Technischer Datenschutz

Größe: px

Ab Seite anzeigen:

Download "Technischer Datenschutz"

Eike Kalb
vor 5 Jahren
Abrufe

1 Technischer Datenschutz unter der DS-GVO Andreas Sachs / Berlin, 19. Juni 2017 Alexander Buckel / München, 29. März

1 Technischer Datenschutz heute First of all:

kontrollzentrierten Ansatz nach 9 BDSG Die DS-GVO

2 1 Technischer Datenschutz heute First of all: Goodbye 9 BDSG! (samt Anlage) 9 BDSG Wir verabschieden den bisherigen maßnahmen- bzw. kontrollzentrierten Ansatz nach 9 BDSG Die DS-GVO bringt etwas Neues, daher die Empfehlung: Den Trennungsschmerz überwinden und vom bisherigen Ansatz Distanz nehmen! 2

1 Technischer Datenschutz heute Abschied von 9 BDSG = Chance?

Anlage zu 9 BDSG wird häufig nur als Checkliste abgearbeitet Unklarheit

wirksam sind Sind Prozesse bei den verantwortlichen Stellen vorhanden?

3 1 Technischer Datenschutz heute Abschied von 9 BDSG = Chance? Bisherige Probleme des 9 BDSG (samt Anlage): 9 BDSG ist sehr allgemein Anlage zu 9 BDSG wird häufig nur als Checkliste abgearbeitet Unklarheit besteht, ob die technischen und organisatorischen Maßnahmen vollständig und wirksam sind Sind Prozesse bei den verantwortlichen Stellen vorhanden? Welche Maßstäbe gelten bei der Auswahl der TOMs? Bei welchen Verarbeitungen werden die TOMs eingesetzt? 3

4 2 DS-GVO: Big Picture Technischer Datenschutz Wo erblühen die technischen und organisatorischen Maßnahmen in der DS-GVO? Datenschutzkonforme Verarbeitung Datenschutz durch Technik Datenschutzfolgenabschätzung Datenschutzgrundsätze Security 4

5 3 DS-GVO: Grundsätze der Verarbeitung Rechtmäßigkeit Transparenz Faire Verarbeitung Zweckbindung Datenminimierung Artikel 5 DSGVO Richtigkeit Speicherbegrenzung Security Rechenschaftspflicht 5

6 3 DS-GVO: Grundsätze der Verarbeitung Alles ganz neu? Rechtmäßigkeit Transparenz Legitimacy Transparency Faire Verarbeitung Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Security Rechenschaftspflicht Purpose Data minimization Accuracy Use limitation Information Security Accountability 6

4 DS-GVO: Datenschutzkonforme Verarbeitung Artikel 24 DSGVO Betrifft (gängige) Verarbeitung personenbezogener Daten Fokus auf Daten, IT-Systeme, Prozesse, Menschen Ist vom

7 4 DS-GVO: Datenschutzkonforme Verarbeitung Artikel 24 DSGVO Betrifft (gängige) Verarbeitung personenbezogener Daten Fokus auf Daten, IT-Systeme, Prozesse, Menschen Ist vom Verantwortlichen/Auftragsverarbeiter einzuhalten Zielsetzung: Mittels technischer und organisatorischer Maßnahmen (TOMs) soll Verarbeitung in Einklang mit der DSGVO erfolgen 7

8 4 DS-GVO: Datenschutzkonforme Verarbeitung Artikel 24 DSGVO Zu berücksichtigende Bestandteile: - Risiko (kommt gleich) - Rechte und Freiheiten natürlicher Personen - Art, Umfang, Umstände und Zweck der Verarbeitung Ebenfalls: Nachweiserbringung Regelmäßige Überprüfung (z.b. PCDA) 8

9 4 DS-GVO: Datenschutzkonforme Verarbeitung Artikel 24 DSGVO Im Prinzip auch Forderung für ein Datenschutzmanagement- System. Ein paar Beispiele der datenschutzkonformen Verarbeitung: - Löschkonzept - Rechte-/Rollenkonzept - Datenminimierung - Techn. Ausgestaltung der Betroffenenrechte 9

