Eine effiziente Umsetzungsanleitung. Dr. Stefan Kraxberger Secinto 1

Transkript

1 Eine effiziente Umsetzungsanleitung Dr. Stefan Kraxberger Secinto 1

2 Stefan Kraxberger IT Security Researcher, Universitätsassistent, Lecturer Geschäftsführer Secinto Information and Computer Security Know How und Interesse Informationssicherheit Datenschutzberatung, Umsetzung und Evaluierung Sichere Softwareentwicklung Sicherheitsüberprüfung von Produkten und Software Zertifizierung Auditor und Support (CC, ISO 27001, ÖNORM A 7700, ) Sicherheitsbewusstseins Training Penetration testing, White hat stefan.kraxberger@secinto.com Dr. Stefan Kraxberger - Secinto 2

3 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 3

4 Standardisierter Ablauf Ansatz von ISO Managementsystemen ISO 9001 ISO ISO Act Plan Do Check Dr. Stefan Kraxberger - Secinto 4

5 Definitionen Betroffene: Natürliche Personen, deren Daten verarbeitet werden. Personenbezogene Daten: Angaben über Betroffene, deren Identität identifiziert oder identifizierbar ist. Verantwortlicher (Auftraggeber): Jene Person, die über die personenbezogenen Datenverarbeitung entscheidet. Auftragsverarbeiter: Jene Person, die im Auftrag des Verantwortlichen die personenbezogenen Daten verarbeitet Dr. Stefan Kraxberger - Secinto 5

6 Akteure Betroffene Person Verantwortlicher Auftragsverarbeiter Andere Verantwortliche Sub Auftragsverarbeiter Dr. Stefan Kraxberger - Secinto 6

7 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 7

8 Umsetzung starten Sofort damit beginnen und Ressourcen zur Verfügung stellen!!! Verantwortlichen bestimmen Falls ein Datenschutzbeauftragter (DSB) notwendig ist, diesen bestimmen bzw. einstellen und damit betrauen Andernfalls liegt die Verantwortung bei der Geschäftsführung kann aber von anderen umgesetzt werden Dr. Stefan Kraxberger - Secinto 8

9 Datenschutzbeauftragter Wird benötigt, wenn eines der folgenden auf Sie zutrifft: Öffentliche Stelle oder eine Behörde (z.b. Bezirkshauptmannschaft, Gewerkschaften, E-Control, Bundesanstalten, ) Gerichte im Rahmen der Rechtsprechung sind ausgenommen Umfangreiche Verarbeitung sensibler oder strafrechtlicher Daten (z.b. Krankenhäuser, Gesundheitszentren, ) Regelmäßige und systematische Überwachung von betroffenen Personen (z.b. Banken, Sicherheitsdienst, alle die Profiling anwenden) Dr. Stefan Kraxberger - Secinto 9

10 Umsetzungsverantwortung Wenn kein Datenschutzbeauftragter benötigt wird, sollten folgende Schritte gesetzt werden Interne Analyse, Argumente und Entscheidung gegen DSB dokumentieren (nicht vorgeschrieben, aber empfohlen) Umsetzung ist von der Geschäftsführung zu führen, Verantwortung liegt bei ihr Der Titel DSB ist nur zu verwenden, wenn einer eingesetzt ist Dr. Stefan Kraxberger - Secinto 10

11 Datenschutzverantwortung DSB können für einen Verbund bzw. von einem Konzern für alle Niederlassungen (wenn leicht erreichbar) zur Verfügung gestellt werden DSB sowie Umsetzungsunterstützung können extern beauftragt werden Dr. Stefan Kraxberger - Secinto 11

12 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 12

13 GRUNDSÄTZE ÜBERPRÜFEN Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Der Verantwortliche ist für die Einhaltung der Grundsätze zuständig und muss deren Einhaltung nachweisen können Dr. Stefan Kraxberger - Secinto 13

14 Verarbeitungsverbot Grundsätzlich besteht ein Verbot der Verarbeitung von personenbezogenen Daten Bei Einhaltung der Grundsätze gibt es folgende Ausnahmen: Zustimmung des Betroffenen Notwendig zur Vertragserfüllung (Berechtigtes Interesse) Rechtliche Verpflichtung Lebenswichtige Interesse Daten sind öffentlich oder anonym Dr. Stefan Kraxberger - Secinto 14

