Upload
lyngoc
View
212
Download
0
Embed Size (px)
Citation preview
© ztp.at 2018
Rechtsgrundlage der ZTP.at
§ Ziviltechnikergesellschaft für Informatik
§ staatlich befugt und beeidet
§ ZT Gesetz § 4 Abs. 3: ... Ziviltechniker sind mit öffentlichem Glauben
versehene Personen gemäß § 292 der Zivilprozeßordnung, RGBl. Nr.
113/1895, in der jeweils geltenden Fassung.
§ ZPO (Zivilprozeßordnung) §292: .... Die von ihnen im Rahmen ihrer
Befugnis ausgestellten öffentlichen Urkunden werden von den
Verwaltungsbehörden in derselben Weise angesehen, als wenn diese
Urkunden von Behörden ausgefertigt wären.
6
© ztp.at 2018
Webinar-Reihe 1-4: im Herbst 2017§ Teil 1: Di. 17. Okt 2017, 14-15h DSGVO mit Beitrag von Mag. R. Redl/EVN
§ Anwendungsbereiche, wichtige Begriffsbestimmungen, Grundsätze und Rechtmäßigkeit der Verarbeitung, Einwilligungserklärung und Betroffenenrechte
§ Teil 2: Di. 31. Okt. 2017, 14-15h DSGVO mit Beitrag RA Dr. J. Juranek/CMS§ Informationspflichten, Datenklassifikation, Aufbewahrung von Daten, Datenschutz-Folgenabschätzung, Datenschutzkonzept
und -management, Datensicherheitsmaßnahmen, Datensparsamkeit
§ Teil 3: 14. Di. Nov. 2017, 14-15h DSGVO mit Beitrag: DI Oliver Pönisch/EY§ Pflichten des Verantwortlichen, Pflichten der Auftragsverarbeiter, Dokumentationspflicht – Verzeichnis von
Verarbeitungstätigkeiten, Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung, Meldung von Datenschutz-Verletzungen (data breach notification)
§ Teil 4: 28. Di. Nov. 2017, 14h bis open-end DSGVO mit Beitrag: Mag. Ines Freitag, CMS§ Gemeinsame Datenverarbeitung, Datenschutzmanagementsystem, Dokumentation und Nachweise (Richtlinien, Prüfpflicht,
Verhaltensregeln und Zertifizierungen, Datenschutzsiegeln und Datenprüfzeichen sowie Checklisten)
7
© ztp.at 2018
Haben Sie bereits mit der Umsetzung der Anforderungen aus zur DSGVO begonnen?
1. Nein2. Gerade gestartet3. Teilweise umgesetzt4. Überwiegend umgesetzt
14
© ztp.at 2018 16
Zielsetzung von Inspektionen und Zertifizierung
GesetzeskonformWirtschaftlichkeit
Vermeidung von Sanktionen und GeldbusenKundenorientiertheit
© ztp.at 2018
DSGVOGLIEDERUNG
1. Sachlicher und räumlicher Anwendungsbereich2. Wichtige Begriffsbestimmungen3. Grundsätze und Rechtmäßigkeit der Verarbeitung 4. Einwilligungserklärung 5. Betroffenenrechte 6. Informationspflichten 7. Auskunftspflicht des Verantwortlichen und des Auftragsverarbeiters8. Pflicht zur Berichtigung, Löschung („Recht auf Vergessenwerden“) und zur Einschränkung der Verarbeitung9. Datenschutzrechtliche Pflicht zur Datenübertragung10. Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches11. Pflichten des Verantwortlichen 12. Pflichten der Auftragsverarbeiter 13. Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten 14. Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung 15. Meldung von Datenschutz-Verletzungen (data breach notification) 16. Risiko-Folgeabschätzung und vorherige Konsultation 17. Der Datenschutzbeauftragte 18. Internationaler Datenverkehr 19. Rechtsdurchsetzung und Strafen
Quelle: EU-Datenschutz-Grundverordung Hg: Rosenmayr-Klemenz, WKO April 2017
© ztp.at 2018
Datenschutz-Grundverordnung Architektur
18
DSGVO99 Artikel
6 (4+2) Bereiche
12 Arbeitspakete
250 Kontrollpunkte
© ztp.at 2018 19
Projekt-Organisation
Datenschutz-Organisation
Recht
Prozesse
Dokumentation
Technik
Kontrollbereiche (4 + 2)
1
2
53
4
6
© ztp.at 2018
1. Projekt-Organisation (10 Kontrollpunkte)
1. Projektauftrag vorhanden und unterfertigt?2. Projektleiter und Mitarbeiter bestimmt?3. Projekt-Organigramm vorhanden?4. Projektplan vorhanden?5. Projekt-Controlling vorhanden?
