Post on 19-Jul-2020
FIBU-Aut matisierung
Datenschutz-Folgenabschätzung im Rahmen der Entwicklung einer KI-Anwendung gemäß ISO 29134
BvD-Verbandstage 05./06. Juni 2019
• Entwicklung Rechnungswesen
• Embedded Lawyer
• Beratung (IT-)Recht und Datenschutz
• DSFA-Assessor
Beate Beißwenger Volker Ibisch LL.M. • Referentin Datenschutz
Die KI-Anwendung: DATEV FIBU-Automatisierung
FIBU-AutomatisierungUnternehmen online
Unternehmer Steuerberater
Belege
Kasse
Vorsysteme
BankBuchungsassistenz-System:Automatisierte Datenverarbeitung
Finanzbuchführung online
Automatisierte Erstellung von Buchungssätzenunter Einsatz von Künstlicher Intelligenz
Project Data Protection
Data Scientist
Product Owner
Buchungsassistenz-System:Automatisierte Erstellung von Buchungssätzenunter Einsatz von Künstlicher Intelligenz
Gesamtprojektleiter
arc42-Dokumentation
• Informationen für IDV-Meldung
• Input für Leistungsbeschreibung und Datenschutz-Steckbrief
• Legitimationstatbestände (Produktvertrag mit Leistungsbeschreibung und Datenschutz-Steckbrief)
• Löschkonzept
• Dokumentation von Abstimmergebnissen mit Stakeholdern/StabsstellenArchitekt
Embedded Lawyer
Sonder-Datenschutzbelehrung
DP42-Dokumentation
Agile Data Protection
Requirements Engineer
Product Owner
Neues Produkt, neues IT-System, neue Funktionen…
DP42-Datenschutz-Dokumentation:- Alle Themen des DATEV-Datenschutz-Standards- Alle Informationen für eine IDV-Meldung
DATEV-Standard„Datenschutz und Informationssicherheit in der Softwareentwicklung“
Vorgehen nach ISO 29134
• Standarddatenschutzmodell (SDM) (Version 1.1) mit Risikomodellierung nach DS-GVO sowie geeigneter IT-Sicherheitsbetrachtung
• ISO 29134 mit Risikobetrachtung entsprechend der Grundsätze der DS-GVO unter Berücksichtigung der Rechte der betroffenen Person
• auch die Französische Datenschutzschutzaufsichtsbehörde (CNIL) und die Englische (ICO) haben Vorgehensweisen veröffentlicht
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung
Aufsetzen der Datenschutz-Folgenabschätzung
Konsultation der interessierten Parteien
Durchführung der Datenschutz-Folgenabschätzung
Dokumentation und Veröffentlichung
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung
Festlegung des Anwendungsbereichs:
Welche Verarbeitungsvorgänge können beim Einsatz der Anwendung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben?
Anwendungsbereich
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung
Wesentlichkeitsprüfung:
Entscheidung über Erforderlichkeit einer Datenschutz-Folgenabschätzung
Die Wesentlichkeitsprüfung bei FIBUAIm Anwendungsbereich des IT-Systems erfüllen die Datenverarbeitungen mehr als ein Wesentlichkeitskriterium (gemäß Leitlinien zur Datenschutz-Folgenabschätzung WP 248 Rev. 01 der Datenschutzgruppe nach Artikel 29):
• Umfängliche Verarbeitung von berufsrechtlich geschützten Daten• Sensible Daten• Kombinierte Datenbestände (z.B. von mehr als einem Mandanten) • Hinderung Betroffener an Ausübung von Rechten
NICHT:
o Innovative Verarbeitungen (Wesentlichkeitskriterium)
o Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person ("Muss-Liste" / Blacklist)
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Aufsetzen der Datenschutz-Folgenabschätzung
Projektteam zusammenstellen:DSFA-Projektteam DSFA-Kernteam
• DSFA-Assessor „aus dem Produkt“• Referenten aus Abteilung Datenschutz• Bereichsbeauftragter für den Datenschutz (in der Entwicklung)
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Aufsetzen der Datenschutz-Folgenabschätzung
Projektplanung:
Projektauftrag Projekt-SharePoint Canvas-Steckbrief
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Aufsetzen der Datenschutz-Folgenabschätzung
Untersuchungsgegenstand beschreiben:• Systemanforderungen:
- Rechtsgrundlagen und Zwecke für die Verarbeitung- Funktionale Anforderungen an das Informationssystem - Ziele der Informationssicherheit- Erhebung von Daten und Zugriff auf Daten
• Systemdesign:- Systemarchitektur (funktional, physikalisch)- Datenflüsse- Datenbanken, Tabellen, Schnittstellen- Verarbeitungsablauf und Informationsfluss
• Betriebliche Pläne und Verfahren/Abläufe
• Angewendete Risikokriterien
Exkurs: Dokumentationen
arc42-Dokumentation
Template zur Dokumentation aller datenschutzrechtlicher Aspekte eines IT-Systems (Produkt, Anwendung):
• Informationen für IDV-Meldung
• Input für Leistungsbeschreibung und Datenschutz-Steckbrief
• Legitimationstatbestände (Produktvertrag mit Leistungsbeschreibung und Datenschutz-Steckbrief)
• Löschkonzept
• Dokumentation von Abstimmergebnissen mit Stakeholdern/Stabsstellen
DP42-DokumentationTemplate zur Entwicklung, Dokumentation und Kommunikation von Softwarearchitekturen.
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Konsultation der interessierten Parteien (intern obligatorisch, extern optional)
Interessierte Parteien identifizierenKonsultationsplan festlegen
Konsultation der interessierten ParteienInterne Konsultation Externe Konsultation
• Kolleginnen und Kollegen aus verschiedenen Bereichen
• Mehrere Workshops zur Identifikation der Datenschutzrisiken
• Vertreter der Mandanten von Mitgliedern der DATEV und deren Geschäftspartner
• Vertreter der Auftraggeber/Mitglieder der DATEV
• 1. Termin: - Hinführung zum Thema und Produktpräsentation durch
Product Owner- Identifikation der Datenschutzrisiken
• 2. Termin: - Vorstellung der Bewertung der Datenschutzrisiken- Review der Berichte
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Durchführung der Datenschutz-Folgenabschätzung
• Risikoquellen identifizieren• Datenschutzrisiko identifizieren• Datenschutzrisiko analysieren und bewerten• Risikobehandlung vorbereiten und planen
Die Risikoquellen
DATEV-Mitarbeiterohne Absicht / mit Absicht
Administrator
Data Scientist
Service
Management
Kunden-Mitarbeiterohne Absicht / mit Absicht
Administrator
Sachbearbeiter
Management
Staatliche Institutionen Strafverfolgung
Nachrichtendienst
Cyberkrimineller Hacker, Schadsoftware
Softwarefehler On premise, RZ
Hardwaredefekt (physikalisch) On premise, RZ
Identifikation von Datenschutzrisiken• Datenschutz-Risiken wurden identifiziert im Rahmen:
- der internen Konsultation: Workshops mit DSFA-Projektteam und weiteren DATEV-MAs
- der Konsultation externer interessierter Parteien
• Ergebnis-Dokumentation: Tabelle der identifizierten Datenschutz-Risiken
Analyse und Bewertung der Datenschutzrisiken
Analyse und Bewertung durch das DSFA-Kernteam
Analyse und Bewertung der Datenschutzrisiken
2 48
Analyse und Bewertung der Datenschutzrisiken
DATEV akzeptiert nur ein geringes oder einfaches Datenschutz-Risiko. Ein hohes Datenschutz-Risiko wird zu einer Konsultation der Datenschutz-Aufsichtsbehörde führen.
Der Ablauf im Überblick – ISO 29134Vorgehensweise bei der Planung und Umsetzung der Datenschutz-Folgenabschätzung
Dokumentation und Veröffentlichung
• Bericht(e) erstellen• Berichte veröffentlichen• Risikobehandlungsmaßnahmenplan umsetzen• DSFA überprüfen und auditieren• Regelmäßige Überprüfung der DSFA
Berichte
Öffentlicher Bericht On Demand-BerichtInterner Bericht
Überprüfung der Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung ist kein einmaliger Vorgang.
Sie ist zu überprüfen – spätestens nach 3 Jahren - und im Bedarfsfall anzupassen, in folgenden Fällen:
• Sicherheitskritische Anlässe, z.B. ergeben sich neue Risiken
• Änderung der Bewertung bereits erkannter Risiken
• Wesentliche Änderungen im Verfahren (z.B. Zweckänderungen, neue Datenpakete, neue technische Systeme)
Agile Data Protection
Requirements Engineer
Product Owner
Neues Produkt,
neues IT-System,
neue Funktionen…
TFS à #DP
Data Protection Compendium zum Thema DSFA:
- Leitfaden zur Durchführung einer Datenschutz-Folgenabschätzung bei
DATEV
- Handlungsempfehlungen/Prozessschritte
- Links auf Templates
Agile Data Protection Playbook:
- User Stories
- Akzeptanzkriterien
- Links auf DATEV-Standard „Datenschutz und
Informationssicherheit in der Softwareentwicklung“
DP42-Datenschutz-Dokumentation:- Alle Themen des DATEV-Datenschutz-Standards
- Alle Informationen für eine IDV-Meldung
Interner Bericht zur Datenschutz-Folgenabschätzung
DATEV-Standard„Datenschutz und Informationssicherheit in der Softwareentwicklung“
Danke und
Kontaktdaten:Beate Beißwengerbeate.beisswenger@datev.de
Volker Ibischvolker.ibisch@datev.de
Fragen?