Die Identifizierung von Risiken für die Rechte und Freiheiten natürlicher Personen

Ähnliche Dokumente
Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen

KI Impuls Privacy und Datenschutz

Keine Angst vor der Datenschutz- Folgenabschätzung

Neue Meldepflichten bei Datenschutzverstößen

Technischer Datenschutz

Ein neues Instrument aus der DS-GVO

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter


DATENSCHUTZ in der Praxis

Anforderungen des Datenschutzes an die (Technik-)Gestaltung

EU Datenschutz-Grundverordnung. Datenschutz-Folgenabschätzung Privacy Impact Assessment

Datenschutz-Folgenabschätzung

CNIL Modell für die PIA

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Durchführung einer Datenschutz- Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134

Anforderungen an die Dokumentation im Lichte der datenschutzrechtlichen Änderungen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Johannes Landvogt Technologischer Datenschutz / BfDI. 22. Cyber-Sicherheits-Tag 16. Mai 2018 Düsseldorf

Cyber-Security und Cyber-Privacy Ihre Datenschutzrechte im Internet

Datenschutz im Bewerbungsverfahren Möglichkeiten und Grenzen moderner Personalbeschaffung

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Startschuss DSGVO: Was muss ich wissen?

Datenschutzrechtliche Vorgaben bei wissenschaftlichen (Online-) Befragungen MARC OETZEL, LL.M.

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Datenschutz Folgenabschätzung (DSFA)

Das aktuelle Datenschutzrecht: ein Überblick 9. DINI/nestor-Expertenworkshop

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Merkblatt für Schweizer Unternehmen

Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse. III. Risikobewertung Risiko Verarbeitungsgrundsatz

Die Europäische Datenschutz- Grundverordnung. Schulung am

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Datenschutz-Folgenabschätzung

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Soziale Netzwerke. Dr. Andrea Jelinek. 6. Juni2016. zwischen Meinungsfreiheit und Datenklau

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

EU Datenschutzgrundverordnung (DSGVO) Was bedeutet das für mich? (Kurzvortrag) IVD West e.v. Immobilienkongress. Referent: Eric Drissler

Datenschutzgrundverordnung

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Aktuelles EU-Datenschutzrecht

DATENSCHUTZ in der Praxis

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Datenschutzreform 2018

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

IT-Sicherheit im Spannungsfeld

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Datenschutz-Grundverordnung im Automobilbereich

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

Die Safe Harbor Entscheidung des EuGH

IT-Sicherheit und die Datenschutzgrundverordnung

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

Cyber-Sicherheitstag Niedersachsen 2018

Wesentliche Neuerungen im EU- Datenschutzrecht

Neue Kommunikation und Datenschutz (erster Input)

Privacy by design / by default Anforderungskriterien aus Kundensicht

Datenschutz- Folgenabschätzung

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

Forschungsdaten und Datenschutz

Kurzüberblick und Zeitplan

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

Die neue Datenschutzgrundverordnung

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Datenschutz und IT-Sicherheit im Krankenhaus

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

EU- Datenschutzverordnung DSGVO. Seminar SVDS mag. iur. Maria Winkler 09. November 2018

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

DSGVO Die DSGVO kommt am 25. Mai Gut vorbereitet auf die DSGVO

Datenschutz-Richtlinie der SenVital

Betriebliche Organisation des Datenschutzes

12 Systemsicherheitsanalyse

DSGVO FACTSHEET STAND: MAI 2018

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

Das neue Kirchliche Datenschutzgesetz (KDG)

Dokumentationspflichten im neuen Datenschutzrecht

Die Versicherbarkeit der Risiken aus der Datenschutz-Grundverordnung (DS-GVO)

- Wa s i s t j e t z t z u t u n? -

Die GDPR aus der Sicht des Service Providers Und was das Schweizer Recht dazu sagt

Die EU-Datenschutzgrundverordnung

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Datenschutz-Managementsystem - Ein Ansatz zur praktischen & strukturierten Erfüllung der Anforderungen der EU-DSGVO

Transkript:

Die Identifizierung von Risiken für die Rechte und Freiheiten natürlicher Personen Felix Bieker Sommerakademie 10. September 2018

