Datenschutz-Grundverordnung aus Sicht der ... - media-ldk.de · 29.11.2017 1...

29.11.2017

1

Datenschutz-Grundverordnung aus Sicht der Informationstechnik

Julia Stoll

Referatsleiterin Informatik

Der Hessische Datenschutzbeauftragte

Gustav-Stresemann-Ring 1, 65189 Wiesbaden

Telefon +49 (0)611 / 14 08 - 150

E-Mail: [email protected]

Übersicht

• Rahmenbedingungen aus der Sicht Hessens

• Vorgehen in Datenschutz-Projekten

• Technischer Datenschutz: Gewährleistungsziele in der DS-GVO

• Weitere Aspekte: kein Selbstzweck!

• Möglichkeiten durch Zertifizierungen

Viele Links …

11/29/2017 Julia Stoll 2

29.11.2017

2

Rahmenbedingungen:Datenschutz ist Chefsache!


Datenschutz ist Chefsache!

1. Kernaufgabe: Bestimmung, welche Verfahren und Prozesse anzupassen sind (Analyse)

2. Informationen durch die Geschäftsleitung (Datenschutz-Projekte)

3. Kooperation mit betrieblichen Datenschutzbeauftragten und IT-Abteilung

(Delegation nur mit Vertrag; Quelle: https://www.datenschutz.hessen.de/ft-datenschutzbeauftragte.htm , Stand Juli 2017)


29.11.2017

3

Der Hessische Datenschutzbeauftragte

• Oberste Datenschutzaufsichtsbehörde des Landes Hessen -https://www.datenschutz.hessen.de/datenschutz.htm

• Zuständigkeit: Überwachung und Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen im Land Hessen im öffentlichen und nicht-öffentlichen Bereich -https://www.datenschutz.hessen.de/ueber_uns.htm#entry302

• Wirksame Europäische Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018

• Bundesdatenschutzgesetz bzw. Datenschutz-Anpassungs-und Umsetzungsgesetz zur Datenschutzgrundverordnung (DSAnpUG = „BDSG-neu“)


Neues Datenschutzrecht in Europa• EU-Veröffentlichung (2016/679)

der EU-DSVGO im Web (dt. Fassung): http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN

• EU-Veröffentlichung der Justiz- und Polizeirichtlinie (2016/680) http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1504333039860&uri=CELEX:32016L0680

• ePrivacy-Verordnung (vorher: ePrivacy-Richtlinie (!)):lex spezialis für die “elektronische Kommunikation” https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

• Kurzanleitungen – erste Orientierungen der Datenschutzkonferenz der Bundesdatenschutzbeauftragten und der Länder https://www.datenschutz.hessen.de/neuesdatenschutzrecht.htm#entry4971


29.11.2017

4

Rahmenbedingungen: DS-GVO• 98 Artikel und 173 Erwägungsgründe

• Grundlage: European Charta of Human Rights, insbesondere Art. 8

• 27/28 Mitgliedsstaaten + 3 (Island, Norwegen und Schweiz als Mitglieder des “Digitalen Markets”)

• 24 offizielle Sprachen (wie Maltesisch oder Gälisch)

• 3 Verhandlungssprachen (Englisch, Französisch und Deutsch)

• Art. 29 Working Party (WP29) >> European Data Protection Board (EDPB); Stellungnahmen / Opinions http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

11/29/2017 7Julia Stoll

Vorgehen in Datenschutz-Projekten


29.11.2017

5

Bestandsaufnahme: Analyse 1. Bestimmung der Verfahren und der Prozesse im Betrieb,

in denen personenbezogene Daten verarbeitet werden• Ausgangspunkt: bestehende Verfahrensverzeichnisse• Zusammenstellung von Vorabkontrollen,

Datenschutzkonzepten, IT-Sicherheitskonzepten und ggf. Dokumentationen von IT-Sicherheitsvorfällen

