Die DSGVO aus IT-Sicht - Lukas Feiler · bei Mitarbeitern: Anfrage über berufliche E-Mail-Adresse...

Die DSGVO aus IT-Sicht

RA Dr. Lukas Feiler, SSCP, CIPP/E Lindecampus Praxistag: Fit für das neue Datenschutzrecht

30. Jänner 2018

Themen 1 Datensicherheit DSGVO-konform gestalten

Wie sicher ist sicher genug?

Datensicherheitskonzepte auf dem Prüfstand

2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren

Wann liegt eine Sicherheitsverletzung vor?

Wann sind Datenschutzbehörde bzw. Betroffene zu informieren?

3 Die Erfüllung von Betroffenenrechten automatisieren

Betroffenenrechte im Self-Service

Löschung technisch umsetzen

Technische Umsetzung des Rechts auf Datenübertragbarkeit

4 Risikominderungsmaßnahmen im Rahmen von

Datenschutz-Folgenabschätzungen

1 Datensicherheit DSGVO-konform gestalten

3

© 2017 Baker McKenzie © 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG

Vertraulichkeit, Verfügbarkeit, Integrität

4

Daten sind zu schützen vor

Verlust der Vertraulichkeit

Verlust der Verfügbarkeit

Verlust der Integrität

Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung

des Stands der Technik,

der Implementierungskosten,

der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und

der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Datensicherheitspflichten


Herausforderung Risikobewertung – 1 von 2

5

Methoden der Risikobewertung

Qualitativ - niedrig – mittle – hoch

Quantitativ – X Euro

in beiden Fällen Kombination von potentiellem Schaden & Eintrittswahrscheinlichkeit

Qualitative Risikobewertung z.B. durch Risiko-Matrizen



Herausforderung Risikobewertung – 2 von 2

6

Quantitative Risikobewertung: Annualized Loss Expectancy (ALE)

ALE = Annualized Rate of Occurrence (ARO) * Single Loss Expectancy (SLE)

zB Risiko eines Festplattendefekts: ARO = 0,1; SLE = € 100k ALE = € 10k

besondere Herausforderung: Wie ist der Schaden zu bemessen?

Nach dem ersatzfähigen Schaden gem Art 82 DSGVO?



Sicherheitsmaßnahmen

7

Angemessene Maßnahmen umfassen laut DSGVO insb.:

Pseudonymisierung und Verschlüsselung;

die Fähigkeit, die Sicherheit der Systeme sicherzustellen;

die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen Incident Response Capabilities;

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen Audits

Technische Standards ausreichend? z.B.

„Critical Security Controls for Effective Cyber Defense“ des Center for Internet Security

ISO/IEC 27001 - Information security management

ISO/IEC 27002 - Code of practice for information security controls

Payment Card Industry Data Security Standard (PCI DSS)



Typen von Sicherheitsmaßnahmen

8

Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen

Nach der Wirkungsweise: präventive, detektive, reaktive oder abschreckende Maßnahmen


Beispiele Technical Organizational Physical

Präventiv Firewall 4-Augen-Prinzip Stahltür

Detektiv Intrusion

Detection System

Verpflichtender Log

Review

Brandmelder

Reaktiv (Backup &)

Restore

Incident Response

Policy

Feueralarm

Abschreckend Warnmeldung Disziplinarordnung Hund


Im Fokus: Zugriffskontrolle (Access Control)

9

Identifizierung: Wer bist du? Ich bin Tom.

Authentifizierung: Wirklich? Beweise es!

Durch etwas das man weiß (ein Passwort)

Durch etwas das man hat (zB einen Schlüssel)

Durch etwas das man ist (zB Retina- oder Fingerabdruck-Scan)

„One-Factor Authentication“: eines der drei

„Two-Factor Authentication“: zwei der drei

Autorisierung: Wenn ich weiß wer du bist, entscheide ich, was du darfst

Allgemeine Verweigerung/Gewährung des Zugriffs

Zugriff nur auf bestimmte Informationen


2 Sicherheitsverletzungen: Richtig vorbereiten und reagieren

10


Datensicherheitsverletzung

11

Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten

Vorsätzliche und zufällige Ereignisse sind erfasst

Beispiele:

Laptop mit Kundendaten (ohne Festplattenverschlüsselung) im Zug vergessen Verletzung der Vertraulichkeit

Erpresser-Schadstoffware verschlüsselt alle Kundendaten (keine Backups vorhanden) Verletzung der Verfügbarkeit

Mitarbeiter-PCs durch Schadsoftware kompromittiert, die nur dazu verwendet wird, Spam-E-Mails an Dritte zu versenden weder die Vertraulichkeit noch die Verfügbarkeit oder die Integrität der Daten wurde verletzt

Sicherheitsverletzungen


Meldung von Datensicherheitsverletzungen

12

Pflicht zur „Data Breach Notification“

Informationspflicht besteht nur, wenn Verantwortlicher von Sicherheitsverletzung Kenntnis

erlangt

Eine Sicherheitsverletzung muss der Aufsichtsbehörde unverzüglich und spätestens

binnen 72 Stunden gemeldet werden, bei jeglichem Risiko für Betroffene

Pflicht zur Notifikation gegenüber Betroffenen: unverzüglich – aber nur, wenn für

Betroffene das Risiko hoch ist

Inhalt der Meldung u.a.: Art der Sicherheitsverletzung, Namen und Kontaktdaten des

Datenschutzbeauftragten, ergriffene oder vorgeschlagene reaktive Maßnahmen



Wann liegt ein „hohes Risiko“ vor?

13

Faustregel: War für die Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung

durchzuführen? Wurden Benutzernamen und Passwörter oder sensible Daten

kompromittiert?

Wenn ja, ist grundsätzlich von einem hohen Risiko auszugehen

Beispiele

Videoüberwachung durch dutzende Videokameras in einem Geschäft umfangreiche

Überwachung öffentlich zugänglicher Bereiche; eine Datenschutz-Folgenabschätzung ist

nötig bei Sicherheitsverletzung liegt hohes Risiko liegt vor

Profiling zwecks personalisierter Werbung hat weder Rechtsfolgen für die Betroffenen,

noch beeinträchtigt es sie auf ähnliche Weise, typischerweise sind keine sensiblen Daten

erfasst meist wird kein hohes Risiko vorliegen



Notfallplan für Sicherheitsverletzungen

14


– Preparation

– Detection

– Containment

– Eradication

– Recovery

– Follow-Up

Kenntnisse der rechtlichen Pflichten

Breach Notification

Sammlung von Beweismitteln &

Auskunftsansprüche gegen Provider

Gerichtliche Rechtsdurchsetzung

3 Die Erfüllung von Betroffenenrechten automatisieren

15


Betroffenenrechte im Self-Service

16

Administrative Kosten für manuelle Bearbeitung von Betroffenenanfragen hoch

Self-Service über Online-Plattform

Vorteil: kaum laufende Kosten

Herausforderung: Risikoangemessenheit der Authentifizierung der Betroffenen

zuvor vereinbartes Passwort

qualifizierte elektronische Signatur

bei Mitarbeitern: Anfrage über berufliche E-Mail-Adresse

Abfrage von Wohnanschrift und Geburtsdatum

Übermittlung einer Kopie eines amtlichen Lichtbildausweises

Bei Auskunftsansprüchen: Übermittlung der Daten an bereits bekannte (E-Mail-)Adresse des Betroffenen

Betroffenenrechte automatisieren


Löschung & Einschränkung der Verarbeitung

17

Herausforderungen der Datenlöschung in der Praxis

Löschen in einer relationalen Datenbank

Löschen von Backups (vgl. § 4 Abs. 2 DSG)

Datenentsorgung

Herausforderungen der Einschränkung der Verarbeitung

Daten müssen von regulärer Verarbeitung ausgenommen werden

Sperrung eines Datensatzes auf Datenbankebene?

Temporäre Migration des Datensatzes in andere Datenbank?

Technische Umsetzung


Das Recht auf Datenübertragbarkeit

18

Recht auf Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen Verantwortlichen, soweit technisch machbar

gängige Formate

für E-Mail: PST, Mailbox, mbox

für Daten aus einem CRM-System?

Auffangbecken XML (vgl. z.B. http://pear.php.net/package/XML_Query2XML)

Übermittlung an einen anderen Verantwortlichen

nur soweit technisch machbar!

Technische Umsetzung

4 Risikominderungsmaßnahmen bei Datenschutz-Folgenabschätzungen

19


Risikominderungsmaßnahmen

20

Folgenabschätzung bei prima facie hohen Risiko erforderlich

Risikominderungsmaßnahmen erforderlich

Sicherheitsbezogene Maßnahmen

Nicht sicherheitsbezogene Maßnahmen

Einschränkung der Datenarten – z.B. bei Videoüberwachung Pausenraum ausnehmen

Einschränkung des Datenumfangs – z.B. Reduktion der Frequenz der Datenerhebung

Einschränkung der Kategorien von Betroffenen – z.B. bei einer Whistleblowing-Hotline nur

Meldungen über Entscheidungsträger zulassen

Einschränkung der Anzahl von Betroffenen – z.B. für statistische Untersuchung kleineres

Sample wählen

Einschränkung der Verarbeitungszwecke – z.B. Daten einer Videoüberwachung nur im

Fall eines begründeten Verdachts einer gerichtlich strafbaren Handlung auswerten

Datenschutz-Folgenabschätzungen

www.bakermckenzie.com

Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein

nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker &

McKenzie Rechtsanwaltsgesellschaft mbH, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend,

bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied

von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker &

McKenzie International.

© 2017 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG

Dr. Lukas Feiler, SSCP CIPP/E

Senior Associate

Leiter des Teams für IT-Recht in Wien

Schottenring 25

1010 Vienna

T: +43 1 24 250

[email protected]

Lukas Feiler ist Co-Autor des eines Kommentars zur Datenschutz-Grundverordnung und des ersten Praktiker-

Buches zur DSGVO sowie Herausgeber des Gesetzbuch Datenschutzrecht. Er begleitet Unternehmen auf

www.digitalwave.at bei der digitalen Transformation.

mailto:[email protected]

http://www.digitalwave.at/

Die DSGVO aus IT-Sicht - Lukas Feiler · bei Mitarbeitern: Anfrage über berufliche E-Mail-Adresse...

Documents

Transcript of Die DSGVO aus IT-Sicht - Lukas Feiler · bei Mitarbeitern: Anfrage über berufliche E-Mail-Adresse...