Machtasymmetrie Datenschutz notwendig Wichtig: Perpektive des Individuums Bild: nextvoyage via Pixabay Risiken für Rechte und Freiheiten - SAK 2018 2

I. Rechte und Freiheiten natürlicher Personen Risiken für Rechte und Freiheiten - SAK 2018 3

Art. 8 GRCh: Grundrecht auf Datenschutz Datenschutz ist auf Verfassungsebene verankert Nicht nur Privatsphäre Schützt alle personenbezogenen Daten Verarbeitung von Daten ist Eingriff (Beeinträchtigung) Muss gerechtfertigt sein Eingriff so mild wie möglich Risiken für Rechte und Freiheiten - SAK 2018 4

Weitere relevante Rechte Artikel 7: Recht auf Schutz des Privatlebens (privacy) Artikel 11: Meinungsfreiheit Artikel 12: Versammlungsfreiheit Artikel 21: Nichtdiskriminierung Artikel 47: wirksamer Rechtsbehelf Und weitere, je nach Kontext Auch einfache Rechte umfasst, z.b. Betroffenenrechte Risiken für Rechte und Freiheiten - SAK 2018 5

Datenschutz: weiter als IT-Sicherheit IT-Sicherheit: Die Angreiferin ist Eve (oder Mallory). Datenschutz: Der Angreifer ist Bob! (Zumindest auch.) Risiken für Rechte und Freiheiten - SAK 2018 6

II. Risiko für Rechte und Freiheiten Risiken für Rechte und Freiheiten - SAK 2018 7

Definition Risiko Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Risiken für Rechte und Freiheiten - SAK 2018 8

Definition Risiko Risiko im Sinne der DSGVO hat zwei Dimensionen: 1. die Schwere des Schadens und 2. die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Risiken für Rechte und Freiheiten - SAK 2018 9

Risiko nach DSGVO Risiken für Rechte und Freiheiten - SAK 2018 10

Risiken für Rechte und Freiheiten - SAK 2018 11

Grundrechtseingriff ist Beeinträchtigung Beeinträchtigungen Beeinträchtigung ist nach ErwGr. 75 Schaden, wenn sie nicht gerechtfertigt ist Explizit von Begriff Schadensereignis erfasst Bsp.: Eintrag in Hausverbotsdatei, falsche Einstufung der Kreditwürdigkeit, chilling effects Risiken für Rechte und Freiheiten - SAK 2018 12

Schaden Ergibt sich aus der geplanten Verarbeitung selbst, eigenverantworteten und fremdverursachten Abweichungen (security + safety) Risiken für Rechte und Freiheiten - SAK 2018 13

1. Risikoidentifikation Welche Schäden können entstehen? III. Risikobeurteilung Durch welche Ereignisse können Schäden entstehen? Durch welche Handlungen/Umstände können Ereignisse eintreten (Risikoquellen)? 2. Abschätzung von Eintrittswahrscheinlichkeit Schwere möglicher Schäden 3. Zuordnung zu Risikoabstufungen Risiken für Rechte und Freiheiten - SAK 2018 14

1. Risikoidentifikation III. Risikobeurteilung Welche Schäden können entstehen? Negative Folgen der Verarbeitung selbst (Schäden/Beeinträchtigungen) Negative Folgen von Abweichungen der geplanten Verarbeitung (zb unbefugte Zugriffe, Offenlegung, Vernichtung, unbeabsichtigt/vorsätzlich unbefugt) Beispiele: Diskriminierung Identitätsdiebstahl/Rufschädigung Erschwerung der Rechtsausübung/Kontrolle Profilerstellung Risiken für Rechte und Freiheiten - SAK 2018 15

1. Risikoidentifikation Welche Schäden können entstehen? III. Risikobeurteilung Durch welche Ereignisse können Schäden entstehen? Verletzung der DS-Grundsätze & Betroffenenrechte Unbefugte oder unrechtmäßige Verarbeitung Intransparente Verarbeitung Verweigerung der Betroffenenrechte Verwendung der Daten durch die Verantwortliche zu inkompatiblen Zwecken Risiken für Rechte und Freiheiten - SAK 2018 16

