MK /2017. Die sichere Auftragsverarbeitung nach Maßgabe der EU-DSGVO. Hamburg, 22. Februar 2018.

Transkript

1 MK /2017 Die sichere Auftragsverarbeitung nach Maßgabe der EU-DSGVO. Hamburg, 22. Februar 2018.

2 Darüber möchten wir sprechen. Änderung der Auftragsverarbeitung aus Kundensicht. Änderung der Auftragsverarbeitung aus REISSWOLF-Sicht. Kriterien für eine Risikobewertung. Durchführung einer Risikobewertung am Beispiel der Akten- und Datenvernichtung e.l.sy. das elektronische Schließsystem. Archivierung mit REISSWOLF. Digitalisierung mit REISSWOLF. Digitales Speichern mit REISSWOLF.

3 Änderung der Auftragsverarbeitung aus Kundensicht.

4 Änderung der Auftragsverarbeitung aus Kundensicht / Haftung. Der Grundsatz: Der Verantwortliche haftet, wenn die Verarbeitung von Daten EU-DSGVO-widrig durchgeführt wird. Ausnahmen: Der Verantwortliche wird von der Haftung befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Es gilt sicherzustellen, dass man nur mit Auftragsverarbeitern & Subauftragsverarbeitern zusammenarbeitet, die technische und organisatorische Maßnahmen EU-DSGVO-konform durchführen und dies auch garantieren. Zur Sicherstellung führt der Verantwortliche erforderliche Überprüfungen (Audits) durch und baut gleichzeitig ein Verfahren zur regelmäßigen Kontrolle, Bewertung & Evaluation der Wirksamkeit auf.

5 Änderung der Auftragsverarbeitung aus Kundensicht / Haftung. Weitere Ausnahmen: Der Verantwortliche erteilt erforderliche Anweisungen und stellt die Dokumentation dieser auch schrittweise sicher & dar. Der Verantwortliche hat alle Anweisungen zurückgenommen, zu denen ihm der Auftragsverarbeiter berechtigter Weise mitgeteilt hat, dass sie gegen die Verordnung verstoßen ( EU-DSGVO-widrig sind). Der Verantwortliche stellt sicher, dass der schriftliche Vertrag mit dem Auftragsverarbeiter EU-DSGVO-konform ist. Der Verantwortliche hatte keinerlei Anlass zur der Annahme, dass der Auftragsverarbeiter seinen Pflichten aus dem Vertrag nicht gerecht werden würde.

6 Änderung der Auftragsverarbeitung aus Kundensicht / Haftung. Artikel 82 Haftung und Recht auf Schadensersatz Der Verantwortliche und der Auftragsverarbeiter haften bei der Auftragsverarbeitung beide. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (Art. 82, Abs. 2)

7 Änderung der Auftragsverarbeitung für den Kunden / Sonstiges. Einspruchsrecht gegen die Eingliederung von Subauftragsverarbeitern. Verarbeitungsverzeichnis für die Be- & Verarbeitungen, die seiner Zuständigkeit unterliegen. Überprüfung des Prozesses auch inhouse. Schriftlichkeit kann auch in einem elektronischen Format erfolgen. Pflicht zur Zusammenarbeit mit einer Aufsichtsbehörde, auf deren Anfrage. Verstoß gegen Art. 28 EU-DSGVO ist mit einem Bußgeld in Höhe von 10 Mio. EUR oder 2 % des weltweiten Umsatzes bewehrt.

8 Änderung der Auftragsverarbeitung aus REISSWOLF- Sicht.

9 Änderung der Auftragsverarbeitung aus Sicht des Auftragsverarbeiters/ Haftung. Der Grundsatz: Ein Auftragsverarbeiter haftet für den Schaden, wenn er den auferlegten Pflichten der EU-DSGVO nicht nachkommt oder gegen Anweisungen verstößt. Ausnahmen: Der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Auftragsverarbeiter trifft geeignete technische & organisatorische Maßnahmen gem. Art. 32 EU-DSGVO wie z. B. Verschlüsselung. Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit & Belastbarkeit. Sicherstellung der raschen Wiederherstellbarkeit.

10 Änderung der Auftragsverarbeitung aus Sicht des Auftragsverarbeiters/Haftung. Weitere Ausnahmen: Der Auftragsverarbeiter gewährleistet ein Verfahren zur regelmäßigen Überprüfung, Bewertung & Evaluation der Wirksamkeit. Er stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von Art. 28 EU-DSGVO zur Verfügung & unterstützt dabei die Überprüfungen (einschließlich Audits). Der Auftragsverarbeiter bearbeitet die Daten des Verantwortlichen ausschließlich auf dessen Anweisung & gewährleistet eine lückenlose & nachvollziehbare Dokumentation. Der Auftragsverarbeiter informiert den Verantwortlichen sofort, falls ein Verstoß gegen die EU-DSGVO vorliegt.

11 Änderung der Auftragsverarbeitung aus Sicht des Auftragsverarbeiters/Haftung. Weitere Ausnahmen: Der Auftragsverarbeiter stellt sicher, dass ein schriftlicher Vertrag mit dem Verantwortlichen existiert und dieser EU-DSGVOkonform ist. Der Auftragsverarbeiter nimmt keine Subauftragsverarbeiter ohne vorherige, schriftliche Genehmigung des Verantwortlichen in Anspruch. Der Auftragsverarbeiter legt seinen Subauftragsverarbeitern dieselben Datenschutzpflichten wie im Vertrag mit dem Verantwortlichen auf. Der Auftragsverarbeiter gibt dem Verantwortlichen unverzüglich Meldung, wenn ihm ein Datenschutzverstoß bekannt wird. Der Auftragsverarbeiter gewährleistet, dass sich die Personen, die die personenbezogenen Daten verarbeiten, zur Vertraulichkeit verpflichtet haben.

12 Änderung der Auftragsverarbeitung aus REISSWOLF-Sicht-Haftung. Die Haftung Sind ein Verantwortlicher und ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und kann der Auftragsverarbeiter sich nicht gem. Art. 82 Abs. 3 EU-DSGVO aus der Haftung bringen (exkulpieren), so haften sowohl der Auftragsverarbeiter, als auch der Verantwortliche für den entstandenen Schaden (im Außenverhältnis).

13 Weitere Änderung der Auftragsverarbeitung für den Auftragsverarbeiter. Klagegerecht des Betroffenen gegen einen Auftragsverarbeiter. Verarbeitungsverzeichnis für im Auftrag eines Verantwortlichen durchgeführte Tätigkeiten der Verarbeitung. Umfängliche Haftung für Pflichtverletzungen eines Subauftragsverarbeiters gegenüber dem Verantwortlichen. Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde, auf deren Anfrage. Ein Auftragsverarbeiter, der sich gegen Zwecke & Mittel einer Verarbeitung stellt (und damit gegen die EU-DSGVO verstößt), gilt in Bezug auf dieses Verarbeiten als Verantwortlicher. Verstoß gegen Art. 28 EU-DSGVO ist mit einem Bußgeld bis zur Höhe von 10 Mio. EUR oder 2 % des Konzernjahresumsatzes bewehrt. Datenschutz-Folgenabschätzung

14 Empfehlungen Nehmen Sie alle Auftragsverarbeitungen in Ihrem Unternehmen genau unter die Lupe Erstellen Sie für jede Verarbeitung eine Risikobewertung/-analyse Prüfen Sie interne und externe Prozesse Prüfen Sie Ihre Auftragsverarbeiter Verträge Zertifizierungen Vor-Ort-Audits Verarbeitungsverzeichnisse Welche Unterstützung bietet Ihnen Ihr Auftragsverarbeiter

15 Durchführung einer Risikoanalyse am Beispiel der Akten- und Datenvernichtung Prozessprüfung intern: Wie sind die Entsorgungswege des anfallenden Papiers im Hause? Sind Sicherheitsbehälter für die Aktenvernichtung aufgestellt? Ist das Reinigungspersonal angewiesen, das Papierkorbpapier in Aktenvernichtungsbehälter zu füllen? Ist das Reinigungspersonal auf die Geheimhaltung verpflichtet? Hat Ihnen Ihr Reinigungsunternehmen dies schriftlich bestätigt? Existieren dokumentierte Sicherheitsanweisungen für das Reinigungsunternehmen zum Umgang mit Papierdatenträgern? Gibt es parallel eine Altpapierentsorgung des Papiers aus den Papierkörben oder landet das Papier gar im Gewerbemüll? (Erfahrungsgemäß enthält ca. 80 % des Papiers, das im Altpapier oder Gewerbemüll landet, personenbezogen Daten)

16 Durchführung einer Risikoanalyse am Beispiel der Akten- und Datenvernichtung Prozess intern Überlassen Sie damit Ihren Mitarbeitern die Entscheidung, welches Papier dem Datenschutz unterliegt? Wenn Sicherheitsbehälter aufgestellt sind, welche Schließsysteme sind eingesetzt? Gibt es im Hause für die Behälter unterschiedliche Schließkreise? Welche Personen haben Schlüssel für die Sicherheitsbehälter? Welche Schulungsmaßnahmen erhalten die Mitarbeiter im Datenschutz? Existiert eine aktuelle Datenschutzrichtlinie im Hause und welche Informationen enthält diese?

17 Durchführung einer Risikoanalyse am Beispiel der Akten- und Datenvernichtung Prozess extern durch einen Auftragsverarbeiter Existiert ein Datenschutz-Managementsystem? Existieren DS-GVO-konforme Verträge? Welche Dokumentationen stehen zur Verfügung? Ist der Auftragsverarbeiter ausreichend zertifiziert? Hier gilt es die jeweilige zertifizierte Schutzklasse und Sicherheitsstufe zu beachten Wie ist die Qualität der eingesetzten Sicherheitsbehälter Welche Schließsysteme werden eingesetzt? (Bsp. Schlüssel, Zahlenschloss, elektronisches Schloss) Wie sind die Prozessbeschreibungen des Auftragsverarbeiters? Ist eine geschlossene Sicherheitskette gewährleistet? Werden verplombte Schlüsseltaschen beim Transport eingesetzt?

18 Durchführung einer Risikoanalyse am Beispiel der Akten- und Datenvernichtung Prozess extern durch einen Auftragsverarbeiter Wie erfolgt der Transport? Sind die Fahrzeuge mit GPS und Telematik ausgestattet? Erfolgt die Vernichtung in einem Stand Alone Betrieb? Gibt es redundante Vernichtungsanlagen? Existiert ein Notfallkonzept? Wie ist der Zutritt zur Vernichtungsanlage geregelt? Existieren Sicherheitsschleusen, Videoüberwachung, Einbruchmeldeanlage etc.

19 Kriterien zur Risikobewertung

20 REISSWOLF e.l.sy. das elektronische Schließsystem.

21 REISSWOLF e.l.sy. Einführung / Weiterentwicklung. Bereits seit 2008 setzt REISSWOLF auf elektronische Schließsysteme. Weiterentwicklung zu Anforderungen der EU-DSGVO. Die intelligente Art, Ihre Daten zu schützen!

22 e.l.sy. das elektronische Sicherheitssystem von REISSWOLF. (Stand der Technik) Chipkartengesichertes Schließsystem inkl. Standortüberwachung. Garantiertes Höchstmaß an Sicherheit. Die Chipkarte mit einer eindeutigen Kennnummer öffnet den Behälter bei Verlust der Karte, kann diese jederzeit deaktiviert werden. Ein Alarmsignal verhindert, dass das Schließen des Behälters vergessen wird. Eine automatische Verrieglungsfunktion sorgt dafür, dass der Deckel bei Schließung direkt abgesperrt wird. Vollständige und lückenlose Dokumentation der gesamten Verarbeitung, Behälterverfolgung. Möglichkeit des Eingriffs durch den Auftraggeber (elektronischer Gewahrsam).

23 e.l.sy. Hauptfunktionen. RFID-Karte/Chip statt Metallschlüssel. Individuelle Schließrechte. Behälter-Nachverfolgung. Ereignisprotokollierung. Öffnen und Schließen der Behälter. Auslösung von Alarmen. Nachverfolgbarkeit der Behälternutzung. Erstellung von Berichten und Statistiken. Deckelalarm (wenn nicht verschlossen, einstellbar). Individuell skalierbare Systemerweiterungen. Standortüberwachung mit Alarmfunktion (Akkustisch/SMS/ ).

24 e.l.sy. Vorteile für den Kunden. Automatisierte Buchungsvorgänge und dadurch z.b. Standortauswertung der Behälter in Echtzeit inkl. Inventur. Stark verbesserter interner Datenschutz beim Kunden Besserer Schutz der Daten vor unautorisiertem Zugriff insbesondere im Hinblick auf die EU-DSGVO im Rahmen der Auftragsdatenverarbeitung. Einfachste Handhabung. Volle Kontrolle über den gesamten Prozess durch Behälter-Nachverfolgung und Ereignisprotokollierung. Kein Risiko wegen verlorener Schlüssel. Vorbeugen von Sicherheitslücken durch Deckelalarm, Standortüberwachung und insgesamt auch Sensibilisierung der Nutzer. Berichte, Auswertungen und Statistiken.

25 Archivierung. REISSWOLF archiviert rund 23 Millionen Aktenordner in 4,6 Millionen Kartons.

26 Archivierung. Physische Aktenarchivierung in Hochsicherheitsarchiven mit elektronischen Zugangskontrollen. Videoüberwachung. VDS-Alarm- und Brandmeldesystem. Sektorale Regalsprinklerung. Eigene Archivsoftware RWAS. Übersicht und Organisation des gesamten digital erfassten Aktenbestandes über ein sicheres Web-Portal. SSL-verschlüsselte Anforderung der physischen Akten über RWAS. 24/7 webbasierter Zugriff. Pflege der Archivbestände mit flexiblem Berechtigungskonzept.

27 Digitalisierung. REISSWOLF scannt aktuell über 60 Millionen Belege pro Jahr.

28 Digitalisierung. Transporte erfolgen analog der Dienstleistungen Akten- und Datenvernichtung sowie Archivierung. Auftragsdatenverarbeitung. Datenreduzierung, Datensparsamkeit, Anonymisierung. Übergaben über gesicherte und verschlüsselte Datenleitungen. Idealerweise direkt in gesicherte Archivsysteme. Schnellstmögliche Löschung. Nachfolgende physische Archivierung oder Vernichtung. Vollständige und lückenlose Prozessdokumentation.

29 Digitales Speichern. u. a. mit REISSWOLF-eigenen Produkten.

30 Digitales Speichern. Digitalisierung als Antwort auf die Anforderungen der EU-DSGVO? Digitales Archivieren in geeigneten Systemen. Dokumenten-Management-System (DMS). Reporting. Protokollierte Zugriffe. Berechtigungen. Dokumentversionen. Revisionssicher. Elektronische Geschäftsprozesse (Workflows). Vollständige lückenlose Dokumentation.

31 Danke fürs Zuhören. REISSWOLF International AG Cordula Haak Wendenstraße Hamburg Tel.: +49 (0) Web: reisswolf.com