Post on 14-Aug-2019
29.11.2017
1
Datenschutz-Grundverordnung aus Sicht der Informationstechnik
Julia Stoll
Referatsleiterin Informatik
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon +49 (0)611 / 14 08 - 150
E-Mail: j.stoll@datenschutz.hessen.de
Übersicht
• Rahmenbedingungen aus der Sicht Hessens
• Vorgehen in Datenschutz-Projekten
• Technischer Datenschutz: Gewährleistungsziele in der DS-GVO
• Weitere Aspekte: kein Selbstzweck!
• Möglichkeiten durch Zertifizierungen
Viele Links …
11/29/2017 Julia Stoll 2
29.11.2017
2
Rahmenbedingungen:Datenschutz ist Chefsache!
11/29/2017 Julia Stoll 3
Datenschutz ist Chefsache!
1. Kernaufgabe: Bestimmung, welche Verfahren und Prozesse anzupassen sind (Analyse)
2. Informationen durch die Geschäftsleitung (Datenschutz-Projekte)
3. Kooperation mit betrieblichen Datenschutzbeauftragten und IT-Abteilung
(Delegation nur mit Vertrag; Quelle: https://www.datenschutz.hessen.de/ft-datenschutzbeauftragte.htm , Stand Juli 2017)
11/29/2017 Julia Stoll 4
29.11.2017
3
Der Hessische Datenschutzbeauftragte
• Oberste Datenschutzaufsichtsbehörde des Landes Hessen -https://www.datenschutz.hessen.de/datenschutz.htm
• Zuständigkeit: Überwachung und Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen im Land Hessen im öffentlichen und nicht-öffentlichen Bereich -https://www.datenschutz.hessen.de/ueber_uns.htm#entry302
• Wirksame Europäische Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018
• Bundesdatenschutzgesetz bzw. Datenschutz-Anpassungs-und Umsetzungsgesetz zur Datenschutzgrundverordnung (DSAnpUG = „BDSG-neu“)
11/29/2017 Julia Stoll 5
Neues Datenschutzrecht in Europa• EU-Veröffentlichung (2016/679)
der EU-DSVGO im Web (dt. Fassung): http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN
• EU-Veröffentlichung der Justiz- und Polizeirichtlinie (2016/680) http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1504333039860&uri=CELEX:32016L0680
• ePrivacy-Verordnung (vorher: ePrivacy-Richtlinie (!)):lex spezialis für die “elektronische Kommunikation” https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
• Kurzanleitungen – erste Orientierungen der Datenschutzkonferenz der Bundesdatenschutzbeauftragten und der Länder https://www.datenschutz.hessen.de/neuesdatenschutzrecht.htm#entry4971
11/29/2017 Julia Stoll 6
29.11.2017
4
Rahmenbedingungen: DS-GVO• 98 Artikel und 173 Erwägungsgründe
• Grundlage: European Charta of Human Rights, insbesondere Art. 8
• 27/28 Mitgliedsstaaten + 3 (Island, Norwegen und Schweiz als Mitglieder des “Digitalen Markets”)
• 24 offizielle Sprachen (wie Maltesisch oder Gälisch)
• 3 Verhandlungssprachen (Englisch, Französisch und Deutsch)
• Art. 29 Working Party (WP29) >> European Data Protection Board (EDPB); Stellungnahmen / Opinions http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm
11/29/2017 7Julia Stoll
Vorgehen in Datenschutz-Projekten
11/29/2017 Julia Stoll 8
29.11.2017
5
Bestandsaufnahme: Analyse 1. Bestimmung der Verfahren und der Prozesse im Betrieb,
in denen personenbezogene Daten verarbeitet werden• Ausgangspunkt: bestehende Verfahrensverzeichnisse• Zusammenstellung von Vorabkontrollen,
Datenschutzkonzepten, IT-Sicherheitskonzepten und ggf. Dokumentationen von IT-Sicherheitsvorfällen
• Vorhandene Betriebsvereinbarungen
2. Prüfung dazugehöriger Rechtsgrundlagen bzw. Zulässigkeit der Verarbeitung von personenbezogenen Daten
• Rechtsvorschrift oder• Einwilligung der Betroffenen
3. Ermittlung aller Maßnahmen, die (bisher) zum Schutz personenbezogener Daten getroffenwurden
4. Ermittlung aller (bisherigen) Dienstleistungsbeziehungen, wie Verträge zur Auftragsdatenverarbeitung 9
Artikel mit starkem technischem Bezug und neuen Aspekten gemäß DS-GVO
Art. 5 & Art. 6 Rechenschaft und Verhältnismäßigkeit
Art. 30 Verzeichnis der Verarbeitungstätigkeiten
Art. 25 Technikgestaltung durch datenschutzfreundliche Voreinstellungen
Art. 35 & Art. 36 Datenschutzfolgenabschätzung, ggf. mit vorheriger Konsultation
Art. 42 (& Art. 43) Zertifizierungen (und Akkreditierung der Zertifizierungsstellen)
Art. 40 Verhaltensregeln
Reihenfolge, in der die Artikel betrachtet werden, legt ein Vorgehen aus technischer Sicht fest, was zu tun ist.11/29/2017 10Julia Stoll
29.11.2017
6
Überführung von Abhilfemaßnahmen
Referenzschutzmaßnahmen – Fokus ist Reduktion des Risikos:
• Datensparsamkeit – Reduzierung von Daten/Personenbezug
• Verfügbarkeit – Redundanz, Backup
• Integrität – Authentisierung/Autorisierung, Signaturen, Hash-Wert-Vergleiche
• Vertraulichkeit - Verschlüsselung, Zugriffsschutz, Rollen- & Rechtekonzept
• Nichtverkettung – Pseudonymisierung/Anonymisierung von Datenbeständen und Kommunikationsbeziehungen, Trennung von Verfahren, Datenbeständen, IT-Systemen, Prozessen, Rollen & Rechtskonzept, Identitätsmanagement
• Transparenz – Zweck: Herstellen von Kontrollierbarkeit, Prüffähigkeit, Beurteilbarkeit des Verfahrens und der Wirksamkeit der Maßnahmen! Mittel: Spezifikation, Dokumentation, Protokollierung des Verfahrens, Informationen bei Erhebung, Benachrichtigung bei Bearbeitung der Betroffenen (Beauskunften), Audits
• Intervenierbarkeit – Löschen, Sperren, Change Management, Aus-Schalter zum Deaktivieren/Stoppen von Gerätschaften
11/29/2017 11Julia Stoll
Technischer Datenschutz
11/29/2017 12Julia Stoll
29.11.2017
7
Technischer Datenschutz: Gewährleistungsziele
• Grundlegendes Gewährleistungsziel: Datenminimierung(früher: Datensparsamkeit oder sogar Datenvermeidung)
• Elementare Gewährleistungsziele: – Verfügbarkeit
– Integrität
– Vertraulichkeit
• Datenschutz-Gewährleistungsziele:– Nichtverkettung (nah an Zweckgebundenheit, aber nicht
gleich; bisherige Texte auch Nichtverkettbarkeit)
– Transparenz
– Intervenierbarkeit
11/29/2017 Julia Stoll 13
Elementare Gewährleistungsziele (auch im IT-Grundschutzkatalog des BSI)
Vertraulichkeit
Vertrauliche Informationen müssen vor unbefugter Preisgabe
geschützt werden.
Verfügbarkeit
Den Nutzenden stehen Dienstleistungen, Funktionen eines IT-
Systems oder auch Informationen zum geforderten Zeitpunkt
zur Verfügung.
Integrität
Die Daten sind vollständig und unverändert.
11/29/2017 Julia Stoll 14
29.11.2017
8
Datenschutz-Gewährleistungsziel: Transparenz
Transparenz (im allgemeinen Sinn (!))Den Nutzenden sind die Verfahren bzw. Verwaltungsprozesse [bzgl. der Unternehmens-/Organisationsstruktur und ihre technische Umsetzung; J.S.] offenzulegen, so dass er oder sie in einer zumutbaren Zeit diese nachvollziehen, prüfen und bewerten kann, wie die eigenen personenbezogenen Daten erhoben und verarbeitet werden.
Kommentar
Dieses Gewährleistungsziel geht über die mehrheitlich aus technischer Perspektive beschriebene Prüfbarkeit aktiv genutzter Datenbestände und Dienste hinaus, wie sie bisher im Gewährleistungsziel Verfügbarkeit hinterlegt ist.
11/29/2017 Julia Stoll 15
Weitere Gewährleistungsziele:Nichtverkettung und Intervenierbarkeit
Nichtverkettung / Nichtverkettbarkeit
Die Nutzenden sollen sicher gehen können, dass Verfahren nur zweckgebunden eingesetzt werden und eine klare Zwecktrennung zwischen verwandten Verfahren besteht.
Intervenierbarkeit
Nutzenden sind ein Zugriff auf die Verfahren und Daten bzgl. der eigenen personenbezogenen Daten zu ermöglichen.
11/29/2017 Julia Stoll 16
29.11.2017
9
Gewährleistungsziele in der DS-GVO(tabellarische Darstellung)
Daten-minimierung
Verfügbarkeit Integrität Vertraulichkeit
Artikel Art. 5. Abs. 1 lit. c und lit. e; Art. 25, Art. 32
Art. 5. Abs. lit. e, Art. 13, Art. 15, Art. 20, Art. 25, Art. 32
Art. 5 Abs. 1 lit. f , Art. 25, Art. 32, Art. 33
Art. 5 Abs. 1 lit. f, Art. 25, Art. 28 Abs. 3 lit. b, Art. 29, Art. 32
Erwägungs-gründe
28, 29, 30, 39, 78, 156
49, 78, 83 39, 49, 78, 83 39, 49, 78, 83
11/29/2017 Julia Stoll 17
Quelle: Standard-Datenschutzmodell
Gewährleistungsziele in der DS-GVO(tabellarische Darstellung)
Nichtverkettung Transparenz Intervenierbarkeit
Artikel Art. 5. Abs. 1 lit. c und lit. e; Art. 17, Art. 22, Art. 25, Art. 40 Abs. 2 lit. d
Art. 5. Abs. lit. a, Art. 13, Art. 14, Art. 15, Art. 19, Art. 25, Art. 30, Art. 32, Art. 33, Art. 40, Art. 42
Art. 5 Abs. 1 lit. d und lit. f , Art. 13 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e, Art. 16, Art. 17, Art. 18, Art. 20, Art. 21, Art. 25, Art. 32
Erwägungs-gründe
31, 32, 33, 39, 50, 53, 71, 78
32, 39, 42, 58, 60, 61, 63, 74, 78, 84, 85, 86, 87, 90, 91, 100
39, 59, 65, 66, 67, 68, 69, 70, 78
11/29/2017 Julia Stoll 18
Quelle: Standard-Datenschutzmodell
29.11.2017
10
Einfluss weiterer Aspekte
11/29/2017 Julia Stoll 19
Betroffenenrechte (1): Von Verfahren zu Prozessen
Kapitel III: Rechte der betroffenen Personen
Fokus auf den Verfahren, für die es Prozesse ggf. System-übergreifend geben muss
Art. 12 Transparente Information, Kommunikation und Modalität für die Ausübung der Rechte betroffener Personen (Übersichtsartikel)
Art. 13 Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person
Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der Person erhoben wurden (Daten kommen „wonanders“ her.)
Art. 15 Auskunftsrecht der betroffenen Person
11/29/2017 Julia Stoll 20
29.11.2017
11
Betroffenenrechte (2): Von Verfahren zu Prozessen
Kapitel III: Rechte der betroffenen Personen
Operationen auf personenbezogenen Daten (ähnlich ehemaliger „Kontrollziele“)
Art. 16 Recht auf Berichtigung
Art. 17 Recht auf Löschung („ Recht auf Vergessenwerden“)
Art. 18 Recht auf Einschränkungen der Verarbeitung (nicht mehr „nur Sperren“; An- und Ausschalten mit Dokumentation der Gründe)
Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Lösung von personenbezogenen Daten oder Einschränkung der Verarbeitung
11/29/2017 Julia Stoll 21
Betroffenenrechte (3): Von Verfahren zu Prozessen
Kapitel III: Rechte der betroffenen Personen
Transzendente Ziele , nur mit Gewährleistungszielen
Art. 20 Recht auf Datenübertragbarkeit (speziell: standardisierte Formate)
Art. 21 Widerspruchsrecht (z.B. wesentliche Realisierung durch Intervenierbarkeit)
Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Julia Stoll11/29/2017 22
29.11.2017
12
Begriffe und schwierige ÜbersetzungenEnglish German
Procedure Verfahren, insb. in der öffentlichen Verwaltung als Fachverfahren
Rules of procedure Geschäftsordnung
Process Prozess (als IT-gestütztes Verfahren)
Processing activities(„Neu-Englisch“)
Verarbeitungstätigkeiten(Art. 30 DS-GVO)
Record of processing activities (Gesamt-)Verzeichnis von Verarbeitungsvorgängen[unterschiedlich!]
Processing operations(„Neu-Englisch“)
Verarbeitungsvorgänge (Art. 35 DS-GVO)
Data protection impact assessment Vorabkontrolle (lieferte (Gesamt-) Verfahrensverzeichnis) [unterschiedliche Ziele, aber Ansatz!] 23
Begriffe und schwierige Übersetzungen (2)
English German
Operations Operationen auf personenbezogenen Daten (erheben, beauskunften, informieren, Verarbeitung einschränken, löschen und portieren [an andere Anbieter übermitteln])
Unlinkability Zweckgebundenheit / Nicht-Verkettbarkeit
Data subject Betroffene (vorher: betroffene Personen, ggf. mit Trennung zwischen natürlichen und juristischen Personen)
Processor(s) Auftragsverarbeiter (Auftragsverarbeitung über einen Vertrag)
Controller(s) Verantwortliche
Consent Nicht (!) alles geht über eine Einwilligung
11/29/2017 24Julia Stoll
29.11.2017
13
Neue OrganisationsstrukturenEDPB Task Force << Art 29 Working Party
Subgroups(selection)
Task Forces
Organisation: Rules of Procedure
WP29 >> EDPB later on: EDPB newer Subgroups
EDPS Task Force (Secretary)
Art. 70, Art. 75 GPDR
IT Task Force(Participant HE)
Art. 60-66 GPDR
Future ofPrivacy
CooperationSubgroup
EnforcementSubgroup
Inside Outside
2511/29/2017 Julia Stoll
Möglichkeiten der Zertifizierungen
11/29/2017 Julia Stoll 26
29.11.2017
14
Vorteile einer Zertifizierung: Zusammenhänge zu Art. 42 DS-GVO
Art. 24 Abs. 3 Pflichten des Verantwortlichen
Art. 25 Abs. 1 , Abs 2 und Abs. 3
Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen
Art. 28 (insb. Abs. 5 und 6)
Garantien des Auftragsverarbeiters
Art. 32 Sicherheit der Verarbeitung
Art. 46 Abs. 2 lit. f Datenübermittlung in ein Drittland
ErwGr. 90 Datenschutz-Folgenabschätzung
11/29/2017 Julia Stoll 27
Zertifizierungen als Nachweis mit 144 Nennungen im Text der DS-GVO!
Deutsche Akkreditierungsgesellschaft (DAkkS): Zertifizierungen für den Datenschutz ?!
• DAkkS (Anleitung): Festlegungen für die Anwendung der DIN EN ISO/IEC 17065 bei der Akkreditierung von Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren unter http://www.dakks.de/content/festlegungen-f%C3%BCr-die-anwendung-der-din-en-isoiec-17065-bei-der-akkreditierung-von-stellen-di (letzter Aufruf: 07.04.2017)
• DAkkS: Akkreditierungsantrag (als Teil der konkreten Implementierung) unter http://www.dakks.de/content/akkreditierungsantrag(letzter Aufruf: 07.04.2017)
• DAkkS: Überwachung akkreditierter Stellen unter http://www.dakks.de/content/%C3%BCberwachung-akkreditierter-stellen (letzter Aufruf: 07.04.2017)
Julia Stoll 2811/29/2017
29.11.2017
15
Zertifizierung: Grundlagen für das Konformitätsbewertungsprogramm• Bindeglied zwischen
Akkreditierung und Zertifizierungen
• Kriterien, Anforderung und/oder Qualifikationen, – die für die Zertifizierungen gelten und
– zur Expertise, die die Zertifizierungsstellen verfügen müssen
• Nachweise, – die von der zu akkreditierenden Stelle im Rahmen der
Akkreditierung erbracht werden müssen und
– die bei jeder Zertifizierung durch die Zertifizierungsstelle zu erbringen ist
• Transzendenz
29Julia Stoll11/29/2017
Mögliche ISO Normen (nicht abschließend, 1)
Bezeichnung Inhalt
DIN EN ISO/EN
17000:2005-03
Konformitätsbewertung, Begriffe:
Glossar
DIN EN ISO/EN
17001:2016-07
Konformitätsbewertung, Prüfnorm
DIN EN ISO/EN
17001:2016-09
Akkreditierungsbereich, Anforderungen
an Akkreditierungsstellen
DIN EN ISO/IEC 17065-
1:2013
Ausstellung und Verwaltung von
Konformitätsbewertungsprogrammen
für Produkte11/29/2017 Julia Stoll 30
29.11.2017
16
Mögliche ISO Normen (nicht abschließend, 2)Einzelnormen für strukturell unterschiedliche Zertifizierungen
DIN ISO/IEC
27001:2017-06
Umsetzung von notwendigen IT-
Sicherheitsmaßnahmen und eines IT-
Sicherheitsmanagements (ISMS)
DIN EN ISO/IEC
27002:2017-06
Compliance (privacy and its objectives)
ISO/IEC 27005 Risikoanalyse im Bereich des ISMS
ISO/IEC 29100 Privacy Framework
(dt. Titel: Informationstechnik –
Sicherheitsverfahren – Rahmenwerk für den
Datenschutz)11/29/2017 Julia Stoll 31
Mögliche ISO Normen (nicht abschließend, 3)
Neure Einzelnormen
FDIS 29134 Datenschutz-Folgenabschätzung (DPIA)
FDIS ISO/IEC
29151
Leitfaden für den Schutz personenbezogener
Daten (Identitätsmanagement: IdM)
WD 27552 Datenschutzmanagement (Privacy)
DIN ISO 31000 Risikomanagement – Grundsätze und
Leitlinien
DIN ISO 31010 Konkretisierung zur ISO Norm 310xx, insb.
