18
Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016

Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

  • Upload
    others

  • View
    3

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

SK-Consulting Group GmbHDonnerstag, 29. September 2016

Page 2: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Alexander JungDiplom-Jurist (Univ.)

Senior Consultant Datenschutz

Vorstellung

Page 3: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Jüngste Meilensteine der Datenschutz-Entwicklung

1978: Bundesdatenschutzgesetz (BDSG) bis 25.05.2018

1995: Europäische Datenschutz-Richtlinie 95/46/EG

2018: Datenschutzgrundverordnung (DS-GVO) ab 25.05.2018

Page 4: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Der laaaaaaaaaaaange Weg zur Datenschutzgrundverordnung

November 2011

Erster Entwurf taucht auf

2011 20132012 2014 2015 201820172016

20. Januar 2012

21. Oktober 2013

Vorstellung erster Entwurf einer Datenschutzgrund-verordnung durchEU-Kommission

Vorstellung des angenommenen Entwurfs des EU-Parlaments

LIBE-Ausschuss des EU-Parlaments nimmt die zwischen Rat und Parla-ment erörterten Ände-rungsanträge zur geplan-ten EU-DS-GVO an

12. März 2014

24. Juni 2015

14. April 2016

Beschluss der EU-DS-GVO durch das EU-Parlament 25. Mai 2018

Geltungder EU-DS-GVO(2 Jahre nach Inkrafttreten)

Erstes Trilog-Treffen zwischen Kommission, Parlament und Rat

05. Mai 2016

25. Mai 2016

Veröffentlichung im Europäischen Amtsblatt

Inkrafttreten(20 Tage nach Veröffentlichung)

Page 5: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Das zähe Ringen ums Geschäft

Quelle: http://www.n-tv.de/politik/Blog-deckt-Lobbyeinfluss-auf-article10103291.html

Quelle: http://www.sueddeutsche.de/politik/lobbyplageu-zum-datenschutz-mit-der-handschrift-von-lobbyisten-1.1596685

Quelle: https://apps.opendatacity.de/lobbymail/inbox/42

Page 6: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

überstürzt„gesprochen“:

§ 9 BDSG + Anlage Art. 32 DSGVO

“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten undder Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie derunterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechteund Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftrags-verarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, umein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]” (Artikel 32 Absatz1 DSGVO)

IT-Sicherheit: Schluss mit der Gewohnheit

„„““

Page 7: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Art. 32 DS-GVO Anlage zu § 9 BDSG

Art. 32 Abs. 1 lit. a:

Pseudonymisierung personenbezogener Daten

-/-

Art. 32 Abs. 1 lit. a:

Verschlüsselung personenbezogener Daten

-/-

Art. 32 Abs. 1 lit. b:

… Vertraulichkeit, … im Zusammenhang mit der Verarbeitung auf Dauer sicher-zustellen

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Auftragskontrolle

Zweckbindung

Alter Wein in neuen Schläuchen?

Page 8: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Art. 32 DS-GVO Anlage zu § 9 BDSG

Art. 32 Abs. 1 lit. b:

… Integrität, … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

Eingabekontrolle

Auftragskontrolle

Art. 32 Abs. 1 lit. b:

… Verfügbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

Verfügbarkeitskontrolle

Art. 32 Abs. 1 lit. b:

… Belastbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

-/-

Art. 32 Abs. 1 lit. c:

Beschreibung des Verfahrens zur Gewähr-leistung den Zugang zu den personen-bezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzu-stellen

-/-

Alter Wein in neuen Schläuchen?

Page 9: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Art. 32 DS-GVO Anlage zu § 9 BDSG

Art. 32 Abs. 1 lit. d:

Beschreibung der Verfahren zur regel-mäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der tech-nischen und organisatorischen Maß-nahmen zur Gewährleistung der Sicherheit der Verarbeitung

-/-

Alter Wein in neuen Schläuchen?

Page 10: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

1. Feststellung

• Art. 32 DSGVO ähnlich abstrakt wie § 9 BDSG + Anlage

• IT-Sicherheit hat höheren Stellenwert in DSGVO

Grundsatz in DSGVO (Art. 5 Abs. 1 (f))

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet […] durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit)“““„„

Page 11: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

2. Feststellung

• Technisch-organisatorische Maßnahmen nach Stand der Technik orientieren

bisher nur bezüglich der Verschlüsselung

Page 12: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

3. Feststellung

• Vornahme einer Risikoanalyse

„[…] Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“

• Schutzbedarfsfeststellung durch Einteilung in Schutzbedarfskategorien mit Orientierung am BSI-Grundschutzkatalog („normal“, „hoch“, „sehr hoch“)

• Risikobewertung mit Fokus auf Betroffenen anstatt von IT-Systemen

Festlegung von Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen

• Prinzip der „Accountability“; verschärfte Dokumentations- und Rechenschaftspflicht

„„ ““

Page 13: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

4. Feststellung

• Begriffe wie Zugriffs-, Zugangs- und Zutrittskontrolle etc. weggefallen

Stattdessen Begriffe wie: Vertraulichkeit, Integrität, Verfügbarkeit/ Wiederherstellbarkeit und Belastbarkeit der Systeme und Dienste als Schutzziele

Page 14: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

5. Feststellung

Art. 32 Abs. 1 Satz 1 d)

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“

Beispiel: Penetrationstests““„„

Page 15: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

6. Feststellung

Privacy Impact Assessment (Datenschutzfolgenabschätzung) bei Einführung von IT-Systemen, wenn die Verarbeitung hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt

Page 16: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Vergleichende Analyse BDSG vs. DS-GVO

7. Feststellung

Bußgelder von 10 Millionen Euro bzw. im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres

bisher keine Bußgelder bei Verstoß gegen § 9 BDSG

Page 17: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

Das Wichtigste auf einen Blick

IT-Sicherheit nach

DS-GVO

Feststellung

Schutzbedarf

Risiko-bewertung

Umsetzung

Dokumentation

Page 18: Die erheblichen Einflüsse der Datenschutz-Grundverordnung ... · Ä ³. Vergleichende Analyse BDSG vs. DS-GVO 2. Feststellung •Technisch-organisatorische Maßnahmen nach Stand

… Verbindungen die Funktionieren

Vielen Dank für Ihre Aufmerksamkeit