Datenschutz-Folgenabschätzung gem. DSGVO

Transkript

1 Aus der Vorabkontrolle wird die Folgenabschätzung Datenschutz-Folgenabschätzung gem. DSGVO Folie 1

2 Reinhard M. Novak Zur Person des Vortragenden Von 1991 bis 2001 IT Manager bei AT&T und Lucent Technologies Von 2001 bis 2007 IT Process Manager bei Agere Systems Schwerpunkt: Weltweite Einführung von ITIL basierenden Service Prozessen Seit 2007 selbständiger Berater und Trainer in den Bereichen ITIL Service Management und Datenschutz Schwerpunkt: Service Management, technisch organisatorische Maßnahmen für den Datenschutz Externer Datenschutzbeauftragter nach Zertifizierter Auditor nach DSZ Standard Folie 2

3 Rechtliche Grundlagen Folie 3

4 Datenschutzfolgenabschätzung Warum, wieso, weshalb? Den Erwägungsgründen der DS-GVO (bes. 89) ist zu entnehmen, dass unterschiedslose, allgemeine Meldepflichten abgeschafft, und durch wirksame Verfahren ersetzt werden sollen, die sich statt dessen vorrangig mit Verarbeitungsvorgängen befassen, die ein wahrscheinlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. In solchen Fällen (Erwägungsgrund 90) soll der Verantwortliche bei geplanten kritischen Verarbeitungen eine DSFA durchführen, in der Eintrittswahrscheinlichkeit und Schwere des Risikos bewertet werden, Maßnahmen zur Minderung des Risikos in der DSFA beschrieben sind, und die DSFA der zuständigen AB vorlegen (Erwägungsgrund 94). Kann das Risiko nicht durch vertretbare Maßnahmen gemindert werden, besteht eine Rechtspflicht, die AB zu konsultieren (Artikel 36 DS-GVO). Folie 4

5 Art. 35 DS-GVO als zentrale Rechtsvorschrift Art. 35 Abs. DS-GVO (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Dazu Erwägungsgrund (92): Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten. Folie 5

6 Regelbeispiele für DSFA Durchführungspflicht Gem. Art. 35 Abs. 3 DS-GVO ist eine DSFA insbesondere durchzuführen bei a. Systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen; b. Umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder Daten über strafrechtliche Verurteilungen und Straftaten; c. systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche Alles klar? Folie 6

7 Weitere Regeln für die DSFA Durchführungspflicht Gem. Art. 35 Abs. 4,5 DS-GVO haben die AB eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine DSFA durchzuführen ist; können die AB eine Liste mit Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die ausdrücklich keine DSFA durchgeführt werden muss. Gem. Art. 35 Abs. 10 DS-GVO wird es weitgehend ins Ermessen der Mitgliedstaaten gestellt, ob eine DSFA erforderlich ist, wenn es sich um Verarbeitungsvorgänge handelt, die entweder in Erfüllung einer rechtlichen Pflicht erforderlich sind (z.b. Aufbewahrungspflichten), oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich sind oder in Ausübung öffentlicher Gewalt erfolgen (z.b. Steuerverwaltung) Unterschiedliche Anforderungen an öffentlichen und privaten Sektor? Immer noch alles klar? Folie 7

8 Inhaltliche Anforderungen an eine DSFA Art. 35 Abs. 7 DS-GVO stellt allgemeine Mindest-Vorgaben an eine DSFA auf: a. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Folie 8

9 Durchführungsverantwortung und zu Beteiligende Die Durchführungsverantwortung für eine DSFA liegt beim Verantwortlichen Der Datenschutzbeauftragte ist zu beteiligen ggf. ist der Standpunkt der betroffenen Personen oder ihrer Vertreter einzuholen Erforderlichenfalls soll der Auftragsverarbeiter den Verantwortlichen auf Anfrage bei der Gewährleistung der Einhaltung der sich aus der Durchführung der DSFA und der vorherigen Konsultation der AB ergebenden Auflagen unterstützen (Erwägungsgrund 95) Folie 9

10 Methodische Ansätze und Standards für die Risikoanalyse und den Umgang mit Risiken Folie 10

11 Erkennen und Umgang mit Risiken Beispiel: Risikoanalyse auf der Basis von IT Grundschutz BSI-S ITGrundschutzstandards/standard_1003_pdf.pdf? blob=publicationfile Wurde 2008 durch stärkere Betonung der Informationssicherheit angepasst. Zielsetzung: Potentielle Anwendungsgebiete einer solchen Analyse in Behörden und Unternehmen sind beispielsweise Zielobjekte, die einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben Folie 11

12 Erkennen und Umgang mit Risiken - Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit als Schutzziele der Informationssicherheit sollten für Risikobetrachtungen gemäß dem Standarddatenschutzmodell des AK Technik der DSB des Bundes und der Länder als Gewährleistungsziele betrachtet, und um die Schutzziele Nichtverkettbarkeit durch Zweckbestimmung Transparenz durch Prüffähigkeit Intervenierbarkeit und Datensparsamkeit ergänzt werden. Folie 12

13 Auswirkung Methodische Ansätze - Risikobewertung Methodischer Ansatz aus Informationssicherheits- bzw. IT Sicherheits- Management verwendet zwei essentielle Parameter: Auswirkung und Eintrittswahrscheinlichkeit. sehr hoch hoch mittel gering gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Folie 13

14 Strategien im Umgang mit Risiken Im Informationssicherheits- bzw. IT Sicherheits-Management sind diese Strategien für den Umgang mit Risiken gebräuchlich: Vermeidung (= Risikovermeidung) Behandlung (= Risikomodifikation) Transfer (= Risikoteilung) Akzeptanz (= Risikobeibehaltung) Nicht alle möglichen Strategien sind jedoch für den Umgang mit Datenschutzrisiken geeignet. Folie 14

