Vorgaben der Europäischen Datenschutzgrundverordnung zur Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis IHK Trier, 7. 11.2016 H. Eiermann Folie 1
Agenda Sicherheit der Verarbeitung / Technikregelungen Datenschutzfolgeabschätzung (Vorabkontrolle) Verfahrensverzeichnis 2 H. Eiermann Folie 2
IT-Entwicklung Der Wandel Location Based Services Ubiquitous Computing Smart Dust RFID, VR, Cloud Computing mobile Datenverarbeitung + Internet Individuelle Datenverarbeitung mobile Datenverarbeitung Individuelle Datenverarbeitung + Internet H. Eiermann Folie 3
IT-Entwicklung 9 BDSG (Anlage) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zweckbindungskontrolle mobile Datenverarbeitung Individuelle Datenverarbeitung + Internet Cloud Computing mobile Datenverarbeitung + Internet Individuelle Datenverarbeitung 70er Jahre H. Eiermann Folie 4
9 BDSG (Anlage) Zutrittskontrolle? Zugangskontrolle Zugriffskontrolle? Weitergabekontrolle Eingabekontrolle? Auftragskontrolle? Verfügbarkeitskontrolle Zweckbindungskontrolle mobile Datenverarbeitung Cloud Computing 5 H. Eiermann Folie 5
Datenschutz technisch-organisatorische Maßnahmen IT-Sicherheit H. Eiermann Folie 6
Systematik der IT-Sicherheit / IT-Grundschutz Grundbedrohungen Verfügbarkeit Vertraulichkeit Integrität H. Eiermann Folie 7
* Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert (18.3.2010) H. Eiermann Folie 8
Technikregelungen der Datenschutzgesetze Kontrollarten Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle zweckbezogene Verarbeitung technikoffene Schutzziele * Verfügbarkeit Integrität Vertraulichkeit Transparenz Authentizität Revisionsfähigkeit Nichtverkettbarkeit Intervenierbarkeit Systemdatenschutz Audit / Zertifizierung Selbstdatenschutz * Eckpunkte der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Ein modernes Datenschutzrecht für das 21. Jahrhundert (18.3.2010) H. Eiermann Folie 9
Das Standard-Datenschutzmodell http://www.datenschutz.rlp.de/downloads/mat/sdm-handbuch_v09a.pdf 10 H. Eiermann Folie 10
Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 18
Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 19
Schutzbedarfskategorien nach dem Standard-Datenschutzmodell* * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 32 H. Eiermann Folie 20
Zuordnung Gesetzliche Anforderungen / Schutzziele * * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 20 H. Eiermann Folie 21
Zuordnung Gesetzliche Anforderungen / Schutzziele * * Handbuch Standard-Datenschutzmodell V 0.9a, Seite 20 H. Eiermann Folie 22
H. Eiermann Folie 23
EU Datenschutz-Grundverordnung Artikel 32 Sicherheit der Verarbeitung 24 H. Eiermann Folie 24
Die Datenschutz-Grundverordnung risk based approach 25 http://www.consilium.europa.eu/de/policies/data-protection-reform/data-protection-regulation-infographics/ H. Eiermann Folie 25
EU Datenschutz-Grundverordnung - Instrumentarium Sicherheitsmaßnahmen Verhaltensregeln Datenschutzfolgeabschätzung Zertifizierung Datenschutzsiegel und -prüfzeichen H. Eiermann Folie 26
EU DSGVO Erwägungsgrund 78 H. Eiermann Folie 27
EU DSGVO Erwägungsgrund 83?! H. Eiermann Folie 28
EU DSGVO Erwägungsgrund 84 H. Eiermann Folie 29
EU DSGVO Art. 25 Datenschutz durch Technik & Voreinstellung Risikoadäquanz H. Eiermann Folie 30
EU DSGVO Art. 25 Datenschutz durch Technik & Voreinstellung H. Eiermann Folie 31
EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoadäquanz Angemessene TOM 32 H. Eiermann Folie 32
