Das Standard-Datenschutzmodell Datenschutzfolgenabschätzung mit SDM

Transkript

1 Das Standard-Datenschutzmodell Datenschutzfolgenabschätzung mit SDM Martin Rost , Essen 1

2 Agenda - Kurzvorstellung des ULD - Was meint Datenschutz? - Operative Anforderungen der DS-GVO - Die Komponenten des Standard-Datenschutzmodells - Schutzmaßnahmen des SDM - SDM anwenden: - Datenschutzfolgenabschätzung mit SDM - Datenschutzmanagement mit SDM 2

3 ULD-SH 3

4 Was meint Datenschutz? oder: Welche Funktion hat Datenschutz? 4

5 Was meint Datenschutz? Datenschutz ist nicht mit Datenschutzrecht gleichzusetzen! Denn das Datenschutzrecht reagiert auf einen strukturellen Konflikt. Nur: Worin genau besteht dieser strukturelle Konflikt, der zu einer Institutionalisierung der Aufsicht über Datenschutzanforderungen führt? Datenschutz ist nicht mit IT-Sicherheit, etwa dem IT-Grundschutz des BSI, gleichzusetzen! Wem gilt der Schutz? Datenschutz gilt Betroffenen, nicht Organisationen. Es ist deshalb mit Konflikten zw. Datenschutz und IT-Grundschutz zu rechnen. Der Grund für Datenschutz ergibt sich nicht aus einem individuellen Bedürfnis nach Privatheit. Das Konzept der informationellen Selbstbestimmung ist eine funktionale Voraussetzung moderner Gesellschaften. 5

6 Objektbereich des Datenschutzes Datenschutz beobachtet, beurteilt und gestaltet die asymmetrischen Machtbeziehungen zwischen mächtigen Organisationen (Risikogeber) und selbstständig agierenden Personen (Risikonehmer). 6

7 DER regelungstechnisch zentrale Grundsatz des kontinentaleuropäischen Datenschutzrechts lautet: Organisationen dürfen keine personenbezogenen Daten verarbeiten PUNKT Verbot mit Erlaubnisvorbehalt 4 Abs. 1 BDSG / Artikel 6 DS-GVO 7

8 Grundrechte Das Regelset des Datenschutzes Grundgesetz EU-Grundrechte-Charta Artikel 1 (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Artikel 2 (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. Artikel 1 Die Würde des Menschen ist unantastbar. Sie ist zu achten und zu schützen. Artikel 8 (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. Grundrecht auf Datenschutz Verbot mit Erlaubnisvorbehalt Datenschutzkontrolle 8

9 Wem gilt Daten-Schutz? IT-Sicherheit unterstellt methodisch: Jede Person kann ein Angreifer sein! Deshalb müssen Personen in Organisationen sich Maßnahmen gefallen lassen, die eine Organisation schützen und es Personen schwer machen, eine Organisation anzugreifen. Was unterstellt der Datenschutz methodisch? Datenschutz unterstellt methodisch: Jede Organisation ist ein Angreifer! Die Organisationen müssen deshalb den Personen nachweisen, dass sie keine Angreifer sondern vertrauenswürdig sind. Dies kann u.a. dadurch geleistet werde, dass Organisationen sich nachweislich an die Regeln/Gesetze halten und die Verfahren und Prozesse gesichert beherrschen. Für Kryptologen: Insbesondere Bob ist der Angreifer! 9

10 Grundsätze und operative Anforderungen der DS-GVO 10

11 Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten (I) (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ( Zweckbindung ); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( Richtigkeit ); 11

12 Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten (II) e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ( Speicherbegrenzung ); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). 12

13 Art. 25 DS-GVO Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (...) 1. Es ist ein proaktiver Datenschutz im Hinblick auf Umsetzung der Datenschutzgrundsätze (Art. 5 DS-GVO) gefordert. 2. Maßstab zur Bestimmung von TO-Maßnahmen sind die Risiken für Grundrechte. 13

