IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

Transkript

1 IT-Sicherheit im Lichte der Datenschutz-Grundverordnung Pragmatischer Umgang mit den neuen Anforderungen an die IT-Sicherheit Tim Hoffmann IT-Trends Sicherheit Bochum

2 Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte; u. a.» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte Datenschutz und Informationssicherheit/ IT-Sicherheit in KMU Projektleiter UIMChange Datenschutzbeauftragter Arbeitskreis Informationssicherheit (networker.nrw) Arbeitsgruppe Datenschutz (UNiTS) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

3 Dienstleistungen IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

4 Unternehmensgruppe IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

5 Gliederung Einführung Zentrale Änderungen im Hinblick auf die IT-Sicherheit/Informationssicherheit Standard-Datenschutz-Modell Fazit: Was ist zu tun? IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

6 Wann und wie gilt die Neuregelung? Inkrafttreten der DS-GVO am Anwendbarkeit nach 24 Monaten, d. h. ab unmittelbare Geltung in allen EU-Mitgliedstaaten Unanwendbarkeit entgegenstehender nationaler Regelungen aber: zahlreiche Öffnungsklauseln zugunsten einzelstaatlicher Bestimmungen Datenschutz wird ab Juni 2018 auf gänzlich neue Füße gestellt DS-GVO BDSG-Nachfolge- Gesetz Bereichsspezifische Normen Andere nationale Anpassungsgesetze IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

7 Risikobetrachtung Strafbarkeit potentiell persönliche Haftung Verstoß gegen Compliance- Anforderungen Erheblich erhöhter Bußgeldrahmen Gesamtschuldnerische Haftung Image Erweiterter Aufgabenbereich der Aufsichtsbehörden sonstige Sanktionen IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

8 Geldbußen, Art. 83 DS-GVO In Abhängigkeit vom Verstoß Geldbußen von bis zu EUR / 2 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist) Geldbußen von bis zu EUR / 4 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

9 Zentrale Änderungen für der IT Technische und organisatorische Maßnahmen» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation Erweiterung formaler Anforderungen» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: Gemeinsam Verantwortliche Verhaltensregeln und Zertifizierung IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

10 Zentrale Änderungen für der IT Technische und organisatorische Maßnahmen» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation Erweiterung formaler Anforderungen» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: Gemeinsam Verantwortliche Verhaltensregeln und Zertifizierung IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

11 Dokumentationsanforderungen Art. 5 Abs. 2 DS-GVO» Rechenschaftspflicht hinsichtlich der Einhaltung der Grundsätze der Datenverarbeitung Art. 30 DS-GVO» Dokumentation von Verarbeitungsvorgängen Art. 33 Abs. 5 DS-GVO» Dokumentation von Sicherheitsvorfällen Art. 35 DS-GVO» Datenschutz-Folgenabschätzung (inkl. Risikobewertung) Art. 46 DS-GVO» Dokumentation geeigneter Drittlandgarantien IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

12 Meldepflicht bei Datenpannen Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche ohne unangemessene Verzögerung und möglichst binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt. Trennung zwischen Meldung an die Aufsichtsbehörde (Art. 33 DS- GVO) und Benachrichtigung an die Betroffenen (Art. 34 DS-GVO) grundsätzliche Verpflichtung zur Meldung bei jeder Datenpanne Einschränkung über Risikobetrachtung inhaltliche und zeitliche Vorgaben für die Meldung umfassende Dokumentationspflicht aller Datenschutzverletzungen, Art. 33 V DS-GVO IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

13 Auftragsdatenverarbeitung (Art. 28) Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters unter besonderer Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen Erfordernis eines Vertrages zur Auftragsdatenverarbeitung Achtung: neben Schriftform auch elektronische Form zulässig Mindestangaben im Rahmen der vertraglichen Vereinbarung» ähnlich 11 BDSG» Erfordernis einer schriftlichen Genehmigung von Subunternehmern» Vertragsverhältnis zum Subunternehmer muss den Anforderungen des Hauptvertrages genügen gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer erweiterte Pflichten des Auftragsverarbeiters/Auftragnehmers IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

14 Gemeinsam Verantwortliche, Art. 26 DS-GVO BDSG kennt die Rechtfigur des gemeinsam Verantwortlichen nicht wesentlicher Unterschied zur Auftragsverarbeitung, dass die gemeinsam Verantwortlichen grundsätzlich gleichberechtigt sind keine Auswirkungen auf das Erfordernis einer Ermächtigung zur Übermittlung Erfordernis eines kleinen Vertrages zur Auftragsdatenverarbeitung» Festlegung der Aufgabenverteilung gemäß der Pflichten nach der DS-GVO» insb. Festlegung der Wahrnehmung der Rechte der Betroffenen» insb. Festlegung der Erfüllung der Informationspflichten» Festlegung einer Kontaktstelle für die Betroffenen Kern der Vereinbarung ist den Betroffenen zur Verfügung zu stellen IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

