IT-Sicherheit unter der DSGVO Technische, organisatorische und rechtliche Anforderungen. BvD-Verbandstage, RA Karsten U. Bartels LL.

Transkript

1 IT-Sicherheit unter der DSGVO Technische, organisatorische und rechtliche Anforderungen BvD-Verbandstage, RA Karsten U. Bartels LL.M

2 Karsten U. Bartels LL.M.* Partner bei HK2 Rechtsanwälte Geschäftsführer HK2 Comtection GmbH Zert. Datenschutzbeauftragter (TÜV) Sachverständiger für IT-Produkte beim ULD S-H (rechtlich) Vorstand Bundesverband IT-Sicherheit e. V. (TeleTrusT) Stellv. Vorsitzender Arbeitsgemeinschaft IT- Recht im Deutschen Anwaltverein e. V. (*) Rechtsinformatik

3 1 Sicherheit der Datenverarbeitung 2 Maßnahmenermittlung 3 Subjektive Angemessenheit 4 Dokumentation 5 Weitere Pflichten

4 Grundsätze und Verantwortlichkeit Art. 5 DSGVO (1) Personenbezogene Daten müssen ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) ( Zweckbindung ) ( Datenminimierung ) ( Richtigkeit ) ( Speicherbegrenzung ) geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ) (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

5 Grundsätze und Verantwortlichkeit Art. 5 DSGVO (1) Personenbezogene Daten müssen ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ) ( Zweckbindung ) ( Datenminimierung ) ( Richtigkeit ) ( Speicherbegrenzung ) geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ) (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ).

6 Art. 32 DSGVO (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

7 Sicherheit der Verarbeitung Art. 32 DSGVO Gewährleistung eines dem Risiko angemessenen Schutzniveaus Geeignete technische und organisatorische Maßnahmen (TOM) Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung des Betroffenen (Schutzbedarfsanalyse) berücksichtigen Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik

8 Stand von Wissenschaft und Forschung Stand der Technik Allgemein anerkannte Regeln der Technik

9 Stand der Technik ist... der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Gesetzesbegründung zu 8a BSIG, BT-Drucks. 18/4096, S. 26

10 Beim Stand der Technik handelt es sich um die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann. Bartels/ Backer/ Schramm: Der Stand der Technik im IT-Sicherheitsrecht Wirkung des Verweisungsbegriffs und Lösungsansätze zur legislativen Verwendung, Tagungsband 15. Deutscher IT-Sicherheitskongress 2017, S. 503

11 Kurz: Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer Maßnahme oder eines Maßnahmenbündels zur Erreichung eines gesetzlichen IT-Sicherheitszieles

12 Ermittlung des Stands der Technik Methode Prüfung innerhalb/ außerhalb der Branche national/ international Bedeutung von technischen Normen und Richtlinien BSI IT-Grundschutz ISO u. a.

13 Fragenkatalog zur Ermittlung des Stands der Technik Maßnahmenbeschreibung und IT-Sicherheitsziele verfügbare Dokumentationen Bezug auf Standards/ Normungen Empfehlungen von Fachverbänden/ Experten Regelmäßige Überprüfung der Maßnahme Grad der Fortschrittlichkeit Praxiserprobung Vergleichbare Maßnahmen

14 Handreichung zum Stand der Technik Bundesverband IT-Sicherheit e. V.

15 Konkretes Beispiel: -Verschlüsselung TeleTrusT-Handreichung Stand der Technik, S. 41 Maßnahme Stand der Technik Verschlüsselung der selber oder des Übertragungsweges Zugangsschutz Verschlüsselung der -Inhalte Langzeitarchivierung (Schutz gegen Manipulation) TLS auf allen Transportwegen; alternativ / zusätzlich VPN ggf. Prüfung der Gegenstelle (DANE etc.) je nach Schutzbedarf der übermittelten Daten Inhaltsverschlüsselung per S/MIME oder PGP Verwendung sicherer Schlüssellängen und Verschlüsselungsverfahren gemäß BSI Empfehlungen Kennwortschutz mit starkem Kennwort; idealerweise 2-Faktor-Authentisierung Zugang nur über verschlüsselte Verbindungen (TLS und/oder VPN) Inhaltsverschlüsselung per S/MIME oder PGP Revisionssicheres Langzeitarchiv

16 Sicherheit der Verarbeitung Art. 32 DSGVO Gewährleistung eines dem Risiko angemessenen Schutzniveaus Geeignete technische und organisatorische Maßnahmen (TOM) Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung des Betroffenen (Schutzbedarfsanalyse) berücksichtigen Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik Implementierungskosten Verschlüsselung, Wiederherstellbarkeit, Wirksamkeitsprüfung,

17 Berücksichtigen des Stands der Technik Art. 32 Abs. 1 DSGVO 1. Wissen 2. Fachliche Bewertung 3. Schlussfolgerung

18 Angemessenheitskriterien: technisch Interoperabilität der betreffenden Systeme Abhängigkeit von Dritten Einsatz nach SdT führt an anderer Stelle zum Absenken der IT-Sicherheit Beurteilung von Maßnahmen- Bündeln/ -Pakten zulässig

19 Angemessenheitskriterien: wirtschaftlich Quote des IT-Sicherheits- Budgets Letzte Investitionen Verhältnis zwischen Investition und Sicherheitszugewinn

20 Angemessenheitskriterien: rechtlich aufsichtsrechtliche Vorgaben und Entscheidungen vertragliche Abhängigkeiten

21 Sicherheit der Verarbeitung Art. 32 DSGVO Gewährleistung eines dem Risiko angemessenen Schutzniveaus Geeignete technische und organisatorische Maßnahmen (TOM) Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung des Betroffenen (Schutzbedarfsanalyse) berücksichtigen Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik Implementierungskosten Verschlüsselung, Wiederherstellbarkeit, Wirksamkeitsprüfung, Nachweis Rechenschaftspflicht Art. 5 Abs. 2 genehm. Verhaltensregeln oder Zertifizierungsverfahren

22 Dokumentation Art. 32 DSGVO

23 Dokumentation der TOM Maßnahmen Beschreibung

24 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik objektiv-technisch subjektive Auswahl

25 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik Schutzbedarf objektiv-technisch subjektive Auswahl

26 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik Schutzbedarf Wirksam keitsprüfung objektiv-technisch subjektive Auswahl

27 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik Schutzbedarf Wirksam keitsprüfung Wiedervorlage objektiv-technisch subjektive Auswahl

28 Strukturvorschlag TOM BDSG (Anlage zu 9) Sicherheit der Datenverarbeitung, 64 BDSG-neu Art. 32 DSGVO Zugangskontrolle, Zutrittskontrolle Verschlüsselung und Pseudonymisierung Zugangskontrolle (Nr. 1) Zugriffskontrolle Datenträgerkontrolle (Nr. 2), Benutzerkontrolle (Nr. 4), Zugriffskontrolle (i.e.s.) (Nr. 5), Speicherkontrolle (Nr. 3) Weitergabekontrolle Übertragungskontrolle (Nr. 6) Transportkontrolle (Nr. 8) Eingabekontrolle Eingabekontrolle (Nr. 7) Datenintegrität (Nr. 11) Auftragskontrolle Auftragskontrolle (Nr. 12) Wiederherstellbarkeit (Nr. 9) Zuverlässigkeit (Nr. 10) Verschlüsselung und Pseudonymisierung Vertraulichkeit, Integrität Wiederherstellbarkeit Belastbarkeit Verfügbarkeitskontrolle Verfügbarkeitskontrolle (Nr. 13) Verfügbarkeit Trennungsgebot Trennbarkeit (Nr. 14) Zweckbindung, Art. 5 Abs.1 b)

29 TOM in der A(D)V 9 Satz 1 BDSG i. V. m. Anlage zum BDSG Art. 28 Abs. 3 c) i. V. m. Art. 32 DSGVO Maßnahmen Beschreibung (detailliert) Maßnahmen Beschreibung Geeignetheit nach Art. 32 DSGVO Wirksamkeitsprüfung Maßnahmen Beschreibung Stand der Technik Schutzbedarf objektivtechnisch subjektive Auswahl

30 Weitere Pflichten zur IT-Sicherheit nach DSGVO Gemeinsam für die Verarbeitung Verantwortliche Art. 26 Datenschutz-Folgenabschätzung Art. 35 Abs. 7 d) Data Protection by design/ default Art. 25 Abs. 1, 2 Verzeichnis von Verarbeitungstätigkeiten Art. 30 Abs. 1 S. 2 g), Abs. 2 d) Rechenschaftspflicht Art. 5 Abs. 2 i. V. m. Abs. 1 f)

31 Geldbußen Verstöße gegen Art. 32 DSGVO zu ahnden nach Art. 83 Abs. 4 a) DSGVO: bis EUR 10 Mio. oder 2 % des Vorjahresumsatzes

32 Datenschutzgesetze BDSG (alt) LDSGe (alt) EU-DSGVO Inkra&treten DS-AnpUG-EU Umsetzungfrist BDSG (neu) Anwendbarkeit LDSGe(neu)

33 Datenschutz- und IT-Sicherheitsgesetze BDSG (alt) LDSGe (alt) BSIG TMG TKG ITSiG Abs. 7 TMG EU-DSGVO BSI-KRITISV NIS-RL Ø Inkra&treten Korb DS-AnpUG-EU NIS-UmsetzungsG Sektoren: Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung Umsetzungfrist NIS-RL-DV Ø Korb BDSG (neu) Anwendbarkeit LDSGe(neu) Sektoren: Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr

34

35 Haben Sie Fragen?