14 Art. 30 DS-GVO Verzeichnis von Verarbeitungstätigkeiten (1) Der Verantwortliche muss ein Verzeichnis von Verarbeitungstätigkeiten führen, mit folgenden Angaben: a) Namen und Kontaktdaten des Verantwortlichen, Vertreter und DSB; b) Zwecke(!) der Verarbeitung; c) Beschreibung der Kategorien betroffener Personen und Daten; d) Kategorien der Empfänger der öffengelegten Daten (einschl. Empfänger in Drittländern oder internationalen Organisationen); e) ggfs. Übermittlungen in Drittländer oder internationale Organisationen inkl. Dokumentation von Garantien; f) wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien ; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. 14

15 Art. 30 DS-GVO Verzeichnis von Verarbeitungstätigkeiten (2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: a) Namen und Kontaktdaten des Auftragverarbeiters und des Verantwortlichen sowie DSB; b) Kategorien von Verarbeitungen, die im Auftrag ausgeführt werden; c) ggfs. Übermittlungen an ein Drittland oder internationale Organisationen inkl. Dokumentation von Garantien; d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (3) Das Verzeichnis ist schriftlich zu führen (elektronisch ist zugelassen). (4) Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. (5) Pflichten gelten nur für Organisationen > 250 MA und sofern kein Risiko für Grundrechte der Personen besteht und Verarbeitung nicht nur gelegentlich erfolgt. 15

16 Art. 32 DS-GVO Sicherheit der Verarbeitung (...), diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; Der Schutzziele-Ansatz der DS-GVO aus Art. 5 wird wiederholt bzw. bestätigt. 16

17 Art. 32 DS-GVO Sicherheit der Verarbeitung d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Verfahren? -> Datenschutz-ManagementSystem! ISO27001(ISMS), (PrivFrame), DIN, IT-Grundschutz sind keine Verfahren zur Herstellung von Datenschutz. Sicherheit der Verarbeitung in einem Datenschutzgesetz muss dem Betroffenen gelten. Artikel 1 DS-GVO 1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. 2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. 3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. 17

18 Art. 32 DS-GVO Sicherheit der Verarbeitung (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. 18

19 Art. 32 DS-GVO Sicherheit der Verarbeitung (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. ADV nur nach Anweisung, aber: Verantwortlicher und Auftragsverarbeiter müssen nicht sicherstellen sondern nur sicherstellen, dass Schritte unternommen werden. (Abschwächung). 19

20 Art. 35 DS-GVO Datenschutzfolgenabschätzung (DSFA) 1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei: 1. hohem Risiko, Aufsichtsbehörden erstellen Blacklist/Whitelist (Kohärenzverfahren); 2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung; 3. gesetzlich festgelegten, besonders schutzwürdigen Daten 2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene; 2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit; 3. Extern auditierte Verfahren und Audits 4. Standpunkt der Betroffenen ist einzuholen; 3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung 4. Der Verantwortliche muss am Ende den Betriebs des Verfahrens / Wirksamkeit der Maßnahmen prüfen. 20

21 Das StandardDatenschutzmodell (SDM) 21

22 Übersicht Standard-Datenschutzmodell Zweck: Methodik zur Transformation zwischen Recht und Funktionen, gestattet Prüfung und Beratung von operativen Datenschutzeigenschaften personenbezogener Verfahren Regelungskern: 7 Gewährleistungsziele (Stand 2016/11) Verfahrenskomponenten: Daten, Systeme, Prozesse 3 Schutzbedarfsabstufungen, formuliert aus der Betroffenenperspektive Die 72. DSB-Konferenz (2010/10) hat das Schutzzielekonzept, die 90. DSB-K (2015/10) hat das SDM (V0.9) angenommen. Es liegt seit 2016/10 ein Entwurf eines ReferenzMaßnahmenkatalogs vor (aktueller Umfang: 150 S.) Die 92. DSB-Konferenz (2016/11) hat die SDM-Methodik in der Version 1.0 bestätigt und veröffentlicht. Bislang nicht veröffentlicht ist dagegen der Maßnahmenkatalog, den der AKTechnik im Laufe von 2017 zu veröffentlichen beabsichtigt. 22

23 Unterschied SDM-Handbuch V0.9 - V1.0 Heise-News In der V1.0 wurden zusätzlich Bezüge zur DS-GVO hergestellt. In der V1.0 wurde die Definition des Schutzbedarfs auf den Grundrechtsbezug des Datenschutzes umgestellt. Redaktionelle Änderungen Heise-News

