Bayerisches Landesamt für - bvdnet.de · Beispiele für Verarbeitungen, die ein hohes Risiko haben: • Bewertung/Profiling mit Rechtsfolgen • Umfangreiche Verarbeitung besonderer

BVD Verbandstage 2019– Andreas Sachs

Die Datenschutz-Folgenabschätzung

Durchführung und Eindämmung der Risiken für die Rechte und Freiheiten der

betroffenen Personen

Bayerisches Landesamt für

Datenschutzaufsicht

BayLDA


Kurzvorstellung

Andreas Sachs

ist Informatiker, Leiter des Referats „Cybersicherheit & Technischer Datenschutz“

und Vertreter des Präsidenten beim Bayerischen Landesamt für

Datenschutzaufsicht (BayLDA) in Ansbach.

Automotive

ZertifizierungVerschlüsselungsverfahren

Datenpannen & Hacking

IT-Sicherheit

Trackingverfahren

Einige Schwerpunktthemen (unter DS-GVO)

Privacy by Design

Datenschutzfolgenabschätzung

Rechenschaftspflicht

BayLDA


Die DS-GVO stärkt den „technischen“ Datenschutz deutlich

Transparenz Datenminimierung Betroffenenrechte Löschung/Sperrung

Datenschutzkonforme

VerarbeitungSecurity Profiling Rechenschaftspflicht

Managementsysteme Auftragsverarbeitung„Big-Data“und

„Künstliche Intelligenz“Zweckbindung

SpeicherbegrenzungDatenschutz durch

Technikgestaltung

Datenschutzfolgen-

abschätzung

Umgang mit

Datenschutz-

verletzungen

Big Picture: Security und IT-Privacy in der DS-GVO

BayLDA


Kernelemente:

• Geeignete technische und organisatorische Maßnahmen

bei einem hohen Risiko ausgewählt werden

• Die Risiken der Rechte und Freiheiten für den Betroffenen

eingedämmt werden

• Der Datenschutzbeauftragte berät bei der Durchführung

einer DSFA

Artikel 35 DS-GVO: Datenschutzfolgenabschätzung

BayLDA


Kernelemente:

Beispiele für Verarbeitungen, die ein hohes Risiko haben:

• Bewertung/Profiling mit Rechtsfolgen

• Umfangreiche Verarbeitung besonderer personenbezogener Daten

• Systematische umfangreiche Überwachung öffentlicher

Bereiche

• Systematische Beschreibung der geplanten Verarbeitungsvorgänge

• Bewertung der Risiken für die Rechte und Freiheiten der betroffenen

Personen

• Darstellung der zur Bewältigung der Risiken geplanten

Abhilfemaßnahmen

Artikel 35 DS-GVO: Datenschutzfolgenabschätzung

BayLDA


• DSFA vs. Vorabkontrolle

Gab‘s nicht so was ähnliches unter BDSG(alt)?

BayLDA


Vorabkontrolle BDSG (alt)

Automatisierte

Verarbeitung

Besondere

Risiken

Verarbeitung

besonderer Arten

personenbezogen

er Daten

Bewertung der

Persönlichkeit,

Leistung,

Verhalten

Beispiele

Vorab-

kontrolle

Fragen:

• Wie werden besondere Risiken

ermittelt?

• Wie wird eine Vorabkontrolle

durchgeführt?

• Wie wird mit dem Ergebnis einer

Vorabkontrolle umgegangen?

Rechtsgrundlage:

Einwilligung

Gesetz

Vertrag

Nein


BayLDA


Besondere

Risiken

nach

BDSG(alt)

Risiken

Risiken

nach DS-

GVO

Gemeinsamkeiten

Risiken der Rechte und

Freiheiten

Unterschiede

In der DS-GVO ist z.B. nicht

jede Verarbeitung besonderer

Arten pbD ein hohes Risiko

In der DS-GVO ist z.B. eine

Standard-Videoüberwachung

kein hohes Risiko

Praxisvollzug:

Es gibt weit mehr

Risikobereiche außer den zwei

im BDSG genannten

Beispielen. Allerdings wäre

mittels „insbesondere“ heute

auch schon mehr möglich

gewesen

Umfang des relevanten Risikoblickwinkels


BayLDA


Zusammenfassung Vorabkontrolle vs. DSFA:

• Beide Vorschriften adressieren die Rechte und Freiheiten

• Die Methodik zur Bestimmung der „besonderen Risiken“ bezüglich der Vorabkontrolle ist unklar

• Die hohen Risiken der DSGVO werden nur einige Bereiche umfassen, bei denen jetzt eine

Vorabkontrolle notwendig war:

• Eine Videoüberwachung, die nicht umfangreich+systematisch ist und keine neuen Technologien

beinhaltet fällt nicht unter eine DSFA

• Die Analyse des Internet-Traffic von Beschäftigten unterliegt nicht zwangsläufig einer DSFA

• Eine DSFA ist deutlich methodischer, systematischer, risikoorientierter und von der Durchführung

umfangreicher als eine Vorabkontrolle und wird von einem DSFA-Team durchgeführt

• Es gibt (Stand heute) keine anwendbaren Ausnahmeregelungen bei der DSFA

Merke: Eine Datenschutzfolgenabschätzung ist keine Vorabkontrolle 2.0


BayLDA


Risiko = Eintrittswahrscheinlichkeit Schaden

Operator ist nicht mathematisch zu verstehen, sondern bedeutet

eher „ins Verhältnis“ setzen

Schäden nach DS-GVO (EW 75):• Materielle Schäden (z.B. Finanzieller Verlust)

• Immaterielle Schäden (z.B. Rufschädigung, Diskriminierung)

• Physische Schäden (z.B. Verletzung der körperlichen Unversehrtheit)

• Grundrechtsdogmatik meets Risiko:Ungerechtfertigte Beeinträchtigungen (Grundrechtsverletzungen) werden

zu immateriellen Schäden gerechnet

Risiko-“Berechnung“

BayLDA


• Datenschutz-Risiko

Ursachen von Schäden an Grundrechten

Geplante

Verarbeitung

Eigenverantwortliche

AbweichungFremdverursachte

Abweichung

Beispiel:

• Biometrisches Template

in Reisepass

• Punkteregister Flensburg

Beispiel:

• Zweckdehnung von Kundendaten

• „Ausplaudern“ durch Arzthelferin

Beispiel:

• Hacking von Web-Shop

• Diebstahl von Notebook

BayLDA



3 Risikobereiche in DS-GVO

Kein/Geringes Risiko Risiko Hohes Risiko

BayLDA


Beispiele für eine Risikomatrix (BayLDA in Anlehnung an ISO-Norm)


BayLDA


Beispiele für eine Risikomatrix (DSK-Kurzpapier Risiko)


BayLDA


Risikoeindämmung

Verarbeitung

personenbezogener DatenRisiko

Technische

und

Organisatorische

Maßnahmen

(TOM)

Hohes

Risiko

Risiko

Kein

Risiko

Grundsatz

der Verhältnis-

mäßigkeit


BayLDA


Risikoeindämmung

Verarbeitung

personenbezogener Daten

Vertraulichkeit

Verfügbarkeit

Integrität

Schutzziel

Unbefugte Zugriffe/Offenlegung

Ungewollte Ereignisse

Unrechtmäßige Verarbeitung

Transparenz

Zweckbindung

Datenminimierung

Speicherbegrenzung

Richtigkeit

Erstmal Blick auf

legitime Verarbeitung

Betroffenenrechte

TOMs aus Informations-

Sicherheit (Security Controls)

TOMs aus Technischem

Datenschutz (Privacy Controls)


BayLDA


Wann liegt ein hohes Risiko im Sinne einer DSFA vor?

Verarbeitung

personenbezogener Daten

Keine TOMs

+

=(fast immer)

Hohes

Risiko

Kann das sein:

- Bäcker braucht DSFA ?

- Musikverein braucht DSFA ?

- Bauunternehmen braucht DSFA ?

- Tierarzt braucht DSFA?

- Kleine Bank braucht DSFA?

- Online-Shop braucht DSFA?

…


BayLDA


Wann liegt ein hohes Risiko im Sinne einer DSFA unter

Berücksichtigung von Art. 25 und Art. 32 DS-GVO vor?

Die Wirksamkeit der TOM muss nachweisbar im Sinne der

Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO sein

• Verhältnis Privacy by Design/Security zu hohem Risiko

BayLDA


Muss-Listen (Art. 35 Abs. 4 DS-GVO)

• Von den deutschen Aufsichtsbehörden in der UAG-DSFA entwickelt

• Aktuell (Stand 17.10.2018) Version 1.1

• Abrufbar auch unter datenschutzkonferenz-online.de

• Enthält erste europaweit harmonisierte Anpassungen

• Enthält momentan 17 Verarbeitungen auf mittlerem Abstraktionsniveau

• Muss-Listen gelten zusätzlich zu den drei Beispielen aus Art. 35 Abs. 3:

• Profiling mit Rechtswirkung

• Umfangreiche besondere Arten personenbezogener Daten

• Systematische umfangreiche Überwachung öffentlicher Bereiche

• Was sagen die Aufsichtsbehörden zum hohen Risiko

BayLDA


Muss-Listen (Art. 35 Abs. 4 DS-GVO): Beispiel

• Was sagen die Aufsichtsbehörden zum hohen Risiko

BayLDA


Skizze eines rein fiktiven Anwendungsfalles im Bereich Videoüberwachung

Hans Arena

• Genug der Theorie: Ein Beispiel

BayLDA


• Ca. 100 Kameras überwachen den gesamten

Stadionbereich

• Tribünen

• Innengebäude

• Ein- und Ausgänge

• Parkplätze

• Spezialkameras mit extremer Tiefenschärfe

• Es dürfte eine systematische umfangreiche Überwachung

öffentlich zugänglicher Bereiche stattfinden

(Art. 35 Abs. 3 Lit. c)

Anwendungsfall: Großes Fußballstadium

Videoüberwachung nach DS-GVO und

BDSG

2

2

„Somit gehen kaum Details verloren und es ergeben sich

umfangreiche Analyse- und Auswertemöglichkeiten. “

BayLDA


Risikomodellierung:

Es werden bei einer DSFA die Ursachen (Risikoquellen) des

Datenschutzrisikos genau analysiert – EW 84 „mit der insbesondere

die Ursache … des Risikos“.


Videoüberwachung nach DS-GVO und

BDSG

2

3

Risikoquellen

„Hacker“

Polizei

Betreiber VÜ-Anlage

Herstellerfirma (AV)

Admin

Security-Abteilung

BayLDA



Grundsatz Risikobeschreibung

(Ereignis)

Risiko-Quelle Eintritts-

wahrscheinlichkeit

Schaden Risiko

Vertraulichkeit Mitschneiden der

Videoaufnahmen

„Hacker“ Wesentlich Wesentlich Risiko

Verfügbarkeit Abschalten der VÜ

bei einem

Risikospiel

„Hacker“ Substantiell Groß Hohes Risiko

Zweckbindung Permanente

Auswertung der

Aufnahmen bei

Bagatelldelikten

Polizei Überschaubar Substantiell Hohes Risiko

Zweckbindung Abgleich der VÜ-

LiveDaten mit

Facebook-Profilen

Betreiber VÜ-

Anlage

Wesentlich Wesentlich Risiko

Zweckbindung Auswertung der

hochauflösenden

Aufnahmen von

Zuschauern ohne

triftigen Anlass

Betreiber VÜ-

Anlage

Maximal Wesentlich Hohes Risiko

BayLDA



Grundsatz Risikobeschreibung

(Ereignis)

Risiko-Quelle Eintritts-

wahrscheinlichkeit

Schaden Risiko

Zweckbindung Verwendung von

Aufnahmen zu

Entwicklungszwecken

Hersteller Maximal Wesentlich Hohes Risiko

Zweckbindung Speicherung von

Nahaufnahmen von

Zuschauerinnen für

die private Sammlung

Admin Überschaubar Substantiell Risiko

Zweckbindung Speicherung von

hochauflösenden

Fotos potentieller

Störenfrieden auf

privaten Geräten +

Kommunikation über

Whatsapp

Security-

Abteilung

Maximal Maximal Hohes Risiko

Noch ca. x-y weitere Datenschutzrisiken bei Einsatz der VÜ (z.B. Mangelnde Transparenz,

Überwachung von Toilettenbereichen, Auswertung Bierkonsum, Fehlkonfiguration VÜ-Anlage,…)

BayLDA



Welche Security-TOM stehen zur Verfügung (Beispiele):

Patch-ManagementStandard-Passwörter

ändern

Rollen-/Rechte

Konzept

Netztrennung (vom

Internet)

Fernzugriff regelnIntrusion Detection

SystemHTTPS-Verschlüsselung

Passwörter nur

gehasht übertragen

Protokollierung von

Fehlermeldungen

Konfiguration-Backups

sicher verwahrenIdentitätsmanagement

Protokollierung der

Benutzertätigkeiten

BayLDA



Welche Privacy-TOM stehen zur Verfügung (Beispiele):

Aufzeichnungszonen

festlegen (z.B.

Schwärzen)

Aufzeichnungszeiten

anpassen (z.B. nur bei

erhöhter Gefahr)

Verpixelung (je nach

Nutzer-Rolle)

Speicherdauer

beschränken (72

Stunden?)

Dezentrale

Verarbeitungslogik

(nah an Sensor)

Auflösung an Nutzer-

Rolle koppeln

Protokollierung +

Reporting (zu

Nachweiszwecken)

BayLDA


Grundsatz Risikobeschreibung Risiko-Quelle Eintritts-

wahrscheinlichkeit

Schaden Risiko


Videoaufnahmen

„Hacker“ Wesentlich Wesentlich Risiko

Maßnahmen zur Risikoeindämmung:

• Eigenes VÜ-Netz in Stadion/Fußweg

• Mehrstufige Firewall auf Speichersystem

• Durchführung von Pen-Tests

• Striktes Patch-Management

• Regelmäßige Audits


wahrscheinlichkeit

Schaden Risiko


Videoaufnahmen

„Hacker“ Überschaubar Überschaubar Kein Risiko

BayLDA




wahrscheinlichkeit

Schaden Risiko


hochauflösenden

Aufnahmen von

Zuschauern ohne

triftigen Anlass

Betreiber VÜ-

Anlage

Maximal Wesentlich Hohes Risiko


wahrscheinlichkeit

Schaden Risiko


hochauflösenden

Aufnahmen von

Zuschauern ohne

triftigen Anlass

Betreiber VÜ-

Anlage

Begrenzt Begrenzt Risiko

Maßnahmen zur Risikoeindämmung:

• Erstellung VÜ-Konzept

• Einführung Rollen-/Rechtekonzept für Zugriff

• Protokollierung Zugriffe

• Keine Speicherung auf externe Medien

• Regelmäßige Audits durch DSB

BayLDA


Risikovergleich: Vorher <-> Nachher

• Ziel ist die Risikoeindämmung

42

36

32 7

1

1

9

13

5

BayLDA


Welche bestehenden Methoden gibt es für eine DSFA?

• Abgestimmtes Vorgehensmodell der DSKhttps://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf

• Anwendbarkeit des Standard-Datenschutzmodells (SDM)

https://www.datenschutzzentrum.de/sdm/

• Anwendbarkeit der ISO-Norm 29134 (Privacy Impact Assessment)https://www.lda.bayern.de/de/dsfa.html

• CNIL-Methodehttps://www.cnil.fr/en/privacy-impact-assessment-pia

• Zum Lesen

Die verschiedenen Methoden müssen alle das „Herzstück“ einer DSFA –

die Risikobeurteilung und Eindämmung – nach DS-GVO

berücksichtigen

BayLDA


Vielen Dank für ihre Aufmerksamkeit

Documents

Bayerisches Landesamt für - bvdnet.de · Beispiele für Verarbeitungen, die ein hohes Risiko haben: • Bewertung/Profiling mit Rechtsfolgen • Umfangreiche Verarbeitung besonderer