24
14.10.2017 EU Datenschutz-Grundverordnung Datenschutz-Folgenabschätzung Privacy Impact Assessment Dozentin: Daniela Duda Datenschutzbeauftragte GDDcert. Zertifikatslehrgang Datenschutzrecht / Carl von Ossietzky Universität Datenschutzbeauftragte eDSB TÜV Systemischer Coach

Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

  • Upload
    vuphuc

  • View
    230

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

14.10.2017

EU Datenschutz-Grundverordnung

Datenschutz-Folgenabschätzung

Privacy Impact Assessment

Dozentin:

Daniela Duda Datenschutzbeauftragte GDDcert.Zertifikatslehrgang Datenschutzrecht / Carl von Ossietzky UniversitätDatenschutzbeauftragte eDSB TÜVSystemischer Coach

Page 2: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Vortragsaufbau

Gesetzliche Grundlagen und Begriffe

DPIA als Werkzeug

Gängige Inhalte und Detaillierungsgrad

EU Datenschutz-Grundverordnung – Art. 35

2

Inhalte

Page 3: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Gesetzliche Grundlagen

und Begriffe

Page 4: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Datenschutz-Folgenabschätzung – „Vorgänger“

Früher: Die Vorabkontrolle

4

§ 4d Abs. 5 Bundesdatenschutzgesetz (BDSG-alt)

Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).

Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

• besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden

• die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten

EU Datenschutz-Grundverordnung – Art. 35

Page 5: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

künftig: Die Datenschutz-Folgenabschätzung (DSFA)

5

Art. 35 Datenschutz-Grundverordnung (DS-GVO):

(…) so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen

Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. (…)

Die Notwendigkeit einer DSFA ist bestimmt durch

• die Verwendung neuer Technologien

• die Art der Verarbeitung

• den Umfang der Verarbeitung

• die Umstände der Verarbeitung

• die Zwecke der Verarbeitung

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung – „Zukunft“

Page 6: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Durchführungspflicht

6

Besondere Notwendigkeit Art. 35 Abs. 3 DS-GVO:

• Bei allen Verarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene darstellenHierunter fallen insbesondere:

• systematische und umfangreiche Überwachung öffentlicher Bereiche

• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen

• umfangreiche Verarbeitung besonderer Kategorien von Daten

Sowie nach Art. 35 Abs. 4 und 5 DS-GVO -> Blacklist bzw. Whitelist

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung – Voraussetzungen

Page 7: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Einschätzung der Art. 29 Gruppe (WP 248) zu „hohem Risiko“

• Bewertung (Profiling) oder Scoring

• Automatisierte Entscheidungsfindung mit rechtlichem oder ähnlichem erheblichen Effekt

• Systematische Überwachung des öffentlichen Raums

• Sensible Daten

• Datenverarbeitung in großem Umfang

• Abgleich von Datensätzen mittels Kombination („matching“)

• Daten zu eingeschränkt rechtsfähigen („vulnerable“) Personen

• Innovative Nutzung oder Anwendung technologischer oder organisatorischer Lösungen

• Grenzüberschreitender Datentransfer in Drittstaaten

• Verarbeitungen, bei denen die betroffenen Personen ein Recht nicht ausüben können oder keine Dienstleistung erbracht wird oder kein Vertrag besteht, z. B.: Zufällig vorbeilaufende Menschen im öffentlichen Raum; Screening im Bankensektor

Hohes Risiko für Betroffene, wenn 2 oder mehr der folgenden Kriterien erfüllt sind:

7

EU Datenschutz-Grundverordnung – Art. 35

Page 8: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Verantwortung und Konsequenzen

Verantwortung und Konsequenzen

8

• beim Verantwortlichen (Art. 35 Abs. 1 DS-GVO) (…) so führt der Verantwortliche vorab eine

Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz pb Daten durch.

• Der Verantwortliche holt (…) Rat des Datenschutzbeauftragten (…) ein.

• DSB unterstützt und berät (Pflicht, Nichteinhaltung bußgeldbewährt)

• DSB ist nicht verantwortlich. Auch nicht für Abschlussbewertung

EU Datenschutz-Grundverordnung – Art. 35

• unzureichende Durchführung ist, wie die Nichthinzuziehung der DSB,

bußgeldbewährt.

Sanktionen gem. Art. 84 Abs. 4 Alt. a

Page 9: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

• Gestärkte Eigenverantwortung des Verantwortlichen

• Konzepts d. Accountability zur Verdeutlichung der Gesamtverantwortung

• Risikominimierung

Ziele DPIA

9

EU Datenschutz-Grundverordnung – Art. 35

Dreistufiger Mechanismus zur Risikoeindämmung

RisikoeindämmungDatenschutz-

FolgenabschätzungRisikobewertung

Datenschutz-Folgenabschätzung

Page 10: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Risikomanagement im Unternehmen

10

• Unterscheidung zwischen Risiko für

Unternehmen

Betroffene

Unternehmensrisiken sind vielschichtiger als Betroffenenrisiken

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

• Festlegung PIA-Schwellenwert

kommt Datenschutzrecht überhaupt zur Anwendung?

ist DPIA notwendig?

ist Standard-Set an Maßnahmen ausreichend?bspw. Zugriffsrechte, Weitergaberegeln, Löschroutinen, Benachrichtigungen

Page 11: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Unternehmensrisiken

11

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

Datenschutzrisikendes Unternehmens

Rechtliche Risiken

Schadens-ersatz-

ansprüche(z.B. §7 BDSG)

BehördlicheMaß-

nahmen

Geheimnis-schutz

(u.a. § 203 StGB)

Reputations-risiken

Produkt-reputation

Brand-reputation

Finanzielle Risiken

BußgelderBerater-kosten

Prozess-kosten

Quelle: Dr. Jyn Schultze-Melling

finanzielleRisiken

rechtlicheRisiken

Page 12: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

DPIAals Werkzeug

Page 13: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

DPIA als Werkzeug

13

• Das Werkzeug PIA kann nur funktionieren, wenn

es die tatsächlichen Umstände beschreibt und bewertet

es laufend aktuell gehalten wird

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

plan

docheck

act

• bzgl. Verfahrensablauf, Stand der Technik, Prozessbeteiligte,

z. B.

neue Auftragsverarbeiter

Erweiterung der gesammelten Daten

neue Zweckbestimmung

Bedeutet für die Praxis laufende Überprüfung und Anpassung

Page 14: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Regelmäßige DPIA-Überprüfung (1 von 2)

14

• tatsächliche Einhaltung der Kontrolle

• Geeignetheit der Kontrolle

• Effektivität der Kontrolle

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

• Beispiele für Veränderungen bzgl.

Höhe der identifizierten Risiken

Relevanz und Angemessenheit der Risiken

plan

docheck

act

Page 15: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Regelmäßige DPIA-Überprüfung (2 von 2)

15

• Definition regelmäßiger Überprüfungsintervalle

angemessen und abhängig von mit dem Prozess verbundenen Risiko

bspw. Gliederung in 6 Monate für Kernprozesse, 12 / 24 Monate für Standard

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

• Definition „Trigger“ - ereignisbasierte DPIA-Überprüfung

relevanten Gesetzesänderungen

relevanten Datenschutzvorfällen (eigene, wie auch Wettbewerb)

Veränderungen Aufsichtsbehörde (Arbeitsweise, Führungswechsel, …)

Einsatz / Verfügbarkeit neuer Technologien

Änderungen im Prozess

plan

docheck

act

Page 16: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Einschätzung des Risikos

Risiko = Schadenseintrittswahrscheinlichkeit x Schwere des Schadens

16

EU Datenschutz-Grundverordnung – Art. 35

Schadeneintrittswahrscheinlichkeit

Sch

wer

e d

es S

chad

ens

Quelle: Dr. Jyn Schultze-Melling

Page 17: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Gängige Inhalte

und Detaillierungsgrad

Page 18: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Diverse Leitfäden für DPIAs

18

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

SDM „pragmatisch“

ISO/IEC 29134:2017

Page 19: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Die Folgenabschätzung enthält zumindest Folgendes:

19

EU Datenschutz-Grundverordnung – Art. 35

Mindestanforderung an Dokumentation einer DPIA – Art. 35 Abs. 7 DS-GVO

a) eine systematische Beschreibung der

geplanten Verarbeitungsvorgänge und

der Zwecke der Verarbeitung,

gegebenenfalls einschließlich der vom

Verantwortlichen verfolgten

berechtigten Interessen

Begründung für die Einführung des Verfahrensb) eine Bewertung der Notwendigkeit

und Verhältnismäßigkeit der

Verarbeitungsvorgänge in Bezug auf den

Zweck

systematische Dokumentation

ggf. mehrere Zwecke (Plural)

Dokumentation des Interesses

Nachweis der Berechtigung des Interesses?

Page 20: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

20

EU Datenschutz-Grundverordnung – Art. 35

c) eine Bewertung der Risiken für die Rechte und

Freiheiten der betroffenen Personen gemäß

Absatz 1

geplante Abhilfemaßnahmen

organisatorische Regelungen

technische Sicherheitsvorrichtungen

d) die zur Bewältigung der Risiken geplanten

Abhilfe-maßnahmen, einschließlich Garantien,

Sicherheits-vorkehrungen und Verfahren, durch

die der Schutz personenbezogener Daten

sichergestellt und der Nachweis dafür erbracht

wird, dass diese Verordnung eingehalten wird,

wobei den Rechten und berechtigten Interessen

der betroffenen Personen und sonstiger

Betroffener Rechnung getragen wird.

Bewertung Motive (z.B. Organisation = Angreifer)

Verfahren / neue Technik als „Tatwaffe“

Beurteilung der Risiken des Eingriffs

Die Folgenabschätzung enthält zumindest Folgendes:

Nachweise bspw. durch Prüfsiegel hohe Anforderung an Transparenz

Wirksamkeit der Maßnahmen muss dokumentierbar sein

Mindestanforderung an Dokumentation einer DPIA – Art. 35 Abs. 7 DS-GVO

Page 21: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Dokumentation = Rechenschaft (1 von 2)

21

systematische Beschreibung der geplanten Verarbeitung

Zwecke der Verarbeitung

Beschreibung der berechtigten Interessen

verwendete IT-Systeme inkl. technischer und organisatorischer Maßnahmen

(TOMs)

Verzeichnis von Verarbeitungstätigkeiten

Bewertung der Notwendigkeit und der Verhältnismäßigkeit

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

Page 22: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Dokumentation = Rechenschaft (2 von 2)

22

Risikobewertung

konkretes Risiko (Eintrittswahrscheinlichkeit) und Schwere der Auswirkung

Auswahl der geeigneten Abhilfemaßnahmen

EU Datenschutz-Grundverordnung – Art. 35

Datenschutz-Folgenabschätzung

Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, Offenlegung oder Zugänglichmachung (Art. 4 Nr. 12 DS-GVO)

geplante Abhilfemaßnahmen

Garantien / Schutzmaßnahmen / Verfahren

Page 23: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Links

• https://datenschutzzentrum.de

• https://www.rehm-datenschutz.de

• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1002.pdf

• https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf

• http://ec.europa.eu/newsroom/document.cfm?doc_id=44137

• https://www.iso.org/standard/62289.html

Weitere Quellen

23

EU Datenschutz-Grundverordnung – Art. 35

Page 24: Datenschutz-Folgenabschätzung Privacy Impact …business-partnering.com/fileadmin/Editor/Vortraege/Congress_at-it... · Datenschutz-Folgenabschätzung –„Vorgänger“ Früher:

Dank!

24

Herzlichen

rehm Datenschutz GmbHDaniela DudaGeschäftsführerinDatenschutzbeauftragte GDDcert.

089 / 6080 [email protected]

Eugen-Sänger-Ring 1385649 Brunnthal