Verfahren zur Risikobewertung
11/29/2017 Julia Stoll 32
29.11.2017
17
Zusammenfassung
11/29/2017 Julia Stoll 33
Zusammenfassung
• Perspektive: Vorgehen und Ansätze fürDatenschutzbeauftragte und IT
• Von Kontroll- zu Gewährleistungszielen– Verfahren und IT-gestützte Prozesse– Abhilfemaßnahmen, insbesondere zur Reduktion des
Risikos bei einer Datenschutz-Folgenabschätzung– Rolle der Betroffenenrechte
• Augenmerk auf Begriffe (in Bezug auf Übersetzungen)• Zertifizierungen: Auswahl von möglicherweise zu
berücksichtigenden ISO Normen• Diverse Links
11/29/2017 Julia Stoll 34
29.11.2017
18
Vielen Dank für Ihre Aufmerksamkeit!
Julia Stoll 35
Fragen?
11/29/2017
AUSZUG VON ARTIKELN MITGENANNTEM TECHNISCHEM BEZUGGEMÄß DS-GVO
Anhang: “Lesehilfe”
11/29/2017 Julia Stoll 36
29.11.2017
19
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssenc) Dem Zweck angemessen und erheblich sowie auf das für die
Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)
d) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und der Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“)
11/29/2017 Julia Stoll 37
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssene) in einer Form gespeichert werden, die die Identifizierung
der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Personen gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Zwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherabgrenzung“)
11/29/2017 Julia Stoll 38
29.11.2017
20
Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)
11/29/2017 Julia Stoll 39
Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in der Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
11/29/2017 Julia Stoll 40
29.11.2017
21
Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für die deren jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.
11/29/2017 Julia Stoll 41
Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
3) Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
11/29/2017 Julia Stoll 42
29.11.2017
22
Art. 32 Sicherheit der Verarbeitung
1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
11/29/2017 Julia Stoll 43
Art. 32 Sicherheit der Verarbeitung
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
11/29/2017 Julia Stoll 44
29.11.2017
23
Art. 32 Sicherheit in Verarbeitung
2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig –Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
11/29/2017 Julia Stoll 45
Art.32 Sicherheit der Verarbeitung
3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder der genehmigten Zertifizierungen gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Anforderungen nachzuweisen.
4) Der Verantwortliche und der Auftragsverarbeiterunternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedsstaaten verpflichtet.
11/29/2017 Julia Stoll 46
29.11.2017
24
Art. 35 Datenschutz-Folgenabschätzung(vier Kriterien)
1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde ein.
11/29/2017 Julia Stoll 47
Art. 35 Datenschutz-Folgenabschätzung
3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung einschließlich Profiling gründet ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
11/29/2017 Julia Stoll 48
29.11.2017
25
Art. 35 Datenschutz-Folgenabschätzung
4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dann dem Ausschuss.
11/29/2017 Update! - Julia Stoll 49
Art. 35 Datenschutz-Folgenabschätzung
6) Vor der Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedsstaaten im Zusammenhang stehen oder die den freien Verkehr von personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
11/29/2017 Update! - Julia Stoll 50
29.11.2017
26
Art. 35 Datenschutz-Folgenabschätzung
7) Die Folgenabschätzung enthält zumindest Folgendes:a) eine systematische Beschreibung der geplanten
Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich der Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
11/29/2017 Update! - Julia Stoll 51
Art. 35 Datenschutz-Folgenabschätzung
8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Person oder ihrer Vertreter zu der berechtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
11/29/2017 Update! - Julia Stoll 52
29.11.2017
27
Art. 35 Datenschutz-Folgenabschätzung
10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c und e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedsstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
11/29/2017 Julia Stoll 53
Art. 35 Datenschutz-Folgenabschätzung
11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerben, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
11/29/2017 Julia Stoll 54