Datenschutz-Folgenabschätzung Ein neues Instruments aus der DS-GVO Dr. Michael Friedewald, Fraunhofer ISI Trivadis Schwarzwaldgipfel 30. März 2017, Novotel, Freiburg
Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 2
Ursprung und Ziel von Technikfolgenabschätzungen Bei Langzeitrisiken Über den gesamten Lebenszyklus Auch für Risiken im Katastrophenfall Ziel: Aufdeckung versteckter Risiken Aber IT ist doch nicht mit Kernkraft zu vergleichen! TA informiert Gesellschaft und Politik TA soll zu zu Maßnahmen führen 3
Eine TA für den Datenschutz? Technik als Bedrohung?! 4
Datenschutz IT-Sicherheit Datenschutz beobachtet, beurteilt und bearbeitet die organisierte Informationsverarbeitung und Kommunikation in der asymmetrischen Machtbeziehung zwischen Organisationen und Personen. IT-Sicherheit: Jede Person kann ein Angreifer (auf die Organisation) sein. Datenschutz: Jede Organisation kann ein Angreifer sein Alice & Bob 5
Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 6
Ganz kurz: Datenschutz-Grundverordnung Verkündet am 04. Mai 2016 Ab Mai 2018 anwendbar, lo st die Datenschutz-Richtlinie von 1995 ab Datenschutz-Richtlinie war Grundlage fu r die meisten Vorschriften in BDSG/LDSG Datenschutz-Grundverordnung gilt direkt, wird nur vereinzelt von BDSG/LDSG erga nzt Datenschutz-Folgenabschätzung (Art 35): Pflichten des Verantwortlichen Sanktionen bei Verstößen (10 Mio. EUR, 2 % Welt-Jahresumsatz) Amtsblatt der Europäischen Union Ausgabe in deutscher Sprache Inhalt I Rechtsvorschriften Gesetzgebungsakte VERORDNUNGEN Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ( 1 ) 1 RICHTLINIEN L 119 59. Jahrgang 4. Mai 2016 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates... 89 Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität... 132 Eigentlich müssten zum Stichtag DSFAen vorliegen. DE ( 1 ) Text von Bedeutung für den EWR Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben. Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte. 7
Begriff Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzung Nicht: Folgen durch Datenschutz Sondern: Abschätzung von Folgen für Datenschutz Eigentlich nicht nur Technikfolgen Instrument, um in Verfahren oder Systemen die Risiken für Datenschutz und Privatheit von Individuen zu erkennen und zu bewerten Basis für Gegenmaßnahmen à Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 8
Art. 35 Abs. 2 Verantwortlichkeit Der Verantwortliche führt durch Der DSB berät (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. Art 36 Abs. 1: Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Empfehlungen Auch Verbot möglich 9
Art.35, Abs. 7 Elemente einer DSFA Beschreibung (7) Die Folgenabschaẗzung entha lt zumindest Folgendes: Bewertung a) eine systematische Beschreibung der geplanten Verarbeitungsvorga nge und der Zwecke der Verarbeitung b) eine Bewertung der Notwendigkeit und Verha ltnisma ßigkeit der Verarbeitungsvorga nge in Bezug auf den Zweck; c) eine Bewertung der Risiken fu r die Rechte und Freiheiten der betroffenen Personen gema ß Absatz 1 und d) die zur Bewa ltigung der Risiken geplanten Abhilfemaßnahmen, Maßnahmen + Dokumentation 10
Praktische Anforderungen Reproduzierbar- und Überprüfbarkeit: Für Dritte Bürger wie Aufsichtsbehörden wird es möglich, zu kontrollieren, ob rechtliche Vorgaben eingehalten werden. à Zielgruppe: Öffentlichkeit, Aufsichtsbehörden Vergleichbarkeit: Kunden und Bürger können an Hand standardisierter DSFA Lösungen untereinander vergleichen. Für Anbieter können Wettbewerbsvorteile entstehen. à Zielgruppe: Öffentlichkeit, Kunden Effizienz: Standardisiertes, technologieneutrales Verfahren verringert den Aufwand zusätzlicher DSFAen (Lerneffekte) und steigert so die Akzeptanz à Zielgruppe: Verantwortliche
