DSGVO Konkrete Maßnahmen zur Umsetzung der DSGVO - 2017 Werner Sponer
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DSGVO Konkrete Maßnahmen zur Umsetzung der DSGVO © 2017 Werner Sponer
Zur Person
Werner Sponer ist Gründer und Geschäftsführer bei Sponer Consulting und
freier Mitarbeiter bei Artaker Computer Systeme. Er hat zahlreiche Kunden
zu technisch-organisatorischen Fragen der Informationssicherheit betreut,
u.a. die Wiener Zeitung, die Hirtenberger AG sowie die Vereinten Nationen.
Mit mehr als 30 Jahren Erfahrung im Bereich IT und Netzwerk-Infrastruktur
unterstützt er Unternehmen vor allem in den Bereichen Anforderungen,
Konzeption und Implementierung von IT-Lösungen.
WERNER SPONER
Werner Sponer war über 25 Jahre für die IBM Österreich tätig, u.a. als
Executive IT Architect und Consultant, und hat in dieser Rolle viele Kunden
durch kritische Projektphasen begleitet, neue Technologien eingeführt und
war als Sprecher auf internationalen Konferenzen. Im Rahmen seiner
Tätigkeit bei IBM war er auch Autor tätig und hat einige Bücher mit verfasst.
Er ist Distinguished Architect bei der Open Group und hat verschiedene
Zertifizierungen im Bereich Netzwerk-Infrastruktur, Informationssicherheit
und Datenschutz, unter anderem ISO/IEC 27001 Lead Auditor und
zertifizierter Datenschutzbeauftragter.
© 2017 Werner Sponer
Datenschutz © 2017 Werner Sponer
Warum Datenschutz ? © 2017 Werner Sponer
Datenschutz – was ist das?
Artikel 1
(Verfassungsbestimmung)
Grundrecht auf Datenschutz (Verfassungsbestimmung)
§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die
Achtung seines Privat- und Familienlebens, Anspruch auf
Geheimhaltung der ihn betreffenden personenbezogenen Daten,
soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen
eines solchen Interesses ist ausgeschlossen, wenn Daten infolge
ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden
Rückführbarkeit auf den Betroffenen einem
Geheimhaltungsanspruch nicht zugänglich sind.
„Informationelle Selbstbestimmung“ nach deutschem Recht
… ist der Schutz von personenbezogenen Daten vor missbräuchlicher
Verwendung.
© 2017 Werner Sponer
Datenüberlassung und Datenübermittlung nach DSG
Auftraggeber Datenübertragung Dritter
Datenverarbeitung
Betroffener Dienstleister
© 2017 Werner Sponer
Definitionen nach DSG2000
• „Daten“ („personenbezogene Daten“)
Angaben über Betroffene deren Identität bestimmt oder bestimmbar ist
• „nur indirekt personenbezogen“
sind Daten dann, wenn die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmbar ist
• „sensible Daten“ („besonders schutzwürdige Daten“)
Daten natürlicher Personen über ihre
– rassische und ethnische Herkunft,
– politische Meinung,
– Gewerkschaftszugehörigkeit,
– religiöse oder philosophische Überzeugung,
– Gesundheit oder ihr Sexualleben;
• „Betroffener“
jede vom Auftraggeber verschiedene natürliche oder juristische Person ... deren Daten verwendet werden;
• „Auftraggeber“
Personen die Entscheidung getroffen haben, Daten zu verwenden
• „Dienstleister“
Personen, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden
© 2017 Werner Sponer
DefinitionenFortsetzung
• „Datei“
strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind
• „Datenanwendung“
die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte
• Verarbeiten von Daten • Verknüpfen
– Ermitteln • Vervielfältigen
– Erfassen • Abfragen
– Speichern • Ausgeben
– Aufbewahren • Benützen
– Ordnen • Überlassen
– Vergleichen • Sperren
• Löschen
– Verändern
– Vernichten
– oder jede andere Art der Handhabung von Daten
© 2017 Werner Sponer
DefinitionenFortsetzung
Datengeheimnis
§ 15. (1) Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in
einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen
ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind,
unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger
Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).
(2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers)
übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft
Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von
Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum
Auftraggeber oder Dienstleister einhalten werden.
© 2017 Werner Sponer
GrundsätzeJEDERDatenverarbeitung
Datenverarbeitung gewünscht ?
Ausnahmen
Welcher Zweck ? z.B. Personalverwaltung, Videoüberwachung
Datenverarbeitung ist verboten !
Welcher Inhalt ? Datenarten z.B. Name, Adresse
Rechtliche Befugnis ? z.B. Gewerbeberechtigung
• Ausdrückliche gesetzliche Ermächtigung
oder Verpflichtung
Schutzwürdige Interessen des • Zustimmung des Betroffenen
Betroffenen nicht verletzt ? • Lebenswichtige Interessen
• Daten sind schon veröffentlicht
• Daten sind nicht personenbezogen
Meldung Datenverarbeitungsregister
Datenverarbeitung • Betroffenen Personengruppen
genehmigt bzw. gemeldet ? • Datenarten
• Empfängerkreise
• Künfig: Aufbewahrungsdauer
Übertragung ins EU-Ausland, wenn
Datenübertragung außerhalb • Ausnahmen vorliegen (Zustimmung, …)
EU / EWR zulässig ? • Gleichgestellte Länder (DS-Niveau) ?
• Standardvertragsklauseln ?
© 2017 Werner SponerGrundsätzeJEDERDatenverarbeitung
Datenverarbeitung gewünscht ?
OK
Ausnahmen Datenschutzbeauftragter ?
Welcher Zweck ? Auskunftspflicht
Datenverarbeitung ist verboten !
Welcher Inhalt ? Betroffenenrechte
Rechtliche Befugnis ? Informationspflicht
OK
Schutzwürdige Interessen des Verfahrensverzeichnis
Betroffenen nicht verletzt ?
OK Dienstleisterverträge
Datenverarbeitung
genehmigt bzw. gemeldet ?
Privacy by default / by design
OK
Datenübertragung außerhalb
EU / EWR zulässig ? Datenschutz-Folgeabschätzung
Datenverarbeitung START
© 2017 Werner SponerBeispiel einer Standardanwendung nach StMV © 2017 Werner Sponer
BeispielStandardanwendung © 2017 Werner Sponer
Strafen bei Nicht-Beachtung
DSG
• Verschiedene Tatbestände und Strafen Strafrahmen:
bis EUR 25.000
DSGVO
• Verletzung von Pflichten der Verantwortlichen
– Verstoß gegen Bestimmungen zu Datenschutz durch Technik (privacy by default)
– Verstoß gegen Bestimmungen zur Auftragsverarbeitung
– Verletzung der Vorschriften zum „Verzeichnis von Verarbeitungstätigkeiten“
– Verletzung von Datensicherheitsbestimmungen / Datenfolgeabschätzung Strafrahmen:
• Verletzung von Rechten betroffener Personen bis EUR 10Mio (2% des welt-
– Verletzung von Rechten betroffener Personen
weiten Konzernumsatzes)
– Verletzung von Bestimmungen über den internationalen Datenverkehr
– Verstoß gegen Bestimmungen gegen die Grundsätze rechtmäßiger
Datenverarbeitung
Strafrahmen:
bis EUR 20Mio (4% des welt-
weiten Konzernumsatzes)
© 2017 Werner SponerVerordnung (EU) 2016/680 © 2017 Werner Sponer
DSGVO
GRUNDSÄTZE IM VERFASSUNGSRANG:
Rechtmäßigkeit
Datenminimierung & Zweckbindung
Begrenzung der Speicherdauer
Richtigkeit
Rechenschaftspflicht
© 2017 Werner SponerDSGVO
Rechtliche Organisatorische Technische
Maßnahmen Maßnahmen Maßnahmen
Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen,
und zwar abhängig vom
• Stand der Technik,
• den Implementierungskosten,
• dem Umfang, der Umstände und der Zwecke der Verarbeitung sowie
• der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen.
Der Stand der Technik wird überlicherweise durch (inter)-national anerkannte Normen (z.B. ISO/IEC
27000:2013, BSI IT Grundschutz usw.) repräsentiert. Diese Vorgaben sind auf die Gegebenheiten der
eigenen Organisation anzupassen.
© 2017 Werner SponerEinwilligungsprozess
Die Rechtmäßigkeit der Verarbeitung pb Daten kann, sofern diese nicht der
Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung dient, insbesondere
durch die Einwilligung einer natürlichen Person sichergestellt werden. Dabei sind
die Vorgaben der DSGVO im Detail zu beachten:
• Einwilligung durch eine freiwillige eindeutige Handlung
• Nachweisbarkeit der Einwilligung
• Betroffene Personen müssen Verantwortlichkeiten und Zwecke zur
Kenntnis gebracht werden
• Erstellung einer Einwilligungserklärung
© 2017 Werner SponerInformationspflichten
• Kontaktdaten des Verantwortlichen
• Zweck
• Rechtsgrundlage
• Empfänger der Daten
• Speicherdauer der Daten
• Hinweis auf das Beschwerderecht
© 2017 Werner SponerAuftragsverarbeiter-Rahmenbedingungen
• Auswahl des Auftragsverarbeiters
• Schriftliche Vereinbarung aller rechtlichen Verpflichtungen, die durch
die Zusammenarbeit entstehen
• Identifikation aller Auftragsverarbeiter und Sub-Auftragsverarbeiter
• Prüfung bestehender Verträge auf den Mindestinhalt der DSGVO
• Regelmäßige Überprüfung, ob die rechtlichen Verpflichtungen
eingehalten werden
© 2017 Werner SponerDatenübermittlung (EU / international)
• Pb Daten dürfen nur dann in Drittstaaten außerhalb der EU
übermittelt werden, wenn sichergestellt ist, dass die Anforderungen
der DSGVO eingehalten werden:
o Prüfung vorhandener Datenflüsse in Drittstaaten außerhalb EU
o Prüfung von Erlaubnistatbeständen gemäß DSGVO
o Prüfen von Ausnahmen (Einwilligung der betroffenen Person, Vertrag,
wichtiges öffentliches Interesse, Rechtsansprüche …)
© 2017 Werner SponerRisikoanalyse
(Privacy Impact Analyse)
• Datenschutz-Folgenabschätzung
Sind die Voraussetzungen für die Durchführung gegeben?
• Besteht aufgrund der Art, des Umfanges, der Umstände und der
Zwecke der Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für
die Rechte und Freiheiten der betroffenen natürlichen Personen?
© 2017 Werner SponerBetroffenenrechte
• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch
• Festlegung und Dokumentation der Prozesse
© 2017 Werner SponerPrivacy by Design / Privacy by Default
Implementierung geeigneter TOMs, die sicherstellen, dass die
Datenschutz Grundsätze eingehalten werden
• pb Daten minimieren
• pb Daten pseudonymisieren oder verschlüsseln
• Transparenz
• pb Daten so früh wie möglich löschen oder anonymisieren
• Zugriffsmöglichkeiten auf pb Daten minimieren
• Datenschutzfreundlichste Konfiguration voreinstellen
• Dokumentation der Bewertung der Risiken für die Betroffenen
• Dokumentation der gesetzten TOMs
© 2017 Werner SponerData Breach-Prozess
Korrekte und rechtzeitige Information an Dritte sicherstellen
• Vorbereitung Data Breach
• Rollen und Verantwortlichkeiten festlegen
• Vorfall erkennen und erfassen
• Erst-Einschätzung durchführen
• Sofortmaßnahmen ergreifen
• Information an den Verantwortlichen (z.B. Top Management)
• Öffentlichkeitsarbeit sicherstellen („Notfall“-Hotline)
• Information der betroffenen Personen
• Information an die Aufsichtsbehörde binnen 72 Stunden
© 2017 Werner SponerDatenschutzbeauftragter
Stellt die Einhaltung der DSGVO und ein funktionierendes DSMS sicher.
Erfüllung der Rechenschaftspflicht des Datenverarbeitenden
• Ansprechpartner für Aufsichtsbehörde und Betroffene
• Beratung von Top Management, Mitarbeitern, Betroffenen
• Schulung von Mitarbeitern
• Überwachung bei Implementierung eines DSMS
• Überwachung bei der Datenschutz-Folgenabschätzung
• Überwachung des Verfahrensverzeichnisses
• Berichterstattung an das Top Management
• Durchführung von internen datenschutzrechtlichen Audits
© 2017 Werner SponerDatenschutz-Policy
• Erstellung eines High-Level-Dokuments aus Organisationssicht,
welches vom Top-Management in Kraft zu setzen ist.
• Festhalten und Nachweis der etablierten Regelungen
• Verknüpfung der Richtlinien
• Integration im ISMS
© 2017 Werner SponerMitarbeiter sensibilisieren und schulen
• Schulung aller Mitarbeiter, die mit pb Daten zu tun haben, auf
o Das Datenschutzkonzept und die DSGVO,
o Wichtige Bestimmungen in der Organisation,
o Gesetzliche Bestimmungen, welche Mitarbeiter direkt betreffen sowie
o Die Konsequenzen bei Nichteinhaltung
• Basis-Schulung für Datenschutz und Informationssicherheit
• Dokumentation der Schulung (Unterschriftenliste…)
© 2017 Werner SponerDatensicherheitsmaßnahmen (TOMs)
Kommunikations- Betriebssicherheit Kryptografie Lieferantenbeziehungen
Compliance
sicherheit
Zugangs- Systeme (Anschaffung, Entwicklung, Business Continuity Informationssicherheits
steuerung Instandhaltung) Management Vorfälle
Organisation der Verwaltung von Werten Personal- Physische und umgebungsbezogene
Informationssicherheit Datenklassifizierung sicherheit Sicherheit
Zentrale Informationssicherheitsvorgaben:
Leitlinie und Strategie für Informationssicherheit und Datenschutz
© 2017 Werner SponerDatensicherheitsmaßnahmen (TOMs)
Betriebsabläufe: Umgang mit Software-Entwicklung
Wartung, Change- Schwachstellen (Patching) und Installation
Management,
Störungsbeseitigung
Backup Logging Schutz vor Schadsoftware
Betriebssicherheit
© 2017 Werner SponerTechnisch organisatorische und rechtliche Maßnahmen im Überblick © 2017 Werner Sponer
Informationssicherheit oder Datenschutz ?
Informationssicherheit Datenschutz
Schutz vor
ISMS Datenverlust DSMS
Integrität
IT-Dokumentation
Schulung Betroffenenrechte
Verschlüsselung
Risikomanagement
Antivirus Auskunftsrecht
Unternehmenswerte Zugriffschutz Physische Sicherheit
Rechtevergabe Sichere Archivierung Personenbezogene
Daten
Verfügbarkeit
Zutrittschutz
Backup
Protokollierung Verfahrensverzeichnis
Firewall
Vertraulichkeit
Datenlöschung
Eigentümer Gesetzgeber
© 2017 Werner SponerProjektablauf © 2017 Werner Sponer
ISO/IEC 27001 & 27002 © 2017 Werner Sponer
Kataloge für Informationssicherheit:
BSI Grundschutzkatalog
Quelle: BSI
© 2017 Werner SponerÖsterreichisches Informationssicherheitshandbuch © 2017 Werner Sponer
Vergleich der Maßnahmenkataloge © 2017 Werner Sponer
ISIS12 - Schichten und Bausteine
ISIS12:
Informations-
Sicherheitsmanagement-
System
in 12 Schritten
ISIS12 wird vom Netzwerk
Informationssicherheit im
Mittelstand (NIM) des
Bayerischen IT-
Sicherheitscluster e.V. für
mittelständische
Unternehmen und
Organsiationen entwickelt.
© 2017 Werner SponerZum Nachlesen Grundschutzkatalog des BSI https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.htm ISIS12 https://www.it-sicherheit-bayern.de/produkte-dienstleistungen/isis12/isis12-fuer-kmu.html Österreichisches Informationssicherheitshandbuch https://www.sicherheitshandbuch.gv.at/ Massnahmenkatalog des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at https://www.privacyofficers.at/Privacyofficers_Checkliste_Umsetzung_DSGVO_v2.0.pdf Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten https://www.privacyofficers.at/Privacyofficers_Rollenbild_v1.0.pdf © 2017 Werner Sponer
DSGVO - Projektstart
Vortrag DSGVO-
Orientierung
Workshop
• Einführung in die DSGVO und DSGVO Project Definition
Änderungen zum DSG 2000
Workshop
• Was bedeutet das für Ihr Standortbestimmung der
Unternehmen? • Welche Daten werden verarbeitet?
• Was erwartet Sie? Was ist zu tun? • Wie und wo werden die Daten Informationssicherheit:
• Welche rechtlichen, organisatorischen verarbeitet (personenbezogenen und
und technischen Themen müssen nicht personenbezogenen)? • Erhebung kritischer
berücksichtigt werden? • Analyse der Datenflüsse: Wo werden die Datenanwendungen und Datenströme,
• Tipps zur Umsetzung Daten erstellt, wohin werden die Daten welche IT-gestützt verarbeitet werden
übermittelt? • Wie und wo werden die Daten
• Gefahren & Risiken hinsichtlich verarbeitet? Analyse auf technischer
Informationssicherheit Ebene
• Analyse der Notfallvorsorge • Überprüfung der bereits getroffenen
• Schriftliche Zusammenfassung der Maßnahmen im Rahmen eines
erhobenen Informationen und des interviewbasierten Audits
Workshops • Begehung der IT-Infrastruktur am
Standort
• Erstellung eines Audit-Berichts mit
Maßnahmenempfehlungen hinsichtlich
Informationssicherheit auf Basis der
beim Audit erhobenen Informationen
© 2017 Werner SponerHvala
Gracias Spanish
Slovenian
Traditional Chinese Dziękuję Thai
Polish
Korean
Merci French
Спасибо Russian
Obrigado Arabic
Brazilian Portuguese
Danke German
Tack
Swedish
Simplified Chinese Köszönöm Hungarian
Japanese Grazie
Italian
Dankie ευχαριστ
ώ
Afrikaans
Greek
© 2017 Werner SponerSie können auch lesen
