GPW2019 – Mein Jahr mit der DSGVO

Transcript

1. Mein Jahr mit der DSGVO Gregor Goldbach glauschwuff[email protected]

2. Inhalt Was erzähle ich hier? • Keine Rechtsberatung • Meine

   Erfahrungen mit der DSGVO • Ich hatte mehrere Rollen inne, als ich Bekanntschaft mit der Verordnung gemacht habe • Teilweise kennt ihr diese Rollen

3. Ziel Warum solltest du mir zuhören? • Erfahrungsbericht aus mehreren

   Blickwinkeln • etwas Fachwissen aus der Verordnung • »geteiltes Leid ist halbes Leid« • die DSGVO ist immer für einen Lacher gut

4. Überblick • Was ist die DSGVO? • meine Erfahrungen als

   • Informationssicherheitsbeauftragter eines Auftragsverarbeiters • Datenschutzbeauftragter eines Sportvereins • als Blogger Verantwortlicher für die Verarbeitung • Betroffener der Verarbeitung

5. Was ist die DSGVO?

6. Gegenstand und Ziele Artikel 1 • Diese Verordnung enthält Vorschriften

   zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. • Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. • Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

7. Sachlicher Anwendungsbereich Artikel 2 • Diese Verordnung gilt für die

   ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

8. Sachlicher Anwendungsbereich Artikel 2 • Diese Verordnung gilt für die

   ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. • »Dateisystem« ist eine schlechte Übersetzung von »filing system«. • Ablage, Akten, Ordner, Kartons …

9. Was sind personenbezogene Daten? Artikel 4 „personenbezogene Daten“ [sind] alle

   Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

10. Was sind personenbezogene Daten? Artikel 4 „personenbezogene Daten“ [sind] alle

    Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online- Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

11. Grundsätze Artikel 5 • Transparenz • Zweckbindung • Minimierung •

    Richtigkeit • zeitlich begrenztes Speichern (»Recht auf Vergessen«) • Rechenschaftspflicht

12. Transparenz Artikel 12 • Der Verantwortliche trifft geeignete Maßnahmen, um

    der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

13. Transparenz Artikel 12 • Der Verantwortliche trifft geeignete Maßnahmen, um

    der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.

14. Informations- sicherheitsbeauftragter
 eines Auftragsverarbeiters (Art. 24-43)

15. Auftragsverarbeitung • Weisungsgebundene Verarbeitung personenbezogener Daten • Auftraggeber entscheidet über

    Zweck (»Was und warum?«) und Mittel (»Wie?«) • Beispiele: Auslagerung von Verarbeitungen für Personal (Bewerbermanagement, Personalverwaltung) • Gegenbeispiele: Steuerberater, Arztpraxis

16. Die Rolle des ISB • Kümmert sich aus Sicht der

    Organisation um »CIA« • Vertraulichkeit (»confidentiality«) • Unversehrtheit (»integrity«) • Verfügbarkeit (»availability«) • Früher IT-Sicherheit, jetzt Informationssicherheit: IT ist nur Mittel zum Zweck

17. ISB gegen DSB • ISB vertritt die Organisation, DSB vertritt

    die Betroffenen • ISB hat »die großen drei« Schutzziele im Blick, DSB hauptsächlich Vertraulichkeit • Aber jetzt haben wir Artikel 32 (Luft holen!)

18. Sicherheit der Verarbeitung Artikel 32 Unter Berücksichtigung des Stands der

    Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

19. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

20. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

21. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

22. IS ist Teil von DS
 (laut DSGVO) • Mit Artikel

    32 ist Informationssicherheit Teil von Datenschutz • Es muss alles nachweisbar sein: Dokumentation und Verträge • Jeder Auftraggeber hat eine eigene Sichtweise • Auftragsdatenverarbeitung ist etwas anderes als Auftragsverarbeitung (neu ist z.B. Haftung) • Hilfreich war unsere Zertifizierung nach ISO 27001

23. Datenschutz- beauftragter
 eines Sportvereins

24. »Gegenseite« • Ich habe mich freiwillig gemeldet • Dachverband hat

    Vereine vier Wochen vor Wirksamkeit der DSGVO zur ersten Schulung eingeladen • Mein Eindruck: Vereine, Handwerker, Klein- und Kleinunternehmen fühlen sich von Gesetzgeber, Innungen und Dachverbänden wenig bis gar nicht informiert • Reaktion reicht von Panik bis Tiefenentspannung • Mitgliedschaft in Verein ist einem Vertrag gleichzusetzen

25. Maßnahmen • Datenschutz ist Chefsache: Vorstandsbeschluss • »Kleine Risikobewertung«: Bedrohung

    von »Rechten und Freiheiten« der Betroffenen im Sportverein sind klein, daher ruhige Umsetzung • Maßnahmen erkennen, beschließen, priorisieren und ruhig umsetzen • Datenschutz wurde bereits 2016 in der Satzung verankert

26. Unsicherheit: Fotos • »Darf ich noch Fotos machen? Wann? Unter

    welchen Umständen? Von wem?« • »Darf ich die Fotos veröffentlichen? Wo? Brauche ich eine Einwilligung?« • »Warum ist das alles so kompliziert?« • Ist es nicht. DSGVO ist Sekundärrecht, in Deutschland steht das KUG davor. Kurzform: (fast) alles wie vorher. • Aber: Erkläre dies einem Schiedsrichter, der ein Spiel einer Jugendmannschaft nicht anpfeifen will, weil jemand ein Telefon in der Hand hat.

27. Unsicherheit: Fotos (2) • Es gibt keine verbindliche Aussagen dazu

    und schon gar keine Rechtssprechung • DSGVO wird 2020 überarbeitet • Gesetzgeber überarbeitet Gesetze und Verordnungen und harmonisiert sie mit der DSGVO

28. Unsicherheit: Veröffentlichung von Ergebnissen • Es gibt keine verbindliche Aussagen

    dazu und schon gar keine Rechtssprechung • Es kann davon ausgegangen werden, dass Teilnehmer von Sportveranstaltungen sich der Veröffentlichung bewusst sind und diese auch wollen

29. Verantwortlicher
 der Verarbeitung auf meiner Webseite

30. Untersuchungsgegenstand • privat betriebenes Blog auf Grundlage von WordPress •

    Einsatz vieler Plugins, »weil es ging« • … und weil »best practice« suggeriert wurde • Dann kam der April 2018

31. felsenstrand.de vor dem Umzug

32. Reduktion aufs Wesentliche • Plugins durchforsten und abschalten • Kommentare

    mit Gravataren? Speichern von E-Mail- Adressen und IP-Adressen? Mit Zeitstempeln? • Webfonts? Statistiken (Jetpack)? Einbettung von Videos und Karten? Protokollierung? • Mailinglisten? Newsletter? Affiliate-Links? • »Habe ich etwa Webseiten miteinander verbunden?« • Datenschutzerklärung! Auftragsverarbeitungsvertrag!

33. … der Hack • Ein Plugin, das bei dem DSGVO-konformen

    Betrieb helfen sollte … • … wurde innerhalb kürzester Zeit zur Installation von Root- Shells genutzt. • Mein Blog wurde dann auf eine Pillendreher-Seite umgelenkt • Hoster hat Seite gesperrt • Aufräumarbeiten haben dazu geführt, dass ich nicht mehr veröffentlichen kann

34. Exkurs: Meldepflichten • Gewisse Ereignisse muss man der Aufsichtsbehörde und

    den Betroffenen melden • Deutlich härter als früher. Hacks kann man nicht mehr hinnehmen und verschweigen, denn es geht um den Schutz der Betroffenen. • Wann ist ein Ereignis ein Vorfall ein Verstoß? Wann tritt die Meldepflicht ein? • Vielleicht helfen hier die Artikel 33 und 34 … • Stichworte: 72 Stunden, Risikobewertung, detaillierte Meldung

35. Aufsichtsbehörden helfen Hamburg: Data-Breach-Meldungen nach Art. 33 DSGVO

36. Umzug • Weg von WordPress (dynamisch), hin zu Hugo (statisch)

    • Webfonts lokal speichern • Kommentare an Disqus auslagern • die Datenschutzerklärung als Roman

37. felsenstrand.de nach dem Umzug

38. Stand der Technik? • HTTPS ist Stand der Technik •

    Endlich »Let’s Encrypt«-Zertifikat! • Und mein Hoster bietet HSTS per Klick an • Dann fragen wir doch mal https:// webbkoll.dataskydd.net/

39. felsenstrand.de ist schon fast gut …

40. Betroffener

41. Welche Daten hat Spotify? • Anfrage möglich über Homepage, Chat,

    Mail • Binnen 30 Tagen soll ich ein Archiv mit meinen Daten erhalten • Die Mail mit Link kam tatsächlich nach wenigen Tagen • Enthalten war …

42. Auszug meiner Daten von Spotify

43. Spotify gibt mir … • Meine Abspiel-Historie der letzten drei

    Monate • Wo ist der Rest? Wie werden daraus die Jahresendlisten generiert? • Nicht enthalten sind Infos darüber, wann ich Lieder abgebrochen und übersprungen habe • Das wird nicht alles sein, wo ist der Rest? • Ich bleibe am Ball …

44. https://twitter.com/steipete/status/1025024813889478656

45. Danke für eure Aufmerksamkeit! • Fragen? • Anmerkungen? !45