Datenmanagement - der richtige Umgang mit Daten · 2019. 6. 17. · Datenmanagement - der richtige Umgang mit Daten DS-GVO: Aspekte der Sicherheit der Verarbeitung Dr. Bernd Schütze

Datenmanagement - der richtige Umgang mit Daten DS-GVO: Aspekte der Sicherheit der Verarbeitung

Dr. Bernd Schütze AWMF-Seminar Vereinsmanagement, 07. November 2018

Studium − Informatik (FH-Dortmund) − Humanmedizin (Uni Düsseldorf / Uni Witten/Herdecke) − Jura (Fern-Uni Hagen)

Ergänzende Ausbildung − Datenschutzbeauftragter (Ulmer Akademie für Datenschutz und IT-Sicherheit) − Datenschutz-Auditor (TüV Süd) − Medizin-Produkte-Integrator (VDE Prüf- und Zertifizierungsinstitut)

Berufserfahrung − Über 10 Jahre klinische Erfahrung − Mehr als 20 Jahre IT im Krankenhäusern

− > 20 Jahre Datenschutz im Gesundheitswesen

Mitarbeit in wiss. Fachgesellschaften − Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V.

(GMDS) − Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) − Gesellschaft für Informatik (GI)

Mitarbeit in Verbänden − Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) − Berufsverband Medizinischer Informatiker e.V. (BVMI) − Fachverband Biomedizinische Technik e.V. (fbmt) − HL7 Deutschland e.V. − HE Deutschland e.V.

Deutsche Telekom Healthcare and Security Solutions GmbH Dr. Bernd Schütze Senior Experte Medical Data Security

+49 (160) 9566 - 3145 [email protected]

Vita

AWMF-Seminar Vereinsmanagement, 07. November 2018

− Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design / Privacy by Default“)

− Sicherheit der Verarbeitung − Verzeichnis der Verarbeitungstätigkeiten − Umsetzungshinweise − „Werbeblock“

Agenda

Was möchte ich vorstellen?


PriVacy by Design/Default: anforDerungen aus art. 25 Ds-gVo

− Begriff „Privacy by Design“ wurde 1. Mal von Ann Cavoukian verwendet − Privacy by Design:

• Konzept, das auf IT-Systeme, Geschäftspraktiken, physikalisches Design und Netzwerkarchitekturen anwendbar ist

• Ziel: Gewährleistung von Datenschutz und die persönliche Kontrolle über die eigenen Daten

• Mittel: Berücksichtigung von Datenschutzaspekten während der Designphase

Grundsätzliches

Privacy by Design


− Normadressat • Für die Daten Verantwortliche, nicht Hersteller

− ErwGr. 78 „[…] sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Auslegung der Produkte, Dienste und Anwendungen zu berücksichtigen“

− Verantwortlicher darf (u.a.) nur Software einsetzen, die Privacy by Design/Default erfüllt

• Keine Pflicht des Auftragsverarbeiters zur Unterstützung • Kundenservice?

Wer muss sich darum kümmern?

Art. 25: Privacy by Design/Default


− Treffen geeigneter technisch-organisatorische Maßnahmen (Art. 25 Abs. 2) • zur Umsetzung der Datenschutzgrundsätze • zur Durchsetzung der Betroffenenrechte

− unter Berücksichtigung (Art. 25 Abs. 1) • des Stands der Technik • der Implementierungskosten • der Art, Umfang, Umstände und Zwecke • der Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und

Freiheiten natürlicher Personen − Hinweis: Genehmigtes Zertifizierungsverfahren gemäß Artikel 42 bietet Möglichkeit,

Anforderungen nachzuweisen

Anforderungen



− […] trifft der Verantwortliche sowohl • zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch

• zum Zeitpunkt der eigentlichen Verarbeitung

− geeignete technische und organisatorische Maßnahmen [...], − die dafür ausgelegt sind,

• die Datenschutzgrundsätze (siehe Art. 5 DS-GVO) [...] wirksam umzusetzen und

• die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und

• die Rechte der betroffenen Personen zu schützen

− CAVE: Art. 25 enthält im Gegensatz zu Art. 32 keine Beschränkung bzgl. „Angemessenheit“ der Maßnahmen

Anforderungen



− „Treffen geeigneter technisch-organisatorische Maßnahmen“ → Privacy by Design/by Default betrifft sowohl die technische als auch organisatorische

Komponenten → Anforderung an IT-Systeme → Anforderung an die Organisationsabläufe

• Auch diese müssen entsprechend „designed“ werden

Anforderungen



Beschränkung der Verarbeitung durch Voreinstellung auf das Erforderliche: − Beschränkung auf den oder die Verarbeitungszweck(e) − Beschränkung der Datenmenge − Beschränkung des Verarbeitungsumfangs − Beschränkung der Speicherfristen − Beschränkung der Zugänglichkeit

Anforderungen



PriVacy by Design/Default: stanD Der technik

− Verbindlichkeit der Norm regelt sich durch die Vereinbarung der beteiligten Parteien, für welche die Norm(en) Leistungsgrundlage sein soll

− Normen stellen nicht zwangsläufig eine Regel oder Stand der Technik dar: • Anerkannt ist eine Regel dann, wenn Fachleute sie anwenden und sich dabei sicher sind, dass sie

dem Stand der Technik entspricht • Z. B. kann eine Norm in Deutschland nicht angewendet werden, wenn ein entsprechendes fachliches

Gutachten einer qualifizierten Stelle dies begründet

− Ist die Anwendung bestimmter Normen in einem Gesetz vorgeschrieben, so ist deren Einhaltung selbstverständlich auch Pflicht

Normen?

Stand der Technik


„The 7 Foundational Principles“ von Ann Cavoukian, Ph.D. − Information & Privacy Commissioner

Ontario, Canada 1) Proactive not Reactive; Preventative not Remedial 2) Privacy as the Default Setting 3) Privacy Embedded into Design 4) Full Functionality — Positive-Sum, not Zero-Sum 5) End-to-End Security — Full Lifecycle Protection 6) Visibility and Transparency — Keep it Open 7) Respect for User Privacy — Keep it User-Centric

Normen sind hier nicht der Weg …

Stand der Technik


− Privacy by Design Ansatz ist von proaktiven, nicht von reaktiven Maßnahmen geprägt − Privacy by Design soll Datenschutzverletzungen verhindern − Privacy by Design bietet keine Abhilfe, wenn Datenschutzverletzungen eingetreten

sind!

1) Proaktiv, nicht reaktiv; als Vorbeugung und nicht als Abhilfe

The 7 Foundational Principles


− Privacy by Design soll den bestmöglichen Schutz der Privatspäre gewährleisten → Zielsetzung

− Einzelperson muss nichts für den Schutz leisten − Schutz ist systemimmanent als Standardeinstellung vorhanden → Einzelperson kann den Schutz verringern

2) Datenschutz als Standardeinstellung



− Privacy by Design ist in das Design und die Architektur von IT-Systemen und Geschäftspraktiken eingebettet.

− Datenschutz ist ein wesentlicher Bestandteil des Systems, ohne Abstriche bei der Funktionalität.

3) Datenschutz ist in das Design eingebettet



− Privacy by Design kommt allen berechtigten Interessen und Zielen entgegen − PbD = Positivsumme: ein zufriedenstellendes Ergebnis für beide Seiten − Kein (veralteter) Nullsummenansatz

• Datenschutz ist konstruktiver Begleitansatz • Datenschutz ist keine Verhinderung!

4) Volle Funktionalität – eine Positivsumme, keine Nullsumme



− Privacy by Design: von der Ersterfassung bis zum Löschen − Wirkung von PbD muss den gesamten Lebenszyklus der Daten umfassen!

5) Durchgängige Sicherheit. Schutz während des gesamten Lebenszyklus



− Privacy byDesign gibt allen Beteiligten Sicherheit. − Einzelne Komponenten und Verfahren bleiben sichtbar und transparent;

gleichermaßen für Nutzer und Anbieter.

6) Sichtbarkeit und Transparenz – Für Offenheit sorgen



− Privacy by Design fordert: • Interessen der Einzelpersonen stehen an erster Stelle!

7) Wahrung der Privatsphäre der Nutzer: Für nutzerzentrierte Gestaltung sorgen



Wahrung Datenschutzgrundsätze, d. h. per „Voreinstellung“ grundsätzlich nur Verarbeitung − für den jeweiligen

bestimmten Verarbeitungszweck − nur die Menge an Daten und − den Verarbeitungsumfang − unter Beachtung der

erforderliche Speicherfrist − und wahren nur der

erforderlichen Zugänglichkeit

Berücksichtigung Artt. 5, 32

Technisch-organisatorische Maßnahmen (TOM)

→ Anforderungen von Art. 5 einhalten

→ Sicherheit der Verarbeitung gefordert (Art. 32)


sicherheit Der Verarbeitung

− Treffen geeigneter technisch-organisatorische Maßnahmen (Art. 32 Abs. 1) • um ein dem Risiko angemessenes Schutzniveau zu gewährleisten

− unter Berücksichtigung (Art. 32 Abs. 1) • des Stands der Technik • der Implementierungskosten • der Art, Umfang, Umstände und Zwecke • der Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und

Freiheiten natürlicher Personen − Hinweis: Genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor zum

Nachweis der Anforderungen dienen

Rechtliche Anforderungen

Sicherheit der Verarbeitung


Beschränkung der Verarbeitung durch Voreinstellung auf das Erforderliche: − Beschränkung auf den oder die Verarbeitungszweck(e) − Beschränkung der Datenmenge − Beschränkung des Verarbeitungsumfangs − Beschränkung der Speicherfristen − Beschränkung der Zugänglichkeit

Inhalt der Pflicht



Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung − des Stands der Technik, − der Implementierungskosten und − der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie − der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die

persönlichen Rechte und Freiheiten geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO)

Technisch-organisatorische Maßnahmen (TOM) gefordert



Die Beurteilung der Angemessenheit ist eine Abwägung beinhaltend − Stand der Technik − Implementierungskosten − Art, Umfang, Umstände und Zwecke der Verarbeitung − Eintrittswahrscheinlichkeit − Schwere des Risikos für die persönlichen Rechte und Freiheiten

Angemessene Maßnahmen



§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten

(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:

1. […],

2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,

3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,

4. Benennung einer oder eines Datenschutzbeauftragten,

5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,

6. […] oder

7. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.

− Anforderung 1, 6-9: zu Art. 32 DS-GVO praktisch identische Anforderungen

− Aber: Sämtliche Maßnahmen von Abs. 2 müssen bzgl. Notwendigkeit und Angemessenheit geprüft werden*

Ergänzend: § 22 Abs. 2 BDSG n.F.


* Weichert T: § 22 BDSG Rn. 18 in Kühling/Buchner. DS-GVO · BDSG. Verlag C.H.Beck. ". Auflage, ISBN 978-3-406-71932-5


sicherheit Der Verarbeitung: technisch-organisatorische MaßnahMen (toM)

Diese Maßnahmen schließen u.a. Folgendes ein: − Pseudonymisierung und Verschlüsselung personenbezogener Daten; − […] → D.h. Pseudonymisierung und Verschlüsselung gefordert → Begründung erforderlich, wenn darauf verzichtet wird

TOM: Vorgabe durch Art. 32 Abs. 1 lit. a DS-GVO



TOM: Pseudonymisierung


Bundesdatenschutzgesetz EU Datenschutzgrundverordnung

§3 Abs. 6a: Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren

Art. 4 Abs. 5: "Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden

§3 Abs. 6: „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können

-


Wann sind Daten als „anonym“ anzusehen, wann als pseudonym? − Definition „Pseudonym“ der EU DS-GVO beinhaltet, was Stand heute in Deutschland

als „faktisch anonym“ angesehen wird − Artikel-29-Datenschutzgruppe*

• „Ein häufiger Irrtum liegt in der Annahme, dass pseudonymisierte Daten mit anonymisierten Daten gleichzusetzen seien“

• „Pseudonymisierung verringert die Verknüpfbarkeit eines Datenbestands mit der wahren Identität einer betroffenen Person und stellt somit eine sinnvolle Sicherheitsmaßnahme, aber kein Anonymisierungsverfahren dar“

• Häufiger Fehler: „Annahme, dass ein pseudonymisierter Datenbestand anonymisiert ist…“

• „… Ergebnis der Anonymisierung … so dauerhaft sein sollte wie eine Löschung … es darf nicht möglich sein, die personenbezogenen Daten weiter zu verarbeiten“

Abgrenzung: Pseudonym vs. Anonym


* Quelle: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_de.pdf


− Es gibt anonyme Daten (ErwGr. 26) − Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten

(=DS-GVO gilt nicht für anonyme Daten, ErwGr. 26) − Was ist anonym? (ErwGr. 26)

• Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (von „Natur“ aus anonym)

• Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Verarbeitung „Anonymisierung“ durchgeführt)


Was sind anonyme Daten entsprechend DS-GVO?


− Allgemein • BSI: Technische Richtlinie 02102: Kryptographische Verfahren: Empfehlungen und

Schlüssellängen (https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html)

o BSI TR-02102-1: Bewertung der Sicherheit ausgewählter kryptographischer Verfahren, ermöglicht längerfristige Auswahl geeigneter Verfahren

o BSI TR-02102-2: Empfehlungen bzgl. Einsatz TLS o BSI TR-02102-3: Empfehlungen bzgl. Ipsec, und Internet Key Exchange o BSI TR-02102-4: Empfehlungen bzgl. SSH

− Erzeugung von Signaturschlüsseln, Hashen zu signierender Daten oder Erzeugung/Prüfung elektronischer Signaturen

• Bundesnetzagentur: Auflistung geeigneter Algorithmen und Parameter o Jährliche Veröffentlichung im Bundesanzeiger o Online unter https://www.bundesnetzagentur.de/

(https://www.bundesnetzagentur.de/DE/Service-Funktionen/ElektronischeVertrauensdienste/QES/ WelcheAufgabenhatdieBundesnetzagentur/GeeigneteAlgorithmenfestlegen/geeignetealgorithmenfestlegen_node.html)


Verschlüsselung: Welche Algorithmen sollte man verwenden?


Diese Maßnahmen schließen gegebenenfalls Folgendes ein: − Pseudonymisierung und Verschlüsselung personenbezogener Daten; − Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der

Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen;

− die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

− ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung




− Art. 32 (1d), dt. • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit […]

− Art. 32 (1d), engl. • the ability to ensure the ongoing confidentiality, integrity, availability and

resilience […} − „Belastbarkeit“ = „resilience“

• Übersetzung „resilience“ in dt. IT-Fachliteratur*: „Widerstandsfähigkeit“ oder „Ausfallsicherheit“

Apropos Belastbarkeit


* Siehe z. B. Wagner SM, Bode C. Empirische Untersuchung von SC-Risiken und SC-Risikomanagement in Deutschland. In: Vahrenkamp/ Siepermann (Hrsg.) Risikomanagement in Supply Chains: Gefahren abwehren, Chancen nutzen, Erfolg generieren..Erich Schmidt Verlag. 2007 ISBN 978-3503100415


− Maßnahmen u.a. • Pseudonymisierung

• Verschlüsselung

− Fähigkeiten • Vertraulichkeit

• Integrität

• Verfügbarkeit

• Belastbarkeit/Ausfallsicherheit

• Wiederherstellbarkeit

• Notfallmanagement

− Verfahren • Überprüfbarkeit

• Bewertung

• Evaluierung

Art. 32 Abs. 1 fordert…


Unter Berücksichtigung → Stand der Technik → Implementierungskosten → Art, Umfang, Umstände

und Zwecke der Verarbeitung → Risiko der Verarbeitung


− Risikoevaluierung und –beurteilung − Darstellung eines Maßnahmenkatalogs − (Interne) Audits inkl. Managementbewertung − Verfahren zur Korrektur/Anpassung von ergriffenen Maßnahmen

(„PDCA-Zyklus“) − Managementsystem inkl.

• Datenschutzkonzept • IT-Sicherheitskonzept




− Anforderung bzgl. organisatorischer Maß nahmen • Sensibilisierung der an Verarbeitungsvorgängen Beteiligten, z.B.

o Schulungsmaßnahmen

o Regelmäßige Informationen Z.B. per E-Mail – Frage hat jede Reinigungskraft bei Ihnen eine Mailadresse?

Reinigung der Patientenzimmer – Kenntnisnahme der Patientenaufkleber auf Betten, OP-Programm; Verarbeitung halt

o …

− Pflicht zur Benennung einer oder eines Datenschutzbeauftragten • Bestärkung von Art. 37 Abs. 1 lit. a,c DS-GVO* • Ergänzende Anforderung bzgl. § 38 BDSG n.F. *

Ergänzend: § 22 Abs. 2 Ziff. 3,4 BDSG n.F




− Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind

• § 630f Abs. 1 BGB: „Der Behandelnde ist verpflichtet, zum Zweck der Dokumentation in unmittelbarem zeitlichen Zusammenhang mit der Behandlung eine Patientenakte in Papierform oder elektronisch zu führen. Berichtigungen und Änderungen von Eintragungen in der Patientenakte sind nur zulässig, wenn neben dem ursprünglichen Inhalt erkennbar bleibt, wann sie vorgenommen worden sind. Dies ist auch für elektronisch geführte Patientenakten sicherzustellen.“

→ Vollständige Dokumentationshistorie gefordert! • Umfassende Dokumentation der eingesetzten Verfahren erforderlich

• Protokollierung der konkreten Verarbeitungsmaßnahmen

• Vollprotokollierung aller Eingaben, Änderungen, Löschungen

• Löschfristen der Protokolldaten sind vorab an Hand einer Risikobewertung festzulegen, Mindestfrist für die Aufbewahrung von Protokolldaten: 1 Jahr*





− Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern

→ Art. 32 DS-GVO fordert Vertraulichkeit

→ § 203 StGB:

• berufsmäßig tätigen Gehilfen, Vorbereitung auf den Beruf tätige Personen, sonstige Personen

• soweit dies für die Inanspruchnahme der Tätigkeit erforderlich ist

→ Worauf hat wer Zugang? Ggf. Berechtigungskonzepte sowie deren Umsetzung prüfen!




− spezifische Verfahrensregelungen, die im Fall • einer Übermittlung oder • Verarbeitung für andere Zwecke

die Einhaltung der Vorgaben des BDSG n.F. sowie der DS-GVO sicherstellen − Übermittlung, z.B.

• Externe Qualitätssicherung • Auditierung / Zertifizierung

− Verarbeitung andere Zwecke, z.B. • Interne Qualitätssicherung • Forschung

− Wie sehen bei Ihnen die spezifischen Verfahren aus? Beispiele*: • Protokollierung • Kontrolle/Evaluierung der Datensätze bzgl. Zweck, Berechtigung • Hinweis auf Zweckbindung bei den Weiter-Verarbeitern





− Spezifische nationale Regelungen können als lex specialis dem BDSG n.F. vorgehen

• Beispiel: SGB X

− Voraussetzungen*

a) Regelung ist an DS-GVO „angepasst

b) Andere Regelung muss „spezifischer“ sein

• Soweit lediglich Aussagen zur materiell-rechtlichen Zulässigkeit enthalten sind → § 22 Abs. 2 BDSG ist ergänzend anzuwenden

• Werden bereichsspezifische Garantien geregelt, gehen diese dem §22 BDSG vor, verdrängen diese aber nicht

§ 22 BDSG n.F. und andere nationale Regelung: Was gilt wann?




Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten muss aufgestellt werden, wenn − das Unternehmen mindestens 250 Mitarbeiter hat oder − Daten mit Risiken für die Rechte und Freiheiten der betroffenen Personen verarbeitet

werden oder − eine Verarbeitung besonderer Datenkategorien erfolgt oder − eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen

durchgeführt wird oder − die Datenverarbeitung nicht nur gelegentlich erfolgt.

Art. 30: „Verzeichnis von Verarbeitungstätigkeiten“

Wer braucht ein „Verzeichnis der Verarbeitungstätigkeiten“?


− Verantwortlich für • die Erstellung bzw. • das Vorhandensein des Verzeichnisses sowie • der entsprechenden Aktualisierungen

„natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“

− Letztlich: Führung des Unternehmens / Organisation (Geschäftsführer, Vorstand, …)

− Cave Auftragsverarbeitung: • Gilt für Verantwortlichen aber auch für Auftragsverarbeiter


Wer ist verantwortlich?


− Primäres Ziel • Aufsichtsbehörde Möglichkeit bieten, „die betreffenden Verarbeitungsvorgänge

anhand dieser Verzeichnisse“ kontrollieren zu können − Sekundär: Arbeitshilfe für den Datenschutzbeauftragten

• Übersicht der im Unternehmen eingesetzten Verarbeitungsvorgänge, bei denen personenbezogene Daten verarbeitet werden

→ Primäres Ziel verlangt, dass im Verzeichnis alle Verfahren geführt werden müssen → Umfasst neben den automatisierten Verarbeitungen auch manuelle


Wozu dient dieses Verzeichnis?


− DS-GVO kennt diese Einschränkungen des BDSG a.F. nicht!!! − DS-GVO fordert in Art. 30, dass in dem Verzeichnis alle Verarbeitungstätigkeiten

aufgeführt werden müssen − BDSG: keine Sanktion für ein fehlendes Verfahrensverzeichnis

• Nur eine fehlende Meldung entsprechend § 4d Abs. 1 BDSG konnte sanktioniert werden; Meldepflicht entfiel jedoch, wenn Datenschutzbeauftragter bestellt

− DS-GVO: Bußgeld vorhanden


Unterschiede zum Verfahrensverzeichnis nach BDSG a.F.


(Mindest-) Angaben − Namen und Kontaktdaten des Verantwortlichen (Ggfs. des gemeinsam mit ihm Verantwortlichen, des

Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten) − Zwecke der Verarbeitung − Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten − Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind

oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen − Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale

Organisation, einschließlich Angabe des Drittlands oder der Organisation, sowie die Dokumentierung geeigneter Garantien

− die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien − eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Verzeichnis von Verarbeitungstätigkeiten

Inhalte


Verantwortlicher: Überwiegend wie gehabt … § 4e BDSG Art. 30 DS-GVO

− Name oder Firma der verantwortlichen Stelle − Inhaber, Vorstände, Geschäftsführer oder sonstige

gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter

− Anschrift der verantwortlichen Stelle

Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen

Die mit der Leitung der Datenverarbeitung beauftragten Personen,

Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten

Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung

Zwecke der Verarbeitung

Beschreibung der betroffenen Personengruppen Beschreibung der Kategorien betroffener Personen

Beschreibung der Daten oder Datenkategorien Beschreibung der Kategorien personenbezogener Daten

Empfänger oder Kategorien von Empfängern Kategorien von Empfängern […], einschließlich Empfänger in Drittländern oder internationalen Organisationen

Regelfristen für die Löschung der Daten die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

Geplante Datenübermittlung in Drittstaaten Kategorien von Empfängern […], einschließlich Empfänger in Drittländern oder internationalen Organisationen

Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32


Auftragsverarbeiter: Neu – eigenständige Dokumentation

§ 4e BDSG Art. 30 DS-GVO den Namen und die Kontaktdaten des Auftragsverarbeiters, sowie gegebenenfalls des Vertreters des Auftragsverarbeiters

den Namen und die Kontaktdaten eines jeden Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten des Auftragsverarbeiters und des Verantwortlichen Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32


− Tätigkeit • Begriff „Tätigkeit“ in DS-GVO nicht definiert

− Verantwortlicher • Definition in Art. 4 Abs. 7 DS-GVO

− Zweck • Begrifflichkeit in DS-GVO nicht definiert • Umgang mit Zweck aber in Kommentaren dargelegt (z.B. Simitis)

− Verletzung des Schutzes personenbezogener Daten • Definition in Art. 4 Abs. 12 DS-GVO

− Stand der Technik • In DS-GVO nicht definiert • Siehe z. B. § 3 Abs. 6 Bundes-Immissionsschutzgesetz, IT-Sicherheitsgesetz

Rahmenbedingungen

Begriffsbestimmungen


− Es existiert genau ein Verzeichnis, in dem alle Verarbeitungstätigkeiten für jeden − Verantwortlichen (Art. 30 Abs. 1 DS-GVO) bzw. Auftragsverarbeiter (Art. 30 Abs. 2 DS-

GVO) („Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis […]“)

− Das genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (Art. 30 Abs. 3 DS-GVO)

− Auf Anfrage muss der Verantwortliche bzw. der Auftragsverarbeiter der Aufsichtsbehörde das Verzeichnis zur Verfügung stellen (Art. 30 Abs. 4 DS-GVO)

− Eine Verfügbarmachung für Jedermann ist nicht vorgesehen − (Aber natürlich auch nicht verboten)

Rahmenbedingungen

Form des Verzeichnisses


Bei Verstößen gegen die Pflicht: − Geldbußen von bis zu 10.000.000 EUR oder − im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten

Jahresumsatzes des vorangegangenen Geschäftsjahrs − je nachdem, welcher der Beträge höher ist Merke: Einen Verstoß kann auch ein − unvollständiges Verzeichnis − fehlerhaft geführtes Verzeichnis − nicht aktuelles Verzeichnis darstellen.

Rahmenbedingungen

Sanktionen: Art. 83 Abs. 4 lit. a DS-GVO


Was könnte eine relevante Verarbeitungstätigkeit darstellen?

Mögliche Beispiele im Krankenhaus

Personaldaten Stammdatenverwaltung Zeiterfassung Urlaubsplanung Lohn-/Gehaltsabrechnung Weiterbildung (Anträge, Bewilligungen, …) Dokumentation Mitarbeitergespräche Bewerbungsverfahren … Cave: auch manuelle Personalakten

Patientendaten Administrative Daten Tumordokumentation Fachdokumentation, z.B. OP-Dokumentation „Entertainment“

(z. B.. Abrechnung Fernsehen, Telefonie, WLAN)

Studien … Cave: auch manuelle Patientenakten


− Verfahrensverzeichnis als Ausgang für Überarbeitung nutzen

− Angaben Verfahrensverzeichnis entsprechend Anforderungen DS-GVO ergänzen

− Tätigkeiten, die bisher im Verfahrensverzeichnis nicht dokumentiert werden mussten, erfassen und dokumentieren

− Auftragsverarbeiter ggfs. wegen erforderlicher Zuarbeit ansprechen

− Auftragsverarbeiter ansprechen und auf eigene Dokumentationspflicht hinweisen

− Sanktionen können empfindlich sein

Was ist zu tun?

Fazit


uMsetzungshinweise

− Art. 5 DS-GVO: Grundsätze für die Verarbeitung personenbezogener Daten 1) Personenbezogene Daten müssen

a) … auf rechtmäßige Weise … („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

b) … für festgelegte, eindeuDge und legiDme Zwecke … („Zweckbindung“)

c) … auf das notwendige Maß beschränkt … („Datenminimierung“)

d) … sachlich richtig … („Richtigkeit“)

e) … erforderlich … („Speicherbegrenzung“)

f) … angemessener Sicherheit … („Integrität und Vertraulichkeit“)

verarbeitet werden.

2) Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschafspflicht“).

− Art. 24 DS-GVO: Verantwortung des für die Verarbeitung Verantwortlichen 1) Der Verantwortliche setzt … geeignete TOMs um, um sicherzustellen und den Nachweis erbringen zu

können, das …

Rechenschaftspflicht (Accountability)

Worauf man (wirklich) achten sollte…


− Bitte beachten → IT: Sicherheit: Risiken für das Unternehmen → Datenschutz: Risiko für Rechte und Freiheiten natürlicher Personen

− Methoden zur Risikominimierung können ggf. dieselben sein, aber die Schutzziele unterscheiden sich

− Gemeinsam haben beide z.B.: • Den risikobasierten Ansatz • Die Nutzung von technischen und organisatorischen Maßnahmen (TOMs) zur

Risikominimierung • Die Erfordernis der Wirksamkeit der vereinbarten und umgesetzten Maßnahmen • Den Bedarf der Nachweisbarkeit der Wirksamkeit sowie der Risikominimierung auf ein

akzeptables Maß

DS-GVO verfolgt risikobasierten Ansatz

Worauf man (wirklich) achten sollte…


„werbeblock“


− Ausarbeitung online verfügbar (http://ds-gvo.gesundheitsdatenschutz.org/html/privacy_design_default.php)

− Hinweise zur Auslegung

• Erläuterungen zum rechtlichen Hintergrund

• Begrifflichkeiten

• „Angemessenes Schutzniveau“

• Stand der Technuk

• Usw.

• …

EU DS-GVO: Privacy by Design / Privacy by Default - Hinweise zur Auslegung

Hinweis: Ausarbeitung der GMDS


− Ausarbeitung online verfügbar (http://ds-gvo.gesundheitsdatenschutz.org/html/sicherheit_verarbeitung.php)

− Hinweise zur Interpretation

• Anforderungen der Norm

• Privacy by Design: Vorstellung einer möglichen Vorgehensweise

• Umgang mit Rechenschaftspflicht und Dokumentation

• …

EU DS-GVO: Sicherheit der Verarbeitung - Hinweise zur Auslegung



− Ausarbeitung online verfügbar (https://gesundheitsdatenschutz.org/doku.php/arbeitshilfe_ds-gvo_2016)

− Abschnitt Hinweise zur Umsetzung

• Übergangsregelung

• Unterschiede BDSG/DS-GVO

• Erläuterung Begrifflichkeiten

• …

− Abschnitt (Mindest-) Anforderungen zur Dokumentation

• Für den Verantwortlichen

• Für den Auftragsverarbeiter

EU DS-GVO: Verzeichnis von Verarbeitungstätigkeiten - Hinweise zur Erstellung



− Ausarbeitung online verfügbar (http://ds-gvo.gesundheitsdatenschutz.org/html/forschung.php)

− Forschung unter der DS-GVO: Interessiert das jemanden? ;-)

• Stellung der Forschung innerhalb der Europäischen Union

• Grundlegende Begriffsbestimmungen

• Forschung

• Öffentliches Interesse

• Erfordernis/Notwendigkeit

• Usw.

• Erlaubnistatbestände: Wann darf ich forschen?

• Pflichten

• …

EU DS-GVO: Medizinische Forschung unter der DS-GVO


Alle medizinischen Fachgesellschaften haben letztlich dasselbe Ziel: Forschen und Menschen helfen


Diskussion / Fragen

Kontakt: [email protected]


Documents

Datenmanagement - der richtige Umgang mit Daten · 2019. 6. 17. · Datenmanagement - der richtige Umgang mit Daten DS-GVO: Aspekte der Sicherheit der Verarbeitung Dr. Bernd Schütze