Audit und Gütesiegel

Transkript

1 Audit und Gütesiegel Christian Prietz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2 Gütesiegel über Gütesiegel 2

3 Warum braucht der Datenschutz ein eigenes Gütesiegel? Betroffene: Fehlendes Vertrauen in die ordnungsgemäße Verarbeitung ihrer Daten und das Gefühl, keine Kontrolle mehr über die (eigenen) Daten zu besitzen Unklarheit bei Anwendern / Beschaffern über die Anforderungen im Bereich Datenschutz Stand der Technik? Recht? Datenschutz für beinahe alle Bereiche / Produkte relevant 3

4 9a Bundesdatenschutzgesetz: Gesetzliche Regelungen Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. 4

5 Vergleichbare Regelungen Bundesrecht 78 c Sozialgesetzbuch X Landesrecht 11 b Abs. 2 Brandenburgisches Datenschutzgesetz 7 b Bremisches Datenschutzgesetz 5 Abs. 2 Landesdatenschutzgesetz Mecklenburg-Vorpommern 4 Abs. 2 Datenschutzgesetz Nordrhein-Westfalen 4 Abs. 2 Landesdatenschutzgesetz Schleswig-Holstein 5

6 Audit / Zertifizierung Auditierung Verfahrensbezogen Datenverarbeitung in einem Unternehmens oder einer Behörde oder einem Teilbereich dieser Organisation Datenschutzmanagement Zertifizierung Produktbezogen Produkt eines Anbieters (Hardware, Software oder IT-Dienstleistung) Ermöglichung oder Erzwingung des datenschutzgerechten Einsatzes beim Anwender durch technische oder organisatorische Vorgaben 6

7 Datenschutzaudit nach dem Landesdatenschutzgesetz Schleswig-Holstein 43 Abs. 2 LDSG SH Öffentliche Stellen können ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. 7

8 Auf freiwilliger Basis (Vertrag mit dem ULD) Gegenstand des Audits: Behörden Abgrenzbare Teile von Behörden Einzelne Verfahren Voraudit und Hauptaudit Durchführung des Auditverfahrens in 3 Schritten Bestandsaufnahme Festlegung der Datenschutzziele Einrichtung eines Datenschutzmanagementsystems Begutachtung des Prozesses durch das ULD Auditverleihung Veröffentlichung des Kurzgutachtens des ULD Befristung des Audits für 3 Jahre Auditverfahren 8

9 Zertifizierung 9

10 Wichtige Faktoren /Anforderung an Zertifizierungen Transparenz der Zertifizierung Kriterien Zertifizierungsprozess Zertifizierungsergebnisse Nachprüfbarkeit der Zertifizierung Wird erreicht durch Transparenz Glaubwürdigkeit Durch unabhängige, neutrale und kompetente Zertifizierungsstelle Transparenz der Prüfergebnisse (ermöglicht Vergleich ähnlicher Produkte/Dienste) => Vertrauen in die Zertifizierung 10

11 Einführung des Gütesiegels 2001 Vorrangiger Einsatz von Produkten, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurden. 11

12 Datenschutzauditverordnung 2001 Seit 30.November 2013 Datenschutzgütesiegelverordnung (DSGSVO) Zertifizierungsfähige IT-Produkte: Hardware, Software und automatisierte Verfahren, die zur Nutzung durch öffentliche Stellen geeignet sind Regelung des Zertifizierungsverfahrens: Begutachtung durch externe Sachverständige Inhalt des Gutachtens Kurzgutachten zur Veröffentlichung Regelung der Anerkennung von Sachverständigen Ermächtigung zur Erhebung von Gebühren 12

13 -Ablauf des Verfahrens Produkt 8Eignung für s.-h. Verwaltung 8Herstellungsort beliebig 8Realer Einsatz überall Gutachter 8Akkreditiert 8Eignung geprüft 8Recht und Technik Zertifizierung durch ULD 8Überprüfung des Gutachtens 8Verleihung des Gütesiegels Begutachtung 8Zugrundelegung der Kriterien 8Kurzgutachten 13

14 Besonderheiten nationaler /regionaler Regelungen Nationale / Regionale Regelungen im Bereich der Zertifizierung weisen eine Reihe von Problemen auf Keine einheitliche Umsetzung der Datenschutzrichtlinie in den einzelnen Mitgliedsländern bzw. unterschiedliche LDSG in den Bundesländern Keine vergleichbaren Reglungen in anderen Bundesländern => Fehlende oder unzureichende Anerkennung der Zertifizierung in anderen Staaten / Bundesländern Mögliche Lösung: Zertifizierungsschema aufbauend auf europäischer Grundlage (Richtline, Rechtsprechung, Art. 29 Gruppe etc.) 14

15 EuroPriSe Einführung als Projekt Juni 07 Februar 09 EU-Förderung 1.3 Mio. Projekt-Partner aus 8 Ländern Markteinführung seit März 2009 durch das ULD Mehr als 100 zugelassene Experten in 13 Ländern abgeschlossene Verfahren Unterstützt vom EDPS Vorbildlich lt. französischem Senatsbericht (06/09) Neues Logo seit 08/09 Projekt-Partner: BORKING CONSULTANCY 15

16 EuroPriSe II Seit Übergang auf die EuroPriSe GmbH mit Sitz in Bonn Weiterhin gemeinsame Verfahren ( Kombiverfahren ) ULD ist im Advisory Board vertreten 16

17 Einsatzbereiche der zertifizierten Produkte Haupteinsatzbereiche: Targeting-Lösungen (Gütesiegel S.-H. und EuroPriSe) Sicherer Internetanschluss (Gütesiegel S.-H.) Archivierungssystem (Gütesiegel S.-H.) Betrugsbekämpfungssoftware im Bankenbereich (EuroPriSe) Medizinbereich (Gütesiegel S.-H. und EuroPriSe) Datenträgervernichtung (Gütesiegel S.-H.) Software für die Verfremdung von Bilder einer Videoüberwachung (EuroPriSe) 17

18 Dauer und Kosten der Gütesiegelverfahren Phase 1: Begutachtung durch Sachverständigen Dauer und Kosten abhängig von: Qualität des Produkts Qualität und Vollständigkeit der Dokumentation Kosten frei verhandelbar Phase 2: Überprüfung durch Zertifizierungsstelle Dauer und Kosten abhängig von: Qualität des Produkts und der Dokumentation Qualität des Gutachtens Kosten nach Gebührensatzung (gültig für Gütesiegel S.-H.) Grundgebühr (in der Regel 1280,- bis 3840,- Euro) Erstattung zusätzlichen Aufwands durch Zusatzgebühren 18

19 Rezertifizierung Zertifizierung ist auf 2 Jahre befristet Regelfall: Rezertifizierung in vereinfachtem Verfahren nach Ablauf der Gültigkeitsdauer: Lediglich Änderungen des Produktes, der Technikund Rechtslage und der Bewertung werden berücksichtigt. bei umfangreicheren, erheblichen Änderungen des Produktes oder der Technik- und Rechtslage: Rezertifizierung auch während der Laufzeit bei unerheblichen Veränderungen des Produktes: Anzeige gegenüber dem ULD 19

20 Nutzen und Vorteile eines Datenschutz- Gütesiegels I Für den Beschaffer / Anwender: Sicherheit darüber, ein datenschutzgerechtes Produkt zu nutzen (inkl. Rechtskonformität im Rahmen der Anwendungshinweise) Soweit das Produkt die datenschutzgerechte Anwendung durch Technik erzwingt: Keine Datenschutzverletzungen durch Handlungsspielräume der Anwender, Risikoverminderung Geprüfte Produktdokumentation in der Regel mit Hinweisen zur datenschutzgerechten Anwendung für Administratoren und Anwender (inkl. Einsatzumgebung) Erleichterungen bei der Vorabkontrolle sowie beim Test und der Freigabe neuer Verfahren und Programme Transparenz über Vorgänge der Datenverarbeitung Erleichterung bei der Beschaffung durch Vergleichbarkeit und Nutzung der Zertifizierungsergebnisse (Kurzgutachten, ggf. ausführliches Gutachten) 20

