IT-Sicherheit im Lichte der Datenschutz-GrundverordnungPragmatischer Umgang mit den neuen

Anforderungen an die IT-Sicherheit

Tim HoffmannIT-Trends Sicherheit | 29.03.2017 | Bochum

Tim Hoffmann

� Wirtschaftswissenschaften an der Universität-GH Essen� Studien-Schwerpunkte; u. a.

» Organisation » Informationsmanagement

� Seit 2002 als Berater bei der � Schwerpunkte Datenschutz und Informationssicherheit/

IT-Sicherheit in KMU � Projektleiter „UIMChange“� Datenschutzbeauftragter� Arbeitskreis „Informationssicherheit“ (networker.NRW)� Arbeitsgruppe „Datenschutz“ (UNiTS)

2IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017

Dienstleistungen

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 3

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 4

Unternehmensgruppe

Gliederung

� Einführung

� Zentrale Änderungen im Hinblick auf die IT-Sicherheit/Informationssicherheit

� Standard-Datenschutz-Modell

� Fazit: Was ist zu tun?

5IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017

� Inkrafttreten der DS-GVO am 25.05.2016

� Anwendbarkeit nach 24 Monaten, d. h. ab 25.05.2018

� unmittelbare Geltung in allen EU-Mitgliedstaaten

� Unanwendbarkeit entgegenstehender nationaler Regelungen

� aber: zahlreiche Öffnungsklauseln zugunsten einzelstaatlicher Bestimmungen

Datenschutz wird ab Juni 2018 auf gänzlich neue Füße gestellt

Wann und wie gilt die Neuregelung?

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 6

DS-GVOBDSG-Nachfolge-

Gesetz

Bereichsspezifische

Normen

Andere nationale

Anpassungsgesetze

Risikobetrachtung

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 7

Verstoß gegen

Compliance-

Anforderungen

Image

Erheblich

erhöhter

Bußgeld-

rahmen

sonstige

Sanktionen

Strafbarkeit

potentiell

persönliche Haftung

Gesamt-

schuldnerische

Haftung

Erweiterter

Aufgabenbereich der

Aufsichtsbehörden

Erheblich

erhöhter

Bußgeld-

rahmen

� In Abhängigkeit vom Verstoß

� Geldbußen von bis zu 10.000.000 EUR / 2 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist)

� Geldbußen von bis zu 20.000.000 EUR / 4 % des gesamten weltweit erzielten Jahresumsatzes (je nachdem welcher dieser Beträge höher ist)

Geldbußen, Art. 83 DS-GVO

8IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017

Zentrale Änderungen für der IT

� Technische und organisatorische Maßnahmen

» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung

� Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)

» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation

� Erweiterung formaler Anforderungen

» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: „Gemeinsam Verantwortliche“

� Verhaltensregeln und Zertifizierung

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 9

Zentrale Änderungen für der IT

� Technische und organisatorische Maßnahmen

» IT-Sicherheit erlangt höheren Stellenwert» Orientierung an Sicherheitszielen statt Kontrollmaßnahmen» Audits / Zertifizierung

� Datenschutz-Folgenabschätzung (bisher: Vorabkontrolle)

» Liste betroffener Datenverarbeitungsvorgänge» Formalisierung hinsichtlich Ablauf und Dokumentation

� Erweiterung formaler Anforderungen

» Meldepflichten bei Datenschutz-Vorfällen» Änderungen im Rahmen der Auftragsdatenverarbeitung» Neu: „Gemeinsam Verantwortliche“

� Verhaltensregeln und Zertifizierung

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 10

Dokumentationsanforderungen

� Art. 5 Abs. 2 DS-GVO

» Rechenschaftspflicht hinsichtlich der Einhaltung der Grundsätze der Datenverarbeitung

� Art. 30 DS-GVO

» Dokumentation von Verarbeitungsvorgängen� Art. 33 Abs. 5 DS-GVO

» Dokumentation von Sicherheitsvorfällen� Art. 35 DS-GVO

» Datenschutz-Folgenabschätzung

(inkl. Risikobewertung)� Art. 46 DS-GVO

» Dokumentation geeigneter Drittlandgarantien

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 11

Meldepflicht bei Datenpannen

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der

Verantwortliche ohne unangemessene Verzögerung und möglichst binnen höchstens

72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde,

es sei denn, dass die Verletzung des Schutzes personenbezogener Daten

voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt.“

� Trennung zwischen Meldung an die Aufsichtsbehörde (Art. 33 DS-GVO) und Benachrichtigung an die Betroffenen (Art. 34 DS-GVO)

