EU-Datenschutz-Grundverordnung. Hubert Röder

Transkript

1 Herzlich willkommen zum Kunden-Informationstag 2017 EU-Datenschutz-Grundverordnung Hubert Röder 1 Copyright

2 Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Veröffentlicht am im Amtsblatt der Europäischen Union

3 Kurzkritik Adressat EU Verordnung, aber Umsetzungsgebote = atypische Verordnung, tw. Richtlinie 173 Erwägungsgründen im Vorspann folgen 99 Artikel Von wegen einheitlich: Vielerorts nationale Spielräume Kaum Schutzziele in der EU-DSGVO definiert dafür umso mehr im DSAnpUG-EU Datenschutzrechtlich ein Rückschritt

4 Transparenz EU-DSGVO Art. 5 Grundsätze Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden Art. 32 Sicherheit der Verarbeitung Abs. 4 Verantwortlicher und Auftragsverarbeiter sorgen dafür, dass personenbezogene Daten nur nach Weisung des Verantwortlichen verarbeitet werden Art. 28 Auftragsverarbeiter Abs. 5 Der Vertrag zur Auftragsverarbeitung sieht vor dass der Auftragsverarbeiter alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung stellt

5 Aufsichtsbehörde Art. 58 Befugnisse Jede Aufsichtsbehörde hat Befugnisse Untersuchungen und Überprüfungen durchzuführen Kann warnen, verwarnen, anweisen, Maßnahmen anordnen, Verarbeitungsverbote verhängen Geldbußen verhängen Gerichtsverfahren zu betreiben

6 Aufbau der DSGVO in den Verwaltungen Kontrolle durch Datenschutzbeauftragten und Aufsicht Garantien durch Standards und Zertifizierung Organisatorische und technische Absicherung Transparenz /Intervention Zulässig keit

7 FoIgerungen aus der EU-DSGVO Art. 32 Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;

8 FoIgerungen aus der EU-DSGVO Art. 32 Sicherheit der Verarbeitung diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

9 FoIgerungen aus der EU-DSGVO Einführung eines Informationssicherheitsmanagementsystemes (ISMS) Der bislang entscheidende Personenkreis muss sich formal und dokumentiert mit der Informationssicherheit befassen Belange der Datenverarbeitung Erstellung einer Risikoabschätzung Bewertung des individuellen Risikoprofils Priorisierung der techn./organ. Maßnahmen Datenschutzgerechte Softwareauswahl Dokumentierte Auswahl weiterer Auftragsverarbeiter

10 FoIgerungen aus der EU-DSGVO Einführung eines Informationssicherheitsmanagementsystemes (ISMS) Der bislang entscheidende Personenkreis muss sich formal und dokumentiert mit der Informationssicherheit befassen Verzeichnis der Verarbeitungstätigkeiten TOMs dokumentiert und nachvollziehbar anhand der Risikoabschätzung umsetzen Notwendige Verfügbarkeit herstellen Verletzungen / Störungen / Abhilfemaßnahmen sicherstellen Datenschutzfolgenabschätzung dokumentieren Ernennung eines Datenschutzbeauftragten

11 FoIgerungen aus der EU-DSGVO Individuelle Risikobewertung Die Gefährdungskataloge des BSI G0 - Elementare Gefährdungen G1 - Höhere Gewalt G2 - Organisatorische Mängel G3 - Menschliche Fehlhandlungen G4 - Technisches Versagen G5 - Vorsätzliche Handlungen bilden einen vollständigen Rahmen für Ihre Risikobewertung, so dass nur noch wenige individuelle Risiken unberücksichtigt bleiben

12 FoIgerungen aus der EU-DSGVO Individuelle Risikobewertung Abwägung gegen die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

