutz in der DS-GVO Praktische Umsetzung in ... · Indikator zur Priorisierung wesentlicher Themen- Forts. Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 26.10.2017