DSGVO nach Maß
Edt 4
84558 Kirchweidach (bei Altötting)
Vertreten durch:
Vorstand: Franz Obermayer
Kontakt:
Telefon: +49 8632 987 39 - 40E-Mail: [email protected]: http://www.complimant.de
© complimant AG, Edt 4, 84558 Kirchweidach
Alle Rechte vorbehalten. Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb
der engen Grenzen des Urheberrechtsgesetzes ist ohne schriftliche Zustimmung der complimant AG unzulässig und strafbar.
complimant AG - Ihr ISO27001-zertifiziertes Beratungshaus
https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=31
Mythos 1: DSGVO tritt am 25. Mai 2018 in Kraft.
• Realität: Falsch! Es mag übertrieben erscheinen, doch alle
Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in
Kraft tritt, machen einen Fehler. Die Datenschutz-Grundverordnung ist
bereits in Kraft, die zweijährige Übergangszeit endet am 25. Mai 2018.
Warum soll das wichtig sein? Ganz einfach: Man könnte denken, die
DSGVO tritt ohne jede Vorwarnzeit in Kraft, plötzlich ist sie da und
muss angewendet werden.
• In Wirklichkeit aber liegt die DSGVO bereits seit über 1,5 Jahren auf
dem Tisch. Die Umsetzung läuft und sollte laufen, mit der Frist 25. Mai
2018. Diese Erkenntnis hilft nicht bei der Bewältigung, wohl aber bei
der Argumentation, dass die Schonfrist bald um ist. Es ist Zeit, das
Projekt DSGVO mit Vollgas voranzutreiben.
Mythos 2: Es drohen Bußgelder von bis zu 20 Mio EUR, wenn Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird!
• Realität: Stimmt nicht! Es geht nicht darum, die möglichen
Sanktionen herunterzuspielen, wenn die bis zu 20 Mio Euro Bußgeld
bei Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) als falsch
eingestuft werden. Es geht vielmehr darum, dass man sich genauer
mit den möglichen Sanktionen befassen muss. Dann stellt man fest:
Art.83 DSGVO (Allgemeine Bedingungen für die Verhängung von
Geldbußen) listet den Artikel 32 (Sicherheit der Verarbeitung) dort auf,
wo steht: „Bei Verstößen gegen die folgenden Bestimmungen werden
Geldbußen von bis zu 10.000.000 EUR oder im Fall eines
Unternehmens von bis zu 2 Prozent seines gesamten weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs
verhängt, je nachdem, welcher der Beträge höher ist“.
Mythos 3: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!
• Realität: Unsinn! Um es kurz machen: Von Haftstrafen ist in der DSGVO
nicht die Rede. Anstatt sich über einen Aufenthalt im Gefängnis Sorgen zu
machen, sollte man lieber daran denken, dass es neben den Sanktionen und
Bußgeldern auch Haftung und Recht auf Schadenersatz gibt. Artikel 82
DSGVO besagt: Jede Person, der wegen eines Verstoßes gegen diese
Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat
Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den
Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche
haftet für den Schaden, der durch eine nicht dieser Verordnung
entsprechende Verarbeitung verursacht wurde.
• Hier drohen also Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis
bringt einen die DSGVO selbst nicht.
Mythos 4: Das BDSG ist abgeschafft
Realität: Falsch
BDSG NEU tritt zeitgleich in Kraft:
https://dsgvo-gesetz.de/bdsg-neu/
FÜR WEN GILT BDSG ?
§ 1 BDSG (neu)Anwendungsbereich des Gesetzes
• Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
– öffentliche Stellen des Bundes,
– öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist
und soweit sie
• Bundesrecht ausführen oder
• als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
• Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung
personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert
werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur
Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Mythos 5: Cloud-Lösung XY ist DSGVO-konform!
• Realität: Wer sagt das? Viele Anbieter verweisen gegenwärtig auf ihre
Konformität mit der DSGVO. Ob dies nach besten Wissen und Gewissen
geschieht oder auf Basis eines bestehenden Datenschutz-Zertifikats: Wer
zum Beispiel einen Cloud-Service nutzen möchte, braucht mehr als eine
Selbstauskunft des Anbieters, er braucht hinreichende Garantien des
Anbieters dafür, dass geeignete technische und organisatorische Maßnahmen
so durchgeführt werden, dass die Verarbeitung im Einklang mit den
Anforderungen der Verordnung erfolgt und den Schutz der Rechte der
betroffenen Person gewährleistet.