13 FoIgerungen aus der EU-DSGVO Individuelle Risikobewertung Beispiel einer Risikoanalyse Abwägung gegen die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Eintritts- Risiko/Gefahr wahrschein- lichkeit Gefährdungsotenzial klein mittel groß klein mittel groß Gegenmaßnahmen Höhere Gewalt Naturkatastrophen x x Wasser x x Feuer x x Ausfall oder Störung der Stromversorgung x x Hauseigener Notstromagregat Ausfall oder Störung von Kommunikationsnetzen x x Ausfall oder Störung von Dienstleistern x x Ausfall oder Störung von Versorgungsnetzen x x. Organisatorische Mängel x x Stichprobenartige Kontrolle über die Unzureichende Kontrolle der Sicherheitsmaßnahmen Einhaltung der Sicherheitsbestimmungen Dokumentation welcher MA x x Ungeregelte Weitergabe von Datenträgern welchen Datenträger besitzt Mangelhafte Organisation des Wechsels zwischen den x x Benutzern Fehlende oder unzureichende Dokumentation x x Automatische Dokumentation im System Ungesicherter Akten- oder Datenträgertransport x x Kommentar

14 Pflicht zum Datenschutzbeauftragten Art. 37 Benennung eines Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen.

15 Evolution der Aufgaben des Datenschutzbeauftragten Sicherstellungsauftrag ( 29,1 BDSG 1977, 37,1 BDSG 1990) Hinwirkungsauftrag ( 4g Abs. 1 BDSG 2001) Überwachungsauftrag (Art. 39 Abs. 1 EU-DSGVO 2016)

16 Haben wir Sie verwirrt? Ihr Dienstleister bietet die passende Unterstützung!!!

17 Dienstleistung Datenschutzbeauftragter Landesdatenschutzgesetz 10 Behördlicher Datenschutzbeauftragter (1) Öffentliche Stellen können einen behördlichen Datenschutzbeauftragten bestellen. Die Bestellung bedarf der Schriftform. (2) Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Sachkunde und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt ausgesetzt wird. Die öffentliche Stelle kann einen Bediensteten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere Stellen können gemeinsam einen Datenschutzbeauftragten bestellen. (3) Der behördliche Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben der Behördenleitung unmittelbar zu unterstellen. Er ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf deswegen nicht benachteiligt werden.

18 Dienstleistung Datenschutzbeauftragter (4) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die öffentliche Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen. Zu seinen Aufgaben gehört es insbesondere, 1. auf die Einhaltung der Datenschutzvorschriften bei der Planung, Einführung und Anwendung von Verfahren, mit denen personenbezogene Daten automatisiert verarbeitet werden, hinzuwirken, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz und den besonderen Erfordernissen des Datenschutzes in ihrem Tätigkeitsbereich vertraut zu machen sowie 3. das Verfahrensverzeichnis ( 11) zu führen. Der behördliche Datenschutzbeauftragte ist vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens rechtzeitig zu unterrichten.

19 Dienstleistung Datenschutzbeauftragter Die Dienstleistung externer behördlicher Datenschutzbeauftragter wird aufgrund eines Angebotes auf (Viertel) - Stundenbasis erbracht. Der Kunde bezahlt nur die Stunden, die für ihn erbracht werden. Mitarbeiter des Kunden können sich jederzeit an ihren DSB wenden. Bei Vor-Ort-Einsätzen kommt Fahrtkostenpauschale hinzu. Bei jeder fakturierfähigen Tätigkeit wird ein Bericht an den Behördenleiter erstellt.

20 Dienstleistung Sicherheitsuntersuchung Gap-Analysen auf Basis Iso Status Information Security Management System Status Controls Management review Plan Phase 80,0% 60,0% Do Phase 40,0% Einhaltung der Verpflichtungen Management des kontinuierlichen Geschäftsbetriebs Management von Informationssicherheitsvorfällen Anschaffung, Entwicklung und Wartung von Informationssystemen Zugriffskontrolle Sicherheitspolitik 100,0% 80,0% 60,0% 40,0% 20,0% 0,0% Organisation der Informationssicherheit Internal ISMS Audit Asset Management Management responsibilities Sicherheit im Personalwesen Physikalische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebes 20,0% 0,0% Documentation requirements Act Phase Check Phase

21 Dienstleistung Sicherheitskonzepte Strukturanalysen und Sicherheitskonzepte

22 Kundenorientierung Kontakt Vielen Dank für Ihre Interesse! Ihr Ansprechpartner: Hubert Röder 22 Copyright