Datenschutz durch Technik Sicherheit der Verarbeitung nach der
Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut Eiermann Stellv. Landesbeauftragter / Leiter Bereich Technik
Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 2
Lieferanten Geschäftspartner IT-Dienstleister Konzern unternehmen Digitale Unterehmenswerte Call Center Unternehmen Joint Venture Unternehmen Kunden Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 3
http: //www. golem. de/0903/66215. html Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 4
http: //www. faz. net/aktuell/wirtschaft/unternehmen/datenpanne-telekom-stellt-strafanzeigegegen-vertriebspartner-1868281. html Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 5
http: //www. aerzteblatt. de/nachrichten/40040/Datenpanne-bei-BBK-Gesundheit Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 6
Sicherheit der Verarbeitung http: //www. informationisbeautiful. net/visualizations/worlds-biggest-data-breaches-hacks/ Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 7
Sicherheit der Verarbeitung http: //www-01. ibm. com/common/ssi/cgibin/ssialias? subtype=WH&infotype=SA&htmlfid=SEW 03059 DEEN&attach ment=SEW 03059 DEEN. PDF Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 8
25 Mai noch 79 Tage … http: //www. techconsult. de/it-security/der-security-aufschwunglaesst-auf-sich-warten Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 9
Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Wesentliche Elemente Datenschutzmanagement Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 10
Sicherheit der Verarbeitung Künftige Anforderungen der DS-GVO Nicht alles neu macht der Mai! Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 11
Gesetzliche Vorgaben für den technisch-organisatorischen Datenschutz ab 25. Mai 2018 heute § 3 a BDSG: Datenvermeidung … sind an dem Ziel Datensparsamkeit auszurichten … Anonymisierung/Pseudonymisierung § 4 e/g BDSG Verfahrensverzeichnis Art. 5 DS-GVO Grundsätze: Datenminimierung … müssen … Speicherbegrenzung Rechenschaftspflicht (Dokumentation) Art. 24, 25 DS-GVO Datenschutz durch Technik: Privacy by Design (Gestaltung) Privacy by Default (Voreinstellungen) § 9 BDSG + Anlage: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Datentrennung Art. 30 DS-GVO Verarbeitungsverzeichnis Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 12
Art. 32 Sicherheit der Verarbeitung Zutrittskontrolle Technisch-organisatorischer Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Datentrennung Datenschutz Verfügbarkeit Vertraulichkeit Integrität IT-Sicherheit Auf Maßnahmen und Methoden der IT-Sicherheit kann bei der Sicherheit der Verarbeitung nach der DS-GVO zurückgegriffen werden Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 13
Art. 32 Sicherheit der Verarbeitung Art. 5 DS-GVO Grundsätze: Rechenschaftspflicht (Dokumentation) Art. 32 DS-GVO Sicherheit der Verarbeitung: IT-Grundschutz: Verfügbarkeit Vertraulichkeit Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Risikoanalyse Sicherheitskonzept Sicherheitsmanagement IT-Grundschutz. Kompendium www. bsi. de Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 14
Sicherheit der Verarbeitung Risikoanalyse / Sicherheitskonzept Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 15
Art. 25, 32, 35 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 16
Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Risiko? voraussichtlich Art. 35 DS-GVO Datenschutz-Folgenabschätzung Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 17
Kernpunkte WP 248 9 Kriterien für ein voraussichtlich hohes Risiko: Bewertung / Scoring Automatisierte Entscheidungen Systematische Überwachung Sensible Daten (Art. 9, 10 DS-GVO) Umfangreiche Verarbeitung Zahl Betroffener Datenumfang Dauer der Verarbeitung/Speicherung Geografische Reichweite https: //www. datenschutz. rlp. de/fileadmin/lfdi/Dokumente/wp 248 rev 01_de. pdf Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 18
Kernpunkte WP 248 Kriterien für ein voraussichtlich hohes Risiko: Verknüpfung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden Verarbeitung von Daten schutzbedürftiger/abhängiger Personen (z. B. Beschäftigte, Patienten, Alte, Schutzsuchende) Innovative Verarbeitungstechniken (z. B. Gesichtserkennung, -analyse) Hinderung an Rechtsausübung, Nutzung einer Dienstleistung oder Vertragsdurchführung (z. B. Auskunfteien) Bei 2 zutreffenden Kriterien: Sicherheit der Verarbeitung nach DSGVO Eiermann DSFA Folie: 19
Art. 25, 32 Risikobewertung Art. 32 DS-GVO Sicherheit der Verarbeitung: Integrität, Vertraulichkeit, Verfügbarkeit Risikobewertung Pseudonymisierung/Verschlüsselung Regelmäßige Evaluation (Datenschutzmanagement) Normaler Schutzbedarf Risiko? Typische Szenarien Typische Gefährdungen voraussichtlich Typische Maßnahmen Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 20
Beispiel: Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 21
Beispiel: Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 22
Beispiel: Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 23
Beispiel: Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 24
Referenztabelle OPS 1. 1. 4 Schutz vor Schadprogrammen Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 25
Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 26
Art. 83 Bußgelder bei Defiziten bei der Sicherheit der Verarbeitung Art. 32 Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 27
Sicherheit der Verarbeitungsverzeichnis Art. 30 DS-GVO Name/Kontaktdaten des Verantwortlichen Verarbeitungszwecke Kategorien betroffener Personen Kategorien personenbezogener Daten Kategorien von Empfänger Datenübermittlung in Drittländer Löschfristen Technisch-organisatorische Maßnahmen Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 28
Verarbeitungsverzeichnis Art. 30 DS-GVO Sicherheit der Verarbeitung nach DSGVO 29 Eiermann 24. 11. 2020 Folie: 29
Hinweise zum Verarbeitungsverzeichnis Art. 30 DS-GVO https: //www. datenschutz. rlp. de/de/themenfelder-themen/datenschutz-grundverordung/verzeichnisvon-verarbeitungstaetigkeiten/ Sicherheit der Verarbeitung nach DSGVO 30 Eiermann 24. 11. 2020 Folie: 30
Sicherheit der Verarbeitung Datenschutzmanagement Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 31
Art. 32 Datenschutzmanagement Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Maßnahmen zur Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 32
Sicherheit der Verarbeitung nach DS-GVO BSI Standard 200 -1 IT-Sicherheitsmanagement ISO 27001 Verfahren nach Art 32 (2) Buchst. d) DS-GVO Die Methodik der ISO 27001 kann übernommen werden Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 33
Art. 32 Datenschutzmanagement Leitungsvorgaben Vearbeitungsverzeichnis Risikoanalyse Maßnahmen/Dokumentation Verantwortlichkeiten Ressourcen Umsetzung Evaluation/Anpassung Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 34
Sicherheit der Verarbeitung Nach der DS-GVO Vier ½ Schritte: Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 35
Umsetzung Art. 32 Sicherheit der Verarbeitung BDSG heute Verarbeitungsverzeichnis Was mache ich? Risikoanalyse Was betrifft mich? Sicherheitskonzept Welche Maßnahmen treffe ich? Datenschutzmanagement Wie organisiere ich das? DSFA DS-GVO 25. 5. 18 Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 36
Digitale Unternehmenswerte Materialwirtschaft Produktion Finanz- und Rechnungswesen Controlling Personalwirtschaft Forschung und Entwicklung Verkauf und Marketing Stammdatenverwaltung Produktdatenmanagement Dokumentenmanagement DS-GVO = rechtliche Verpflichtungen. Ja, aber… Schutz der digitalen Unternehmenswerte = Ihr Interesse Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 37
datenschutz. rlp. de Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 38
datenschutz. rlp. de Sicherheit der Verarbeitung nach DSGVO Eiermann Folie: 39
- Slides: 39