1. Vorbereitungsphase Prüfung Relevanzschwelle Prüfplanung, u.a. Teambildung Beschreibung des Prüfgegenstandes Identifikation der Akteure und Betroffenen Identifikation der maßgeblichen Rechtsgrundlagen 5. Fortschreibung und Überprüfung im Rahmen des Risiko- und Datenschutz- Managements 4. Berichtsphase DSFA- Prozess 2. Bewertungsphase Konsultation von Betroffenen Identifikation von Schutzzielen Identifikation möglicher Risikoquellen Bestimmung von Eingriffsintensität und Schutzbedarf Bewertung des Risikos Erstellung des DSFA-Berichts Veröffentlichung des Berichts bzw. einer Kurzfassung (Unabhängige Überprüfung der DSFA- Ergebnisse) 3. Maßnahmenphase Identifikation und Auswahl passender Schutzmaßnahmen Implementierung von Schutzmaßnahmen Test und Dokumentation der Wirksamkeit von Schutzmaßnahmen Dokumentation der Bewertungsergebnisse inkl. Restrisiken Nachweis der Einhaltung der DS-GVO insgesamt
1. Vorbereitungsphase 13
Art. 35 Abs. 1 Relevanzschwelle (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Bei voraussichtlich hohem Risiko Verfahren nicht genau vorgegeben 14
Art. 35 Abs. 3 Relevanzschwelle (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Bei invasiver Datenverarbeitung 15
Art. 35 Abs. 4-5 Relevanzschwelle Bsp.: Sensorik, Scoring, Biometrie, Verarbeitung sensibler Daten (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. Ausschluss-Liste m.e. nicht sinnvoll 16
Art. 35 Abs. 7 Beschreibung des ToE (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; Prüfgegenstand und Akteure Daten, Formate, Protokolle IT-Systeme und Schnittstellen Prozesse Funktionsrollen Schon heute (BDSG): Verpflichtung zur Führung eines Verfahrensverzeichnis 17
2. Bewertungsphase 18
Risikobewertung Art. 35 Abs. 7: Die Folgenabschätzung enthält zumindest Folgendes: a) b) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und Erwägungsgrund 76: Eintrittswahrscheinlichkeit und Schwere des Risikos fu r die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umsta nde und die Zwecke der Verarbeitung bestimmt werden. 19
Bewertung des Risikos Risiko ist ein möglicher Schaden in der Zukunft Bewertung konkreter Verarbeitungsvorgänge (z.b. Online-Shop, digitale Patientenakte, Bewerbungsverfahren,...) Risiko für die Rechte der Betroffenen Risiko für die verarbeitende Stelle Eintrittswahrscheinlichkeit und Schwere: Relation von Angriffsszenarien und Schutzbedarf DSGVO nennt Beispiele für Schäden in Erwa gungsgrund 75: Diskriminierung, Identitaẗsdiebstahl oder -betrug, finanzieller Verlust, Rufscha digung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile 20
Risikoquellen Aus Betroffenenperspektive ist rechtma ßige Datenverarbeitung bereits Eingriff Risikoquellen liegen innerhalb und außerhalb der Organisation Organisation selbst Unternehmen, z.b. Dienstleister Staatliche Stellen, z.b. Sicherheitsbeho rden, Leistungsverwaltung Gesundheitsdienstleister Forschungsstellen Risiken sind Vernichtung, Verlust, Veränderung von Daten Offenlegung von oder Zugang zu Daten unbeabsichtig unrechtmäßig unbefugt 21
Das Standard-Datenschutzmodell Datenschutzrechtliche Anforderungen Þ 6 Gewährleistungsziele (neues Schutzziel Belastbarkeit, resilience?) 3 Verfahrenskomponenten: Daten, IT-Systeme und Prozesse 3 Schutzbedarfsabstufungen der Daten aus Betroffenenperspektive Katalog mit standardisierten Referenz-Schutzmaßnahmen Work in progress (Aktuell V.1.0 Erprobungsfassung ) Datenschutz-Folgenabschätzung 22
Sechs Gewährleistungsziele Vertraulichkeit Nicht-Verkettbarkeit Klassische Schutzziele der IT-Sicherheit + Datensparsamkeit Integrität Intervenierbarkeit Transparenz Verfügbarkeit Quelle: Pfitzmann, Rost, Hansen, Bock: verschiedene DuD Artikel Datenschutz-Folgenabschätzung 23
Drei Schutzbedarfsabstufungen Normal : personenbezogene Daten Hoch : besondere personenbezogene Daten und/oder erhebliche Konsequenzen für betroffene Personen möglich und/oder keine effektiven Interventionsmöglichkeiten Sehr hoch : hoch plus existenzielle Abhängigkeit der betroffenen Personen und keine Transparenz für sie Außerdem Kumulierungseffekte 24
Bewertung von Risiken Modellierung von Bedrohungen durch die Verknüpfung von Risiko-Quelle und Schadensszenarien Möglicher Schaden Diskriminierung durch fahrlässige Offenbarung interner Daten Identitätsdiebstahl im Online-Shop Finanzieller Verlust durch Malware Risiko- Quelle Eintrittswahrscheinlichkeit (Bsp) Schadenshöhe (Bsp) Risiko Mitarbeiter Vernachlässigbar Vernachlässigbar Normal Dienstleister wesentlich vernachlässigbar hoch Hacker hoch wesentlich sehr hoch Interner Admin wesentlich wesentlich hoch Hacker wesentlich begrenzt hoch Schwierig! 25
Risikobewertung Soll-Ist-Vergleich anhand von Referenz- Maßnahmen des Standard- Datenschutzmodells 26
Auswahl geeigneter Maßnahmen Referenzmaßnahmen Katalog der Referenzmaßnahmen muss die besten verfügbaren Techniken enthalten
3. Maßnahmenphase 28
Art. 35 Abs. 7 Maßnahmenphase (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) (c) (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Maßnahmen 29
Auswahl geeigneter Maßnahmen Referenzmaßnahmen Katalog der Referenzmaßnahmen muss die besten verfügbaren Techniken enthalten
4. Berichtsphase 31
Art. 35 Abs. 7 Berichtsphase (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) (c) (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Verarbeitung nur mit Dokumentation...... aber keine Vorgaben zur Art der Dokumentation, Veröffentlichung oder Überprüfung 32
Veröffentlichung? Prüfung? Veröffentlichung der DSFA Ergebnisse dennoch sinnvoll! Dokumentation des Prüfprozess Darstellung der Prüfergebnisse in standardisierter Form Darstellung geplanter Maßnahmen (inkl. Zuständigkeit, Zeitplan, Ressourcen) Ggf. öffentlicher und nicht-öffentlicher Teil Veröffentlichung und/oder Hinterlegung bei einer Aufsichtsbehörde DSFA sollten i.d.r. durch unabhängige Dritte geprüft werden Angemessener Umgang mit Interessenkonflikten Umfassende Berücksichtigung der Interessen der Betroffenen Wahrheitsgemäße und ausreichende Information der Öffentlichkeit Implementierung der Schutzmaßnahmen è Grundlage für Zertifizierung/Datenschutzgütesiegel nach Art. 42 33
5. Fortschreibung/Überprüfung 34
Art. 35 Abs. 11 Berichtsphase = immer? (11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. Erneuter Durchlauf des DSFA-Zyklus 35
Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 36
Fazit Chancen Risikobewusstsein schärfen Informierte Debatten und Frühwarnsystem (für Unternehmen, Öffentlichkeit, Politik) Hilft Entscheider ungewollte Datenschutzrisiken zu erkennen àumfassende Datenschutzvorsorge Offen DSFA als Standard oder Ausnahme? Welche Verfahren nach DS-GVO anerkannt? Vergleichbarkeit? Gelebte Praxis (Kostenfaktor vs. Wettbewerbsvorteil? DSFA light?)
Empfehlungen Datenschutz-Folgenabschätzungen weiterentwickeln nicht nur Technik Auch Business-Modell- und Normen-Check Als Chance begreifen Grundlage für Data Protection by Design Kombination mit Datenschutz-Gütesiegel Standardisierung
Lesetipp Online unter: https://www.forum-privatheit.de Rückfragen an: michael.friedewald@isi.fraunhofer.de Twitter: @mfriedewald / @ForumPrivatheit 39