20
© ztp.at 2018
2. Datenschutz-Organisation (10 Kontrollpunkte)
1. Datenschutzbeauftragter definiert ?
2. Datenschutz-Organigramm vorhanden ?
3. Kontroll-Gremium vorhanden ?
4. Informationsfluss im Krisenfall definiert ?
5. Geschäftsführung – und Bereichsleitung involviert ?
21
© ztp.at 2018
3. Recht* (10 Kontrollpunkte)
1. Informationsverpflichtungen (12) auf Homepage, Verträge, Vereinbarungen erfüllt?
2. Einwilligung(en) notwendig?
3. Grundsätze (5) der Verarbeitung von personenbezogenen Daten berücksichtigt ?
4. Betroffenenrechte (6) berücksichtigt?
5. Datenschutz-Folgeabschätzung durchgeführt (verpflichtend?)?
22
* inhaltlich durch Juristen geprüft
© ztp.at 2018
4. Prozesse: 20 (Teil-)Prozesse plus Gut-, Schlechtfall
1. Prozess: Informationsverpflichtungen (Mitarbeiter, Kunden, Dientleister, DSB und Homepage)2. Prozess: Wahrung der Grundsätze der Datenverarbeitung (Anzahl 5)* 3. Prozess: Wahrung der Betroffenenrechte (Anzahl 6+6)
1. Prozess: Auskunft (2) (Gut-, Schlechtfall)2. Prozess: Widerspruch (2) (Gut-, Schlechtfall)3. Prozess: Einschränkung (2) (Gut-, Schlechtfall)4. Prozess: Berichtigung (2) (Gut-, Schlechtfall)5. Prozess: Übertragbarkeit (2) (Gut-, Schlechtfall)6. Prozess: Löschung (2) (Gut-, Schlechtfall)
4. Prozess: Data-Breach Prozess5. Prozess: Software-Entwicklung
1. Prozess: Lastenheft: Definition und Prüfung vor Projektbeauftragung zur DSGVO2. Prozess: Software-Testing, Testdaten in (1) Entwicklung, (2) Vorproduktion und (3) Betrieb
6. Prozess: Stetige Verbesserung zur DSGVO (Continuous Improvement, PDCA)
23* Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, Speicher(dauer)begrenzung
© ztp.at 2018
5. Dokumentation (60 Kontrollpunkte)
1. Datenschutzhandbuch vorhanden?2. Datenschutzbeauftragter – Rechte und Pflichten dokumentiert?3. Verzeichnis der Verarbeitungstätigkeiten vollständig (VVT)?4. Prozesse ausreichend bewertet und dokumentiert?5. IKS durch Wirtschaftsprüfer/STB. bestätigt?6. Vorhandene Zertifizierungen (ISO 27001, IS0 20000, Cobit, SAE, ..)
24
© ztp.at 2018
6. Technik (60 Kontrollpunkte)
1. Inventarisierung der IT-Systeme und Daten(banken) vorhanden?2. Netzwerk-Architekturplan vorhanden?3. TOM‘s umgesetzt?4. Datenschutz durch Technik umgesetzt? 5. Datenschutz durch Datenschutz-freundliche Voreinstellung umgesetzt?
