Die EU-Datenschutz-Grundverordnung

Transkript

1 Die EU-Datenschutz-Grundverordnung Osnabrück, den Bremen, den Hamburg, den Dr. Ralf Kollmann Björn Haje Stefan Decker

2 Teil A: Änderungen im Datenschutzrecht

3 Pressestimmen Der künftige europäische Rechtsrahmen stellt eine historische Chance für die Stärkung des Datenschutzes innerhalb der EU dar. Andrea Voßhoff Bundesbeauftragte für den Datenschutz Google, Facebook & Co. EU nimmt es mit den Datenkraken auf Handelsblatt Neue EU-Datenschutz-Grundverordnung erzwingt Investitionen in IT-Sicherheit EU-Datenschutz könnte «bürokratisches Monster» schaffen Bitkom Ein Grundgesetz für den Datenschutz Handelsblatt

4 Drei Dinge, die Sie mitnehmen sollten: 1. Datenschutz wird schärfer Bußgelder werden erhöht, Regelungen vereinheitlicht Einheitliche Vorgaben durch EU-Datenschutzausschuss 2. Datenschutz wird aufwändiger und leichter kontrollierbar Nachweisbarkeit und Dokumentation werden wichtiger 3. Datenschutz wird anders Jedes Unternehmen wird das Datenschutzmanagement anpassen müssen 4

5 und wenn Sie sich nur eine Sache merken wollen und fangen Sie rechtzeitig mit der Vorbereitung an! 5

6 Agenda 1. Wie ist die Entwicklung der EU- Datenschutz-Grundverordnung (EU- DSGVO) verlaufen? 2. Welche Änderungen ergeben sich im Vergleich zum BDSG? 3. Welche Maßnahmen müssen durch Unternehmen ergriffen werden? 6

7 Agenda 1. Wie ist die Entwicklung der EU- Datenschutz-Grundverordnung (EU- DSGVO) verlaufen? 2. Welche Änderungen ergeben sich im Vergleich zum BDSG? 3. Welche Maßnahmen müssen durch Unternehmen ergriffen werden? 7

8 Ausgangslage Europaweite Umsetzung der 1995 erlassenen Datenschutzrichtlinie 95/46/EG in landesspezifische Datenschutzgesetze Deutschland: "Bundesdatenschutzgesetz" (BDSG) Österreich: "Datenschutzgesetz 2000" Frankreich: "Loi Informatique et Libertés" Anderer technischer Stand 1995: Es gab noch keine Smartphones, Tablets, kein Big Data und kein Google. Nationale Sonderregelungen, wie bspw. zur Werbung oder zum Adresshandel im Bundesdatenschutzgesetz Eigenständige und unabhängige Datenschutzaufsichtsbehörden je Land Wandel zur digitalen Gesellschaft mit stetig steigenden Anforderungen an den Datenschutz 8

9 Eine Erneuerung wird erforderlich Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG Datenschutz-Grundverordnung (EU-DSGVO) 9

10 Zielsetzungen für die EU-DSGVO Harmonisierung: Einheitlicher Rechtsrahmen für den Datenschutz in Europa (im nicht-öffentlichen Bereich) One-Stop-Shop: Effiziente europaweite Kooperation der Datenschutzaufsichtsbehörden Europäischer Datenschutzausschuss: Zentrale Koordination des Datenschutzes Schaffung zukunftssicherer Regelungen und Definitionen Damit auch erreicht: Starrheit Bearbeitung von mehr als 4000 Änderungsanträgen bis zur Verabschiedung Kurz- bis mittelfristige Gesetzesänderungen sind sehr unwahrscheinlich 10

11 Zeitplan bis zum Inkrafttreten der EU-DSGVO Erster Entwurf und Stellungnahmen Ablehnung erster Entwurf und Überarbeitungen Veröffentlichung zweiter und dritter Entwurf Abstimmung und finale Einigung im Trilog Verabschiedung / Veröffentlichung / Inkrafttreten Umsetzungsfrist für Unternehmen / Gesetzgeber Ablösung BDSG durch EU-DSGVO Vorbereitung / Umsetzung im Unternehmen x 25. Mai 2018 BDSG EU-DSGVO 11

