CNIL Modell für die PIA · 2018. 4. 27. · 2 Andreas Sachs CNIL Modell für die PIA I Einstieg...
Transcript of CNIL Modell für die PIA · 2018. 4. 27. · 2 Andreas Sachs CNIL Modell für die PIA I Einstieg...
1
Andreas Sachs CNIL Modell für die PIA
CNILModellfürdiePIA
Andreas Sachs Berlin, 26. April 2018
2
Andreas Sachs CNIL Modell für die PIA
Einstieg I
Kurzvorstellung
Andreas Sachs
• Informatiker • Leiter des Referats Cybersicherheit & Technischer Datenschutz • Vertreter des Präsidenten beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.
Internet der Dinge
Vernetzte Fahrzeuge
Identitäten & Webportale Apps & Smart Devices
Cloud Computing
Verschlüsselungsverfahren Datenpannen & Hacking
IT-Sicherheit
Trackingverfahren
Seit 2011 beschäftigt sich das technische Referat dabei mit verschiedensten Themen, z.B.:
3
Andreas Sachs CNIL Modell für die PIA
Risiko ist in der DS-GVO ein zentrales Element I
DreiRisikobereiche
GeringesRisiko Risiko HohesRisiko
4
Andreas Sachs CNIL Modell für die PIA
EU-DSGVO: Risikoorientierter Ansatz I
RisikoalsSchadenpoten7alRisiko=Eintri:swahrscheinlichkeitxSchadenOperatorxistnichtmathema7schzuverstehen,sondernbedeuteteher„insVerhältnis“setzenSchädennachDS-GVO(EW75):• MaterielleSchäden(z.B.FinanziellerVerlust)• ImmaterielleSchäden(z.B.Rufschädigung,Diskriminierung)• PhysischeSchäden(z.B.VerletzungderkörperlichenUnversehrtheit)
5
Andreas Sachs CNIL Modell für die PIA
Achtung: Achtung Spoileralarm I
Sehrwahrscheinlichab27.04.2018auchaufwww.lda.bayern.deabruZar
6
Andreas Sachs CNIL Modell für die PIA
Risiko in der DS-GVO I
Mögliche„Risikoformeln“
RisikomatrixinBayLDA-Kurzpapier(Stand2016)
RisikomatrixinDSK-KurzpapierNr.18(Stand25.04.2018)
7
Andreas Sachs CNIL Modell für die PIA
h:p://ec.europa.eu/newsroom/just/document.cfm?doc_id=48464
Artikel 29 und DSFA Was sagt Europa zum Risiko und zur DSFA?
I
8
Andreas Sachs CNIL Modell für die PIA
Bewerten/Einstufen
Automa7sierteEntscheidung
Systema7scheÜberwachung
VertraulicheDaten
UmfangreicheVerarbeitung
ZusammenführenvonDaten
SchutzwürdigeBetroffene
NeueTechnologie
HinderungRechts-ausübung
Mind.2Kriterienerfüllt
Wahr-scheinlichhohesRisiko
Artikel 29 und DSFA Risiko in der DS-GVO I
9
Andreas Sachs CNIL Modell für die PIA
Datenschutzfolgenabschätzungen II
PrimäresZiel:• FeingranulareBeschreibungderVerarbeitung• SystemaCscheRisikobeurteilung
• FürjedesDatenschutz-RisikogeeignetetechnischeundorganisatorischeMaßnahmenauswählen• DieRisikenderRechteundFreiheitenfürdenBetroffeneneingedämmtwerden
10
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz1HateineFormderVerarbeitungwahrscheinlicheinhohesRisiko,dannisteineDatenschutzfolgenabschätzungDurchzuführen
Absatz2DerDatenschutzbeauKragteberätbeiderDurchführungeinerDSFA
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
11
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz3BeispielefürVerarbeitungen,dieeinhohesRisikohaben:
• Bewertung/ProfilingmitRechtsfolgen
• UmfangreicheVerarbeitungpersonenbezogenerDaten
• SystemaCscheumfangreicheÜberwachungöffentlicherBereiche
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
12
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz4,5,6
AufsichtsbehördeveröffentlichtMuss-Liste
AufsichtsbehördekannNicht-Muss-Listeveröffentlichen
KohärenzverfahrenbeigrenzüberschreitendemDatenverkehr
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
13
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz7
SystemaCscheBeschreibungderVerarbeitungsvorgänge
BewertungNotwendigkeit/Verhältnismäßigkeit
BewertungderRisiken
AbhilfemaßnahmenzurRisikoeindämmung
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
14
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz8GenehmigteVerhaltensregelnsind(insbesonderebeiderDarlegungderZwecke)zuberücksich7gen
Absatz10:AusnahmeregelungBeiVerarbeitungenmitgesetzlicherRestgrundlagestalindetUndimRahmendesGesetzgebungsverfahrenseinespezifischeDSFAdurchgeführtwurde,musskeineDSFAdurchgeführtwerden
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
15
Andreas Sachs CNIL Modell für die PIA
ArCkel35
Absatz11:ÜberprüfungDieVerarbeitungmussüberprüKwerden,obsiedenVorgabenderDSFAentspricht.InsbesonderewennsichdieRisikengeänderthaben
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
16
Andreas Sachs CNIL Modell für die PIA
ArCkel35–Zusammenfassung:• DSFAnurbeihohemRisiko
• DS-GVOnenntdreiBeispiele• DatenschutzbeauKragterist„nur“Berater• FormelleVorgabenbezüglichdesInhaltseinhalten
• RolleVerhaltensregelnklären• StandpunktederBetroffenenklären• GreifenAusnahmeregelungen?• RegelmäßigeÜberprüfungdesRisikosundderAbhilfemaßnahmen
Datenschutzfolgenabschätzungen – Gesetzliche Vorgaben II
17
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III CNIL:CommissionNa7onaledel'Informa7queetdesLibertés
DatenschutzaufsichtsbehördeFrankreich
Stand2018(h:ps://www.cnil.fr/en/privacy-impact-assessment-pia)
18
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
WiewirdeinePIAdurchgeführt• BigPicture• FestlegungRisiko-Blickwinkel
KontextderVerarbeitung• Überblick• Daten,ProzesseundSuppor7ngAssets
FundamentaleDatenschutzprinzipien• FestlegungderMaßnahmenzurUmsetzungeinerdatenschutzkonformenVerarbeitung
• FestlegungvonMaßnahmenzurSicherstellungderBetroffenenrechte
RisikenderSicherheitderVerarbeitung• Datenschutz-Risiko• FestlegungderMaßnahmen• Risikobeurteilung
ValidierungderPIA• Materialenvorbereiten• FormaleValidierung13Seiten
19
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
ZentraleKomponenteneinerPIA:1. FundamentalePrinzipienundRechte
• Sindnichtverhandelbar• WerdenvomGesetzvorgegeben• MüsseneingehaltenwerdenundkönnennichtBestandteilvonAbstufungen
sein–unabhängigderSchwereundEintri:swahrscheinlichkeit• FindensichindenBetroffenenrechtenunddenmeistenGrundsätzennach
Ar7kel5Abs.1wieder
2.UmgangmitDatensicherheitsrisiken• AuswahldertechnischenundorganisatorischenMaßnahmenzur
AufrechterhaltungderSecurity• UnterDatenschutzrisikenwerdeni.A.dieSchutzzieleVertraulichkeit,
VerfügbarkeitundIntegritätverstanden• KeineRisikobeurteilungfürz.B.Zweckbindung,Datenminimierung,
Transparenz,…
20
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
WasisteinDatenschutz-Risiko
RisikoQuellen
Suppor7ngassets
Personenbez.Daten
MöglicheFolgen
Wahrscheinlichkeit Schwere
Risiken BefürchteteEreignisse
EinRisikoisteinmöglichesSzenario,dasbeschreibt:• WieRisiko-Quellen• SchwachstelleninSuppor7ng-Assets(z.B.IT-Systeme)ausnutzenund• befürchteteEreignissemitpersonenbezogenenDateneintretenlassen• dieAuswirkungenaufdenDatenschutzbeiBetroffenenhaben
21
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
WasisteinDatenschutz-RisikoDasRisiko-LevelwirddurchdieFaktorenEintri^swahrscheinlichkeitundSchwerebes7mmtSchwere:GrößeeinesRisikos,dassichausdenmöglichenAuswirkungenableitetWahrscheinlichkeit:DieWahrscheinlichkeit,dasseinRisikoeintri:.SiehängtvondenSchwachstellenderSuppor7ngAssetsabunddemGradderAusnutzbarkeitdurchRisiko-Quellen
Schwere
Wahr-scheinlich-
keit
+Risiko-Level
22
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
WiewirdeinPIAdurchgeführt?
DerCompliance-Ansatz,derdurchdieAusführungeinesPIAumgesetztwird,basiertaufderAchtungderDatenschutz-Prinzipien:BeachtungderrechtlichenPrinzipiendesDatenschutzeswiez.B.Zweckbindung,Datenminimierung,TransparenzanBetroffene,Speicherbegrenzung,BetroffenenrechteUmgangmitRisikenbezüglichderSicherheitvonpersonenbezogenenDatendieAuswirkungenaufdenDatenschutzhabenindem…die[Vertraulichkeit,VerfügbarkeitundIntegrität]sichergestelltwird.
Beachtungderfundamentalen
Prinzipien
UmgangmitRisikenbezüglich
derSicherheit
+ Compliance
23
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
AllgemeinerAnsatzzurDurchführung:
1. KontextBeschreibungderVerarbeitungsamtRahmenbedingungen2.FundamentalePrinzipienUmsetzungderGrundsätzeundBetroffenenrechte(NichtRisikoorien7ert)3.RisikenBeurteilungderSecurity-RisikenundAuswahlwirksamerMaßnahmenpassendzumjeweiligenRisiko4. ValidierungÜberprüfungderUmsetzungderMaßnahmenzurSicherstellungderrechtlichenMaßnahmensowieEindämmungderRisikenmi:elsMaßnahmenzurRisikobehandlung
2.FundamentalePrinzipien
3.Risiken4.Validierung
1.Kontext
DieSchri:ewerdeni.A.mehrfachundregelmäßigdurchgeführt
24
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
Wiegehtmankonkretnunvor?
26SeitenFragebögenundChecklistenzurUmsetzungdereinzelnenSchri:e
109SeitenKatalogemittechnischenundorganisatorischenMaßnahmen
25
Andreas Sachs CNIL Modell für die PIA
Vorstellung des Software-Tools zur Durchführung einer PIA III
Downloadunterh:ps://www.cnil.fr/en/privacy-impact-assessment-pia
26
Andreas Sachs CNIL Modell für die PIA
SoKware-ToolszurDurchführungeinerPIA III
StarteinerneuenVerarbeitung• Planungsphase• DatensammlungaufServer• HackingdesServers• MissbrauchderDaten
(Einbruch)Ziel:Dieszuverhindern
27
Andreas Sachs CNIL Modell für die PIA
SoKware-ToolszurDurchführungeinerPIA III
StarteinerneuenVerarbeitung• DSFA-Rahmenbedingungen
iden7fizieren• Abschätzung,ob
wahrscheinlichhohesRisiko• EntscheidungDSFA• KontextderVerarbeitung
analysieren
28
Andreas Sachs CNIL Modell für die PIA
III SoKware-ToolszurDurchführungeinerPIA
StarteinerneuenVerarbeitung• RisikenderVerletzungder
• Vertraulichkeit• Verfügbarkeit• Integrität
betrachten• Eintri^swahrscheinlichkeit
• Suppor7ngAssets• Risiko-Quellen
• Schwere• MöglicheFolgen• ArtderDaten
29
Andreas Sachs CNIL Modell für die PIA
SoKware-ToolszurDurchführungeinerPIA III
• TechnischeundorganisatorischeMaßnahmenauswählen
• Restrisikoermi:eln• Ggf.weitereMaßnahmen
auswählen• Umgangmithohe
Restrisiken(Aufsichtsbehörde)
• RestrisikoOK->StartderVerarbeitung
30
Andreas Sachs CNIL Modell für die PIA
Privacy Impact Assessment der CNIL III
Zusammenfassung:
• DerAnsatzlehntsichvonderVorgehensweiseundderWortwahlanISO-Standardsan• Au}eilungbeiderAuswahlderTOMs
• FundamentalePrinzipien(z.B.Datenminimierung)sindnichtrisikoorien7ert• Security-Maßnahmen(z.B.Vertraulichkeit)sindrisikoorien7ert
• DeraktuelleStandistaus2018(->DSGVO)• BrennendeFrage:KannmitdemCNIL-AnsatzdieDSFAauchinDeutschlanddurchgeführtwerden
31
Andreas Sachs CNIL Modell für die PIA
Exkurs: SDM als Methode zur Durchführung einer DSFA IV
32
Andreas Sachs CNIL Modell für die PIA
Verarbeitungpersonenbezogener
Daten
Schutzbedarfs-feststellung
UmsetzungallerBausteine
UmsetzungweitererBausteine
NormalerSchutzbedarf
HoherSchutzbedarf
IT-Grundschutz(oderandereMethodezurIT-Sicherheit)wirdumgesetzt
+
Methode V1.0 (hohe Abstraktion) IV
IndividuelleMaßnahmen
SehrhoherSchutzbedarf
33
Andreas Sachs CNIL Modell für die PIA
Verarbeitungpersonenbezogener
Daten
MappingaufSchutzbedarf
UmsetzungallerBausteine
UmsetzungweitererBausteine
NormalerSchutzbedarf
HoherSchutzbedarf
IT-Grundschutz(oderandereMethodezurIT-Sicherheit)wirdumgesetzt
+
Methode V1.1 (hohe Abstraktion) IV
IndividuelleMaßnahmen
SehrhoherSchutzbedarf
Risiko-beurteilung
34
Andreas Sachs CNIL Modell für die PIA
VertraulichkeitVerfügbarkeitIntegrität
TransparenzZweckbindung
Datenminimierung
Intervenierbarkeit
Grundsätze der Verarbeitung Betroffenenrechte
RisikoSchutzbedarf
Au}eilungin• Daten• Prozesse• IT-Systeme
Risiko
FundamentalePrinzipien
FundamentalePrinzipien
Gegenüberstellung CNIL-PIA vs. SDM IV
35
Andreas Sachs CNIL Modell für die PIA
Auch Interessant V
36
Andreas Sachs CNIL Modell für die PIA
VielenDankfürIhreAufmerksamkeit
Fragen?