Datenschutz-Grundverordnung aus Sicht der Informationstechnik

Transkript

1 Datenschutz-Grundverordnung aus Sicht der Informationstechnik Julia Stoll Referatsleiterin Informatik Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, Wiesbaden Telefon +49 (0)611 / j.stoll@datenschutz.hessen.de Übersicht Rahmenbedingungen aus der Sicht Hessens Vorgehen in Datenschutz-Projekten Technischer Datenschutz: Gewährleistungsziele in der DS-GVO Weitere Aspekte: kein Selbstzweck! Möglichkeiten durch Zertifizierungen Viele Links 11/29/2017 Julia Stoll 2 1

2 Rahmenbedingungen: Datenschutz ist Chefsache! 11/29/2017 Julia Stoll 3 Datenschutz ist Chefsache! 1. Kernaufgabe: Bestimmung, welche Verfahren und Prozesse anzupassen sind (Analyse) 2. Informationen durch die Geschäftsleitung (Datenschutz-Projekte) 3. Kooperation mit betrieblichen Datenschutzbeauftragten und IT-Abteilung (Delegation nur mit Vertrag; Quelle: Stand Juli 2017) 11/29/2017 Julia Stoll 4 2

3 Der Hessische Datenschutzbeauftragte Oberste Datenschutzaufsichtsbehörde des Landes Hessen - Zuständigkeit: Überwachung und Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen im Land Hessen im öffentlichen und nicht-öffentlichen Bereich Wirksame Europäische Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 Bundesdatenschutzgesetz bzw. Datenschutz-Anpassungsund Umsetzungsgesetz zur Datenschutzgrundverordnung (DSAnpUG = BDSG-neu ) 11/29/2017 Julia Stoll 5 Neues Datenschutzrecht in Europa EU-Veröffentlichung (2016/679) der EU-DSVGO im Web (dt. Fassung): EU-Veröffentlichung der Justiz- und Polizeirichtlinie (2016/680) eprivacy-verordnung (vorher: eprivacy-richtlinie (!)): lex spezialis für die elektronische Kommunikation Kurzanleitungen erste Orientierungen der Datenschutzkonferenz der Bundesdatenschutzbeauftragten und der Länder entry /29/2017 Julia Stoll 6 3

4 Rahmenbedingungen: DS-GVO 98 Artikel und 173 Erwägungsgründe Grundlage: European Charta of Human Rights, insbesondere Art. 8 27/28 Mitgliedsstaaten + 3 (Island, Norwegen und Schweiz als Mitglieder des Digitalen Markets ) 24 offizielle Sprachen (wie Maltesisch oder Gälisch) 3 Verhandlungssprachen (Englisch, Französisch und Deutsch) Art. 29 Working Party (WP29) >> European Data Protection Board (EDPB); Stellungnahmen / Opinions 11/29/2017 Julia Stoll 7 Vorgehen in Datenschutz-Projekten 11/29/2017 Julia Stoll 8 4

5 Bestandsaufnahme: Analyse 1. Bestimmung der Verfahren und der Prozesse im Betrieb, in denen personenbezogene Daten verarbeitet werden Ausgangspunkt: bestehende Verfahrensverzeichnisse Zusammenstellung von Vorabkontrollen, Datenschutzkonzepten, IT-Sicherheitskonzepten und ggf. Dokumentationen von IT-Sicherheitsvorfällen Vorhandene Betriebsvereinbarungen 2. Prüfung dazugehöriger Rechtsgrundlagen bzw. Zulässigkeit der Verarbeitung von personenbezogenen Daten Rechtsvorschrift oder Einwilligung der Betroffenen 3. Ermittlung aller Maßnahmen, die (bisher) zum Schutz personenbezogener Daten getroffen wurden 4. Ermittlung aller (bisherigen) Dienstleistungsbeziehungen, wie Verträge zur Auftragsdatenverarbeitung 9 Artikel mit starkem technischem Bezug und neuen Aspekten gemäß DS-GVO Art. 5 & Art. 6 Art. 30 Art. 25 Art. 35 & Art. 36 Art. 42 (& Art. 43) Art. 40 Rechenschaft und Verhältnismäßigkeit Verzeichnis der Verarbeitungstätigkeiten Technikgestaltung durch datenschutzfreundliche Voreinstellungen Datenschutzfolgenabschätzung, ggf. mit vorheriger Konsultation Zertifizierungen (und Akkreditierung der Zertifizierungsstellen) Verhaltensregeln Reihenfolge, in der die Artikel betrachtet werden, legt ein Vorgehen aus technischer Sicht fest, was zu tun ist. 11/29/2017 Julia Stoll 10 5