12 Agenda 1. Wie ist die Entwicklung der EU- Datenschutz-Grundverordnung (EU- DSGVO) verlaufen? 2. Welche Änderungen ergeben sich im Vergleich zum BDSG? 3. Welche Maßnahmen müssen durch Unternehmen ergriffen werden? 12

13 Rechtsgrundsätze der EU-DSGVO Regelung mit "Durchgriffswirkung". Die EU-DSGVO gilt unmittelbar in jedem Mitgliedsstaat von Europa, ohne dass sie in nationales Recht umgewandelt werden muss. Eine Vielzahl von Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen in Form von sog. Anpassungsgesetzen zu erlassen. Das Ziel der Harmonisierung wird nur eingeschränkt erreicht Die Interpretation und Überwachung der EU-DSGVO wird koordiniert durch den Europäischen Gerichtshof (EuGH) Die Artikel 29 Gruppe wird formalisiert im Europäischen Datenschutzausschuss Anwendung der EU-DSGVO: Überwachung und Sicherstellung Festlegung von Bußgeldern 13

14 Rechtsgrundsätze der EU-DSGVO Grundlegende Paradigmen des BDSG gelten zukünftig auch auf Grundlage der EU-DSGVO, bspw: Verbot mit Erlaubnisvorbehalt (Art. 6) Transparenz (Art. 5 Abs. 1) Zweckbindung (Art. 5 Abs. 1) Datensparsamkeit (Art. 25 Abs. 2) Technische und organisatorische Schutzmaßnahmen (Art. 25 Abs. 1) Darüber hinaus sind neue Paradigmen festgelegt, bspw.: "Treu und Glauben" Nachweisbarkeit Risikobewertungen nach Eintrittswahrscheinlichkeit und Schadenshöhe 14

15 Sachlicher Geltungsbereich (Art. 2) Verarbeitung von Daten, die vollständig oder teilweise automatisiert erfolgt nichtautomatisiert erfolgt, soweit die Daten in einem Dateisystem gespeichert werden oder dies geplant ist Begriffsbestimmung zur "Verarbeitung" (Art. 4 Nr. 2): "mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang" im Zusammenhang mit personenbezogenen Daten Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschen, Vernichtung Beispielhafte (nicht abschließende) Liste Ausdrücklich weiter gefasst als im BDSG 15

16 Räumlicher Geltungsbereich Marktortprinzip (Art. 3) Einschlägigkeit bei Tätigkeit des Verantwortlichen, einer Niederlassung oder eines Datenverarbeiters in der EU, unabhängig davon, ob die Verarbeitung in der Union stattfindet. in der EU befindlichen, betroffenen Personen, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn der Person in der EU Waren oder Dienstleistungen angeboten werden, (Online-Shop in den USA, aber auch kostenlose Leistungen) oder das Verhalten der Person in der EU beobachtet wird (Webshops, Google, Facebook, diverse Apps) Keine Gültigkeit u.a. für Organe, Ämter und Einrichtungen der EU, Polizei. 16

17 Rechtsgrundlagen BDSG Einwilligung ( 4 Abs. 1) Gesetz oder andere Rechtsvorschrift ( 4 Abs. 1) Vertrag ( 28 Abs. 1) "Nutzung für einen anderen Zweck" ( 28 Abs. 2) EU-DSGVO Einwilligung (Art. 6 Abs. 1 a) (Sonderregelung für Kinder, Art. 8) Erfüllung einer rechtlichen Verpflichtung + Vertrag (Art. 6 Abs. 1 a) Schutz lebenswichtiger Interessen Aufgabe öffentlichen Interesses + Ausübung öffentlicher Gewalt + Wahrung berechtigter Interessen (Kinder gesondert zu berücksichtigen) Weiterverarbeitung (Art. 6 Abs. 4) + Öffnungsklauseln Auswirkungen Deutlich ausdifferenzierter als im BDSG Viele Spezialtatbestände nicht explizit geregelt (bspw. Werbung, Biometrie, Video) Häufig Abstellung auf generische Grundlagen, erfordert i.d.r. Interessenvergleich 17

18 Bußgelder BDSG Europaweit stark divergierende Bußgeldobergrenzen In Deutschland sind Bußgelder in Höhe von / EUR je Einzelfall vorgesehen ( 43 Abs. 3) Bußgelder in Millionenhöhe sind bisher absolute Ausnahmen (Lidl; Debeka; Deutsche Bahn) EU-DSGVO Drastische Erhöhung des Bußgeldrahmens sowie europaweite Vereinheitlichung Bußgeldrahmen von bis zu 10 / 20 Mio. EUR oder 2 % / 4 % des weltweiten Umsatzes der Unternehmensgruppe (je nachdem welcher Betrag höher ist) (Art. 83 Abs. 4-6) Die Bußgeldhöhe hängt von den Umständen des Einzelfalls ab (Art. 83 Abs. 2) Materielle und immaterielle Schäden können für Ansprüche auf Schadenersatz geltend gemacht werden (Art. 82 Abs. 1) Auswirkungen Die Wirtschaftskraft des Unternehmens wird nicht berücksichtigt Bußgelder müssen "wirksam, verhältnismäßig und abschreckend" sein Zukünftig auch Schadensersatz für immaterielle Schäden 18

19 Bußgeld-Katalog 1 (Art. 83 Abs. 4) Bußgelder Bis zu EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes je nachdem, welcher der Beträge höher ist Betroffen sind folgende Artikel: die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 und 43; Beispiele IT-Sicherheitsmanagement (Art. 25, 32) Zusammenarbeit mit der Aufsichtsbehörde (Art. 31) Alle Vorschriften zur Auftragsdatenverarbeitung (Art. 26, 28) Datenschutz-Folgeabschätzung (Art. 35) Datenpannen (Art. 33, 34) 19

20 Bußgeld-Katalog 2 (Art. 83 Abs. 5) Bis zu EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes je nachdem, welcher der Beträge höher ist Betroffen sind folgende Artikel: 1. Grundsätze für die Verarbeitung, einschließlich Einwilligung (Artikel 5, 6, 7, 9) 2. Rechte der betroffenen Person (Art. 12 bis 22) 3. Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (Art. 44 bis 49) 4. Alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden 5. Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 6. Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 20

21 Datenschutzbeauftragter BDSG Die Bestellung ist verpflichtend für: Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten. Ausgenommen sind nicht-öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. ( 4f Abs. 1) EU-DSGVO Die Bestellung ist verpflichtend für: Behörden oder öffentliche Stellen Unternehmen, deren Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht Unternehmen, die besondere Kategorien von Daten sowie Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten. (Art. 37 Abs. 1) Weisungsfrei / Berichtet an Geschäftsleitung + nationale Öffnungsklausel Die Bundesregierung plant Beibehaltung der bestehenden Regelungen. Auswirkungen Wechsel vom Hinwirkungs- zum Überwachungsauftrag Entwicklung in Richtung Revision / Compliance 21

22 Dokumentations- und Nachweispflichten BDSG Verfahrensverzeichnisse ( 4e, 4g) Vorabkontrollen ( 4d Abs. 5) Dokumentation von Auftragsdatenverarbeitungen, insb. TOMs beim Auftragnehmer ( 11 Abs. 2 S. 4) EU-DSGVO "Rechenschaftspflicht" Nachweis der Einhaltung einer rechtmäßigen Datenverarbeitung (Art. 5 Abs. 2) Nachweis erteilter Einwilligungen (Art. 7 Abs. 1) Nachweis der Datenschutzorganisation, insb. angemessener TOMs (Art. 24 Abs. 1) Dokumentation von Weisungen (Art. 28 Abs. 3 a) Verzeichnis der Verarbeitungstätigkeiten (Verantwortlicher und Auftragsverarbeiter, Art. 30 Abs. 1) Dokumentation von Sicherheitsvorfällen (Art. 33 Abs. 5) Datenschutzfolgeabschätzungen (Art. 35) Auswirkungen Mehr Transparenz, bspw. gegenüber Revision und Betroffenen Höherer bürokratischer Aufwand 22

