Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Transkript

1 Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO? Seite 1 von 14 Datenschutz mit Augenmaß

2 Vorstellung Robert F. Krick Seite 2 von 14

3 WORUM GEHT ES HEUTE? Um die neue EU-Datenschutzgrundverordnung (kurz: DSGVO) und die Pflichten / Aufgaben, die sich aus der DSGVO für die IT ergeben. Seite 3 von 14

4 EINORDNUNG INS RECHTESYSTEM Vorrang einer EU-Verordnung vor nationalem Recht BISHER DATENSCHUTZ- RICHTLINIE Richtlinie = Umsetzung durch Mitgliedsstaaten mittels nationalem Gesetz bspw. RL 95/46 EG => Umsetzung im BDSG NEU VERORDNUNG = UNMITTELBARE GELTUNG IN JEDEM EU-MITGLIEDSSTAAT EU-Verordnung = grds. Anwendungsvorrang vor jedem nationalen Gesetz kein Umsetzungsgesetz im nationalen Recht erforderlich sofern in VO vorgesehen, dann nationale Regelungen möglich - z.b. spezielle Öffnungsklauseln für Beschäftigtendatenschutz GELTUNG: Ab dem ! gegenwärtige BDSG wird zum aufgehoben! Seite 4 von 14 BDSG-neu tritt am in Kraft!

5 SANKTIONSRAHMEN Massive Verschärfung des Bußgeldrahmens Art. 83 Abs. 3 bis 10 Mio. oder bis 2% des weltweiten Vorjahresumsatz des Konzerns Je nachdem, was höher ist (!) Verstöße gegen Regelungen zu z.b. Schutzmaßnahmen (technisch-organisatorische Maßnahmen) Auftragsverarbeitung (Neu: auch gegen Dienstleister) Art. 83 Abs bis 20 Mio. oder bis 4% des weltweiten Vorjahresumsatz des Konzerns Je nachdem, was höher ist (!) Verstöße gegen Regelungen zu z.b. Grundsätze der DS-GVO (Art. 5) u.a. Integrität & Vertraulichkeit Verstöße gegen Anordnungen der Aufsichtsbehörde NEU: Alle Verstöße gegen Pflichten der DSGVO sind mit Bußgeld bedroht! Seite 5 von 14

6 DATENSCHUTZ DURCH TECHNIK ART. 32 Maßnahmen zur Gewährleistung der Datensicherheit: Teil 1 von 3 Einsatz geeigneter technisch-organisatorischer (Schutz-)Maßnahmen (TOMs), um angemessenes Schutzniveau für den Betroffenen zu gewährleisten, unter Berücksichtigung von: Stand der Technik (State of the Art) Implementierungskosten (angemessen) Zwecke, Art, Umfang und Umstände der Verarbeitung sowie Schwere und Eintrittswahrscheinlichkeit der Risiken für persönliche Rechte und Freiheiten Betroffener Bewertung von Risiken durch zufällige oder unrechtmäßige Vernichtung, Verlust oder Veränderung personenbezogener Daten (pbd). (Risikoanalyse) Bewertung von Risiken unbefugter Weitergabe oder unbefugtem Zugang zu pbd. Seite 6 von 14

7 DATENSCHUTZ DURCH TECHNIK ART. 32 Maßnahmen zur Gewährleistung der Datensicherheit: Teil 2 von 3 Gefordert wird: Frühestmögliche Pseudonymisierung personenbezogener Daten Verschlüsselung (vvgl. Vorgaben des BSI unter dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste ( Businesskontinuität, KonTraG) Sicherzustellen, dass Mitarbeiter und Dienstleister nur im Rahmen der Anweisung handeln Seite 7 von 14

8 DATENSCHUTZ DURCH TECHNIK ART. 32 Maßnahmen zur Gewährleistung der Datensicherheit: Teil 3 von 3 Gefordert wird: Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit der Daten nach einem physischen oder technischen Zwischenfall IT-Notfallhandbuch, INDART Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen TOMs zur Gewährleistung der Datensicherheit ISMS (Information Security Management System), INDART Seite 8 von 14

9 DATENSCHUTZ ALS STANDARD ART. 25 Privacy by default (datenschutzfreundliche Voreinstellungen) Privacy by design (Datenschutz durch Technikgestaltung) Datenminimierung nach dem Umfang der verarbeiteten oder offengelegten Informationen nach der Zahl der Stellen und Personen, denen diese Informationen offenbart werden nach dem Ausmaß der Verfügungsgewalt, die die jeweiligen Stellen und Personen über die Daten erlangen Möglichst schnelle Pseudonymisierung Transparenz in Bezug auf Funktion und Verarbeitung personenbezogener Daten für Betroffene Umsetzung Löschungspflicht (Löschkonzept) Ermöglichen von Nutzungseinschränkung (Sperrung) Sicherheitsfunktionen schaffen und verbessern Erleichterung von Erteilen von Auskünften Unterstützung der Mitteilungspflicht gem. Art. 19 HERAUSFORDERUNG Seite 11 von 14 Allen Empfängern, denen personenbezogenen Daten offengelegt wurden, muss jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mitgeteilt werden.

10 Designe Konzept IT Security Compliance <- Europäische Datenschutz Grundverordnung IWSVA P WEB Proxy IMSVA P Pattern Schutz ca. 70% Zero Day Schutz ca. 30% Internet Mail Proxy IT Sicherheit Datenschutz < 60 < 60 Deep Discovery Inspector Z Deep Discovery Analyzer Z Trend Micro Control Manager LAN Mail Server ScanMail P File Server Server Protect P Client OfficeScan P Tablet Phone Mobile Device P HyperVisor DeepSecurity P MPLS

11 Seite 12 von 14 Fragen?

12 Kontakt Robert F. Krick Systemhaus KRICK GmbH & Co. KG Osterweg 2, Bad Oeynhausen Seite 13 von 14

13 Vielen Dank für Ihre Aufmerksamkeit Seite 14 von 14