6 Überführung von Abhilfemaßnahmen Referenzschutzmaßnahmen Fokus ist Reduktion des Risikos: Datensparsamkeit Reduzierung von Daten/Personenbezug Verfügbarkeit Redundanz, Backup Integrität Authentisierung/Autorisierung, Signaturen, Hash-Wert-Vergleiche Vertraulichkeit - Verschlüsselung, Zugriffsschutz, Rollen- & Rechtekonzept Nichtverkettung Pseudonymisierung/Anonymisierung von Datenbeständen und Kommunikationsbeziehungen, Trennung von Verfahren, Datenbeständen, IT-Systemen, Prozessen, Rollen & Rechtskonzept, Identitätsmanagement Transparenz Zweck: Herstellen von Kontrollierbarkeit, Prüffähigkeit, Beurteilbarkeit des Verfahrens und der Wirksamkeit der Maßnahmen! Mittel: Spezifikation, Dokumentation, Protokollierung des Verfahrens, Informationen bei Erhebung, Benachrichtigung bei Bearbeitung der Betroffenen (Beauskunften), Audits Intervenierbarkeit Löschen, Sperren, Change Management, Aus-Schalter zum Deaktivieren/Stoppen von Gerätschaften 11/29/2017 Julia Stoll 11 Technischer Datenschutz 11/29/2017 Julia Stoll 12 6

7 Technischer Datenschutz: Gewährleistungsziele Grundlegendes Gewährleistungsziel: Datenminimierung (früher: Datensparsamkeit oder sogar Datenvermeidung) Elementare Gewährleistungsziele: Verfügbarkeit Integrität Vertraulichkeit Datenschutz-Gewährleistungsziele: Nichtverkettung (nah an Zweckgebundenheit, aber nicht gleich; bisherige Texte auch Nichtverkettbarkeit) Transparenz Intervenierbarkeit 11/29/2017 Julia Stoll 13 Elementare Gewährleistungsziele (auch im IT-Grundschutzkatalog des BSI) Vertraulichkeit Vertrauliche Informationen müssen vor unbefugter Preisgabe geschützt werden. Verfügbarkeit Den Nutzenden stehen Dienstleistungen, Funktionen eines IT- Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung. Integrität Die Daten sind vollständig und unverändert. 11/29/2017 Julia Stoll 14 7

8 Datenschutz-Gewährleistungsziel: Transparenz Transparenz (im allgemeinen Sinn (!)) Den Nutzenden sind die Verfahren bzw. Verwaltungsprozesse [bzgl. der Unternehmens-/Organisationsstruktur und ihre technische Umsetzung; J.S.] offenzulegen, so dass er oder sie in einer zumutbaren Zeit diese nachvollziehen, prüfen und bewerten kann, wie die eigenen personenbezogenen Daten erhoben und verarbeitet werden. Kommentar Dieses Gewährleistungsziel geht über die mehrheitlich aus technischer Perspektive beschriebene Prüfbarkeit aktiv genutzter Datenbestände und Dienste hinaus, wie sie bisher im Gewährleistungsziel Verfügbarkeit hinterlegt ist. 11/29/2017 Julia Stoll 15 Weitere Gewährleistungsziele: Nichtverkettung und Intervenierbarkeit Nichtverkettung / Nichtverkettbarkeit Die Nutzenden sollen sicher gehen können, dass Verfahren nur zweckgebunden eingesetzt werden und eine klare Zwecktrennung zwischen verwandten Verfahren besteht. Intervenierbarkeit Nutzenden sind ein Zugriff auf die Verfahren und Daten bzgl. der eigenen personenbezogenen Daten zu ermöglichen. 11/29/2017 Julia Stoll 16 8

