Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Transkript

1 Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016

2 Vorstellung Alexander Jung Diplom-Jurist (Univ.) Senior Consultant Datenschutz

3 Jüngste Meilensteine der Datenschutz-Entwicklung 1978: Bundesdatenschutzgesetz (BDSG) bis : Europäische Datenschutz-Richtlinie 95/46/EG 2018: Datenschutzgrundverordnung (DS-GVO) ab

4 Der laaaaaaaaaaaange Weg zur Datenschutzgrundverordnung 24. Juni 2015 November 2011 Erster Entwurf taucht auf 20. Januar 2012 Vorstellung erster Entwurf einer Datenschutzgrundverordnung durch EU-Kommission 21. Oktober 2013 LIBE-Ausschuss des EU- Parlaments nimmt die zwischen Rat und Parlament erörterten Änderungsanträge zur geplanten EU-DS-GVO an 12. März 2014 Vorstellung des angenommenen Entwurfs des EU- Parlaments Erstes Trilog-Treffen zwischen Kommission, Parlament und Rat 14. April 2016 Beschluss der EU-DS- GVO durch das EU- Parlament 25. Mai Mai 2016 Veröffentlichung im Europäischen Amtsblatt 25. Mai 2016 Inkrafttreten (20 Tage nach Veröffentlichung) Geltung der EU-DS-GVO (2 Jahre nach Inkrafttreten)

5 Das zähe Ringen ums Geschäft Quelle: Quelle: Quelle:

6 IT-Sicherheit: Schluss mit der Gewohnheit überstürzt gesprochen : 9 BDSG + Anlage Art. 32 DSGVO Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [ ] (Artikel 32 Absatz 1 DSGVO)

7 Alter Wein in neuen Schläuchen? Art. 32 DS-GVO Art. 32 Abs. 1 lit. a: Pseudonymisierung personenbezogener Daten Art. 32 Abs. 1 lit. a: Verschlüsselung personenbezogener Daten Art. 32 Abs. 1 lit. b: Vertraulichkeit, im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen -/- -/- Anlage zu 9 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Auftragskontrolle Zweckbindung

8 Alter Wein in neuen Schläuchen? Art. 32 DS-GVO Anlage zu 9 BDSG Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle -/- Art. 32 Abs. 1 lit. b: Integrität, im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen Art. 32 Abs. 1 lit. b: Verfügbarkeit im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen Art. 32 Abs. 1 lit. b: Belastbarkeit im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen Art. 32 Abs. 1 lit. c: Beschreibung des Verfahrens zur Gewährleistung den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen -/-

9 Alter Wein in neuen Schläuchen? Art. 32 DS-GVO Art. 32 Abs. 1 lit. d: Beschreibung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung -/- Anlage zu 9 BDSG

10 Vergleichende Analyse BDSG vs. DS-GVO 1. Feststellung Art. 32 DSGVO ähnlich abstrakt wie 9 BDSG + Anlage IT-Sicherheit hat höheren Stellenwert in DSGVO Grundsatz in DSGVO (Art. 5 Abs. 1 (f)) Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet [ ] durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit)

11 Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung Technisch-organisatorische Maßnahmen nach Stand der Technik orientieren bisher nur bezüglich der Verschlüsselung

12 Vergleichende Analyse BDSG vs. DS-GVO 3. Feststellung Vornahme einer Risikoanalyse [ ] Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten [ ] Schutzbedarfsfeststellung durch Einteilung in Schutzbedarfskategorien mit Orientierung am BSI-Grundschutzkatalog ( normal, hoch, sehr hoch ) Risikobewertung mit Fokus auf Betroffenen anstatt von IT-Systemen Festlegung von Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen Prinzip der Accountability ; verschärfte Dokumentations- und Rechenschaftspflicht

13 Vergleichende Analyse BDSG vs. DS-GVO 4. Feststellung Begriffe wie Zugriffs-, Zugangs- und Zutrittskontrolle etc. weggefallen Stattdessen Begriffe wie: Vertraulichkeit, Integrität, Verfügbarkeit/ Wiederherstellbarkeit und Belastbarkeit der Systeme und Dienste als Schutzziele

14 Vergleichende Analyse BDSG vs. DS-GVO 5. Feststellung Art. 32 Abs. 1 Satz 1 d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung Beispiel: Penetrationstests

15 Vergleichende Analyse BDSG vs. DS-GVO 6. Feststellung Privacy Impact Assessment (Datenschutzfolgenabschätzung) bei Einführung von IT-Systemen, wenn die Verarbeitung hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt

16 Vergleichende Analyse BDSG vs. DS-GVO 7. Feststellung Bußgelder von 10 Millionen Euro bzw. im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bisher keine Bußgelder bei Verstoß gegen 9 BDSG

17 Das Wichtigste auf einen Blick Feststellung Schutzbedarf Dokumentation IT-Sicherheit nach DS-GVO Risikobewertung Umsetzung

18 Vielen Dank für Ihre Aufmerksamkeit Verbindungen die Funktionieren