15 Strategien im Umgang mit Datenschutz-Risiken Beim Umgang mit Datenschutzrisiken sind folgende Strategien geeignet: Vermeidung (= Risikovermeidung), da durch Vermeidung einer Verarbeitung oder Nutzung kein Datenschutzrisiko weiterhin besteht (ist jedoch wenig praxisnah) Behandlung (= Risikomodifikation), durch die Einführung angemessener Maßnahmen wird der Eingriff in die Rechte und Freiheiten des Betroffenen reduziert; allerdings bleibt dabei in der Regel ein Restrisiko übrig; Vergleiche dazu Art. 32 DS-GVO Sicherheit der Verarbeitung und Erwägungsgrund (83). Folie 15

16 Strategien im Umgang mit Datenschutz-Risiken Nicht geeignet sind beim Umgang mit Datenschutzrisiken diese Strategien: Transfer (= Risikoteilung, z.b. durch Versicherung), da die verantwortliche Stelle weiterhin voll verantwortlich bleibt. Sind Bußgeldtatbestände gut versicherbar? Akzeptanz (= Risikobeibehaltung), da die unveränderte Inkaufnahme eines Datenschutzverstoßes mangelnde Sorgfalt zeigen kann und nicht nur die Eintrittswahrscheinlichkeit erhöhen, sondern auch zusätzlichen Schadensersatz begründen kann. Folie 16

17 Auswirkung Methodische Ansätze Risikobehandlung Bsp. 1a Für eine feststehende Auswirkung kann ein Risiko nur durch Verringerung der Eintrittswahrscheinlichkeit gemindert werden. Z.B. unbefugter Zutritt. Aktuell: Schlüsselregelung. Risikobewertung: sehr hoch hoch mittel gering gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Folie 17

18 Auswirkung Methodische Ansätze Risikobehandlung Bsp. 1b Z.B. unbefugter Zutritt. Geänderte Maßnahme: Biometrische Zutrittskontrolle. Neue Risikobewertung: sehr hoch hoch mittel gering gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Folie 18

19 Auswirkung Methodische Ansätze Risikobehandlung Bsp. 2a Für eine feststehende Eintrittswahrscheinlichkeit kann ein Risiko nur durch Verringerung der Auswirkung gemindert werden. Z.B. unbefugter Zugriff auf Daten durch Abhandenkommen mobiler Datenträger (Smartphone). Aktuell: Keine Maßnahme. Risikobewertung: sehr hoch hoch mittel gering gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Folie 19

20 Auswirkung Methodische Ansätze Risikobehandlung Bsp. 2b Z.B. unbefugter Zugriff auf Daten durch Abhandenkommen mobiler Datenträger (z.b. Smartphone). Geänderte Maßnahme: Verschlüsselter Datencontainer. Neue Risikobewertung: sehr hoch hoch mittel gering gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Folie 20

21 IT-Sicherheitsstandards als Referenz? Es existieren bereits eine Reihe branchenunabhängiger und branchenspezifischer Standards für das Risikomanagement und die Planung und Umsetzung technischer und organisatorischer Massnahmen zur IT- Sicherheit, z.b.: ISO (Risikomanagement) BSI bis (Grundschutzmodelle); ISO (Business Continuity Management); ISO (Informationssicherheit); Datenschutzanforderungen haben einen sehr viel höheren Verpflichtungsgrad als Anforderungen an die IT-Sicherheit! Folie 21

22 IT-Sicherheitsstandards als Referenz? Das ITSiG bzw. BSI-Gesetz sieht vor, dass zur Festlegung der Anforderungen an die Umsetzung von 8a (1) BSIG (inkl. des Stands der Technik ) von Betreibern Kritischer Infrastrukturen oder ihren Fachverbänden branchen-spezifische Sicherheitsstandards (B3S) erarbeitet werden können. Die Erarbeitung von B3S erfolgt vorzugsweise in den Branchenarbeitskreisen (BAK) des UP KRITIS. Der Sektor Staat und Verwaltung umfasst die ganze Bandbreite staatlicher Einrichtungen sowohl auf Bundes- als auch auf Landes- und Kommunalebene. Siehe atundverwaltung/staatundverwaltung_node.html Folie 22

23 Standard Datenschutzmodell als Referenz? Siehe Beginnt mit einer Prüfung der Rechtsgrundlagen Legt den Schutzbedarf aus der Betroffenenperspektive und der Eingriffsintensität fest Der Referenzschutzmaßnahmenkatalog ist z.zt. noch in Arbeit. Folie 23

24 (Vorläufige) Zusammenfassung Folie 24

25 (Vorläufige) Zusammenfassung Das Erstellen von DSFA ist durch die DS-GVO in bestimmten (?) Fällen zwingend vorgeschrieben, jedoch liegen bisher weder die Positiv- noch die Negativlisten der AB für die obligatorische Durchführung bzw. den Wegfall einer DSFA vor fehlen für das Erstellen von DSFA datenschutzspezifische Standards oder Vorgaben der AB fehlen jegliche praktische Erfahrungswerte ist der Umgang mit erstellten DSFA (Kenntnisnahme durch Betroffene, Öffentlichkeit, Verantwortliche als Nutzer von Produkten oder Dienstleistungen) noch völlig offen Folie 25

26 Kontaktinformation Reinhard M. Novak Danke für Ihre Aufmerksamkeit! DSB Datenschutz extern Reinhard M. Novak Schlierbergstrasse Freiburg Tel kontakt@dsb-ext.com Folie 26