Ralf Bendrath Grundverordnungskonformes Big DataHandling 1 GSEDACH Sicherheitskonferenz

Ralf Bendrath Grundverordnungskonformes Big Data-Handling 1. GSE-DACH Sicherheitskonferenz "EU-Datenschutz-Grundverordnung" Frankfurt a. M. , 1. 3. 2016

I. Wann gilt die DSGVO? (ab Mitte 2018)

Wann gilt die DSGVO? Art. 2: Materielle Geltung • Automatisierte Verarbeitung • nicht: rein privat, EU-Institutionen, GASP, Strafverfolgung, außerhalb EU-Kompetenz Art. 3: Territoriale Geltung • Aktivitäten einer Niederlassung in der EU – Ort der Verarbeitung egal! • Anbieten von Diensten auf dem EU-Markt

Wann gilt die DSGVO? Art. 4, Definitionen • „Personal Data“: „any information relating to an identified or identifiable natural person ('data subject‘); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier (…)” • Recital 23: „Data which has undergone pseudonymisation (…) should be considered as information on an identifiable natural person. ”

Wann gilt die DSGVO? Recital 23: • “To determine whether a person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by any other person to identify the individual directly or indirectly. ” • “account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development. ”

Wann gilt die DSGVO nicht? Recital 23: • “The principles of data protection should therefore not apply to anonymous information, that is information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable. This Regulation does therefore not concern the processing of such anonymous information, including for statistical and research purposes. ”

Zusammenfassung Geltungsbereich • fast alle Aktivitäten in der EU bzw. auf dem EU -Markt • alle personenbezogenen oder personenbeziehbaren Daten • weite Auslegung: „single out“ – vgl. Eu. GH-Fall Breyer zu IP-Adressen • Pseudonyme genauso drin, aber dazu später • Wenn möglich anonymisieren!

II. Anforderungen an die Verarbeitung

Vorher fragen? Art. 5: Fairness Art. 6: Einwilligung, Vertrag, rechtliche Verpflichtung, vitale Interessen, hoheitliche Aufgabe, berechtigtes Interesse Art. 7(4): Koppelungsverbot Recital 38: berechtigtes Interesse: • “reasonable expectations of data subjects based on the relationship with the controller” • Kunden, aber abhängig vom Zweck • Betrugsbekämpfung, Direktmarketing, IT-Sicherheit Art. 9: berechtigtes Interesse nicht bei sensiblen Daten

Informieren? Art. 14: Immer, wenn die Daten beim Betroffenen erhoben werden Art. 14 a: Fast immer, wenn die Daten nicht beim Betroffenen erhoben werden • Ausnahme: „the provision of such information proves impossible or would involve a disproportionate effort“, dann öffentliche Information • Big Data = disproportionate effort?

Privilegierte Verarbeitung • archiving purposes in the public interest – Holocaust-, Stasi-Archive etc. • scientific and historical research purposes – incl. angewandte Forschung • statistical purposes – Aggregatdaten als Ergebnis à à à „kompatible Zwecke“ längere Speicherdauer sensible Daten erlaubt durch nationales Gesetz nicht immer Informations- oder Löschpflichten aber Art. 83: Notwendigkeitstest, Pseudonymisierung

Zusammenfassung Anforderungen • im Zweifel vorher fragen • in fast allen Fällen informieren • Ausnahme: Weiterverarbeitung zu Forschungs - oder statistischen Zwecken – nicht: erste Erhebung! – hier Pseudonymisierung und Notwendigkeitstest – siehe oben: wenn möglich anonymisieren!

III. Technisch-organisatorische Maßnahmen

Pseudonymisierung Art. 4(3 b), Definition: „(. . . ) data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution (…)” Recital 23 c: „authorised persons” Art. 23 / 30: • Teil von Data Protection by Design and by Default und von Data Security Art. 6(3 a): Ein Element, um Weiterverarbeitung zu anderen, aber kompatiblen Zwecken zu erlauben

Sicherheit Art. 31: Benachrichtigung der DPA: • “unless the personal data breach is unlikely to result in a risk for the rights and freedoms of individuals” (Beweislast!) Art. 32, Benachrichtigung der Betroffenen, außer • no high risk (verschlüsselte Daten o. ä. ) • “it would involve disproportionate effort. In such case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner. ”

Folgenabschätzung Art. 33: DP Impact Assessment mindestens dort, wo: • a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the individual or similarly significantly affect the individual; • processing on a large scale of special categories of data (…); • a systematic monitoring of a publicly accessible area on a large scale (CCTV, aber auch Google Maps? )

Bestellung eines DPO? Art. 35: • public authority or body • the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; • the core activities of the controller or the processor consist of processing on a large scale of special categories of data (…) • required by Union or Member State law

Zusammenfassung technischorganisatorische Maßnahmen • Pseudonymisierung • Sicherheit: eh klar • Folgenabschätzung bei wenigen hochriskanten Anwendungsfällen • DPO: Deutschland wird wohl BDSG-Regelung behalten

IV. Verarbeitung in Drittstaaten?

Uh-oh. . . • • in Ländern mit Adequacy-Rating ok sonst Standardvertragsklauseln oder BCRs Aber: hier alles im Fluss seit Eu. GH Schrems USA: „Privacy Shield“, und täglich grüßt das Murmeltier