• Vorhandene Betriebsvereinbarungen

2. Prüfung dazugehöriger Rechtsgrundlagen bzw. Zulässigkeit der Verarbeitung von personenbezogenen Daten

• Rechtsvorschrift oder• Einwilligung der Betroffenen

3. Ermittlung aller Maßnahmen, die (bisher) zum Schutz personenbezogener Daten getroffenwurden

4. Ermittlung aller (bisherigen) Dienstleistungsbeziehungen, wie Verträge zur Auftragsdatenverarbeitung 9

Artikel mit starkem technischem Bezug und neuen Aspekten gemäß DS-GVO

Art. 5 & Art. 6 Rechenschaft und Verhältnismäßigkeit

Art. 30 Verzeichnis der Verarbeitungstätigkeiten

Art. 25 Technikgestaltung durch datenschutzfreundliche Voreinstellungen

Art. 35 & Art. 36 Datenschutzfolgenabschätzung, ggf. mit vorheriger Konsultation

Art. 42 (& Art. 43) Zertifizierungen (und Akkreditierung der Zertifizierungsstellen)

Art. 40 Verhaltensregeln

Reihenfolge, in der die Artikel betrachtet werden, legt ein Vorgehen aus technischer Sicht fest, was zu tun ist.11/29/2017 10Julia Stoll

29.11.2017

6

Überführung von Abhilfemaßnahmen

Referenzschutzmaßnahmen – Fokus ist Reduktion des Risikos:

• Datensparsamkeit – Reduzierung von Daten/Personenbezug

• Verfügbarkeit – Redundanz, Backup

• Integrität – Authentisierung/Autorisierung, Signaturen, Hash-Wert-Vergleiche

• Vertraulichkeit - Verschlüsselung, Zugriffsschutz, Rollen- & Rechtekonzept

• Nichtverkettung – Pseudonymisierung/Anonymisierung von Datenbeständen und Kommunikationsbeziehungen, Trennung von Verfahren, Datenbeständen, IT-Systemen, Prozessen, Rollen & Rechtskonzept, Identitätsmanagement

• Transparenz – Zweck: Herstellen von Kontrollierbarkeit, Prüffähigkeit, Beurteilbarkeit des Verfahrens und der Wirksamkeit der Maßnahmen! Mittel: Spezifikation, Dokumentation, Protokollierung des Verfahrens, Informationen bei Erhebung, Benachrichtigung bei Bearbeitung der Betroffenen (Beauskunften), Audits

• Intervenierbarkeit – Löschen, Sperren, Change Management, Aus-Schalter zum Deaktivieren/Stoppen von Gerätschaften


Technischer Datenschutz


29.11.2017

7

Technischer Datenschutz: Gewährleistungsziele

• Grundlegendes Gewährleistungsziel: Datenminimierung(früher: Datensparsamkeit oder sogar Datenvermeidung)

• Elementare Gewährleistungsziele: – Verfügbarkeit

– Integrität

– Vertraulichkeit

• Datenschutz-Gewährleistungsziele:– Nichtverkettung (nah an Zweckgebundenheit, aber nicht

gleich; bisherige Texte auch Nichtverkettbarkeit)

– Transparenz

– Intervenierbarkeit


Elementare Gewährleistungsziele (auch im IT-Grundschutzkatalog des BSI)

Vertraulichkeit

Vertrauliche Informationen müssen vor unbefugter Preisgabe

geschützt werden.

Verfügbarkeit

Den Nutzenden stehen Dienstleistungen, Funktionen eines IT-

Systems oder auch Informationen zum geforderten Zeitpunkt

zur Verfügung.

Integrität

Die Daten sind vollständig und unverändert.


29.11.2017

8

Datenschutz-Gewährleistungsziel: Transparenz

Transparenz (im allgemeinen Sinn (!))Den Nutzenden sind die Verfahren bzw. Verwaltungsprozesse [bzgl. der Unternehmens-/Organisationsstruktur und ihre technische Umsetzung; J.S.] offenzulegen, so dass er oder sie in einer zumutbaren Zeit diese nachvollziehen, prüfen und bewerten kann, wie die eigenen personenbezogenen Daten erhoben und verarbeitet werden.

Kommentar

Dieses Gewährleistungsziel geht über die mehrheitlich aus technischer Perspektive beschriebene Prüfbarkeit aktiv genutzter Datenbestände und Dienste hinaus, wie sie bisher im Gewährleistungsziel Verfügbarkeit hinterlegt ist.


Weitere Gewährleistungsziele:Nichtverkettung und Intervenierbarkeit

Nichtverkettung / Nichtverkettbarkeit

Die Nutzenden sollen sicher gehen können, dass Verfahren nur zweckgebunden eingesetzt werden und eine klare Zwecktrennung zwischen verwandten Verfahren besteht.

Intervenierbarkeit

Nutzenden sind ein Zugriff auf die Verfahren und Daten bzgl. der eigenen personenbezogenen Daten zu ermöglichen.


29.11.2017

9

Gewährleistungsziele in der DS-GVO(tabellarische Darstellung)

Daten-minimierung

Verfügbarkeit Integrität Vertraulichkeit

Artikel Art. 5. Abs. 1 lit. c und lit. e; Art. 25, Art. 32

Art. 5. Abs. lit. e, Art. 13, Art. 15, Art. 20, Art. 25, Art. 32

Art. 5 Abs. 1 lit. f , Art. 25, Art. 32, Art. 33

Art. 5 Abs. 1 lit. f, Art. 25, Art. 28 Abs. 3 lit. b, Art. 29, Art. 32

Erwägungs-gründe

28, 29, 30, 39, 78, 156

49, 78, 83 39, 49, 78, 83 39, 49, 78, 83


Quelle: Standard-Datenschutzmodell

Gewährleistungsziele in der DS-GVO(tabellarische Darstellung)

Nichtverkettung Transparenz Intervenierbarkeit

Artikel Art. 5. Abs. 1 lit. c und lit. e; Art. 17, Art. 22, Art. 25, Art. 40 Abs. 2 lit. d

Art. 5. Abs. lit. a, Art. 13, Art. 14, Art. 15, Art. 19, Art. 25, Art. 30, Art. 32, Art. 33, Art. 40, Art. 42

Art. 5 Abs. 1 lit. d und lit. f , Art. 13 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e, Art. 16, Art. 17, Art. 18, Art. 20, Art. 21, Art. 25, Art. 32

Erwägungs-gründe

31, 32, 33, 39, 50, 53, 71, 78

32, 39, 42, 58, 60, 61, 63, 74, 78, 84, 85, 86, 87, 90, 91, 100

39, 59, 65, 66, 67, 68, 69, 70, 78


Quelle: Standard-Datenschutzmodell

29.11.2017

10

Einfluss weiterer Aspekte


Betroffenenrechte (1): Von Verfahren zu Prozessen

Kapitel III: Rechte der betroffenen Personen

Fokus auf den Verfahren, für die es Prozesse ggf. System-übergreifend geben muss

Art. 12 Transparente Information, Kommunikation und Modalität für die Ausübung der Rechte betroffener Personen (Übersichtsartikel)

Art. 13 Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person

Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der Person erhoben wurden (Daten kommen „wonanders“ her.)

Art. 15 Auskunftsrecht der betroffenen Person


29.11.2017

11



Operationen auf personenbezogenen Daten (ähnlich ehemaliger „Kontrollziele“)

Art. 16 Recht auf Berichtigung

Art. 17 Recht auf Löschung („ Recht auf Vergessenwerden“)

Art. 18 Recht auf Einschränkungen der Verarbeitung (nicht mehr „nur Sperren“; An- und Ausschalten mit Dokumentation der Gründe)

Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Lösung von personenbezogenen Daten oder Einschränkung der Verarbeitung




Transzendente Ziele , nur mit Gewährleistungszielen

Art. 20 Recht auf Datenübertragbarkeit (speziell: standardisierte Formate)

Art. 21 Widerspruchsrecht (z.B. wesentliche Realisierung durch Intervenierbarkeit)

Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Julia Stoll11/29/2017 22

29.11.2017

12

Begriffe und schwierige ÜbersetzungenEnglish German

Procedure Verfahren, insb. in der öffentlichen Verwaltung als Fachverfahren

Rules of procedure Geschäftsordnung

Process Prozess (als IT-gestütztes Verfahren)

Processing activities(„Neu-Englisch“)

Verarbeitungstätigkeiten(Art. 30 DS-GVO)

Record of processing activities (Gesamt-)Verzeichnis von Verarbeitungsvorgängen[unterschiedlich!]

