EU-DSGVO: Effiziente Schritte zum Datenschutz-Management

13. Informations-Security-Symposium, Wien 2017

17. Mai 2017

Hans Memling, Das Jüngste Gericht (um 1470)

ERP CRM System

Date

n

Datenschutz - Die heile Scheinwelt

File Server

Backup CRM

ERP

Backup Fileserver

Job (tägl.) Job (tägl.)

CRM System

Backup ERP

Reports

Date

n

Die Realität

Umweltschutz vor 30 Jahren!

Zu viele wilde Deponien, Grundwasser-

Verschmutzung, …

=> Prioritäten-Änderung im Jahr 1989 -> Altlastensanierungs-Gesetz:

Verursacher-Haftung für Sanierungskosten!

-> Unschuldige insolvent

-> andere erkennen die Chance -> Geschäftsmodell

-> Ergebnis ist nachhaltig: heute keine wilden Deponien!

DSGVO: nachhaltige radikale

Veränderung der Prioritäten im Datenschutz

Geldbuße bis zu 20.000.000 EUR oder 4 % (!) des Jahresumsatzes

(auch KMU!)

Priorität bei Bußgeld:

4 % (20 Mio) für Verstoß gegen Datenschutz-Grundsätze (Kapitel II)

2 % (10 Mio) Geldbuße für Nicht-Beachtung formaler Pflichten zur

Sicherung dieser Grundsätze wie Bestellung des DS-Beauftragten,

Verzeichnis der Verarbeitungen etc. (Kapitel IV)

Datenschutz-Image: Zunehmende Bedeutung durch wachsendes

Datenschutz-Bewusstsein der Kunden und Mitarbeiter + Medien

Ölfirmen, Autohersteller etc. werben heute gern mit grünen Image.

-> Wie lange dauert es noch, bis Datenkraken mit einem

Datenschützer-Image werben?

Datenschutz-Einhaltung wird zur STRATEGISCHEN

UNTERNEHMENSAUFGABE!

DSGVO Gültig ab 25.5.2018 - noch 12 Monate! EU-weite Geltung und Markt-Prinzip Schutz natürlicher Personen Schutz personenbezogener Daten Direkte Wirkung der VO Auftraggeber -> Verantwortlichen Dienstleister -> Auftragsverarbeiter Seit 12.5.2017 Entwurf Datenschutz-Anpassungsgesetz 2018 - Begutachtung bis 23.6.2017

DSGVO ab 5/2018

Eigenverantwortung

Nachweispflicht

Pflicht zur kontinuierlichen Verbesserung

hoher Bußgeld-Rahmen

Datenschutz-Anpassungsgesetz 2018 - Entwurf

Offizieller Entwurf seit 12.5.2017 in Begutachtung bis 23.6.17. Inkrafttreten am 25.5.2018. 77 Paragraphen + 29 Seiten Erläuterungen 33 Paragrafen + 17 Seiten betreffen DSGVO VO (EU) 216/679 Rest: RL (EU) 2016/680 betreffend Verarbeitung zur Verhütung von Straftaten etc. Inhalte (nicht vollständig): Grundrecht auf Datenschutz (Geheimhaltung, Auskunft, Richtigstellung + Löschung) Grundrecht verpflichtet auch Private § 1 Abs 3 DSGVO auch für nichtautomatisierte Verarbeitung von pb Daten in einem Dateisystem Vorläufige Einschränkung an Stelle unverzüglicher Berichtigung oder Löschung § 3 Datenschutzbeauftragte: nur zu Geheimhaltungspflichten und -rechten § 4f Datenschutz-Vereine: Beschwerden einreichen + Schadenersatz geltend machen § 17

Datenschutz-Anpassungsgesetz 2018 -

Entwurf

Datenschutzbehörde ist zuständig für Verhängung von Geldbußen § 11 Abs 5

Geldbußen gegen juristische Personen, wenn der Verstoß durch eine Person begangen wird, die

(Teil eines) Organs ist und Vertretungs-, Entscheidungs- oder Kontrollbefugnis hat, oder

für die juristische Person tätig ist und mangelnde Überwachung oder Kontrolle durch ein Organ den Verstoß ermöglicht hat § 19 Abs 1 + 2

Keine Geldbußen gegen Behörden und öffentliche Stellen § 19 Abs 5

Verletzungen des DSG 2000, die zum 25.5.18 noch nicht anhängig gemacht wurden -> Beurteilung nach neuer Rechtslage! § 76 Abs 5

Sonstige Verwaltungsübertretungen bis € 50.000.- (z.B. für Besondere Verarbeitungssituationen Kap IX DSGVO wie Beschäftigungskontext oder Bildverarbeitung) § 69

Freiheitsstrafen bis zu 1 oder Geldstrafe bis 720 Tagsätze bei Datenverarbeitung mit Vorsatz unrechtmäßiger Bereicherung oder in Schädigungsabsicht entgegen schutzwürdigen Geheimhaltungsinteresse eines Betroffenen Jahr § 70

Datenschutz-Anpassungsgesetz 2018 -

Entwurf

Datenverarbeitung zu spezifischen Zwecken u.a.:

Wissenschaftliche Forschung und Statistik § 25

Zurverfügungstellung von Adressen § 26

Freiheit der Meinungsäußerung und Informationsfreiheit - Journalistische, wissenschaftliche, künstlerische und literarische Zwecke § 27

Katastrophenfall § 28

Beschäftigungskontext § 29: Nur

ArbVG ist Vorschrift im Sinn der DSGVO

Betriebsrats-Befugnisse gemäß ArbVG bleiben unberührt

Bildverarbeitung §§ 30 - 33

Sorgfalt des ordentlichen Unternehmers (UGB § 347) verlangt

rechtlich ausreichende Umsetzung der DSGVO: angemessener Schutz des Unternehmens vor Haftungen durch angemessenen Daten-Schutz und kosten-effiziente Umsetzung: Feststellen des Schutz-Bedarfs und der geeigneten DS- Maßnahmen, deren Implementierung, kontinuierliches Prüfen und Verbessern.

Grundsatz-FRAGEN

zur DSGVO-Umsetzung:

Verlangt die DSGVO Daten-Schutz durch Einzel-Maßnahmen

oder muss ein DS-Management-System errichtet werden?

Auf was müssen sich die zu ergreifenden technischen und

organisatorischen Maßnahmen (TOMs) beziehen?

- Auf Schutz der Organisation?

- Oder - vor allem - auf den Schutz vor Risiken für die

Rechte und Freiheiten der Betroffenen?

Was sagt die DSGVO dazu?

Bringt das Österreichische Anpassungs-Gesetz hier

wesentliche Klärungen?

Verantwortlicher und Auftragsverarbeiter treffen

geeignete technische und organisatorische

Maßnahmen, um ein dem Risiko angemessenes

Schutzniveau zu gewährleisten (Abs. 1) und

die Erfüllung der in Abs. 1 genannten

Anforderungen nachzuweisen (Abs. 3); unter

anderem

ein Verfahren zur regelmäßigen Überprüfung,

Bewertung und Evaluierung der Wirksamkeit der

technischen und organisatorischen Maßnahmen zur

Gewährleistung der Sicherheit der Verarbeitung

(Abs. 1 lit. d).

DSGVO Art 32 verlangt für Sicherheit der Verarbeitung ausdrücklich ein „Verfahren“ = eine Art von Informations-Sicherheit-Management-System (IS-MS)

Sicherheit der Verarbeitung Art

32

Risiken für die Rechte und

Freiheiten natürlicher Personen

DSGVO – Kriterien für „geeignete TOMs“? „… trifft geeignete Maßnahmen unter Berücksichtigung der …“

IS-MS V

ERTR

AU

LIC

HK

EIT

PSE

UD

ON

YMIS

IER

UN

G

+ V

ERSC

HLÜ

SSEL

UN

G

(Art

. 32

(1

) lit

a)

NEU: PERSPEKTIVENWECHSEL

„Schutz der Risiken für die Rechte und

Freiheiten natürlicher Personen“ Art 32 (1)

gem. Art. 32 DSGVO

INTE

GR

ITÄ

T

VER

FÜG

BA

RK

EIT

vgl. ISO 27001/02

Für Daten-Sicherheit

-> Ein „Verfahren“ einrichten (IS-MS)!

DS-MS für Verantwortlichen

Perspektive: Risiken für

Rechte + Freiheiten

natürlicher Personen

Rollen +

Sensi

bilis

ieru

ng +

Schulu

ng

Gru

ndsä

tze

Rechte

der

Betr

off

enen

Überm

ittl

ungen

Pfl

ichte

n

Recht

der

Mit

gliedss

taate

n

Beso

ndere

Vera

rbeit

ungs-

situ

ati

onen

Rechenschaftspflicht (Dokumentation) Art 5 Abs 2

17

Ist zusätzlich auch ein Daten-

Schutz-Management-System nötig?

Beispiel Schweiz Schweizerische Eidgenossenschaft – Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Erläuterungen zu den Änderungen vom 19. März 2014 der „Richtlinien über die Mindestanforderungen an ein Datenschutzmanagementsystem“, Seite 2:

Kreisler von Nebenan und die DSGVO

- kaum pb Daten

- keine sensiblen oder besonders sensitiven pb Daten

- keine riskanten Verarbeitungen (z.B. Übermittlung an

Drittländer)

- einfachste IT-Struktur und Anwendungen, keine mobilen Geräte

Daher: Keine nennenswerten Risiken für Rechte + Freiheiten von

Betroffenen

Daher dokumentiere einfach

-> geeignete Datensicherheits-Maßnahmen

-> Datenschutz-Policy

-> „eine Art von Verzeichnis der Verarbeitungstätigkeiten“?

-> jährliche Prüfung auf allfällige Änderungen vorgemerkt

-> Weiteres?

Erst-Erledigung der DSGVO-Pflichten in einem (Berater-)Tag!?

Sicherheit der Verarbeitung

Art 32

Verantwortung des

Verantwortlichen Art 24

geeignete technische und

organisatorische Maßnahmen geeignete technische und

organisatorische Maßnahmen um ein dem Risiko angemessenes

Schutzniveau zu gewährleisten (Abs 1)

und die Erfüllung der in Abs 1 genannten

Anforderungen nachzuweisen (Abs. 3)

um den Nachweis dafür

erbringen zu können,

dass die Verarbeitung gemäß

dieser Verordnung erfolgt.

Ein Verfahren zur regelmäßigen

Überprüfung, Bewertung und Evaluierung

der Wirksamkeit der technischen und

organisatorischen Maßnahmen zur

Gewährleistung der Sicherheit der

Verarbeitung.

Die Maßnahmen werden

erforderlichenfalls überprüft

und aktualisiert.

DSGVO – Erfordernis Datenschutz-Management-System - DS-MS?

Sicherheit der Verarbeitung

Art 32

Verantwortlicher Art 24

Implementierungskosten

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

RISIKO-ANALYSE:

Risiken für die Rechte und

Freiheiten natürlicher Personen

SCHUTZBEDARF-A. / DS-

FOLGENABSCHÄTZ.

Risiken für die Rechte und

Freiheiten natürlicher Personen

Stand der Technik angemessenen Verhältnisses

(Abs. 2)

DSGVO – Kriterien für „geeignete TOMs“? „… trifft geeignete Maßnahmen unter Berücksichtigung der …“

vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28

Ist ein DS-MS erforderlich? Wie sieht

es aus?

5 Schritte zu einem DS-MS!

1. Vorbereitung inkl. Kenntnis von SOLL

(DS-Pflichten)

2. IST-Zustand: Wo sind „Risiken für

Rechte und Freiheiten“ Betroffener?

• (sensitive) pb Daten (Kumulation!)?

• Risiko-Verarbeitungen/-IT-Strukturen?

• Risiko-Personen (User u. Betrof.)?

3. SOLL–IST-Vergleich:

• Schutzbedarf-Analyse + Risiko-Analyse

+ Datenschutz-Folgenabschätzung

-> TOMs für IS-MS und DS-MS

4. Umsetzung + Dokumentation

5. Kontrolle

+ Kontinuierliche Verbesserung

PLAN

CHECK +

ACT

DO

PD

CA

D

O

K

U

M

E

N

T

A

T

I

O

N

1. Vorbereitung

Grundsatz Rechenschaftspflicht Art 5 Abs. 2:

Verantwortlicher ist für Einhaltung der Grundsätze des Art 5

Abs 1 verantwortlich und muss deren Einhaltung nachweisen

können.

-> Nachvollziehbare DOKUMENTATION von

• SOLL-Zustand

• IST-Zustand

• RISIKO-Analysen und

SCHUTZBEDARF-Analysen / Datenschutz-Folgenabschätzung

• abgeleitete TOMs

• Umsetzungsschritte

• Kontrollen und Verbesserungs-Massnahmen

Rechtliche VORBEREITUNG in mittleren + großen Organisationen Bekenntnis der OBERSTEN LEITUNG! = Wichtigste Sensibilisierung!

UMSETZUNGS-TEAM interdisziplinär: Recht, IT, Fach-abteilung- / Prozess-Leiter = Datenverantwortliche, Mitarbeiter-Vertretung

SOLL-Zustand: ca. 30 DSGVO-Artikel häufig < 20 (Checkliste Anwendung JA / NEIN: Beispiel DS-Beauftragter) + weitere Vorschriften?

Umsetzungs-Team: Verstehen rechtlicher abstrakter DSGVO-System-Anfordg! Beispiel: PERSPEKTIVENWECHSEL: Schutz vor „Risiken für Rechte +

Freiheiten der Betroffenen aus den verwendeten pb Daten“ Auswirkungen auf SCOPE (Ort der Risiken für Betroffene - Datenarten,

Datenflüsse, Verarbeitungen, BYOD, Video, Aktenlager) Auswirkungen auf erforderliche Bearbeitungstiefe bei Erhebung IST-

Zustand, GAP-Analyse etc. BETRIEBSBLINDHEIT!!! Informationssicherheit = Schutz des

Unternehmens – Konflikt z.B. bei Mitarbeiter-Überwachung (Verhältnismäßigkeit/Interessen-Abwägung)!

Rechtliche SENSIBILISIERUNG für Umsetzungs-Team!?

Realität bei Beginn der DSGVO-Umsetzung in

Organisationen

Häufig große Unsicherheit, was zu tun ist, wie man es

angeht

Warum?

Rechtliche Rahmen für rechtlich richtige + effiziente

DSGVO-Implementierung ist häufig unklar:

Das Umsetzungs-Team muss die rechtlichen Basis-

Anforderungen des Systems und der Grundsätze der

DSGVO richtig verstehen!

Besondere rechtliche DS-Herausforderung

Bisher:

DSG zahnloser Papiertiger

DS selten zentrales Tätigkeits-Feld der Rechtsabt. oder

externen RA

DS ist komplexe fachübergreifende Materie

Teils erhebliche Defizite beim rechtlichen DS-KnowHow und DS-

Umsetzung

Keine erprobten MUSTER-Checklisten und keine erprobten

Anforderungen aus Zertifizierungs-Verfahren für DS-MS? –

Nur erste Ansätze z.B. ISO-Normen (29151-Entwurf) + DTLD +

CH + LIE

Plötzlich bis 5/2018 DSGVO umsetzen unter hohen Bußgeld-

Drohungen:

Großer Umfang 99 Artikel +173 ErwGr. verlangen Einhaltung

konkreter Rechte und Pflichten – teils neu,

abstrakter Grundsätze und

undefiniertes System für Daten-Schutz.

Basis der DSGVO:

Jahrzehntelang entwickelte Judikatur von EuGH + EGMR

Rechtlicher Bedarf für Umsetzungs-Team: z.B. 1 – 2

Tage rechtliche Schulung: „Wesentlichste rechtliche

Kriterien für DS-MS gemäß DSGVO“

Ist dazu ausreichendes internes oder externes

rechtliches Know-How verfügbar? Welches ist kosten-

günstiger?

2. IST-ZUSTAND-ERHEBUNG

IST-ZUSTAND gemäß DSGVO?

Sicherheit der Verarbeitung Art

32

Verantwortlicher Art 24

Implementierungskosten

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

RISIKO-ANALYSE:

Risiken für die Rechte und

Freiheiten natürlicher Personen

SCHUTZBEDARF-A. / DS-

FOLGENABSCHÄTZ.

Risiken für die Rechte und

Freiheiten natürlicher Personen

Stand der Technik angemessenen Verhältnisse

(Abs. 2)

DSGVO – Kriterien für „geeignete TOMs“?

„… trifft geeignete Maßnahmen unter Berücksichtigung der …“

vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28

Telefon FAX

INTERNET WiFi Modem

(WebCube 3)

Modem UPC (Zyxel)

Firewall Zyxel)

Switch Netgear)

Sicherung-

Festplatte Desktop PC 2 Drucker/

Scanner Server Desktop PC 1

Smartphone Laptop

VPN Desktop

Home

Aktenlager/

Keller

E-Mail-Server EXTERN

bei

Auftragsverarbeiter

SENSIBLE DATEN!!

IST-ZUSTAND

2 Mann-Berater

Moderne IT

3. SOLL-IST-VERGLEICH

führt zu geeigneten TOMs

(= technische und

organisatorische Maßnahmen)

File Server

Backup CRM

ERP

Backup Fileserver

Job (tägl.) Job (tägl.)

CRM System

Backup ERP

Reports

Date

n

GROSSE UNTERNEHMEN - HUNDERTE

VERARBEITUNGEN (PROZESSE) -> PRIORITÄTEN?

Develop. CRM Develop.

ERP

Develop. DW

& BI

Supp

ort

Rechtmäßigkeit Zustimmungen Zweckbindung

Datenminimierung

Berechtigungen Richtigkeit Löschen

Integrität Vertraulichkeit Verfügbarkeit

Technische Maßnahmen

Anonymisieren Pseudonym.

Verschlüsseln

Organisatorische Maßnahmen

Rechtmäßigkeit, Zweckbindung,

Datenminimierung, Speicherbegrenzung

Anonymisieren, Pseudonymisieren

Profiling-Art 22

Sicherheit der Verarbeitung Art 32

Verantwortlicher Art 24

Implementierungskosten

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

IST-ZUSTAND:

Art der Verarbeitung, deren

Umfang, Umstände und Zwecke

RISIKO-ANALYSE:

Risiken für die Rechte und Freiheiten

natürlicher Personen

SCHUTZBEDARF-A. / DS-FOLGENABSCH.

Risiken für die Rechte und Freiheiten

natürlicher Personen

Stand der Technik angemessenen Verhältnisse (Abs. 2)

DSGVO – Kriterien für „geeignete TOMs“?

„… trifft geeignete Maßnahmen unter Berücksichtigung der …“

vgl. Privacy by Design Art 25 + Auftragsverarbeiter Art 28

4. + 5. Umsetzung,

Kontrolle und

Dokumentation

Zertifizierungsverfahren Vorteile einer Zertifizierung gemäß DSGVO Art 42

Einhaltung von genehmigten Zertifizierungsverfahren

a. „Gesichtspunkt, um die Erfüllung der Pflichten nachzuweisen“

• Verantwortliche (Art 24 Abs 3)

• Datenschutz durch Technikgestaltung und durch

datenschutzfreundliche Voreinstellungen (Art 25 Abs 3)

• Sicherheit der Verarbeitung (Art 32 Abs 3)

b. „Faktor, um hinreichende Garantien nachzuweisen“

• Auftragsverarbeiter (Art 28 Abs 5 und 6)

• Übermittlung vorbehaltlich geeigneter Garantien ohne

Genehmigung der Aufsichtsbehörde (Art 46 Abs 2 lit f)

c. zu berücksichtigen bei Verhängung von Geldbußen und Festlegung von

deren Höhe (Art 83 Abs 2 lit j)

Datenschutz-Management-Verfahren in ISO-Normen?

ISO/IEC 27001/02 regelt ein Management-Verfahren für Informations-

Sicherheit.

ISO/IEC 29151 (Final Draft): DS-Leitfaden für den Schutz pb Daten.

Nimmt inhaltlich direkt Bezug auf ISO/IEC 27001/02.

ISO/IEC 27018:2016-12 (Draft): „Datenschutz in der Cloud“.

Überarbeitung der ISO/IEC 27018:2014 mit speziell erweitertem

Anhang zu DS. Nimmt auch inhaltlich direkt Bezug auf ISO/IEC

27001/02

Akkreditierte Zertifizierungsstellen sollen Zertifikate zu DSGVO-

Zertifizierungsverfahren erteilen.

Unterschiedliche Zertifizierungs-Verfahren und DS-Siegel sollen

künftig gemäß DSGVO anerkannt werden.

Kriterien für die Genehmigungen solcher Verfahren und Siegel

müssen erst vom Europäische Datenschutz-Ausschuss (europaweit!)

oder der DSB festgelegt werden.

Beispiel: Kriterienkatalog für Datenschutz- Zertifizierungen der Datenschutzstelle FL Gliederung eines DS-Management-Systems ähnlich DSGVO

a. Grundsätze der Bearbeitung b. Anforderungen an die Datensicherheit c. Zulässigkeit der Datenverarbeitung d. Pflichten des Verantwortlichen und des Auftragsverarbeiters e. Rechte der Betroffenen f. Anforderungen an das Datenschutzmanagementsystem:

i. Politik ii. Verantwortlichkeit iii.Management-Review iv.Ereignis-Management inkl. Change v. Risiko-Management vi.Sensibilisierung und Kompetenz der Mitarbeitenden vii.Kommunikation viii.Dokumentation

Zum Schluss:

Geschäftsführung einer Organisation muss gemäß § 347 UGB Sorge tragen für:

geeignete Umsetzung der DSGVO (sonst Bußgeld-Zahlung etc. + Aufwand für

eine geeignete Umsetzung)

kosten-effiziente Umsetzung der DSGVO.

Für eine gesetzmäßige und kosten-effiziente Umsetzung der DSGVO muss das Umsetzungs-Team die richtigen Daten-Schutz-System-Anforderungen der DSGVO kennen.

Die DSGVO formuliert die Anforderungen besonders an ein DS-Management-System nur sehr abstrakt. DSGVO basiert auf der über Jahrzehnte entwickelten DS-Judikatur des Europäischen Gerichtshof für Menschenrechte und des EuGH. Die Anforderungen der DSGVO müssen daher im Lichte der einschlägigen Judikatur von EuGH und EGMR verstanden werden. Dieses Know-How ist intern nur in wenigen Organisationen vorhanden. Das kann zu suboptimaler Umsetzung der DSGVO führen.

Gefahr besteht auch in Form von Betriebsblindheit im Sinn bloßer Fortsetzung bisher geübter Daten-Sicherheit statt Umsetzung von Daten-Schutz im Sinn der DSGVO.

Die für eine Organisation umzusetzenden System-Anforderungen der DSGVO können auch für große Organisationen innerhalb von 1 – 2 Tagen durch einen zur DSGVO spezialisierten Juristen mit dem Umsetzungsteam ermittelt und geschult werden.

Der bloß interne Aufbau dieses rechtlichen Spezialwissens ist meist unverhältnismäßig zeitaufwändiger und teurer und in dem Ausmaß meist auch nur für die erste Umsetzung nötig.

Viel Erfolg!

Dr. Markus Frank, Rechtsanwalt

Neustiftgasse 3/5, 1070 Wien Tel. 01/523 44 02 (Fax 10)