• Eine Garantie können in Zukunft zum Beispiel ein genehmigtes
Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein
Datenschutz-Zertifikat, das unter dem Bundesdatenschutzgesetz (BDSG)
vergeben wurde, reicht dagegen nicht. Zuerst muss das entsprechende
Zertifizierungsverfahren umgestellt sein auf die DSGVO.
Mythos 6: Wir sind DSGVO-zertifiziert!
• Realität: Noch gar nicht möglich! Artikel 42 DSGVO (Zertifizierung)
macht deutlich, dass Zertifizierungsverfahren, die zu einem DSGVO-
Zertifikat führen sollen, zuerst genehmigt werden müssen. So fordert
die DSGVO: Eine Zertifizierung nach diesem Artikel wird durch die
Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde
anhand der von dieser zuständigen Aufsichtsbehörde genehmigten
Kriterien erteilt. Erst wenn genehmigte Kriterien vorliegen, kann also
mit einer Zertifizierung nach DSGVO begonnen werden. Das ist aber
bisher nicht der Fall.
Mythos 7: Die Meldepflichten nach DSGVO sind ein Novum!
• Realität: Blödsinn! Die Meldepflichten nach DSGVO sind nicht etwa komplett
neu, wie manche Meldungen suggerieren. Vielmehr gibt es Änderungen
gegenüber den Informationspflichten nach Bundesdatenschutzgesetz, man
kann auch von einer Verschärfung sprechen, insbesondere, wenn man an die
72-Stunden-Frist zur Meldung an die zuständige Aufsichtsbehörde denkt.
Trotzdem: Es gibt schon jetzt eine Informationspflicht bei unrechtmäßiger
Kenntniserlangung von Daten. Unternehmen sollten also keinen komplett
neuen Melde-Prozess aufsetzen müssen, wenn sie denn die Vorgaben des
BDSG einhalten.
Mythos 8: Die DSGVO verbietet die Datenübermittlung in die USA!
• Realität: Stimmt nicht! Die DSGVO verbietet nicht etwa die
Datenübermittlung in Drittstaaten wie die USA, sondern sie stellt
mehrere Anforderungen an eine solche Datenübermittlung. Dabei geht
es um die Garantie, dass das Datenschutzniveau bei dem Empfänger
dem der DSGVO entspricht. Für den Nachweis gibt es verschiedene
Wege, darunter Privacy Shield, bei dem die Aufsichtsbehörden
weiterhin Bedarf für Nachbesserungen sehen. Denkbar ist es aber
auch, dass ein Empfänger aus einem Drittstaat ein Datenschutz-
Zertifikat nach DSGVO erlangt und so den Nachweis erbringt. Von
einem generellen Verbot kann also keine Rede sein.
Mythos 9. Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!
• Realität: Falsch ! Zweifellos ist die Verschlüsselung eine der zentralen Maßnahmen
der Datensicherheit. In vielen Fällen wird auch eine Verschlüsselung von E-Mails sehr
sinnvoll sein. Aber die DSGVO sieht keinen Zwang zur Verschlüsselung vor.
• Vielmehr besagt Artikel 32 DSGVO: Unter Berücksichtigung des Stands der Technik,
der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere
des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der
Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese
Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und
Verschlüsselung personenbezogener Daten (…).
• Ob eine Verschlüsselung zum Einsatz kommen soll oder nicht, hängt somit von dem zu
ermittelnden Schutzbedarf der Daten, dem Risiko für die Betroffenen sowie weiteren
Faktoren ab wie Stand der Technik, Implementierungskosten und Art, Umfang,
Umstände und Zwecke der Verarbeitung. Verschlüsselung ist also kein Automatismus,
sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die
Vertraulichkeit der Daten.
Mythos 10: Jeder muss jetzt einen Datenschutzbeauftragten haben!
Realität: Nein!
• https://dsgvo-gesetz.de/bdsg-neu/
§ 38 BDSG (neu)Datenschutzbeauftragte nichtöffentlicher Stellen
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU)
2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine
Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der
Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der
Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-
Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen,
oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der
Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder
Meinungsforschung, haben sie unabhängig von der Anzahl der mit der
Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen
Datenschutzbeauftragten zu benennen.
