Prof. Dr. Stephan König - Datensicherheit unter der DSGVO
Der Datenschutzbeauftragte der Hochschule Hannover Prof. Dr. Stephan König zeigt, wie die Datensicherheit unter der DSGVO mittels eines risikobasierten Ansatzes gewährleistet werden kann.
Dr. Stephan König Professur für Business Intelligence Datenschutzbeauftragter der Hochschule Hannover stephan.koenig@hs‐hannover.de 2. Hannoverscher Datenschutztag ‐ 16. Januar 2018
ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 2 Agenda
Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. + BDSG Anlage (zu § 9 Satz 1): Zutrittskontrolle, … 3 Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten 4 Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) […] Art. 24 DSGVO Verantwortung des für die Verarbeitung Verantwortlichen 5 Auch: • Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung Art. 32 DSGVO Sicherheit der Verarbeitung 6 Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind. Art. 32 DSGVO Sicherheit der Verarbeitung 7 Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. […] (7) Die Folgenabschätzung enthält zumindest Folgendes: a) […] b) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und c) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Ergänzend: Erwägungsgrund 84 Art. 35 DSGVO Datenschutz‐Folgenabschätzung 8
Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung • zu einer Diskriminierung, einem Identitätsdiebstahl oder ‐betrug, • einem finanziellen Verlust, • einer Rufschädigung, • einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, • der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, • wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, • wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, • und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, • […] 9
Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend sein können. 10 Ergänzend: Erwägungsgrund 76 Risikobewertung Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen. (2) […] (3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken: a) Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), b) […] 11 Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 12 Agenda
Verfügbarkeit, Belastbarkeit) haben weiter Bestand • Bisher (BDSG): Angemessenheit der TOMs Risiko (ISO 27000): Möglichkeit, dass eine vorhandene Bedrohung eine Schwachstelle eines Wertes ausnutzt und dadurch der Institution Schaden zufügen könnte. → Die DSGVO verfolgt einen risikobasierten Ansatz Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen um Sicherheit in der Verarbeitung zu erreichen 13 Was ändert sich? Risikobasierter Ansatz Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
umsetzen • Art des Risikos • Schutzbedarf (BSI‐Standard 100‐2: IT‐Grundschutz Vorgehensweise) • Zweck der Verarbeitung • Stand der Technik (BSI Grundschutz) • Implementierungskosten • Verbleibendes Restrisiko abschätzen • Wenn tragbar (Entscheidung Verantwortlicher): Verarbeitung durchführen • Dokumentation der Maßnahmen als Nachweis für die Aufsichtsbehörde („Rechenschaftspflicht“) • Zertifizierung • Regelmäßige Überprüfung • Restrisiko hoch: Vor Beginn der Verarbeitung Aufsichtsbehörde konsultieren → Risikomanagementsystem Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
Komponente im Gesamtkonzept der DSGVO zur datenschutzkonformen Datenverarbeitung • Formalisierte umfangreiche Risikoanalyse und ‐bewertung • Insbesondere in den in Erwägungsgrund 75 genannten Fällen (Rufschädigung, Gesundheitsdaten, …) 3 Risikostufen • Geringes Risiko („Voraussichtlich nicht zu einem Risiko führend“) (Art. 27 und 33) • Risiko • Hohes Risiko (Art. 34, 35 und 36) Best Practices • ISO 27001: Information Security Management System • ISO 27005: Information Security Risk Management • ISO 31000: Risk Management • BSI Standard 100‐3: Risikoanalyse auf der Basis von IT‐Grundschutz • Standard Datenschutzmodell (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DS‐GVO erfolgt (Art 24 Abs. 1 DS‐GVO)? Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS‐GVO angepasst? • Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt? • Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesserung der Security‐Maßnahmen umgesetzt? • Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz‐ Folgenabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz‐Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet? Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 19 Agenda
(Artikel 32) • Pseudonymisierung, Verschlüsselung • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit • regelmäßigen Überprüfung, Bewertung und Evaluierung der TOMs Allgemein anerkannte Maßnahmenkataloge: IT‐Grundschutz BSI • Risikovermeidung (bspw. durch Beendigung der Verarbeitung bestimmter Daten) • Risikotransfer auf Dritte • Risikoakzeptanz Zertifizierungen, Audits, Managementreviews (u.a. Risikoakzeptanz), Richtlinien zum Risikomanagement Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 25 Agenda
und Bewertungsmaßstäbe vorschlagen • Nachvollziehbarkeit und Reproduzierbarkeit fördern Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
denken Sie im Kontext Datenschutz einmal über folgende Fragen nach: • Was kann schief gehen? • Wie kann es passieren? • Wann kann es passieren? • Was ist die Ursache? • Wie sensibel sind die Daten? • Wie viele Personen sind betroffen? • Wie hoch ist der potentielle Schaden? Bedenken Sie auch, dass es ganz verschiedene Risikoarten gibt: • Rechtliche und organisatorische Risiken • Infrastrukturrisiken • Anwendungsrisiken • Geschäftsprozessrisiken Auf den folgenden Folien erfolgt nun eine Systematisierung der Risikoidentifikation und -analyse. Seite 27 Fragenkatalog: Einstieg
Faktor bei der Eintrittswahrscheinlichkeit von Risiken sind Bedrohungen. Eine Bedrohung ist eine ernste Gefährdung mit der bloßen Möglichkeit, dass ein Schaden am Objekt (hier das personenbezogene Datum) oder ein Eintritt der Gefährdung des angegriffenen Rechtsgutes (Recht auf informationellen Selbstbestimmung) entstehen kann. Beispiele für Bedrohungen: • Unberechtigter Zugriff aufgrund Bequemlichkeit, Neugier, Stalking • Fehlerhafte Dateneingabe, Löschung, Verstöße gegen Zweckbindung • Technische Fehlfunktionen oder Ausfälle • Fehlbedienungen aufgrund der Systemkomplexität (Überforderung) • Spionage, Erpressung, Phishing, Datendiebstahl, Einbruch, Vandalismus • Auftragsdatenverarbeitung durch Dritte • Katastrophen, Zufall Welche (größeren) Bedrohungen gibt es in Ihrer OE/Fakultät? Seite 28 Fragenkatalog: Bedrohungen
eine Schwachstelle ausnutzen und dadurch Schäden verursachen. Schwachstellen sind die in Organisationen vorhandenen organisatorischen, prozessualen, personellen oder systemischen Begebenheiten, die einen potentiellen Zugriff auf Daten ermöglichen. Beispiele für Schwachstellen: • Offene Büros mit offen zugänglichen Daten oder zufälligen Mithörmöglichkeiten • Offene Postfächer oder unversiegelte Postmappen • Unverschlüsselte USB Sticks mit Daten • Einfache Zugriffsmöglichkeiten auf Datenbanken z.B. durch einfache Passwörter, fehlende Bildschirmsperre oder fehlende Festplattenverschlüsslung • Unzureichende Kontrolle, unsorgfältige Auswahl von Partnern (Auftragsdatenverarbeitung) • Unzureichende Sicherungsmöglichkeiten z.B. durch gemeinsam genutzte IT-Infrastruktur (Gemeinschaftsdrucker o.ä.) Welche (größeren) Schwachstellen gibt es in Ihrer OE/Fakultät? Seite 29 Fragenkatalog: Schwachstellen
jeder materielle oder immaterielle Nachteil. Typische potenzielle Schäden: • Der Betroffene selbst wird geschädigt (Beeinträchtigung des informationellen Selbstbestimmungsrechts und mittelbar des Ansehens oder des Vermögens) • Beeinträchtigung der persönlichen Unversehrtheit • Beeinträchtigung der Aufgabenerfüllung • Die HsH erleidet einen finanziellen Schaden (Bußgeld, Schadensersatz, Verlust, Ausfall, Wiederherstellungsaufwand) • Die HsH erleidet einen Nichtvermögensschaden, z.B. Reputationsschäden (Imageschaden, Glaubwürdigkeits- verlust) • Haftung und Sanktionen Welche (größeren) potenziellen Schäden gibt es in Ihrer OE/Fakultät? Seite 30 Fragenkatalog: Schäden (Ausmaß, Eintrittswahrscheinlichkeit)
des Schadens steht meist in direktem Zusammenhang mit der Anzahl der betroffenen Personen und der Sensibilität der Daten (z.B. Ansehensverlust). Zu bedenken ist aber auch der direkte oder indirekte finanzielle Schaden (Z.B. Personalkosten zur Beseitigung entstandener Fehler). Zur Abschätzung der Sensibilität der Daten eignet sich das das Schutzstufenkonzept der Landesbeauftragten für den Datenschutz: Seite 31 Fragenkatalog: Schäden (Ausmaß, Eintrittswahrscheinlichkeit)
wird beeinflusst durch: • Das Missbrauchsinteresse (Interesse Unbefugter, Daten zu missbrauchen: zu löschen, zu manipulieren, unbefugt zu nutzen). Ein hohes Missbrauchsinteresse liegt z.B. vor, wenn durch den Missbrauch von Daten persönliche Bereicherungen möglich erscheinen und Entscheidungsträger erheblich beeinträchtigt werden können (Erpressung, Rache). • Den Aufwand, der notwendig ist, um einen Schaden herbeizuführen. • Die Wahrscheinlichkeit, bei einem Missbrauch entdeckt zu werden. • Die Verarbeitungshäufigkeit (Häufigkeit der Vorgänge, bei denen ein Missbrauch oder eine sonstige Beeinträchtigung möglich ist). Seite 32 Fragenkatalog: Schäden (Ausmaß, Eintrittswahrscheinlichkeit) • Mögliche Klassifizierung der Eintrittswahrscheinlichkeiten in Bezug auf die Gesamtzahl der Geschäftsvorfälle • 0 - 0,1 Prozent: Das Risiko ist infolge der ergriffenen Schutzmaßnahmen sicher ausgeschlossen („ausgeschlossen“). • 0,1 – 2,5 Prozent: Die Wahrscheinlichkeit des Risikoeintritts ist verschwindend gering („alle Paar Jahrzehnte“). • 2,5 – 10 Prozent: Es besteht eine signifikante Wahrscheinlichkeit, dass das Risiko eintreten wird („alle Paar Jahre“). • 10 – 100 Prozent: Die Wahrscheinlichkeit des Risikoeintritts ist so hoch, dass der Eintritt nicht überraschend wäre („mehrmals jährlich“).
Ergebnis: Risikobeschreibung Nun haben Sie alle Informationen zusammen, um die von Ihnen identifizierten und analysierten Risiken tabellarisch zu beschreiben: Name des Risikos Beschreibung der Bedrohung Beschreibung der Schwachstelle Beschreibung der möglichen Schäden Beschreibung des möglichen Schadensausmaßes Einschätzung der Eintrittswahrschein- lichkeit (inkl. Begründung) Kurzbezeich- nung des identifizierten Risikos (bitte möglichst konkret) Eine Bedrohung ist eine ernste Gefährdung mit der bloßen Möglichkeit, dass ein Schaden am Objekt (hier das personenbezogene Datum) oder ein Eintritt der Gefährdung des angegriffenen Rechtsgutes (Recht auf informationellen Selbstbestimmung) entstehen kann. Schwachstellen sind die in Organisationen vorhandenen organisatorischen, prozessualen, personellen oder technischen Begebenheiten, die einen potentiellen Zugriff auf Daten ermöglichen. Schaden ist jeder materielle oder immaterielle Nachteil. Bitte auf realistische Schäden beschränken. Keine konstruierten Extremfälle. Zu schätzen sind die Anzahl der betroffenen Personen und die Schutzstufe der betroffenen Daten. Schätzen Sie ebenso grob den bezifferbaren finanziellen Schaden ab. Von „ausgeschlossen“ bis „mehrmals jährlich“. Die Einschätzung ist zu begründen. Dabei können insbesondere Erfahrungswissen und die ergriffenen Schutzmaßnahmen herangezogen werden.
