Die DSGVO aus IT-Sicht
RA Dr. Lukas Feiler, SSCP, CIPP/E Lindecampus Praxistag: Fit für das neue Datenschutzrecht
30. Jänner 2018
Themen 1 Datensicherheit DSGVO-konform gestalten
Wie sicher ist sicher genug?
Datensicherheitskonzepte auf dem Prüfstand
2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren
Wann liegt eine Sicherheitsverletzung vor?
Wann sind Datenschutzbehörde bzw. Betroffene zu informieren?
3 Die Erfüllung von Betroffenenrechten automatisieren
Betroffenenrechte im Self-Service
Löschung technisch umsetzen
Technische Umsetzung des Rechts auf Datenübertragbarkeit
4 Risikominderungsmaßnahmen im Rahmen von
Datenschutz-Folgenabschätzungen
1 Datensicherheit DSGVO-konform gestalten
3
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Vertraulichkeit, Verfügbarkeit, Integrität
4
Daten sind zu schützen vor
Verlust der Vertraulichkeit
Verlust der Verfügbarkeit
Verlust der Integrität
Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung
des Stands der Technik,
der Implementierungskosten,
der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und
der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Datensicherheitspflichten
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Herausforderung Risikobewertung – 1 von 2
5
Methoden der Risikobewertung
Qualitativ - niedrig – mittle – hoch
Quantitativ – X Euro
in beiden Fällen Kombination von potentiellem Schaden & Eintrittswahrscheinlichkeit
Qualitative Risikobewertung z.B. durch Risiko-Matrizen
Datensicherheitspflichten
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Herausforderung Risikobewertung – 2 von 2
6
Quantitative Risikobewertung: Annualized Loss Expectancy (ALE)
ALE = Annualized Rate of Occurrence (ARO) * Single Loss Expectancy (SLE)
zB Risiko eines Festplattendefekts: ARO = 0,1; SLE = € 100k ALE = € 10k
besondere Herausforderung: Wie ist der Schaden zu bemessen?
Nach dem ersatzfähigen Schaden gem Art 82 DSGVO?
Datensicherheitspflichten
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Sicherheitsmaßnahmen
7
Angemessene Maßnahmen umfassen laut DSGVO insb.:
Pseudonymisierung und Verschlüsselung;
die Fähigkeit, die Sicherheit der Systeme sicherzustellen;
die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities;
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits
Technische Standards ausreichend? z.B.
„Critical Security Controls for Effective Cyber Defense“ des Center for Internet Security
ISO/IEC 27001 - Information security management
ISO/IEC 27002 - Code of practice for information security controls
Payment Card Industry Data Security Standard (PCI DSS)
Datensicherheitspflichten
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Typen von Sicherheitsmaßnahmen
8
Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen
Nach der Wirkungsweise: präventive, detektive, reaktive oder abschreckende Maßnahmen
Datensicherheitspflichten
Beispiele Technical Organizational Physical
Präventiv Firewall 4-Augen-Prinzip Stahltür
Detektiv Intrusion
Detection System
Verpflichtender Log
Review
Brandmelder
Reaktiv (Backup &)
Restore
Incident Response
Policy
Feueralarm
Abschreckend Warnmeldung Disziplinarordnung Hund
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Im Fokus: Zugriffskontrolle (Access Control)
9
Identifizierung: Wer bist du? Ich bin Tom.
Authentifizierung: Wirklich? Beweise es!
Durch etwas das man weiß (ein Passwort)
Durch etwas das man hat (zB einen Schlüssel)
Durch etwas das man ist (zB Retina- oder Fingerabdruck-Scan)
„One-Factor Authentication“: eines der drei
„Two-Factor Authentication“: zwei der drei
Autorisierung: Wenn ich weiß wer du bist, entscheide ich, was du darfst
Allgemeine Verweigerung/Gewährung des Zugriffs
Zugriff nur auf bestimmte Informationen
Datensicherheitspflichten
2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren
10
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Datensicherheitsverletzung
11
Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten
Vorsätzliche und zufällige Ereignisse sind erfasst
Beispiele:
Laptop mit Kundendaten (ohne Festplattenverschlüsselung) im Zug vergessen Verletzung der Vertraulichkeit
Erpresser-Schadstoffware verschlüsselt alle Kundendaten (keine Backups vorhanden) Verletzung der Verfügbarkeit
Mitarbeiter-PCs durch Schadsoftware kompromittiert, die nur dazu verwendet wird, Spam-E-Mails an Dritte zu versenden weder die Vertraulichkeit noch die Verfügbarkeit oder die Integrität der Daten wurde verletzt
Sicherheitsverletzungen
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Meldung von Datensicherheitsverletzungen
12
Pflicht zur „Data Breach Notification“
Informationspflicht besteht nur, wenn Verantwortlicher von Sicherheitsverletzung Kenntnis
erlangt
Eine Sicherheitsverletzung muss der Aufsichtsbehörde unverzüglich und spätestens
binnen 72 Stunden gemeldet werden, bei jeglichem Risiko für Betroffene
Pflicht zur Notifikation gegenüber Betroffenen: unverzüglich – aber nur, wenn für
Betroffene das Risiko hoch ist
Inhalt der Meldung u.a.: Art der Sicherheitsverletzung, Namen und Kontaktdaten des
Datenschutzbeauftragten, ergriffene oder vorgeschlagene reaktive Maßnahmen
Sicherheitsverletzungen
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Wann liegt ein „hohes Risiko“ vor?
