Протокол № 1 засідання комісії з питань найменувань та пам'ятних знаків (25.05.2016)
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung · Inkrafttreten der DS-GVO am 25.05.2016...
Transcript of IT-Sicherheit im Lichte der Datenschutz-Grundverordnung · Inkrafttreten der DS-GVO am 25.05.2016...
IT-Sicherheit im Lichte der Datenschutz-GrundverordnungPragmatischer Umgang mit den neuen
Anforderungen an die IT-Sicherheit
Tim HoffmannIT-Trends Sicherheit | 29.03.2017 | Bochum
Tim Hoffmann
� Wirtschaftswissenschaften an der Universität-GH Essen� Studien-Schwerpunkte; u. a.
» Organisation » Informationsmanagement
� Seit 2002 als Berater bei der � Schwerpunkte Datenschutz und Informationssicherheit/
IT-Sicherheit in KMU � Projektleiter „UIMChange“� Datenschutzbeauftragter� Arbeitskreis „Informationssicherheit“ (networker.NRW)� Arbeitsgruppe „Datenschutz“ (UNiTS)
2IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017
Dienstleistungen
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 3
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 4
Unternehmensgruppe
Gliederung
� Einführung
� Zentrale Änderungen im Hinblick auf die IT-Sicherheit/Informationssicherheit
� Standard-Datenschutz-Modell
� Fazit: Was ist zu tun?
5IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017
� Inkrafttreten der DS-GVO am 25.05.2016
� Anwendbarkeit nach 24 Monaten, d. h. ab 25.05.2018
� unmittelbare Geltung in allen EU-Mitgliedstaaten
� Unanwendbarkeit entgegenstehender nationaler Regelungen
� aber: zahlreiche Öffnungsklauseln zugunsten einzelstaatlicher Bestimmungen
Datenschutz wird ab Juni 2018 auf gänzlich neue Füße gestellt
Wann und wie gilt die Neuregelung?
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 6
DS-GVOBDSG-Nachfolge-
Gesetz
Bereichsspezifische
Normen
Andere nationale
Anpassungsgesetze
Risikobetrachtung
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 7
Verstoß gegen
Compliance-
Anforderungen
Image
Erheblich
erhöhter
Bußgeld-
rahmen
sonstige
Sanktionen
Strafbarkeit
potentiell
persönliche Haftung
Gesamt-
schuldnerische
Haftung
Erweiterter
Aufgabenbereich der
Aufsichtsbehörden
Erheblich
erhöhter
Bußgeld-
rahmen
� In Abhängigkeit vom Verstoß
� Geldbußen von bis zu 10.000.000 EUR / 2 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist)
� Geldbußen von bis zu 20.000.000 EUR / 4 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist)
Geldbußen, Art. 83 DS-GVO
8IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017
Zentrale Änderungen für der IT
� Technische und organisatorische Maßnahmen
» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung
� Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)
» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation
� Erweiterung formaler Anforderungen
» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: „Gemeinsam Verantwortliche“
� Verhaltensregeln und Zertifizierung
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 9
Zentrale Änderungen für der IT
� Technische und organisatorische Maßnahmen
» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung
� Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)
» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation
� Erweiterung formaler Anforderungen
» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: „Gemeinsam Verantwortliche“
� Verhaltensregeln und Zertifizierung
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 10
Dokumentationsanforderungen
� Art. 5 Abs. 2 DS-GVO
» Rechenschaftspflicht hinsichtlich der Einhaltung der Grundsätze der Datenverarbeitung
� Art. 30 DS-GVO
» Dokumentation von Verarbeitungsvorgängen� Art. 33 Abs. 5 DS-GVO
» Dokumentation von Sicherheitsvorfällen� Art. 35 DS-GVO
» Datenschutz-Folgenabschätzung
(inkl. Risikobewertung)� Art. 46 DS-GVO
» Dokumentation geeigneter Drittlandgarantien
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 11
Meldepflicht bei Datenpannen
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der
Verantwortliche ohne unangemessene Verzögerung und möglichst binnen höchstens
72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde,
es sei denn, dass die Verletzung des Schutzes personenbezogener Daten
voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt.“
� Trennung zwischen Meldung an die Aufsichtsbehörde (Art. 33 DS-GVO) und Benachrichtigung an die Betroffenen (Art. 34 DS-GVO)
� grundsätzliche Verpflichtung zur Meldung bei jeder Datenpanne
� Einschränkung über Risikobetrachtung
� inhaltliche und zeitliche Vorgaben für die Meldung
� umfassende Dokumentationspflicht aller Datenschutzverletzungen, Art. 33 V DS-GVO
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 12
Auftragsdatenverarbeitung (Art. 28)
� Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters unter besonderer Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
� Erfordernis eines Vertrages zur AuftragsdatenverarbeitungAchtung: neben Schriftform auch elektronische Form zulässig
� Mindestangaben im Rahmen der vertraglichen Vereinbarung» ähnlich § 11 BDSG» Erfordernis einer schriftlichen Genehmigung von Subunternehmern» Vertragsverhältnis zum Subunternehmer muss den Anforderungen des
„Hauptvertrages“ genügen
� gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer
� erweiterte Pflichten des Auftragsverarbeiters/Auftragnehmers
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 13
Gemeinsam Verantwortliche, Art. 26 DS-GVO
� BDSG kennt die Rechtfigur des gemeinsam Verantwortlichen nicht
� wesentlicher Unterschied zur Auftragsverarbeitung, dass die gemeinsam Verantwortlichen grundsätzlich gleichberechtigt sind
� keine Auswirkungen auf das Erfordernis einer Ermächtigung zur Übermittlung
� Erfordernis eines „kleinen Vertrages zur Auftragsdatenverarbeitung“» Festlegung der Aufgabenverteilung gemäß der Pflichten nach der DS-GVO» insb. Festlegung der Wahrnehmung der Rechte der Betroffenen» insb. Festlegung der Erfüllung der Informationspflichten» Festlegung einer Kontaktstelle für die Betroffenen
� Kern der Vereinbarung ist den Betroffenen zur Verfügung zu stellen
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 14
Technische & organisatorische Maßnahmen
� IT-Sicherheit erlangt höheren Stellenwert
� Vorgaben bzgl. Angemessenheitsentscheidung
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten
und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos
für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche
und der Auftragsverarbeiter geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten; […]
� Risiko-Bewertung erforderlich
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 15
Technische & organisatorische Maßnahmen II
� Statt Kontrollziele nun Sicherheitsvorgaben/-zielen„[…] diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener
Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste im Zusammenhang mit der
Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den
Zugang zu ihnen bei einem physischen oder technischen Zwischenfall
rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen
Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
� Verweis auf Zertifizierungsmöglichkeit
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 16
Datenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung, Art. 35 DS-GVO„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,
aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge,
so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
� Risiko-Bewertung erforderlich
� insbesondere in folgenden Fällen erforderlich:» systematische und umfassende Bewertung inkl. Profiling» umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten» Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
� Mindestvorgaben zur inhaltlichen Dokumentation der Datenschutz-Folgenabschätzung (neu!)
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 17
Datenschutz durch Technik
Privacy by Design / Privacy by Default
� Unter Berücksichtigung des Stands der Technik, der […] Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen
» – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
» die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
� Risiko-Bewertung erforderlich
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 18
Verhaltensregeln, Artikel 40 DS-GVO� Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss, die
Kommission (sowie Verbände und Vereinigungen nach Genehmigung) können Verhaltensregeln erlassen
� Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten
Zertifizierung, Artikel 42 DS-GVO� Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss und die
Kommission fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –prüfzeichen
� Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der Verordnung
� Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten
Verhaltensregeln / Zertifizierung
19IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017
Woran orientieren?
Standard-Datenschutz-Modell
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 20
Standard-Datenschutz-Modell
Das Standard-Datenschutzmodell (SDM) ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren überprüfbar wird.
Wesentliche Anwendungsbereiche sind � Planung, � Einführung und � Betriebeinzelner Verfahren, mit denen personenbezogene Daten verarbeitet werden.
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 21
Standard-Datenschutz-Modell
� Überführung datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,
� Gliederung in Komponenten Daten, IT-Systeme und Prozesse,
� Einordnung von Daten in drei Schutzbedarfsabstufungen,
� Ergänzung um entsprechende Betrachtungen
� Systematisch abgeleiteter Katalog mit standardisierten Schutzmaßnahmen.
Die Veröffentlichung des Maßnahmenkatalogs ist für das Frühjahr 2017 vorgesehen
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 22
SDM: Gewährleistungsziele
� Datenminimierung
� Verfügbarkeit
� Integrität
� Vertraulichkeit
� Nichtverkettung
� Transparenz und
� Intervenierbarkeit
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 23
SDM: Gewährleistungsziele
� Datenminimierung
� Verfügbarkeit
� Integrität
� Vertraulichkeit
� Nichtverkettung
� Transparenz und
� Intervenierbarkeit
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 24
Informationssicherheits-Managementsystem
SDM: Anwendungsbereich
Nutzung durch
� verantwortliche Stellen (Unternehmen)
» systematische Planung,
» Umsetzung und
» kontinuierliche Überwachung
der erforderlichen Funktionen und Schutzmaßnahmen.
� Datenschutzbehörden
» einheitliche Systematik für
» transparentes, nachvollziehbares, belastbares Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen.
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 25
SDM: Schutzbedarfsanalyse
� Eingriffsintensität in die Grundrechte durch ein Verfahren:
» durch Rechtsgrundlage bestimmte Zweck der DV,
» Schutzbedürftigkeit,
» Dauer der Speicherung,
» Art und Anzahl möglicher Empfänger der verarbeiteten Daten.
� Vertraulichkeit
� Kumulierungseffekt
� Risikoanalyse
» Motivation zu Verstoß
» Möglichkeiten zum Verstoß
» Übermittlung (insbesondere in Drittländer)
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 26
SDM: Schutzbedarfsanalyse
� Eingriffsintensität in die Grundrechte durch ein Verfahren:
» durch Rechtsgrundlage bestimmte Zweck der DV,
» Schutzbedürftigkeit,
» Dauer der Speicherung,
» Art und Anzahl möglicher Empfänger der verarbeiteten Daten.
� Vertraulichkeit
� Kumulierungseffekt
� Risikoanalyse
» Motivation zu Verstoß
» Möglichkeiten zum Verstoß
» Übermittlung (insbesondere in Drittländer)
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 27
Risikoanalyse
Beurteilung, wie groß Wahrscheinlichkeit ist, dass trotz
getroffener Maßnahmen Datenschutzvorgaben nicht einhalten wird.
Fazit: Was ist zu tun?
� Erstellung einer Schutzbedarfsanalyse (inkl. Risikoanalyse)
� Organisation: Aufbau und/oder Anpassung» Aufbau / Überarbeitung Dokumentation
» Anpassung Prozesse / Verträge
» Verbesserung der IT-Sicherheit
» Anpassung interner Regelungen
» Meldewege
» Change-Management
� Schulung der Mitarbeiter
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 28
Fragen?
IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 29
Fragen??Diskussion??
thoffmann[at]uimc.de(0202) 265 74 - 0
Haben Sie noch Fragen?
UIMC DR. VOSSBEIN GMBH & CO. KGNützenberger Straße 11942115 WuppertalTelefon: (0202) 265 74 - 0Telefax: (0202) 265 74 - 19E-Mail: [email protected]: www.UIMC.de
UIMCert GmbHMoltkestraße 1942115 WuppertalTelefon: (0202) 3 09 87 39Telefax: (0202) 3 09 87 49E-Mail: [email protected]: www.UIMCert.de
akkr
editi
ert d
urch
:
30IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017