25
© ztp.at 2018
Zeit- und Ablaufplan
Gap-/IST-Analyse
• Scope• IST-SOLL Vergleich• Prozess, Organisation,
Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM
Bewertung• Vorhandene Unterlagen
und Zertifizierungen• Datensicherheits-
management
Begleitende Inspektionen
• TOMs• Privacy by Default &
Design• Infrastrukturplan• Inspektions-Meetings
(14-tägig)• Protokolle• Empfehlungen• Maßnahmen
Ziviltechniker-gutachten
• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und
beeidet
Zertifizierung (2018-2020)
• Externe und interne Überwachung des DSMS
• TOMs extern, intern• PDCA-Zyklus
29
bis 15.5.2018
ab 25.5.201814-tägig
© ztp.at 2018
Zeit- und Ablaufplan
Gap-/IST-Analyse
• Scope• IST-SOLL Vergleich• Prozess, Organisation,
Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM
Bewertung• Vorhandene Unterlagen
und Zertifizierungen• Datensicherheits-
management
Begleitende Inspektionen
• TOMs• Privacy by Default &
Design• Infrastrukturplan• Inspektions-Meetings
(14-tägig)• Protokolle• Empfehlungen• Maßnahmen
Ziviltechniker-gutachten
• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und
beeidet
Zertifizierung (2018-2020)
• Externe und interne Überwachung des DSMS
• TOMs extern, intern• PDCA-Zyklus
30
bis 15.5.2018
ab 25.5.201814-tägig
© ztp.at 2018
Zeit- und Ablaufplan
Gap-/IST-Analyse
• Scope• IST-SOLL Vergleich• Prozess, Organisation,
Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM
Bewertung• Vorhandene Unterlagen
und Zertifizierungen• Datensicherheits-
management
Begleitende Inspektionen
• TOMs• Privacy by Default &
Design• Infrastrukturplan• Inspektions-Meetings
(14-tägig)• Protokolle• Empfehlungen• Maßnahmen
Ziviltechniker-gutachten
• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und
beeidet
Zertifizierung (2018-2020)
• Externe und interne Überwachung des DSMS
• TOMs extern, intern• PDCA-Zyklus
31
bis 15.5.2018
ab 25.5.201814-tägig
© ztp.at 2018
Zeit- und Ablaufplan
Gap-/IST-Analyse
• Scope• IST-SOLL Vergleich• Prozess, Organisation,
Technologie, IT-(Recht)• VVT, DPIA, PbD, Pb, TOM
Bewertung• Vorhandene Unterlagen
und Zertifizierungen• Datensicherheits-
management
Begleitende Inspektionen
• TOMs• Privacy by Default &
Design• Infrastrukturplan• Inspektions-Meetings
(14-tägig)• Protokolle• Empfehlungen• Maßnahmen
Ziviltechniker-gutachten
• Ziviltechnikergutachten• Technischer Befund• staatlich befugt und
beeidet
Zertifizierung (2018-2020)
• Externe und interne Überwachung des DSMS
• TOMs extern, intern• PDCA-Zyklus
32
bis 15.5.2018
ab 25.5.201814-tägig
© ztp.at 2018
12 Arbeitspakete
1. VVT & Risikoeinschätzung2. Technische & Organisatorische Maßnahmen3. Datenschutzfolgenabschätzung (DSFA)4. Gesteuerte Archivierung & Löschung5. Prozesse zur Wahrung der Betroffenenrechte6. Data Breach Notification Plan7. Geregelter (internationaler) Datentransfer8. Privacy by Design & Privacy by Default (SW-Entwicklung, Standard-SW und Homepage)9. Arbeitnehmerinformation/Awarenessbildung10. Definierte Rollen & Verantwortlichkeiten (Governance Modell)11. Aktualisierte Verträge & Betriebsvereinbarungen12. Testing-/Inspektions-Plan
35
© ztp.at 2018
Ansätze & Fragen1. Risikobasierender Ansatz (Schalenmodell, von Außen, nach Innen und von Innen nach Außen)2. Anwendungsbereich (Scoping ) (National, EU, World, Abteilung, App)3. Interner Projektauftrag (Auftrag, Budget, Zeit, Ressourcen)4. Systematik: minimal unstrukturiert, standardmäßig Excel- oder Web-Forms oder Maximal(- Ansatz5. Schutzbedarf (Kategorien, besondere Kategorien): normal, hoch, sehr hoch 6. Reifegradmodell: nicht erfüllt (<50%) , teilweise erfüllt (50-70%), überwiegend erfüllt (71-89%) erfüllt (90-100%)7. Inventarisierung - Systemblatt (Self-Assessement mit Mengengerüst – keinen deinen Freund/Kunden)8. Mengengerüst: MA, Standorte, Abteilungen, Anwendungen, APC, Server, Cloud, RZ, Admins, DEV, OP, Dienstleister, Netplan,
Controlcenter/RZ, Mobile, Apps, Technologien, Remote-Support, Systemblätter, Verträge9. Vorleistungen: Prüfberichte und Zertifikate des Kunden (techn.,org, IKS, ITIL, Cobit, ISO 27k)10. Vorgehensweise zu ROPT (Reihenfolge und Priorität)11. Organigramm des Unternehmens12. Projektorganisation ((Team/Projekt-Office/Partner/Supporter)13. Datenschutzorganisation14. PDCA-Zyklen
© ztp.at 2018
Beschwerde-/Anfragemanagement
1. Beschwerde-/Anfragemanagement mit ID
§ Hotline
§ E-Mails
§ Webformular
§ Identitätsmanagement (Ausweis, E-ID, E-Signatur)
§ Protokollierung
§ Häufigkeiten von Anfragen/Anzeigen?
© ztp.at 2018
Heise.de: Max Schrems . @noyb on Twitter
§ Web-Marketing/Server: Analyse des Profiling und Tracking Tools (Top10)§ Mobile Apps und Mobile Device Management
§ Zustimmungen, AGB und Sandboxes§ Firma oder Privat: Zustimmung und Zugriff: (1) Apple/Samsung AGB, Nutzungs-
/Marketing-/Datenschutz-/Analysedaten. (2) Google, (3) Galerie (Fotos, Personen, Kontakte, Gesichter).
§ Kids und Kindergarten§ Betriebsküche§ Zeiterfassung: Biometrie§ Außenhaut (Zwiebel-/Schalenmodell)
40
© ztp.at 2018
Grundsätze/Prinzipien der Verarbeitung von personenbezogenen DatenZu den allgemeinen Prinzipien der Verarbeitung personenbezogener Daten zählen nach Art. 5 Abs. 1 DSGVO:1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Verarbeitung auf
rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise.
2. Zweckbindung: Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke, wobei eine Weiterverarbeitung diesen Zwecken nicht zuwider laufen darf.
3. Datenminimierung: Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß.
4. Richtigkeit: Sachlich richtige und ggf. aktuellste Daten, Maßnahmen zur unverzüglichen Löschung oder Berichtigung unzutreffender Daten.
5. Speicherbegrenzung: Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist.
6. Integrität, Vertraulichkeit, Verfügbarkeit: Geeignete technisch-organisatorische Maßnahmen zum angemessenen Schutz der Daten, insbesondere vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung.
© ztp.at 2018
Pflichten des Verantwortlichen I
Eine Vielzahl von Vorschriften konkretisiert diese allgemeinen Grundsätze. Im Hinblick auf die rechtliche Zulässigkeit der Datenverarbeitung betrifft das v.a. folgende Punkte:1. „Data Privacy by Design“ und „Data Privacy by Default“, Art. 25 DSGVO: Der Verantwortliche muss
geeignete Maßnahmen zur wirksamen Umsetzung der datenschutzrechtlichen Grundsätze ergreifen (etwa zur Datenminimierung). Dabei muss er durch datenschutzfreundliche Voreinstellungen sicherstellen, dass er nur die jeweils erforderlichen Daten verarbeitet.
2. Datenschutz-Folgenabschätzung, Art. 35, 36 DSGVO: Der Verantwortliche muss bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen. Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren umsetzen.
3. Rechtmäßigkeit, Art. 6 DSGVO: Der Verantwortliche muss die Rechtmäßigkeit an den gesetzlich definierten Verarbeitungstatbeständen ausrichten. Dazu zählen v.a. die Voraussetzung einer Einwilligung, Art. 7, 8 DSGVO, Einschränkungen für besondere Datenkategorien und Inhalte, Art. 9, 9a DSGVO, und die Verarbeitung ohne Bestimmung des Betroffenen, Art. 10 DSGVO.
4. Übermittlung in Drittländer, Art. 44 DSGVO: Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.
© ztp.at 2018
Pflichten des Verantwortlichen II
Zugleich fordert die DSGVO vom Verantwortlichen geeignete Maßnahmen zur datenschutzrechtlichen Information und Kommunikation, insbesondere für den „Fall des Falles“:1. Transparenz, Art. 12 DSGVO: Der Verantwortliche muss Betroffene in
präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informieren, und zwar in Bezug auf Name und Kontaktdaten der verantwortlichen Stelle (samt Datenschutzbeauftragtem) sowie Zwecke, ggf. berechtigte Interessen und Empfänger sowie die Drittlandübermittlung
2. Verletzung, Art. 33, 34 DSGVO: Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden. Gegebenenfalls muss er die Betroffenen benachrichtigen.
© ztp.at 2018
Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten „Verantwortliche„Der Verantwortliche hat ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, zu führen (<250, >250 MA).Dieses Verzeichnis hat Folgendes zu enthalten:• Namen und Kontaktdaten des/der Verantwortlichen, Vertreters sowie etwaigen Datenschutzbeauftragten• Zweck der Datenverarbeitung,• Beschreibung der Kategorien a.) betroffener Personen und b.) der Kategorien personenbezogener Daten
(z.B. Kunden- und Lieferantendaten; Rechnungs-, Adressdaten, Online-DB)• Kategorien von Empfängern a.) offengelegt worden sind oder b.) noch offengelegt werden (z.B. Finanzamt,
Sozialversicherung, Rechtsanwalt, Notare, Steuerberater), einschließlich c.) Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA), ....uU ist auch die Dokumentierung geeigneter Garantien.
• vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit),• allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach
Möglichkeit).
44
© ztp.at 2018
Technisch-organisatorische Maßnahmen nachweisenIm Rahmen der eigentlichen Verarbeitung personenbezogener Daten muss der Verantwortliche geeignete technisch-organisatorische Maßnahmen v.a. in folgenden Bereichen vorsehen, umsetzen und nachweisen können:
1. Verantwortung, Art. 24 DSGVO: Der Verantwortliche hat risikobasiert die geeigneten Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten zu ergreifen. Die Maßnahmen muss er nachweisen und aktuell halten.
2. Auftragsverarbeitung, Art. 28 DSGVO: Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen. Darüber muss ein Vertrag existieren.
3. Datensicherheit, Art. 32 DSGVO: Der Verantwortliche muss risikobasiert durch geeignete Maßnahmen die klassischen IT-Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Datenverarbeitung sicherstellen.
© ztp.at 2018
Datensicherheit und Datenschutz durch Technik und Datenschutz-freundliche Voreinstellung • Datensicherheit
• die Pseudonymisierung und Verschlüsselung z.B. Passwortsicherungen von Dateien• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. • Verfügbarkeit und Zugang bei physischen oder technischen Zwischenfällen rasch
wiederherzustellen (z.B. Backup-Programme); • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (wie zB. Selbstevaluierungsprozesse)
• Beurteilung des angemessenen Schutzniveaus• Datenschutz durch Technik• Datenschutzfreundliche Voreinstellungen• Geldstrafen
• bis zu 10 Mio Euro oder 2% des letztjährigen weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres
46
© ztp.at 2018
Datenschutzrichtlinie
§ Regelungen zum Datenschutzmanagement in der DSGVO§ Datenschutzrichtlinie
§ Datenschutzorganisation und Verantwortlichkeiten§ Einbindung des Datenschutzbeauftragten§ Verzeichnis von Verarbeitungstätigkeiten§ Datenschutz-Folgenabschätzung§ Vertragsmanagement§ Verpflichtung auf das Datengeheimnis§ Datenschutz-Schulung§ Prozess für die Wahrnehmung von Betroffenenrechten§ Prozess für die Meldung von Datenschutzverstößen
§ Nachweis der Datensicherheit§ Bußgelderhttps://www.datenschutzbeauftragter-info.de/datenschutzmanagement-nach-der-dsgvo-leitfaden-fuer-die-praxis/#Datenschutzorganisation
© ztp.at 2018
Fazit zum Datenschutz-Management-System
Ohne Datenschutz-Management-System geht es nicht• Der Verantwortliche muss im Ergebnis einen „bunten Blumenstrauß“
an Maßnahmen (risikobasiert) • definieren, • umsetzen, • dokumentieren und • kontrollieren.
Angesichts der Fülle von Anforderungen einerseits und der Rechenschafts- und Nachweispflicht aus der DSGVO andererseits wird er dabei um ein geordnetes System nicht herumkommen.
© ztp.at 2018
Einbindung des Datenschutzbeauftragten
Als solche „meldepflichtige“ Fälle als Beispiel gelten insbesondere (aber nicht
ausschließlich):
§ Beschwerden von Betroffenen (Mitarbeitern, Kunden)
§ Einführung eines neuen Systems/Tools
§ Einsatz eines neuen Dienstleisters
§ Werbemaßnahmen (z.B. Versand von Newsletter)
§ Onlinemarketing-Maßnahmen (Google AdWords, Conversion Tracking, etc.)
§ Verkauf von Teilen des Unternehmens
§ Datenschutz-Überwachung
© ztp.at 2018
Ausnahmen -Disclaimer
§ Kriminelle Handlungen§ Vorsatz§ Fehlhandlungen§ Technologien Schwächen wie:
§ Zero Days, Heart Bleed, Meltdown & Spectre
50
© ztp.at 2018
Umfrage 2
Wie viele Tracker verwenden sie auf Ihrer Homepage?
1. keine Ahnung2. 1 – 23. 3 – 54. 6 – 105. über 10
57
© ztp.at 2018
Bedrohungen & Sanktionen 1
Bedrohungen
Sanktionen
Geldbusen
Schadenersatz-forderungen
AT, EU,WorldVerkauf/
Weitergabe
illegal
Mitarbeiter
intern
Mitarbeiter
extern
Mitarbeiter
ehemalig
Kunden
Dienstleister
Auskunft
nicht zeitgerecht
DSGVO
nicht erfüllt VVZ, PIA,
TOM
Diebstahl
intern
Diebstahl
extern
Meldungen
Anzeigen
© ztp.at 2018
Bedrohungen & Sanktionen 2
BedrohungenSanktionenGeldbusen
Schadenersatz-forderungen
Stand der Technik
Mail, http(s), 2-Faktor, USP, VPN, Apps
Maßnahmen
Cloud
Mechanismen falsch, nicht ausreichend
Fehlbe-dienungen
(besondere)Kategorien
Trojaner-Angreifer
MobileApps
FB, WA, Insta
Zero Day
© ztp.at 2018
Dokumentationspflicht – Verzeichnis von Verarbeitungstätigkeiten „Auftragsverarbeiter„
• Name und Kontaktdaten des Auftragverarbeiters sowie jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls Vertreters und etwaiger Datenschutzbeauftragter,• Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden,• Übermittlungen (gegebenenfalls) von personenbezogenen Daten an ein
Drittland oder internationalen Organisation, ... uU ist auch die Dokumentierung geeigneter Garantien erforderlich.• allgemeine Beschreibung der technischen und organisatorischen
Datensicherheitsmaßnahmen.
97
© ztp.at 2018
Erforderliche interne Maßnahmen
Schließlich fordert die DSGVO vom Verantwortlichen die Umsetzung einer Reihe interner Maßnahmen. Die wichtigsten:• Verzeichnis, Art. 30 DSGVO: Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen • Dokumentation,
26, 28, 31, 44 DSGVO: Der Verantwortliche muss neben dem Führen eines Verzeichnisses seiner Dokumentationspflicht nachkommen, z.B. bei Weisungen, Verletzungen oder Garantien im Rahmen der Drittlandübermittlung.
• Datenschutzbeauftragter, Art. 37–39 DSGVO: Der Verantwortliche hat unter bestimmten Vor-aussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.
• Recht auf Vergessenwerden, Art. 17 DSGVO: Der Verantwortliche hat nicht nur sicherzustellen, dass personenbezogene Daten nur ausnahmsweise nicht „unverzüglich“ gelöscht werden. Er muss – sofern er die Daten publik macht – auch sicherstellen, dass er Dritte darüber informiert.
• Recht auf Interoperabilität, Art. 20 DSGVO: Der Verantwortliche muss sicherstellen, dass er personenbezogene Daten von Betroffenen in einem gängigen, maschinenlesbaren Format ausgeben kann.
© ztp.at 2018
Ausblick: Der PDCA-Zyklus
Der PDCA-Zyklus• Die Marschrichtung für ein solches System gibt die DSGVO selbst vor. • Denn sie greift etablierte Prinzipien aus Management-Systemen
anderer Disziplinen wie etwa der Informationssicherheit oder des Risikomanagements auf. Das zeigt besonders deutlich Art. 24 DSGVO. • Danach muss der Verantwortliche unter Berücksichtigung des
Kontexts und des Risikos Maßnahmen planen, umsetzen, dokumentieren, prüfen und bei Bedarf verbessern. • Nichts anderes besagt im Kern der P(lan)-D(o)-C(heck)-A(ct)-Zyklus als
Prinzip eines jeden Management-Systems.
© ztp.at 2018
Kalkulation
101
Kalkulation (Standard Projektrahmen)Abrechnung auf Basis der Leistung
bis 25.5. 2018(6 Monate)
ab 25.5. 2018(12 Monate)
2019(12 Monate)
2020(12 Monate)
Erst-Inspektion (IST-SOLL Assessment, GAP-Analyse) 5 - 15 PT 0 0 0
Organisatorische Überwachung intern 18 - 30 PT 10 - 20 PT 10 - 20 PT 10 - 20 PT
Technische Überwachung intern 6 - 12 PT 8 - 16 PT 8 - 16 PT 8 - 16 PT
Technische Überwachung extern 5 - 20 PT 12 – 36 PT 12 - 36 PT 12 - 36 PT
Begutachtung inkl. Zertifizierung 6 - 12 PT 6 - 10 PT 6 - 10 PT 6 - 10 PT
Lizenzkosten (Richtwert €4k/a) offen offen offen offen
Datenschutzexperte/Recht RA (optional) 10 PT bzw. 80hPersonaltage je 8h 40 - 89 PT 36 - 82 PT 36 - 82 PT 36 – 82 PTHaftpflicht 1.5 Mio. Euro je Schadensfall