9 Gewährleistungsziele in der DS-GVO (tabellarische Darstellung) Verfügbarkeit Integrität Vertraulichkeit Artikel Art. 5. Abs. 1 lit. c und lit. e; Art. 25, Art. 32 Art. 5. Abs. lit. e, Art. 13, Art. 15, Art. 20, Art. 25, Art. 32 Art. 5 Abs. 1 lit. f, Art. 25, Art. 32, Art. 33 Art. 5 Abs. 1 lit. f, Art. 25, Art. 28 Abs. 3 lit. b, Art. 29, Art , 29, 30, 39, 78, , 78, 83 39, 49, 78, 83 39, 49, 78, 83 Quelle: Standard-Datenschutzmodell 11/29/2017 Julia Stoll 17 Gewährleistungsziele in der DS-GVO (tabellarische Darstellung) Nichtverkettung Transparenz Intervenierbarkeit Artikel Datenminimierung Erwägungsgründe Erwägungsgründe Art. 5. Abs. 1 lit. c und lit. e; Art. 17, Art. 22, Art. 25, Art. 40 Abs. 2 lit. d 31, 32, 33, 39, 50, 53, 71, 78 Art. 5. Abs. lit. a, Art. 13, Art. 14, Art. 15, Art. 19, Art. 25, Art. 30, Art. 32, Art. 33, Art. 40, Art , 39, 42, 58, 60, 61, 63, 74, 78, 84, 85, 86, 87, 90, 91, 100 Art. 5 Abs. 1 lit. d und lit. f, Art. 13 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e, Art. 16, Art. 17, Art. 18, Art. 20, Art. 21, Art. 25, Art , 59, 65, 66, 67, 68, 69, 70, 78 Quelle: Standard-Datenschutzmodell 11/29/2017 Julia Stoll 18 9

10 Einfluss weiterer Aspekte 11/29/2017 Julia Stoll 19 Betroffenenrechte (1): Von Verfahren zu Prozessen Kapitel III: Rechte der betroffenen Personen Fokusauf den Verfahren, für die es Prozesse ggf. System-übergreifend geben muss Art. 12 Art. 13 Art. 14 Art. 15 Transparente Information, Kommunikation und Modalität für die Ausübung der Rechte betroffener Personen (Übersichtsartikel) Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person Informationspflicht, wenn die personenbezogenen Daten nicht bei der Person erhoben wurden (Daten kommen wonanders her.) Auskunftsrecht der betroffenen Person 11/29/2017 Julia Stoll 20 10

11 Betroffenenrechte (2): Von Verfahren zu Prozessen Kapitel III: Rechte der betroffenen Personen Operationen auf personenbezogenendaten (ähnlich ehemaliger Kontrollziele ) Art. 16 Art. 17 Art. 18 Art. 19 Recht auf Berichtigung Recht auf Löschung ( Recht auf Vergessenwerden ) Recht auf Einschränkungen der Verarbeitung (nicht mehr nur Sperren ; An- und Ausschalten mit Dokumentation der Gründe) Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Lösung von personenbezogenen Daten oder Einschränkung der Verarbeitung 11/29/2017 Julia Stoll 21 Betroffenenrechte (3): Von Verfahren zu Prozessen Kapitel III: Rechte der betroffenen Personen TranszendenteZiele, nur mit Gewährleistungszielen Art. 20 Art. 21 Art. 22 Recht auf Datenübertragbarkeit (speziell: standardisierte Formate) Widerspruchsrecht (z.b. wesentliche Realisierung durch Intervenierbarkeit) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling 11/29/2017 Julia Stoll 22 11

12 Begriffe und schwierige Übersetzungen English Procedure Rules of procedure Process Processing activities ( Neu-Englisch ) Record of processing activities Processing operations ( Neu-Englisch ) Data protection impact assessment German Verfahren, insb. in der öffentlichen Verwaltung als Fachverfahren Geschäftsordnung Prozess (als IT-gestütztes Verfahren) Verarbeitungstätigkeiten (Art. 30 DS-GVO) (Gesamt-)Verzeichnis von Verarbeitungsvorgängen [unterschiedlich!] Verarbeitungsvorgänge (Art. 35 DS-GVO) Vorabkontrolle (lieferte (Gesamt-) Verfahrensverzeichnis) [unterschiedliche Ziele, aber Ansatz!] 23 Begriffe und schwierige Übersetzungen (2) English Operations Unlinkability Data subject Processor(s) Controller(s) Consent German Operationen auf personenbezogenen Daten (erheben, beauskunften, informieren, Verarbeitung einschränken, löschen und portieren [an andere Anbieter übermitteln]) Zweckgebundenheit / Nicht-Verkettbarkeit Betroffene (vorher: betroffene Personen, ggf. mit Trennung zwischen natürlichen und juristischen Personen) Auftragsverarbeiter (Auftragsverarbeitung über einen Vertrag) Verantwortliche Nicht (!) alles geht über eine Einwilligung 11/29/2017 Julia Stoll 24 12

13 Neue Organisationsstrukturen EDPB Task Force << Art 29 Working Party Organisation: Rules of Procedure WP29 >> EDPB later on: EDPB newer Subgroups Task Forces Inside EDPS Task Force (Secretary) IT Task Force (Participant HE) Outside Art. 70, Art. 75 GPDR Art GPDR Subgroups (selection) Future of Privacy Cooperation Subgroup Enforcement Subgroup 11/29/2017 Julia Stoll 25 Möglichkeiten der Zertifizierungen 11/29/2017 Julia Stoll 26 13

14 Vorteile einer Zertifizierung: Zusammenhänge zu Art. 42 DS-GVO Art. 24 Abs. 3 Art. 25 Abs. 1, Abs 2 und Abs. 3 Art. 28 (insb. Abs. 5 und 6) Art. 32 Art. 46 Abs. 2 lit. f ErwGr. 90 Pflichten des Verantwortlichen Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen Garantien des Auftragsverarbeiters Sicherheit der Verarbeitung Datenübermittlung in ein Drittland Datenschutz-Folgenabschätzung Zertifizierungen als Nachweis mit 144 Nennungen im Text der DS-GVO! 11/29/2017 Julia Stoll 27 Deutsche Akkreditierungsgesellschaft (DAkkS): Zertifizierungen für den Datenschutz?! DAkkS (Anleitung): Festlegungen für die Anwendung der DIN EN ISO/IEC bei der Akkreditierung von Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren unter (letzter Aufruf: ) DAkkS: Akkreditierungsantrag (als Teil der konkreten Implementierung) unter (letzter Aufruf: ) DAkkS: Überwachung akkreditierter Stellen unter (letzter Aufruf: ) 11/29/2017 Julia Stoll 28 14

15 Zertifizierung: Grundlagen für das Konformitätsbewertungsprogramm Bindeglied zwischen Akkreditierung und Zertifizierungen Kriterien, Anforderung und/oder Qualifikationen, die für die Zertifizierungen gelten und zur Expertise, die die Zertifizierungsstellen verfügen müssen Nachweise, die von der zu akkreditierenden Stelle im Rahmen der Akkreditierung erbracht werden müssen und die bei jeder Zertifizierung durch die Zertifizierungsstelle zu erbringen ist Transzendenz 11/29/2017 Julia Stoll 29 Mögliche ISO Normen (nicht abschließend, 1) Bezeichnung DIN EN ISO/EN 17000: DIN EN ISO/EN 17001: DIN EN ISO/EN 17001: DIN EN ISO/IEC :2013 Inhalt Konformitätsbewertung, Begriffe: Glossar Konformitätsbewertung, Prüfnorm Akkreditierungsbereich, Anforderungen an Akkreditierungsstellen Ausstellung und Verwaltung von Konformitätsbewertungsprogrammen für Produkte 11/29/2017 Julia Stoll 30 15