Processing operations(„Neu-Englisch“)

Verarbeitungsvorgänge (Art. 35 DS-GVO)

Data protection impact assessment Vorabkontrolle (lieferte (Gesamt-) Verfahrensverzeichnis) [unterschiedliche Ziele, aber Ansatz!] 23

Begriffe und schwierige Übersetzungen (2)

English German

Operations Operationen auf personenbezogenen Daten (erheben, beauskunften, informieren, Verarbeitung einschränken, löschen und portieren [an andere Anbieter übermitteln])

Unlinkability Zweckgebundenheit / Nicht-Verkettbarkeit

Data subject Betroffene (vorher: betroffene Personen, ggf. mit Trennung zwischen natürlichen und juristischen Personen)

Processor(s) Auftragsverarbeiter (Auftragsverarbeitung über einen Vertrag)

Controller(s) Verantwortliche

Consent Nicht (!) alles geht über eine Einwilligung


29.11.2017

13

Neue OrganisationsstrukturenEDPB Task Force << Art 29 Working Party

Subgroups(selection)

Task Forces

Organisation: Rules of Procedure

WP29 >> EDPB later on: EDPB newer Subgroups

EDPS Task Force (Secretary)

Art. 70, Art. 75 GPDR

IT Task Force(Participant HE)

Art. 60-66 GPDR

Future ofPrivacy

CooperationSubgroup

EnforcementSubgroup

Inside Outside

2511/29/2017 Julia Stoll

Möglichkeiten der Zertifizierungen


29.11.2017

14

Vorteile einer Zertifizierung: Zusammenhänge zu Art. 42 DS-GVO

Art. 24 Abs. 3 Pflichten des Verantwortlichen

Art. 25 Abs. 1 , Abs 2 und Abs. 3

Erfüllung der Anforderungen an Technikgestaltung und datenschutzfreundliche Voreinstellungen

Art. 28 (insb. Abs. 5 und 6)

Garantien des Auftragsverarbeiters

Art. 32 Sicherheit der Verarbeitung

Art. 46 Abs. 2 lit. f Datenübermittlung in ein Drittland

ErwGr. 90 Datenschutz-Folgenabschätzung


Zertifizierungen als Nachweis mit 144 Nennungen im Text der DS-GVO!

Deutsche Akkreditierungsgesellschaft (DAkkS): Zertifizierungen für den Datenschutz ?!

• DAkkS (Anleitung): Festlegungen für die Anwendung der DIN EN ISO/IEC 17065 bei der Akkreditierung von Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren unter http://www.dakks.de/content/festlegungen-f%C3%BCr-die-anwendung-der-din-en-isoiec-17065-bei-der-akkreditierung-von-stellen-di (letzter Aufruf: 07.04.2017)

• DAkkS: Akkreditierungsantrag (als Teil der konkreten Implementierung) unter http://www.dakks.de/content/akkreditierungsantrag(letzter Aufruf: 07.04.2017)

• DAkkS: Überwachung akkreditierter Stellen unter http://www.dakks.de/content/%C3%BCberwachung-akkreditierter-stellen (letzter Aufruf: 07.04.2017)

Julia Stoll 2811/29/2017

29.11.2017

15

Zertifizierung: Grundlagen für das Konformitätsbewertungsprogramm• Bindeglied zwischen

Akkreditierung und Zertifizierungen

• Kriterien, Anforderung und/oder Qualifikationen, – die für die Zertifizierungen gelten und

– zur Expertise, die die Zertifizierungsstellen verfügen müssen

• Nachweise, – die von der zu akkreditierenden Stelle im Rahmen der

Akkreditierung erbracht werden müssen und

– die bei jeder Zertifizierung durch die Zertifizierungsstelle zu erbringen ist

• Transzendenz

29Julia Stoll11/29/2017

Mögliche ISO Normen (nicht abschließend, 1)

Bezeichnung Inhalt

DIN EN ISO/EN

17000:2005-03

Konformitätsbewertung, Begriffe:

Glossar

DIN EN ISO/EN

17001:2016-07

Konformitätsbewertung, Prüfnorm

DIN EN ISO/EN

17001:2016-09

Akkreditierungsbereich, Anforderungen

an Akkreditierungsstellen

DIN EN ISO/IEC 17065-

1:2013

Ausstellung und Verwaltung von

Konformitätsbewertungsprogrammen

für Produkte11/29/2017 Julia Stoll 30

29.11.2017

16

Mögliche ISO Normen (nicht abschließend, 2)Einzelnormen für strukturell unterschiedliche Zertifizierungen

DIN ISO/IEC

27001:2017-06

Umsetzung von notwendigen IT-

Sicherheitsmaßnahmen und eines IT-

Sicherheitsmanagements (ISMS)

DIN EN ISO/IEC

27002:2017-06

Compliance (privacy and its objectives)

ISO/IEC 27005 Risikoanalyse im Bereich des ISMS

ISO/IEC 29100 Privacy Framework

(dt. Titel: Informationstechnik –

Sicherheitsverfahren – Rahmenwerk für den

Datenschutz)11/29/2017 Julia Stoll 31

Mögliche ISO Normen (nicht abschließend, 3)

Neure Einzelnormen

FDIS 29134 Datenschutz-Folgenabschätzung (DPIA)

FDIS ISO/IEC

29151

Leitfaden für den Schutz personenbezogener

Daten (Identitätsmanagement: IdM)

WD 27552 Datenschutzmanagement (Privacy)

DIN ISO 31000 Risikomanagement – Grundsätze und

Leitlinien

DIN ISO 31010 Konkretisierung zur ISO Norm 310xx, insb.

Verfahren zur Risikobewertung


29.11.2017

17

Zusammenfassung


Zusammenfassung

• Perspektive: Vorgehen und Ansätze fürDatenschutzbeauftragte und IT

• Von Kontroll- zu Gewährleistungszielen– Verfahren und IT-gestützte Prozesse– Abhilfemaßnahmen, insbesondere zur Reduktion des

Risikos bei einer Datenschutz-Folgenabschätzung– Rolle der Betroffenenrechte

• Augenmerk auf Begriffe (in Bezug auf Übersetzungen)• Zertifizierungen: Auswahl von möglicherweise zu

berücksichtigenden ISO Normen• Diverse Links


29.11.2017

18

Vielen Dank für Ihre Aufmerksamkeit!

Julia Stoll 35

Fragen?

11/29/2017

AUSZUG VON ARTIKELN MITGENANNTEM TECHNISCHEM BEZUGGEMÄß DS-GVO

Anhang: “Lesehilfe”


29.11.2017

19

Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssenc) Dem Zweck angemessen und erheblich sowie auf das für die

Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)

d) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur solange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und der Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“)



(1) Personenbezogene Daten müssene) in einer Form gespeichert werden, die die Identifizierung

der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Personen gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Zwecke oder für wissenschaftliche und historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherabgrenzung“)


29.11.2017

20


(1) Personenbezogene Daten müssen

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)


Art. 25 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen und die notwendigen Garantien in der Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.


29.11.2017

21


2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für die deren jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.



3) Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.


29.11.2017

22


1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:



a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.


29.11.2017

23

Art. 32 Sicherheit in Verarbeitung

2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig –Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.


Art.32 Sicherheit der Verarbeitung

3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder der genehmigten Zertifizierungen gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Anforderungen nachzuweisen.

4) Der Verantwortliche und der Auftragsverarbeiterunternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedsstaaten verpflichtet.


29.11.2017

24

Art. 35 Datenschutz-Folgenabschätzung(vier Kriterien)

1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde ein.


Art. 35 Datenschutz-Folgenabschätzung

3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung einschließlich Profiling gründet ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.


29.11.2017

25


4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dann dem Ausschuss.

11/29/2017 Update! - Julia Stoll 49


6) Vor der Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedsstaaten im Zusammenhang stehen oder die den freien Verkehr von personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.


29.11.2017

26


7) Die Folgenabschätzung enthält zumindest Folgendes:a) eine systematische Beschreibung der geplanten

Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich der Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.



8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Person oder ihrer Vertreter zu der berechtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.


29.11.2017

27


10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c und e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedsstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.



11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerben, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.


Datenschutz-Grundverordnung aus Sicht der ... - media-ldk.de · 29.11.2017 1...

Documents

Transcript of Datenschutz-Grundverordnung aus Sicht der ... - media-ldk.de · 29.11.2017 1...