23 Datenschutzfolgeabschätzungen BDSG Vorabkontrolle ( 4d Abs. 5) Automatisierte Verarbeitung "Besondere Risiken" für die Betroffenen Insbesondere bei: Verarbeitung "besonderer Daten" gem. 3 Abs. 9 oder Bewertung der Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens Keine konkreten Vorgaben zum Verfahren EU-DSGVO Datenschutzfolgenabschätzung (Art. 35) Erfordernis abhängig von Art, Umfang und Zwecken eingesetzter Technologie Insbesondere bei: Bewertung persönlicher Aspekte, inkl. Profiling Verarbeitung besonderer Daten gem. Art. 9 Abs. 1 Überwachung öffentlich zugängiger Bereiche Konsultation der Aufsichtsbehörde, wenn ohne getroffene Maßnahmen ein hohes Risiko bestünde (Art. 36) Auswirkungen Weitaus umfassendere und konkretere Regelung Ggf. erforderliche Konsultation der Aufsichtsbehörden birgt Chancen und Risiken 23

24 IT-Sicherheitsmanagement / Privacy by design BDSG Technische und organisatorische Maßnahmen ( 9) Umsetzung von Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. EU-DSGVO Privacy by design (Art 25 Abs. 1, Art. 24 Abs. 1, Art. 32) Höhere Anforderungen an die Konzeption der Maßnahmen (ggü. BDSG). Umfassende Anforderungen an die Maßnahmen selbst Explizite Anforderungen an die Kontrolle der Maßnahmen Reduzierung von Meldepflichten bspw. bei Datenpannen möglich (Art. 34 Abs. 3 a) Auswirkungen Mehraufwand zur Beurteilung der Angemessenheit von Maßnahmen Nachweispflicht erhöht Aufwand und erleichtert die Überwachung / Kontrolle Berücksichtigung bei der Umsetzung und bereits bei der Konzeption der Verfahren 24

25 IT-Sicherheitsmanagement / Privacy by design (2) Anforderungen an die Konzeption zu treffender Maßnahmen Berücksichtigung von: Stand der Technik ( ggf. Anpassung erforderlich, auch wenn die Verfahren unverändert bleiben) Implementierungskosten Art und Umfang der Datenverarbeitung Verarbeitungszwecken Risikobeurteilung nach Eintrittswahrscheinlichkeit und Schadenshöhe Nachweisbarkeit 25

26 IT-Sicherheitsmanagement / Privacy by design (3) Anforderungen an die Maßnahmen selbst Sicherstellung von: Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit Zugang zu den Daten (bzw. Wiederherstellung) Anforderungen an die Überwachung der Maßnahmen Einrichtung eines Kontrollverfahrens: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit Gewährleistung der Sicherheit der Verarbeitung 26

27 Privacy by default BDSG Datensparsamkeit ( 3a) Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollen möglichst gering ausfallen. Anonymisierung / Pseudonymisierung, soweit möglich und nicht unverhältnismäßig. EU-DSGVO Privacy by default (Art 25 Abs. 2, Art. 5 Abs. 1c) Minimierung der verarbeiteten Daten durch Voreinstellung Umfasst auch Menge der Daten Umfang der Verarbeitung Speicherfristen Zugangsbeschränkungen Auswirkungen Umfassendere Regelungen Mehraufwand zur Beurteilung der Angemessenheit von Maßnahmen. Dokumentation. Berücksichtigung bereits bei der Konzeption der Verfahren 27