16 Mögliche ISO Normen (nicht abschließend, 2) Einzelnormen für strukturell unterschiedliche Zertifizierungen DIN ISO/IEC 27001: DIN EN ISO/IEC 27002: ISO/IEC ISO/IEC Umsetzung von notwendigen IT- Sicherheitsmaßnahmen und eines IT- Sicherheitsmanagements (ISMS) Compliance (privacy and its objectives) Risikoanalyse im Bereich des ISMS Privacy Framework (dt. Titel: Informationstechnik Sicherheitsverfahren Rahmenwerk für den Datenschutz) 11/29/2017 Julia Stoll 31 Mögliche ISO Normen (nicht abschließend, 3) Neure Einzelnormen FDIS FDIS ISO/IEC WD DIN ISO DIN ISO Datenschutz-Folgenabschätzung (DPIA) Leitfaden für den Schutz personenbezogener Daten (Identitätsmanagement: IdM) Datenschutzmanagement (Privacy) Risikomanagement Grundsätze und Leitlinien Konkretisierung zur ISO Norm 310xx, insb. Verfahren zur Risikobewertung 11/29/2017 Julia Stoll 32 16

17 Zusammenfassung 11/29/2017 Julia Stoll 33 Zusammenfassung Perspektive: Vorgehen und Ansätze für Datenschutzbeauftragte und IT Von Kontroll- zu Gewährleistungszielen Verfahren und IT-gestützte Prozesse Abhilfemaßnahmen, insbesonderezurreduktiondes Risikos bei einer Datenschutz-Folgenabschätzung Rolle der Betroffenenrechte Augenmerk auf Begriffe (in Bezug auf Übersetzungen) Zertifizierungen: Auswahl von möglicherweise zu berücksichtigenden ISO Normen Diverse Links 11/29/2017 Julia Stoll 34 17

18 Fragen? Vielen Dank für Ihre Aufmerksamkeit! 11/29/2017 Julia Stoll 35 Anhang: Lesehilfe AUSZUG VON ARTIKELN MIT GENANNTEM TECHNISCHEM BEZUG GEMÄß DS-GVO 11/29/2017 Julia Stoll 36 18

19 Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen c) Dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ) d) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und der Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden ( Speicherbegrenzung ) 11/29/2017 Julia Stoll 37 Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Personen gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Zwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ( Speicherabgrenzung ) 11/29/2017 Julia Stoll 38 19

20 Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ) 11/29/2017 Julia Stoll 39 Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z.b. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in der Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. 11/29/2017 Julia Stoll 40 20

21 Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für die deren jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden. 11/29/2017 Julia Stoll 41 Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen 3) Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. 11/29/2017 Julia Stoll 42 21

22 Art. 32 Sicherheit der Verarbeitung 1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: 11/29/2017 Julia Stoll 43 Art. 32 Sicherheit der Verarbeitung a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 11/29/2017 Julia Stoll 44 22

23 Art. 32 Sicherheit in Verarbeitung 2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. 11/29/2017 Julia Stoll 45 Art.32 Sicherheit der Verarbeitung 3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder der genehmigten Zertifizierungen gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Anforderungen nachzuweisen. 4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedsstaaten verpflichtet. 11/29/2017 Julia Stoll 46 23

24 Art. 35 Datenschutz-Folgenabschätzung (vier Kriterien) 1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. 2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde ein. 11/29/2017 Julia Stoll 47 Art. 35 Datenschutz-Folgenabschätzung 3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung einschließlich Profiling gründet ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. 11/29/2017 Julia Stoll 48 24

25 Art. 35 Datenschutz-Folgenabschätzung 4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. 5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz- Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dann dem Ausschuss. 11/29/2017 Update! - Julia Stoll 49 Art. 35 Datenschutz-Folgenabschätzung 6) Vor der Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedsstaaten im Zusammenhang stehen oder die den freien Verkehr von personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. 11/29/2017 Update! - Julia Stoll 50 25

26 Art. 35 Datenschutz-Folgenabschätzung 7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich der Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. 11/29/2017 Update! - Julia Stoll 51 Art. 35 Datenschutz-Folgenabschätzung 8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz- Folgenabschätzung, gebührend zu berücksichtigen. 9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Person oder ihrer Vertreter zu der berechtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. 11/29/2017 Update! - Julia Stoll 52 26

27 Art. 35 Datenschutz-Folgenabschätzung 10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c und e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz- Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedsstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen. 11/29/2017 Julia Stoll 53 Art. 35 Datenschutz-Folgenabschätzung 11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerben, ob die Verarbeitung gemäß der Datenschutz- Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. 11/29/2017 Julia Stoll 54 27