24 Reichweite des SDM 24

25 SDM-Komponente 1: Datenschutz-Ziele Schutzziele Gewährleistungsziele SDM-Komponente 2: Schutzbedarfsabstufungen SDM-Komponente 3: Verfahrenskomponenten 25

26 Struktur der Schutzziele Nichtverkettung? Integrität Verfügbarkeit Transparenz? Vertraulichkeit Intervenierbarkeit? 26

27 79. Konferenz der Datenschutzbeauftragten 2010 Die bisher in der Anlage zu 9 BDSG beschriebenen Maßnahmen zur Gewährleistung des technischen und organisatorischen Datenschutzes ( 10 Gebote ) sind durch die Definition elementarer Schutzziele zu ersetzen. ( ) Entsprechend den genannten Anforderungen sind folgende Schutzziele aufzunehmen: Verfügbarkeit Vertraulichkeit Integrität Transparenz Nichtverkettbarkeit (als technische Sicherung der Zweckbindung) Intervenierbarkeit (als technische Gestaltung von Verfahren zur Ausübung der Betroffenenrechte). Link: 27

28 Vermittlung der gesellschaftlichen Funktionssysteme und SDM Schutzziele (bzw. Gewährleistungsziele) und deren Umsetzung durch das SDM können Recht und Technik koppeln, aber auch wissenschaftlich untersucht sowie, vermittelt über Maßnahmen, betriebswirtschaftlich kalkuliert werden. 28

29 Art. 5 DS-GVO Essentials Art. 5, Abs. 1 Personenbezogene Daten müssen Gewährleistungsziele: (a)... in einer für die Person nachvollziehbaren Weise verarbeitet werden... (Transparenz). (b)... für festgelegte eindeutige und legitime Zwecke erhoben werden... (Zweckbindung). (c)... auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung). (d)... damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind,... unverzüglich gelöscht oder berichtigt werden. (f)... Schutz vor Verlust... Integrität und Vertraulichkeit. Transparenz Nichtverkettung Datenminimierung Intervenierbarkeit Verfügbarkeit Integrität Vertraulichkeit 29

30 Mapping von Artikeln und Erwägungsgründen der DS-GVO mit Gewährleistungszielen aus: SDM-Handbuch, V1.0 aus: SDM-Handbuch, V1.0, S

31 Mapping des BDSG mit Gewährleistungszielen aus: SDM-Handbuch, V1.0 31

32 Fazit DS-GVO und Gewährleistungsziele Die Gewährleistungsziele des SDM sind vollständig und mehrfach in der DS-GVO verankert. 32

33 SDM-Komponente 1: Gewährleistungsziele SDM-Komponente 2: Schutzbedarfsabstufungen SDM-Komponente 3: Verfahrenskomponenten 33

34 Schutzbedarf, aus der Betroffenenperspektive Normaler Schutzbedarf besteht für jedes personenbezogene Verfahren; Hoher Schutzbedarf für ein personenbezogenes Verfahren besteht dann, wenn Betroffene von den Entscheidungen bzw. Leistungen einer Organisation abhängig sind; eine Organisationen Daten verarbeitet, welche gesetzlich als besonders schutzwürdig ausgewiesen sind; keine real nachweislich funktionierenden Möglichkeiten der Intervention und des Selbstschutzes für Betroffene bereitsteht;... Sehr hoher Schutzbedarf für ein personenbezogenes Verfahren besteht dann, Gefahr für Leib und Leben droht. 34

35 Schutzbedarf ist grundrechtlich verankert Ein Datenschutzrisiko (Person wird durch Organisation fremdbestimmt) bemisst sich NICHT nach der klassischen betriebswirtschaftlichen Formel Risiko = Eintrittswahrscheinlichkeit mal Schadenshöhe Wenn Organisationen - staatliche Verwaltungen, Arbeitgeber, Krankenhaus, Facebook, Google, Microsoft... - Personen fremdbestimmen, ist der Schaden in Form eines Grundrechtseingriffs eingetreten. Der Schutzbedarf begründet sich aus der Intensität des Grundrechtseingriffs durch die Organisation, allein weil sie ein personenbezogenes Verfahren betreibt, der Schutzbedarf ergibt sich NICHT durch die Nutzung von IT. 35