21 Nutzen und Vorteile eines Datenschutz- Gütesiegels II Für den Hersteller: Wettbewerbsvorteile durch Vorrangiger Einsatz bei Ausschreibungen in Schleswig-Holstein (und ggf. anderen Bundesländern) (Gütesiegel S.-H.) einfacherer Nachweis von Datenschutz- und Sicherheitseigenschaften des Produktes gegenüber Kunden Imagegewinn: Nachweis von Verantwortungsbewusstsein Eigenrevision und Zwang zur Qualitätssicherung und Produktdokumentation (Dokumentation auch von Produktänderungen!) 21

22 Berücksichtigung des Gütesiegels SH bei Vergabeentscheidungen in SH 4 Abs. 2 LDSG SH: Zertifizierte Produkte sollen vorrangig eingesetzt werden. Gütesiegel ist als Kriterium bei der Vergabe zu berücksichtigen. Datenschutzgerechte Einsatzmöglichkeit als Leistungsmerkmal des Produkts. Wird in der Praxis bei Ausschreibungen berücksichtigt. GMSH als zentrale Beschaffungsstelle z.b. erkennt das Gütesiegel als Vergabekriterium an. Führt in Bereichen dazu, dass Wettbewerber sich ebenfalls zertifizieren lassen (z.b. Aktenvernichtung, Meldeauskunft). Es wurden auch Vergabeentscheidung gegen zertifizierte Produkte getroffen andere Kriterien waren Ausschlag gebend. Gütesiegel ist kein allgemeines Qualitätsmerkmal. 22

23 Konkrete Prüfung

24 Ablauf und Kriterien der Prüfung Festlegen des Prüfungsgegenstandes Produkt / Dienst (ToE) Hardware, Software, IT-basierte Dienste zur Verarbeitung personenbezogener Daten Der einzureichenden Produktdokumentation (nicht abschließend) Administratorhandbuch Benutzerhandbuch Information über Schwachstellen Hinweise zum Umgang mit Schwachstellen Hinweise zum datenschutzgerechten Einsatz Privacy Policy 24

25 Inhalt der Prüfung: Ablauf und Kriterien der Prüfung Kann der ToE in einer Weise eingesetzt werden, dass die Vorschriften / Anforderungen im Bereich Datenschutz und Datensicherheit bei der Anwendung des Produkts eingehalten werden können? Wird der Anwender hierbei durch den ToE oder dessen Dokumentation aktiv unterstützt? Überprüfung der oben aufgeworfenen Frage im Hinblick auf Recht (welches sind die Anforderungen an Datenschutz und Datensicherheit?) Technik (wie sind diese Anforderungen durch den ToE umgesetzt?) 25

26 Ablauf und Kriterien der Prüfung 1. Schritt: Festlegung des ToE Abgrenzung von der Einsatzumgebung, z. B. Betriebssystem bei der Prüfung eines Programms Definition der Schnittstellen (rechtlich und technisch) Überlegung, welche Datenverarbeitungsschritte mit dem ToE durchgeführt werden und welche unabhängig vom Einsatz des ToE erfolgen (bspw. im Rahmen der Erbringung eines Dienstes). 26

27 Ablauf und Kriterien der Prüfung 2. Schritt: Bildung des Anforderungsprofils 1. Ermittlung des Einsatzbereichs des ToE - Beispiele: Medizinbereich: Verarbeitung von Patientendaten im Krankenhaus Sozialwesen: Verarbeitung der Daten von Sozialhilfeempfängern Meldewesen: Auskunft aus dem Melderegister Internet: Verarbeitung von Kundendaten im Rahmen von Online- Transaktionen 2. Ermittlung der Datenarten, die mit dem Produkt verarbeitet werden Primärdaten (oben z.b.: Patientendaten) Sekundärdaten (Protokolldaten, oben z.b. IP-Adresse des Internetnutzers) 27

28 Ablauf und Kriterien der Prüfung 3. Ermittlung der bei der Anwendung einzuhaltenden Rechtsvorschriften über Datenschutz und Datensicherheit für jede Datenart Vorschriften ergeben sich aus den für den Einsatzbereich anwendbaren Gesetzen - bereichsspezifisches Recht (Landesmeldegesetz, Bundessozialhilfegesetz, Teledienstedatenschutzgesetz), allgemeines Datenschutzrecht (Landesdatenschutzgesetz, Bundesdatenschutzgesetz) 28

