Genehmigte Verhaltensregeln und Zertifizierung in der DS-GVO. Stephan Rehfeld, , Köln

Transkript

1 Genehmigte Verhaltensregeln und Zertifizierung in der DS-GVO Stephan Rehfeld, , Köln

2 Standortbestimmung: Datenschutz-Zertifizierung gestern und heute

3 Zertifizierung im BDSG Gesetzliche Grundlage: 9a BDSG Anforderungen an Datenschutzzertifizierungen nach BDSG wurden nicht näher ausgeführt

4 Datenschutzzertifizierungen in Deutschland Quelle: Stiftung Datenschutz, Stand November 2016

5 Zertifizierungskonzepte Deutschland: Zertifizierung gegen die IT-GS-Bausteine zum Datenschutz Zertifizierung gegen ISO 27001, ergänzt um den Datenschutz Zertifizierung gegen ein Management-System (QMS, CMS o.ä.), ergänzt im Datenschutz-Anforderungen Individuelle branchenspezifische Kataloge Europa European Privacy Seal GB ICO Privacy Seal

6 Allgemeine Probleme bei DS-Zertifizierungen Abgrenzung zwischen Zertifizierung und unerlaubter Rechtsberatung Probleme bei der Bestimmung des erforderlichen Dokumentationsumfangs Probleme bei der Bestimmung der Verhältnismäßigkeit bei den technisch-organisatorischen Maßnahmen

7 Abgrenzung zwischen Zertifizierung und unerlaubter Rechtsberatung Prüfgrundlagen: BDSG, TMG, TKG, UWG etc. Beschreibung (gemäß Anbieteraussage) Bescheinigung der Gesetzeskonformität mit?

8 Probleme bei der Bestimmung des erforderlichen Dokumentationsumfangs

9 Erfahrung des LDA Bayern mit Zertifikaten Das BayLDAhat in seinen aufsichtlichen Kontrollen nach 38 BDSG zwar festgestellt, dass Unternehmen oft verschiedenste Zertifikate vorweisen konnten jedoch genügten diese bislang in keinem einzigen Fall, um die Fragen aus dem Prüfumfang des BayLDAausreichend zu beantworten. Meist handelte es sich um Zertifizierungsverfahren, die nur am Rande mit Datenschutz zu tun hatten - statt diesen in den Fokus zu rücken. Zudem war größtenteils nicht transparent, was im Zertifizierungsverfahren tatsächlich geprüft wurde. Quelle: BayLDA, Art. 42 DS-GVO Zertifizierung,

10 Vorbemerkungen

11 Vorbemerkung zu genehmigten Verhaltensregeln und Zertifikaten Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Hinweis: es sollen insb. KMUs und Kleinstunternehmen gefördert werden Die Aufgaben und Befugnisse der Aufsichtsbehörde werden durch die Überwachung nicht berührt.

12 Exkurs: KMU am Beispiel von ISMS ISMS auf Basis von ISO/IEC ISO: ISMS nach ISO kann von Organisationen jeder Größe eingesetzt werden. ISO-Handbook ISO/IEC for Small Businesses - Practical advice ISMS auch für KMUs: ISIS12 Vds Cyber-Security für kleine und mittlere Unternehmen (KMU)

13 Unterscheidung von genehmigten Verhaltensregeln und Zertifizierungen

14 Unterscheidung Genehmigte Verhaltensregeln sollen zu einer ordnungsgemäßen Anwendung der DS-GVO beitragen (Artikel 40 Absatz 1 DS-GVO). Ausräumung von Unklarheiten bei der Anwendung der DS-GVO Zertifizierungen sollen einen Hinweis auf die Einhaltung der DS-GVO erbringen (Artikel 42 Absatz 1 DS-GVO) Sichtbarmachung der Datenschutzkonformität

15 Beispiel: steuerberatender Beruf Steuerberatungskanzlei Achtung: Berufsgeheimnisträger beauftragt wird beauftragt Systemhaus benötigt Garantien muss Mindeststandard kennen Software-Hersteller programmiert muss Anforderungen kennen

16 Genehmigte Verhaltensregeln in der DS-GVO

17 Gesetzliche Grundlagen in der DS-GVO Artikel Überschrift Artikel 40 Verhaltensregeln -> Erwägungsgründe 98, 99 Artikel 41 Überwachung der genehmigten Verhaltensregeln

18 Wer darf Verhaltensregeln erstellen? Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern,[?] Artikel 40 Absatz 2 DS-GVO

19 Präzisierung zu (nicht abschließend) a) faire und transparente Verarbeitung; b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.

20 Anerkennung durch die Aufsichtsbehörden Artikel 40 Absatz 5 11 DS-GVO

21 Überwachung Die Überwachung der Einhaltung der Verhaltensregeln erfolgt durch die Stelle, die die Verhaltensregeln erlassen hat oder durch eine unabhängige und fachkundige dritte Stelle. Anforderung an eine Akkreditierung Fachkunde Unabhängigkeit regelmäßige Überprüfung der Einhaltung und Anwendung der Vorgaben der Verhaltensregeln transparenter Umgang mit Beschwerden keine Interessenkonflikte Prüfung der Anwendbarkeit der Verhaltensregeln beim Verantwortlichen oder Auftraggeber

22 Zertifizierungen in der DS-GVO

23 Gesetzliche Grundlagen in der DS-GVO Artikel Überschrift Artikel 42 Zertifizierung -> Erwägungsgrund 100 Artikel 43 Zertifizierungsstellen

24 Zertifizierungsgegenstand Nachweis, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird Nachweis über die eigene DS-GVO-Konformität Nachweis eines Auftragsverarbeiters über die DS-GVO- Konformität Einhaltung der technischen und organisatorischen Maßnahmen Einhaltung der privacy by default/by design Geeignete Garantien bei einem Transfer in Drittstaaten ohne angemessenes Datenschutzniveau (neu)

25 Dauer der Zertifikatserteilung und Zertifizierungsmethoden Dauer der Zertifikatserteilung: maximal 3 Jahre Zertifizierungsmethoden: Unklar, ob Vor-Ort-Kontrollen immer notwendig sind

26 Rechtsfolgen einer Zertifizierung Organisationen erhalten für eine Zertifizierung ein Incentive (Artikel 83 DS-GVO): [?] Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: [?] j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 Bisher hatte eine Zertifizierung hier keine Auswirkung.

27 Nationale Akkreditierungsstelle Nationale Aufsichtsbehörde oder Nationale Akkreditierungsstelle (i.s.d. Verordnung (EG) Nr. 765/2008 in Deutschland die Deutsche Akkreditierungsstelle (DAkkS). Allerdings ist davon auszugehen, dass die nationale Aufsichtsbehörde noch Anforderungen an die DAkkS stellen wird, sofern die DAkkS überhaupt Akkreditierungsstelle wird.

28 Anforderung an Zertifizierungsstelle Eine mögliche Zertifizierungsstelle muss folgendes nachweisen: Nachweis der Unabhängigkeit und Fachwissen bzgl. des Prüfgegenstandes zur Zufriedenheit der AB Verpflichtung der Einhaltung der Prüfkriterien (noch nicht spezifiziert) Verfahren zur Erteilung, regelmäßigen Überprüfung und Widerruf von Zertifikaten Transparente Verfahren zum Umgang mit Beschwerden Nachweis zur Zufriedenheit der AB dass bei der Aufgabenerfüllung kein Interessenkonflikt vorliegt Der AB werden Gründe für die Zertifikatserteilung oder Zertifikatsentzug mitgeteilt (Hinweis: die AB kann eine Zertifikatsvergabe oder verweigerung korrigieren).

29 Exkurs: Datenschutznormen der ISO

30 Umsetzungsstand der Datenschutznormen der ISO ISO/IEC 29100: Informationstechnik Sicherheitsverfahren - Rahmenwerk für Datenschutz ISO/IEC 29101: Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Datenschutzarchitektur ISO/IEC DIS 29134: Informationstechnik - Sicherheitsverfahren - Datenschutz- Folgenabschätzung Leitfaden ISO/IEC DIS 29151: Informationstechnik - Sicherheitsverfahren - Leitfaden für den Schutz personenbezogener Daten ISO/IEC 29190: Informationstechnik - Sicherheitsverfahren - Modell zur Bestimmung des Reifegrades im Datenschutz

31 Fachlicher Ansprechpartner und Autor: Stephan Rehfeld Datenschutz-Auditor DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen August-Schanz-Straße Frankfurt am Main Tel.:

32 Kaufmännische Ansprechpartnerin: Antje Münzberg Projektmanagerin Informationssicherheit Marketing. Service. Produktmanagement. DQS GmbH Markgrafenstraße Berlin (Tel.) (e-fax) DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen August-Schanz-Straße Frankfurt am Main Tel.: info@dqs.de