der Schwachstelle Beschreibung der möglichen Schäden Beschreibung des möglichen Schadens- ausmaßes Einschätzung der Eintrittswahrscheinlichkeit (inkl. Begründung) Ungeschützte Unterlagen von nicht-öffentlichen Gremiensitzungen Unberechtigter Zugriff auf nicht- öffentliche Protokolle und Anlagen von Gremiensitzungen (z.B. Berufungsverfahren) • Verwaltung der Zugriffsrechte auf nichtöffentliche Bereiche der Fakultäts-Fileserver. • Speicherung der Dateien auf lokalen Rechnern. • Aufbewahrung der Unterlagen in Büros. Zugang zu den Dateien bleibt evtl. offen, während die Büros vorübergehend nicht besetzt sind. • Reputations- schäden • Finanzielle Schäden bei Klagen • Schutzstufe D, Existenz (aus Sicht der Bewerber bei Bekanntwerden der Bewerbung z.B. beim derzeitigen Arbeitgeber). • Schutzstufe C, Ansehensverlust (aus Sicht der HsH) Alle paar Jahrzehnte: • Zugriffsbeschränkungen auf dem Fileserver. • Schließregelungen für die Büros. • Alle Beteiligten werden zum sorgfältigen Umgang mit den Daten verpflichtet. Ergebnis: Risikobeschreibung (Fiktives Beispiel) Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
herstellen • Passender Detailgrad der Risiken • Nicht in Detaildiskussionen verlieren • Abgrenzung: Bedrohung <‐> Schwachstelle • Klassifizierung Eintrittswahrscheinlichkeit & Schadensausmaß • Erfordert Expertenwissen • Sorgfalt und Unabhängigkeit der Durchführenden • Einbeziehung IT • Kontinuierliche Verbesserung Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
Fischerhof in Linden‐Süd ein Güterwagen mit Munition. Traurige Bilanz: 12 Tote Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 37 Agenda
Verzeichnis der Verarbeitungstätigkeiten ist der „Dreh‐ und Angelpunkt“ des gesamten Datenschutzmanagements Idee: Ausrichtung der Risikobewertung an den Verarbeitungstätigkeiten Siehe auch: • Risk Assessment & Datenschutz‐Folgenabschätzung. Leitfaden. bitkom 2017 • GDD‐Praxishilfe DS‐GVO V ‐ Verzeichnis von Verarbeitungstätigkeiten. Gesellschaft für Datenschutz und Datensicherheit e.V. Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: […] g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
in Art. 32 (2) genannten Risiken adressieren. Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
Artikel 24: Rechenschafts‐ und Dokumentationspflichten • Strukturierte Dokumentation • Transparenz und rechtliche Absicherung • Nachweis eines angemessenen Schutzniveaus • Aber auch nicht überfrachten • Ggfs. Verweis auf übergreifende TOMs und allgemeines IT‐Sicherheitskonzept Prof. Dr. Stephan König ‐ Datensicherheit unter der DSGVO – ein risikobasierter Ansatz. 2. Hannoverscher Datenschutztag (2018)
sind die neuen gesetzlichen Grundlagen (DSGVO)? 2. Was ändert sich? Was ist zu tun? 3. Wie betreibt man Risikomanagement? 4. Wie kann der DSB den Verantwortlichen unterstützen? 5. Wie lässt sich die Risikobewertung operationalisieren? 44
Dr. Stephan König Professur für Business Intelligence Datenschutzbeauftragter der Hochschule Hannover stephan.koenig@hs‐hannover.de 2. Hannoverscher Datenschutztag ‐ 16. Januar 2018