DATENSCHUTZ in der Praxis

Transkript

1 DATENSCHUTZ in der Praxis EU-DSGVO und Cyber-Security für KMUs 2020

2 Noch 79 Tage vace-sec.at Die Maßnahmen müssen bis zum 25. Mai 2018 bereits umgesetzt sein

3 Datenschutz Grundverordnung EU-DSGVO Für welche Unternehmen ist die Europäische Datenschutz- Grundverordnung gültig? Es gelten grundsätzlich alle Pflichten der EU-DSGVO für alle Unternehmen! Alle Regeln sowie der Haftungsrahmen gelten gleichermaßen für alle Unternehmensgrößen! Die Ausnahme für den Entfall des Verzeichnis der Verarbeitungstätigkeiten bei Unternehmen unter 250 Mitarbeitern gilt nur dann, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich geschieht. vace-sec.at

4 DSGVO im Überblick Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehenden, nationalen Gesetze zu vereinheitlichen auf Grund der Öffnungsklauseln unzureichend Rechtmäßigkeit und Zweckbindung Personenbezogene Daten natürlicher Personen dürfen nur zu definierten Zwecken verarbeitet werden. Dabei ist die Rechtmäßigkeit der Verarbeitung sicherzustellen. Beweislastumkehr Der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen.

5 DSGVO im Überblick Betroffenenrechte Betroffene haben das Recht auf Auskunft, Löschung, Berichtigung, Übertragung, Einschränkung und Widerspruch. Über die Verarbeitungen sind sie proaktiv zu informieren. Verzeichnis der Verarbeitungstätigkeiten Komplett neu ist das Verzeichnis, in welchem alle Verarbeitungsvorgänge dokumentiert werden müssen. Informationssicherheit Sicherheit der Verarbeitung nach dem Stand der Technik betrifft technische und organisatorische Maßnahmen in der Organisation sowie den eingesetzten Produkten. Meldepflicht bei Datenschutzvergehen Innerhalb von 72 Stunden an die Behörde und die Betroffenen.

6 Wann dürfen personenbezogene Daten verarbeitet werden Zweckbindung & Rechtmäßigkeit Vertrag Rechtliche Verpflichtung Lebenswichtiges Interesse Berechtigtes Interesse Einwilligung Öffentliches Interesse Öffentliche Gewalt Relevante Aspekte Freiwilligkeit & Nachweisbarkeit der Einwilligung Kopplungsverbot

7 Verantwortlichkeiten Verantwortlicher Auftragsverarbeiter Betroffener

8 Sanktionen bis 10 Mio. bzw. 2% des weltweiten Vorjahresumsatzes Bei Verletzung technischer und organisatorischer Schutzmaßnahmen Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung bis 20 Mio. bzw. 4% des weltweiten Vorjahresumsatzes Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung Verletzung der Rechte Betroffener Drittlandübermittlung Fehlende Zusammenarbeit mit der Aufsichtsbehörde

9 Datenschutz in der Umsetzung VACE Datenschutz Package IT-Security ~ 40% Technische IT-Security bildet die Grundlage für die Umsetzung Organisation ~ 40% Prozesse, Workflows, Dokumentationen, Nachweise, Recht ~ 20% Juristische Absicherung vace-sec.at

10 Wesentliche Aufgaben Verzeichnis der Verarbeitungstätigkeiten Betroffenenrechte Technische und Organisatorische Maßnahmen (TOMs) Datenschutzbeauftragter & Data-Breach vace-sec.at

11 Verzeichnis der Verarbeitungstätigkeiten Verzeichnis der Verarbeitungstätigkeiten Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten: Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personen und Daten Kategorien der Empfänger Übermittlung personenbezogener Daten in ein Drittland Fristen für die Löschung der Daten Beschreibung der getroffenen technischen und organisatorischen Maßnahmen Erhebung der Geschäftsprozesse Zusammenfassung nach Kategorien Ermittlung der Empfänger Identifikation der Löschfristen Definition der TOMs vace-sec.at

12 Betroffenenrechte Rechte der betroffenen Personen Notwendigkeit zur Planung für die Abarbeitung Auskunft Korrektur Identifikation Personenbezogene Daten im Unternehmen erheben Verarbeitungsvorgänge identifizieren Planung Ablauf der Betroffenenrechte und Verantwortlichkeiten planen Umsetzung der Maßnahmen und Information an Mitarbeiter Test Durchführung eines Plan-Spiels Betroffenenrecht Übertragung Löschung Einschränkung Widerruf vace-sec.at

13 Technische und Organisatorische Maßnahmen Berechtigungsschema & Passwortkomplexität Verfügbarkeit, Integrität & Vertraulichkeit Privacy by Design & Privacy by Default Dokumentation vace-sec.at

14 Beispielangriff auf das WLAN Offene WLANs können verhängnisvoll sein Beschreibung WLAN-Clients (Smartphones, Tablets, PCs, Steuerungen, IoT ) senden ständig Probe-Requests. * mit Einschränkungen Kosten für den Angreifer ab ca. 100 USD

15 Beispielangriff auf das WLAN Ist das WLAN Suedbahn hier? Ja, das WLAN Suedbahn ist hier. Offene WLANs können verhängnisvoll sein Beschreibung WLAN-Clients (Smartphones, Tablets, PCs, Steuerungen, IoT ) senden ständig Probe-Requests. * mit Einschränkungen Kosten für den Angreifer ab ca. 100 USD

16 Beispiel zum Umgang mit Passwörtern Datenlecks werden zum Geschäftsmodell Zahlreiche Benutzerinformationen wurden in den letzten Jahren durch Hacker und Kriminelle entwendet. Darunter sind soziale Netzwerke wie LinkedIn, VK, MySpace, Tumblr oder aber auch Webseiten wie Ashley Madison. Im Juli 2015 wurden von Ashley Madison mehr als 30 Millionen eindeutige -Adressen entwendet. Ashley Madison war eine Webseite für Seitensprünge. Quelle:

17 Internet-verbundene Steuerungskomponenten Shodan ist eine Computersuchmaschine von John Matherly. Beschreibung Die 2009 veröffentlichte Plattform durchsucht das Internet und stellt die Informationen in einer einfachen, und übersichtlichen Art dar. Neben grafischen Auswertungen, und einfachen Suchabfragen, gibt es auch Programmierschnittstellen. Zweck Steigerung des Problembewusstseins Website

18 Quelle: Saman Vosoghi, Dark Net

19 Wesentliche Aufgaben Verzeichnis der Verarbeitungstätigkeiten Betroffenenrechte Technische und Organisatorische Maßnahmen (TOMs) Datenschutzbeauftragter & Data-Breach vace-sec.at

20 Datenschutzbeauftragte Muss ich einen Datenschutzbeauftragten benennen? Prüfung der Notwendigkeit Intern oder Extern Überprüfung der Qualifikation Benennung und Bereitstellung von Ressourcen Veröffentlichung und Meldung Im ersten Schritt wird evaluiert, ob Sie Datenschutzbeauftragte benötigen. Dazu gibt es drei mögliche Gründe. Sie können den Datenschutzbeauftragten aus den eigenen Mitarbeitern auswählen oder extern vergeben. Achten Sie auf die Rechte des Beauftragten und mögliche Interessenskonflikte. Stellen Sie sicher, dass die beauftragte Person auch über die notwendige Qualifikation verfügt und lassen Sie sich diese ggf. schriftlich nachweisen. Dokumentieren Sie die Benennung in Form eines Vertrages (im externen Fall) oder einer schriftlichen Dienstanweisung bzw. Ernennung (im internen Fall). Veröffentlichen Sie die Kontaktdaten Ihres DSB und melden Sie diese zudem an die Datenschutzbehörde. VACE Security member of the VACE Group

21 Sicherheitsvorfall mit personenbezogenen Daten Bearbeitung eines Data-Breach Die Analyse des Vorfalls liefert Maßnahmen, die zur Eindämmung des Risikos sowie zur Steigerung der zukünftigen Sicherheit der Daten getroffen werden sollten. Die Erkennung eines Sicherheitsvorfalls, in den personenbezogene Daten involviert sind, ist der Ausgangspunkt für die Zeitdauer bis zur notwendigen Meldung. Erkennen Ermitteln Melden vace-sec.at Eine Verletzung des Datenschutzes ist an die Behörde zu melden. Bei einem hohen Risiko für die Rechte und Freiheiten der Betroffenen, sind diese ebenfalls zu informieren.

22 Auftragsverarbeiter Beschäftigung von Dienstleistern im Zuge der Verarbeitung personenbezogener Daten Identifikation Identifizieren Sie Ihre Auftragsverarbeiter Als Basis dienen die Verarbeitungsvorgänge und eine Liste von Lieferanten Vertragliche Regelung Ablauf der Betroffenenrechte und Verantwortlichkeiten planen Umsetzung der Maßnahmen und Information an Mitarbeiter Software-Hersteller sind auch von der DSGVO betroffen. vace-sec.at

23 Datenschutz-Folgeabschätzung Risikoabschätzung von Verarbeitungsvorgängen Hat eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Art der Verarbeitung Umfang der Verarbeitung Zweck der Verarbeitung Neue Technologien Umfangreiche Verarbeitung von Artikel 9 oder 10 Daten Profiling Systematische und umfangreiche Überwachung öffentlicher Bereiche Identifikation relevanter Verarbeitungsvorgänge Check der weißen und schwarzen Liste Erarbeitung eines Schemas Bewertung der Notwendigkeit und Risiken Dokumentation von Maßnahmen vace-sec.at

24 Weitere Maßnahmen & Tipps vace-sec.at BEZEICHNUNG Schulung & Sensibilisierung Datenübermittlungen Dokumentation Transparenz Zweckbindung Hinweispflichten Prüfung der Wirksamkeit ERKLÄRUNG Die mit der Verarbeitung personenbezogener Daten betrauten Mitarbeiter sollten regelmäßig hinsichtlich derer Pflichten und Verantwortung geschult werden. Identifizieren Sie Verarbeitungsvorgänge, im Zuge derer personenbezogene Daten an Organisationen in Drittländern übermittelt werden. Prüfen Sie die Rechtsgrundlage der Übermittlung gesondert. Dokumentieren Sie alle Tätigkeiten im Zusammenhang mit personenbezogenen Daten, um den Nachweispflichten der EU-DSGVO nachkommen zu können. Führen Sie die Verarbeitung personenbezogener Daten in transparenter Art und Weise durch. Gleiches gilt auch für die Informationspflichten und Zweckbindungen. Stellen Sie sicher, dass die Verarbeitungsvorgänge in Ihrer Organisation immer auf Basis eines rechtmäßigen Zweckes durchgeführt werden und achten Sie auf Koppelungen. Erfüllen Sie Ihre Hinweispflichten und veröffentlichen Sie die Betroffenenrechte auf der Webseite. Integrieren Sie diese zudem in Ihre Vereinbarungen mit natürlichen Personen. Stellen Sie durch laufende Prüfungen sicher, dass Ihre Datenschutzmaßnahmen sinnund wirkungsvoll sind. Eventuelle Verbesserungen oder Erweiterungen sollten umgesetzt werden.

25 Das Angebot an Dienstleistern für Human Resources, Engineering, Training und Education, Netzwerk- und IT-Security ist groß, wir vereinen all diese Kompetenzen zum einzigartigen Nutzen für Sie! VACE Security member of the VACE Group