28 Auftragsdatenverarbeitung 1. Auftraggeber BDSG Verantwortlichkeit und Haftung für die Auftragsdatenverarbeitung liegen beim Auftraggeber ( 11 Abs. 1) Missachtung der Vorschriften bußgeldbewährt nur gegenüber dem Auftraggeber ( 43 Abs. 1) Pflichten: Vertragliche Regelung ( 11 Abs. 2) Prüfung der TOMs ( 11 Abs. 2 S. 4) EU-DSGVO Wesentliche Pflichten des Auftraggebers bleiben erhalten, bspw. Sorgfältige Auswahl von Auftragnehmern ("Garantien", Art. 28) Verpflichtung zur vertraglichen Regelung Änderungen: Inhalte der vertraglichen Regelung, bspw. "dokumentierte Weisungen" Bestehende Verträge sind zu prüfen und ggf. anzupassen Kontrollpflicht nicht ausdrücklich, aber mittelbar (Art. 5 Abs. 2, Art. 32) Auswirkungen Prüfung bestehender Verträge Prüfung Anforderungen an den Auftragnehmer und etwaiger Dokumentationspflichten Ggf. Einführung neuer Verfahren, bspw. zur Weisung 28

29 Auftragsdatenverarbeitung 2. Auftragnehmer / Subunternehmer BDSG Keine unmittelbare Haftung des Auftragnehmers Bußgelder gegen Auftragnehmer wurden nur in seltenen Ausnahmen verhängt EU-DSGVO Neue Pflichten für Auftragnehmer Erweiterung der datenschutzrechtlichen Verantwortung auf den Auftragnehmer Haftungsrisiko für Auftragnehmer erheblich erweitert gesamtschuldnerische Haftung (Art. 79) Einsatz von Subunternehmern Zustimmungserfordernis für Einsatz von Subunternehmen und Informationspflicht bei Änderungen Auftragnehmer übernimmt die Pflichten des Auftraggebers gegenüber seinen Subunternehmen Auswirkungen Deutlich erweitertes Haftungsrisiko durch gesamtschuldnerische Haftung Mehraufwand zur Einhaltung von Vorschriften und Sicherstellung der Nachweisbarkeit Mehraufwand und erweiterte Pflichten bei Einbeziehung von Subunternehmern 29

30 Auftragsdatenverarbeitung 3. Funktionsübertragung BDSG Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung Bestehen einer Rechtsgrundlage bei Funktionsübertragung zu gewährleisten Keine Privilegierung der Funktionsübertragung Gleichzusetzen mit Übermittlung EU-DSGVO Alte und neue Regelungsoptionen: Auftragsdatenverarbeitung (Art. 28) "Gemeinsame Verarbeitung" (Art. 26) Gemeinsame Festlegung der Zwecke durch AG und AN Regelungspflicht Transparenzpflicht ggü. Betroffenen Übermittlung (Art. 4 Abs. 2) Adressat ist ein Dritter, der eigene Zwecke verfolgt Rechtsgrundlage sicherzustellen Allgemeine Nachweispflichten Auswirkungen Bestehende Funktionsübertragungen müssen ggf. umgestaltet werden Pflichten sind zu identifizieren: Rechtsgrundlagen, Verträge, Prüfungen, Nachweise 30

31 Betroffenenrechte BDSG Rechte des Betroffenen ( 6) Auskunft ( 19, 34) Berichtigung, Löschung oder Sperrung ( 20, 35) EU-DSGVO Art Artikel 12 Transparente Information, Kommunikation und Modalitäten Artikel 13 Informationspflicht bei Direkterhebung Artikel 14 Informationspflicht bei indirekter Erhebung Artikel 15 Auskunftsrecht Artikel 16 Recht auf Berichtigung Artikel 17 Recht auf Löschung ("Vergessenwerden") Artikel 18 Recht auf Einschränkung der Verarbeitung Artikel 19 Mitteilungspflicht Artikel 20 Recht auf Datenübertragbarkeit Artikel 21 Widerspruchsrecht Artikel 22 Automatisierte Entscheidungen / Profiling Artikel Datenpannen Auswirkungen Die Ausgestaltung entspricht in vielen Punkten dem deutschen Recht Die Regelungen gehen jedoch weiter (bspw. Datenübertragbarkeit) Bußgeldkatalog 2 signalisiert eine zukünftig stärkere Bedeutung 31

32 Werbung BDSG Die Nutzung personenbezogener Daten für Zwecke der Werbung ist zunächst zulässig, soweit der Betroffene eingewilligt hat. Zusätzlich existieren Ausnahmeregelungen, bspw: Nutzung von "Listendaten" für eigene Angebote Transparente Übermittlung Transparente Nutzung EU-DSGVO Keine explizite Regelung für Werbung Auslegung der generischen Zulässigkeitsvoraussetzungen erforderlich Widerspruchsrecht für Direktwerbung explizit geregelt (Art. 21 Abs. 2 und 3) Die Zulässigkeit von Werbemaßnahmen wird sich zukünftig vornehmlich an der Interessenabwägung (und ggf. Weiterverarbeitung) orientieren (Art. 6 Abs. 1) Sonderregelungen aus TMG und UWG bleiben in Kraft Auswirkungen Möglichkeit der Ausweitung von Werbetätigkeiten, aber: Gesteigerte Dokumentationspflichten und Risiken aus höheren Geldbußen Weiterhin Einschränkungen für Werbung per und Telefon 32

33 Beschäftigtendatenschutz BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses zulässig ( 32) EU-DSGVO Es sind keine spezifischen Regelungen zum Beschäftigtendatenschutz enthalten. + Öffnungsklausel: Nationale Regelung des Beschäftigtendatenschutzes (Art. 88 Abs. 1) Auswirkungen Konkrete Ausgestaltung des Beschäftigtendatenschutzes noch unklar Übernahme der bisherigen Regelung ( 32 BDSG) im Hinblick auf die knappe Zeit zur Umsetzung denkbar 33

34 Videoüberwachung BDSG Die Videoüberwachung öffentlich zugänglicher Räume ist unter bestimmten Zwecken zulässig. Bspw. zur Wahrnehmung des Hausrechts ( 6b Abs. 1) Die Rechtmäßigkeit der Videoüberwachung ist in der Regel im Rahmen einer Vorabkontrolle zu untersuchen ( 4d Abs. 1) EU-DSGVO Es sind keine spezifischen Regelungen zum Beschäftigtendatenschutz enthalten. Erfordernis einer "Datenschutz- Folgenabschätzung" bei "systematischer und umfangreicher Überwachung" (Art. 35 Abs. 3) Auswirkungen Anwendung generischer Zulässigkeitsvoraussetzungen bringt größeren Prüfungs- und Dokumentationsaufwand geringere Rechtssicherheit 34

35 Agenda 1. Wie ist die Entwicklung der EU- Datenschutz-Grundverordnung (EU- DSGVO) verlaufen? 2. Welche Änderungen ergeben sich im Vergleich zum BDSG? 3. Welche Maßnahmen müssen durch Unternehmen ergriffen werden? 35

36 Zusammenfassung: Welche Gesetze gelten wann? Bis Mai 2018 gelten die aktuellen nationalen Regelungen In Deutschland bspw: BDSG, Landesgesetze, TMG Ab 25. Mai 2018 gilt die EU-DSGVO. Das BDSG und die RL 95/46/EG treten außer Kraft. Öffnungsklauseln müssen durch die nationalen Gesetzgeber bis dahin in nationalem Recht umgesetzt sein Umsetzungsgesetze ("BDSG-Folgegesetz") werden bis Mitte 2017 erwartet, um eine Verabschiedung vor der Bundestagswahl zu ermöglichen Andere datenschutzrelevante Gesetze behalten generell ihre Gültigkeit: Bspw. Landesdatenschutzgesetze, TMG, SGB X Die Bundesregierung prüft bis zu 200 Gesetze auf Anpassungsbedarf Unsichere Rechtslage für 5 7 Jahre antizipiert. 36

37 Nächste Schritte Ermittlung des Handlungsbedarfs Welche Maßnahmen wurden bereits getroffen? Ist ein Update erforderlich? Prozesse IT-Systeme Rechtsgrundlagen Datenschutzorganisation Umsetzung nach altem oder neuem Recht? Beispiele für zentrale Aufgaben Identifikation von Dokumentationslücken und Anforderungen aufgrund neuer Nachweispflichten Prüfung von Rechtsgrundlagen, insbesondere bei "innovativen" Prozessen Prüfung von ADV-Verträgen und Funktionsübertragungen Bei Dienstleistern: Identifikation und Adressierung entstehender Haftungsrisiken Aufbau des IT-Sicherheitsmanagements 37

38 Essenz Drei Dinge, die Sie mitnehmen sollten: 1. Datenschutz wird schärfer Bußgelder werden erhöht, Regelungen vereinheitlicht Einheitliche Vorgaben durch EU- Datenschutzausschuss 2. Datenschutz wird aufwändiger und leichter kontrollierbar Nachweisbarkeit und Dokumentation werden wichtiger 3. Datenschutz wird anders Jedes Unternehmen wird das Datenschutzmanagement anpassen müssen 38

39 Teil B: Aufbau IT- Sicherheitsmanagement

40 Agenda 1. Anforderungen der EU-DSGVO an ein IT-Sicherheitsmanagement 2. Überblick Bedrohungsszenarien 3. Bedrohungsszenario Cyberangriffe 1. Akteure und Risiken 2. Fallbeispiele 3. Risikoklassifizierung 4. Inhalte IT-Sicherheitskonzept 5. Beispiele für Maßnahmen 1. Vor Schadenseintritt 2. Während Schadenseintritt 3. Nach Schadenseintritt 6. Kontinuierliches Audit 40

41 1. Anforderungen der EU-DSGVO an ein IT-Sicherheitsmanagement Artikel 24, Abs. 1: Der Verantwortliche setzt [ ] geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. [ ] Artikel 25, Abs. 1: Unter Berücksichtigung des Stands der Technik [...] trifft der Verantwortliche [ ] geeignete technische und organisatorische Maßnahmen [ ], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen [ ]. Artikel 25, Abs. 2: Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Artikel 32, Abs. 1: Unter Berücksichtigung des Stands der Technik [ ] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: [ ] ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 41

42 2. Überblick Bedrohungsszenarien Physischer Verlust Cyberangriffe Logische Fehler Anforderungen EU-DSGVO Vertragl. Compliance Going Pflichten Concern IT-Sicherheitsmanagement 42

43 3. Bedrohungsszenario Cyberangriffe Akteure und Risiken Dienstleister Informationsdiebstahl Viren, Malware, maliziöse Apps etc. Staatliche Akteure Wirtschaftsspionage Sabotage UNTERNEHMEN Gast Informationsdiebstahl Unerlaubter Zugriff auf bzw. Veränderung der IT-Systeme / der IT-Infrastruktur Kriminelle Hacker DDoS Website Defacing Kundendatendiebstahl Wettbewerber Wirtschaftsspionage Sabotage Kundendatendiebstahl Mitarbeiter Datendiebstahl Social Engineering Spear Phishing Viren, Malware, maliziöse Apps etc. 43