36 Angreifermodell des Datenschutzes Der Hauptangreifer auf Personen ist zunächst immer die datenverarbeitende Organisation selbst. Sofern IT-Sicherheitsmanagement oder zumindest IT-SiBe implementiert ist, sind bspw. unbefugte Zugriffe durch Hacking-Angriffe für die DSB von nachrangiger Bedeutung. Es gibt darüber hinaus weitere spezifische Angreifer auf den Grundrechtsträger Person : Sicherheitsbehörden Leistungsverwaltung / Steuerverwaltung Bereitsteller von IT-(Infrastruktur)Diensten Betreiber kritischer Infrastrukturen (wie Energieversorger) Versicherungen und Banken Forschungsinstitute, insbesondere Medizin, Psychologie, Sozialwissenschaften (akademische) Dienstleister ich mach Dein Problem zu meinem Problem, mit großem Durchgriff auf eine Person: Krankenhäuser, Ärzte, Rechtsanwälte, Altenpflege aber auch: untätige (Datenschutz-)Aufsichtsbehörden, Gerichte oder politische Entscheider 36

37 Besondere Daten und besondere Formen der Verarbeitung gem. DS-GVO Artikel 9 DS-GVO Verarbeitung besonderer Kategorien personenbezogener Daten Auflistung sehr (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische ähnlich zu Herkunft, politische Meiungen, religiöse oder weltanschauliche Überzeugungen oder die 3 Abs. 9 BDSG Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. Artikel 35, Abs. 1 DS-GVO - Datenschutzfolgen-Abschätzung Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Umfasst Daten besonderer Verfahren wie Scoring, Profiling, automatisierte Einzelentscheidungen (vgl. Art. 35, Abs. 3 DS-GVO) 37

38 SDM-Komponente 1: Gewährleistungsziele SDM-Komponente 2: Schutzbedarfsabstufungen SDM-Komponente 3: Verfahrensbestandteile 38

39 SDM Verfahrensbestandteile Ein personenbezogenes Verfahren besteht aus drei zu betrachtenden Komponenten: Daten (und Datenformatn) IT-Systemen (und Schnittstellen) Prozessen (und adressierbaren Rollen) 39

40 Das aus den drei Komponenten zusammengesetzte Prüf- und Beratungsmodell 40

41 SDM Soll-Feststellung für Schutzmaßnahmen Gewährleistungsziele, verankert in der DS-GVO, jedes Ziel ist mit einer Standard-Maßnahme hinterlegt 3 Schutzbedarfsabstufungen 3 Verfahrenskomponenten Das ergibt 7x3x3 (63) spezifische Datenschutz-anforderungen. Somit sollte grundsätzlich für jede der 63 Anforderungen mindestens eine Schutzmaßnahme als Standard-SollReferenz ausgewiesen werden können. 41

42 SDM Ist-Feststellung 42

43 Operativen Datenschutz: prüfen und beraten Prüfen Planen 43

44 Beispiel für Maßnahmenkatalog für Schulverwaltungs-SW (LfD Mecklenburg-Vorpommern) 44

45 SDM-DatenschutzMaßnahmen 45

46 Generische Datenschutz-Schutzmaßnahmen Sicherstellung von Verfügbarkeit Redundanz, Reparaturstrategien Sicherstellung von Integrität Hash-Wert-Vergleiche, Festlegen im Vorhinein von Min./Max.-Referenzen bei Prozessen, Härten von IT-Systemen, Testen von Funktionen, Steuerung der Regulation, Audit Sicherstellung von Vertraulichkeit Verschlüsselung von Daten und Kommunikationsverbindungen, Rollentrennungen Sicherstellen von Nichtverkettbarkeit durch Zweckbestimmung/-bindung Pseudonymisierung, Anonymisierung für Daten und Kommunikationsverbindungen, Trennen und Isolieren, Identitymanagement, Rechte- und Berechtigungskonzept Sicherstellen von Transparenz durch Herstellen von Beurteilbarkeit Spezifikation, Protokollierung, Dokumentation Sicherstellen von Intervenierbarkeit durch Ankerpunkte SPOC für Änderungen, Korrekturen, Löschen, Aus-Schalter, Changemanagement 46

47 Aktuell vorliegende SDM-Bausteine (Stand: ) Verfügbarkeit 1. Baustein Aufbewahrung 2. Baustein Datensicherung und -wiederherstellung Integrität 3. Baustein Ticketsystem und Administrations-Plattform 4. Baustein Aspekte eines Datenschutzkonzeptes Vertraulichkeit 5. Entwurf liegt vor, wird aber noch zurückgehalten 47

48 SDM-Bausteine (Stand: ) Transparenz 6. Baustein Beurteilbarkeit technisch organisatorischer Funktionen 7. Baustein Dokumentation 8. Baustein Protokollierung" 9. Baustein Auskunft Nichtverkettung 10. Baustein Anonymisierung & Pseudonymisierung 11. Baustein Trennung 12. Baustein Rollen und Berechtigungen Intervenierbarkeit 13. Baustein Berichtigung 14. Baustein Löschen 15. Baustein Sperren 16. Baustein Single Point of Contact (SPoC) 48

49 SDM-Bausteine (Stand: ) Derzeit noch fehlende Bausteine: Kryptoverfahren zur Verschlüsselung / Integritätssicherung Status: Entwurf im frühen Stadium Umsetzung von Datensparsamkeit Status: Entwurf in Diskussion Spezifikation Status: Entwurf im frühen Stadium Im Kontext des SDM entstanden und unmittelbar bestehende Anforderungen der DS-GVO erfüllend: Baustein Datenschutz-Folgenabschätzung Ist kein Bestandteil des SDM, sondern wird zu einer Orientierungshilfe. Baustein Datenschutz-Zuständigkeiten (Datenschutzbeauftragter) Ist kein Bestandteil des SDM, sondern wird OH. 49

50 Status Maßnahmenkatalog (Stand: 2016/1111) Der Katalog der SDM-Maßnahmen wird vom Arbeitskreis Technik der DS-Konferenz erarbeitet und herausgegeben. Die Herausgabe der ersten SDM-Bausteine wird für das 1. Quartal 2017 angestrebt (auf den Webseiten der deutschen DS-Aufsichtsbehörden). Die rechtliche und operative Qualität der Bausteine wird gegenwärtig durch die LfDen gesichert. 50

51 Weitere Aktivitäten in Bezug zum SDM Kontakt zu Tool-Herstellern besteht Unterstützung analog zum (obsoleten) GS-Tool, Kontakt liegt vor Kontakt zum BSI besteht Der IT-GS-Baustein 1.5 Datenschutz wird durch SDM-Kapitel ersetzt Kontakt zur CNIL bzw. Brüssel wird hergestellt Themen: risk-based approach (RBA), Abkehr vom Zweckbindungsgrundsatz, Schadensermittlung statt Grundrechtsgewährleistung, ist nicht zielführend am Grundrechtsschutz der Betroffenen ausgerichtet Vorstellung des SDM im IT-Planungsrat 51

52 SDM-Bausteine Aufbau der Texte (Stand: ) 1) Bezug zu Gewährleistungszielen 2) Darstellung und Zweck - Daten - technische Systeme - Prozesse 3) Differenzierung bei hohem Schutzbedarf 4) Referenzen 5) Zusammenfassung der Maßnahmen 52

53 Transparenz Kontrollierbarkeit, Prüfbarkeit, Beurteilbarkeit Was unterscheidet diese drei Transparenz- bzw. Beobachtungsmodi? Kontrollierbarkeit: Wird alles Relevante erfasst, um Prüfbarkeit zu erreichen? Alle Stakeholder an den Tisch holen: Sind alle Rechtsgrundlagen versammelt? Sind die technischen und prozeduralen Parameter ermittelbar? Prüfbarkeit: Können Soll-Ist-Bilanzen vollständig erstellt werden, um Prüfergebnisse zu erzielen, die insbesondere rechtlich beurteilbar sind? Beurteilbarkeit: Lassen die Prüfergebnisse darauf schließen, dass die rechtlich-normativen Anforderungen erfüllt wurden/werden? 53

54 Transparenz Protokolldaten 1. Zeitkomponente (Wann?), Voraussetzung für kausale Verkettungen über Grenzen (Organisation, Abteilungen, Prozesse, IT-Systeme) hinweg Maßnahme bei hohem Schutzbedarf: Zertifizierter Zeitstempel Auflösung abhängig von Ereignisdichte. 2. Instanz, die eine Aktivität auslöst (Wer?), 3. Aktivität bzw. Ereignis, das durch die Instanz ausgelöst wurde (Was?), 4. die Adresse der Speicherinstanz, die diese Protokolldaten speichert (durch wen bzw. wo protokolliert?). 54

55 Operative Risiken für Rechtskonformität Sachbearbeitung Systemereignisse eakte x x x x x x x x x x These: arbeitet gesetzeskonform Fachprogramm Systemereignisse x x x x x x x Log Admin Protokoll??? IT-Funktionen Admin x x x x x x Systemereignisse Schnittstellen Risiko des Verflüchtigens der Rechtskonformität auf der Ebene der Sachbearbeitung auf den unteren Ebenen der ITUnterstützung. Ausweitung funktionaler Eigenschaften unterläuft latent die Rechtskonformität der Sachbearbeitung. Log Log Protokoll 55

56 Die zu protokollierenden Systemebenen (Wer oder was hat wann was gemacht?) 1. Die Aktivitäten der Sachbearbeitung (Veraktung); 2. die Funktionen des Fachprogramms für die Sachbearbeitung; 3. die Administration des Fachprogramms; 4. die IT-Funktionen der Infrastruktur (Hardware, Software) einer Organisation, auf denen die Fachprogramme aufsetzen (PCs, Server, virtuelle Systeme, Betriebssysteme, Middleware/DB, CPUCluster, SAN/NAS) - Sonderfunktionalität: Schutzmaßnahmen (Hashen, Verschlüsseln, Anonymisieren...); 5. die Systemübertritte, Übermittlung von Daten zu anderen Organisation(seinheit)en; 6. die Administration der IT-Infrastruktur. 56

57 Ticketsystem Administrationsplattform, Protokollserver 57

58 Wie lässt sich eine DSFA standardisiert durchführen? 58

59 Art. 35 DS-GVO Datenschutzfolgenabschätzung (DSFA) - Zusammenfassung 1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei: 1. hohem Risiko, Aufsichtsbehörden erstellen Blacklist/Whitelist (Kohärenzverfahren); 2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung; 3. gesetzlich festgelegten, besonders schutzwürdigen Daten 2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene; 2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit; 3. Extern auditierte Verfahren und Audits können abkürzend herangezogen werden 4. Standpunkt der Betroffenen ist einzuholen; 3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung 4. Der Verantwortliche muss am Ende den Betriebs des Verfahrens / Wirksamkeit der Maßnahmen prüfen und nachweisen. 59

60 DSFA 1. Vorbereitungsphase Vorbereitungsphase 1.1: Relevanzschwelle: Feststellung der Notwendigkeit einer DSFA wenn DSFA durchzuführen ist: 1.2: Prüfplanung 1.3: ToE klären: Beschreibung des Prüfgegenstands und Zwecke der Verarbeitung, 1.4: Identifikation der Akteure und betroffenen Personen 1.5: Identifikation der maßgeblichen Rechtsgrundlagen 1.1 Relevanzschwelle wird vom Verantwortlichen festgelegt. 1.2 Projektmanagement Methodik des Prüfens? SDM! 1.3 ToE einer DSFA betrifft ein Verfahren mit Zusammenschau von Daten, IT-Systemen und Prozessen. 1.4 Akteure Identifikation der Akteure auf der Innenseite und der Betroffenen (Bürger, Kunde, Patient) auf der Außenseite einer Organisation. wenn DSFA nicht ausgeführt wird: Dokumentation mit Begründung, eine DSFA nicht durchzuführen. 60

