Embed Size (px)
Citation preview
Fachkonferenz SecurityBeyond Save Harbor
19.04.2016, Novomatic Forum
Ing. Dr. iur. Christof TschohlResearch Institute AG & Co KGSmart Rights ConsultingWissenschaftlicher LeiterOCG Forum Privacy – Co Arbeitskreisleiterchristof.tschohl@researchinstitute.atwww.researchinstitute.at
Workshop
IT Sicherheit im Lichte der EU Datenschutz-Grundverordnung
Reformvorschläge im Überblick
• Einheitlicher Rechtsrahmen für den Datenschutz in der gesamten EU
• Soll Datenschutz-RL 95/46/EG ersetzen
• Verordnung bedeutet: UnmittelbareWirksamkeit (Vollharmonisierung)
Vorschlag einerDatenschutz-
Grundverordnung
25.1.2012
KOM(2012) 11 endgültig
• Erweiterung der Datenschutz-bestimmungen für Polizei und Justiz
• Soll Rahmenbeschluss 2008/977/JI ersetzen und erweitern
• Kompetenzgrundlage Art 16 AEUV –Datenschutz auch für frühere “III. Säule”
Vorschlag einerDatenschutz-Richtlinie
25.1.2012
KOM(2012) 10 endgültig
DSGVO: Vorschläge mit Relevanz für die Kooperation ISP - Polizei/Justiz
Verschärfung der Sanktionsmechanismen
• Zivilrechtliche Haftung: Höchstbetrag auf 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens (jeweils die höhere Summe)
• Auch immaterielle Schäden
• Verbandsklagen zulässig
Erhöhte Anforderungen an Datensicherheit
• Datenschutz-Policy und geeignete technische und organisatorische Maßnahmen, alle 2 Jahre zu überarbeiten.
• Verpflichtende Risikoanalysen und datenschutzrechtliche Folgenabschätzungen
• kontinuierliches "LifecycleDatenschutz-Management"
Materiell-rechtliche Änderungen
•zB IP-Adressen – EU Parlament: Definition als personenbezogene Daten (umstritten)
•zB Allgemeine “Data Breach Notification”
• zB Übermittlung von Daten an Behörden oder Gerichte in Drittstaaten – Genehmigung DSB
Verstärkte Kooperation der nationalen Datenschutzbehörden
•„One-Stop-Shop“ Prinzip für Betroffene
•neues Gremium "European Data Protection Board“ (vgl. Art. 29 Gruppe, Europol JSB)
• Mehr Koordination und Kohärenz
Datenschutz-Grundverordnung (DSGVO)
Wichtige Neuerungen der DSGVO im Überblick
• Schutz der Daten vor unbeabsichtigter oder widerrechtlicher Zerstörung, vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung
• Weitere Konkretisierungen sowie Ermächtigung für „delegierte Rechtsakte“ vorgesehen
• Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
• Meldepflichten an Behörden und Informationspflichten an Betroffene („Data Breach Notifikation“)
Artikel 32 ff: Erhöhte Anforderungen an die DatensicherheitArtikel 32 ff: Erhöhte Anforderungen an die Datensicherheit
• Bei besonders risikobehafteten Datenanwendungen
• Demonstrative Aufzählung, insbesondere: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens oder zwecks diesbezüglicher Voraussagen, die sich auf eine automatisierte Verarbeitung von Daten gründet
Artikel 35: Verpflichtende Datenschutz-FolgenabschätzungArtikel 35: Verpflichtende Datenschutz-Folgenabschätzung
• Mitgliedstaaten und Kommission fördern insbesondere auf EU Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln
• Ziel: Rasche und einfache Kenntnis des Datenschutzniveaus
• Zweck: ordnungsgemäßen Anwendung der Datenschutz-Grundverordnung
Artikel 42: programmatische Bestimmung zu Datenschutz-ZertifizierungArtikel 42: programmatische Bestimmung zu Datenschutz-Zertifizierung
Grundverordnung und Richtlinie als Gesamtpaket
Datenschutz-Grundverordnung
Privat und Staat
außer Polizei und Strafjustiz
Richtlinie
Polizei
Strafjustiz
EffektiverRechtschutz
Kohärenz
Informationssicherheits-Architektur
Informations-SicherheitsPolicy
Sicherheitsrichtlinien
Sicherheitsmaßnahmen
Wichtige Ziele der Informationssicherheit
� Integrität
� Vertraulichkeit
� Verfügbarkeit
� Authentizität (Echtheit/Fälschungsschutz)
� Nachvollziehbarkeit („Unbestreitbarkeit“)
� Schutz vor Missbrauch (= Absicherung der Zweckbindung)
Herausforderungen in der Praxis
• Konkretisierung der Sicherheitsmaßnahmen
• Verhältnis Aufwand / Risiko
• Prioritäten setzen
• Gesetzliche Verpflichtungen in Abgrenzungzu Selbstverpflichtung
Konkreter Sorgfalts-und Haftungsmaßstab
• Legacy-Systeme und Migration
• Unternehmenskultur und gewohnte Prozesse• Stabile IT “Grundsysteme” vs agile
Anwendungsentwicklung (insb. CRM)
BestehendeStrukturen und
Unternehmenskultur
• IT-Sicherheit vs Arbeitnehmer-Datenschutz
• Kundendatenschutz vs Kooperationspflicht
• Betriebsgeheimnisse vs Transparenz der DV
• IT-Sicherheit vs Informationsfreiheit
Kollision von Interessen und Zielen
verbindliche
(Rechts-)
Vorschriften
(Compliance)
ISMS - zB
ISO 27000
BSI Grundschutz
…
Schnittmenge von Informations-Sicherheit und Compliance
Zertifizierungen?
- ISO 27000 (sehr aufwändig vor allem für KMU)
- “EuroPrise” Datenschutzsiegel (nur einzelne Anwendungen)
- Musterkonzepte (ISPA für “Telkos”, WKO für KMU) � wichtig aber nicht für
Zertifizierung geeignet
- Also welche Maßnahmen (aus dem riesigen Katalog) sind verpflichtend?
• Nicht nur personenbezogene Daten sind geschützt
• Nicht nur die Vertraulichkeit und Integrität von Daten ist geschützt
• Übereinstimmung von Ist-Funktionalität mit Soll-Funktionalität
Datensicherheit / Informationssicherheit ist
breiter als Datenschutz
• Datenschutz verbietet auch dem an sich befugten Dateninhaber bestimmte Datenverwendungen
• Zweckbindung als zentraler Grundsatz – zugleich die „Negativ-Definition“ von Missbrauch
Datenschutz ist breiter als Informationssicherheit /
Datensicherheit
• Datensicherheit als wichtiger Teilaspekt von Datenschutz
• Angemessene organisatorische und technische Maßnahmen
• Informationssicherheit als Prozess (PDCA-Zyklus)
Substantielle und systematische Überlappung
von Datenschutz und IT-Sicherheit
Zusammenhang Datenschutz und Informationssicherheit
Relevante Normen zu Datenschutz und Informationssicherheit im Überblick I
Datenschutzgesetz (DSG 2000) +Standard- und Musterverordnung
Schutz von personenbezogenen Daten
Telekommunikationsgesetz 2003 (TKG)
Vorschriften zu Datenschutz,Datensicherheit und Systemverfügbarkeit
Electronic Commerce Gesetz (ECG) Mitwirkungspflichten und Haftungsvorschriften für “Dienste der Informationsgesellschaft”
“Cybercrime” - Strafgesetzbuch §§ 118-124, § 126a, § 148a, § 225a ; § 51 DSG
Strafbestimmungen für Verletzung der Verschwiegenheit, Computerkriminalität und Datenmissbrauch
Unternehmensgesetzbuch (UGB), GmbHG,Aktiengesetz (AktG)
Vorschriften zu Buchführung und Management-Verantwortlichkeit
Arbeitsverfassungsgesetz (ArbVG) Mitwirkungs- und Mitbestimmungsrechteder Arbeitnehmer
Relevante Normen zu Datenschutz und Informationssicherheit im Überblick II
Datenschutzgesetz (DSG 2000) Standard-und Musterverordnung
Schutz von personenbezogenen Daten
Strafprozessordnung (StPO) einschl. Überwachungsverordnung und ÜKVO
Mitwirkungs- und Auskunftspflichtengegenüber Strafvervolgungsbehörden
Sicherheitspolizeigesetz (SPG) Mitwirkungs- und Auskunftspflichten,Befugnisse zur Gefahrenabwehr
“Cybercrime” - Strafgesetzbuch §§ 118-124, § 126a, § 148a
Strafbestimmungen für Verletzung der Verschwiegenheit, Computerkriminalität und Datenmissbrauch
Verbandsverantwortlichkeitsgesetz (VbVG) Haftung der Organisation und Durchgriff
Arbeitsverfassungsgesetz und Arbeitnehmer-Schutzgesetze
Mitwirkungs- und Mitbestimmungsrechteder Arbeitnehmer bzw. des Betriebsrats
Relevante Normen zu Datenschutz und Informationssicherheit im Überblick III
Urheberrechtsgesetz (UrHRG) Schutz von geistigem Eigentum, Software-Lizenzen
Signaturgesetz (SigG) und Signatur-Verordnung
Verwendung elektronischer Signaturen
Bundesabgabenordnung (BAO) Aufbewahrungs- und Dokumentations-Vorschriften zur Abgabenerhebung
E-Government-Gesetz (E-GovG) Kundenservices im Behördenverkehr über das Internet, Umsetzung der Amtssignatur
Informationssicherheitsgesetz (InfoSiG) Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen
Industrienormen (ISO 27000, BSI Grundschutz, etc)
Gesetzlich nicht unmittelbar verbindlicheNormen zur Informationssicherheit insb. Für Zertifizierungen und Auditierungen
� Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie)
� Wird durch die Datenschutz-Grundverordnung vollständig ersetzt
� Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)
� Charta der Grundrechte der Europäischen Union (2000/C 364/01):
� Artikel 7: Achtung des Privat- und Familienlebens; Artikel 8: Schutz personenbezogener Daten
� Europäische Menschenrechtskonvention (EMRK) – Europarat� Artikel 8: Recht auf Achtung des Privat- und Familienlebens
� Konvention No 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten – Europarat (aber keine Zust. d. EGMR)
Europäische Rechtsnormen zum Datenschutz I
� “Cybercrime Konvention” des Europarats - Übereinkommen über Computerkriminalität(CETS 185, “Budapest Konvention” vom 23.11.2001)
� Rahmenbeschluss 2008/977/JHA (Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden)
� Richtlinie 2008/114/EG über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern
� VO (EU) 2013/611 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG
� Vorschlag der EU Kommission aus 2013 für eine EU Richtlinie zur Netzwerk- und Informationssicherheit (NIS-RL)
� Einigung über Kompromiss von EU Rat und Parlament am 9.12.2015
� Verabschiedung im Rat voraussichtlich im Mai 2016
� Hintergrundarbeit zur Umsetzung durch neues IT Sicherheitsgesetz läuft
Europäische Rechtsnormen zum Datenschutz II
Ausblick EU Datenschutz Grundverordnung
• Einigung im “Trilog-Verfahren”
• Kompromiss: Stärkung des Datenschutzes in vielen Punkten – Kritik: Aufweichung der Zweckbindung; Versäumnis klarer Regelungen (zB“scoring”)
Ergebnis einesaufwändigen
Reformprozesses
• 14. April 2016 durch das EU-Parlament beschlossen
• In Kraft Treten 20 Tage nachKundmachung (Mai 2016)
• Zwei Jahre bis zur Geltung(“Legisvakanz”) – unmittelbare Geltung
Fahrplan bis zur Geltung
VIELEN DANK
FÜR IHRE AUFMERKSAMKEIT!
Kontakt
Research Institute AG & Co KGZentrum für digitale Menschenrechte
Smart Rights Consulting
• Wissenschaftliche Leitung: Ing. Mag. Dr. Christof Tschohl• [email protected]• Vorstand: Georg Benedikt Schmidt
• Sitz: Amundsenstraße 9, 1170 Wien• Büro im Zentrum: Neubaugasse 12-14, 1070 Wien • [email protected]• http://www.researchinstitute.at
Backup
Beispiel Telekommunikation, Datenschutz und
Datensicherheit
Konkrete Vorschriften des TKG I
� § 16a Abs 1 TKG: Betreiber öffentlicher Kommunikationsnetze müssen geeignete Maßnahmen zur Gewährleistung der Integrität ihrer Netze ergreifen und die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicher zu stellen
� § 16a Abs 2 TKG: Betreiber öffentlicher Kommunikationsnetze oder -dienste müssen unter Berücksichtigung des Standes der Technik durch angemessene technische und organisatorische Maßnahmen ein Sicherheitsniveau gewährleisten, das zur Beherrschung der Risiken für die Netzsicherheit geeignet ist. Die Maßnahmen müssen insbesondere geeignet sein, Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden bzw. so gering wie möglich zu halten.
� Notifizierungspflicht im Verhältnis zur allgemeinen „Data Breach Notifcation“ gemäß § 24 (2a) DSG bei systematischen und schwerwiegenden Datenschutzverletzungen
Konkrete Vorschriften des TKG II
§ 95 Abs 1 TKG: Betreiber öffentlicher Kommunikationsdienste sind verpflichtet zur Erlassung von Datensicherheitsmaßnahmen für jeden der von ihnen erbrachten Dienste. Besteht ein besonderes Risiko zur Verletzung der Vertraulichkeit, so hat der Betreiber den Teilnehmer nach § 95 Abs 2 TKG 2003 über dieses Risiko und über mögliche Abhilfen zu unterrichten. Darüber hinaus haben Betreiber öffentlicher Kommunikationsdienste insb. zu gewährleisten:
� die Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,
� den Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe,
� die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten.
Datensicherheitsverordnung zum TKG (DSVO-TKG) Ziele und Anwendungsbereich
Ziele:
� Gewährleistung eines hohen Datenschutz- und Datensicherheitsstandards beim Informationsaustausch zwischen „Telkos“ und Sicherheitsbehörden
� Beschleunigung der Auskunftsvorgänge und Strukturierung der Kooperation
� Festlegung der rechtmäßigen Übermittlungszwecke auf technischer Ebene (Datenschutz durch Technik / „Privacy by Design“)
Anwendungsbereich (insb. Nach Aufhebung der „Vorratsdatenspeicherung“ durch den Verfassungsgerichtshof):
� DSVO-TKG zwar anlässlich der Umsetzung der VDS erlassen, aber geht darüber hinaus
� Alle Regelungen in Bezug auf „Betriebsdaten“ (§ 2 (1) Z 1 DSVO) gelten weiter – VfGHbelässt dafür auch Teile des § 102c TKG (der sich auf VDS bezieht) in Geltung
� Bezieht sich auf die Verwendung von Verkehrsdaten, Zugangsdaten und Standortdaten sowie Stammdaten
DSVO-TKGKonkrete Ansatzpunkte zur Datensicherheit
im Betrieb des Anbieters
� Allgemein: Datensicherheitsmaßstab iSd § 14 DSG
� Risikobeherrschung durch Schaffung eines exklusiven und proprietären Systems zur Datenübermittlung („Durchlaufstelle“, DLS)
� Sichere Anbindung aller Beteiligten (Authentifizierung, Identifizierung)
� Frage nach VDS-Aufhebung: wer soll an DLS angebunden werden? Verweis des § 15 DSVO auf § 102a (6) TKG geht ins Leere…
� Ansatz: Verweis des aufgehobenen § 102a TKG auf Beitragspflicht zum RTR-Finanzierungsbeitrag gem. § 34 KommaustriaG unmittelbar auf DSVO beziehen
� Jeweils eigene Transport- und Inhaltsverschlüsselung
� Kein Zugang der „Drehscheibe“ (DLS) zu den Inhalten der Kommunikation
� § 5 (5) DSVO: Der Anbieter hat die tatsächliche Speicherdauer von Betriebsdaten sowie allfällige diesbezügliche interne Richtlinien für den Fall einer Prüfung durch die Datenschutzbehörde offenzulegen.
Datensicherheitsverordnung (DSVO)-TKGals Beispiel für Security & Privacy by design
� Spezifische Zwecke und Risiken werden identifiziert und adressiert
� Gewährleistung der Vertraulichkeit
� Durch Schaffung von Nutzer- und Sicherheitsklassen (Verweis auf Portalverbundvereinbarung, „Rad nicht neu erfinden“)
� Authentizität durch qualifizierte Signaturen mit Hashwert
� Nachvollziehbarkeit / Transparenz für Ermittlungen bei Sicherheitsvorfällen (Protokollierung, Uniq-ID, Zugang von Rechtsschutzorganen RSB, DSB)
� Schutz vor Missbrauch durch Zweckbindung auf der technischen Ebene der Schnittstellendefinition (nur rechtlich zulässige Verwendungsfälle)
� Auditierung der konkreten Umsetzung der DLS für die Sicherstellung der Integrität des Übermittlungssystems
� Orientierungsfunktion und „Rückkoppelung“ auf betriebsinterne Datensicherheit