44 3. Bedrohungsszenario Cyberangriffe Fallbeispiele Sueddeutsche.de, 5. November 2014 Der Boss, der keiner ist Beim Fake-President-Trick geben sich Kriminelle als Unternehmenschefs aus und verlangen Millionenüberweisungen von Mitarbeitern. Das funktioniert erstaunlich gut. [ ] Wirtschaftswoche Ein Mittelständler in den Fängen von Hackern Hacker treiben ein kleines Unternehmen fast in den Konkurs: Sie stehlen die Identität eines Managers aus der Datenbank eines Großkonzerns und vergeben fortan perfekt fingierte Aufträge. [ ] Spiegel Online, 17. August 2015 Cyberattacke in der Keksfabrik Als die Konstrukteure einer kanadischen Keksfabrik gefragt wurden, welche Folgen sie sich durch Cyberangriffe auf die Anlage vorstellen könnten, antworteten sie: "versalzenen Keksteig". Mehr als der Verlust einer Tagesproduktion sei durch eine bösartige Manipulation nicht zu erwarten, dachten die Ingenieure. Leider falsch. Tatsächlich stand die Fabrik komplett still, nachdem Unbekannte in deren Netzwerk eingedrungen waren. [ ] Ob der Ausfall ein unglücklicher Nebeneffekt oder gezielte Sabotage war, sei unklar, [ ] 44

45 Schadenshöhe 3. Bedrohungsszenario Cyberangriffe Risikoklassifizierung Situation: Die Anwaltsgesellschaft P verwaltet für Ihre mittelständischen Mandanten aus dem Bereich der Automobilzuliefererbranche Patentportfolios. Die wenigen Mitarbeiter sind alle langjährig auch aus privatem Umfeld bekannt, viele tun sich jedoch in der Nutzung von PCs immer noch schwer. Aktuell wird die Anmeldung mehrerer hochinnovativer Patente vorbereitet. Andere Kanzleien derselben Branche wurden im letzten Jahr vermehrt Opfer von Leaks der verwalteten Daten. Beispielhafte Risikoklassifizierung: Kritisch Wirtschaftsspionage Hoch Mittel Datendiebstahl durch Mitarbeiter Viren, Malware, maliziöse Apps etc. Niedrig Website Defacing Niedrig Mittel Hoch Sehr Hoch Eintrittswahrscheinlichkeit 45

46 4. Inhalte IT-Sicherheitskonzept Entwicklung der IT-Sicherheitsstrategie Identifizierung der schützenswerten Gegenstände (Security Assets) und des jeweiligen Schutzbedarfs für: IT-Systeme (bspw. Server- und Netzinfrastruktur) IT-Prozesse Informationen andere Assets Klassifizierung der Bedrohungen Aufnahme des Status Quo getroffener Schutzmaßnahmen Ableitung und Konzeption zu treffender Maßnahmen als Querschnittsfunktionen und/oder im Kontext der IT-Systeme 46

47 5. Beispiele für Maßnahmen Vor Schadenseintritt Notfallplanung, Betriebshandbuch, Dokumentation Konzept Schutz mobiler Geräte / Bring Your Own Device Konzept Home-Office / Telearbeit Umgang mit Dienstleistern Auswahl und Überwachung von Dienstleistern Auftragsdatenverarbeitung Datenverarbeitung im Ausland Datensicherung und Wiederherstellungsverfahren Berechtigungskonzeption Data Loss Prevention Firewalls, Virenschutz, Awareness 47

48 5. Beispiele für Maßnahmen Während Schadenseintritt Feststellen des Schadeneintritts Monitoring IDS Logüberwachung Isolierung betroffener Systeme Beweissicherung, Dokumentation Alarmierungs- und Eskalationsverfahren 48

49 5. Beispiele für Maßnahmen Nach Schadenseintritt Gesetzliche Offenlegungspflichten Kommunikationsstrategie nach Außen/gegenüber Mitarbeitern Polizeiliche/interne Ermittlung Forensische Analysen Verhinderung der Wiederholung 49

50 6. Kontinuierliches Audit ACT Anpassungsbedarf identifizieren PLAN Maßnahmen planen Sicherheit ist kein Zustand, sondern ein Prozess. CHECK Effektivität beurteilen DO Maßnahmen umsetzen 50

51 Vielen Dank für Ihre Aufmerksamkeit. Dr. Ralf Kollmann Björn Haje Stefan Decker T M F b.haje@fides-it-consultants.de T M F s.decker@fides-it-consultants.de T M F FIDES IT Consultants GmbH Birkenstraße 37 Am Kaiserkai Bremen Hamburg 51