Die DSGVO aus IT-Sicht

Transkript

1 Die DSGVO aus IT-Sicht RA Dr. Lukas Feiler, SSCP, CIPP/E Lindecampus Praxistag: Fit für das neue Datenschutzrecht 30. Jänner 2018

2 Themen 1 Datensicherheit DSGVO-konform gestalten Wie sicher ist sicher genug? Datensicherheitskonzepte auf dem Prüfstand 2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren Wann liegt eine Sicherheitsverletzung vor? Wann sind Datenschutzbehörde bzw. Betroffene zu informieren? 3 Die Erfüllung von Betroffenenrechten automatisieren Betroffenenrechte im Self-Service Löschung technisch umsetzen Technische Umsetzung des Rechts auf Datenübertragbarkeit 4 Risikominderungsmaßnahmen im Rahmen von Datenschutz-Folgenabschätzungen

3 3 1 Datensicherheit DSGVO-konform gestalten

4 Datensicherheitspflichten Vertraulichkeit, Verfügbarkeit, Integrität Daten sind zu schützen vor Verlust der Vertraulichkeit Verlust der Verfügbarkeit Verlust der Integrität Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen 4

5 Datensicherheitspflichten Herausforderung Risikobewertung 1 von 2 Methoden der Risikobewertung Qualitativ - niedrig mittle hoch Quantitativ X Euro in beiden Fällen Kombination von potentiellem Schaden & Eintrittswahrscheinlichkeit Qualitative Risikobewertung z.b. durch Risiko-Matrizen 5

6 Datensicherheitspflichten Herausforderung Risikobewertung 2 von 2 Quantitative Risikobewertung: Annualized Loss Expectancy (ALE) ALE = Annualized Rate of Occurrence (ARO) * Single Loss Expectancy (SLE) zb Risiko eines Festplattendefekts: ARO = 0,1; SLE = 100k ALE = 10k besondere Herausforderung: Wie ist der Schaden zu bemessen? Nach dem ersatzfähigen Schaden gem Art 82 DSGVO? 6

7 Datensicherheitspflichten Sicherheitsmaßnahmen Angemessene Maßnahmen umfassen laut DSGVO insb.: Pseudonymisierung und Verschlüsselung; die Fähigkeit, die Sicherheit der Systeme sicherzustellen; die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities; Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits Technische Standards ausreichend? z.b. Critical Security Controls for Effective Cyber Defense des Center for Internet Security ISO/IEC Information security management ISO/IEC Code of practice for information security controls Payment Card Industry Data Security Standard (PCI DSS) 7

8 Datensicherheitspflichten Typen von Sicherheitsmaßnahmen Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen Nach der Wirkungsweise: präventive, detektive, reaktive oder abschreckende Maßnahmen Beispiele Technical Organizational Physical Präventiv Firewall 4-Augen-Prinzip Stahltür Detektiv Reaktiv Intrusion Detection System (Backup &) Restore Verpflichtender Log Review Incident Response Policy Abschreckend Warnmeldung Disziplinarordnung Hund Brandmelder Feueralarm 8

9 Datensicherheitspflichten Im Fokus: Zugriffskontrolle (Access Control) Identifizierung: Wer bist du? Ich bin Tom. Authentifizierung: Wirklich? Beweise es! Durch etwas das man weiß (ein Passwort) Durch etwas das man hat (zb einen Schlüssel) Durch etwas das man ist (zb Retina- oder Fingerabdruck-Scan) One-Factor Authentication : eines der drei Two-Factor Authentication : zwei der drei Autorisierung: Wenn ich weiß wer du bist, entscheide ich, was du darfst Allgemeine Verweigerung/Gewährung des Zugriffs Zugriff nur auf bestimmte Informationen 9

10 10 2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren

11 Sicherheitsverletzungen Datensicherheitsverletzung Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten Vorsätzliche und zufällige Ereignisse sind erfasst Beispiele: Laptop mit Kundendaten (ohne Festplattenverschlüsselung) im Zug vergessen Verletzung der Vertraulichkeit Erpresser-Schadstoffware verschlüsselt alle Kundendaten (keine Backups vorhanden) Verletzung der Verfügbarkeit Mitarbeiter-PCs durch Schadsoftware kompromittiert, die nur dazu verwendet wird, Spam- s an Dritte zu versenden weder die Vertraulichkeit noch die Verfügbarkeit oder die Integrität der Daten wurde verletzt 11

12 Sicherheitsverletzungen Meldung von Datensicherheitsverletzungen Pflicht zur Data Breach Notification Informationspflicht besteht nur, wenn Verantwortlicher von Sicherheitsverletzung Kenntnis erlangt Eine Sicherheitsverletzung muss der Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden gemeldet werden, bei jeglichem Risiko für Betroffene Pflicht zur Notifikation gegenüber Betroffenen: unverzüglich aber nur, wenn für Betroffene das Risiko hoch ist Inhalt der Meldung u.a.: Art der Sicherheitsverletzung, Namen und Kontaktdaten des Datenschutzbeauftragten, ergriffene oder vorgeschlagene reaktive Maßnahmen 12

