Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
EU-DSGVO: Effiziente Schritte zum Datenschutz-Management
13. Informations-Security-Symposium, Wien 2017
17. Mai 2017
Hans Memling, Das Jüngste Gericht (um 1470)
ERP CRM System
Date
n
Datenschutz - Die heile Scheinwelt
File Server
Backup CRM
ERP
Backup Fileserver
Job (tägl.) Job (tägl.)
CRM System
Backup ERP
Reports
Date
n
Die Realität
Umweltschutz vor 30 Jahren!
Zu viele wilde Deponien, Grundwasser-
Verschmutzung, …
=> Prioritäten-Änderung im Jahr 1989 -> Altlastensanierungs-Gesetz:
Verursacher-Haftung für Sanierungskosten!
-> Unschuldige insolvent
-> andere erkennen die Chance -> Geschäftsmodell
-> Ergebnis ist nachhaltig: heute keine wilden Deponien!
DSGVO: nachhaltige radikale
Veränderung der Prioritäten im Datenschutz
Geldbuße bis zu 20.000.000 EUR oder 4 % (!) des Jahresumsatzes
(auch KMU!)
Priorität bei Bußgeld:
4 % (20 Mio) für Verstoß gegen Datenschutz-Grundsätze (Kapitel II)
2 % (10 Mio) Geldbuße für Nicht-Beachtung formaler Pflichten zur
Sicherung dieser Grundsätze wie Bestellung des DS-Beauftragten,
Verzeichnis der Verarbeitungen etc. (Kapitel IV)
Datenschutz-Image: Zunehmende Bedeutung durch wachsendes
Datenschutz-Bewusstsein der Kunden und Mitarbeiter + Medien
Ölfirmen, Autohersteller etc. werben heute gern mit grünen Image.
-> Wie lange dauert es noch, bis Datenkraken mit einem
Datenschützer-Image werben?
Datenschutz-Einhaltung wird zur STRATEGISCHEN
UNTERNEHMENSAUFGABE!
DSGVO Gültig ab 25.5.2018 - noch 12 Monate! EU-weite Geltung und Markt-Prinzip Schutz natürlicher Personen Schutz personenbezogener Daten Direkte Wirkung der VO Auftraggeber -> Verantwortlichen Dienstleister -> Auftragsverarbeiter Seit 12.5.2017 Entwurf Datenschutz-Anpassungsgesetz 2018 - Begutachtung bis 23.6.2017
DSGVO ab 5/2018
Eigenverantwortung
Nachweispflicht
Pflicht zur kontinuierlichen Verbesserung
hoher Bußgeld-Rahmen
Datenschutz-Anpassungsgesetz 2018 - Entwurf
Offizieller Entwurf seit 12.5.2017 in Begutachtung bis 23.6.17. Inkrafttreten am 25.5.2018. 77 Paragraphen + 29 Seiten Erläuterungen 33 Paragrafen + 17 Seiten betreffen DSGVO VO (EU) 216/679 Rest: RL (EU) 2016/680 betreffend Verarbeitung zur Verhütung von Straftaten etc. Inhalte (nicht vollständig): Grundrecht auf Datenschutz (Geheimhaltung, Auskunft, Richtigstellung + Löschung) Grundrecht verpflichtet auch Private § 1 Abs 3 DSGVO auch für nichtautomatisierte Verarbeitung von pb Daten in einem Dateisystem Vorläufige Einschränkung an Stelle unverzüglicher Berichtigung oder Löschung § 3 Datenschutzbeauftragte: nur zu Geheimhaltungspflichten und -rechten § 4f Datenschutz-Vereine: Beschwerden einreichen + Schadenersatz geltend machen § 17
Datenschutz-Anpassungsgesetz 2018 -
Entwurf
Datenschutzbehörde ist zuständig für Verhängung von Geldbußen § 11 Abs 5
Geldbußen gegen juristische Personen, wenn der Verstoß durch eine Person begangen wird, die
(Teil eines) Organs ist und Vertretungs-, Entscheidungs- oder Kontrollbefugnis hat, oder
für die juristische Person tätig ist und mangelnde Überwachung oder Kontrolle durch ein Organ den Verstoß ermöglicht hat § 19 Abs 1 + 2
Keine Geldbußen gegen Behörden und öffentliche Stellen § 19 Abs 5
Verletzungen des DSG 2000, die zum 25.5.18 noch nicht anhängig gemacht wurden -> Beurteilung nach neuer Rechtslage! § 76 Abs 5
Sonstige Verwaltungsübertretungen bis € 50.000.- (z.B. für Besondere Verarbeitungssituationen Kap IX DSGVO wie Beschäftigungskontext oder Bildverarbeitung) § 69
Freiheitsstrafen bis zu 1 oder Geldstrafe bis 720 Tagsätze bei Datenverarbeitung mit Vorsatz unrechtmäßiger Bereicherung oder in Schädigungsabsicht entgegen schutzwürdigen Geheimhaltungsinteresse eines Betroffenen Jahr § 70
Datenschutz-Anpassungsgesetz 2018 -
Entwurf
Datenverarbeitung zu spezifischen Zwecken u.a.:
Wissenschaftliche Forschung und Statistik § 25
Zurverfügungstellung von Adressen § 26
Freiheit der Meinungsäußerung und Informationsfreiheit - Journalistische, wissenschaftliche, künstlerische und literarische Zwecke § 27
Katastrophenfall § 28
Beschäftigungskontext § 29: Nur
ArbVG ist Vorschrift im Sinn der DSGVO
Betriebsrats-Befugnisse gemäß ArbVG bleiben unberührt
Bildverarbeitung §§ 30 - 33
Sorgfalt des ordentlichen Unternehmers (UGB § 347) verlangt
rechtlich ausreichende Umsetzung der DSGVO: angemessener Schutz des Unternehmens vor Haftungen durch angemessenen Daten-Schutz und kosten-effiziente Umsetzung: Feststellen des Schutz-Bedarfs und der geeigneten DS- Maßnahmen, deren Implementierung, kontinuierliches Prüfen und Verbessern.
Grundsatz-FRAGEN
zur DSGVO-Umsetzung:
Verlangt die DSGVO Daten-Schutz durch Einzel-Maßnahmen
oder muss ein DS-Management-System errichtet werden?
Auf was müssen sich die zu ergreifenden technischen und
organisatorischen Maßnahmen (TOMs) beziehen?
- Auf Schutz der Organisation?
- Oder - vor allem - auf den Schutz vor Risiken für die
Rechte und Freiheiten der Betroffenen?
Was sagt die DSGVO dazu?
Bringt das Österreichische Anpassungs-Gesetz hier
wesentliche Klärungen?
Verantwortlicher und Auftragsverarbeiter treffen
geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten (Abs. 1) und
die Erfüllung der in Abs. 1 genannten
Anforderungen nachzuweisen (Abs. 3); unter
anderem
ein Verfahren zur regelmäßigen Überprüfung,
Bewertung und Evaluierung der Wirksamkeit der
technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung
(Abs. 1 lit. d).
DSGVO Art 32 verlangt für Sicherheit der Verarbeitung ausdrücklich ein „Verfahren“ = eine Art von Informations-Sicherheit-Management-System (IS-MS)
Sicherheit der Verarbeitung Art
32
Risiken für die Rechte und
Freiheiten natürlicher Personen
DSGVO – Kriterien für „geeignete TOMs“? „… trifft geeignete Maßnahmen unter Berücksichtigung der …“
IS-MS V
ERTR
AU
LIC
HK
EIT
PSE
UD
ON
YMIS
IER
UN
G
+ V
ERSC
HLÜ
SSEL
UN
G
(Art
. 32
(1
) lit
a)
NEU: PERSPEKTIVENWECHSEL
„Schutz der Risiken für die Rechte und
Freiheiten natürlicher Personen“ Art 32 (1)
gem. Art. 32 DSGVO
INTE
GR
ITÄ
T
VER
FÜG
BA
RK
EIT
vgl. ISO 27001/02
Für Daten-Sicherheit
-> Ein „Verfahren“ einrichten (IS-MS)!
DS-MS für Verantwortlichen
Perspektive: Risiken für
Rechte + Freiheiten
natürlicher Personen
Rollen +
Sensi
bilis
ieru
ng +
Schulu
ng
Gru
ndsä
tze
Rechte
der
Betr
off
enen
Überm
ittl
ungen
Pfl
ichte
n
Recht
der
Mit
gliedss
taate
n
Beso
ndere
Vera
rbeit
ungs-
situ
ati
onen
Rechenschaftspflicht (Dokumentation) Art 5 Abs 2
17
Ist zusätzlich auch ein Daten-
Schutz-Management-System nötig?
Beispiel Schweiz Schweizerische Eidgenossenschaft – Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Erläuterungen zu den Änderungen vom 19. März 2014 der „Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem“, Seite 2:
Kreisler von Nebenan und die DSGVO
- kaum pb Daten
- keine sensiblen oder besonders sensitiven pb Daten
- keine riskanten Verarbeitungen (z.B. Übermittlung an
Drittländer)
- einfachste IT-Struktur und Anwendungen, keine mobilen Geräte
Daher: Keine nennenswerten Risiken für Rechte + Freiheiten von
Betroffenen
Daher dokumentiere einfach
-> geeignete Datensicherheits-Maßnahmen
-> Datenschutz-Policy
-> „eine Art von Verzeichnis der Verarbeitungstätigkeiten“?
-> jährliche Prüfung auf allfällige Änderungen vorgemerkt
-> Weiteres?
Erst-Erledigung der DSGVO-Pflichten in einem (Berater-)Tag!?
Sicherheit der Verarbeitung
Art 32
Verantwortung des
Verantwortlichen Art 24
geeignete technische und
organisatorische Maßnahmen geeignete technische und
organisatorische Maßnahmen um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten (Abs 1)
und die Erfüllung der in Abs 1 genannten
Anforderungen nachzuweisen (Abs. 3)
um den Nachweis dafür
erbringen zu können,
dass die Verarbeitung gemäß
dieser Verordnung erfolgt.
Ein Verfahren zur regelmäßigen
Überprüfung, Bewertung und Evaluierung
der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der
Verarbeitung.
Die Maßnahmen werden
erforderlichenfalls überprüft
und aktualisiert.
DSGVO – Erfordernis Datenschutz-Management-System - DS-MS?
Sicherheit der Verarbeitung
Art 32
Verantwortlicher Art 24
Implementierungskosten
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
RISIKO-ANALYSE:
Risiken für die Rechte und
Freiheiten natürlicher Personen
SCHUTZBEDARF-A. / DS-
FOLGENABSCHÄTZ.
Risiken für die Rechte und
Freiheiten natürlicher Personen
Stand der Technik angemessenen Verhältnisses
(Abs. 2)
DSGVO – Kriterien für „geeignete TOMs“? „… trifft geeignete Maßnahmen unter Berücksichtigung der …“
vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28
Ist ein DS-MS erforderlich? Wie sieht
es aus?
5 Schritte zu einem DS-MS!
1. Vorbereitung inkl. Kenntnis von SOLL
(DS-Pflichten)
2. IST-Zustand: Wo sind „Risiken für
Rechte und Freiheiten“ Betroffener?
• (sensitive) pb Daten (Kumulation!)?
• Risiko-Verarbeitungen/-IT-Strukturen?
• Risiko-Personen (User u. Betrof.)?
3. SOLL–IST-Vergleich:
• Schutzbedarf-Analyse + Risiko-Analyse
+ Datenschutz-Folgenabschätzung
-> TOMs für IS-MS und DS-MS
4. Umsetzung + Dokumentation
5. Kontrolle
+ Kontinuierliche Verbesserung
PLAN
CHECK +
ACT
DO
PD
CA
D
O
K
U
M
E
N
T
A
T
I
O
N
1. Vorbereitung
Grundsatz Rechenschaftspflicht Art 5 Abs. 2:
Verantwortlicher ist für Einhaltung der Grundsätze des Art 5
Abs 1 verantwortlich und muss deren Einhaltung nachweisen
können.
-> Nachvollziehbare DOKUMENTATION von
• SOLL-Zustand
• IST-Zustand
• RISIKO-Analysen und
SCHUTZBEDARF-Analysen / Datenschutz-Folgenabschätzung
• abgeleitete TOMs
• Umsetzungsschritte
• Kontrollen und Verbesserungs-Massnahmen
Rechtliche VORBEREITUNG in mittleren + großen Organisationen Bekenntnis der OBERSTEN LEITUNG! = Wichtigste Sensibilisierung!
UMSETZUNGS-TEAM interdisziplinär: Recht, IT, Fach-abteilung- / Prozess-Leiter = Datenverantwortliche, Mitarbeiter-Vertretung
SOLL-Zustand: ca. 30 DSGVO-Artikel häufig < 20 (Checkliste Anwendung JA / NEIN: Beispiel DS-Beauftragter) + weitere Vorschriften?
Umsetzungs-Team: Verstehen rechtlicher abstrakter DSGVO-System-Anfordg! Beispiel: PERSPEKTIVENWECHSEL: Schutz vor „Risiken für Rechte +
Freiheiten der Betroffenen aus den verwendeten pb Daten“ Auswirkungen auf SCOPE (Ort der Risiken für Betroffene - Datenarten,
Datenflüsse, Verarbeitungen, BYOD, Video, Aktenlager) Auswirkungen auf erforderliche Bearbeitungstiefe bei Erhebung IST-
Zustand, GAP-Analyse etc. BETRIEBSBLINDHEIT!!! Informationssicherheit = Schutz des
Unternehmens – Konflikt z.B. bei Mitarbeiter-Überwachung (Verhältnismäßigkeit/Interessen-Abwägung)!
Rechtliche SENSIBILISIERUNG für Umsetzungs-Team!?
Realität bei Beginn der DSGVO-Umsetzung in
Organisationen
Häufig große Unsicherheit, was zu tun ist, wie man es
angeht
Warum?
Rechtliche Rahmen für rechtlich richtige + effiziente
DSGVO-Implementierung ist häufig unklar:
Das Umsetzungs-Team muss die rechtlichen Basis-
Anforderungen des Systems und der Grundsätze der
DSGVO richtig verstehen!
Besondere rechtliche DS-Herausforderung
Bisher:
DSG zahnloser Papiertiger
DS selten zentrales Tätigkeits-Feld der Rechtsabt. oder
externen RA
DS ist komplexe fachübergreifende Materie
Teils erhebliche Defizite beim rechtlichen DS-KnowHow und DS-
Umsetzung
Keine erprobten MUSTER-Checklisten und keine erprobten
Anforderungen aus Zertifizierungs-Verfahren für DS-MS? –
Nur erste Ansätze z.B. ISO-Normen (29151-Entwurf) + DTLD +
CH + LIE
Plötzlich bis 5/2018 DSGVO umsetzen unter hohen Bußgeld-
Drohungen:
Großer Umfang 99 Artikel +173 ErwGr. verlangen Einhaltung
konkreter Rechte und Pflichten – teils neu,
abstrakter Grundsätze und
undefiniertes System für Daten-Schutz.
Basis der DSGVO:
Jahrzehntelang entwickelte Judikatur von EuGH + EGMR
Rechtlicher Bedarf für Umsetzungs-Team: z.B. 1 – 2
Tage rechtliche Schulung: „Wesentlichste rechtliche
Kriterien für DS-MS gemäß DSGVO“
Ist dazu ausreichendes internes oder externes
rechtliches Know-How verfügbar? Welches ist kosten-
günstiger?
2. IST-ZUSTAND-ERHEBUNG
IST-ZUSTAND gemäß DSGVO?
Sicherheit der Verarbeitung Art
32
Verantwortlicher Art 24
Implementierungskosten
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
RISIKO-ANALYSE:
Risiken für die Rechte und
Freiheiten natürlicher Personen
SCHUTZBEDARF-A. / DS-
FOLGENABSCHÄTZ.
Risiken für die Rechte und
Freiheiten natürlicher Personen
Stand der Technik angemessenen Verhältnisse
(Abs. 2)
DSGVO – Kriterien für „geeignete TOMs“?
„… trifft geeignete Maßnahmen unter Berücksichtigung der …“
vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28
Telefon FAX
INTERNET WiFi Modem
(WebCube 3)
Modem UPC (Zyxel)
Firewall Zyxel)
Switch Netgear)
Sicherung-
Festplatte Desktop PC 2 Drucker/
Scanner Server Desktop PC 1
Smartphone Laptop
VPN Desktop
Home
Aktenlager/
Keller
E-Mail-Server EXTERN
bei
Auftragsverarbeiter
SENSIBLE DATEN!!
IST-ZUSTAND
2 Mann-Berater
Moderne IT
3. SOLL-IST-VERGLEICH
führt zu geeigneten TOMs
(= technische und
organisatorische Maßnahmen)
File Server
Backup CRM
ERP
Backup Fileserver
Job (tägl.) Job (tägl.)
CRM System
Backup ERP
Reports
Date
n
GROSSE UNTERNEHMEN - HUNDERTE
VERARBEITUNGEN (PROZESSE) -> PRIORITÄTEN?
Develop. CRM Develop.
ERP
Develop. DW
& BI
Supp
ort
Rechtmäßigkeit Zustimmungen Zweckbindung
Datenminimierung
Berechtigungen Richtigkeit Löschen
Integrität Vertraulichkeit Verfügbarkeit
Technische Maßnahmen
Anonymisieren Pseudonym.
Verschlüsseln
Organisatorische Maßnahmen
Rechtmäßigkeit, Zweckbindung,
Datenminimierung, Speicherbegrenzung
Anonymisieren, Pseudonymisieren
Profiling-Art 22
Sicherheit der Verarbeitung Art 32
Verantwortlicher Art 24
Implementierungskosten
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
IST-ZUSTAND:
Art der Verarbeitung, deren
Umfang, Umstände und Zwecke
RISIKO-ANALYSE:
Risiken für die Rechte und Freiheiten
natürlicher Personen
SCHUTZBEDARF-A. / DS-FOLGENABSCH.
Risiken für die Rechte und Freiheiten
natürlicher Personen
Stand der Technik angemessenen Verhältnisse (Abs. 2)
DSGVO – Kriterien für „geeignete TOMs“?
„… trifft geeignete Maßnahmen unter Berücksichtigung der …“
vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28
4. + 5. Umsetzung,
Kontrolle und
Dokumentation
Zertifizierungsverfahren Vorteile einer Zertifizierung gemäß DSGVO Art 42
Einhaltung von genehmigten Zertifizierungsverfahren
a. „Gesichtspunkt, um die Erfüllung der Pflichten nachzuweisen“
• Verantwortliche (Art 24 Abs 3)
• Datenschutz durch Technikgestaltung und durch
datenschutzfreundliche Voreinstellungen (Art 25 Abs 3)
• Sicherheit der Verarbeitung (Art 32 Abs 3)
b. „Faktor, um hinreichende Garantien nachzuweisen“
• Auftragsverarbeiter (Art 28 Abs 5 und 6)
• Übermittlung vorbehaltlich geeigneter Garantien ohne
Genehmigung der Aufsichtsbehörde (Art 46 Abs 2 lit f)
c. zu berücksichtigen bei Verhängung von Geldbußen und Festlegung von
deren Höhe (Art 83 Abs 2 lit j)
Datenschutz-Management-Verfahren in ISO-Normen?
ISO/IEC 27001/02 regelt ein Management-Verfahren für Informations-
Sicherheit.
ISO/IEC 29151 (Final Draft): DS-Leitfaden für den Schutz pb Daten.
Nimmt inhaltlich direkt Bezug auf ISO/IEC 27001/02.
ISO/IEC 27018:2016-12 (Draft): „Datenschutz in der Cloud“.
Überarbeitung der ISO/IEC 27018:2014 mit speziell erweitertem
Anhang zu DS. Nimmt auch inhaltlich direkt Bezug auf ISO/IEC
27001/02
Akkreditierte Zertifizierungsstellen sollen Zertifikate zu DSGVO-
Zertifizierungsverfahren erteilen.
Unterschiedliche Zertifizierungs-Verfahren und DS-Siegel sollen
künftig gemäß DSGVO anerkannt werden.
Kriterien für die Genehmigungen solcher Verfahren und Siegel
müssen erst vom Europäische Datenschutz-Ausschuss (europaweit!)
oder der DSB festgelegt werden.
Beispiel: Kriterienkatalog für Datenschutz- Zertifizierungen der Datenschutzstelle FL Gliederung eines DS-Management-Systems ähnlich DSGVO
a. Grundsätze der Bearbeitung b. Anforderungen an die Datensicherheit c. Zulässigkeit der Datenverarbeitung d. Pflichten des Verantwortlichen und des Auftragsverarbeiters e. Rechte der Betroffenen f. Anforderungen an das Datenschutzmanagementsystem:
i. Politik ii. Verantwortlichkeit iii.Management-Review iv.Ereignis-Management inkl. Change v. Risiko-Management vi.Sensibilisierung und Kompetenz der Mitarbeitenden vii.Kommunikation viii.Dokumentation
Zum Schluss:
Geschäftsführung einer Organisation muss gemäß § 347 UGB Sorge tragen für:
geeignete Umsetzung der DSGVO (sonst Bußgeld-Zahlung etc. + Aufwand für
eine geeignete Umsetzung)
kosten-effiziente Umsetzung der DSGVO.
Für eine gesetzmäßige und kosten-effiziente Umsetzung der DSGVO muss das Umsetzungs-Team die richtigen Daten-Schutz-System-Anforderungen der DSGVO kennen.
Die DSGVO formuliert die Anforderungen besonders an ein DS-Management-System nur sehr abstrakt. DSGVO basiert auf der über Jahrzehnte entwickelten DS-Judikatur des Europäischen Gerichtshof für Menschenrechte und des EuGH. Die Anforderungen der DSGVO müssen daher im Lichte der einschlägigen Judikatur von EuGH und EGMR verstanden werden. Dieses Know-How ist intern nur in wenigen Organisationen vorhanden. Das kann zu suboptimaler Umsetzung der DSGVO führen.
Gefahr besteht auch in Form von Betriebsblindheit im Sinn bloßer Fortsetzung bisher geübter Daten-Sicherheit statt Umsetzung von Daten-Schutz im Sinn der DSGVO.
Die für eine Organisation umzusetzenden System-Anforderungen der DSGVO können auch für große Organisationen innerhalb von 1 – 2 Tagen durch einen zur DSGVO spezialisierten Juristen mit dem Umsetzungsteam ermittelt und geschult werden.
Der bloß interne Aufbau dieses rechtlichen Spezialwissens ist meist unverhältnismäßig zeitaufwändiger und teurer und in dem Ausmaß meist auch nur für die erste Umsetzung nötig.
Viel Erfolg!
Dr. Markus Frank, Rechtsanwalt
Neustiftgasse 3/5, 1070 Wien Tel. 01/523 44 02 (Fax 10)