Upload
trantram
View
213
Download
0
Embed Size (px)
Citation preview
Konzerndatenschutz in der DS-GVO Praktische Umsetzung in einer Unternehmensgruppe
Timo Ahland, Data Protection Officer Boehringer Ingelheim Deutschland
Unternehmenspräsentation 2017
Boehringer Ingelheim im Überblick
• Pharmaunternehmen in Familienbesitz
• 1885 in Ingelheim am Rhein gegründet
• Unternehmensschwerpunkte auf Humanpharmazeutika,
Tiergesundheit und biopharmazeutische Auftragsproduktion
• Mitarbeiter weltweit rund 45.700
• Weltweit vier F&E-Standorte für Humanpharmazeutika
• F&E-Aufwendungen: 3,1 Milliarden Euro
• 17 Produktionsstandorte für Humanpharma in 11 Ländern
• Umsatzerlöse: rund 15,9 Milliarden Euro
• Verbundene Unternehmen: 143 weltweit
• Investitionen in Sachanlagen: 645 Millionen Euro
Stand: 31.12.2016
Boehringer Ingelheim Center
Unsere Unternehmenszentrale
in Ingelheim
Unternehmenspräsentation 2017
76 % der Konzernumsatzerlöse• Währungsbereinigt +7,4% gegenüber Vorjahr
• Umsatzerlöse wichtiger Produkte –
Wachstum währungsbereinigt
spiriva® 3,0 Mrd. EUR (-14,9 %)
pradaxa® 1,4 Mrd. EUR (+6,8 %)
trajenta®*/jentadueto®* 1,1 Mrd. EUR (+23,1 %)
ofev® 0,6 Mrd. EUR (+106,4 %)
in Mrd. EUR
12,0
PM
* In Zusammenarbeit mit Eli Lilly und Company
Verschreibungspflichtige Medikamente 2016 - Erwartung übertroffen
Unternehmenspräsentation 2017
• Seit 1. Januar 2017 ist Merial Teil der Boehringer Ingelheim-Familie.
• Wir vereinen die Stärken von zwei führenden Anbietern für Tiergesundheit in einer gemeinsamen Geschäftseinheit von Boehringer Ingelheim.
• Unser gemeinsames Geschäft ist das zweitgrößte im Tiergesundheitssektor weltweit.
Merial – Seit 2017 ein Teil der Boehringer Ingelheim Familie
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 55
Weltweit 2016Mitarbeiter: 50.000
Umsatz: 15,9 Mrd. Euro
Deutschland 2016Mitarbeiter: 15.000
Umsatz: 800 Mio. EuroDortmund
Hannover
Ingelheim
Biberach
26.10.2017
Boehringer Ingelheim in Deutschland
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 6
Global Data
Privacy Office
Data Protection
OfficeGermany
Data ProtectionCoordinator
Network Germany
EU Regional & Local
Data Protection
Officers
26.10.2017
Ex EU Regional & Local
Data Protection
Officers
Datenschutzorganisation weltweit
Der Datenschutzbeauftragte …
• ist bestellt als betrieblicher Datenschutzbeauftragter für die operativ tätige Landesgesellschaft Boehringer Ingelheim Pharma GmbH & Co. KG
• ist bestellt als externer Datenschutzbeauftragter für alle weiteren operativ tätigen Gesellschaften am Standort Deutschland
• wird unterstützt durch eine Sachbearbeiterin
und Netzwerk von 15 Koordinatoren
in allen Funktionen und an allen Standorten
• koordiniert für den Global Data Privacy Officer
die Zusammenarbeit in der Region Europa
• vertritt das Unternehmens auf nationaler
Ebene bei BDI, VCI, vfa, BVAC, GDD, im
Wissenschaftlichen Beirat LfDI Rheinland-Pfalz
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 7
Data Protection Office Deutschland
26.10.2017
Wie wir Datenschutz-Compliance-Management verstehen
geschäfts-
orientiert
ausgewogen
realistisch
risikobasiert
pragmatisch
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 26.10.2017 8
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1026.10.2017
Über allem stehendes Ziel
Erfüllung der „Rechenschaftspflicht“ gemäß Art. 5 Absatz 2 EU DS-GVO:
Das heißt, sicherzustellen, dass die Geschäftsleitung ihrer Verantwortung zur Einhaltung der Kriterien aus Art. 5 Absatz 1 EU DS-
GVO (Grundsätze für die Verarbeitung personenbezogener Daten) nachkommen und dies nachweisen kann.
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1126.10.2017
Workshop - Kernfragen
• Wie identifiziert man die wesentlichen Themen der DS-GVO in der Unternehmenspraxis und priorisiert sie richtig?
• Wie gelingt dies in einer international tätigen Unternehmensgruppe?
• Wen bezieht man intern ein und wie?
• Benötigt man externe Unterstützung und wenn ja, wofür?
• Was sagen eigentlich die Aufsichtsbehörden?Und: Empfiehlt sich die Kontaktaufnahme mit dieser?
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1226.10.2017
Vorüberlegungen
• Überblick über Konzernstruktur und Länder, in denen das Unternehmen vertreten ist und Geschäftsaktivitäten gewinnen!
• Hauptsitz in D/EU/ex EU?
• Selbständige und unselbständige Niederlassungen?
• Strukturierter Konzern oder Matrixorganisation?
• Welche Partnerschaften, Gemeinschaftsunternehmen,
Konsortien usw.?
• Wer ist Verantwortlicher / gemeinsam Verantwortlicher?
• Shared Service Center - (Auftrags-)Verarbeiter ?
• Wo sitzt die federführende Aufsichtsbehörde innerhalb der EU?
• Wer hat/muss zukünftig DSB bestellen
(gemäß DS-GVO bzw. nationalen Vorgaben wie BDSG neu)?
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1326.10.2017
Indikator zur Priorisierung wesentlicher Themen
• Was für Daten werden von wem erhoben, gespeichert, verarbeitet (bzw. erworben, weitergegeben…)
• Welche Daten sind geschäftsnotwendig, relevant, verzichtbar /„nice tohave“? Heute und morgen - Digitalisierung
• National, EU, ex EU –unterschiedliche Geschäftsaktivitäten/ Rahmenbedingungen
• Datenschutz-Compliance-Reifegrad der Organisation
Datenschutzorganisation, -management, Verfahrensverzeichnis vorhanden?
Richtlinien und Prozesse vorhanden und gelebt?
Sensibilisierungsgrad von Geschäftsleitung, Management und Belegschaft
Definierte Stakeholder, Koordinatoren, Ansprechpartner…national, EU, ex EU
vorhanden?
Indikator zur Priorisierung wesentlicher Themen- Forts.
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1426.10.2017
• Zukünftige (maximale) Sanktionshöhen für welche Themen: Konzentration eher auf 4 % als auf 2 % - Risiken?
• Welche Anforderungen sind neu und damit unbekannt oder strenger ?
• Welche fallen dagegen weg (z.B. Datengeheimnis § 5 BDSG), behördliche Meldung bzw. Genehmigungsvorbehalte in einzelnen Staaten (F, AT, ES)
• Leitlinien der Aufsichtsbehörden Orientierungshilfen der Fachverbände wie BvD, GDD, Erfa-Kreise, aber: Aussagen sind mehrheitlich noch nicht europaweit geeinigt und konsolidiert
• Nationale Umsetzungsgesetze wie in D (BDSG neu), AT, PL
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 15
Benennung DPOs
Verfahrens-meldung,
DSFA, Verzeichnis
InternationaleKonzern-
datentransfere
Betroffenen-rechte
Management und Meldung
von Datenpannen
AV / externe int.
Datentransfere
Rechtsgrund-lagen
Anpassung TOM
Datenschutz-richtlinie(n) &
Training
26.10.2017
Relevante EU DS-GVO Themen für Unternehmensgruppen
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1626.10.2017
Datenschutzfolgenabschätzung & Verarbeitungsverzeichnis
Privacy Impact Assessment Process:
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 1726.10.2017
Wen bezieht man intern ein und wie?
• Verantwortliche Geschäftsleitung und Geschäftsverantwortliche
• Vorhandene Datenschutzorganisation
• Koordinatoren, definierte Ansprechpartner national, international,
funktional, abhängig von Unternehmensstruktur
• Stakeholder/Unterstützungsfunktionen wie Compliance- und
Rechtsabteilung, IT, IT Security, Einkauf, Revision, Qualitätssicherung
• Schnittstellenverantwortliche in den Geschäftsbereichen
• Kommunikationsabteilung
• …
18
Data Privacy Task Force
steering & guidanceaccountability for overall success and central topics
steering & guidanceaccountability for overall success and central topics
Global Functions
functional accountability
functional accountability
Guidance and support
Reporting
OPU / ROPU Management
local accountabilitylocal accountability
EnablingFunctions
Leveraged as neededLeveraged as needed
Guidance and support
Local Local DPOs
“GDPR Readiness” - operating model based on actual processes, structures and accountabilities
26.10.2017Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart
EnablingFunctions
•support functions andbusiness according toactual role
•support functions andbusiness according toactual role
• accountable for local compliance with GDPR
• consult OPU/ROPU management
• engage with taskforce and DPO network
• assessment of statusquo (systems, kind ofdata etc.)
• identify impact (business processes, templates etc.)
• conduct gap assessment
• close gaps• steer local functional
units
•consult functions andOPUs/ROPUs on expectedoutcomes and ways to get there
•accountable for achievingoverall goal
•accountable for central topics:•privacy policies•transfers and processing•PIA and register•group data transfers
Task Force Global Functions
OPU / ROPU ManagementLocal DPOs
19
GDPR Readiness - actual processes, structures and accountabilities
26.10.2017Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 2026.10.2017
Bestehender Geschäftsprozess
Implementierung/ von / Anpassung an EU DS-GVO-
Anforderungen
Neuer Geschäftsprozess
entspricht
EU DS-GVO
Geschäftsideen
Mitdenken von
EU DS-GVO Prinzipien wie z.B. privacy by design
Methodik: Integrativer und kooperativer Ansatz
• Datenschutzbeauftragter vermittelt EU DS-GVO-Anforderungen
• Geschäftsverantwortliche kennen Prozesse und leiten Anpassungs- und Änderungsbedarf ab
• Gemeinsam werden Maßnahmen festgelegt und umgesetzt
• Dokumentation durch Datenschutzbeauftragten (PDCA-Modell)
Externe Unterstützung - Wofür?
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 2126.10.2017
abhängig von Unternehmensgröße, -komplexität, Geschäftsmodell, vorhandener (Datenschutz-)Organisation bzw. unterstützender
Kapazitäten, internen Ressourcen, Ausstattung und Kompetenzen
Projekt-management
evtl. Durchführung Gap-Analyse
(Datenschutz-rechts-)
expertise
Erstellung von Materialien
Entlastung bei Projekt-Peaks
oder Tages-geschäft
Qualitäts-sicherung
als Partner ggü. Fachbereichen
Ressourcen-erweiterung
Kontaktaufnahme mit der Aufsichtsbehörde
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 2226.10.2017
Grundlage § 38 BDSG bzw. Art. 31, 57 EU DS-GVO
• Vertrauen schaffen, Geschäft erklären, Einblick gewähren, Expertise aufbauen
• Mit Unternehmen vernetzen, Stakeholder wie Kammern und Verbände einbinden und gemeinsam Dialog suchen
• Schlüsselpersonen wie DSB, CISO, Geschäftsführung mit Behördenvertretern bekannt machen
• abstrakte Themen und Fragestellungen besprechen, bei Bedarf um Stellungnahme zu konkreter Anfrage bitten
• Verständnis für verschiedene Standpunkte und Rollen entwickeln!
Beratungsdialog mit dem LfDI Rheinland-Pfalz
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 2326.10.2017
• Seit 2009, jährlich persönliche Treffen, Gedankenaustausch zu aktuellen Themen
• Teilnahme des Unternehmens an Veranstaltungen der Behörde
• Beteiligung der Behörde an Publikumsveranstaltung des Unternehmens zum Europäischen Datenschutztag seit 2014
• Stellungnahmen zu konkreten Sachverhalten, Bsp. Daten-Anonymisierungskonzept f. Transparenzinitiative der Industrie
• 2016: Intensiver Beratungsdialog nach Facebook/Schrembs-Urteil des EUGH (Safe Harbor)
• 2017: Beratung bei einzelnen Bausteinen des EU DS-GVO-Umsetzungsprogramms, u.a.: Konzernvertrag für Datentransfers
24
Flexibler Prozess um Vertrag allzeit aktuell zu halten
EU-SCC Controller – Controller + Controller – Processor in einem Rahmenvertrag; keine Binding Corporate Rules notwendig
Beteiligung der Aufsichtsbehörden während Entwicklung aber keine Genehmigungspflicht
Implementierung einer dynamischen Verweisung zum neuen weltweiten Verfahrensverzeichnis
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart
Neuer Konzerndatentransfervertrag, abgeschlossen Sept. 2017
26.10.2017
25
BI GDTA 2.0 Agreement
Framework Agreement
Appendix 1: List of contracting parties
Appendix 2: EU-Standard-Contractual Clauses
Appendix 3: Technical and Organizational Measures
Appendix 4: Global Data Privacy Register
Scope & SubjectDefinitions
Authorization of Global Privacy OfficeDynamic Link to Global Data Privacy Register
List of all participating Data Exporters and Data Importers
Controller – Controller Set I of 2001Controller – Processor of 2010
Link to IT Security Guideline
Global Register of Systems and Applications fed by Privacy Impact Assessments and published twice per
year
Struktur Konzerndatentransfervertrag
26.10.2017Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart
3 Kernelemente des Konzern-Datenschutzmanagement-Systems
26
Privacy Impact Assessment (PIA)
Global Register ofProcessing
Activities (GROPA)
Group Data Transfer Agreement
(GDTA 2.0)
Input Link
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 26.10.2017
Stellungnahme des LfDI Rheinland-Pfalz
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 2726.10.2017
Statement des LfDI Rheinland-Pfalz zum Dialog
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 28
Hallo Herr Ahland, so, wie es aussieht, kann ich am 26.10. noch nicht in Stuttgart sein, da an diesem Tag eine Veranstaltung […] Gerne dürfen Sie auf die guten Erfahrungen und die wechselseitigen Vorteile verweisen, die dieser konstruktive Dialog erbracht hat, der von beiden Seiten immer auch im Bewusstein und Verständnis für die jeweilige Rolle und die damit einhergehenden Interessen geführt wurde. Beste Grüße Helmut Eiermann ------------------------------------------------------------------------- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Stellvertretender Datenschutzbeauftragter / Leiter Bereich Technik Hintere Bleiche 34
26.10.2017
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart 30
Vielen Dank!
Fragen & Diskussion
mailto: [email protected]
26.10.2017
Ihr Referent
Timo Ahland - BvD+LfDI BW Herbstkonferenz, Stuttgart
Rechtsanwalt Timo AhlandBetrieblicher DatenschutzbeauftragterBoehringer Ingelheim Deutschland
+49 (6132) 77-95608
www.boehringer-ingelheim.de
26.10.2017 31