29 Ablauf und Kriterien der Prüfung In einer Datenflussanalyse ist zu untersuchen, welche Arten von Daten überhaupt verarbeitet werden: Daten von Betroffenen technische Daten (z. B. Kommunikation, IP-Adresse, etc.) Protokolldaten (Protokollierung) Dokumentation (z. B. von der Vergabe von Nutzerrechten) Eigene Anforderungsprofile für Primärdaten (i.d.r. Daten der Betroffenen) Sekundärdaten (Daten, die aufgrund der automatisierten Verarbeitung anfallen oder generiert werden sollten, in erster Linie Protokolldaten) Fokus liegt auch auf den Daten der Mitarbeiterinnen und Mitarbeitern Dokumentation und Handbücher sind Gegenstand der Begutachtung 29

30 Ablauf und Kriterien der Prüfung 4. Schritt: Prüfung der Umsetzung der Anforderungen Rechtliche / Technische Umsetzung, z.b.: Sind ADV Verträge vorhanden und entsprechend ausgestaltet Ist die Privacy Policy in Ordnung Eingabefelder sind auf das Notwendige beschränkt -> keine überschießende Datenerhebung Automatische Löschung der Daten Protokollierung von verändernden oder löschenden Zugriffen auf Daten Berechtigungskonzept, durch das der Zugriff auf Daten auf die berechtigten Nutzer beschränkt werden kann Keine technische Umsetzung: Hinweise zur organisatorischen Lösung: Hinweise in der Produktdokumentation über notwendige organisatorische Maßnahmen Technische Lösung grundsätzlich vorzuziehen 30

31 Der Prüfung liegt Kriterienkatalog zugrunde Kriterienkatalog Aufzählung aller möglichen in Betracht kommenden Prüfpunkte Sichert die vollständige Prüfung durch die Gutachter Nicht für jeden ToE sind alle Kriterien relevant Aufgeführte Rechtsvorschriften sind beispielhaft und nicht abschließend 31

32 Kriterienkatalog mit 4 Komplexen: Kriterienkatalog Komplex 1: übergreifende Anforderungen an die Technikgestaltung (insbesondere Datenvermeidung, Transparenz des Produktes, Dokumentation), Komplex 2: Zulässigkeit der angestrebten Datenverarbeitung (materielles Recht), Komplex 3: technisch-organisatorischen Maßnahmen zum Schutz der Betroffen, Komplex 4: Rechte der Betroffenen (z.b. Benachrichtigung, Auskunft, Transparenzgebote, Löschung). 32

33 Kriterienkatalog Komplex 1: Grundsätzliche technische Ausgestaltung von IT-Produkten Datensparsamkeit Frühzeitiges Löschen, Anonymisieren oder Pseudonymisieren Transparenz und Produktbeschreibung 33

34 Kriterienkatalog Komplex 2: Zulässigkeit der Datenverarbeitung Allgemeine Voraussetzungen der Zulässigkeit Datenverarbeitung im Auftrag Einwilligung Zulässigkeit in den einzelnen Phasen der Datenverarbeitung Erhebung beim Betroffenen Zweckbindung Trennungsgebot Übermittlung Löschung nach Wegfall der Erfordernis 34

35 Kriterienkatalog Komplex 3: Technisch-Organisatorische Maßnahmen Zugangskontrolle Zugriffskontrolle Protokollierung von Datenverarbeitungsvorgängen Maßnahmen zur Sicherung der Verfügbarkeit (Backup, Recovery etc.) Datenschutz- und Datensicherheitsmanagement (Security Policy, Risikoanalyse etc.) Löschung von Daten und Vernichtung von Datenträgern Verschlüsselung bei Nutzung mobiler Geräte und der Übertragung von Daten Pseudonymisierung und Anonymisierung 35

36 Kriterienkatalog Komplex 4: Rechte der Betroffenen Aufklärung und Benachrichtigung Auskunft Berichtigung Löschung Sperrung Widerspruch gegen die Datenverarbeitung 36

37 4 Bewertungsstufen (Gütesiegel SH): vorbildlich adäquat unzureichend Nicht Bewertung der Erfüllung der Voraussetzungen Technische Umsetzung ist grundsätzlich einer organisatorischen Lösung vorzuziehen Ausgleich von Defiziten möglich bei unzureichender Umsetzung durch Gesamtbewertung der Eigenschaften 37

38 Noch Fragen?