EU DSGVO Art. 32 Sicherheit der Verarbeitung Vertraulichkeit Integrität Verfügbarkeit Sicherheitsmanagement 33 H. Eiermann Folie 33
EU DSGVO Art. 32 Sicherheit der Verarbeitung Risikoanalyse und -bewertung H. Eiermann Folie 34
EU DSGVO Art. 32 Sicherheit der Verarbeitung Nr. 4 Anlage 9 BDSG [ ] zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), H. Eiermann Folie 35
EU DSGVO Art. 32 Sicherheit der Verarbeitung Codes of Conduct (Selbstverpflichtung) 36 H. Eiermann Folie 36
EU DSGVO Art. 40 - Verhaltensregeln Datenschutzausschuss = ehem. Art. 29-Gruppe 37 H. Eiermann Folie 37
EU DSGVO Art. 42 Zertifizierung Zertifizierungsverfahren Gütesiegel / Zertifikate 38 H. Eiermann Folie 38
Erwägungsgrund (166) Art. 42 Abs. 8 EU DSGVO 39 H. Eiermann Folie 39
EU DSGVO Art. 30 Konkretisierung EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände Zertifizierungen EU-Kommission (delegierte Rechtsakte) 40 H. Eiermann Folie 40
EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: BSI: BSI Standards 100-1 bis 4 ISO / IEC 15408 41 H. Eiermann Folie 41
EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände 42 z.b.: ENISA: Leitlinien für Sicherheitsmaßnahmen Zu Art. 4/13 der e-privacy-richtlinie (2992/58/EC) EuroPrise: Sichereheitsmaßnahmen nach dem Europäischen Datenschutzsiegel 2013/0027 (COD): Entwurf EU-Richtlinie zur Netzwer- Informationssicherheit H. Eiermann Folie 42
EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: DSB-Konferenez (D) CNIL (F) [ ] Standard Datenschutzmodell Good Practice Catalogue [ ] 43 Art. 29-Gruppe H. Eiermann Folie 43
EU-Mitgliedsstaaten EU-Kommission Codes of Conduct EU-Datenschutzausschuss Aufsichtsbehörden Verbände z.b.: Datenschutzstandard DS-BvD-GDD-01 CoC Versicherungswirtschaft [ ] 44 H. Eiermann Folie 44
Zertifizierungen EU-Kommission (delegierte Rechtsakte) 45 H. Eiermann Folie 45
EU DSGVO Datenschutzund IT-Sicherheits- Verfügbarkeit Maßnahmen Integrität Vertraulichkeit Authentizität??? Revisionsfähigkeit Systemdatenschutz Audit / Zertifizierung 46 H. Eiermann Folie 46
BDSG / LDSG Rechtsanpassung: BDSG-Neu? LDSG-Neu? DS-Regelungen in SpezialG neu? Mai 2016 Verabschiedung EU DSGVO 25. Mai 2018 Technische Datenschutzvorgaben: In-Kraft-Treten EU DSGVO Codes of Conduct? Best Practice? Audit/Zertifizierung? H. Eiermann Folie 47
Neu! Bußgeld. H. Eiermann Folie 48
Derzeitige Situation 38 Abs. 5 BDSG Schwerwiegender techn.-org. Mangel Anordnungsverfahren Zwangsgeldandrohung Zwangsgeldverhängung Bußgeld H. Eiermann Folie 49
EU DSGVO Art. 30 Technisch-organisatorisch Maßnahmen 51 H. Eiermann Folie 51
Agenda Datenschutzfolgeabschätzung 52 H. Eiermann Folie 52
EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen - oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. H. Eiermann Folie 53
Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Daten Tragweite (z.b. Automatisierte Einzelentscheidung, (neue) Technologie Art. 20 Vorabkontrolle Verarbeitungen mit spezifischen Risiken Prüfung vor Aufnahme des Verfahrens H. Eiermann Folie 54
Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Daten Tragweite (z.b. Automatisierte Einzelentscheidung, (neue) Technologie Artikel Art. 20 20 Vorabkontrolle Verarbeitungen mit spezifischen Risiken (1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Prüfung Rechte und vor Freiheiten Aufnahme der des Personen Verfahrens beinhalten können, und tragen dafür Sorge, daß diese Verarbeitungen vor ihrem Beginn geprüft werden. (2) Solche Vorabprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muß. H. Eiermann Folie 55
Hintergrund EU Datenschutzrichtlinie 95/46 Erwägungsgrund (53) Art der Verarbeitung (vgl. 29a, 29b DSG NRW) Tragweite (z.b. Automatisierte Einzelentscheidung, Art. 20 Vorabkontrolle Verarbeitungen mit spezifischen Risiken Prüfung vor Aufnahme des Verfahrens Umsetzung in nationales Recht BDSG 4 d Abs. 5 BDSG LDSGe 9 Abs. 5 LDSG i.v.m. 3 Abs. 9 LDSG H. Eiermann Folie 56
Prüfungsgesichtspunkte der Vorabkontrolle inhaltliche / rechtliche Anforderungen formale Anforderungen technisch-organisatorische Anforderungen H. Eiermann Folie 57
Kriterien - Inhaltliche Anforderungen Zulässigkeit (Rechtsgrundlage/Einwilligung) Grundsätze der Datensparsamkeit und Datenvermeidung 5 Abs. 1-3 LDSG 1 Abs. 3 LDSG Datenumfang Personenbezug / Pseudonymisierung Voraussetzungen für die Verarbeitung besonderer personenbezogener Daten Wahrung/Gewährleistung der Rechte der Betroffenen 5 Abs. 4 LDSG 6 Abs. 1 LDSG Beteiligung, Auskunft, Sperrung H. Eiermann Folie 58
Kriterien - Inhaltliche Anforderungen Auftragsdatenverarbeitung 4 LDSG schriftlicher Auftrag Gewährleistung Sicherheitsmaßnahmen Wahrnehmung der Kontrollpflichten Verpflichtung ggf. Unterrichtung/Genehmigung der Aufsichtsbbehörde Berücksichtigung besonderer Berufs- und Amtsgeheimnisse Löschung 19 Abs. 2 LDSG Erforderlichkeit Fristen H. Eiermann Folie 59
Kriterien - Formale Anforderungen Verfahrensverzeichnis Anhörung des LfD Zulassungen soweit erforderlich Information / Unterrichtung des Betroffenen Dienstanweisung Verpflichtung 10 Abs. 2 LDSG 7 Abs. 3 LDSG 7 Abs. 3 und 5 LDSG 5 Abs. 5 Nr. 2 LDSG 9 Abs. 6 LDSG 8 Abs. 2 LDSG H. Eiermann Folie 60
Prüfungsgesichtspunkte der Vorabkontrolle Automatisierte Einzelentscheidung ( 5 Abs. 5 LDSG) https://www.datenschutz.rlp.de/downloads/mat/checkliste_ vorabkontrolle.rtf H. Eiermann Folie 61
Kriterien - Technisch-organisatorische Anforderungen Technisch-organisatorische Maßnahmen 9 Abs. 2 LDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Zweckbindungskontrolle Dokumentationskontrolle Verarbeitungskontrolle Kernbereiche Benutzerverwaltung Berechtigungskonzept Dokumentation Protokollierung Löschung H. Eiermann Folie 62
Kriterien - Technisch-organisatorische IT-Grundschutzkataloge Anforderungen Baustein 1.5 Datenschutz H. Eiermann Folie 63
Baustein Datenschutz - Maßnahmenkatalog H. Eiermann Folie 64
EU DSGVO Erwägungsgrund 84 H. Eiermann Folie 65
Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 66
Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 67
Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 68
Art 35 EU DSGVO - Datenschutzfolgeabschätzung H. Eiermann Folie 69
Neu! Bußgeld. H. Eiermann Folie 70
EU DSGVO Art. 30 Datenschutzfolgeabschätzung 71 H. Eiermann Folie 71
Agenda Verfahrensverzeichnis 72 H. Eiermann Folie 72
EU DSGVO Erwägungsgrund 82 H. Eiermann Folie 73
Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 74
Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 75
Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 76
Art. 30 EU DSGVO Verfahrensverzeichnis H. Eiermann Folie 77
EU DSGVO Erwägungsgrund (89) H. Eiermann Folie 78
Neu! Bußgeld. H. Eiermann Folie 79
EU DSGVO Art. 30 Verfahrensverzeichnis 80 H. Eiermann Folie 80
Vielen Dank! 81 H. Eiermann Folie 81
www.datenschutz.rlp.de poststelle@datenschutz.rlp.de Helmut Eiermann Gruppenleiter Technik Hintere Bleiche 34 55116 Mainz Tel (06131) 208 2226 Fax (06131) 208 2497 h.eiermann@datenschutz.rlp.de H. Eiermann Folie 82