� grundsätzliche Verpflichtung zur Meldung bei jeder Datenpanne

� Einschränkung über Risikobetrachtung

� inhaltliche und zeitliche Vorgaben für die Meldung

� umfassende Dokumentationspflicht aller Datenschutzverletzungen, Art. 33 V DS-GVO

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 12

Auftragsdatenverarbeitung (Art. 28)

� Verpflichtung zur sorgfältigen Auswahl des Auftragsverarbeiters unter besonderer Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen

� Erfordernis eines Vertrages zur AuftragsdatenverarbeitungAchtung: neben Schriftform auch elektronische Form zulässig

� Mindestangaben im Rahmen der vertraglichen Vereinbarung» ähnlich § 11 BDSG» Erfordernis einer schriftlichen Genehmigung von Subunternehmern» Vertragsverhältnis zum Subunternehmer muss den Anforderungen des

„Hauptvertrages“ genügen

� gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer

� erweiterte Pflichten des Auftragsverarbeiters/Auftragnehmers

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 13

Gemeinsam Verantwortliche, Art. 26 DS-GVO

� BDSG kennt die Rechtfigur des gemeinsam Verantwortlichen nicht

� wesentlicher Unterschied zur Auftragsverarbeitung, dass die gemeinsam Verantwortlichen grundsätzlich gleichberechtigt sind

� keine Auswirkungen auf das Erfordernis einer Ermächtigung zur Übermittlung

� Erfordernis eines „kleinen Vertrages zur Auftragsdatenverarbeitung“» Festlegung der Aufgabenverteilung gemäß der Pflichten nach der DS-GVO» insb. Festlegung der Wahrnehmung der Rechte der Betroffenen» insb. Festlegung der Erfüllung der Informationspflichten» Festlegung einer Kontaktstelle für die Betroffenen

� Kern der Vereinbarung ist den Betroffenen zur Verfügung zu stellen

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 14

Technische & organisatorische Maßnahmen

� IT-Sicherheit erlangt höheren Stellenwert

� Vorgaben bzgl. Angemessenheitsentscheidung

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten

und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos

für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche

und der Auftragsverarbeiter geeignete technische und organisatorische

Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu

gewährleisten; […]

� Risiko-Bewertung erforderlich

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 15

Technische & organisatorische Maßnahmen II

� Statt Kontrollziele nun Sicherheitsvorgaben/-zielen„[…] diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener

Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und

Belastbarkeit der Systeme und Dienste im Zusammenhang mit der

Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den

Zugang zu ihnen bei einem physischen oder technischen Zwischenfall

rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen

Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

� Verweis auf Zertifizierungsmöglichkeit

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 16

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung, Art. 35 DS-GVO„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,

aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge,

so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen

Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

� Risiko-Bewertung erforderlich

� insbesondere in folgenden Fällen erforderlich:» systematische und umfassende Bewertung inkl. Profiling» umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten» Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

� Mindestvorgaben zur inhaltlichen Dokumentation der Datenschutz-Folgenabschätzung (neu!)

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 17

Datenschutz durch Technik

Privacy by Design / Privacy by Default

� Unter Berücksichtigung des Stands der Technik, der […] Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche […] geeignete technische und organisatorische Maßnahmen

» – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

» die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

� Risiko-Bewertung erforderlich

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 18

Verhaltensregeln, Artikel 40 DS-GVO� Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss, die

Kommission (sowie Verbände und Vereinigungen nach Genehmigung) können Verhaltensregeln erlassen

� Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten

Zertifizierung, Artikel 42 DS-GVO� Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss und die

Kommission fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –prüfzeichen

� Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung der Verordnung

� Verantwortliche und Auftragsverarbeiter, die nicht unter die Verordnung fallen, können durch Unterwerfung unter Verhaltensregeln geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer bieten

Verhaltensregeln / Zertifizierung

19IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017

Woran orientieren?

Standard-Datenschutz-Modell

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 20

Standard-Datenschutz-Modell

Das Standard-Datenschutzmodell (SDM) ist eine Methode, mit der die Übereinstimmung von Anforderungen des Datenschutzrechts und technisch-organisatorischen Funktionen personenbezogener Verfahren überprüfbar wird.

Wesentliche Anwendungsbereiche sind � Planung, � Einführung und � Betriebeinzelner Verfahren, mit denen personenbezogene Daten verarbeitet werden.

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 21

Standard-Datenschutz-Modell

� Überführung datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen,

� Gliederung in Komponenten Daten, IT-Systeme und Prozesse,

� Einordnung von Daten in drei Schutzbedarfsabstufungen,

� Ergänzung um entsprechende Betrachtungen

� Systematisch abgeleiteter Katalog mit standardisierten Schutzmaßnahmen.

Die Veröffentlichung des Maßnahmenkatalogs ist für das Frühjahr 2017 vorgesehen

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 22

SDM: Gewährleistungsziele

� Datenminimierung

� Verfügbarkeit

� Integrität

� Vertraulichkeit

� Nichtverkettung

� Transparenz und

� Intervenierbarkeit

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 23

SDM: Gewährleistungsziele

� Datenminimierung

� Verfügbarkeit

� Integrität

� Vertraulichkeit

� Nichtverkettung

� Transparenz und

� Intervenierbarkeit

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 24

Informationssicherheits-Managementsystem

SDM: Anwendungsbereich

Nutzung durch

� verantwortliche Stellen (Unternehmen)

» systematische Planung,

» Umsetzung und

» kontinuierliche Überwachung

der erforderlichen Funktionen und Schutzmaßnahmen.

� Datenschutzbehörden

» einheitliche Systematik für

» transparentes, nachvollziehbares, belastbares Gesamturteil über ein Verfahren und dessen Komponenten zu gelangen.

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 25

SDM: Schutzbedarfsanalyse

� Eingriffsintensität in die Grundrechte durch ein Verfahren:

» durch Rechtsgrundlage bestimmte Zweck der DV,

» Schutzbedürftigkeit,

» Dauer der Speicherung,

» Art und Anzahl möglicher Empfänger der verarbeiteten Daten.

� Vertraulichkeit

� Kumulierungseffekt

� Risikoanalyse

» Motivation zu Verstoß

» Möglichkeiten zum Verstoß

» Übermittlung (insbesondere in Drittländer)

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 26

SDM: Schutzbedarfsanalyse

� Eingriffsintensität in die Grundrechte durch ein Verfahren:

» durch Rechtsgrundlage bestimmte Zweck der DV,

» Schutzbedürftigkeit,

» Dauer der Speicherung,

» Art und Anzahl möglicher Empfänger der verarbeiteten Daten.

� Vertraulichkeit

� Kumulierungseffekt

� Risikoanalyse

» Motivation zu Verstoß

» Möglichkeiten zum Verstoß

» Übermittlung (insbesondere in Drittländer)

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 27

Risikoanalyse

Beurteilung, wie groß Wahrscheinlichkeit ist, dass trotz

getroffener Maßnahmen Datenschutzvorgaben nicht einhalten wird.

Fazit: Was ist zu tun?

� Erstellung einer Schutzbedarfsanalyse (inkl. Risikoanalyse)

� Organisation: Aufbau und/oder Anpassung» Aufbau / Überarbeitung Dokumentation

» Anpassung Prozesse / Verträge

» Verbesserung der IT-Sicherheit

» Anpassung interner Regelungen

» Meldewege

» Change-Management

� Schulung der Mitarbeiter

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 28

Fragen?

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017 29

Fragen??Diskussion??

thoffmann[at]uimc.de(0202) 265 74 - 0

Haben Sie noch Fragen?

UIMC DR. VOSSBEIN GMBH & CO. KGNützenberger Straße 11942115 WuppertalTelefon: (0202) 265 74 - 0Telefax: (0202) 265 74 - 19E-Mail: consultants@uimc.deInternet: www.UIMC.de

UIMCert GmbHMoltkestraße 1942115 WuppertalTelefon: (0202) 3 09 87 39Telefax: (0202) 3 09 87 49E-Mail: certification@uimcert.deInternet: www.UIMCert.de

akkr

editi

ert d

urch

:

30IT-Sicherheit im Lichte der Datenschutz-Grundverordnung // Tim Hoffmann // 29.03.2017