1
www.datenschutzzentrum.de
Datenschutzmanagement mit dem Standard-Datenschutzmodell (SDM) im
Kontext der DSGVO
Martin Rost28.11.2017 Hamburg
2
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
1. Was meint „Datenschutz“?2. TO-Maßnahmen der “Datenschutz-Grundverord-
nung” (DSGVO) (grobe Schnelldurchsicht)
3. Das Standard-Datenschutzmodell (SDM)4. Referenzschutzmaßnahmen des SDM
Protokollierung und Datenschutzfolgenabschätzung
Agenda
3
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Was meint„Datenschutz“?
• Datenschutz ist nicht mit Datenschutzrecht gleichzusetzen!Denn das Datenschutzrecht reagiert auf einen strukturellen Konflikt.
• Datenschutz ist nicht mit der IT-Sicherheit, etwa dem IT-Grundschutz des BSI, gleichzusetzen!1. Datenschutz gilt dem Schutz von Betroffenen nicht von Geschäftsprozessen. 2. Datenschutz thematisiert Grundrechtseingriffe, deren Intensität durch Regeln und Technik minimiert werden muss.
• Der Grund für Datenschutz ergibt sich nicht aus einem individuellen Bedürfnis nach Privatheit.Das Konzept „informationelle Selbstbestimmung“ ist eine funktionale Voraussetzung moderner Gesellschaften.
4
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Der Objektbereichdes Datenschutzes
Datenschutz beobachtet, beurteilt und gestaltet die asymmetrischen Machtbeziehungen zwischen Organisationen und Personen... aus der Perspektive des Risikonehmers “Person”.
5
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
VerhältnisIT-Sicherheit – Datenschutz
• IT-Sicherheit unterstellt methodisch: Jede Person kann ein Angreifer sein!– Deshalb müssen Personen in Organisationen sich Maßnahmen der IT-Sicherheit
gefallen lassen, die es Personen erschweren, eine Organisation anzugreifen.
• Datenschutz unterstellt:– Jede Organisation externalisiert Risiken (der öffentlichen Sicherheit, des Marktes, der
freien Diskurse...) auf schwächere Risikonehmer (Bürger, Kunden, Personen). Organisationen müssen sich deshalb grundrechtlich begründete Maßnahmen gefallen lassen, die es Organisationen erschweren, Personen anzugreifen.
● Organisationen müssen Personen nachweisen, dass sie keine Angreifer sondern vertrauenswürdig sind. Dies kann u.a. dadurch gelingen,indem Organisationen sich bei personenbezogenen Verfahren nachweisbar an Gesetze und transparente Regeln halten.
● Für Kryptologen: Insbesondere Bob ist der Angreifer
Jede Organisation ist ein Angreifer!
7
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Sicherheit!Sicherheit? Welche ist gemeint?
• SafetyGilt dem Schutz von Technik vor technischem und menschlichem Versagen, z.B. Systemausfällen, Leitungsausfällen, Verschleiß, Bedienungsfehlern.
• IT-SecurityGilt dem Schutz vornehmlich von Geschäftsprozessen von Organisationen vor zielgerichteten und böswilligen Angriffen von innen und außen.– Personal IT-Security
Gilt dem Selbstschutz von Personen vor zielgerichteten und böswilligen Angriffen durch Hacker auf privat betriebenen Rechnern.
• Data Protection / DatenschutzGilt Schutz von Betroffenen vornehmlich vor unnötigen Beeinträchtigungen durch (auch ordnungsgemäß agierende) Organisationen, mit Schutzvorkehrungen auf Seiten der Organisationen.– Privacy
Gilt dem Schutz von Personen vor Übergriffen durch Personen oder Organisationen mit Schutzvorkehrungen insbesondere auf Seiten der Person.
9
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
1. Was meint „Datenschutz“?
2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta” und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)
3. Die Operationalisierung des Datenschutzrechts mit Hilfe des Standard-Datenschutzmodells (SDM)
4. Referenzschutzmaßnahmen des SDM Zwei Beispiele: Protokollierung und Datenschutzfolgenabschätzung
Agenda§
10
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Grundgesetz Artikel 1 Die Würde des Menschen ist unantastbar. Sie ist zu achten und zu schützen.Artikel 8 (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Artikel 1(1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflich-tung aller staatlichen Gewalt.Artikel 2(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.
