Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

Transkript

1 Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut Stellv. Landesbeauftragter / Leiter Bereich Technik

2 Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement Folie: 2

3 Lieferanten Geschäftspartner IT-Dienstleister Konzern unternehmen Digitale Unterehmenswerte Call Center Joint Venture Unternehmen Unternehmen Kunden Folie: 3

4 Folie: 4

5 Folie: 5

6 Folie: 6

7 Sicherheit der Verarbeitung Folie: 7

8 Sicherheit der Verarbeitung ment=sew03059deen.pdf Folie: 8

9 25 Mai noch 79 Tage Folie: 9

10 Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Wesentliche Elemente Datenschutzmanagement Folie: 10

11 Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Nicht alles neu macht der Mai! Folie: 11

12 Gesetzliche Vorgaben für den technisch-organisatorischen Datenschutz heute ab 25. Mai a BDSG: Datenvermeidung sind an dem Ziel Datensparsamkeit auszurichten Anonymisierung/Pseudonymisierung 4e/g BDSG Verfahrensverzeichnis 9 BDSG + Anlage: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Datentrennung Art. 5 DS-GVO Grundsätze: Datenminimierung müssen Speicherbegrenzung Rechenschaftspflicht (Dokumentation) Art. 24, 25 DS-GVO Datenschutz durch Technik: Privacy by Design (Gestaltung) Privacy by Default (Voreinstellungen) Art. 30 DS-GVO Verarbeitungsverzeichnis Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Folie: 12

13 Art. 32 Sicherheit der Verarbeitung Zutrittskontrolle Technisch-organisatorischer Datenschutz Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Verfügbarkeit Eingabekontrolle Vertraulichkeit Auftragskontrolle Integrität Verfügbarkeitskontrolle Datentrennung Datenschutz IT-Sicherheit Auf Maßnahmen und Methoden der IT-Sicherheit kann bei der Sicherheit der Verarbeitung nach der DS-GVO zurückgegriffen werden Folie: 13

14 Art. 32 Sicherheit der Verarbeitung Art. 5 DS-GVO Grundsätze: Rechenschaftspflicht (Dokumentation) IT-Grundschutz: Verfügbarkeit Vertraulichkeit Integrität Risikoanalyse Sicherheitskonzept Sicherheitsmanagement Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) IT-Grundschutz- Kompendium Folie: 14

15 Sicherheit der Verarbeitung Risikoanalyse / Sicherheitskonzept Folie: 15

16 Art. 25, 32, 35 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Folie: 16

17 Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Risiko? voraussichtlich Art. 35 DS-GVO Datenschutz-Folgenabschätzung Folie: 17

18 Kernpunkte WP Kriterien für ein voraussichtlich hohes Risiko: Bewertung / Scoring Automatisierte Entscheidungen Systematische Überwachung Sensible Daten (Art. 9, 10 DS-GVO) Umfangreiche Verarbeitung Zahl Betroffener Datenumfang Dauer der Verarbeitung/Speicherung Geografische Reichweite Folie: 18

19 Kernpunkte WP 248 Kriterien für ein voraussichtlich hohes Risiko: Verknüpfung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden Verarbeitung von Daten schutzbedürftiger/abhängiger Personen (z.b. Beschäftigte, Patienten, Alte, Schutzsuchende) Innovative Verarbeitungstechniken (z.b. Gesichtserkennung, -analyse) Hinderung an Rechtsausübung, Nutzung einer Dienstleistung oder Vertragsdurchführung (z.b. Auskunfteien) Bei 2 zutreffenden Kriterien: DSFA Folie: 19

20 Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Normaler Schutzbedarf Risiko? voraussichtlich Typische Szenarien Typische Gefährdungen Typische Maßnahmen Folie: 20

21 Beispiel: Folie: 21

22 Beispiel: Folie: 22

23 Beispiel: Folie: 23

24 Beispiel: Folie: 24

25 Referenztabelle OPS Schutz vor Schadprogrammen Folie: 25

26 Folie: 26

27 Art. 83 Bußgelder bei Defiziten bei der Sicherheit der Verarbeitung Art. 32 Sicherheit der Verarbeitung Folie: 27

28 Sicherheit der Verarbeitung Verarbeitungsverzeichnis Art. 30 DS-GVO Name/Kontaktdaten des Verantwortlichen Verarbeitungszwecke Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfänger Datenübermittlung in Drittländer Löschfristen Technisch-organisatorische Maßnahmen Folie: 28

29 Verarbeitungsverzeichnis Art. 30 DS-GVO Folie: 29

30 Hinweise zum Verarbeitungsverzeichnis Art. 30 DS-GVO Folie: 30

31 Sicherheit der Verarbeitung Datenschutzmanagement Folie: 31

32 Art. 32 Datenschutzmanagement Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Maßnahmen zur Sicherheit der Verarbeitung. Folie: 32

33 Sicherheit der Verarbeitung nach DS-GVO BSI Standard IT-Sicherheitsmanagement ISO Verfahren nach Art 32 (2) Buchst. d) DS-GVO Die Methodik der ISO kann übernommen werden Folie: 33

34 Art. 32 Datenschutzmanagement Leitungsvorgaben Vearbeitungsverzeichnis Risikoanalyse Maßnahmen/Dokumentation Verantwortlichkeiten Ressourcen Umsetzung Evaluation/Anpassung Folie: 34

35 Sicherheit der Verarbeitung Nach der DS-GVO Vier ½ Schritte: Folie: 35

36 Umsetzung Art. 32 Sicherheit der Verarbeitung BDSG heute Verarbeitungsverzeichnis Was mache ich? Risikoanalyse Sicherheitskonzept Datenschutzmanagement DSFA Was betrifft mich? Welche Maßnahmen treffe ich? Wie organisiere ich das? DS-GVO Folie: 36

37 Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement DS-GVO = rechtliche Verpflichtungen. Ja, aber Schutz der digitalen Unternehmenswerte = Ihr Interesse Folie: 37

38 datenschutz.rlp.de Folie: 38

39 datenschutz.rlp.de Folie: 39