IS
IS
Management des Datenschutzes
Organisation
&
Prozesse
Personalschulung
&
Awareness
ComplianceSichere
IT-Landschaft
Einordnung Datenschutz
VerfügbarkeitVertraulichkeit Integrität
IS
IS
Bereitschaft
Bewusstsein
Klare
Vorgaben
Gelebter
Datenschutz
Von der Geschäftsleitung…
…bis zum Praktikanten
Datenschutz braucht Commitment
Aufbau von Strukturen und Prozessen
Notwendig vor Allem zur Erfüllung der Rechenschafts- bzw. Nachweispflicht:
• Nachweis über Einhaltung der Grundsätze der Datenverarbeitung
– (Art. 5 Abs. 2)
• Nachweis über korrekt eingeholte und vorhandene Einwilligungen
– (Art. 12)
• Nachweis über Anwendung technischer und organisatorischer Maßnahmen
– (Art. 24)
• Nachweis über Verarbeitung personenbezogener Daten durch Verzeichnis aller Verarbeitungstätigkeiten
• Nachweis über erfolgte DS-Folgeabschätzungen (bei voraussichtlich hohem Risiko)
Datenschutz
„Nur so viele Daten
wie unbedingt nötig“
Flexibilität
Schnelllebiger Markt
Dynamik
Serviceorientierung
„So viel Daten wie
möglich“
Prozesssteuerung
Nachweisbarkeit
Dokumentation
Der schmale Grat
„Open Doors“
Unbürokratische
Entscheidungen
Klare Organisation
Klare Verantwortlichkeiten
Feste Entscheidungswege
Wertschöpfungskette „am Kunden“
Information bei Datenerhebung
• Informationspflicht zum Zeitpunkt der Erhebung der Daten
– Namen und Kontaktdaten des Verantwortlichen
– Kontaktdaten des DSB
– Zwecke der Verarbeitung
– Rechtsgrundlage der Verarbeitung
Wenn Verarbeitung aufgrund berechtigter Interessen: Angabe der Interessen
– Empfänger der Daten
– ggf. Übermittlung an ein Drittland und Grundlage der Zulässigkeit
Information bei Datenerhebung
• Zusätzlich bereitzustellende Informationen (z.B. auf der Homepage)
– Dauer der Speicherung bzw. Kriterien zur Bestimmung dieser
– Aufklärung über Rechtsansprüche: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Widerrufsrecht, Beschwerderecht bei der Aufsichtsbehörde und Recht auf Datenübertragbarkeit
– ggf. Erforderlichkeit der Bereitstellung der Daten aufgrund eines Gesetzes oder zur Erfüllung eines Vertrages
– Bei automatischer Entscheidungsfindung: Aussagekräftige Informationen über involvierte Logik
Melde- und Benachrichtigungspflichten
• Meldepflicht gegenüber der Aufsichtsbehörde
– Innerhalb von 72 Stunden nach Bekanntwerden
• Benachrichtigungspflicht betroffener Personen
– Wenn voraussichtlich ein hohes Risiko für persönliche Rechte und Freiheiten besteht
– Bei unverhältnismäßigem Aufwand öffentliche Benachrichtigung möglich
• Fehler bei der Umsetzung der Melde- und Benachrichtigungspflichten werden ebenfalls mit Bußgeldern geahndet
Projekt DSMS
Bestands-aufnahme
Schutzbedarffeststellen und Risikenbewerten
Maßnahmenplanerstellen
Maßnahmen abarbeiten
Interne Audits durchführen
Managementsysteme sind Maßanfertigung
Schwachstelle
Bedrohung
Schaden
Risikoorientierter Ansatz
Risiko
Maßnahmen zur Sicherung der Vertraulichkeit
• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Trennung der Daten
• Pseudonymisierung
Maßnahmen zur Sicherung der Integrität
• Weitergabekontrolle
• Eingabekontrolle
Maßnahmen zur Sicherung der Verfügbarkeit
• Verfügbarkeitskontrolle
• Rasche Wiederherstellbarkeit
Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung
• Datenschutz-Management
• Incident-Response-Management
• Auftragskontrolle
Hackingangriff
“Es ist besser, Deiche zu bauen,
als darauf zu hoffen,
dass die Flut allmählich Vernunft annimmt.”
Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor