IT-Sicherheit und die Datenschutzgrundverordnung

Transkript

1 IT-Sicherheit und die Datenschutzgrundverordnung Welchen Handlungsbedarf gibt es für Unternehmen? Prof. Jürgen Müller Duale Hochschule Gera-Eisenach Unterlagen:

2 Geltende Rechtsvorschriften 2 DSGVO, Artikel 91: Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. BDSGnF: Berücksichtigt Öffnungsklauseln der DSGVO ThürDSGnF eprivacy-verordnung: Trilog-Verfahren der EU läuft Diverse Anpassungen von Spezialgesetzen, z.b. Gesetz über Änderung Bundesversorgungsgesetz u.a. Vorschriften (z.b. SGB I und X) Verhaltensregeln nach Art. 40 und Zertifizierungen nach Art. 42 Kollektivvereinbarungen mit Betriebsrat

3 Wichtige Handlungspunkte 3 Benennung eines Datenschutzbeauftragten Überprüfung Systeme/Produkte nach Privacy by Design Privacy by Default Verarbeitungsübersicht Datenschutzfolgenabschätzung Verträge Auftragsverarbeitung Meldungen von Datenschutzverletzungen Betroffenenrechte wahren Sensibilisierung Mitarbeiter Datenschutzkontrolle nach Standard-Datenschutzmodell

4 Artikel 5, 6, 9 Grundsätze der Verarbeitung

5 Artikel 6: Rechtmäßigkeit der Verarbeitung 5 Verarbeitung personenbezogener Daten ist nur rechtmäßig bei: Einwilligung des Betroffenen für einen oder mehrere genau festgelegte Zwecke (Art. 6, Abs. 1 (a)), Bedingungen dazu in Artikel 7 Erforderlichkeit für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen (Art. 6, Abs. 1 (b)) Rechtliche Verpflichtung der verantwortlichen Stelle (Art. 6, Abs. 1 (c)) Berechtigte Interessen des Verantwortlichen

6 Artikel 5: Grundsätze der Verarbeitung I 6 Verarbeitung (Art 5, Abs. 1 (a)) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise (Transparenz) Zweckbindung (Art 5, Abs. 1 (b)) Erhebung für genau festgelegte, eindeutige und rechtmäßige Zwecke Weiterverarbeitung nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise

7 Artikel 5: Grundsätze der Verarbeitung II 7 Datenminimierung (Art 5, Abs. 1 (c)) Daten müssen dem Verarbeitungszweck entsprechen, sachlich relevant und in Bezug auf die Zwecke, für die sie verarbeitet werden, auf das notwendige Maß beschränkt sein. Richtigkeit (Art 5, Abs. 1 (d)) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden.

8 Artikel 5: Grundsätze der Verarbeitung III 8 Speicherminimierung (Art 5, Abs. 1 (e)) Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen für längstens den Zeitraum erlaubt, den die Realisierung der Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich macht. Integrität und Vertraulichkeit (Art 5, Abs. 1 (f)) Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich dem Schutz durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder Schädigung

9 Artikel 5: Grundsätze der Verarbeitung IV 9 Rechenschaftspflicht (Art 5, Abs. 2) Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss in der Lage sein, dies nachzuweisen Sicherheitskonzept nach IT-Grundschutz dokumentiert technische und organisatorische Maßnahmen

10 Artikel Pflichten des für die Verarbeitung Verantwortlichen

11 Artikel 24: Pflichten des für die Verarbeitung Verantwortlichen 11 Verpflichtung zu technischen und organisatorischen Maßnahmen auf Basis von Schutzbedarf: Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung Risiken unterschiedlicher Eintrittswahrscheinlichkeit Schwere für die Rechte und Freiheiten natürlicher Personen Nachweis dafür muss erbracht werden! Diese Maßnahmen sind zu überprüfen und gegebenenfalls zu aktualisieren. Tipp: IT-Grundschutz Maßnahmen!

12 IT-Grundschutz Aktuell seit 2005 BSI-Standards + Loseblattsammlung

13 Modernisierter IT-Grundschutz 13 Modernisierung seit Oktober 2017 Neue BSI-Standards Grundschutzkompendium Grundschutz-Profile

14 Warum IT-Grundschutz? 14 Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des für die Verarbeitung Verantwortlichen nachzuweisen.

15 Art. 25: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen 15 Data protection by design and by default Erforderliche Sicherheitsmaßnahmen müssen in die Verarbeitung von Anfang an integriert werden: unter Berücksichtigung der aktuellen Technologie und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen

16 Art. 25: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen 16 Datenschutzgerechte Voreinstellungen notwendig (Art. 25 Abs. 2) in Bezug auf: Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, Speicherfrist und ihre Zugänglichkeit. Insbesondere müssen diese Verfahren durch Voreinstellung sicherstellen, dass personenbezogene Daten grundsätzlich nicht ohne menschliches Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

17 Artikel 30: Aufzeichnungen der Verarbeitungsaktivitäten 17 Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten Zwecke der Verarbeitung Kategorien von betroffenen Personen und der Kategorien der Daten Kategorien von Empfängern gegebenenfalls Übermittlungen von Daten in ein Drittland oder an eine internationale Organisation vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (wenn möglich) allgemeine Beschreibung der techn. und org. Maßnahmen gemäß Artikel 30 Absatz 1 Entspricht Verfahrensverzeichnis nach BDSG

18 Artikel 30: Aufzeichnungen der Verarbeitungsaktivitäten - Ausnahmen 18 Die in den Absätzen 1 und 2a genannten Pflichten gelten nicht für ein Unternehmen oder eine Organisation, die weniger als 250 Mitarbeiter beschäftigen (Art. 30 Abs. 5), sofern die Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, oder die Verarbeitung besondere Datenkategorien nach Artikel 9 (1) enthält oder die Verarbeitung von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten erfolgt.

19 Datensicherheit Datenschutzfolgenabschätzung Verhaltensregeln Datenschutzzertifizierung Datenschutzaudit u.a.

20 Abschnitt 2: Datensicherheit 20 Sicherheit der Verarbeitung (Art. 32) Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33) Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34) Grundwerte der Informationssicherheit sind zu sichern: Vertraulichkeit, Integrität, Verfügbarkeit Hinweis: Gewährleistungsziele nach Standard- Datenschutzmodell (SDM) enthalten diese Grundwerte ebenfalls.

21 Sicherheit der Verarbeitung (Art. 32) 21 Verantwortliche und der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen umsetzen, um ein angemessenes Maß an Sicherheit im Hinblick auf das bestehenden Risiko sicherzustellen, unter anderem: Pseudonymisierung und Verschlüsselung Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme Verfügbarkeit und den Zugang zu Daten im Falle eines physischen oder technischen Vorfalls rasch wiederherzustellen (Notfallmanagement nach BSI-Standard 100-4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (IT-Revision)

22 Artikel 33: Meldung von Verletzungen des Schutzes an die Aufsichtsbehörde 22 Verantwortliche meldet der zuständigen Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten ohne ungebührliche Verzögerung und nach Möglichkeit binnen 72 Stunden nach Feststellung der Verletzung! Absatz 3 regelt Inhalt der Meldung Artikel 34: Auch die betroffenen Personen sind zu benachrichtigen!

23 Artikel 35: Datenschutzfolgenabschätzung (DSFA) 23 Vorabkontrolle nach BDSG DSFA ist durchzuführen, wenn Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere: Bei systematischer und umfassender Auswertung persönlicher Aspekte einer natürlichen Person Verarbeitung im großen Umfang spezieller Kategorien von Daten gemäß Artikel 9 Absatz 1 oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten gemäß Artikel 9a systematische weiträumige Überwachung von einem öffentlich zugänglichen Bereich Rat des Datenschutzbeauftragten ist einzuholen (Abs. 2)

24 Inhalt der Folgenabschätzung 24 Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken die vorgesehenen Maßnahmen Vorgehensmodelle für DSFA: Whitepaper FORUM PRIVATHEIT UND SELBSTBESTIMMTES LEBEN IN DER DIGITALEN WELT Schutzbedarfsfestellung nach IT-Grundschutz + Siko-Maßnahmen

25 Abschnitt 4: Datenschutzbeauftragter 25 Benennung für Behörden oder eine öffentliche Einrichtung notwendig (Art. 37) Unternehmen, Organisationen: Bei regelmäßiger und systematischer Beobachtung von betroffenen Personen als Kerntätigkeit Bei Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 im großem Umfang und Daten zu strafrechtlichen Verurteilungen und Straftaten im Sinne des Art. 9a als Kernaktivität Konzernprivileg gilt jetzt (Art. 37, Abs. 2) Nationales Recht kann eigene Regeln erlassen, ob DSB bestellt werden müssen (Art. 37 Abs. 4)

26 Abschnitt 5: Verhaltensregeln und Zertifizierung 26 Ausarbeitung von Verhaltensregeln für viele Aspekte des Datenschutzes sollen gefördert werden (Art. 40, Abs. 1, 2) Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und prüfzeichen soll gefördert werden Zertifizierungen sind freiwillig! Was haben wir schon? ISO IT-Grundschutz ISIS 12 Standard-Datenschutzmodell (SDM)

27 Datenschutzzertifizierung Hersteller, Anwender und Nutzer der Informationstechnik sind aufgefordert, Fragen des Datenschutzes und der Datensicherheit mehr Aufmerksamkeit entgegen zu bringen, um Fehlentwicklungen und Missbrauch wirksam zu verhindern. Durch die überfällige Umsetzung des Konzepts unabhängiger Datenschutzzertifizierung gem. 9a BDSG (Datenschutzaudit) ließen sich Sicherheitsmängel vermeiden und damit das Vertrauen in die Informationstechnik stärken.

28 Kapitel VI Unabhängige Aufsichtsbehörden, Verbandklagerecht, Sanktionen

29 Aufsichtsbehörde Artikel die Anwendung der Verordnung überwachen und durchsetzen Öffentlichkeit.. sensibilisieren und aufklären, sich mit Beschwerden befassen, Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz- Folgenabschätzung durchzuführen ist, Ausarbeitung von Verhaltensregeln gemäß Artikel 40 fördern, Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen

30 Befugnisse der Aufsichtsbehörde Verantwortlichen anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge in Einklang mit dieser Verordnung zu bringen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, eine Geldbuße gemäß Artikel 83 zu verhängen,

31 Kapitel 80: Verbandsklagerecht 31 Die betroffene Person hat das Recht, eine Einrichtung, eine Organisation deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten aktiv ist, zu beauftragen, in ihrem Namen Beschwerde zu erheben

32 Artikel 83: Verhängung von Geldbußen 32 Absatz 3: Bußgelder bis zu Euro oder im Falle von Unternehmen bis zu 2 % des gesamten weltweiten Jahresumsatz Absatz 4: Bußgelder bis zu Euro oder im Falle von Unternehmen bis zu 4 % des gesamten weltweiten Jahresumsatz Jeweils unterschiedliche Bedingungen!