10 5 DS-GVO: Datenschutz durch Technik Zwei Bestandteile: 1. Datenschutz durch Technikgestaltung Fokus auf Datenschutzgrundsätze Betrachtung des Risikos Betrachtung Art, Umfang, Umstände und Zweck Sowohl Produkte als auch Prozesse Artikel 25 DSGVO 2. Datenschutz durch Voreinstellung Default-Einstellung: Verarbeitung von erforderlichen Daten Differenzierte Betrachtung von Produkten/Diensten notwendig Frage: Wie weit wird die Erforderlichkeit ausgelegt? 10

11 5 DS-GVO: Datenschutz durch Technikgestaltung Privacy by Design ist kein ganz neues Konstrukt (in der Welt): Kanadische Aufsichtsbehörde 2011: Proaktiv statt reaktiv Privacy by Default Eingebetter Datenschutz Volle Funktionalität Security Respekt bezüglich Datenschutz Sichtbarkeit und Transparenz 11

12 6 DS-GVO: Sicherheit der Verarbeitung Artikel 32 DSGVO Zentraler Bestandteil: Angemessenes Schutzniveau Fokus auf Rechte und Freiheiten natürlicher Personen und Nicht wie in der klassischen Informationssicherheit auf Unternehmenswerten 12

6 DS-GVO: Sicherheit der Verarbeitung Daten, IT-Systeme, Prozesse, Menschen Vernichtung Verlust Veränderung unbeabsichtigt unrechtmäßig Personenbezogene

13 6 DS-GVO: Sicherheit der Verarbeitung Daten, IT-Systeme, Prozesse, Menschen Vernichtung Verlust Veränderung unbeabsichtigt unrechtmäßig Personenbezogene Daten Verarbeitung Risiken Offenlegung Zugang unbefugt Verlust der Vertraulichkeit, Verfügbarkeit und Integrität der Daten (Schutzziele der IT-Sicherheit) 13

14 6 DS-GVO: Sicherheit der Verarbeitung Angemessenes Schutzniveau? Schutzniveau Angemessenes Schutzniveau für Verarbeitungstätigkeit Risiko Anzahl von geeigneten TOMs 14

15 6 DS-GVO: Sicherheit der Verarbeitung Geeignete technische und organisatorische Maßnahmen (TOMs) sollen Sicherheit ( Security ) gewährleisten Faktoren: Wahr scheinlichkeit Stand der Technik Kosten Risiko TOMs Art Zweck Umfang Umstände 15

16 6 DS-GVO: Sicherheit der Verarbeitung Verfahren zur Gewährleistung der Sicherheit...ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (Art. 32, Abs. 1, Lit. d) Plan: Entwicklung eines Sicherheits-/Datenschutzkonzepts Do: Risikobewertung und Einführung von TOMs Check: Überwachung der Wirksamkeit/Vollständigkeit Act: Kontinuierliche Verbesserung Act Plan Check Do 16

17 7 DS-GVO: Risiko Neu im Fokus: Risiko Objektiv nach ErwGr. 76: Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. Berechnungsmethode nach ErwGr. 76: Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. 17

18 7 DS-GVO: Sicherheit der Verarbeitung Risiko für Rechte und Freiheiten Beispiele aus ErwGr. 75: Diskriminierung Bsp.: Teurere Kredite für bestimmte Bewohner bestimmter Stadtviertel Identitätsdiebstahl Bsp.: Hacking eines Online-Shops und Verkauf der Daten im Darknet Profilbildung von Aufenthaltsorten Bsp.: Unzulässige Zweckänderung von Daten eines PayAsYou-Drive-Versicherers zur Marketing-Zwecken 18

19 7 DS-GVO: Sicherheit der Verarbeitung Risiko für Rechte und Freiheiten Beispiele aus ErwGr. 75: Rufschädigung Bsp.: Big-Data-Analyst erzählt im Sportverein die Zielgruppenbestimmung des Nachb Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen Bsp.: Fehlversand einer Privatrechnung durch einen Psychiater Hinderung der Kontrolle über die eigenen Daten Bsp.: Keine Möglichkeit, eigene Fotos im Dating-Portal zu löschen 19