1. Risikoidentifikation Welche Schäden können entstehen? III. Risikobeurteilung Durch welche Ereignisse können Schäden entstehen? Durch welche Handlungen/Umstände können Ereignisse eintreten (Risikoquellen)? Verantwortliche/Auftragsverarbeiter Unbefugte Angreifer ( Cyber- Kriminelle, der Staat) Technische Fehlfunktionen/äußere Einflüsse Risiken für Rechte und Freiheiten - SAK 2018 17

2. Abschätzung III. Risikobeurteilung Nicht quantifizierbar, aber objektive Begründung und Abstufungen Eintrittswahrscheinlichkeit: beschreibt mit welcher Wahrscheinlichkeit ein bestimmtes Ereignis (das selbst auch ein Schaden sein kann) eintritt und mit welcher weiteren Wahrscheinlichkeit es zu Folgeschäden kommen kann. Risiken für Rechte und Freiheiten - SAK 2018 18

Schwere möglicher Schäden Wertungen des Gesetzgebers: III. Risikobeurteilung Schützenswerte Personen/Daten (Kinder, Beschäftigte, Artt. 9, 10 DSGVO) Eindeutig identifizierende Daten, z.b. PKZ Profiling Reversibilität des Schadens und Interventionsmöglichkeiten Systematische Überwachung Anzahl der Personen, Datensätze, Merkmale in Datensatz oder geographische Abdeckung Risiken für Rechte und Freiheiten - SAK 2018 19

3. Zuordnung zu Risikoabstufungen Kategorisierung als Vorschlag Kurven sind Feature: verdeutlicht Grenzfällen Verantwortung für Entscheidung bei Verantwortlicher Muss sachlich begründet/ dokumentiert/prüfbar sein Risiken für Rechte und Freiheiten - SAK 2018 20

V. Eindämmung des Risikos/ Restrisiko Abhilfemaßnahmen der Verantwortlichen, die angemessenes Schutzniveau herstellen + IT-Sicherheit aus Betroffenensicht Restrisiko Nach Umsetzung der Abhilfemaßnahmen verbleibend Verantwortliche muss beurteilen, dokumentieren, testen, überwachen Risiken für Rechte und Freiheiten - SAK 2018 21

VI. Anwendungsfälle Risiken für Rechte und Freiheiten - SAK 2018 22

VI. Anwendungsfälle Risiken für Rechte und Freiheiten - SAK 2018 23

VI. Anwendungsfälle Risiken für Rechte und Freiheiten - SAK 2018 24

VI. Anwendungsfälle Risiken für Rechte und Freiheiten - SAK 2018 25

VI. Anwendungsfälle Risiken für Rechte und Freiheiten - SAK 2018 26

VII. Fazit Risiko nicht für Organisationen, sondern für Individuen Muss durchgängig analysiert werden Risiken müssen identifiziert und beurteilt werden, damit ein angemessenes Schutzniveau für Betroffene erreicht wird Datenschutz-Management-System nach SDM Risiken für Rechte und Freiheiten - SAK 2018 27

Referenzen Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen (2018) https:///artikel/1225-.html Bieker/Hansen/Bremert: Die Risikobeurteilung nach der DSGVO, DuD 8/2018, S. 492 Bieker: Die Risikoanalyse nach dem neuen EU-Datenschutzrecht und dem Standard-Datenschutzmodell, DuD 1/2018, S. 27 Forum Privatheit: White Paper Datenschutz-Folgenabschätzung Ein Werkzeug für einen besseren Datenschutz (3. Auflage 2017) https://www.forum-privatheit.de/forum-privatheitde/publikationen-und-downloads/veroeffentlichungendes-forums.php Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: Das Standard-Datenschutzmodell, V.1.1 Erprobungsfassung (2017) https://www.datenschutz- mv.de/static/ds/dateien/datenschutzmodell/sdm- Methode_V_1_1.pdf Risiken für Rechte und Freiheiten - SAK 2018 28

Vielen Dank für die Aufmerksamkeit! Felix Bieker, LL.M. (Edinburgh) fbieker@datenschutzzentrum.de 0049 431 988 1200 https://

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback