Vorgaben der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis

Transkript

1 Vorgaben der Europäischen Datenschutzgrundverordnung zur Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis IHK Trier, H. Eiermann Folie 1

2 Agenda Sicherheit der Verarbeitung / Technikregelungen Datenschutzfolgeabschätzung (Vorabkontrolle) Verfahrensverzeichnis 2 H. Eiermann Folie 2

3 IT-Entwicklung Der Wandel Location Based Services Ubiquitous Computing Smart Dust RFID, VR, Cloud Computing mobile Datenverarbeitung + Internet Individuelle Datenverarbeitung mobile Datenverarbeitung Individuelle Datenverarbeitung + Internet H. Eiermann Folie 3

4 IT-Entwicklung 9 BDSG (Anlage) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zweckbindungskontrolle mobile Datenverarbeitung Individuelle Datenverarbeitung + Internet Cloud Computing mobile Datenverarbeitung + Internet Individuelle Datenverarbeitung 70er Jahre H. Eiermann Folie 4

5 9 BDSG (Anlage) Zutrittskontrolle? Zugangskontrolle Zugriffskontrolle? Weitergabekontrolle Eingabekontrolle? Auftragskontrolle? Verfügbarkeitskontrolle Zweckbindungskontrolle mobile Datenverarbeitung Cloud Computing 5 H. Eiermann Folie 5

6 Datenschutz technisch-organisatorische Maßnahmen IT-Sicherheit H. Eiermann Folie 6

7 Systematik der IT-Sicherheit / IT-Grundschutz Grundbedrohungen Verfügbarkeit Vertraulichkeit Integrität H. Eiermann Folie 7

8 * Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert ( ) H. Eiermann Folie 8

9 Technikregelungen der Datenschutzgesetze Kontrollarten Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle zweckbezogene Verarbeitung technikoffene Schutzziele * Verfügbarkeit Integrität Vertraulichkeit Transparenz Authentizität Revisionsfähigkeit Nichtverkettbarkeit Intervenierbarkeit Systemdatenschutz Audit / Zertifizierung Selbstdatenschutz * Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert ( ) H. Eiermann Folie 9

10 Das Standard-Datenschutzmodell 10 H. Eiermann Folie 10

11 Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 18

12 Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 19

13 Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 20

14 Zuordnung Gesetzliche Anforderungen / Schutzziele * * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 20 H. Eiermann Folie 21

15 Zuordnung Gesetzliche Anforderungen / Schutzziele * * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 20 H. Eiermann Folie 22

16 H. Eiermann Folie 23

17 EU Datenschutz-Grundverordnung Artikel 32 Sicherheit der Verarbeitung 24 H. Eiermann Folie 24

18 Die Datenschutz-Grundverordnung risk based approach 25 H. Eiermann Folie 25

19 EU Datenschutz-Grundverordnung - Instrumentarium Sicherheitsmaßnahmen Verhaltensregeln Datenschutzfolgeabschätzung Zertifizierung Datenschutzsiegel und -prüfzeichen H. Eiermann Folie 26

20 EU DSGVO Erwägungsgrund 78 H. Eiermann Folie 27

21 EU DSGVO Erwägungsgrund 83?! H. Eiermann Folie 28

22 EU DSGVO Erwägungsgrund 84 H. Eiermann Folie 29

23 EU DSGVO Art. 25 Datenschutz durch Technik & Voreinstellung Risikoadäquanz H. Eiermann Folie 30

24 EU DSGVO Art. 25 Datenschutz durch Technik & Voreinstellung H. Eiermann Folie 31

25 EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoadäquanz Angemessene TOM 32 H. Eiermann Folie 32

26 EU DSGVO Art. 32 Sicherheit der Verarbeitung Vertraulichkeit Integrität Verfügbarkeit Sicherheitsmanagement 33 H. Eiermann Folie 33

27 EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoanalyse und -bewertung H. Eiermann Folie 34

28 EU DSGVO Art. 32 Sicherheit der Verarbeitung Nr. 4 Anlage 9 BDSG [ ] zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), H. Eiermann Folie 35

29 EU DSGVO Art. 32 Sicherheit der Verarbeitung Codes of Conduct (Selbstverpflichtung) 36 H. Eiermann Folie 36

30 EU DSGVO Art Verhaltensregeln Datenschutzausschuss = ehem. Art. 29-Gruppe 37 H. Eiermann Folie 37

31 EU DSGVO Art. 42 Zertifizierung Zertifizierungsverfahren Gütesiegel / Zertifikate 38 H. Eiermann Folie 38

32 Erwägungsgrund (166) Art. 42 Abs. 8 EU DSGVO 39 H. Eiermann Folie 39

33 EU DSGVO Art. 30 Konkretisierung EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände Zertifizierungen EU-Kommission (delegierte Rechtsakte) 40 H. Eiermann Folie 40

34 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: BSI: BSI Standards bis 4 ISO / IEC H. Eiermann Folie 41

35 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände 42 z.b.: ENISA: Leitlinien für Sicherheitsmaßnahmen Zu Art. 4/13 der e-privacy-richtlinie (2992/58/EC) EuroPrise: Sichereheitsmaßnahmen nach dem Europäischen Datenschutzsiegel 2013/0027 (COD): Entwurf EU-Richtlinie zur Netzwer- Informationssicherheit H. Eiermann Folie 42

36 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: DSB-Konferenez (D) CNIL (F) [ ] Standard Datenschutzmodell Good Practice Catalogue [ ] 43 Art. 29-Gruppe H. Eiermann Folie 43

37 EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: Datenschutzstandard DS-BvD-GDD-01 CoC Versicherungswirtschaft [ ] 44 H. Eiermann Folie 44

38 Zertifizierungen EU-Kommission (delegierte Rechtsakte) 45 H. Eiermann Folie 45

39 EU DSGVO Datenschutzund IT-Sicherheits- Verfügbarkeit Maßnahmen Integrität Vertraulichkeit Authentizität??? Revisionsfähigkeit Systemdatenschutz Audit / Zertifizierung 46 H. Eiermann Folie 46

40 BDSG / LDSG Rechtsanpassung: BDSG-Neu? LDSG-Neu? DS-Regelungen in SpezialG neu? Mai 2016 Verabschiedung EU DSGVO 25. Mai 2018 Technische Datenschutzvorgaben: In-Kraft-Treten EU DSGVO Codes of Conduct? Best Practice? Audit/Zertifizierung? H. Eiermann Folie 47

41 Neu! Bußgeld. H. Eiermann Folie 48

42 Derzeitige Situation 38 Abs. 5 BDSG Schwerwiegender techn.-org. Mangel Anordnungsverfahren Zwangsgeldandrohung Zwangsgeldverhängung Bußgeld H. Eiermann Folie 49

43 EU DSGVO Art. 30 Technisch-organisatorisch Maßnahmen 51 H. Eiermann Folie 51

44 Agenda Datenschutzfolgeabschätzung 52 H. Eiermann Folie 52

45 EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen - oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. H. Eiermann Folie 53

46 Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Daten Tragweite (z.b. Automatisierte Einzelentscheidung, (neue) Technologie Art. 20 Vorabkontrolle Verarbeitungen mit spezifischen Risiken Prüfung vor Aufnahme des Verfahrens H. Eiermann Folie 54

47 Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Daten Tragweite (z.b. Automatisierte Einzelentscheidung, (neue) Technologie Artikel Art Vorabkontrolle Verarbeitungen mit spezifischen Risiken (1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Prüfung Rechte und vor Freiheiten Aufnahme der des Personen Verfahrens beinhalten können, und tragen dafür Sorge, daß diese Verarbeitungen vor ihrem Beginn geprüft werden. (2) Solche Vorabprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muß. H. Eiermann Folie 55

