Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut Stellv. Landesbeauftragter / Leiter Bereich Technik
Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement Folie: 2
Lieferanten Geschäftspartner IT-Dienstleister Konzern unternehmen Digitale Unterehmenswerte Call Center Joint Venture Unternehmen Unternehmen Kunden Folie: 3
http://www.golem.de/0903/66215.html Folie: 4
http://www.faz.net/aktuell/wirtschaft/unternehmen/datenpanne-telekom-stellt-strafanzeigegegen-vertriebspartner-1868281.html Folie: 5
http://www.aerzteblatt.de/nachrichten/40040/datenpanne-bei-bbk-gesundheit Folie: 6
Sicherheit der Verarbeitung http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Folie: 7
Sicherheit der Verarbeitung http://www-01.ibm.com/common/ssi/cgibin/ssialias?subtype=wh&infotype=sa&htmlfid=sew03059deen&attach ment=sew03059deen.pdf Folie: 8
25 Mai noch 79 Tage http://www.techconsult.de/it-security/der-security-aufschwunglaesst-auf-sich-warten Folie: 9
Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Wesentliche Elemente Datenschutzmanagement Folie: 10
Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Nicht alles neu macht der Mai! Folie: 11
Gesetzliche Vorgaben für den technisch-organisatorischen Datenschutz heute ab 25. Mai 2018 3a BDSG: Datenvermeidung sind an dem Ziel Datensparsamkeit auszurichten Anonymisierung/Pseudonymisierung 4e/g BDSG Verfahrensverzeichnis 9 BDSG + Anlage: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Datentrennung Art. 5 DS-GVO Grundsätze: Datenminimierung müssen Speicherbegrenzung Rechenschaftspflicht (Dokumentation) Art. 24, 25 DS-GVO Datenschutz durch Technik: Privacy by Design (Gestaltung) Privacy by Default (Voreinstellungen) Art. 30 DS-GVO Verarbeitungsverzeichnis Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Folie: 12
Art. 32 Sicherheit der Verarbeitung Zutrittskontrolle Technisch-organisatorischer Datenschutz Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Verfügbarkeit Eingabekontrolle Vertraulichkeit Auftragskontrolle Integrität Verfügbarkeitskontrolle Datentrennung Datenschutz IT-Sicherheit Auf Maßnahmen und Methoden der IT-Sicherheit kann bei der Sicherheit der Verarbeitung nach der DS-GVO zurückgegriffen werden Folie: 13
Art. 32 Sicherheit der Verarbeitung Art. 5 DS-GVO Grundsätze: Rechenschaftspflicht (Dokumentation) IT-Grundschutz: Verfügbarkeit Vertraulichkeit Integrität Risikoanalyse Sicherheitskonzept Sicherheitsmanagement Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) IT-Grundschutz- Kompendium www.bsi.de Folie: 14
Sicherheit der Verarbeitung Risikoanalyse / Sicherheitskonzept Folie: 15
Art. 25, 32, 35 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Folie: 16
Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Risiko? voraussichtlich Art. 35 DS-GVO Datenschutz-Folgenabschätzung Folie: 17
Kernpunkte WP 248 9 Kriterien für ein voraussichtlich hohes Risiko: Bewertung / Scoring Automatisierte Entscheidungen Systematische Überwachung Sensible Daten (Art. 9, 10 DS-GVO) Umfangreiche Verarbeitung Zahl Betroffener Datenumfang Dauer der Verarbeitung/Speicherung Geografische Reichweite https://www.datenschutz.rlp.de/fileadmin/lfdi/dokumente/wp248rev01_de.pdf Folie: 18
Kernpunkte WP 248 Kriterien für ein voraussichtlich hohes Risiko: Verknüpfung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden Verarbeitung von Daten schutzbedürftiger/abhängiger Personen (z.b. Beschäftigte, Patienten, Alte, Schutzsuchende) Innovative Verarbeitungstechniken (z.b. Gesichtserkennung, -analyse) Hinderung an Rechtsausübung, Nutzung einer Dienstleistung oder Vertragsdurchführung (z.b. Auskunfteien) Bei 2 zutreffenden Kriterien: DSFA Folie: 19
Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Normaler Schutzbedarf Risiko? voraussichtlich Typische Szenarien Typische Gefährdungen Typische Maßnahmen Folie: 20
Beispiel: Folie: 21
Beispiel: Folie: 22
Beispiel: Folie: 23
Beispiel: Folie: 24
Referenztabelle OPS 1.1.4 Schutz vor Schadprogrammen Folie: 25
Folie: 26
Art. 83 Bußgelder bei Defiziten bei der Sicherheit der Verarbeitung Art. 32 Sicherheit der Verarbeitung Folie: 27
Sicherheit der Verarbeitung Verarbeitungsverzeichnis Art. 30 DS-GVO Name/Kontaktdaten des Verantwortlichen Verarbeitungszwecke Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfänger Datenübermittlung in Drittländer Löschfristen Technisch-organisatorische Maßnahmen Folie: 28
Verarbeitungsverzeichnis Art. 30 DS-GVO 29 08.03.2018 Folie: 29
Hinweise zum Verarbeitungsverzeichnis Art. 30 DS-GVO https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/verzeichnisvon-verarbeitungstaetigkeiten/ 30 08.03.2018 Folie: 30
Sicherheit der Verarbeitung Datenschutzmanagement Folie: 31
Art. 32 Datenschutzmanagement Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Maßnahmen zur Sicherheit der Verarbeitung. Folie: 32
Sicherheit der Verarbeitung nach DS-GVO BSI Standard 200-1 IT-Sicherheitsmanagement ISO 27001 Verfahren nach Art 32 (2) Buchst. d) DS-GVO Die Methodik der ISO 27001 kann übernommen werden Folie: 33
Art. 32 Datenschutzmanagement Leitungsvorgaben Vearbeitungsverzeichnis Risikoanalyse Maßnahmen/Dokumentation Verantwortlichkeiten Ressourcen Umsetzung Evaluation/Anpassung Folie: 34
Sicherheit der Verarbeitung Nach der DS-GVO Vier ½ Schritte: Folie: 35
Umsetzung Art. 32 Sicherheit der Verarbeitung BDSG heute Verarbeitungsverzeichnis Was mache ich? Risikoanalyse Sicherheitskonzept Datenschutzmanagement DSFA Was betrifft mich? Welche Maßnahmen treffe ich? Wie organisiere ich das? DS-GVO 25.5.18 Folie: 36
Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement DS-GVO = rechtliche Verpflichtungen. Ja, aber Schutz der digitalen Unternehmenswerte = Ihr Interesse Folie: 37
datenschutz.rlp.de Folie: 38
datenschutz.rlp.de Folie: 39