15 Verarbeitungsverbot Bei sensiblen Daten gelten NUR folgende Ausnahmen Ausdrückliche Einwilligung Lebenswichtiges Interesse Rechtliche Grundlage und Rechtsanspruch, Arbeitsrecht Gesundheitsvorsorge Forschung, Statistik oder Archive (öffentliches Interesse) Durch Betroffenen selbst veröffentlicht Politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder vergleichbare Organisation Dr. Stefan Kraxberger - Secinto 15

16 Verarbeitungsverbot Strafrechtlichen Daten dürfen nur unter behördlicher Aufsicht oder aufgrund einer Rechtsvorschrift verarbeitet werden Führungszeugnisse (z.b.: Kindergärten) Strafrechtliche Verurteilungen und Straftaten Dr. Stefan Kraxberger - Secinto 16

17 Verzeichnisse Überprüfung, ob ein Verzeichnis der Verarbeitungstätigkeiten angelegt und verwaltet werden muss! Grundsätzlich gibt es nur eine Ausnahme! Verarbeitung, die nicht regelmäßig erfolgen benötigen kein Verzeichnis Wird in der Regel auf fast niemanden zutreffen. Jeder Handwerker, der persönliche Daten immer wieder aufruft, verarbeitet regelmäßig! Dr. Stefan Kraxberger - Secinto 17

18 Verzeichnisse Die andere Gründe um kein Verzeichnis führen zu müssen, werden von dem vorherigen (fast immer) außer Kraft gesetzt. Weniger als 250 Mitarbeiter Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen Keine Verarbeitung von sensiblen oder strafrechtlich relevanten Daten Dieses Verzeichnis muss von den Verantwortlichen (Auftraggebern) sowie den Auftragsverarbeitern geführt werden Dr. Stefan Kraxberger - Secinto 18

19 Verzeichnisse Das Verzeichnis muss folgende Informationen beinhalten Kontaktdaten von Verantwortlichen und Auftragsverarbeitern, DSB wenn vorhanden Verarbeitungstätigkeit, Verarbeitete Daten, Rechtliche Grundlage, Weitergabe von Daten und Sicherheits/Sicherungsmaßnahmen Dr. Stefan Kraxberger - Secinto 19

20 Verarbeitungstätigkeiten Mitarbeiterverzeichnis Kundenkartei CRM Patientenentwicklung Bonitätsverwaltung Lohnverrechnung Elektronische Fahrtenbücher Veranstaltungsnewsletter Lieferanten bzw. deren Ansprechpartner Automatische Analyse von Onlineverhalten Dr. Stefan Kraxberger - Secinto 20

21 Zustimmung Mitarbeiter muss keine Zustimmung geben wenn vom Arbeitgeber die Daten für die Lohnverrechnung an einen Steuerberater weitergegeben werden Notwendig zur Vertragserfüllung (Berechtigtes Interesse) Dr. Stefan Kraxberger - Secinto 21

22 Zustimmung Kunde muss keine Zustimmung geben wenn vom Verkäufer die Daten für den Bestellvorgang verwendet werden Notwendig zur Vertragserfüllung (Berechtigtes Interesse) Dr. Stefan Kraxberger - Secinto 22

23 Zustimmung Kunde muss keine Zustimmung geben wenn vom Verkäufer während des Bestandes eines Leasingvertrages verwendet werden Notwendig zur Vertragserfüllung (Berechtigtes Interesse) Dr. Stefan Kraxberger - Secinto 23

24 Zustimmung Mitarbeiter muss keine Zustimmung geben damit der Arbeitgeber die Daten für den Dienstzettel verwendet Rechtliche Verpflichtung Dr. Stefan Kraxberger - Secinto 24

25 Zustimmung Kunde muss keine Zustimmung geben wenn er über aktuelle Angebote informiert wird für die er sich interessieren könnte Notwendig zur Vertragserfüllung (Berechtigtes Interesse) Dr. Stefan Kraxberger - Secinto 25

26 Zustimmung Für Dienste der Informationsgesellschaft wird von Kinder unter 16 Jahren die Einwilligung deren Obsorgeberechtigten benötigt. Der Verantwortliche hat unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen Dr. Stefan Kraxberger - Secinto 26

27 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 27

28 Vereinbarungen Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags Vereinbarungen mit den Auftragsverarbeitern prüfen. Der Vertrag muss folgendes regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen Dr. Stefan Kraxberger - Secinto 28

