1

Andreas Sachs CNIL Modell für die PIA

CNILModellfürdiePIA

Andreas Sachs Berlin, 26. April 2018

2

Andreas Sachs CNIL Modell für die PIA

Einstieg I

Kurzvorstellung

Andreas Sachs

•  Informatiker •  Leiter des Referats Cybersicherheit & Technischer Datenschutz •  Vertreter des Präsidenten beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Internet der Dinge

Vernetzte Fahrzeuge

Identitäten & Webportale Apps & Smart Devices

Cloud Computing

Verschlüsselungsverfahren Datenpannen & Hacking

IT-Sicherheit

Trackingverfahren

Seit 2011 beschäftigt sich das technische Referat dabei mit verschiedensten Themen, z.B.:

3

Andreas Sachs CNIL Modell für die PIA

Risiko ist in der DS-GVO ein zentrales Element I

DreiRisikobereiche

GeringesRisiko Risiko HohesRisiko

4

Andreas Sachs CNIL Modell für die PIA

EU-DSGVO: Risikoorientierter Ansatz I

RisikoalsSchadenpoten7alRisiko=Eintri:swahrscheinlichkeitxSchadenOperatorxistnichtmathema7schzuverstehen,sondernbedeuteteher„insVerhältnis“setzenSchädennachDS-GVO(EW75):•  MaterielleSchäden(z.B.FinanziellerVerlust)•  ImmaterielleSchäden(z.B.Rufschädigung,Diskriminierung)•  PhysischeSchäden(z.B.VerletzungderkörperlichenUnversehrtheit)

5

Andreas Sachs CNIL Modell für die PIA

Achtung: Achtung Spoileralarm I

Sehrwahrscheinlichab27.04.2018auchaufwww.lda.bayern.deabruZar

6

Andreas Sachs CNIL Modell für die PIA

Risiko in der DS-GVO I

Mögliche„Risikoformeln“

RisikomatrixinBayLDA-Kurzpapier(Stand2016)

RisikomatrixinDSK-KurzpapierNr.18(Stand25.04.2018)

7

Andreas Sachs CNIL Modell für die PIA

h:p://ec.europa.eu/newsroom/just/document.cfm?doc_id=48464

Artikel 29 und DSFA Was sagt Europa zum Risiko und zur DSFA?

I

8

Andreas Sachs CNIL Modell für die PIA

Bewerten/Einstufen

Automa7sierteEntscheidung

Systema7scheÜberwachung

VertraulicheDaten

UmfangreicheVerarbeitung

ZusammenführenvonDaten

SchutzwürdigeBetroffene

NeueTechnologie

HinderungRechts-ausübung

Mind.2Kriterienerfüllt

Wahr-scheinlichhohesRisiko

Artikel 29 und DSFA Risiko in der DS-GVO I

9

Andreas Sachs CNIL Modell für die PIA

Datenschutzfolgenabschätzungen II

PrimäresZiel:•  FeingranulareBeschreibungderVerarbeitung•  SystemaCscheRisikobeurteilung

•  FürjedesDatenschutz-RisikogeeignetetechnischeundorganisatorischeMaßnahmenauswählen•  DieRisikenderRechteundFreiheitenfürdenBetroffeneneingedämmtwerden

10

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz1HateineFormderVerarbeitungwahrscheinlicheinhohesRisiko,dannisteineDatenschutzfolgenabschätzungDurchzuführen

Absatz2DerDatenschutzbeauKragteberätbeiderDurchführungeinerDSFA

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

11

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz3BeispielefürVerarbeitungen,dieeinhohesRisikohaben:

•  Bewertung/ProfilingmitRechtsfolgen

•  UmfangreicheVerarbeitungpersonenbezogenerDaten

•  SystemaCscheumfangreicheÜberwachungöffentlicherBereiche

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

12

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz4,5,6

AufsichtsbehördeveröffentlichtMuss-Liste

AufsichtsbehördekannNicht-Muss-Listeveröffentlichen

KohärenzverfahrenbeigrenzüberschreitendemDatenverkehr

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

13

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz7

SystemaCscheBeschreibungderVerarbeitungsvorgänge

BewertungNotwendigkeit/Verhältnismäßigkeit

BewertungderRisiken

AbhilfemaßnahmenzurRisikoeindämmung

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

14

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz8GenehmigteVerhaltensregelnsind(insbesonderebeiderDarlegungderZwecke)zuberücksich7gen

Absatz10:AusnahmeregelungBeiVerarbeitungenmitgesetzlicherRestgrundlagestalindetUndimRahmendesGesetzgebungsverfahrenseinespezifischeDSFAdurchgeführtwurde,musskeineDSFAdurchgeführtwerden

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

15

Andreas Sachs CNIL Modell für die PIA

ArCkel35

Absatz11:ÜberprüfungDieVerarbeitungmussüberprüKwerden,obsiedenVorgabenderDSFAentspricht.InsbesonderewennsichdieRisikengeänderthaben

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

16

Andreas Sachs CNIL Modell für die PIA

ArCkel35–Zusammenfassung:•  DSFAnurbeihohemRisiko

•  DS-GVOnenntdreiBeispiele•  DatenschutzbeauKragterist„nur“Berater•  FormelleVorgabenbezüglichdesInhaltseinhalten

•  RolleVerhaltensregelnklären•  StandpunktederBetroffenenklären•  GreifenAusnahmeregelungen?•  RegelmäßigeÜberprüfungdesRisikosundderAbhilfemaßnahmen

Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II

17

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III CNIL:CommissionNa7onaledel'Informa7queetdesLibertés

DatenschutzaufsichtsbehördeFrankreich

Stand2018(h:ps://www.cnil.fr/en/privacy-impact-assessment-pia)

18

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

WiewirdeinePIAdurchgeführt• BigPicture• FestlegungRisiko-Blickwinkel

KontextderVerarbeitung• Überblick• Daten,ProzesseundSuppor7ngAssets

FundamentaleDatenschutzprinzipien• FestlegungderMaßnahmenzurUmsetzungeinerdatenschutzkonformenVerarbeitung

• FestlegungvonMaßnahmenzurSicherstellungderBetroffenenrechte

RisikenderSicherheitderVerarbeitung• Datenschutz-Risiko• FestlegungderMaßnahmen• Risikobeurteilung

ValidierungderPIA• Materialenvorbereiten• FormaleValidierung13Seiten

19

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

ZentraleKomponenteneinerPIA:1.   FundamentalePrinzipienundRechte

•  Sindnichtverhandelbar•  WerdenvomGesetzvorgegeben•  MüsseneingehaltenwerdenundkönnennichtBestandteilvonAbstufungen

sein–unabhängigderSchwereundEintri:swahrscheinlichkeit•  FindensichindenBetroffenenrechtenunddenmeistenGrundsätzennach

Ar7kel5Abs.1wieder

2.UmgangmitDatensicherheitsrisiken•  AuswahldertechnischenundorganisatorischenMaßnahmenzur

AufrechterhaltungderSecurity•  UnterDatenschutzrisikenwerdeni.A.dieSchutzzieleVertraulichkeit,

VerfügbarkeitundIntegritätverstanden•  KeineRisikobeurteilungfürz.B.Zweckbindung,Datenminimierung,

Transparenz,…

20

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

WasisteinDatenschutz-Risiko

RisikoQuellen

Suppor7ngassets

Personenbez.Daten

MöglicheFolgen

Wahrscheinlichkeit Schwere

Risiken BefürchteteEreignisse

EinRisikoisteinmöglichesSzenario,dasbeschreibt:•  WieRisiko-Quellen•  SchwachstelleninSuppor7ng-Assets(z.B.IT-Systeme)ausnutzenund•  befürchteteEreignissemitpersonenbezogenenDateneintretenlassen•  dieAuswirkungenaufdenDatenschutzbeiBetroffenenhaben

21

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

WasisteinDatenschutz-RisikoDasRisiko-LevelwirddurchdieFaktorenEintri^swahrscheinlichkeitundSchwerebes7mmtSchwere:GrößeeinesRisikos,dassichausdenmöglichenAuswirkungenableitetWahrscheinlichkeit:DieWahrscheinlichkeit,dasseinRisikoeintri:.SiehängtvondenSchwachstellenderSuppor7ngAssetsabunddemGradderAusnutzbarkeitdurchRisiko-Quellen

Schwere

Wahr-scheinlich-

keit

+Risiko-Level

22

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

WiewirdeinPIAdurchgeführt?

DerCompliance-Ansatz,derdurchdieAusführungeinesPIAumgesetztwird,basiertaufderAchtungderDatenschutz-Prinzipien:BeachtungderrechtlichenPrinzipiendesDatenschutzeswiez.B.Zweckbindung,Datenminimierung,TransparenzanBetroffene,Speicherbegrenzung,BetroffenenrechteUmgangmitRisikenbezüglichderSicherheitvonpersonenbezogenenDatendieAuswirkungenaufdenDatenschutzhabenindem…die[Vertraulichkeit,VerfügbarkeitundIntegrität]sichergestelltwird.

Beachtungderfundamentalen

Prinzipien

UmgangmitRisikenbezüglich

derSicherheit

+ Compliance

23

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

AllgemeinerAnsatzzurDurchführung:

1.   KontextBeschreibungderVerarbeitungsamtRahmenbedingungen2.FundamentalePrinzipienUmsetzungderGrundsätzeundBetroffenenrechte(NichtRisikoorien7ert)3.RisikenBeurteilungderSecurity-RisikenundAuswahlwirksamerMaßnahmenpassendzumjeweiligenRisiko4.   ValidierungÜberprüfungderUmsetzungderMaßnahmenzurSicherstellungderrechtlichenMaßnahmensowieEindämmungderRisikenmi:elsMaßnahmenzurRisikobehandlung

2.FundamentalePrinzipien

3.Risiken4.Validierung

1.Kontext

DieSchri:ewerdeni.A.mehrfachundregelmäßigdurchgeführt

24

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

Wiegehtmankonkretnunvor?