48 Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Verarbeitung (vgl. 29a, 29b DSG NRW) Tragweite (z.b. Automatisierte Einzelentscheidung, Art. 20 Vorabkontrolle Verarbeitungen mit spezifischen Risiken Prüfung vor Aufnahme des Verfahrens Umsetzung in nationales Recht BDSG 4 d Abs. 5 BDSG LDSGe 9 Abs. 5 LDSG i.v.m. 3 Abs. 9 LDSG H. Eiermann Folie 56

49 Prüfungsgesichtspunkte der Vorabkontrolle inhaltliche / rechtliche Anforderungen formale Anforderungen technisch-organisatorische Anforderungen H. Eiermann Folie 57

50 Kriterien - Inhaltliche Anforderungen Zulässigkeit (Rechtsgrundlage/Einwilligung) Grundsätze der Datensparsamkeit und Datenvermeidung 5 Abs. 1-3 LDSG 1 Abs. 3 LDSG Datenumfang Personenbezug / Pseudonymisierung Voraussetzungen für die Verarbeitung besonderer personenbezogener Daten Wahrung/Gewährleistung der Rechte der Betroffenen 5 Abs. 4 LDSG 6 Abs. 1 LDSG Beteiligung, Auskunft, Sperrung H. Eiermann Folie 58

51 Kriterien - Inhaltliche Anforderungen Auftragsdatenverarbeitung 4 LDSG schriftlicher Auftrag Gewährleistung Sicherheitsmaßnahmen Wahrnehmung der Kontrollpflichten Verpflichtung ggf. Unterrichtung/Genehmigung der Aufsichtsbbehörde Berücksichtigung besonderer Berufs- und Amtsgeheimnisse Löschung 19 Abs. 2 LDSG Erforderlichkeit Fristen H. Eiermann Folie 59

52 Kriterien - Formale Anforderungen Verfahrensverzeichnis Anhörung des LfD Zulassungen soweit erforderlich Information / Unterrichtung des Betroffenen Dienstanweisung Verpflichtung 10 Abs. 2 LDSG 7 Abs. 3 LDSG 7 Abs. 3 und 5 LDSG 5 Abs. 5 Nr. 2 LDSG 9 Abs. 6 LDSG 8 Abs. 2 LDSG H. Eiermann Folie 60

53 Prüfungsgesichtspunkte der Vorabkontrolle Automatisierte Einzelentscheidung ( 5 Abs. 5 LDSG) vorabkontrolle.rtf H. Eiermann Folie 61

54 Kriterien - Technisch-organisatorische Anforderungen Technisch-organisatorische Maßnahmen 9 Abs. 2 LDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zweckbindungskontrolle Dokumentationskontrolle Verarbeitungskontrolle Kernbereiche Benutzerverwaltung Berechtigungskonzept Dokumentation Protokollierung Löschung H. Eiermann Folie 62

55 Kriterien - Technisch-organisatorische IT-Grundschutzkataloge Anforderungen Baustein 1.5 Datenschutz H. Eiermann Folie 63

56 Baustein Datenschutz - Maßnahmenkatalog H. Eiermann Folie 64

57 EU DSGVO Erwägungsgrund 84 H. Eiermann Folie 65

58 Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 66

59 Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 67

60 Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 68

61 Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 69

62 Neu! Bußgeld. H. Eiermann Folie 70

63 EU DSGVO Art. 30 Datenschutzfolgeabschätzung 71 H. Eiermann Folie 71

64 Agenda Verfahrensverzeichnis 72 H. Eiermann Folie 72

65 EU DSGVO Erwägungsgrund 82 H. Eiermann Folie 73

66 Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 74

67 Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 75

68 Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 76

69 Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 77

70 EU DSGVO Erwägungsgrund (89) H. Eiermann Folie 78

71 Neu! Bußgeld. H. Eiermann Folie 79

72 EU DSGVO Art. 30 Verfahrensverzeichnis 80 H. Eiermann Folie 80

73 Vielen Dank! 81 H. Eiermann Folie 81

74 Helmut Eiermann Gruppenleiter Technik Hintere Bleiche Mainz Tel (06131) Fax (06131) H. Eiermann Folie 82