61 DSFA 2. Bewertungsphase: Angreifer und Schutzbedarfe identifizieren Angreifer ist: Die datenverarbeitende Stelle selber Weitere Angreifer können sein: Bewertungsphase 2.1: Identifikation von Bewertungsmaßstäben anhand der Gewährleistungsziele 2.2: Identifikation möglicher Angreifer, Angriffsmotive und Angriffsziele 2.3: Bestimmung der Eingriffsintensität und des Schutzbedarfs 2.4: Bewertung des Risikos Staatliche Stellen (z.b. Sicherheitsbehörden: Innenministerien, Polizei, Geheimdienste, Militär etc. / staatliche Leistungsverwaltung: Leistungsträger für Arbeitslosengeld II ( Hartz IV ), Rentenversicherungsträger etc. / Statistikämter / Aufsichtsbehörden) Unternehmen (z.b. Technologiehersteller, Systemintegratoren, IT-Diensteanbieter (Zugang, Inhalte etc.) / Banken, Versicherungen / Wirtschaftsauskunfteien, Adress- und Datenhandel, Marktforschung / Werbung / Interessenvereinigungen, Verbände / Arbeitgeber) Gesundheitswesen (z.b. Krankenhäuser, Ärzte / gesetzliche und private Krankenversicherungen) Forschung (z.b. Medizinforschung, Sozialforschung, Universitäten) 61

62 DSFA 3. Maßnahmenphase Maßnahmen: Maßnahmenphase 3.1: Identifikation und Auswahl passender Schutzmaßnahmen 3.2: Dokumentation der Bewertungsergebnisse (inkl. Restrisikoanalyse) 3.3: Implementierung der Schutzmaßnahmen 3.4: Erstellung eines Datenschutzkonzepts und Integration des Verfahrens in das Datenschutz-Management 3.5: Test und Dokumentation der Wirksamkeit der Schutzmaßnahmen 3.6: Nachweis über die Einhaltung der DS-GVO insgesamt. SDM-Methodik und SDMReferenzmaßnahmenkatalog Managen der Übergänge der Projektphasen, an deren Ende jeweils spezifische Tests durchzuführen sind. Ob die MP3.4 vor MP3.5 liegen muss oder die Reihenfolge umgekehrt sinnvoller ist oder MP3.4 noch ganz woanders positioniert sein sollte, wird die Praxis zeigen. 62

63 DSFA 4. Berichtsphase Berichtsphase 4.1: Erstellung eines DSFA-Berichts 4.2: Veröffentlichung des DSFA-Berichts (ggfs. Kurzfassung) 4.3: Unabhängige Überprüfung der DSFA-Ergebnisse Adressaten des Berichts: Organisation(sleitung) Betroffene Aufsichtsbehörden andere Organisationen (mit denen zusammengearbeitet wird) 63

64 DSMS DSFA mit SDM (Art. 35 DS-GVO) DS-GVO und Projektmanagement 1 - Vorbereitung und Anforderungen Kleine Vorab-DSFA durchführen, ob große DSFA durchzuführen ist, Entscheidung dokumentieren Wenn ja: Projektmanagement aufsetzen und den ToE des Verfahrens festlegen SDM 2 - Bewertung mit Hilfe des SDM Kriterien: Set der Schutzziele Identifikation der Angreifer Festlegen: Eingriffsintensität, Schutzbedarf, Risiko SDM DSFA-Projektbericht 3 - Maßnahmenwahl mit SDM Dem standardisierten Schutzmaßnahmenkatalog entnehmbar DatenschutzManagement System 4 - Bericht schreiben, Doku mit SDM DSMS 5 - Überwachen und Fortschreiben Einfügen ins DS-Management 65

65 Datenschutz prüfen - Soll-Ist-Bilanz auf Maßnahmenebene Prüfen Planen 66

66 Prüfen Planen DatenschutzManagement mit SDM Initialisieren eines Datenschutzmanagementsystem Erstellung des Datenschutzkonzepts Umsetzen fehlender Maßnahmen Aufrechterhaltung des DS im laufenden Betrieb 67

67 Literatur SDM und Orientierungshilfen DSBK 2010: Modernisierung des Datenschutzrechts pdf? blob=publicationfile AK-Technik 2015: Tagungsband "Das Standard-Datenschutzmodell - Der Weg vom Recht zur Technik" DSBK 2016: Handbuch zur SDM-Methodik, V1.0 Forum Privatheit, 2016/03: Datenschutz-Folgenabschätzung Bieker, F. / Hansen, M. / Friedewald, M., 2016/09: Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen DatenschutzGrundverordnung; in: RDV (Recht der Datenverarbeitung), Heft 4, Orientierungshilfen für Umsetzung von Datenschutzanforderungen Newsletter des ULD zum SDM: [Link unten: Newsletter ] 68

68 Kontakt? Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Martin Rost Telefon/Durchwahl: