Datenschutzmanagement mit dem Standard-Datenschutzmodell ... · 1 Datenschutzmanagement mit dem Standard-Datenschutzmodell (SDM) im Kontext der DSGVO Martin Rost 28.11.2017 Hamburg

1

www.datenschutzzentrum.de

Datenschutzmanagement mit dem Standard-Datenschutzmodell (SDM) im

Kontext der DSGVO

Martin Rost28.11.2017 Hamburg

2


DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM

1. Was meint „Datenschutz“?2. TO-Maßnahmen der “Datenschutz-Grundverord-

nung” (DSGVO) (grobe Schnelldurchsicht)

3. Das Standard-Datenschutzmodell (SDM)4. Referenzschutzmaßnahmen des SDM

Protokollierung und Datenschutzfolgenabschätzung

Agenda

3



Was meint„Datenschutz“?

• Datenschutz ist nicht mit Datenschutzrecht gleichzusetzen!Denn das Datenschutzrecht reagiert auf einen strukturellen Konflikt.

• Datenschutz ist nicht mit der IT-Sicherheit, etwa dem IT-Grundschutz des BSI, gleichzusetzen!1. Datenschutz gilt dem Schutz von Betroffenen nicht von Geschäftsprozessen. 2. Datenschutz thematisiert Grundrechtseingriffe, deren Intensität durch Regeln und Technik minimiert werden muss.

• Der Grund für Datenschutz ergibt sich nicht aus einem individuellen Bedürfnis nach Privatheit.Das Konzept „informationelle Selbstbestimmung“ ist eine funktionale Voraussetzung moderner Gesellschaften.

4



Der Objektbereichdes Datenschutzes

Datenschutz beobachtet, beurteilt und gestaltet die asymmetrischen Machtbeziehungen zwischen Organisationen und Personen... aus der Perspektive des Risikonehmers “Person”.

5



VerhältnisIT-Sicherheit – Datenschutz

• IT-Sicherheit unterstellt methodisch: Jede Person kann ein Angreifer sein!– Deshalb müssen Personen in Organisationen sich Maßnahmen der IT-Sicherheit

gefallen lassen, die es Personen erschweren, eine Organisation anzugreifen.

• Datenschutz unterstellt:– Jede Organisation externalisiert Risiken (der öffentlichen Sicherheit, des Marktes, der

freien Diskurse...) auf schwächere Risikonehmer (Bürger, Kunden, Personen). Organisationen müssen sich deshalb grundrechtlich begründete Maßnahmen gefallen lassen, die es Organisationen erschweren, Personen anzugreifen.

● Organisationen müssen Personen nachweisen, dass sie keine Angreifer sondern vertrauenswürdig sind. Dies kann u.a. dadurch gelingen,indem Organisationen sich bei personenbezogenen Verfahren nachweisbar an Gesetze und transparente Regeln halten.

● Für Kryptologen: Insbesondere Bob ist der Angreifer

Jede Organisation ist ein Angreifer!

7



Sicherheit!Sicherheit? Welche ist gemeint?

• SafetyGilt dem Schutz von Technik vor technischem und menschlichem Versagen, z.B. Systemausfällen, Leitungsausfällen, Verschleiß, Bedienungsfehlern.

• IT-SecurityGilt dem Schutz vornehmlich von Geschäftsprozessen von Organisationen vor zielgerichteten und böswilligen Angriffen von innen und außen.– Personal IT-Security

Gilt dem Selbstschutz von Personen vor zielgerichteten und böswilligen Angriffen durch Hacker auf privat betriebenen Rechnern.

• Data Protection / DatenschutzGilt Schutz von Betroffenen vornehmlich vor unnötigen Beeinträchtigungen durch (auch ordnungsgemäß agierende) Organisationen, mit Schutzvorkehrungen auf Seiten der Organisationen.– Privacy

Gilt dem Schutz von Personen vor Übergriffen durch Personen oder Organisationen mit Schutzvorkehrungen insbesondere auf Seiten der Person.

9



1. Was meint „Datenschutz“?

2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta” und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)

3. Die Operationalisierung des Datenschutzrechts mit Hilfe des Standard-Datenschutzmodells (SDM)

4. Referenzschutzmaßnahmen des SDM Zwei Beispiele: Protokollierung und Datenschutzfolgenabschätzung

Agenda§

10



Grundgesetz Artikel 1 Die Würde des Menschen ist unantastbar. Sie ist zu achten und zu schützen.Artikel 8 (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Artikel 1(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflich-tung aller staatlichen Gewalt.Artikel 2(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.

EU-Grundrechte-Charta

GrundrechtaufDatenschutz

Verbot mitErlaubnis-vorbehalt

Datenschutz-kontrolle

GrundrechteZentrale Vorgaben für das Datenschutzrecht§

11



DER datenschutzrechtliche Grundsatzdes kontinentaleuropäischen Datenschutzrechts lautet:

Organisationen dürfen keine personenbezogenen Daten verarbeiten PUNKT

§

12



Fortbestandder zentralen Regelungsstrategie in der DSGVO

„Verbot mit Erlaubnisvorbehalt“Artikel 6 DSGVO

Organisationen dürfen keine personenbezogenen Daten erheben, verarbeiten und nutzen, es sei denn, dass

● ein Gesetz die Verarbeitung regelt, was insbesondere für den öffentlichen Bereich gilt oder wenn

● eine Einwilligung vorliegt, was für den privaten Bereich zentral ist und insbesondere an die Bestimmung eines legitimen Zwecks, der Freiwilligkeit der Erteilung und an umfassende Auskünfte an Empfänger und deren verarbeitungsmotive geknüpft ist.

§

13



Art. 5 DSGVO„Grundsätze für die Verarbeitung personenbezogener Daten“ (I)

(1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

§

14



Art. 5 DSGVO„Grundsätze für die Verarbeitung personenbezogener Daten“ (II)

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

§

15



DSGVOÜbersicht TO-Maßnahmen

Art. 24: „Verantwortung des Verantwortlichen“ - muss Nachweis erbringen, dass er Datenschutzmaßnahmen ergriffen hat und sich an die Vorgaben der DSGVO hält.Art. 25: „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ - proaktiver Datenschutz, mit Blick auf die Beeinträchtigung der Rechte und Freiheiten Betroffener, gefordert.Art. 30: Verzeichnis der Verarbeitungstätigkeiten für den Verantwortlichen sowie des Auftragverarbeiters(1) Namen und Kontaktdaten des Verantwortlichen, Vertreter und DSB; b) Zwecke der Verarbeitung; c) Kategorien betroffener Personen und Daten; e) Kategorien der Empfänger Daten, f) ggfs. Übermittlungen in Drittländer; g) Fristen für die Löschung der verschiedenen Datenkategorien; h) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs 1

(2) ...

§

20



Art. 32 DSGVO„Sicherheit der Verarbeitung“

(...), diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

§ Verfahren? -> Datenschutz-

Management-System! ISO27001(ISMS), 29100 (PrivFrame), DIN, IT-Grundschutz sind keine Verfahren zur Herstellung von Datenschutz.

„Sicherheit der Verarbeitung“ in einem Datenschutzgesetz gilt dem Betroffenen:● Artikel 1 DSGVO

1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

“2. Diese Verordnung schützt die Grundrechte und Grund-freiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezoge-ner Daten.“

21



Art. 35 DSGVODatenschutz-Folgenabschätzung

1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei:1. „hohem Risiko“, Aufsichtsbehörden erstellen außerdem Muss-Liste/Nicht-nötig-Liste;2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung öffentl. Räume;3. besonders schutzwürdigen Daten

2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine

Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene;

2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit;3. Extern auditierte Verfahren und Audits 4. Standpunkte der Betroffenen;

3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung4. Der Verantwortliche muss am Ende den Betrieb des Verfahrens prüfen.

§

22



1. Was meint „Datenschutz“?2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta”

und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)



Agenda

23



SchnellübersichtStandard-Datenschutzmodell aktueller Stand (2016/11)

• Regelungskern des Modells: 7 Gewährleistungsziele• Methodische Anlehnung an IT-Grundschutz • Verfahrenskomponenten: Daten, Systeme, Prozesse• 3 Schutzbedarfsabstufungen, formuliert aus der

Betroffenenperspektive als Eingriffsintensität eines Verfahrens

• Die 92. DSB-Konferenz hat 2016/11 die SDM-Methodik in der Version 1.0 angenommen. Nicht veröffentlicht ist bislang ein Maßnahmenkatalog, der als Entwurf seit 2016/10 vorliegt und an dem kontinuierlich gearbeitet wird.

• Eine Englischübersetzung des Handbuchs liegt vor.Heise-Online: 11. November 2016

24



SDM-Komponente 1:

Datenschutz-Ziele

25



Organisationen Musterprozesse des DS-Managements

Maßnahmen für technisch-organisatorische Infrastrukturen, die über Ziele integriert und

gesteuert werden.

Prozesszustände müssenbewertbar sein

datenschutzkonforme(Verfahren in) Organisationen

KPIs / KRIs

interne / externeDatenschutz-Prüfungen,

-Audits, -Beratungen

Big PictureProzesse, DS-Management, Schutzziele

GesetzlicheNormen

Datenschutzmanagement, gekoppelt an ISO-QM, ITIL, CoBIT, BSI-Grundschutz, …

26



Verfügbarkeit Vertraulichkeit

Integrität

Intervenierbarkeit Transparenz

Nichtverkettung+ Datenminimierung

Systematikder elementaren Gewährleistungsziele des SDM

28



Verfügbarkeit

Art. 5 Abs. 1 „Personenbezogene Daten müssen“

(a) „... in einer für die Person nachvollziehbaren Weise verarbeitet werden ... (Transparenz).“(b) „... für festgelegte eindeutige und legitime Zwecke erhoben werden ... (Zweckbindung).“(c) „... auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung).“(d) „... damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, ... unverzüglich gelöscht oder berichtigt werden.“(f) „... Schutz vor Verlust ... Integrität und Vertraulichkeit“.

Transparenz

Nichtverkettung

Datenminimierung

Intervenierbarkeit

IntegritätVertraulichkeit

Art. 5 DSGVOGewährleistungsziele

29



aus: SDM-Handbuch, V1.0, S. 27aus: SDM-Handbuch, V1.0, S. 24

MappingArtikel / Erwägungsgründe der DSGVO mit SDM-Gewährleistungszielen

31



SDM-Komponente 2:

Schutzbedarfsabstufungen

32



Grundrechtseingriffund die dadurch erzeugten Risiken

a) Ein Grundrechts-Eingriff durch ein personenbezogenes Verfahren ist ein Fakt, ein „eingetretenes Risiko“ („Risiko 1. Ordnung“). ● Ein Eingriff muss durch technisch-organisatorische Datenschutz-Schutz-

maßnahmen auf das unbedingt erforderliche Maß verringert werden.● Ein Eingriff bleibt Eingriff auch bei vollständiger Rechtskonformität und

nachgewiesen sicherer Informationstechnik.

b) Darüber hinaus erzeugt solch ein Eingriff Risiken für Betroffene („Risiken 2. Ordnung“),● mit mittelbaren Folgen für alle Personen aufgrund gesellschaftlicher

Strukturschädigungen;● mit unmittelbaren Folgen für Betroffene.

33



Gesellschaftliche Strukturschäden durch mangelnden Datenschutz

● Organisationen lösen mit einem nicht datenschutzkonformen Zugriff auf Personen spezifisch moderne gesellschaftliche Strukturen auf: ● Verwaltung: Aus Bürgern werden wieder Untertanen, wenn Gewaltenteilung durch

Dominanz der Exekutive operativ unterlaufen wird.● Unternehmen: Aus Kunden werden wieder Bittsteller, wenn Markt durch

Monopolbildung (bei Plattformen und Integration von Diensten, Betriebssystemen, Hardware) kollabiert.

● Institute: Aus WissenschaftlerInnen werden wieder Ordensbrüder und -schwestern, wenn freie Diskurse in den Reputation spendenden Kommunikationsmedien durch dominante Organisationen, die den Diskurs verwalten, dogmatisch veröden.

● verallgemeinert: Aus Subjekten werden „Laborratten“ (Wehler) durch willkürlich agierende, nicht-legitime Verfügungsgewalt von Organisationen über Personen (Indikatoren: Fetischisierung von „Transparenz“ als Selbstzweck und der Einwilligung als vermeintlichem Ausdruck eines souveränen Akts).

34



Angreifer imDatenschutz mit auch gesellschaftl. strukturellen Auswirkungen

● Der Hauptangreifer zur Bestimmung des Schutzbedarfs ist immer die datenverarbeitende Organisation selbst.

● Darüber hinaus gibt es weitere typische Angreifer-Organisationen auf Personen:– Sicherheitsbehörden– Leistungsverwaltung– Bereitsteller von IT-(Infrastruktur)Diensten– Bereitsteller kritischer Infrastrukturen (wie Energieversorger)– Versicherungen und Banken– Forschungsinstitute– Krankenhäuser, Ärzte, Dienstleister– Untätige Aufsichtsbehörden–

35



7 typische Risikendurch Grundrechtseingriff mit unmittelbaren Folgen für Personen

Risiko 1Eine Organisation betreibt ein nicht legitimes personen-bezogenes Verfahren.

Risiko 3Eine Organisation betreibt ein im Grundsatz ordnungs-gemäßes pbV, dehnt oder ändert jedoch den Zweck (Vorratsdaten- speicherung, Big Data).

Risiko 4Eine Organisation betreibt für ein pbV keine hinreichend wirksamen Maßnahmen der IT-Sicherheit.

Risiko 2Die Schwere des Grundrechts-eingriffs durch ein legitimes pbV wird nicht oder falsch bestimmt, Rechts-grundlage reicht nicht oder unzu-reichend geprüft, Verantwortungs-übernahme unklar.

Risiko 5Eine Organisation betreibt für ein pbV die Maßnahmen der IT-Sicherheit nicht grundrechts- konform.

Risiko 7Die pbV von Organisationen werden nicht ausreichend geprüft und beurteilt.

Risiko 6Das Angreifermodell bzgl. anderer (befugt) zugreifender Organisationen (Sicherheits-behörden) ist falsch oder unterkomplex angelegt.

36



SchutzbedarfDrei Stufen

● normal ● hoch ● sehr hoch

37



Schutzbedarfaus der Betroffenenperspektive formuliert

● Mindestens normaler Schutzbedarf besteht für jedes personenbezogene Verfahren, sowohl wg. Grundrechtseingriff als auch wg. weiterer Risiken;

● Hoher Schutzbedarf besteht für ein personenbezogenes Verfahren dann, wenn● mit einer weitreichenden Eingriffsintensität Daten verarbeitet;● Daten verarbeitet, welche gesetzlich als besonders schutzwürdig

ausgewiesen sind;● keine real nachweislich funktionierenden Möglichkeiten der Intervention

und des Selbstschutzes für Betroffene bereitstehen;● über unzureichende Schutzmaßnahmen der IT-Sicherheit verfügt bzw. keine

Nachweise über IT-Sicherheit erbringen kann;● mit organisationsexternen zweckändernden Zugriffen rechnen muss.

● Sehr hoher Schutzbedarf für ein personenbezogenes Verfahren besteht dann, wenn Gefahr für Leib und Leben droht.

38



SDM-Komponente 3:

Verfahrensbestandteile

39



Ein personenbezogenes Verfahren besteht aus drei zu betrachtenden Komponenten:• Daten (und Datenformaten)• IT-Systemen (und Schnittstellen)• Prozessen (und adressierbaren Rollen)

Verfahrens-komponenten

40



Prüfen und Planenmit dem SDM

41



SDMKernidee: Ausweis spezifischer Schutzmaßnahmen

● 6 + 1 Gewährleistungsziele, verankert in der DSGVO, hinterlegt mit einem Maßnahmen-Katalog für jedes Ziel

● 2 + 1 Schutzbedarfsabstufungen(normal, hoch, sehr hoch)

● 3 Verfahrenskomponenten(Daten, Systeme, Prozesse)

Das ergibt 7x3x3 = 63(oder mindestens 6x2x3 = 36)spezifische Datenschutzanforde-rungen: Für jedes Ziel, für jeden Schutzbedarf und für jede Verfahrenskom-ponente kann eine spezifische Schutzmaß-nahme als Soll-Referenz festgelegt sein!

42



SDMIst-Feststellung

44



Datenschutz-Management

mit SDM

Planen

Prüfen

45



Standardablaufeiner Datenschutzprüfung, Verortung des SDM

47



1. Was meint „Datenschutz“?2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta”

und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)



Agenda

48



SDM-Bausteine(Stand: 2016-1005)

Verfügbarkeit1. Baustein „Aufbewahrung“2. Baustein „Datensicherung und -wiederherstellung“

Integrität3. Baustein „Ticketsystem und Administrations-Plattform“4. Baustein „Aspekte eines Datenschutzkonzeptes“

Vertraulichkeit5. Entwurf liegt vor, wird aber noch zurückgehalten

49



Transparenz6. Baustein „Spezifikation“7. Baustein „Dokumentation“8. Baustein „Protokollierung"9. Baustein „Auskunft“

Nichtverkettbarkeit10. Baustein „Anonymisierung & Pseudonymisierung“ 11. Baustein „Trennung“12. Baustein „Rollen und Berechtigungen“

Intervention13. Baustein „Berichtigung“14. Baustein „Löschen“15. Baustein „Sperren“16. Baustein „Single Point of Contact (SPoC)“


50



Es fehlen Bausteine zu den Themen:● „Kryptoverfahren“ (Verschlüsselung / Integritätssicherung)

Status: Entwurf im frühen Stadium● „Umsetzung von Datensparsamkeit“

Status: Entwurf in Diskussion

Weitere im Kontext des SDM entstandene Bausteine:● „Datenschutz-Folgenabschätzung“

Status: Ist kein Bestandteil des SDM, sondern wird eine Orientierungshilfe● „Datenschutz-Zuständigkeiten (Datenschutzbeauftragter)“

Status: Ist kein Bestandteil des SDM, sondern wird eine Orientierungshilfe


52



● Protokollierung ist eine Umsetzung des Schutzziels „Transparenz“.

● Zweck der Protokollierung:„Die Protokollierung ist eine Schutzmaßnahme, um fachliche, technische, organisatorische und administrative Aktivitäten und Entscheidungen, die in der Vergangenheit stattfanden, aufzuklären.“ (SDM-Handbuch, V1.0)

● Dem Verantwortlichen (ehemals „verantwortlichen Stelle“)dient Protokollierung (neben „Spezifikation“ und „Dokumentation“) dem Nachweis der Gesetzeskonformität des Organisationshandelns (vgl. Art. 5, 24 „Rechenschaftspflicht“).

Beispiel 1 für einen SDM-Maßnahmebaustein: Protokollierung

53



Inhalteeiner Protokollierung

1. Zeitkomponente (Wann?)

2. Instanz, die eine Aktivität auslöst (Wer?)

3. Aktivität bzw. Ereignis, das durch die Instanz ausgelöst wurde (Was?)

4. die Adresse der Speicherinstanz, die diese Protokolldaten speichert (Durch wen protokolliert?).

54



Rechtskonformitätist grundsätzlich strukturell durch IT gefährdet

Risiko des Verflüchtigensder Rechtskon-formität der Sachbearbeitungauf den Ebenen der IT-Nutzung.

???

Zusätzliche Optionen der IT provozieren latent die Einhaltung der Rechtskonformität auf der Ebene der Sachbearbeitung.

Sachbearbeitungx x x x x x x x x x

Systemereignisse eAkte

Fachprogrammx x x x x x x Log

AdminProtokoll

Systemereignisse

IT-Funktionen

Schnittstellen

x x x x x x

Admin

Log

Log

Protokoll

Systemereignisse

These:Arbeitetgesetzes-konform

55



Zu protokollierendeSystemebenen

1. Die Aktivitäten der Sachbearbeitung (als Akte);

2. die Funktionen des Fachprogramms für die Sachbearbeitung;

3. die Administration des Fachprogramms;

4. die IT-Funktionen der Infrastruktur (Hardware, Software) einer Organisation, auf denen die Fachprogramme aufsetzen (PCs, Server, virtuelle Systeme, Betriebssysteme, Middleware/DB, CPU-Cluster, SAN/NAS) - Sonderfunktionalität: Schutzmaßnahmen (Hashen, Verschlüsseln, Anonymisieren...) des Datenschutzes und der IT-Sicherheit;

5. die Systemschnittstellen, Übermittlung von Daten zu anderen Organisation(seinheit)en;

6. die Administration der IT-Infrastruktur und Systemschnittstellen;

7. die Kontrolle dieser Protokolle (Erfüllung der Nachweispflicht).

56



Beispiel 2:Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei:1. „hohem Risiko“, Aufsichtsbehörden erstellen Blacklist/Whitelist (Kohärenzverfahren);2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung;3. besonders schutzwürdigen Daten

2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine

Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene;

2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit;3. Extern auditierte Verfahren und Audits 4. Standpunkte der Betroffenen;

3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung4. Der Verantwortliche muss am Ende den Betrieb des Verfahrens prüfen.

57



DSFA-Framework des Forums Privatheit

Autoren:Fraunhofer-Institut für System- und InnovationsforschungISI, KarlsruheULD (Unabhängiges Landeszentrum fürDatenschutz), KielUniversität Kassel, Institut für Wirtschaftsrecht

Quelle:Forum Privatheit, 2017, DSFA (Whitepaper) V3.0

Vier Phasen einer DSFA:1. Vorbereitung (Plan)2. Durchführung (Do)3. Umsetzung (Act)4. Überprüfung (Check)

58



DSFA-FrameworkPhase 1:

Vorbereitung

● Das DS-Management stößt DSFA an● Prüfgegenstand ist eine Datenverarbeitung (Verfahren):

Daten, Formate, Protokolle, IT-Systeme, Prozesse, Funktionsrollen● 1.1 Feststellung der Relevanzschwelle

Muss-Liste der Aufsichtsbehörden, Bestimmen der Beeinträchtung und Abschätzen des IT-Sicherheitsrisikos● 1.3 Beschreibung des ToE und die Zwecke der Datenverarbeitung ● 1.4 Identifikation der beteiligten Akteure und betroffenen Personen● 1.5 Identifikation der Rechtsgrundlagen

59



DSFA-FrameworkPhase 2a: Durchführung

2.1 Bestimmen der BewertungsmaßstäbeSchutzziele

2.2 Bestimmen der Angreifer, Motive, ZieleVerantwortliche Stelle ist Hauptangreifer, Sicherheitsbehörden, Leistungsverwaltung

Technikhersteller, Provider, Marktforschung etc.2.3 Bestimmen der Eingriffsintensität und

des Schutzbedarfsnormal, hoch, sehr hoch

2.4 Bewerten des Risikos

2.5. Bestimmen Schutzmaßnahmen2.6 Dokumentation Bewertungsergebnisse (inkl. Restrisikoanalyse)

→ DSFA-Bericht

60



DSFA-FrameworkBestimmen der Schutzmaßnahmen mit SDM

Datensparsamkeit – Reduzierung von Daten/Personenbezug, keine VerfahrenVerfügbarkeit – Redundanz, BackupIntegrität – Authentisierung/Autorisierung, Signaturen, Hash-Wert-VergleicheVertraulichkeit - Verschlüsselung, Zugriffsschutz, Rollen- & RechtekonzeptNichtverkettung – Pseudonymisierung/Anonymisierung von Datenbeständen und Kommunikationsbeziehungen, Trennung von Verfahren, Datenbeständen, IT-Systemen, Prozessen, Rollen & Rechtskonzept, IdentitätenmanagementTransparenz – Zweck: Herstellen von Kontrollierbarkeit, Prüffähigkeit Beurteilbarkeit des Verfahrens und der Wirksamkeit der Maßnahmen! Mittel: Spezifikation, Dokumentation, Protokollierung des Verfahrens, Informationen bei Erhebung, Benachrichtigung bei Bearbeitung der Betroffenen (Beauskunften), AuditsIntervenierbarkeit – Löschen, Sperren, Change Management, Aus-Schalter zum Deaktivieren/Stoppen von Gerätschaften

61



DSFA-FrameworkPhase 2b: Durchführung

Positives Ergebnis heisst:Das Verfahren kann mit Hilfe der Schutzmaßnahmen des Datenschutzes ordnungsgemäß und mit verantwortbaren Restrisiken betrieben werden.

62



Umsetzung3.3 Implementieren Abhilfemaßnahmen

SDM-Bausteinekatalog3.4 Test und Dokumentation der Wirksamkeit der Schutzmaßnahmen

SDM-Maßnahme: Spezifik./Dokumentation/Protokoll3.5 Nachweis über Einhaltung DSGVO insges.

SDM-Maßnahme: Spez./Dokumentation/Protokoll3.6 Freigabe der Verarbeitung

Überwachung4.1 Kontinuierliche Überprüfung der DSFA

Typisches Projektmanagement4.2 Überwachung der Risiken im DSMS

DSMS mit SDM

DSFA-FrameworkPhasen 3 (Umsetzung) und 4 (Überwachung)

63



ZusammenspielDSFA-Framework

und SDM

64



Weiterentwicklungdes Standard-Datenschutzmodells

● Angestrebt wird Empfehlung durch den IT-Planungsrat für Anwendung des SDM als Methodenstandard für die gesamte deutsche Verwaltung zu erreichen.

● Der Datenschutzbaustein 1.5 im IT-Grundschutz des BSI wird durch einen Verweis auf das SDM ersetzt.

● Der Dialog mit Herstellern von SDM-Modellierungs-tools wurde initiiert.

● Europa: Diskurs mit europäischen Partnern (CNIL, Artikel 29 Datenschutzgruppe) wird gesucht.

65



Literatur

- DSB-Konferenz 2016: SDM-Handbuch (V1.0, Deutsch / Englisch)im Grundsatz auf den Webseiten der deutschen Datenschutzaufsichtsbehördenzu finden, z.B.: https://www.datenschutz-mv.de/datenschutz/sdm/sdm.html

- Arbeitskreis Technik 2015: Tagungsband „Das Standard-Datenschutzmodell – Der Weg vom Recht zur Technik“ https://www.datenschutz-mv.de/datenschutz/sdm/Tagungsband.pdf

- Forum Privatheit, 2017: Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz (White Paper)https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf

- Newsletter der UAGSDM, Anmeldung unter:https://www.datenschutzzentrum.de/sdm/

66



Vielen Dank für Ihre Aufmerksamkeit!

Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein

Martin RostTelefon: 0431 988 – 1200

[email protected]://www.datenschutzzentrum.de/

Documents

Datenschutzmanagement mit dem Standard-Datenschutzmodell ... · 1 Datenschutzmanagement mit dem Standard-Datenschutzmodell (SDM) im Kontext der DSGVO Martin Rost 28.11.2017 Hamburg