13
Faustregel: War für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung
durchzuführen? Wurden Benutzernamen und Passwörter oder sensible Daten
kompromittiert?
Wenn ja, ist grundsätzlich von einem hohen Risiko auszugehen
Beispiele
Videoüberwachung durch dutzende Videokameras in einem Geschäft umfangreiche
Überwachung öffentlich zugänglicher Bereiche; eine Datenschutz-Folgenabschätzung ist
nötig bei Sicherheitsverletzung liegt hohes Risiko liegt vor
Profiling zwecks personalisierter Werbung hat weder Rechtsfolgen für die Betroffenen,
noch beeinträchtigt es sie auf ähnliche Weise, typischerweise sind keine sensiblen Daten
erfasst meist wird kein hohes Risiko vorliegen
Sicherheitsverletzungen
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Notfallplan für Sicherheitsverletzungen
14
Sicherheitsverletzungen
– Preparation
– Detection
– Containment
– Eradication
– Recovery
– Follow-Up
Kenntnisse der rechtlichen Pflichten
Breach Notification
Sammlung von Beweismitteln &
Auskunftsansprüche gegen Provider
Gerichtliche Rechtsdurchsetzung
3 Die Erfüllung von Betroffenenrechten automatisieren
15
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Betroffenenrechte im Self-Service
16
Administrative Kosten für manuelle Bearbeitung von Betroffenenanfragen hoch
Self-Service über Online-Plattform
Vorteil: kaum laufende Kosten
Herausforderung: Risikoangemessenheit der Authentifizierung der Betroffenen
zuvor vereinbartes Passwort
qualifizierte elektronische Signatur
bei Mitarbeitern: Anfrage über berufliche E-Mail-Adresse
Abfrage von Wohnanschrift und Geburtsdatum
Übermittlung einer Kopie eines amtlichen Lichtbildausweises
Bei Auskunftsansprüchen: Übermittlung der Daten an bereits bekannte (E-Mail-)Adresse des Betroffenen
Betroffenenrechte automatisieren
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Löschung & Einschränkung der Verarbeitung
17
Herausforderungen der Datenlöschung in der Praxis
Löschen in einer relationalen Datenbank
Löschen von Backups (vgl. § 4 Abs. 2 DSG)
Datenentsorgung
Herausforderungen der Einschränkung der Verarbeitung
Daten müssen von regulärer Verarbeitung ausgenommen werden
Sperrung eines Datensatzes auf Datenbankebene?
Temporäre Migration des Datensatzes in andere Datenbank?
Technische Umsetzung
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Das Recht auf Datenübertragbarkeit
18
Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar
gängige Formate
für E-Mail: PST, Mailbox, mbox
für Daten aus einem CRM-System?
Auffangbecken XML (vgl. z.B. http://pear.php.net/package/XML_Query2XML)
Übermittlung an einen anderen Verantwortlichen
nur soweit technisch machbar!
Technische Umsetzung
4 Risikominderungsmaßnahmen bei Datenschutz-Folgenabschätzungen
19
© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Risikominderungsmaßnahmen
20
Folgenabschätzung bei prima facie hohen Risiko erforderlich
Risikominderungsmaßnahmen erforderlich
Sicherheitsbezogene Maßnahmen
Nicht sicherheitsbezogene Maßnahmen
Einschränkung der Datenarten – z.B. bei Videoüberwachung Pausenraum ausnehmen
Einschränkung des Datenumfangs – z.B. Reduktion der Frequenz der Datenerhebung
Einschränkung der Kategorien von Betroffenen – z.B. bei einer Whistleblowing-Hotline nur
Meldungen über Entscheidungsträger zulassen
Einschränkung der Anzahl von Betroffenen – z.B. für statistische Untersuchung kleineres
Sample wählen
Einschränkung der Verarbeitungszwecke – z.B. Daten einer Videoüberwachung nur im
Fall eines begründeten Verdachts einer gerichtlich strafbaren Handlung auswerten
Datenschutz-Folgenabschätzungen
www.bakermckenzie.com
Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein
nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker &
McKenzie Rechtsanwaltsgesellschaft mbH, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend,
bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied
von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker &
McKenzie International.
© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG
Dr. Lukas Feiler, SSCP CIPP/E
Senior Associate
Leiter des Teams für IT-Recht in Wien
Schottenring 25
1010 Vienna
T: +43 1 24 250
Lukas Feiler ist Co-Autor des eines Kommentars zur Datenschutz-Grundverordnung und des ersten Praktiker-
Buches zur DSGVO sowie Herausgeber des Gesetzbuch Datenschutzrecht. Er begleitet Unternehmen auf
www.digitalwave.at bei der digitalen Transformation.