20 7 DS-GVO: Sicherheit der Verarbeitung Eine Möglichkeit zur Risikobestimmung: Schwere des Schadens Risikobestimmung 4. Maximal III 3. Wesentlich 2. Begrenzt II Risikobereiche nach DS-GVO I Geringes Risiko II Risiko III Hohes Risiko 1. Vernachlässigbar I Eintrittswahrscheinlichkeit 20

21 7 DS-GVO: Risiko Risikobeurteilung Möglicher Schaden Risiko-Quellen Eintrittswahrscheinlichkeit (im Beispiel) Diskriminierung durch fahrlässige Offenbarung interner Daten Identitätsdiebstahl in Online-Shop Finanzieller Verlust durch Malware Normaler Mitarbeiter Schadenshöhe (im Beispiel) Vernachlässigbar Vernachlässigbar Dienstleister Wesentlich Vernachlässigbar Risiko Geringes Risiko Risiko Cyberkriminelle Maximal Wesentlich Hohes Risiko Interner Administrator Wesentlich Wesentlich Risiko Cyberkriminelle Wesentlich Begrenzt Risiko 21

8 DS-GVO: Datenschutzfolgenabschätzung Kernpunkte: Verarbeitung hat wahrscheinlich ein hohes Risiko Adressiert legitime Verarbeitung Durchführung durch DSFA-Team DSB

22 8 DS-GVO: Datenschutzfolgenabschätzung Kernpunkte: Verarbeitung hat wahrscheinlich ein hohes Risiko Adressiert legitime Verarbeitung Durchführung durch DSFA-Team DSB ist Berater Artikel 35 DSGVO Fokus auf detaillierte Risikobeurteilung Reduktion der Risiken durch (Privacy-)TOMs Bei hohem Restrisiko ggf. Aufsichtsbehörde konsultieren 22

9 DS-GVO: Welche TOMs sollen verwendet werden Security-Controls

Schutzmaßnahmen der Informationssicherheit Angepasst auf die

Integrität, Verfügbarkeit Schutzmaßnahmen des (technischen)

23 9 DS-GVO: Welche TOMs sollen verwendet werden Security-Controls Technische und organisatorische Maßnahmen Privacy-Controls Schutzmaßnahmen der Informationssicherheit Angepasst auf die Verarbeitung personenbezogener Daten Fokus auf Vertraulichkeit, Integrität, Verfügbarkeit Schutzmaßnahmen des (technischen) Datenschutzes Explizit: Pseudonymisierung, Verschlüsselung Fokus auf Datenschutz- Grundsätze 23

10 Data breaches / Datenpannen Eine Verletzung des Schutzes personenbezogener Daten Keine Eingrenzung auf sehr sensible Daten mehr Keine zwingende Erforderlichkeit mehr, dass schwerwiegende

24 10 Data breaches / Datenpannen Eine Verletzung des Schutzes personenbezogener Daten Keine Eingrenzung auf sehr sensible Daten mehr Keine zwingende Erforderlichkeit mehr, dass schwerwiegende Beeinträchtigungen drohen Einzige Ausnahme: voraussichtlich kein Risiko muss unverzüglich, spätestens nach 72 Stunden, der Aufsichtsbehörde gemeldet werden Ausnahme: Verletzung führt voraussichtlich nicht zu einem Risiko für den Betroffenen Nichtmeldung ist bußgeldbewährt bis 10 Mio. Euro / 2 % Umsatz 24

25 11 Zusammenfassung Die DSGVO schärft den technischen Datenschutz deutlich Risiko ist ein zentraler Begriff Unterschiedliche Risiko-Quellen betrachten Schutz vor unbefugtem/fahrlässigem handeln (Security) Gewährleistung der Rechte und Freiheiten bei legitimen Handeln (Privacy) Datenschutzfolgeabschätzung kann wirksames Instrument sein Verstöße sind (endlich) bußgeldbewährt 25

26 Vielen Dank für Ihre Aufmerksamkeit Andreas Sachs/ Berlin, 19. Juni 2017 Alexander Buckel / München, 29. März

Ähnliche Dokumente

Vorgaben zur IT-Sicherheit in der DS-GVO

1 Andreas Sachs 10. März 2017 Vorgaben zur IT-Sicherheit in der DS-GVO 2 x Vorstellung Kurzvorstellung des Referenten Andreas Sachs ist Informatiker und Stellvertretender Leiter des Bayerischen Landesamts