Privacy by design / by default Anforderungskriterien aus Kundensicht

Transkript

1 BvD-Verbandstage 2018 Privacy by design / by default Anforderungskriterien aus Kundensicht Barbara Thiel Landesbeauftragte für den 1

2 AGENDA Grundlagen Die sieben Grundprinzipien von Privacy by Design Empfehlungen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) Privacy by Design Auftragsverarbeitung Datenschutz-Folgenabschätzung Privacy by Default Zertifizierungen 2

3 Grundlagen Datenschutzrichtlinie RL 1995/46/EG Bereits in der 1995 erlassenen Datenschutzrichtlinie RL 1995/46/EG indirekt berücksichtigt Mit dem Konzept datenschutzfreundlicher Voreinstellungen (Privacy by Default) in der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG eingehender erläutert Keine unmittelbare Rechtswirkung aufgrund des Richtliniencharakters! 3

4 Grundlagen Datenschutzrichtlinie RL 1995/46/EG (46) Für den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafür Sorge zu tragen, dass der für die Verarbeitung Verantwortliche diese Maßnahmen einhält. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. RL für elektronische Kommunikation RL 2002/58/EG (25) Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt 4

5 Die 7 Grundprinzipien von Privacy by Design nach Ann Cavoukian 1. Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe 2. Datenschutz als Standardeinstellung 3. Der Datenschutz ist in das Design eingebettet 4. Volle Funktionalität - eine Positivsumme, keine Nullsumme 5. Durchgängige Sicherheit - Schutz während des gesamten Lebenszyklus 6. Sichtbarkeit und Transparenz - Für Offenheit sorgen 7. Die Wahrung der Privatsphäre der Nutzer -Für eine nutzerzentrierte Gestaltung sorgen 5

6 Empfehlungen der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) 1. MINIMISE 2. HIDE 3. SEPARATE 4. AGGREGATE 5. INFORM 6. CONTROL 7. ENFORCE 8. DEMONSTRATE 6

7 Erwägungsgrund 78 Geeignete technische und organisatorische Maßnahmen 1 Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. 2 Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. 3 Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene * Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. 4 In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. 5 Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden. 7

8 Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen (1) 1 Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2 Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. 8

9 Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z.b. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) 1 Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. 2 Diese Verpflichtung gilt für die Menge der erhobenen personen-bezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. 3 Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. 9

10 Privacy by Design (Art. 25 Abs 1 DS-GVO) Datenschutz durch Technikgestaltung bzw. eingebauter Datenschutz oder Datenschutz durch Gestaltung Datenschutz lässt sich am besten einhalten, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen im Entwicklungsstadium. 10

11 den Stand der Technik die Implementierungskosten Art der Verarbeitung Wann ist Privacy by Design erfüllt? (Art. 25 Abs 1 DS-GVO) Maßnahmen müssen folgende Vorgaben erfüllen: den Umfang der Verarbeitung die Umstände der Verarbeitung die Zwecke der Verarbeitung mit der Verarbeitung verbundene Risiken für die Rechte und Freiheiten natürlicher Personen, unter Betrachtung der Eintrittswahrscheinlichkeit und Schwere (Schadenshöhe/Schadensintensität) - die darauf ausgelegt sind, 11 die Datenschutzgrundsätze (Datenminimierung u.a.) wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

12 Wann ist Privacy by Design erfüllt? (Art. 25 Abs 1 DS-GVO) Rechtsfolgen bei Nichtbeachtung: Nach Artikel 83 Abs. 4 Buchst, a DS-GVO sanktionsbewehrte Pflicht des Verantwortlichen Allerdings enthält diese Pflicht einige einschränkende Bedingungen, auf die sich der Verantwortliche berufen kann, wenn er bestimmte technische und organisatorische Maßnahmen nicht umsetzt. 12

13 Verträge zur Auftragsverarbeitung Art. 28 (EG 23, 81) Auftragsverarbeiter Abs. 1: Anforderungen an tom beim Auftragsverarbeiter (AV) Müssen Garantien bieten, dass Verarbeitung in Einklang mit DS-GVO und Betroffenenrechte gewährleistet 13

14 Datenschutz-Folgenabschätzung Art. 35 DSGVO Auch erforderlich, wenn bereits eine Vorabkontrolle zu einem bestehenden Verfahren vorliegt ggf. mit Konsultation der Aufsichtsbehörde, Art. 36 DSGVO Mindestanforderungen eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt werden soll Rat des Datenschutzbeauftragten einholen! Durchführung der Datenschutz-Folgeabschätzung Modellierung der Risikoquellen Risikobeurteilung Auswahl der Abhilfemaßnahmen Erstellung des DSFA Berichts 14

15 Privacy by Default (Art. 25 Abs 2 DS-GVO) Datenschutz durch datenschutzfreundliche Voreinstellungen Insbesondere Schuss von wenig technikaffinen Nutzern, die nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Privacy Paradox Konkretisierung von "Privacy by Design" 15

16 Wann ist Privacy by Default erfüllt? (Art. 25 Abs 2 DS-GVO) Pflicht zum Datenschutz durch Voreinstellung ist erfüllt, wenn der Verantwortliche geeignete technisch-organisatorische Maßnahmen trifft, die sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Durchsetzung des Gewährleistungsziels der Zweckbindung), bezogen auf die Menge der erhobenen personenbezogenen Daten den Umfang ihrer Verarbeitung ihre Speicherfrist und ihre Zugänglichkeit und sichergestellt wird, dass Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (Satz 3) 16

17 Wann ist Privacy by Default erfüllt? (Art. 25 Abs 2 DS-GVO) Beispiele für Maßnahmen: die Minimierung der Verarbeitung personenbezogener Daten eine frühestmögliche Pseudonymisierung die Herstellung der Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten, um Betroffenen zu ermöglichen, die Verarbeitung pb Daten zu überwachen und um den Verantwortlichen in die Lage zu versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern. 17

18 Zertifizierungen, Akkreditierung Art. 42, 43 (EG 77, 81,100,166,168) Zertifizierungsverfahren, Datenschutzsiegel und prüfzeichen (1): Förderungsverpflichtung Mitgliedstaaten, Aufsichtsbehörden, EDSA und KOM (2): mögliche auch solche Instrumente als geeignete Garantie für Übermittlung in Drittstaat zu schaffen, wenn sich Empfänger vertraglich oder sonst rechtlich an sie bindet (i. V. m. Art. 46 (2) lit. f) (3, 4, 6): Freiwilligkeit, transparentes Verfahren; Weitergeltung DS-GVO; Kooperation (5): Erteilung (durch Stellen nach Art. 43 oder Aufsichtsbehörde) (7): Gültigkeitsdauer, Widerruf und Überprüfung (8): Prüfzeichenregister 18

19 Fazit Sehr praxisrelevante Regelung Keine standardisierten Lösungen aufgrund des Einzelfalls Frühzeitige Befassung im Entwicklungsstadium Ggf. Nachweis der Anforderungen durch Zertifizierung Verpflichtung nur für Verarbeiter, nicht für Hersteller Ermutigung an Hersteller gem. ErwGr 78 Besondere Bedeutung bei öffentlichen Ausschreibungen 19

20 Ich danke Ihnen für Ihre Aufmerksamkeit. Barbara Thiel Prinzenstraße Hannover Telefon Telefax barbara.thiel@lfd.niedersachsen.de 20