Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Transkript

1 Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung Folie: 1/95

2 Datenschutz technisch-organisatorische Maßnahmen IT-Sicherheit Folie: 2/95

3 Datenschutz in IT-Verfahren Einzelne IT-Trends wiederholen sich auf einem höheren technischen Niveau, z.b.: Vernetzung Zentralisierung Grundlegende Konzepte des technischen Datenschutzes haben dabei Bestand: Benutzerverwaltung Berechtigungskonzept Löschkonzept Protokollierung H. Folie: 3/95

4 * Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert ( ) Folie: 4/95

5 Technikregelungen der Datenschutzgesetze Kontrollarten Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle zweckbezogene Verarbeitung technikoffene Schutzziele * Verfügbarkeit Integrität Vertraulichkeit Transparenz Authentizität Revisionsfähigkeit Nichtverkettbarkeit Intervenierbarkeit Systemdatenschutz Audit / Zertifizierung Selbstdatenschutz * Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert ( ) Folie: 5/95

6 Das Standard-Datenschutzmodell (2016) 6 Folie: 6/95

7 EU Datenschutz-Grundverordnung - Instrumentarium Sicherheit der Verarbeitung Erwägungsgründe 78, 83,84 Artikel 5, 25, 32 Verhaltensregeln Erwägungsgründe 77, 81, 98, 99, 148 Artikel 24, 28, 32, 35, 40, 41 Datenschutzfolgeabschätzung Erwägungsgründe 84, 89, 90-92, 94, 95 Artikel 35, 36, 39 Folie: 7/95

8 EU Datenschutz-Grundverordnung Instrumentarium Zertifizierung Erwägungsgründe 77, 81, 100, 166 Artikel 24, 25,28, 32, 42, 43 Datenschutzsiegel und prüfzeichen Erwägungsgründe 100 Artikel 42, 43 Folie: 8/95

9 EU DSGVO Erwägungsgrund 78 Folie: 9/95

10 EU DSGVO Erwägungsgrund 83 Folie: 10/95

11 EU DSGVO Erwägungsgrund 84 Folie: 11/95

12 EU DSGVO Art. 5 Grundsatz: angemessene Sicherheit [ ] Folie: 12/95

13 EU DSGVO Art. 25 Datenschutz durch Technik & Voreinstellung Risikoadäquanz Folie: 13/95

14 EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoadäquanz Angemessene TOM 14 Folie: 14/95

15 EU DSGVO Art. 32 Sicherheit der Verarbeitung Vertraulichkeit Integrität Verfügbarkeit Sicherheitsmanagement 15 Folie: 15/95

16 IT-Sicherheitsmanagment ISO Folie: 16/95

17 ISO und IT-Grundschutz ISMS nach ISO Annex A -Alternative Folie: 17/95

18 Verwaltung Wirtschaft Datenschutz Verfügbarkeit Integrität Vertraulichkeit Transparenz Authentizität Revisionsfähigkeit Nichtverkettbarkeit Intervenierbarkeit IT-Sicherheit Folie: 18/95

19 EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoanalyse und -bewertung Folie: 19/95

20 EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoanalyse und -bewertung Folie: 20/95

21 EU DSGVO Art. 32 Sicherheit der Verarbeitung Codes of Conduct (Selbstverpflichtung) 21 Folie: 21/95

22 EU DSGVO Erwägungsgrund 77 - Verhaltensregeln 22 Folie: 22/95

23 EU DSGVO Art Verhaltensregeln Datenschutzausschuss = ehem. Art. 29-Gruppe 23 Folie: 23/95

24 EU DSGVO Art Verhaltensregeln Art Gruppe Art. 29 der EU Datenschutzrichtlinie 95/46/EG Europäischer Datenschutzausschuss (Art. 68 DSGVO) Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt. Die Gruppe ist unabhängig und hat beratende Funktion. Aufgaben: Prüfung der Rechtsumsetzung in den einzelnen Staaten, Mitwirkung an der Herstellung eines europaweit einheitlichen Schutzniveaus, Stellungnahmen zu Verhaltensregeln, Ausarbeitung von Empfehlungen Folie: 24/95

25 EU DSGVO Art Verhaltensregeln Aktuelle Leitlinien der Art. 29-Gruppe zur DSGVO: Datenübertragbarkeit (Art. 20 DSGVO) WP242* Zuständigkeit der federführenden Aufsichtsbehörde (Art. 56 DSGVO) WP243* Datenschutzbeauftragter (Art. 37 ff. DSGVO) WP 244* Angekündigte Leitlinien der Art. 29-Gruppe zur DSGVO: Einwilligung (Art. 7 DSGVO) Profiling (Art. 22 DSGVO) Transparenz (Art. 12 DSGVO) Datenübermittlungen in Drittländer (Art. 44 ff. DSGVO) Mitteilungen bei Sicherheitsvorfällen (Art. 32 f. DSGVO) * * * Folie: 25/95

26 EU DSGVO Art. 24, 25, 32, 40, 42, 43 Konkretisierung EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände Zertifizierungen EU-Kommission (delegierte Rechtsakte) Folie: 26/95

27 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: BSI: BSI Standards bis 4 ISO / IEC Folie: 27/95

28 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: ENISA: Leitlinien für Sicherheitsmaßnahmen Zu Art. 4/13 der e-privacy-richtlinie (2992/58/EC) EuroPrise: Sichereheitsmaßnahmen nach dem Europäischen Datenschutzsiegel 2013/0027 (COD): Entwurf EU-Richtlinie zur Netzwer- Informationssicherheit Folie: 28/95

29 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: DSB-Konferenez (D) CNIL (F) [ ] Standard Datenschutzmodell Good Practice Catalogue [ ] Art. 29-Gruppe Folie: 29/95

30 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: Datenschutzstandard DS-BvD-GDD-01 CoC Versicherungswirtschaft CoC Online-Werbung [ ] Folie: 30/95

31 Zertifizierungen EU-Kommission (delegierte Rechtsakte) Folie: 31/95

32 Folie: 32/95

33 Neu! Bußgeld. Folie: 33/95

34 Derzeitige Situation 38 Abs. 5 BDSG Schwerwiegender techn.-org. Mangel Anordnungsverfahren Zwangsgeldandrohung Zwangsgeldverhängung Bußgeld Folie: 34/95

35 EU DSGVO Art. 83 Technischorganisatorische Maßnahmen, Sicherheits- Konzept, Risikoanalyse Folie: 35/95

36 Helmut Leiter Bereich Technik Postanschrift: Postfach Mainz Büroanschrift: Hintere Bleiche Mainz Telefon: +49 (6131) Telefax: +49 (6131) Web: Folie: 36/95