29 Vereinbarungen Der Auftragsverarbeiter verpflichtet sich zur Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Vertraulichkeit oder unterliegt einer angemessenen gesetzlichen Verschwiegenheitspflicht. Ergreifung aller erforderlichen Datensicherheitsmaßnahmen. Nur mit schriftliche Genehmigung des Verantwortlichen einen Subauftragnehmer zu verpflichten. Unterstützung bei der Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO. Löschung bzw. Rückgabe alle personenbezogenen Daten nach Beendigung der Bearbeitung. Bereitstellung aller Informationen zur Überprüfung der Einhaltung seiner Verpflichtungen (auch durch den Verantwortlichen) Dr. Stefan Kraxberger - Secinto 29

30 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 30

31 Pflichten und Betroffenenrechte Informationspflicht Auskunftsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Dr. Stefan Kraxberger - Secinto 31

32 Informationspflicht Informationspflicht besteht aus einer Reihe von Daten und Informationen die dem Betroffenen zur Verfügung gestellt werden müssen bzw. über die er in Kenntnis gesetzt werden muss Informationspflichten für 2 Fälle unterschieden Daten werden beim Betroffenen direkt erhoben Die Daten werden nicht beim Betroffenen selbst erhoben Entweder direkt bevor die Information gesammelt wird oder als Zusendung wenn sie nicht beim Betroffenen erhoben wurden Dr. Stefan Kraxberger - Secinto 32

33 Daten erhoben beim Betroffenen Namen und Kontaktdaten des Verantwortlichen Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung Welches berechtigte Interesse falls gegeben Empfänger der Daten geeigneten oder angemessenen Garantien bei Verarbeitung im Ausland Dauer der Datenspeicherung Information über Betroffenenrechte Zustimmungsausnahme falls gegeben (Vertrag, Rechtlich) Bestehen automatisierter Entscheidungsfindung Dr. Stefan Kraxberger - Secinto 33

34 Daten nicht erhoben beim Betroffenen Zusätzlich zu den vorherigen Informationen müssen noch folgende Informationen zur Verfügung gestellt werden Kategorien personenbezogener Daten Die Quelle von der die personenbezogenen Daten stammen Dr. Stefan Kraxberger - Secinto 34

35 Auskunftsrecht Alle betroffenen Personen haben ein Auskunftsrecht Alle zuvor genannten Information und zusätzlich die verarbeiteten personenbezogenen Daten müssen auf Anfrage der betroffenen Person zur Verfügung gestellt werden Die Auskunft muss vom Verantwortlichen längstens binnen eines Monats ab Eingang beantwortet haben Dr. Stefan Kraxberger - Secinto 35

36 Berichtigung, Löschung, Einschränkung Berichtigung: Der Verantwortliche hat die Daten der betroffenen Person richtig zu stellen. Es steht ihm auch ein Recht der Vervollständigung der Daten zu insofern es für die Verarbeitung notwendig ist. Löschung: Die Daten der betroffenen Person sind zu löschen. Einschränkung: Es dürfen die Daten nur mehr gespeichert bleiben aber keine Verarbeitung mehr durchgeführt werden Dr. Stefan Kraxberger - Secinto 36

37 Datenübertragung Der Verantwortliche muss alle Daten, die von der betroffenen Person bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format an sie übermitteln. Alle bereitgestellten Informationen (Fotos, Nachrichten, ) sowie jene die durch die Nutzung angefallen sind (z.b. Aktivitätsprotokolle). Müssen auch direkt einen anderen Verantwortlichen übermittelt werden, sofern dies technisch machbar ist Dr. Stefan Kraxberger - Secinto 37

38 Meldepflicht planen Verletzungen des Schutzes von personenbezogenen Daten müssen bei der Datenschutzbehörde gemeldet und gegebenenfalls dem Betroffenen bekannt gegeben werden. Unverzüglich bzw. innerhalb von 72 Stunden an Datenschutzbehörde Alle Verstöße und im Zusammenhang stehende Fakten müssen dokumentiert werden WAS ist zu melden Beschreibung und Art der Verletzung Name und Kontaktdaten Beschreibung der Folgen Beschreibung der ergriffenen Maßnahmen Dr. Stefan Kraxberger - Secinto 38

39 Meldepflicht planen WAS ist zu melden und zu dokumentieren (notwendig für Überprüfung durch Datenschutzbehörde) Beschreibung und Art der Verletzung Name und Kontaktdaten Beschreibung der Folgen Beschreibung der ergriffenen Maßnahmen Dr. Stefan Kraxberger - Secinto 39

40 Meldepflicht planen Datenschutzbehörde muss nicht benachrichtigt werden wenn Risikoabwägung ergibt das kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht Alle Verstöße melden Betroffene Person muss benachrichtigt werden wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlicher Personen besteht Dr. Stefan Kraxberger - Secinto 40

41 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 41

42 Datensicherheit Maßnahmen festlegen und durchführen unter Berücksichtigung von Stand der Technik Kosten Zweck und Umstände der Verarbeitung Risiko Der Verantwortliche hat Risikoanalysen der Datenanwendungen durchzuführen. Bei hohen Risiko muss zusätzlich eine Datenschutz-Folgenabschätzung durchgeführt werden Dr. Stefan Kraxberger - Secinto 42

43 Datensicherheit Geeignete technische und/oder organisatorische Maßnahmen sind umzusetzen Dies muss nachweißlich (dokumentiert) geschehen Verantwortlicher ist für die Implementierung von Datensicherheitsmaßnahmen zuständig Weiters müssen datenschutzfreundliche Voreinstellungen angewandt werden Dr. Stefan Kraxberger - Secinto 43

44 Datensicherheit - Maßnahmen Pseudonymisierung und Verschlüsselung personenbezogener Daten Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit auf Dauer Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen Anweisung des Personals Maßnahmen zur raschen Wiederherstellung der Verfügbarkeit Backup Regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen Dr. Stefan Kraxberger - Secinto 44

45 Datensicherheit Kann durch geeignete Zertifizierungen nachgewiesen werden Z.b.: ISO Weitere Hilfen können unter gefunden werden Empfehlenswert ist hier die Zuhilfenahme eines (externen) Sicherheitsbeauftragten Dr. Stefan Kraxberger - Secinto 45

46 Fit bis Mai 2018 Notwendige Schritte Schritt Aufgaben/Tasks DSGVO Umsetzung starten, Verantwortlichen bestimmen, Aufnahme des aktuellen Zustandes Aufbau des Verzeichnisses von Verarbeitungstätigkeiten, Aufnahme und Überprüfung aller datenverarbeitenden Prozesse und Anwendungen Ermittlung der Auftragsverarbeiter, Überprüfung der Konformität mit DSGVO, Definition von Vereinbarungen und Richtlinien, Abschluss von Verträgen Pflichten und Betroffenenrechte behandeln, Prozesse und Anwendungen prüfen und Pflichten umsetzen, Meldungssystem planen Datensicherung, privacy by design und privacy by default umsetzen und dokumentieren Kontinuierliche Kontrolle und Verbesserung, Schulungen durchführen und Bewusstsein schaffen Dr. Stefan Kraxberger - Secinto 46

47 Kontrolle Regelmäßige Kontrolle der Einhaltung Schulung und Anweisungen an das Personal müssen durchgeführt und nachgewiesen werden Übermittlungsanordnung Folgen bei Verletzung Dokumentation der Verpflichtung der Mitarbeiter zur Vertraulichkeit Mitarbeiter müssen unzulässige Datenübermittlung verweigern Dr. Stefan Kraxberger - Secinto 47

48 Kontrolle Bei Verstößen von tätigen Personen eines Unternehmens das durch eine mangelnde Überwachung oder Kontrolle durch das Führungspersonal eintritt kommt es zu Geldbußen Führungspersonal sind Personen mit Vertretungs-, Entscheidungs- und Kontrollbefugnis innerhalb einer juristischen Person Regelmäßige organisatorische oder technische Kontrolle, Aufzeichnung und Unterweisung bzw. Schulung Dr. Stefan Kraxberger - Secinto 48

49 Verbesserung Verbesserungen bzw. Anpassungen entstehen durch die Kontrolle und Überprüfung auf Einhaltung der Datenschutzgrundverordnung Geänderte Wirtschaftsprozesse Wachstum Verwendung von neuen Technologien Veränderte gesetzliche Grundsätze Einbindung von Datenschutzverantwortlichen (intern oder extern) in die regelmäßige Kontrolle Dr. Stefan Kraxberger - Secinto 49

50 Was kann im schlimmsten Fall passieren? Außer den Verwaltungsstrafen (10M bzw. 2% oder 20M bzw. 4%) gibt es auch noch ein Beschwerderecht bei der DSB und Klagerechte und Schadenersatzrechte für materielle und immaterielle Schäden Dr. Stefan Kraxberger - Secinto 50

51 Datenschutz und Sicherheit sind ein Prozess keine fertige Lösung Wir helfen ihnen gerne dabei Vielen Dank für ihre Aufmerksamkeit DI Dr. Stefan Kraxberger - Secinto 51

52