EU-Grundrechte-Charta
GrundrechtaufDatenschutz
Verbot mitErlaubnis-vorbehalt
Datenschutz-kontrolle
GrundrechteZentrale Vorgaben für das Datenschutzrecht§
11
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DER datenschutzrechtliche Grundsatzdes kontinentaleuropäischen Datenschutzrechts lautet:
Organisationen dürfen keine personen- bezogenen Daten verarbeiten PUNKT
§
12
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Fortbestandder zentralen Regelungsstrategie in der DSGVO
„Verbot mit Erlaubnisvorbehalt“Artikel 6 DSGVO
Organisationen dürfen keine personenbezogenen Daten erheben, verarbeiten und nutzen, es sei denn, dass
● ein Gesetz die Verarbeitung regelt, was insbesondere für den öffentlichen Bereich gilt oder wenn
● eine Einwilligung vorliegt, was für den privaten Bereich zentral ist und insbesondere an die Bestimmung eines legitimen Zwecks, der Freiwilligkeit der Erteilung und an umfassende Auskünfte an Empfänger und deren verarbeitungsmotive geknüpft ist.
§
13
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Art. 5 DSGVO„Grundsätze für die Verarbeitung personenbezogener Daten“ (I)
(1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
§
14
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Art. 5 DSGVO„Grundsätze für die Verarbeitung personenbezogener Daten“ (II)
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
§
15
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSGVOÜbersicht TO-Maßnahmen
Art. 24: „Verantwortung des Verantwortlichen“ - muss Nachweis erbringen, dass er Datenschutzmaßnahmen ergriffen hat und sich an die Vorgaben der DSGVO hält.Art. 25: „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ - proaktiver Datenschutz, mit Blick auf die Beeinträchtigung der Rechte und Freiheiten Betroffener, gefordert.Art. 30: Verzeichnis der Verarbeitungstätigkeiten für den Verantwortlichen sowie des Auftragverarbeiters(1) Namen und Kontaktdaten des Verantwortlichen, Vertreter und DSB; b) Zwecke der Verarbeitung; c) Kategorien betroffener Personen und Daten; e) Kategorien der Empfänger Daten, f) ggfs. Übermittlungen in Drittländer; g) Fristen für die Löschung der verschiedenen Datenkategorien; h) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Abs 1
(2) ...
§
20
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Art. 32 DSGVO„Sicherheit der Verarbeitung“
(...), diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
§ Verfahren? -> Datenschutz-
Management-System! ISO27001(ISMS), 29100 (PrivFrame), DIN, IT-Grundschutz sind keine Verfahren zur Herstellung von Datenschutz.
„Sicherheit der Verarbeitung“ in einem Datenschutzgesetz gilt dem Betroffenen:● Artikel 1 DSGVO
1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
“2. Diese Verordnung schützt die Grundrechte und Grund-freiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezoge-ner Daten.“
21
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Art. 35 DSGVODatenschutz-Folgenabschätzung
1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei:1. „hohem Risiko“, Aufsichtsbehörden erstellen außerdem Muss-Liste/Nicht-nötig-Liste;2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung öffentl. Räume;3. besonders schutzwürdigen Daten
2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine
Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene;
2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit;3. Extern auditierte Verfahren und Audits 4. Standpunkte der Betroffenen;
3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung4. Der Verantwortliche muss am Ende den Betrieb des Verfahrens prüfen.
§
22
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
1. Was meint „Datenschutz“?2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta”
und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)
3. Die Operationalisierung des Datenschutzrechts mit Hilfe des Standard-Datenschutzmodells (SDM)
4. Referenzschutzmaßnahmen des SDM Zwei Beispiele: Protokollierung und Datenschutzfolgenabschätzung
Agenda
23
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SchnellübersichtStandard-Datenschutzmodell aktueller Stand (2016/11)
• Regelungskern des Modells: 7 Gewährleistungsziele• Methodische Anlehnung an IT-Grundschutz • Verfahrenskomponenten: Daten, Systeme, Prozesse• 3 Schutzbedarfsabstufungen, formuliert aus der
Betroffenenperspektive als Eingriffsintensität eines Verfahrens
• Die 92. DSB-Konferenz hat 2016/11 die SDM-Methodik in der Version 1.0 angenommen. Nicht veröffentlicht ist bislang ein Maßnahmenkatalog, der als Entwurf seit 2016/10 vorliegt und an dem kontinuierlich gearbeitet wird.
• Eine Englischübersetzung des Handbuchs liegt vor.Heise-Online: 11. November 2016
24
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDM-Komponente 1:
Datenschutz-Ziele
25
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Organisationen Musterprozesse des DS-Managements
Maßnahmen für technisch-organisatorische Infrastrukturen, die über Ziele integriert und
gesteuert werden.
Prozesszustände müssenbewertbar sein
datenschutzkonforme(Verfahren in) Organisationen
KPIs / KRIs
interne / externeDatenschutz-Prüfungen,
-Audits, -Beratungen
Big PictureProzesse, DS-Management, Schutzziele
GesetzlicheNormen
Datenschutzmanagement, gekoppelt an ISO-QM, ITIL, CoBIT, BSI-Grundschutz, …
26
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Verfügbarkeit Vertraulichkeit
Integrität
Intervenierbarkeit Transparenz
Nichtverkettung+ Datenminimierung
Systematikder elementaren Gewährleistungsziele des SDM
28
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Verfügbarkeit
Art. 5 Abs. 1 „Personenbezogene Daten müssen“
(a) „... in einer für die Person nachvollziehbaren Weise verarbeitet werden ... (Transparenz).“(b) „... für festgelegte eindeutige und legitime Zwecke erhoben werden ... (Zweckbindung).“(c) „... auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung).“(d) „... damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, ... unverzüglich gelöscht oder berichtigt werden.“(f) „... Schutz vor Verlust ... Integrität und Vertraulichkeit“.
Transparenz
Nichtverkettung
Datenminimierung
Intervenierbarkeit
IntegritätVertraulichkeit
Art. 5 DSGVOGewährleistungsziele
29
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
aus: SDM-Handbuch, V1.0, S. 27aus: SDM-Handbuch, V1.0, S. 24
MappingArtikel / Erwägungsgründe der DSGVO mit SDM-Gewährleistungszielen
31
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDM-Komponente 2:
Schutzbedarfsabstufungen
32
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Grundrechtseingriffund die dadurch erzeugten Risiken
a) Ein Grundrechts-Eingriff durch ein personenbezogenes Verfahren ist ein Fakt, ein „eingetretenes Risiko“ („Risiko 1. Ordnung“). ● Ein Eingriff muss durch technisch-organisatorische Datenschutz-Schutz-
maßnahmen auf das unbedingt erforderliche Maß verringert werden.● Ein Eingriff bleibt Eingriff auch bei vollständiger Rechtskonformität und
nachgewiesen sicherer Informationstechnik.
b) Darüber hinaus erzeugt solch ein Eingriff Risiken für Betroffene („Risiken 2. Ordnung“),● mit mittelbaren Folgen für alle Personen aufgrund gesellschaftlicher
Strukturschädigungen;● mit unmittelbaren Folgen für Betroffene.
33
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Gesellschaftliche Strukturschäden durch mangelnden Datenschutz
● Organisationen lösen mit einem nicht datenschutzkonformen Zugriff auf Personen spezifisch moderne gesellschaftliche Strukturen auf: ● Verwaltung: Aus Bürgern werden wieder Untertanen, wenn Gewaltenteilung durch
Dominanz der Exekutive operativ unterlaufen wird.● Unternehmen: Aus Kunden werden wieder Bittsteller, wenn Markt durch
Monopolbildung (bei Plattformen und Integration von Diensten, Betriebssystemen, Hardware) kollabiert.
● Institute: Aus WissenschaftlerInnen werden wieder Ordensbrüder und -schwestern, wenn freie Diskurse in den Reputation spendenden Kommunikationsmedien durch dominante Organisationen, die den Diskurs verwalten, dogmatisch veröden.
● verallgemeinert: Aus Subjekten werden „Laborratten“ (Wehler) durch willkürlich agierende, nicht-legitime Verfügungsgewalt von Organisationen über Personen (Indikatoren: Fetischisierung von „Transparenz“ als Selbstzweck und der Einwilligung als vermeintlichem Ausdruck eines souveränen Akts).
34
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Angreifer imDatenschutz mit auch gesellschaftl. strukturellen Auswirkungen
● Der Hauptangreifer zur Bestimmung des Schutzbedarfs ist immer die datenverarbeitende Organisation selbst.
● Darüber hinaus gibt es weitere typische Angreifer-Organisationen auf Personen:– Sicherheitsbehörden– Leistungsverwaltung– Bereitsteller von IT-(Infrastruktur)Diensten– Bereitsteller kritischer Infrastrukturen (wie Energieversorger)– Versicherungen und Banken– Forschungsinstitute– Krankenhäuser, Ärzte, Dienstleister– Untätige Aufsichtsbehörden–
35
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
7 typische Risikendurch Grundrechtseingriff mit unmittelbaren Folgen für Personen
Risiko 1Eine Organisation betreibt ein nicht legitimes personen-bezogenes Verfahren.
Risiko 3Eine Organisation betreibt ein im Grundsatz ordnungs-gemäßes pbV, dehnt oder ändert jedoch den Zweck (Vorratsdaten- speicherung, Big Data).
Risiko 4Eine Organisation betreibt für ein pbV keine hinreichend wirksamen Maßnahmen der IT-Sicherheit.
Risiko 2Die Schwere des Grundrechts-eingriffs durch ein legitimes pbV wird nicht oder falsch bestimmt, Rechts-grundlage reicht nicht oder unzu-reichend geprüft, Verantwortungs-übernahme unklar.
Risiko 5Eine Organisation betreibt für ein pbV die Maßnahmen der IT-Sicherheit nicht grundrechts- konform.
Risiko 7Die pbV von Organisationen werden nicht ausreichend geprüft und beurteilt.
Risiko 6Das Angreifermodell bzgl. anderer (befugt) zugreifender Organisationen (Sicherheits-behörden) ist falsch oder unterkomplex angelegt.
36
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SchutzbedarfDrei Stufen
● normal ● hoch ● sehr hoch
37
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Schutzbedarfaus der Betroffenenperspektive formuliert
● Mindestens normaler Schutzbedarf besteht für jedes personenbezogene Verfahren, sowohl wg. Grundrechtseingriff als auch wg. weiterer Risiken;
● Hoher Schutzbedarf besteht für ein personenbezogenes Verfahren dann, wenn● mit einer weitreichenden Eingriffsintensität Daten verarbeitet;● Daten verarbeitet, welche gesetzlich als besonders schutzwürdig
ausgewiesen sind;● keine real nachweislich funktionierenden Möglichkeiten der Intervention
und des Selbstschutzes für Betroffene bereitstehen;● über unzureichende Schutzmaßnahmen der IT-Sicherheit verfügt bzw. keine
Nachweise über IT-Sicherheit erbringen kann;● mit organisationsexternen zweckändernden Zugriffen rechnen muss.
● Sehr hoher Schutzbedarf für ein personenbezogenes Verfahren besteht dann, wenn Gefahr für Leib und Leben droht.
38
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDM-Komponente 3:
Verfahrensbestandteile
39
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Ein personenbezogenes Verfahren besteht aus drei zu betrachtenden Komponenten:• Daten (und Datenformaten)• IT-Systemen (und Schnittstellen)• Prozessen (und adressierbaren Rollen)
Verfahrens-komponenten
40
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Prüfen und Planenmit dem SDM
41
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDMKernidee: Ausweis spezifischer Schutzmaßnahmen
● 6 + 1 Gewährleistungsziele, verankert in der DSGVO, hinterlegt mit einem Maßnahmen-Katalog für jedes Ziel
● 2 + 1 Schutzbedarfsabstufungen(normal, hoch, sehr hoch)
● 3 Verfahrenskomponenten(Daten, Systeme, Prozesse)
Das ergibt 7x3x3 = 63(oder mindestens 6x2x3 = 36)spezifische Datenschutzanforde-rungen: Für jedes Ziel, für jeden Schutzbedarf und für jede Verfahrenskom-ponente kann eine spezifische Schutzmaß-nahme als Soll-Referenz festgelegt sein!
42
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDMIst-Feststellung
44
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Datenschutz-Management
mit SDM
Planen
Prüfen
45
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Standardablaufeiner Datenschutzprüfung, Verortung des SDM
47
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
1. Was meint „Datenschutz“?2. Das geltende Datenschutzrecht: Die “EU-Grundrechte-Charta”
und die “Datenschutz-Grundverordnung” (DSGVO) in Bezug auf TO-Maßnahmen (grobe Schnelldurchsicht)
3. Die Operationalisierung des Datenschutzrechts mit Hilfe des Standard-Datenschutzmodells (SDM)
4. Referenzschutzmaßnahmen des SDM Zwei Beispiele: Protokollierung und Datenschutzfolgenabschätzung
Agenda
48
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
SDM-Bausteine(Stand: 2016-1005)
Verfügbarkeit1. Baustein „Aufbewahrung“2. Baustein „Datensicherung und -wiederherstellung“
Integrität3. Baustein „Ticketsystem und Administrations-Plattform“4. Baustein „Aspekte eines Datenschutzkonzeptes“
Vertraulichkeit5. Entwurf liegt vor, wird aber noch zurückgehalten
49
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Transparenz6. Baustein „Spezifikation“7. Baustein „Dokumentation“8. Baustein „Protokollierung"9. Baustein „Auskunft“
Nichtverkettbarkeit10. Baustein „Anonymisierung & Pseudonymisierung“ 11. Baustein „Trennung“12. Baustein „Rollen und Berechtigungen“
Intervention13. Baustein „Berichtigung“14. Baustein „Löschen“15. Baustein „Sperren“16. Baustein „Single Point of Contact (SPoC)“
SDM-Bausteine(Stand: 2016-1005)
50
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Es fehlen Bausteine zu den Themen:● „Kryptoverfahren“ (Verschlüsselung / Integritätssicherung)
Status: Entwurf im frühen Stadium● „Umsetzung von Datensparsamkeit“
Status: Entwurf in Diskussion
Weitere im Kontext des SDM entstandene Bausteine:● „Datenschutz-Folgenabschätzung“
Status: Ist kein Bestandteil des SDM, sondern wird eine Orientierungshilfe● „Datenschutz-Zuständigkeiten (Datenschutzbeauftragter)“
Status: Ist kein Bestandteil des SDM, sondern wird eine Orientierungshilfe
SDM-Bausteine(Stand: 2016-1005)
52
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
● Protokollierung ist eine Umsetzung des Schutzziels „Transparenz“.
● Zweck der Protokollierung:„Die Protokollierung ist eine Schutzmaßnahme, um fachliche, technische, organisatorische und administrative Aktivitäten und Entscheidungen, die in der Vergangenheit stattfanden, aufzuklären.“ (SDM-Handbuch, V1.0)
● Dem Verantwortlichen (ehemals „verantwortlichen Stelle“)dient Protokollierung (neben „Spezifikation“ und „Dokumentation“) dem Nachweis der Gesetzeskonformität des Organisationshandelns (vgl. Art. 5, 24 „Rechenschaftspflicht“).
Beispiel 1 für einen SDM-Maßnahmebaustein: Protokollierung
53
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Inhalteeiner Protokollierung
1. Zeitkomponente (Wann?)
2. Instanz, die eine Aktivität auslöst (Wer?)
3. Aktivität bzw. Ereignis, das durch die Instanz ausgelöst wurde (Was?)
4. die Adresse der Speicherinstanz, die diese Protokolldaten speichert (Durch wen protokolliert?).
54
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Rechtskonformitätist grundsätzlich strukturell durch IT gefährdet
Risiko des Verflüchtigensder Rechtskon-formität der Sachbearbeitungauf den Ebenen der IT-Nutzung.
???
Zusätzliche Optionen der IT provozieren latent die Einhaltung der Rechtskonformität auf der Ebene der Sachbearbeitung.
Sachbearbeitungx x x x x x x x x x
Systemereignisse eAkte
Fachprogrammx x x x x x x Log
AdminProtokoll
Systemereignisse
IT-Funktionen
Schnittstellen
x x x x x x
Admin
Log
Log
Protokoll
Systemereignisse
These:Arbeitetgesetzes-konform
55
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Zu protokollierendeSystemebenen
1. Die Aktivitäten der Sachbearbeitung (als Akte);
2. die Funktionen des Fachprogramms für die Sachbearbeitung;
3. die Administration des Fachprogramms;
4. die IT-Funktionen der Infrastruktur (Hardware, Software) einer Organisation, auf denen die Fachprogramme aufsetzen (PCs, Server, virtuelle Systeme, Betriebssysteme, Middleware/DB, CPU-Cluster, SAN/NAS) - Sonderfunktionalität: Schutzmaßnahmen (Hashen, Verschlüsseln, Anonymisieren...) des Datenschutzes und der IT-Sicherheit;
5. die Systemschnittstellen, Übermittlung von Daten zu anderen Organisation(seinheit)en;
6. die Administration der IT-Infrastruktur und Systemschnittstellen;
7. die Kontrolle dieser Protokolle (Erfüllung der Nachweispflicht).
56
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Beispiel 2:Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
1. Eine Datenschutz-Folgenabschätzung (DSFA) bzw. ein Data-Protection-Impact-Assessment (DPIA) ist durchzuführen bei:1. „hohem Risiko“, Aufsichtsbehörden erstellen Blacklist/Whitelist (Kohärenzverfahren);2. Scoring, Profiling, automatisiertem Einzelentscheid, Videoüberwachung;3. besonders schutzwürdigen Daten
2. Bestandteile einer DSFA: 1. Beschreibung des Verfahrens, der Zwecke, der berechtigten Interessen sowie eine
Bewertung der Notwendigkeit der DV, der Verhältnismäßigkeit und der Risiken für Betroffene;
2. Beschreibung der geplanten Schutzmaßnahmen inkl. Nachweis über deren Wirksamkeit;3. Extern auditierte Verfahren und Audits 4. Standpunkte der Betroffenen;
3. Der Datenschutzbeauftragte ist nicht verantwortlich, auch keine abschließende Beurteilung4. Der Verantwortliche muss am Ende den Betrieb des Verfahrens prüfen.
57
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSFA-Framework des Forums Privatheit
Autoren:Fraunhofer-Institut für System- und InnovationsforschungISI, KarlsruheULD (Unabhängiges Landeszentrum fürDatenschutz), KielUniversität Kassel, Institut für Wirtschaftsrecht
Quelle:Forum Privatheit, 2017, DSFA (Whitepaper) V3.0
Vier Phasen einer DSFA:1. Vorbereitung (Plan)2. Durchführung (Do)3. Umsetzung (Act)4. Überprüfung (Check)
58
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSFA-FrameworkPhase 1:
Vorbereitung
● Das DS-Management stößt DSFA an● Prüfgegenstand ist eine Datenverarbeitung (Verfahren):
Daten, Formate, Protokolle, IT-Systeme, Prozesse, Funktionsrollen● 1.1 Feststellung der Relevanzschwelle
Muss-Liste der Aufsichtsbehörden, Bestimmen der Beeinträchtung und Abschätzen des IT-Sicherheitsrisikos● 1.3 Beschreibung des ToE und die Zwecke der Datenverarbeitung ● 1.4 Identifikation der beteiligten Akteure und betroffenen Personen● 1.5 Identifikation der Rechtsgrundlagen
59
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSFA-FrameworkPhase 2a: Durchführung
2.1 Bestimmen der BewertungsmaßstäbeSchutzziele
2.2 Bestimmen der Angreifer, Motive, ZieleVerantwortliche Stelle ist Hauptangreifer, Sicherheitsbehörden, Leistungsverwaltung
Technikhersteller, Provider, Marktforschung etc.2.3 Bestimmen der Eingriffsintensität und
des Schutzbedarfsnormal, hoch, sehr hoch
2.4 Bewerten des Risikos
2.5. Bestimmen Schutzmaßnahmen2.6 Dokumentation Bewertungsergebnisse (inkl. Restrisikoanalyse)
→ DSFA-Bericht
60
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSFA-FrameworkBestimmen der Schutzmaßnahmen mit SDM
Datensparsamkeit – Reduzierung von Daten/Personenbezug, keine VerfahrenVerfügbarkeit – Redundanz, BackupIntegrität – Authentisierung/Autorisierung, Signaturen, Hash-Wert-VergleicheVertraulichkeit - Verschlüsselung, Zugriffsschutz, Rollen- & RechtekonzeptNichtverkettung – Pseudonymisierung/Anonymisierung von Datenbeständen und Kommunikationsbeziehungen, Trennung von Verfahren, Datenbeständen, IT-Systemen, Prozessen, Rollen & Rechtskonzept, IdentitätenmanagementTransparenz – Zweck: Herstellen von Kontrollierbarkeit, Prüffähigkeit Beurteilbarkeit des Verfahrens und der Wirksamkeit der Maßnahmen! Mittel: Spezifikation, Dokumentation, Protokollierung des Verfahrens, Informationen bei Erhebung, Benachrichtigung bei Bearbeitung der Betroffenen (Beauskunften), AuditsIntervenierbarkeit – Löschen, Sperren, Change Management, Aus-Schalter zum Deaktivieren/Stoppen von Gerätschaften
61
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
DSFA-FrameworkPhase 2b: Durchführung
Positives Ergebnis heisst:Das Verfahren kann mit Hilfe der Schutzmaßnahmen des Datenschutzes ordnungsgemäß und mit verantwortbaren Restrisiken betrieben werden.
62
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Umsetzung3.3 Implementieren Abhilfemaßnahmen
SDM-Bausteinekatalog3.4 Test und Dokumentation der Wirksamkeit der Schutzmaßnahmen
SDM-Maßnahme: Spezifik./Dokumentation/Protokoll3.5 Nachweis über Einhaltung DSGVO insges.
SDM-Maßnahme: Spez./Dokumentation/Protokoll3.6 Freigabe der Verarbeitung
Überwachung4.1 Kontinuierliche Überprüfung der DSFA
Typisches Projektmanagement4.2 Überwachung der Risiken im DSMS
DSMS mit SDM
DSFA-FrameworkPhasen 3 (Umsetzung) und 4 (Überwachung)
63
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
ZusammenspielDSFA-Framework
und SDM
64
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Weiterentwicklungdes Standard-Datenschutzmodells
● Angestrebt wird Empfehlung durch den IT-Planungsrat für Anwendung des SDM als Methodenstandard für die gesamte deutsche Verwaltung zu erreichen.
● Der Datenschutzbaustein 1.5 im IT-Grundschutz des BSI wird durch einen Verweis auf das SDM ersetzt.
● Der Dialog mit Herstellern von SDM-Modellierungs-tools wurde initiiert.
● Europa: Diskurs mit europäischen Partnern (CNIL, Artikel 29 Datenschutzgruppe) wird gesucht.
65
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Literatur
- DSB-Konferenz 2016: SDM-Handbuch (V1.0, Deutsch / Englisch)im Grundsatz auf den Webseiten der deutschen Datenschutzaufsichtsbehördenzu finden, z.B.: https://www.datenschutz-mv.de/datenschutz/sdm/sdm.html
- Arbeitskreis Technik 2015: Tagungsband „Das Standard-Datenschutzmodell – Der Weg vom Recht zur Technik“ https://www.datenschutz-mv.de/datenschutz/sdm/Tagungsband.pdf
- Forum Privatheit, 2017: Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz (White Paper)https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf
- Newsletter der UAGSDM, Anmeldung unter:https://www.datenschutzzentrum.de/sdm/
66
www.datenschutzzentrum.de
DFN-Cert, Hamburg, 28.11.2017, M. Rost: DSGVO mit SDM
Vielen Dank für Ihre Aufmerksamkeit!
Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein
Martin RostTelefon: 0431 988 – 1200
[email protected]://www.datenschutzzentrum.de/
Top Related