Upload
vodan
View
222
Download
0
Embed Size (px)
Citation preview
BVD Verbandstage 2019– Andreas Sachs
Die Datenschutz-Folgenabschätzung
Durchführung und Eindämmung der Risiken für die Rechte und Freiheiten der
betroffenen Personen
Bayerisches Landesamt für
Datenschutzaufsicht
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Kurzvorstellung
Andreas Sachs
ist Informatiker, Leiter des Referats „Cybersicherheit & Technischer Datenschutz“
und Vertreter des Präsidenten beim Bayerischen Landesamt für
Datenschutzaufsicht (BayLDA) in Ansbach.
Automotive
ZertifizierungVerschlüsselungsverfahren
Datenpannen & Hacking
IT-Sicherheit
Trackingverfahren
Einige Schwerpunktthemen (unter DS-GVO)
Privacy by Design
Datenschutzfolgenabschätzung
Rechenschaftspflicht
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Die DS-GVO stärkt den „technischen“ Datenschutz deutlich
Transparenz Datenminimierung Betroffenenrechte Löschung/Sperrung
Datenschutzkonforme
VerarbeitungSecurity Profiling Rechenschaftspflicht
Managementsysteme Auftragsverarbeitung„Big-Data“und
„Künstliche Intelligenz“Zweckbindung
SpeicherbegrenzungDatenschutz durch
Technikgestaltung
Datenschutzfolgen-
abschätzung
Umgang mit
Datenschutz-
verletzungen
Big Picture: Security und IT-Privacy in der DS-GVO
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Kernelemente:
• Geeignete technische und organisatorische Maßnahmen
bei einem hohen Risiko ausgewählt werden
• Die Risiken der Rechte und Freiheiten für den Betroffenen
eingedämmt werden
• Der Datenschutzbeauftragte berät bei der Durchführung
einer DSFA
Artikel 35 DS-GVO: Datenschutzfolgenabschätzung
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Kernelemente:
Beispiele für Verarbeitungen, die ein hohes Risiko haben:
• Bewertung/Profiling mit Rechtsfolgen
• Umfangreiche Verarbeitung besonderer personenbezogener Daten
• Systematische umfangreiche Überwachung öffentlicher
Bereiche
• Systematische Beschreibung der geplanten Verarbeitungsvorgänge
• Bewertung der Risiken für die Rechte und Freiheiten der betroffenen
Personen
• Darstellung der zur Bewältigung der Risiken geplanten
Abhilfemaßnahmen
Artikel 35 DS-GVO: Datenschutzfolgenabschätzung
BayLDA
BVD Verbandstage 2019– Andreas Sachs
• DSFA vs. Vorabkontrolle
Gab‘s nicht so was ähnliches unter BDSG(alt)?
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Vorabkontrolle BDSG (alt)
Automatisierte
Verarbeitung
Besondere
Risiken
Verarbeitung
besonderer Arten
personenbezogen
er Daten
Bewertung der
Persönlichkeit,
Leistung,
Verhalten
Beispiele
Vorab-
kontrolle
Fragen:
• Wie werden besondere Risiken
ermittelt?
• Wie wird eine Vorabkontrolle
durchgeführt?
• Wie wird mit dem Ergebnis einer
Vorabkontrolle umgegangen?
Rechtsgrundlage:
Einwilligung
Gesetz
Vertrag
Nein
• DSFA vs. Vorabkontrolle
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Besondere
Risiken
nach
BDSG(alt)
Risiken
Risiken
nach DS-
GVO
Gemeinsamkeiten
Risiken der Rechte und
Freiheiten
Unterschiede
In der DS-GVO ist z.B. nicht
jede Verarbeitung besonderer
Arten pbD ein hohes Risiko
In der DS-GVO ist z.B. eine
Standard-Videoüberwachung
kein hohes Risiko
Praxisvollzug:
Es gibt weit mehr
Risikobereiche außer den zwei
im BDSG genannten
Beispielen. Allerdings wäre
mittels „insbesondere“ heute
auch schon mehr möglich
gewesen
Umfang des relevanten Risikoblickwinkels
• DSFA vs. Vorabkontrolle
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Zusammenfassung Vorabkontrolle vs. DSFA:
• Beide Vorschriften adressieren die Rechte und Freiheiten
• Die Methodik zur Bestimmung der „besonderen Risiken“ bezüglich der Vorabkontrolle ist unklar
• Die hohen Risiken der DSGVO werden nur einige Bereiche umfassen, bei denen jetzt eine
Vorabkontrolle notwendig war:
• Eine Videoüberwachung, die nicht umfangreich+systematisch ist und keine neuen Technologien
beinhaltet fällt nicht unter eine DSFA
• Die Analyse des Internet-Traffic von Beschäftigten unterliegt nicht zwangsläufig einer DSFA
• Eine DSFA ist deutlich methodischer, systematischer, risikoorientierter und von der Durchführung
umfangreicher als eine Vorabkontrolle und wird von einem DSFA-Team durchgeführt
• Es gibt (Stand heute) keine anwendbaren Ausnahmeregelungen bei der DSFA
Merke: Eine Datenschutzfolgenabschätzung ist keine Vorabkontrolle 2.0
• DSFA vs. Vorabkontrolle
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Risiko = Eintrittswahrscheinlichkeit Schaden
Operator ist nicht mathematisch zu verstehen, sondern bedeutet
eher „ins Verhältnis“ setzen
Schäden nach DS-GVO (EW 75):• Materielle Schäden (z.B. Finanzieller Verlust)
• Immaterielle Schäden (z.B. Rufschädigung, Diskriminierung)
• Physische Schäden (z.B. Verletzung der körperlichen Unversehrtheit)
• Grundrechtsdogmatik meets Risiko:Ungerechtfertigte Beeinträchtigungen (Grundrechtsverletzungen) werden
zu immateriellen Schäden gerechnet
Risiko-“Berechnung“
BayLDA
BVD Verbandstage 2019– Andreas Sachs
• Datenschutz-Risiko
Ursachen von Schäden an Grundrechten
Geplante
Verarbeitung
Eigenverantwortliche
AbweichungFremdverursachte
Abweichung
Beispiel:
• Biometrisches Template
in Reisepass
• Punkteregister Flensburg
Beispiel:
• Zweckdehnung von Kundendaten
• „Ausplaudern“ durch Arzthelferin
Beispiel:
• Hacking von Web-Shop
• Diebstahl von Notebook
BayLDA
BVD Verbandstage 2019– Andreas Sachs
• Datenschutz-Risiko
3 Risikobereiche in DS-GVO
Kein/Geringes Risiko Risiko Hohes Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Beispiele für eine Risikomatrix (BayLDA in Anlehnung an ISO-Norm)
• Datenschutz-Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Beispiele für eine Risikomatrix (DSK-Kurzpapier Risiko)
• Datenschutz-Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Risikoeindämmung
Verarbeitung
personenbezogener DatenRisiko
Technische
und
Organisatorische
Maßnahmen
(TOM)
Hohes
Risiko
Risiko
Kein
Risiko
Grundsatz
der Verhältnis-
mäßigkeit
• Datenschutz-Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Risikoeindämmung
Verarbeitung
personenbezogener Daten
Vertraulichkeit
Verfügbarkeit
Integrität
Schutzziel
Unbefugte Zugriffe/Offenlegung
Ungewollte Ereignisse
Unrechtmäßige Verarbeitung
Transparenz
Zweckbindung
Datenminimierung
Speicherbegrenzung
Richtigkeit
Erstmal Blick auf
legitime Verarbeitung
Betroffenenrechte
TOMs aus Informations-
Sicherheit (Security Controls)
TOMs aus Technischem
Datenschutz (Privacy Controls)
• Datenschutz-Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Wann liegt ein hohes Risiko im Sinne einer DSFA vor?
Verarbeitung
personenbezogener Daten
Keine TOMs
+
=(fast immer)
Hohes
Risiko
Kann das sein:
- Bäcker braucht DSFA ?
- Musikverein braucht DSFA ?
- Bauunternehmen braucht DSFA ?
- Tierarzt braucht DSFA?
- Kleine Bank braucht DSFA?
- Online-Shop braucht DSFA?
…
• Datenschutz-Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Wann liegt ein hohes Risiko im Sinne einer DSFA unter
Berücksichtigung von Art. 25 und Art. 32 DS-GVO vor?
Die Wirksamkeit der TOM muss nachweisbar im Sinne der
Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO sein
• Verhältnis Privacy by Design/Security zu hohem Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Muss-Listen (Art. 35 Abs. 4 DS-GVO)
• Von den deutschen Aufsichtsbehörden in der UAG-DSFA entwickelt
• Aktuell (Stand 17.10.2018) Version 1.1
• Abrufbar auch unter datenschutzkonferenz-online.de
• Enthält erste europaweit harmonisierte Anpassungen
• Enthält momentan 17 Verarbeitungen auf mittlerem Abstraktionsniveau
• Muss-Listen gelten zusätzlich zu den drei Beispielen aus Art. 35 Abs. 3:
• Profiling mit Rechtswirkung
• Umfangreiche besondere Arten personenbezogener Daten
• Systematische umfangreiche Überwachung öffentlicher Bereiche
• Was sagen die Aufsichtsbehörden zum hohen Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Muss-Listen (Art. 35 Abs. 4 DS-GVO): Beispiel
• Was sagen die Aufsichtsbehörden zum hohen Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Skizze eines rein fiktiven Anwendungsfalles im Bereich Videoüberwachung
Hans Arena
• Genug der Theorie: Ein Beispiel
BayLDA
BVD Verbandstage 2019– Andreas Sachs
• Ca. 100 Kameras überwachen den gesamten
Stadionbereich
• Tribünen
• Innengebäude
• Ein- und Ausgänge
• Parkplätze
• Spezialkameras mit extremer Tiefenschärfe
• Es dürfte eine systematische umfangreiche Überwachung
öffentlich zugänglicher Bereiche stattfinden
(Art. 35 Abs. 3 Lit. c)
Anwendungsfall: Großes Fußballstadium
Videoüberwachung nach DS-GVO und
BDSG
2
2
„Somit gehen kaum Details verloren und es ergeben sich
umfangreiche Analyse- und Auswertemöglichkeiten. “
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Risikomodellierung:
Es werden bei einer DSFA die Ursachen (Risikoquellen) des
Datenschutzrisikos genau analysiert – EW 84 „mit der insbesondere
die Ursache … des Risikos“.
Anwendungsfall: Großes Fußballstadium
Videoüberwachung nach DS-GVO und
BDSG
2
3
Risikoquellen
„Hacker“
Polizei
Betreiber VÜ-Anlage
Herstellerfirma (AV)
Admin
Security-Abteilung
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Anwendungsfall: Großes Fußballstadium
Grundsatz Risikobeschreibung
(Ereignis)
Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Vertraulichkeit Mitschneiden der
Videoaufnahmen
„Hacker“ Wesentlich Wesentlich Risiko
Verfügbarkeit Abschalten der VÜ
bei einem
Risikospiel
„Hacker“ Substantiell Groß Hohes Risiko
Zweckbindung Permanente
Auswertung der
Aufnahmen bei
Bagatelldelikten
Polizei Überschaubar Substantiell Hohes Risiko
Zweckbindung Abgleich der VÜ-
LiveDaten mit
Facebook-Profilen
Betreiber VÜ-
Anlage
Wesentlich Wesentlich Risiko
Zweckbindung Auswertung der
hochauflösenden
Aufnahmen von
Zuschauern ohne
triftigen Anlass
Betreiber VÜ-
Anlage
Maximal Wesentlich Hohes Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Anwendungsfall: Großes Fußballstadium
Grundsatz Risikobeschreibung
(Ereignis)
Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Zweckbindung Verwendung von
Aufnahmen zu
Entwicklungszwecken
Hersteller Maximal Wesentlich Hohes Risiko
Zweckbindung Speicherung von
Nahaufnahmen von
Zuschauerinnen für
die private Sammlung
Admin Überschaubar Substantiell Risiko
Zweckbindung Speicherung von
hochauflösenden
Fotos potentieller
Störenfrieden auf
privaten Geräten +
Kommunikation über
Security-
Abteilung
Maximal Maximal Hohes Risiko
Noch ca. x-y weitere Datenschutzrisiken bei Einsatz der VÜ (z.B. Mangelnde Transparenz,
Überwachung von Toilettenbereichen, Auswertung Bierkonsum, Fehlkonfiguration VÜ-Anlage,…)
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Anwendungsfall: Großes Fußballstadium
Welche Security-TOM stehen zur Verfügung (Beispiele):
Patch-ManagementStandard-Passwörter
ändern
Rollen-/Rechte
Konzept
Netztrennung (vom
Internet)
Fernzugriff regelnIntrusion Detection
SystemHTTPS-Verschlüsselung
Passwörter nur
gehasht übertragen
Protokollierung von
Fehlermeldungen
Konfiguration-Backups
sicher verwahrenIdentitätsmanagement
Protokollierung der
Benutzertätigkeiten
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Anwendungsfall: Großes Fußballstadium
Welche Privacy-TOM stehen zur Verfügung (Beispiele):
Aufzeichnungszonen
festlegen (z.B.
Schwärzen)
Aufzeichnungszeiten
anpassen (z.B. nur bei
erhöhter Gefahr)
Verpixelung (je nach
Nutzer-Rolle)
Speicherdauer
beschränken (72
Stunden?)
Dezentrale
Verarbeitungslogik
(nah an Sensor)
Auflösung an Nutzer-
Rolle koppeln
Protokollierung +
Reporting (zu
Nachweiszwecken)
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Grundsatz Risikobeschreibung Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Vertraulichkeit Mitschneiden der
Videoaufnahmen
„Hacker“ Wesentlich Wesentlich Risiko
Maßnahmen zur Risikoeindämmung:
• Eigenes VÜ-Netz in Stadion/Fußweg
• Mehrstufige Firewall auf Speichersystem
• Durchführung von Pen-Tests
• Striktes Patch-Management
• Regelmäßige Audits
Grundsatz Risikobeschreibung Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Vertraulichkeit Mitschneiden der
Videoaufnahmen
„Hacker“ Überschaubar Überschaubar Kein Risiko
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Anwendungsfall: Großes Fußballstadium
Grundsatz Risikobeschreibung Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Zweckbindung Auswertung der
hochauflösenden
Aufnahmen von
Zuschauern ohne
triftigen Anlass
Betreiber VÜ-
Anlage
Maximal Wesentlich Hohes Risiko
Grundsatz Risikobeschreibung Risiko-Quelle Eintritts-
wahrscheinlichkeit
Schaden Risiko
Zweckbindung Auswertung der
hochauflösenden
Aufnahmen von
Zuschauern ohne
triftigen Anlass
Betreiber VÜ-
Anlage
Begrenzt Begrenzt Risiko
Maßnahmen zur Risikoeindämmung:
• Erstellung VÜ-Konzept
• Einführung Rollen-/Rechtekonzept für Zugriff
• Protokollierung Zugriffe
• Keine Speicherung auf externe Medien
• Regelmäßige Audits durch DSB
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Risikovergleich: Vorher <-> Nachher
• Ziel ist die Risikoeindämmung
42
36
32 7
1
1
9
13
5
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Welche bestehenden Methoden gibt es für eine DSFA?
• Abgestimmtes Vorgehensmodell der DSKhttps://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf
• Anwendbarkeit des Standard-Datenschutzmodells (SDM)
https://www.datenschutzzentrum.de/sdm/
• Anwendbarkeit der ISO-Norm 29134 (Privacy Impact Assessment)https://www.lda.bayern.de/de/dsfa.html
• CNIL-Methodehttps://www.cnil.fr/en/privacy-impact-assessment-pia
• Zum Lesen
Die verschiedenen Methoden müssen alle das „Herzstück“ einer DSFA –
die Risikobeurteilung und Eindämmung – nach DS-GVO
berücksichtigen
BayLDA
BVD Verbandstage 2019– Andreas Sachs
Vielen Dank für ihre Aufmerksamkeit