15 Technische & organisatorische Maßnahmen IT-Sicherheit erlangt höheren Stellenwert Vorgaben bzgl. Angemessenheitsentscheidung Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [ ] Risiko-Bewertung erforderlich IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

16 Technische & organisatorische Maßnahmen II Statt Kontrollziele nun Sicherheitsvorgaben/-zielen [ ] diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Verweis auf Zertifizierungsmöglichkeit IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

17 Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzung, Art. 35 DS-GVO Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Risiko-Bewertung erforderlich insbesondere in folgenden Fällen erforderlich:» systematische und umfassende Bewertung inkl. Profiling» umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten» Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche Mindestvorgaben zur inhaltlichen Dokumentation der Datenschutz- Folgenabschätzung (neu!) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

18 Datenschutz durch Technik Privacy by Design / Privacy by Default Unter Berücksichtigung des Stands der Technik, der [ ] Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche [ ] geeignete technische und organisatorische Maßnahmen» wie z. B. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.» die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Risiko-Bewertung erforderlich IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

19 Verhaltensregeln / Zertifizierung Verhaltensregeln, Artikel 40 DS-GVO Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss, die Kommission (sowie Verbände und Vereinigungen nach Genehmigung) können Verhaltensregeln erlassen Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten Zertifizierung, Artikel 42 DS-GVO Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss und die Kommission fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und prüfzeichen Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der Verordnung Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

20 Woran orientieren? Standard-Datenschutz-Modell IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

21 Standard-Datenschutz-Modell Das Standard-Datenschutzmodell (SDM) ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren überprüfbar wird. Wesentliche Anwendungsbereiche sind Planung, Einführung und Betrieb einzelner Verfahren, mit denen personenbezogene Daten verarbeitet werden. IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

22 Standard-Datenschutz-Modell Überführung datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen, Gliederung in Komponenten Daten, IT-Systeme und Prozesse, Einordnung von Daten in drei Schutzbedarfsabstufungen, Ergänzung um entsprechende Betrachtungen Systematisch abgeleiteter Katalog mit standardisierten Schutzmaßnahmen. Die Veröffentlichung des Maßnahmenkatalogs ist für das Frühjahr 2017 vorgesehen IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

23 SDM: Gewährleistungsziele Datenminimierung Verfügbarkeit Integrität Vertraulichkeit Nichtverkettung Transparenz und Intervenierbarkeit IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

24 SDM: Gewährleistungsziele Datenminimierung Verfügbarkeit Integrität Vertraulichkeit Informationssicherheits- Managementsystem Nichtverkettung Transparenz und Intervenierbarkeit IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

25 SDM: Anwendungsbereich Nutzung durch verantwortliche Stellen (Unternehmen)» systematische Planung,» Umsetzung und» kontinuierliche Überwachung der erforderlichen Funktionen und Schutzmaßnahmen. Datenschutzbehörden» einheitliche Systematik für» transparentes, nachvollziehbares, belastbares Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen. IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

26 SDM: Schutzbedarfsanalyse Eingriffsintensität in die Grundrechte durch ein Verfahren:» durch Rechtsgrundlage bestimmte Zweck der DV,» Schutzbedürftigkeit,» Dauer der Speicherung,» Art und Anzahl möglicher Empfänger der verarbeiteten Daten. Vertraulichkeit Kumulierungseffekt Risikoanalyse» Motivation zu Verstoß» Möglichkeiten zum Verstoß» Übermittlung (insbesondere in Drittländer) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

27 SDM: Schutzbedarfsanalyse Eingriffsintensität in die Grundrechte durch ein Verfahren:» durch Rechtsgrundlage bestimmte Zweck der DV,» Schutzbedürftigkeit,» Dauer der Speicherung,» Art und Anzahl möglicher Empfänger der verarbeiteten Daten. Vertraulichkeit Kumulierungseffekt Risikoanalyse Beurteilung,» Motivation wie zu groß Verstoß Wahrscheinlichkeit ist, dass trotz getroffener» Möglichkeiten Maßnahmen zum Verstoß Datenschutzvorgaben nicht einhalten» Übermittlung wird. (insbesondere in Drittländer) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

28 Fazit: Was ist zu tun? Erstellung einer Schutzbedarfsanalyse (inkl. Risikoanalyse) Organisation: Aufbau und/oder Anpassung» Aufbau / Überarbeitung Dokumentation» Anpassung Prozesse / Verträge» Verbesserung der IT-Sicherheit» Anpassung interner Regelungen» Meldewege» Change-Management Schulung der Mitarbeiter IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

29 Fragen?? Fragen? Diskussion?? thoffmann[at]uimc.de (0202) IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //

30 Haben Sie noch Fragen? UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) Internet: UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de Internet: akkreditiert durch: IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann //