Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1c) Vorlesung im Sommersemester 2016 an der Universität Ulm von Bernhard C.

Transkript

1 Vrlesung im Smmersemester 2016 an der Universität Ulm vn

2 1. Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anfrderungen zur IT-Sicherheit Datenschutzrechtliche Prinzipien Mehrseitige IT-Sicherheit Technischer Datenschutz Risik-Management Kundendatenschutz Begriffsklärung: Daten, persnenbezgene Daten & Infrmatinen, Sicherheit, Datensicherung, Datensicherheit technische & rganisatrische Maßnahmen (nach BDSG & EU-DS- GVO), Datenschutzknzept Knzeptin vn IT-Sicherheit Vrabkntrlle zu Datenschutzrisiken Bestimmung vn Datenschutzrisiken Datenschutz-Flgenabschätzung nach der EU-DS-GVO Privacy Impact Assessment Datenschutzrisiken bei der Auftragsdatenverarbeitung Standard-Datenschutzmdell Datenschutzfördernde Techniken Risikbasierter Ansatz im Datenschutzrecht Privacy by Design / Default 2

3 Daten vs. Infrmatinen Grunddilemma: Uneinheitliche Begriffswelt (vr allem zwischen Infrmatik & Jura) Lösung: Festlegung vn Definitinen! Definitin 2: Daten kntextfreie Angaben, die aus interpretierten Zeichen bzw. Signalen bestehen Definitin 3: Infrmatinen Daten, die (durch den Menschen) kntextbezgen interpretiert werden und (przesshaft) zu Erkenntnisgewinn führen 3

4 Vm Datum zur Infrmatin (1) 4

5 Vm Datum zur Infrmatin (2) 5

6 Datensicherheit Definitin 4: Sicherheit Abwesenheit vn Gefahren Definitin 5: Datensicherung Maßnahmen zur Aufrechterhaltung des DV-Systems, der Daten und Datenträger vr Zerstörung der Verlust Datensicherung zielt insb. auf Ausfallsicherheit ab! Definitin 6: Datensicherheit Schutz der gespeicherten Daten vr Beeinträchtigung durch Missbrauch, menschliche der technische Fehler und höhere Gewalt 6

7 Zusammenhang zwischen Datensicherheit und Datenschutz 7

8 Technische & rganisatrische Maßnahmen zum Datenschutz Zutrittskntrlle: Einrichtung physischer Schutzznen Zugangskntrlle: Nutzung vn IT-Systemen erst nach Authentifizierung Zugriffskntrlle: Zugriff gemäß begründetem Berechtigungsknzept Weitergabekntrlle: Einrichtung vn Perimeterschutz Eingabekntrlle: Zurdnung vn Verantwrtung Auftragskntrlle: Aufgabenerfüllung gemäß Weisungskette Verfügbarkeitskntrlle: Schutz der Daten vr Zerstörung der Verlust Datentrennungskntrlle: Zweckgebundene & -getrennte Datenverarbeitung Angemessenheit nach Schutzgrad & Verletzlichkeit 8

9 Schutzvrkehrungen nach der EU-DS-GVO (1) Nach Art. 32 Abs. 1 der EU-DS-GVO gilt, dass geeignete technische und rganisatrische Maßnahmen zu treffen sind unter Berücksichtigung vn Stand der Technik Implementierungsksten Art, Umfang, Umstände & Zwecke der Verarbeitung swie unterschiedliche Eintrittswahrscheinlichkeit & Schwere des Risiks für die Rechte und Freiheiten natürlicher Persnen Dabei ist ein dem Risik angemessenes Schutzniveau zu gewährleisten Die Maßnahmen sind nach Art. 24 Abs. 1 erfrderlichenfalls zu überprüfen und aktualisieren 9

10 Schutzvrkehrungen nach der EU-DS-GVO (2) Zu treffende Maßnahmen schließen u.a. Flgendes ein (nach Art. 32 Abs. 1): a) Pseudnymisierung und Verschlüsselung persnenbezgener Daten b) Fähigkeit zur Sicherstellung vn Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit der Systeme & Dienste im Zusammenhang mit der Verarbeitung auf Dauer c) Fähigkeit zur raschen (!) Wiederherstellung der Verfügbarkeit persnenbezgener Daten und des Zugangs zu diesen Daten bei einem physischen der technischen Zwischenfall d) Verfahren zur regelmäßigen Überprüfung, Bewertung & Evaluierung der Wirksamkeit dieser Maßnahmen 10

11 Schutzvrkehrungen nach der EU-DS-GVO (3) Nach Art. 32 Abs. 2 der EU-DS-GVO ist bei der Beurteilung des angemessenen Schutzniveaus insbesndere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind; insbesndere hinsichtlich Vernichtung bzw. Verlust (b unbeabsichtigt der unrechtmäßig) Veränderung (b unbeabsichtigt der unrechtmäßig) unbefugte Offenbarung vn bzw. unbefugter Zugang zu persnenbezgenen Daten, die übermittelt, gespeichert der auf andere Weise verarbeitet werden Genehmigte Verhaltensregeln (nach Art. 40) der genehmigte Zertifizierungsverfahren (nach Art. 42) können nach Art. 32 Abs. 3 als Nachweis für die Erfüllung der Anfrderungen herangezgen werden Ausführende Persnen, die Zugang zu persnenbezgenen Daten haben, dürfen diese Daten nach Art. 32 Abs. 4 nur auf Anweisung der verantwrtlichen Stelle verarbeiten, sfern sie nicht durch geltendes Recht zur Verarbeitung verpflichtet sind 11

12 Gewährleistungsziele nach Standard-Datenschutzmdell Am 1. Oktber 2015 haben die deutschen Aufsichtsbehörden zum Datenschutz ein Knzept zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele verabschiedet. Danach sind flgende Gewährleistungsziele zu verflgen (unter Angabe vn zugehörigen Maßnahmen): Datensparsamkeit (grundlegend übergerdnet) Verfügbarkeit Integrität Vertraulichkeit Nichtverkettbarkeit Transparenz Intervenierbarkeit Die grünen Gewährleistungsziele zählen zu den klassischen Gewährleistungszielen der Datensicherheit, die blauen Gewährleistungsziele sind dagegen am Schutzbedarf vn Betrffenen ausgerichtet. 12

13 Ziel der technischen & rganisatrischen Maßnahmen (1) 13

14 Ziel der technischen & rganisatrischen Maßnahmen (2) 14

15 Datenschutzknzept als Sammlung der Schutzvrkehrungen 15

16 Risikbasierter Ansatz im Datenschutzrecht (1) Datenschutz betrifft nur Umgang mit persnenbezgenen Daten Unzulässiger Umgang mit eigenem Bußgeldkatalg bestraft bzw. bei Vrsatz strafbar Bußgeldkatalg in zwei Kategrien unterteilt (vgl. 43 BDSG): Verstß gegen Frmvrschriften ( 43 Abs. 1 BDSG) max Strafe Gravierender Verstß ( 43 Abs. 2 BDSG) max Strafe + ggf. Gewinnabschöpfung Bußgeld wird nur dann fällig, wenn Aufsichtsbehörde dieses verhängt (geschieht selten und i.d.r. nicht unter Ausschöpfung des Maximalbetrags) direkter finanzieller Schaden [mit i.d.r. geringer Eintrittswahrscheinlichkeit] Zudem besteht Meldepflicht bei Datenpannen, sfern Unbefugter Kenntnis über sensible Daten erhalten hat Schwerwiegende Beeinträchtigungen für die Betrffenen drhen Reputatinsverlust! (+ indirekter finanzieller Schaden) [tritt i.d.r. eher ein] Meldepflicht gegenüber Aufsichtsbehörde und den Betrffenen Datenschutzrisiken = Risiken des Datenschutzrechtsverstßes 16

17 Risikbasierter Ansatz im Datenschutzrecht (2) Risikmanagement im Datenschutz: Ziel: Vermeidung ungewllter (!) Datenschutzrisiken Vrgaben des Gesetzgebers: 1. Durchführung Zulässigkeitsprüfung wg. Verbt mit Erlaubnisvrbehalt für jedes Verfahren 2. Ergreifung erfrderlicher Schutzvrkehrungen 3. Durchführung einer Erfrderlichkeitsprüfung zu Daten 4. Durchführung der Vrabkntrlle bei riskanten Verfahren 5. Durchführung der Auftragskntrlle bei Auftragsdatenverarbeitung Technische & rganisatrische Maßnahmen müssen Schutzgrad der Daten entsprechen ( Adäquatheit) und angemessen sein ( Wirtschaftlichkeitsprüfung) Gliederung anhand Kntrllbereiche (z.b. gem. BDSG) der Sicherheitsziele (gem. diverser LDSG) Zusammenfassung der Maßnahmen = Datenschutzknzept Stand der Technik im BDSG nur für Verschlüsselung vrgeschrieben 17

18 Risikbasierter Ansatz im Datenschutzrecht (3) Bei jeweiligem Verarbeitungsschritt dürfen nur erfrderliche Daten erhben, verarbeitet der genutzt werden Begründungspflicht für jedes einzelne Datenfeld Datenfeld muss für Zweckerfüllung benötigt werden Wenn Zweck auch hne Datenfeld erfüllbar ist, ist auf dieses Datenfeld im entsprechenden Verarbeitungsschritt zu verzichten (mildester Eingriff in das infrmatinelle Selbstbestimmungsrecht) 18

19 Risikbasierter Ansatz im Datenschutzrecht (4) 19

20 Risikbasierter Ansatz im Datenschutzrecht (5) Im Rahmen der EU-DS-GVO ist der Strafrahmen deutlich erweitert wrden: Verstöße gegen Pflichten der verantwrtlichen Stelle bzw. des Auftragnehmers sind nach Art. 83 Abs. 4 lit. a der EU-DS-GVO mit Geldbußen vn bis zu 10 Mi. bzw. vn bis zu 2 % des weltweit erzielten Jahresumsatzes des vrangegangenen Geschäftsjahres fällig. Das betrifft u.a.: Missachtung vn Privacy by Design / Default (Art. 25) Nichteinhaltung vn Auflagen zur Auftragsdatenverarbeitung (Art. 28) Unvllständiges Verzeichnis vn Verarbeitungstätigkeiten (Art. 30) Unzureichende Maßnahmen zur Sicherheit der Verarbeitung (Art. 32) Unzureichende Meldungen vn Verletzungen des Schutzes persnenbezgener Daten (Art ) Unzureichende Datenschutz-Flgenabschätzung (Art. 35) Nichtbenennung eines Datenschutzbeauftragten (Art. 37 bis 39) Fehlerhafte Zertifizierungen (Art ) Unzureichender technischer Datenschutz strafbewährt! 20

21 Risikbasierter Ansatz im Datenschutzrecht (6) Im Rahmen der EU-DS-GVO ist der Strafrahmen deutlich erweitert wrden: Flgende Verstöße sind nach Art. 83 Abs. 5 der EU-DS-GVO mit Geldbußen vn bis zu 20 Mi. bzw. vn bis zu 2 % des weltweit erzielten Jahresumsatzes des vrangegangenen Geschäftsjahres fällig: Verstöße gegen die Grundsätze für die Verarbeitung (einschließlich der Bedingungen für die Einwilligung!) nach Art. 5, 6, 7 & 9 (als auch einer unzureichenden Handhabung vn besnderen Kategrien persnenbezgener Daten) Verstöße gegen die Betrffenenrechte nach Art. 12 bis 22 Unzulässige Übermittlung vn Daten in Drittstaaten nach Art. 44 bis 49 Nichteinhaltung der Vrschriften für besndere Verarbeitungssituatinen nach Art. 85 bis 91 gemäß den Rechtsvrschriften der Mitgliedsstaaten Behinderung der Aufsichtsbehörden Unzureichende Rechtmäßigkeit der Verarbeitung strafbewährt! Gleiches gilt für die Nichtbeflgung vn Anweisungen der Aufsichtsbehörde 21

22 Vrabkntrlle (1) Sfern autmatisierte Verarbeitungen u.u. besndere Risiken für die Rechte und Freiheiten der Betrffenen erzeugen können, ist nach 4d Abs. 5 BDSG eine Vrabkntrlle durchzuführen Vrabkntrlle ausdrücklich vrgeschrieben bei Umgang mit besnderen Arten persnenbezgener Daten Zweck der Persönlichkeitsbewertung (zu Fähigkeiten, Leistung der Verhalten) sfern nicht ausdrücklich gesetzlich vrgeschrieben, basierend auf Einwilligung des Betrffenen der erfrderlich zur Begründung bzw. Durchführung eines rechtsgeschäftlichen der rechtsgeschäftsähnlichen Schuldverhältnisses (= Vertrag + Vertragsanbahnung) Ausnahmeregel führt in der Praxis dazu, dass Vrabkntrlle zu selten durchgeführt wird (Flge: trügerische Sicherheit!) 22

23 Vrabkntrlle (2) In erster Linie wird bei der Vrabkntrlle die Rechtmäßigkeit der geplanten autmatisierten Verarbeitung überprüft ( Zulässigkeitsprüfung) Ein besnderer Augenmerk gilt den vrgesehenen technischen und rganisatrischen Maßnahmen, die wirksam ein besnderes Risik vermeiden helfen ( Ermittlung wirksamer Schutzvrkehrungen) Vrabkntrlle = Instrument präventiver Cmpliance Vrabkntrlle ist durch den Datenschutzbeauftragten durchzuführen Nichtdurchführung selbst ist nicht strafbewährt, sndern nur die ptenziellen Flgen (i.d.r. gravierender Verstß im Sinne vn 43 Abs. 2 Nr. 1 der 2 BDSG) 23

24 Anlässe für Vrabkntrlle 24

25 Bestimmung des Datenschutzrisiks Schutzgrad Schutzgrad 1 (kein Schutzbedarf): Daten weisen keinen Persnenbezug auf Schutzgrad 2 (niedriger Schutzbedarf): ein Persnenbezug kann nur mit erheblichem Aufwand hergestellt werden Schutzgrad 3 (mittlerer Schutzbedarf): Daten sind mit vertretbarem Aufwand repersnalisierbar der stammen aus allgemein zugänglichen Quellen Schutzgrad 4 (hher Schutzbedarf): ein Vertraulichkeitsverlust der Daten erzeugt bereits einen Schaden für den Betrffenen, z.b. aufgrund vn Zusatzwissen Schutzgrad 5 (sehr hher Schutzbedarf): besnders sensible bzw. aufgrund einer besnderen Schutzverpflichtung geschützte Daten Eintrittsstufe Eintrittsstufe 1 (keine Kmprmittierung): mit einer an Sicherheit grenzenden Wahrscheinlichkeit erflgt keine Kmprmittierung Eintrittsstufe 2 (unwahrscheinliche Kmprm.): ein Störer der Angreifer muss über erhebliche Ressurcen der Kenntnisse verfügen, um eine Kmprmittierung erreichen zu können Eintrittsstufe 3 (mögliche Kmprmittierung): ein Störer der Angreifer muss über begrenzte Ressurcen der Kenntnisse verfügen, um eine Kmprmittierung erreichen zu können Eintrittsstufe 4 (wahrscheinliche Kmprm.): für eine Kmprmittierung sind keine Ressurcen der Kenntnisse erfrderlich, die nicht leicht zu beschaffen sind Eintrittsstufe 5 (sichere Kmprmittierung): eine Kmprmittierung kann bereits aufgrund üblicher Basisausstattungen stattfinden 25

26 Umgang mit Datenschutzrisik 26

27 Datenschutzrisiken (vereinfacht) Wahrscheinlichkeit 3 Handeln! 2 Prüfen! 1 Passt! Schaden Wahrscheinlichkeit: Eintritt einer Verletzung des infrmatinellen Selbstbestimmungsrechts 1 = möglich 2 = wahrscheinlich 3 = sicher Schaden: Grad der Verletzung des infrmatinellen Selbstbestimmungsrechts 1 = niedrig (hne direkte Wirkung) 2 = mittel (frmaler Verstß) 3 = hch (Bußgeld/Datenpanne) 27

28 Datenschutz-Flgenabschätzung nach EU-DS-GVO (1) Nach Art. 35 Abs. 1 der EU-DS-GVO hat die verantwrtliche Stelle bei vrgesehenen Verarbeitungsvrgängen vrab eine Abschätzung der Flgen für den Schutz persnenbezgener Daten durchzuführen, sfern die Frm der Verarbeitung, insbesndere aufgrund der Verwendung neuer Technlgien aufgrund vn Art, Umfang, Umstände & Zwecken der Verarbeitung vraussichtlich ein hhes Risik für die Rechte und Freiheiten natürlicher Persnen zur Flge hat Nach Art. 35 Abs. 3 ist die Durchführung einer Datenschutz-Flgenabschätzung erfrderlich: a) Systematische & umfassende Bewertung persönlicher Aspekte (insb. Prfiling) b) Umfangreiche Verarbeitung besnderer Kategrien persnenbez. Daten c) Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche 28

29 Datenschutz-Flgenabschätzung nach EU-DS-GVO (2) Nach Art. 35 Abs. 7 der EU-DS-GVO hat eine Datenschutz-Flgenabschätzung mindestens Flgendes zu enthalten: a) Systematische Beschreibung der geplanten Verarbeitungsvrgänge und der Zwecke der Verarbeitung, ggf. einschließlich der vn der verantwrtlichen Stelle verflgten berechtigten Interessen b) Bewertung der Ntwendigkeit & Verhältnismäßigkeit der Verarbeitungsvrgänge in Bezug auf den Zweck c) Bewertung der Risiken für die Rechte und Freiheiten der Betrffenen d) Zur Bewältigung der Risiken geplanten Abhilfemaßnahmen (einschließlich Garantien, Sicherheitsvrkehrungen und Verfahren zum Schutz persnenbezgener Daten) und dem Nachweis zur Einhaltung der EU-DS-GVO Zur Datenschutz-Flgenabschätzung ist ggf. der Standpunkt des Betrffenen zur beabsichtigten Verarbeitung einzuhlen nach Art. 35 Abs. 9 Änderungen bei den Risiken führen nach Art. 35 Abs. 11 erfrderlichenfalls zu einer Überprüfung der Abschätzung 29

30 Privacy Impact Assessment (1) Privacy Impact Assessment (PIA) = Przess zur Identifikatin vn Datenschutzrisiken bei der autmatisierten Verarbeitung persnenbezgener Daten, der Analyse der Auswirkung dieser Risiken und des daraus resultierenden Umgangs mit diesen Risiken (Nrmierung als ISO/IEC derzeit in Arbeit) PIA werden in der Praxis eingesetzt, um systematisch Prblemfelder beim Umgang mit persnenbezgenen Daten zu ermitteln Prüfung, b in einem IT-Prjekt eine PIA durchzuführen ist (durch Analyse der Datenfelder und des Datenflusses) Auswirkung auf die infrmatinelle Selbstbestimmung der Betrffenen und hinsichtlich Vertrauensverlust, Reputatinsschäden & Gesetzesverstößen Auswahl einer adäquaten datenschutzknfrmen Lösung Reduzierung der Flgen auf ein akzeptables Maß Vermeidung des Eintritts einer (meldepflichtigen) Datenpanne Nachweis für Cmpliance mit Datenschutzvrschriften PIA ist eine zentrale Methde für Privacy by Design 30

31 Privacy Impact Assessment (2) 31

32 Rechtmäßigkeit Treu & Glauben Transparenz Zweckbindung Datenminimierung Speicherbegrenzung Vertraulichkeit Integrität Verfügbarkeit Belastbarkeit Wiederherstellbarkeit Vermeidung technikspezifischer Risiken Vermeidung zweckbezgener Risiken Vermeidung datenartenbezgener Risiken Privacy Impact Assessment (3) nach der EU-DS-GVO Wirkung auf Rechte und Freiheiten des Betrffenen Zielvrgabe aufgrund der Grundsätze (Art. 5) Zielvrgabe aufgrund der Schutzziele (Art. 32) Zielvrgabe aufgrund der Verarbeitungsbedingungen (Art. 35) Unterscheidung je nach Verarbeitungsaspekt ptenzielles Risik 1 Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung ptenzielles Risik 2 Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung ptenzielles Risik n Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Wirkung Bei dem jeweils identifizierten ptenziellen Risik ist die Wirkung auf die Erreichung der Zielvrgabe für die Rechte und Freiheiten der Betrffenen darzustellen; dies kann insbesndere auch keine sein. 32

33 Datenschutzrisiken bei Auftragsdatenverarbeitung (1) Sfern Outsurcingpartner Auftragsdatenverarbeitung durchführen sll, bestehen detaillierte Vrgaben (Schriftfrmerfrdernis, Weisungsgebundenheit, vrdefinierter Regelungsumfang, Prüfpflicht), damit der Auftrag datenschutzrechtlich privilegiert ist Auftragnehmer wird dann Teil der verantwrtlichen Stelle! Werden nicht alle Vrgaben vllständig eingehalten, liegt datenschutzrechtlich dagegen eine sg. Funktinsübertragung vr (diese erfrdert zulässigen Übermittlungstatbestand für Auftraggeber und zulässigen Empfangstatbestand für Auftragnehmer; aufgrund der Zweckänderung zudem Abwägung durchzuführen) Auftragnehmer ist anhand seiner Schutzvrkehrungen srgfältig (!) auszuwählen Prüfpflicht vr Aufnahme der Auftragsdatenverarbeitung Pflicht zur regelmäßig durchzuführenden Auditierung 33

34 Datenschutzrisiken bei Auftragsdatenverarbeitung (2) Auftragskntrlle kann vn beliebiger Stelle durchgeführt werden Nichtdurchführung selbst ist strafbewährt (Verstß gegen Frmvrschriften), Flgen waren Auslöser für BDSG-Verschärfung Das eigentliche Prblem bei der Auftragskntrlle liegt in den unterschiedlichen Sichtweisen vn Auftraggeber & Auftragnehmer: Rechtsflgen eines Datenschutzverstßes gelten vll gegenüber der verantwrtlichen Stelle (Auftraggeber), Auftragnehmer kann allenfalls in Regress genmmen werden (fehlende Regelungen / Weisungen gehen vll zu Lasten des Auftraggebers) Auftragnehmer nimmt möglicherweise andere Risikbetrachtung vr als der Auftraggeber (hat u.u. höheren Risikappetit ) Haftung vn Verträgen faktisch in Bezug auf Vertragssumme beschränkt, deckt nicht zwingend das Schadensrisik für Auftraggeber In der Praxis leider ft vernachlässigte Datenschutzrisiken! 34

35 Auftragsdatenverarbeitung nach EU-DS-GVO (1) Nach Art. 28 Abs. 1 der EU-DS-GVO darf eine Verarbeitung persnenbezgener Daten im Auftrag nur durch einen Auftragsverarbeiter erflgen, der hinreichend Garantien für geeignete technische & rganisatrische Maßnahmen bietet, um die Verarbeitung im Einklang mit der EU-DS-GVO durchzuführen und den Schutz der Betrffenenrechte zu gewährleisten Unterauftragnehmer bedürfen der schriftlichen Genehmigung (Art. 28 Abs. 2) und haben gleiche Pflichten zu erfüllen wie Auftragnehmer (Art. 28 Abs. 4) Auftragstätigkeit bedarf eines Vertrags (Art. 28 Abs. 3), der beinhalten muss: Gegenstand & Dauer der Verarbeitung Art & Zweck der Verarbeitung Art der persnenbezgenen Daten Kategrien betrffener Persnen Pflichten & Rechte der verantwrtlichen Stelle Vm Auftragnehmer dürfen persnenbezgene Daten nur auf dkumentierte Weisung der verantwrtlichen Stelle verarbeitet werden (Art. 28 Abs. 3 lit. a) 35

36 Auftragsdatenverarbeitung nach EU-DS-GVO (2) Ausführende Persnen müssen auf Vertraulichkeit verpflichtet sein (Art. 28 Abs. 3 lit. b) Der Auftragnehmer muss alle erfrderlichen Maßnahmen nach Art. 32 der EU- DS-GVO ergreifen (Art. 28 Abs. 3 lit. c) Nach Abschluss der Erbringung der Verarbeitungsleistungen sind alle persnenbezgenen Daten nach Wahl der verantwrtlichen Stelle zu löschen der zurückzugeben, sfern nach geltendem Recht keine Verpflichtung zur Speicherung der Daten besteht (Art. 28 Abs. 3 lit. g) Einhaltung genehmigter Verhaltensregeln (nach Art. 40) der eines genehmigten Zertifizierungsverfahrens nach (Art. 42) kann nach Art. 28 Abs. 5 als Nachweis hinreichender Garantien herangezgen werden 36

37 Kennzeichen datenschutzfördernder Techniken = Privacy Enhancing Technlgies (PET; 1995) Ziel: weniger Risiken für die Privatsphäre der Betrffenen durch Ausgestaltung eingesetzter Infrmatins- und Kmmunikatinstechnik unter Reduktin des Persnenbezugs ( Annymität) setzt bereits im Vrfeld der Verarbeitung persnenbezgener Daten an Datenvermeidung! wichtiges Hilfsmittel vrausschauender Technikgestaltung unabhängig vn etwaigen Rechtsnrmen Rückwirkung auf rechtliche Entwicklung ( Stand der Technik ) frühere Bezeichnung: Systemdatenschutz (Pdlech) datenschutzgerechte & datenschutzfördernde Technik zur strukturellen & systemanalytische Ergänzung des individuellen Rechtsschutzes der Betrffenen 37

38 Prinzipien datenschutzfördernder Techniken (1) Datensparsamkeit & Systemdatenschutz je weniger persnenbezgene Daten herausgegeben werden (müssen), dest leichter lassen sich entsprechende Techniken anwenden nur erfrderliche Daten verarbeiten frühestmögliche Annymisierung frühestmögliche Löschung Verschlüsselung bei Kmmunikatin Kern des privacy by design principles! Beispiel: prepaid-chipkarten, Mix-Netz, Transaktinspseudnym (z.b. mit verdeckter Zufallszahl bei elektrnischem Geld) 38

39 Prinzipien datenschutzfördernder Techniken (2) Selbstdatenschutz & Transparenz Selbstbestimmung und Steuerung durch Nutzer Nutzer entscheidet selbst, wie annym er Dienste in Anspruch nimmt Verarbeitung wird verständlich ffengelegt (Verfahrensverzeichnis) und ist nachprüfbar ( Identitätsmanagement) Frmulierung eigener Schutzziele Nutzung vertrauenswürdiger Institutinen (Trust Center) Unterstützung durch Anwendung der Betrffenenrechte Unterstützung für Umsetzung des privacy by design principles Beispiel: Platfrm fr Privacy Preferences (P3P auf 39

40 Privacy by Design / Default Nach Art. 25 Abs. 1 der EU-DS-GVO sind Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die ntwendigen Garantien zur Einhaltung der EU-DS-GVO in die Verarbeitung aufzunehmen; dabei ist zu berücksichtigen (wie bei allen Maßnahmen) Stand der Technik Implementierungsksten Art, Umfang, Umstände & Zwecke der Verarbeitung swie die unterschiedliche Eintrittswahrscheinlichkeit & Schwere des Risiks für die Rechte und Freiheiten natürlicher Persnen Die verantwrtliche Stelle hat daher geeignete technische und rganisatrische Maßnahmen (wie z.b. Pseudnymisierung) zu treffen swhl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung Durch Vreinstellung grundsätzlich nur Daten verarbeiten, die für den jeweiligen bestimmten Verarbeitungszweck erfrderlich sind (Art. 25 Abs. 2) Betrifft neben Menge der erhbenen persnenbezgenen Daten den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit 40