13 Sicherheitsverletzungen Wann liegt ein hohes Risiko vor? Faustregel: War für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung durchzuführen? Wurden Benutzernamen und Passwörter oder sensible Daten kompromittiert? Wenn ja, ist grundsätzlich von einem hohen Risiko auszugehen Beispiele Videoüberwachung durch dutzende Videokameras in einem Geschäft umfangreiche Überwachung öffentlich zugänglicher Bereiche; eine Datenschutz-Folgenabschätzung ist nötig bei Sicherheitsverletzung liegt hohes Risiko liegt vor Profiling zwecks personalisierter Werbung hat weder Rechtsfolgen für die Betroffenen, noch beeinträchtigt es sie auf ähnliche Weise, typischerweise sind keine sensiblen Daten erfasst meist wird kein hohes Risiko vorliegen 13

14 Sicherheitsverletzungen Notfallplan für Sicherheitsverletzungen Preparation Kenntnisse der rechtlichen Pflichten Detection Breach Notification Containment Sammlung von Beweismitteln & Eradication Auskunftsansprüche gegen Provider Recovery Follow-Up Gerichtliche Rechtsdurchsetzung 14

15 15 3 Die Erfüllung von Betroffenenrechten automatisieren

16 Betroffenenrechte automatisieren Betroffenenrechte im Self-Service Administrative Kosten für manuelle Bearbeitung von Betroffenenanfragen hoch Self-Service über Online-Plattform Vorteil: kaum laufende Kosten Herausforderung: Risikoangemessenheit der Authentifizierung der Betroffenen zuvor vereinbartes Passwort qualifizierte elektronische Signatur bei Mitarbeitern: Anfrage über berufliche -Adresse Abfrage von Wohnanschrift und Geburtsdatum Übermittlung einer Kopie eines amtlichen Lichtbildausweises Bei Auskunftsansprüchen: Übermittlung der Daten an bereits bekannte ( -)Adresse des Betroffenen 16

17 Technische Umsetzung Löschung & Einschränkung der Verarbeitung Herausforderungen der Datenlöschung in der Praxis Löschen in einer relationalen Datenbank Löschen von Backups (vgl. 4 Abs. 2 DSG) Datenentsorgung Herausforderungen der Einschränkung der Verarbeitung Daten müssen von regulärer Verarbeitung ausgenommen werden Sperrung eines Datensatzes auf Datenbankebene? Temporäre Migration des Datensatzes in andere Datenbank? 17

18 Technische Umsetzung Das Recht auf Datenübertragbarkeit Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar gängige Formate für PST, Mailbox, mbox für Daten aus einem CRM-System? Auffangbecken XML (vgl. z.b. Übermittlung an einen anderen Verantwortlichen nur soweit technisch machbar! 18

19 19 4 Risikominderungsmaßnahmen bei Datenschutz-Folgenabschätzungen

20 Datenschutz-Folgenabschätzungen Risikominderungsmaßnahmen Folgenabschätzung bei prima facie hohen Risiko erforderlich Risikominderungsmaßnahmen erforderlich Sicherheitsbezogene Maßnahmen Nicht sicherheitsbezogene Maßnahmen Einschränkung der Datenarten z.b. bei Videoüberwachung Pausenraum ausnehmen Einschränkung des Datenumfangs z.b. Reduktion der Frequenz der Datenerhebung Einschränkung der Kategorien von Betroffenen z.b. bei einer Whistleblowing-Hotline nur Meldungen über Entscheidungsträger zulassen Einschränkung der Anzahl von Betroffenen z.b. für statistische Untersuchung kleineres Sample wählen Einschränkung der Verarbeitungszwecke z.b. Daten einer Videoüberwachung nur im Fall eines begründeten Verdachts einer gerichtlich strafbaren Handlung auswerten 20

21 Dr. Lukas Feiler, SSCP CIPP/E Senior Associate Leiter des Teams für IT-Recht in Wien Lukas Feiler ist Co-Autor des eines Kommentars zur Datenschutz-Grundverordnung und des ersten Praktiker- Buches zur DSGVO sowie Herausgeber des Gesetzbuch Datenschutzrecht. Er begleitet Unternehmen auf bei der digitalen Transformation. Schottenring Vienna T: lukas.feiler@bakermckenzie.com Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker & McKenzie Rechtsanwaltsgesellschaft mbh, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend, bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker & McKenzie International Diwok Hermann Petsche Rechtsanwälte LLP & Co KG