Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT
SK-Consulting Group GmbHDonnerstag, 29. September 2016
Alexander JungDiplom-Jurist (Univ.)
Senior Consultant Datenschutz
Vorstellung
Jüngste Meilensteine der Datenschutz-Entwicklung
1978: Bundesdatenschutzgesetz (BDSG) bis 25.05.2018
1995: Europäische Datenschutz-Richtlinie 95/46/EG
2018: Datenschutzgrundverordnung (DS-GVO) ab 25.05.2018
Der laaaaaaaaaaaange Weg zur Datenschutzgrundverordnung
November 2011
Erster Entwurf taucht auf
2011 20132012 2014 2015 201820172016
20. Januar 2012
21. Oktober 2013
Vorstellung erster Entwurf einer Datenschutzgrund-verordnung durchEU-Kommission
Vorstellung des angenommenen Entwurfs des EU-Parlaments
LIBE-Ausschuss des EU-Parlaments nimmt die zwischen Rat und Parla-ment erörterten Ände-rungsanträge zur geplan-ten EU-DS-GVO an
12. März 2014
24. Juni 2015
14. April 2016
Beschluss der EU-DS-GVO durch das EU-Parlament 25. Mai 2018
Geltungder EU-DS-GVO(2 Jahre nach Inkrafttreten)
Erstes Trilog-Treffen zwischen Kommission, Parlament und Rat
05. Mai 2016
25. Mai 2016
Veröffentlichung im Europäischen Amtsblatt
Inkrafttreten(20 Tage nach Veröffentlichung)
Das zähe Ringen ums Geschäft
Quelle: http://www.n-tv.de/politik/Blog-deckt-Lobbyeinfluss-auf-article10103291.html
Quelle: http://www.sueddeutsche.de/politik/lobbyplageu-zum-datenschutz-mit-der-handschrift-von-lobbyisten-1.1596685
Quelle: https://apps.opendatacity.de/lobbymail/inbox/42
überstürzt„gesprochen“:
§ 9 BDSG + Anlage Art. 32 DSGVO
“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten undder Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie derunterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechteund Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftrags-verarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, umein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]” (Artikel 32 Absatz1 DSGVO)
IT-Sicherheit: Schluss mit der Gewohnheit
„„““
Art. 32 DS-GVO Anlage zu § 9 BDSG
Art. 32 Abs. 1 lit. a:
Pseudonymisierung personenbezogener Daten
-/-
Art. 32 Abs. 1 lit. a:
Verschlüsselung personenbezogener Daten
-/-
Art. 32 Abs. 1 lit. b:
… Vertraulichkeit, … im Zusammenhang mit der Verarbeitung auf Dauer sicher-zustellen
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Auftragskontrolle
Zweckbindung
Alter Wein in neuen Schläuchen?
Art. 32 DS-GVO Anlage zu § 9 BDSG
Art. 32 Abs. 1 lit. b:
… Integrität, … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
Eingabekontrolle
Auftragskontrolle
Art. 32 Abs. 1 lit. b:
… Verfügbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
Verfügbarkeitskontrolle
Art. 32 Abs. 1 lit. b:
… Belastbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
-/-
Art. 32 Abs. 1 lit. c:
Beschreibung des Verfahrens zur Gewähr-leistung den Zugang zu den personen-bezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzu-stellen
-/-
Alter Wein in neuen Schläuchen?
Art. 32 DS-GVO Anlage zu § 9 BDSG
Art. 32 Abs. 1 lit. d:
Beschreibung der Verfahren zur regel-mäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der tech-nischen und organisatorischen Maß-nahmen zur Gewährleistung der Sicherheit der Verarbeitung
-/-
Alter Wein in neuen Schläuchen?
Vergleichende Analyse BDSG vs. DS-GVO
1. Feststellung
• Art. 32 DSGVO ähnlich abstrakt wie § 9 BDSG + Anlage
• IT-Sicherheit hat höheren Stellenwert in DSGVO
Grundsatz in DSGVO (Art. 5 Abs. 1 (f))
„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet […] durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit)“““„„
Vergleichende Analyse BDSG vs. DS-GVO
2. Feststellung
• Technisch-organisatorische Maßnahmen nach Stand der Technik orientieren
bisher nur bezüglich der Verschlüsselung
Vergleichende Analyse BDSG vs. DS-GVO
3. Feststellung
• Vornahme einer Risikoanalyse
„[…] Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“
• Schutzbedarfsfeststellung durch Einteilung in Schutzbedarfskategorien mit Orientierung am BSI-Grundschutzkatalog („normal“, „hoch“, „sehr hoch“)
• Risikobewertung mit Fokus auf Betroffenen anstatt von IT-Systemen
Festlegung von Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen
• Prinzip der „Accountability“; verschärfte Dokumentations- und Rechenschaftspflicht
„„ ““
Vergleichende Analyse BDSG vs. DS-GVO
4. Feststellung
• Begriffe wie Zugriffs-, Zugangs- und Zutrittskontrolle etc. weggefallen
Stattdessen Begriffe wie: Vertraulichkeit, Integrität, Verfügbarkeit/ Wiederherstellbarkeit und Belastbarkeit der Systeme und Dienste als Schutzziele
Vergleichende Analyse BDSG vs. DS-GVO
5. Feststellung
Art. 32 Abs. 1 Satz 1 d)
„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“
Beispiel: Penetrationstests““„„
Vergleichende Analyse BDSG vs. DS-GVO
6. Feststellung
Privacy Impact Assessment (Datenschutzfolgenabschätzung) bei Einführung von IT-Systemen, wenn die Verarbeitung hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt
Vergleichende Analyse BDSG vs. DS-GVO
7. Feststellung
Bußgelder von 10 Millionen Euro bzw. im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres
bisher keine Bußgelder bei Verstoß gegen § 9 BDSG
Das Wichtigste auf einen Blick
IT-Sicherheit nach
DS-GVO
Feststellung
Schutzbedarf
Risiko-bewertung
Umsetzung
Dokumentation
… Verbindungen die Funktionieren
Vielen Dank für Ihre Aufmerksamkeit