Umsetzung der europäischen Datenschutzgrundverordnung in der Praxis

Transcript

1. Inhalt Platzhalter Präsentationstitel

2. Die europäische Datenschutzgrund- verordnung in der Praxis Hamburg, 20.06.2018

3. Inhalt 01 Ein kurzer Überblick über Hermes Germany 02 Die

   EU-DSGVO und das BDSG 03 Daten und Prozesse 04 Plattform 05 API 06 Security 07 Fazit 08 Eure Fragen

4. Ein kurzer Überblick über Hermes Germany 01

5. Ausrichtung auf digitale Geschäftsmodelle Hermes Germany ist ein Unternehmen im

   Wandel • Gegründet 1972 • Wir stellen derzeit etwa 400 Millionen Pakete pro Jahr zu • Wir stellen uns mit 250 IT-Spezialisten den Herausforderungen der Logistik • Wir sind Teil der Otto-Gruppe • Wir suchen Mitdenker, Mitgestalter und Möglichmacher

6. Die EU-DSGVO und das BDSG 02

7. Die EU-DSGVO und das BDSG 7 • Ich != Jurist

   • BDSG in DE sehr stark • Wer konform zum BDSG ist, hat es nicht mehr weit zur EU-DSGVO • Rechte der Betroffenen sind deutlich gestärkt • Strafen sind erheblich gestiegen (20 Mio € oder 4% Jahresumsatz bei „besonders schweren Verstößen“) • Die EU-DSGVO wird allen auferlegt, die europäischen Mitbürgern kommerzielle Dienste anbieten • Unsicherheit durch fehlende Rechtsprechung und schwierige Kategorien (wie IP-Adressen)

8. Die EU-DSGVO und das BDSG 8 • 99 Artikel in

   11 Kapiteln • Thema heute: Kapitel 3 • Art. 15 - Auskunftsrecht der betroffenen Person • Art. 16 - Recht auf Berichtigung • Art. 17 - Recht auf Löschung („Recht auf Vergessenwerden“)

9. Daten und Prozesse 03

10. Wo kommen wir her? Was war das Ziel? Welche Herausforderungen

    waren da? 10 Vorher: • Manuelle Prozesse • Laufzettel Ziel: • Automatisiertes System • WebUI für manuelle Bearbeitung • Zentral und erweiterbar Herausforderungen: • 10 oder 10000 Anfragen? • 400.000.000 Sendungsdaten pro Jahr • Viele heterogene Systeme

11. Welche Daten haben wir? 11 Daten mit Erfüllungs-Zweck: • Versenden

    von Paketen • Weitere Gesetze involviert • z.B. Postgesetz Daten haben einen Service-Zweck • Newsletter-Empfang • myhermes.de-Nutzung

12. Art. 17: Recht auf Löschung 12 • Daten werden nur

    den gesetzlichen Mindestbestimmungen nach aufgehoben • Finanzinformationen : 11 Jahre! • Sendungsauskunft: 1 Jahr und keine Forderungen • Unbestätigter Double-Opt-In: 30 Tage • Löschkonzepte in allen Applikationen • SelfService für myhermes.de

13. Art. 16: Recht auf Berichtigung 13 Auftragsdaten zur Zustellung von

    Paketen durch • Geschäftskunden (Otto, Amazon, etc) • Privatpersonen • Kein Usecase, da die Daten vom Auftraggeber kommen und Pakete innerhalb der Frist zugestellt ist Kundendaten für • myhermes.de • Newsletter-Versand • SelfService innerhalb myhermes.de

14. Art. 15: Auskunftsrecht der betroffenen Person 14 Eingangskanal Suchkriterien Suchergebnisse

    Ausgangskanal Brief E-Mail Telefon Post. Adresse E-Mail-Adresse Fax Kundennummer Sendungsnummern Brief E-Mail • Kunden melden sich beim ContactCenter per eMail, Brief oder Fax • Kunden geben Merkmale (Suchkriterien) an, um sich zu identifizieren

15. Art. 15: Auskunftsrecht der betroffenen Person 15 Unabhängig vom Eingangskanal

    sind die Suchkriterien Eingangskanal Suchkriterien Suchergebnisse Ausgangskanal Brief E-Mail Telefon Post. Adresse E-Mail-Adresse Fax Kundennummer Sendungsnummern Brief E-Mail

16. Art. 15: Auskunftsrecht der betroffenen Person 16 Unabhängig vom Eingangskanal

    ist der Ausgangskanal Eingangskanal Suchkriterien Suchergebnisse Ausgangskanal Brief E-Mail Telefon Post. Adresse E-Mail-Adresse Fax Kundennummer Sendungsnummern Brief E-Mail

17. Art. 15: Auskunftsrecht der betroffenen Person 17 Ist der Ausgangskanal

    „Brief“, so • geht er zwingend an die im Suchkriterium angegebene Adresse • beinhaltet er Daten aus den Suchkriterien Postalische Adresse (+Namen) und Sendungsnummer Eingangskanal Suchkriterien Suchergebnisse Ausgangskanal Brief E-Mail Telefon Post. Adresse E-Mail-Adresse Fax Kundennummer Sendungsnummern Brief E-Mail

18. Art. 15: Auskunftsrecht der betroffenen Person 18 Ist der Ausgangskanal

    „eMail“, so • geht sie zwingend an die im Suchkriterium angegebene eMail-Adresse • beinhaltet sie Kategorien von Daten aus den Suchkriterien eMail und Kundennummer Eingangskanal Suchkriterien Suchergebnisse Ausgangskanal Brief E-Mail Telefon Post. Adresse E-Mail-Adresse Fax Kundennummer Sendungsnummern Brief E-Mail

19. Plattform 04 credits @craig_tracey

20. 20 Open Telekom Cloud Plattform

21. 21 OTC OpenStack Plattform

22. 22 OTC OpenStack AppAgile (OpenShift) Plattform

23. 23 OTC OpenStack AppAgile Kubernetes Plattform

24. 24 OTC OpenStack AppAgile Kubernetes Docker Plattform

25. 25 OTC OpenStack AppAgile Kubernetes Docker Datenschutz Plattform

26. 26 OTC Openstack AppAgile Kubernetes Docker Datenschutz Plattform Java 8

    Spring React Grafana ELK Prometheus OracleDB Swagger Spock

27. API 05 credits @Ben Buchholt

28. 28 Datenschutz API ContactCenter POST /api/informationdemands 1 Demand Demand Demand

    +1 Betroffener

29. System System 29 Datenschutz API ContactCenter System 2 GET /api/informationdemands?key={system}

    Demand Demand Demand Betroffener Array Demand 1 Demand 2 Demand n

30. System System 30 Datenschutz API ContactCenter System 3 Demand-Array iterieren

    & im System suchen Demand Demand Demand Result Finding 1 Finding 2 Finding n Betroffener

31. System System Demand Demand Demand 31 Datenschutz API ContactCenter System

    4 PUT /api/informationdemands/{demand}/ results/{system} Result Result Result Finding 1 Finding 2 Finding n Result Finding 1 Finding 2 Finding n Betroffener

32. System System Demand Demand Demand 32 Datenschutz API ContactCenter GET

    /api/informationdemands/ {demand} 5 Betroffener System Result Result Result Finding 1 Finding 2 Finding n ResultStates System A - open System B - done System n – unknown

33. System System Demand Demand Demand 33 Datenschutz API ContactCenter GET

    /api/informationdemands/ {demand}/results/{system} 6 System Result Result Result Finding 1 Finding 2 Finding n Betroffener Demand Result Finding 1 Finding 2 Finding n

34. System System Demand Demand Demand 34 Datenschutz API ContactCenter 7

    System Result Result Result Finding 1 Finding 2 Finding n Betroffener Brief und/oder eMail

35. System System Demand Demand Demand -1 35 Datenschutz API ContactCenter

    POST /api/informationdemands/ {demand}/close System Betroffener 8

36. Security 06

37. 37 Datenschutz Security Systeme API-Gateway Auth-Server Backend Config Discovery Admin

    /oauth/* /api/* Ldap

38. 38 Datenschutz Security POST /oauth/token Authorization=Basic {id}:{secret} "grant_type":"client_credentials" API-Gateway 1

    Systeme • Client-ID • ClientSecret Auth-Server Auth Private Key JWT 2 "access_token": „{JWT}", "token_type": "bearer", "expires_in": {time}, • System 1 • System 2 • System n Auth-DB Ldap

39. 39 Datenschutz Security GET/POST /api/* Authorization=Bearer {JWT} API-Gateway 3 Systeme

    • Client-ID • ClientSecret 4 Response Backend JWT Auth Public Key User / Client • User / Role 1 • User / Role 2 • User / Role n Backend-DB

40. Fazit 05

41. Fazit 41 • Ca 10-fache Menge an Anfragen als vor

    der EU- DSGVO • Erweiterbare Prozesse • Stabile Architektur und skalierbares System • Einfache Anbindung • Bereit für Änderungen bei Gesetzesanpassungen • Zufriedene Anwender • Kam bei Mitarbeitern der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gut an • Agile Team wins

42. Eure Fragen 06

43. Kontakt Benjamin Buchholt [email protected] Diese und andere Präsentationen: https://speakerdeck.com/hermes Alle

    nicht weiter markierten Bild sind unter Creative Commons CC0 von pixabay.com entnommen.

44. Inhalt Platzhalter Präsentationstitel