26SeitenFragebögenundChecklistenzurUmsetzungdereinzelnenSchri:e

109SeitenKatalogemittechnischenundorganisatorischenMaßnahmen

25

Andreas Sachs CNIL Modell für die PIA

Vorstellung des Software-Tools zur Durchführung einer PIA III

Downloadunterh:ps://www.cnil.fr/en/privacy-impact-assessment-pia

26

Andreas Sachs CNIL Modell für die PIA

SoKware-ToolszurDurchführungeinerPIA III

StarteinerneuenVerarbeitung•  Planungsphase•  DatensammlungaufServer•  HackingdesServers•  MissbrauchderDaten

(Einbruch)Ziel:Dieszuverhindern

27

Andreas Sachs CNIL Modell für die PIA

SoKware-ToolszurDurchführungeinerPIA III

StarteinerneuenVerarbeitung•  DSFA-Rahmenbedingungen

iden7fizieren•  Abschätzung,ob

wahrscheinlichhohesRisiko•  EntscheidungDSFA•  KontextderVerarbeitung

analysieren

28

Andreas Sachs CNIL Modell für die PIA

III SoKware-ToolszurDurchführungeinerPIA

StarteinerneuenVerarbeitung•  RisikenderVerletzungder

•  Vertraulichkeit•  Verfügbarkeit•  Integrität

betrachten•  Eintri^swahrscheinlichkeit

•  Suppor7ngAssets•  Risiko-Quellen

•  Schwere•  MöglicheFolgen•  ArtderDaten

29

Andreas Sachs CNIL Modell für die PIA

SoKware-ToolszurDurchführungeinerPIA III

•  TechnischeundorganisatorischeMaßnahmenauswählen

•  Restrisikoermi:eln•  Ggf.weitereMaßnahmen

auswählen•  Umgangmithohe

Restrisiken(Aufsichtsbehörde)

•  RestrisikoOK->StartderVerarbeitung

30

Andreas Sachs CNIL Modell für die PIA

Privacy Impact Assessment der CNIL III

Zusammenfassung:

•  DerAnsatzlehntsichvonderVorgehensweiseundderWortwahlanISO-Standardsan•  Au}eilungbeiderAuswahlderTOMs

•  FundamentalePrinzipien(z.B.Datenminimierung)sindnichtrisikoorien7ert•  Security-Maßnahmen(z.B.Vertraulichkeit)sindrisikoorien7ert

•  DeraktuelleStandistaus2018(->DSGVO)•  BrennendeFrage:KannmitdemCNIL-AnsatzdieDSFAauchinDeutschlanddurchgeführtwerden

31

Andreas Sachs CNIL Modell für die PIA

Exkurs: SDM als Methode zur Durchführung einer DSFA IV

32

Andreas Sachs CNIL Modell für die PIA

Verarbeitungpersonenbezogener

Daten

Schutzbedarfs-feststellung

UmsetzungallerBausteine

UmsetzungweitererBausteine

NormalerSchutzbedarf

HoherSchutzbedarf

IT-Grundschutz(oderandereMethodezurIT-Sicherheit)wirdumgesetzt

+

Methode V1.0 (hohe Abstraktion) IV

IndividuelleMaßnahmen

SehrhoherSchutzbedarf

33

Andreas Sachs CNIL Modell für die PIA

Verarbeitungpersonenbezogener

Daten

MappingaufSchutzbedarf

UmsetzungallerBausteine

UmsetzungweitererBausteine

NormalerSchutzbedarf

HoherSchutzbedarf

IT-Grundschutz(oderandereMethodezurIT-Sicherheit)wirdumgesetzt

+

Methode V1.1 (hohe Abstraktion) IV

IndividuelleMaßnahmen

SehrhoherSchutzbedarf

Risiko-beurteilung

34

Andreas Sachs CNIL Modell für die PIA

VertraulichkeitVerfügbarkeitIntegrität

TransparenzZweckbindung

Datenminimierung

Intervenierbarkeit

Grundsätze der Verarbeitung Betroffenenrechte

RisikoSchutzbedarf

Au}eilungin•  Daten•  Prozesse•  IT-Systeme

Risiko

FundamentalePrinzipien

FundamentalePrinzipien

Gegenüberstellung CNIL-PIA vs. SDM IV

35

Andreas Sachs CNIL Modell für die PIA

Auch Interessant V

36

Andreas Sachs CNIL Modell für die PIA

VielenDankfürIhreAufmerksamkeit

Fragen?