Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem (DSMS)

Transkript

1 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Datenschutzzertifizierungen Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem (DSMS) Datenschutz-Forum vom

2 Zuständige Mitarbeiter beim : Caroline Gloor Scheidegger, juristische Beraterin (caroline.gloorscheidegger@edoeb.admin.ch) Pierre-Yves Baumann, Informatikkoordinator (pierre-yves.baumann@edoeb.admin.ch) Datenschutz-Forum vom

3 Agenda: Zertifizierungsverfahren (Art. 11 DSG) Register der Datensammlungen (Art. 11a Abs. 5 Bst. f DSG) Zertifizierungsstellen und (Art. 1, 6, VDSZ) Zertifizierung von Produkt (Art VDSZ) Zertifizierung von Organisation (Art VDSZ) Anlehnung an ISO 2700x und Gewichtung Datenschutz Richtlinien über Mindestanforderungen an DSMS Leitfaden für das Datenschutz-Management (Anhang) Fragen / Bemerkungen? Datenschutz-Forum vom

4 Art. 11 DSG Art. 11 DSG Zertifizierungsverfahren 1 Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder - programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen. 2 Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen. Datenschutz-Forum vom

5 Art. 11a Abs. 5Bst. f DSG Art. 11a DSG Register der Datensammlungen 5 Entgegen den Bestimmungen der Absätze 2 und 3 muss der Inhaber von Datensammlungen seine Sammlungen nicht anmelden, wenn: f. er aufgrund eines Zertifizierungsverfahrens nach Artikel 11 ein Datenschutz-Qualitätszeichen erworben hat und das Ergebnis der Bewertung dem Beauftragten mitgeteilt wurde. Datenschutz-Forum vom

6 Zertifizierungsstellen und (Art VDSZ) Zertifizierungsstellen (ZS): Von der SAS akkreditiert (Art. 1 VDSZ) Erteilung, Sistierung und Entzug von Zertifizierungen (Art VDSZ) (Art. 10 VDSZ): Bleibt Aufsichtsbehörde Unterrichtet ZS über festgestellte schwere Mängel Empfehlung, falls Mangel nicht behoben und Zertifizierung nicht sistiert oder entzogen wurde. Datenschutz-Forum vom

7 Art VDSZ: Zertifizierung von Produkten Art. 5 Abs. 3 VDSZ (SR ): Der oder die Beauftragte erlässt bis spätestens am 1. Januar 2010 Richtlinien darüber, welche datenschutzspezifischen Kriterien im Rahmen der Zertifizierung eines Produkts mindestens zu prüfen sind. EuroPriSe-Initiative: (Anforderungskatalog V0.3 ist im März 2008 erschienen) Art. 6 Abs. 3 VDSZ: Die Zertifizierung eines Produktes ist während zwei Jahren gültig. Ein Produkt muss erneut zertifiziert werden, sobald daran wesentliche Veränderungen vorgenommen wurden. Datenschutz-Forum vom

8 Art VDSZ: Zertifizierung von Organisation Art. 4 Abs. 3 VDSZ (SR ): Der oder die Beauftragte erlässt Richtlinien über die Mindestanforderungen an das Datenschutzmanagementsystem. Er oder sie berücksichtigt dabei internationale Normen und Standards für die Errichtung, den Betreib, die Überwachung und die Verbesserung von Managementsystemen, insbesondere die Normen ISO 9001:2000 und ISO 27001:2005. Art. 6 Abs. 2 VDSZ: Die Zertifizierung eines Datenschutzmanagementsystems ist während drei Jahren gültig. Die Zertifizierungsstelle hat jährlich summarisch zu überprüfen, ob die Voraussetzungen für die Zertifizierung weiterhin erfüllt sind. Datenschutz-Forum vom

9 Schweizerische Rechtsordnung: BV: SR 101 (Art. 13 Abs. 2: Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.) DSG: SR (Art. 7: Datensicherheit) VDSG: SR (Art. 8-12, 20-23: tech. & org. Massn.) AEMR/EMRK (Art. 12/8) : 1948/1950 Übereink. STE 108/EG: Richtlinie 95/46/EG (Art. 6) : Zusatzprot. STE 181/EG: Richtlinie 2002/58/EG: OECD: 8 privacy principles ( ) UK/DPA: 8 data prot. principles (1988) Canada: 10 PIPEDA principles (2001) GPS: 10 privacy principles (2005) CH/DSG: 9 allg. Prinzipien (2008) BJ VDSZ: SR (Art. 4: Zert von Org.; Art. 5: Zert. von Prod.) DS Anh. 1: Anforderungen an die Qualifikation des Personals ISO/IEC-Guides 62/66 -> ISO/DIS ISO/IEC-Guide 65 (Produkte / Systeme!) Richtlinien über die Mindestanforderungen an das DSMS (Zertifizierung von Organisationen) MS ISO/IEC 27001:2005 «ISMS»: Zertifizierungsanforderungen (4.2.1g: Auswahl der Kontrollen!) SAS Konformitätsanalyse Leitfaden DS-Management 9 Ziele, 20 Massnahmen (7.x: Datensicherheit) Ext. Risikoanalyse ISO/IEC 27002:2007 «CoP» : 11 GS, 39 Ziele, 133 Massn. (15.1.4: DS und Vertraulichkeit!) ISO Richtilinien über die Mindestanforderungen an die Zertifizierung von Produkten (bis spätestens am ) ISO/IEC x:2005 «CC» : Common Criteria for ITsec evaluation (V3.1=> CEM) Datenschutz-Forum vom ? 9 EuroPriSe Criteria Catalogue V0.3 (for IT products or IT-based services)

10 Anlehnung an ISO 2700x und Gewichtung Datenschutz ISO Managementsystem (an ISO 9001 angelehnt) - Die DSMS-Richtlinien übernehmen global diese Norm, jedoch mit allgemeinen (Konformität) und spezifischen (4.2.1g) Anpassungen. ISO Kontrollen für die Informationssicherheit: - 11 Gruppen, 39 Ziele, 133 Massnahmen «Datenschutz und Vertraulichkeit von personenbezogenen Informationen» bleibt sehr allgemein -Leitfaden für das Datenschutz-Management: - Vertiefung und Verstärkung von der Massnahme neue DS-Gruppe, 9 Ziele, 20 Massnahmen! - Ziel 7 (Datensicherheit) verweist selektiv auf ISO Datenschutz-Forum vom

11 Zusammenhang Datenschutz und Datensicherheit: Richtlinien min. Anford. an DSMS 4. Festlegung und Verwaltung des DSMS 5. Verantwort. Dir. 6. Interne Audits 7. Bewertung Dir. 8. Verbesserung DS MS Datenschutz DSG -> VDSG -> VDSZ ISO/IEC 27001:2005 (ISMS) 4. Festlegung und Verwaltung des ISMS 5. Verantwortung des Managements 6. Durchführung interner ISMS-Audits 7. Managementbewertung des ISMS 8. Ständige Verbesserung des ISMS 4.2.1g) Informationssicherheit Vertraulichkeit - Integrität - Verfügbarkeit 4.2.1g) Anhang: Leitfaden für die Umsetzung der DSMS-Richtlinien (DP-CoP) [1/9/20 Kontrollen: 1.7.x = Datensicherheit!] ISO/IEC 27002:2007, ex 17799:2005 (CoP) [11/39/133 Kontrollen: = Datenschutz!] (bes. schützenswerte) Personendaten andere Daten Datenschutz-Forum vom

12 Richtlinien über Mindestanforderungen an DSMS: (1/6) 1. Zweck 1 Diese Richtlinien legen die Mindestanforderungen fest, die ein Datenschutzmanagementsystem (DSMS) erfüllen muss, damit Organisation und Verfahren nach Artikel 4 VDSZ zertifiziert werden können. Sie berücksichtigen dabei internationale Normen und Standards für die Errichtung, den Betrieb, die Überwachung und die Verbesserung von Managementsystemen, insbesondere die Norm ISO 27001:2005 ( Informationssicherheits-Managementsysteme Anforderungen ). 2 Diese Richtlinien bezwecken, ein Modell für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung Instandhaltung und Verbesserung eines DSMS zu liefern. Sie decken alle Organisationsarten ab. Datenschutz-Forum vom

13 Richtlinien über Mindestanforderungen an DSMS: (2/6) 2. Definitionen Zusätzlich zu den Definitionen der Ziffern 3.1 bis 3.16 der Norm ISO 27001:2005 bedeuten die folgenden Ausdrücke: a. Konformitätsmanagement: koordinierte Tätigkeiten einer Organisation mit dem Ziel, die für sie geltenden gesetzlichen und reglementarischen Voraussetzungen, insbesondere diejenigen betreffend Datenschutz, einzuhalten. b. Beurteilung der Nichtkonformität: Gesamter Prozess der Analyse und der Bewertung der Nichtkonformität. c. Analyse der Nichtkonformität: die systematische Auswertung von Informationen mit dem Ziel, die Ursachen der Nichtkonformität zu identifizieren und die Nichtkonformitäten einzuschätzen. Datenschutz-Forum vom

14 Richtlinien über Mindestanforderungen an DSMS: (3/6) d. Bewertung der Nichtkonformität: Prozess, in dem die eingeschätzte Nichtkonformität mit den festgelegten Kriterien verglichen wird, um die Bedeutung der Nichtkonformität zu bestimmen (leichte oder erhebliche Nichtkonformität). e. Behandlung der Nichtkonformität: Verfahren zur Auswahl und Umsetzung von Massnahmen zur Beseitigung einer Nichtkonformität. Alternativ kann eine Nichtkonformität auch dadurch vermieden werden, indem beispielsweise auf die betreffende Bearbeitung verzichtet wird. Eine Nichtkonformität kann hingegen weder akzeptiert noch übertragen werden. Datenschutz-Forum vom

15 (Nicht-)Konformitätsmanagement: (8-ung auf Terminologie!) Communikation Monitoring and Review Kommunikation Überwachung und Überprüfung Datenschutz-Forum vom

16 Richtlinien über Mindestanforderungen an DSMS: (4/6) 3. Realisierung 1 Die Anforderungen, denen ein Datenschutzmanagementsystem genügen muss, können auch durch Einhaltung von bestehenden internationalen Normen erfüllt werden. So insbesondere die vorgenannte Norm ISO 27001, die vorliegende Richtlinien gemäss nachfolgendem Absatz 2 auslegen und im Sinne von Ziffer 4 nachfolgend ergänzen oder abändern. 2 Um ein Datenschutzmanagementsystem (DSMS) zu erhalten, sind die Anforderungen von ISO betreffend das Informationssicherheitsmanagementsystem (ISMS) wie folgt zu übernehmen: einerseits ist die Informationssicherheit (IS) in Datenschutz (DS) umzudeuten, andererseits ist der Anhang A von ISO 27001, der dem Inhaltsverzeichnis von ISO entspricht, durch die in Ziffer 5 der vorliegenden Richtlinien aufgeführten Ziele und Massnahmen zu ersetzen. Datenschutz-Forum vom

17 Richtlinien über Mindestanforderungen an DSMS: (5/6) 4. Umsetzung (Mindestanforderungen) Das durch die Organisation aufgestellte Datenschutzmanagementsystem muss mindestens die in der Norm ISO aufgeführten Mindestanforderungen enthalten und gleichzeitig die folgenden datenschutzrechtlichen Aspekte berücksichtigen: Allgemein ergänzt der Begriff der (Nicht-)Konformität der Datenschutzvoraussetzungen systematisch denjenigen der Informationssicherheitsrisiken. Somit ergänzt die Konformitätsanalyse die in ISO vorgesehene Risikoanalyse, wobei jede Nichtkonformität behandelt werden sollte. Somit kann eine Nichtkonformität weder akzeptiert noch übertragen werden. Spezifisch sind bei der Erstellung eines DSMS die folgenden Ziffern der Norm ISO wie folgt auszulegen: a) Der Anwendungsbereich und die Grenzen des DSMS sind gemäss Art. 4 Abs. 1 VDSZ zu definieren d 1) Insb. sind die Werte der Art Datensammlungen (Art. 3 Bst. g DSG) und die Eigentümer dieser Werte, vorliegend Dateninhaber (Art. 3 Bst. i DSG), zu beachten g) Die eigentlichen in Ziffer 5 nachfolgend aufgeführten Datenschutzziele und massnahmen sind als integrierender Bestandteil dieses Prozesses und insoweit sie diese Anforderungen erfüllen können, auszuwählen j) Die Dokumentation des DSMS muss die Liste der nicht angemeldeten Datensammlungen (vgl. Massnahme 8.2 von Ziffer 5 nachfolgend) beinhalten. Datenschutz-Forum vom

18 Richtlinien über Mindestanforderungen an DSMS: (6/6) 5. Ziele und Massnahmen Bei der Erstellung des DSMS müssen folgende Ziele und Massnahmen erfüllt sein: A. Rechtmässigkeit (Art. 4 Abs. 1 DSG) a.1 Rechtfertigungsgründe (Art. 13 DSG) a.2 Gesetzliche Grundlage (Art. 17, 19 und 20 DSG) a.3 Datenbearbeitung durch Dritte (Art. 10a Abs. 1 DSG) B. Transparenz b.1 Treu und Glauben (Art. 4 Abs. 2 DSG) b.2 Erkennbarkeit (Art. 4 Abs. 4 DSG) b.3 Informationspflicht (Art. 7a Abs. 1 DSG) C. Verhältnismässigkeit c.1 Verhältnismässige Bearbeitung (Art. 4 Abs. 2 DSG) D. Zweckbindung (Art. 4 Abs. 3 DSG) d.1 Zweckbestimmung / Zweckänderung (Art. 3 Bst.. i DSG) d.2 Nutzungsbeschränkung E. Datenrichtigkeit e.1 Datenrichtigkeit (Art. 5 Abs. 1 DSG) e.2 Berichtigung von Daten (Art. 5 Abs. 2 DSG) F. Grenzüberschreitende Datenbekanntgabe (Art. 6 Abs. 1 DSG) f.1 Angemessener Schutz (Art. 6 Abs. 2 DSG) G. Datensicherheit (Art. 7 DSG) g.1 Datenvertraulichkeit (wesentliche Massnahme) g.2 Datenintegrität g.3 Datenverfügbarkeit g.4 Datenbearbeitung durch Dritte (Art 10a Abs. 2 DSG) H. Registrierung der Datensammlungen (Art. 11a Abs. 1 DSG und Art. 12b Abs. 1 VDSG) h.1 Anmeldepflicht (Art. 11a Abs. 2 et 3; Ausnahmen Art. 11a Abs. 5 Bst. f-e DSG) h.2 Liste der nicht angemeldeten Datensammlungen (Art. 12b Abs. 1 Bst. b VDSG) I. Auskunftsrecht und Verfahren i.1 Auskunftsrecht betreffend eigene Daten (Art. 8 Abs. 1 DSG) i.2 Rechtsansprüche und Verfahren (Art. 15 und 25 DSG) Datenschutz-Forum vom

19 Leitfaden für das Datenschutz-Management Für die DS-Zertifizierung ersetzt dieser Leitfaden die Norm ISO (Konformitäts- statt Risikoanalyse), einzig für die Datensicherheit erfolgt ein Verweis auf diese Norm! Die 9 ausgewählten Ziele entstammen direkt aus dem DSG und die 20 dazugehörigen Massnahmen sind analog zur Norm ISO strukturiert. Das dritte Ziel «Verhältnissmässigkeit der Bearbeitung» wird nachfolgend als Beispiel präsentiert Datenschutz-Forum vom

20 C.1. Verhältnissmässigkeit der Bearbeitung Massnahme Es dürfen nur diejenigen Daten bearbeitet werden, die für die Erfüllung der Aufgabe bzw. die Erreichung des Zweckes unbedingt notwendig und dafür geeignet sind (Datensparsamkeit und/oder Datenvermeidung). Bei besonders schützenswerten Personendaten ist eine besondere Aufmerksamkeit geboten. Nicht benötigte Personendaten müssen vernichtet oder anonymisiert werden, sofern keine Archivierungs- oder Aufbewahrungspflichten bestehen. In den Fällen, in denen die Identität der Person für den verfolgten Zweck nicht benötigt wird, hat die Bearbeitung in pseudonymisierter oder anonymisierter Form zu erfolgen. Datenschutz-Forum vom

21 C.1. Verhältnissmässigkeit der Bearbeitung (1/3) Umsetzung Die Anonymisierung von Personendaten besteht darin, sämtliche Elemente, die eine Identifizierung ermöglichen, zu entfernen, so dass die Daten überhaupt nicht mehr mit einer bestimmten oder bestimmbaren Person verknüpft werden können (und somit nicht einmal mehr dem DSG unterstellt sind). Datenschutz-Forum vom

22 C.1. Verhältnissmässigkeit der Bearbeitung (2/3) Die Pseudonymisierung von Personendaten besteht darin, sämtliche Elemente, die eine Identifizierung ermöglichen, durch einen neutralen Identifikator, ein so genanntes Pseudonym, zu ersetzen; dieses Pseudonym wird parallel in einer separaten Korrespondenztabelle zusammen mit den Identifizierungselementen gespeichert und ermöglicht es den Berechtigten im Bedarfsfall, eine Verknüpfung mit der betroffenen Person (die dadurch bestimmbar im Sinne des DSG ist) herzustellen. Der Vorteil dieser Methode besteht darin, dass die derart pseudonymisierten Daten gegenüber allen Personen, die keinen Zugang zur Korrespondenztabelle haben, als anonym betrachtet werden können. Ein solches Vorgehen macht nur Sinn, wenn die Korrespondenztabelle einen exemplarischen Schutz geniesst, also nur durch berechtigte und authentifizierte Personen verwaltet wird, nur in chiffrierter Form gespeichert wird und eine Reidentifizierung grundsätzlich nur im Einzelfall und mit einer umfassenden Protokollierung der ausgeführten Depseudonymisierungen erlaubt. Datenschutz-Forum vom

23 C.1. Verhältnissmässigkeit der Bearbeitung (3/3) Bei biometrischen Daten, die aufgrund physiologischer Eigenschaften des Menschen, wie dem Fingerabdruck, der Hand, dem Gesicht, der Iris oder dem genetischen Abdruck oder aufgrund von Verhaltenseigenschaften wie der Unterschrift, der Stimme oder der Tasteneingabe erfasst wurden, muss das Verhältnis zwischen dem Bearbeitungszweck und der Verletzung der Persönlichkeit der betroffenen Personen zumutbar bleiben. Diese Abwägung muss insbesondere dem einmaligen und unersetzbaren Charakter der biometrischen Daten Rechnung tragen und berücksichtigen, ob es Daten primärer Natur (Rohdaten) oder sekundärer Natur (abgeleitete Daten; Templates) sind. Zu bevorzugen sind grundsätzlich die Verwendung von biometrischen Merkmalen, die keine physischen Spuren hinterlassen (z. B. Handumriss), die Benutzung von biometrischen sekundären Daten (Templates bedeuten in der Regel einen weniger grossen Eingriff in die Persönlichkeit ein als die entsprechenden primären Daten) und bei Verifizierungszwecken die dezentrale Speicherung der biometrischen Daten (im alleinigen Besitz der betroffenen Personen). Datenschutz-Forum vom

24 Wichtige Links: Richtlinien (BBl ): Leitfaden, Kommentar, Erklärungen (Schemen): 30/index.html?lang=de Schweizerische Akkreditierung Stelle (SAS): EuroPriSe: Datenschutz-Forum vom

25 Fragen / Bemerkungen? Datenschutz-Forum vom

26 Datenschutz-Forum vom Besten Dank für Ihre Aufmerksamkeit Datenschutz-Forum vom