Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GPW2019 – Mein Jahr mit der DSGVO

GPW2019 – Mein Jahr mit der DSGVO

Im Laufe des vergangenen Jahres hatte ich mehrere Rollen inne, in denen ich auf unterschiedliche Weise Kontakt mit der DSGVO hatte. Von meinen Erfahrungen damit möchte ich hier berichten.

Die Rollen sind:

- Informationssicherheitsbeauftragter eines Auftragsverarbeiters, der Kundenanfragen zu dem Thema beantworten darf.
- Datenschutzbeauftragter eines Sportvereins, der helfen darf, die Anforderungen praxistauglich umzusetzen.
- Blogger, der seine Seite fit machen möchte für die DSGVO, sich daher mit Plugins herumärgern darf und letztlich deswegen gehackt wird.
- Betroffener, der versucht, seine Rechte geltend zu machen und von Spotify seine personenbezogenen Daten haben möchte.

Links:

Gregor Goldbach

March 08, 2019
Tweet

More Decks by Gregor Goldbach

Other Decks in Technology

Transcript

  1. Inhalt Was erzähle ich hier? • Keine Rechtsberatung • Meine

    Erfahrungen mit der DSGVO • Ich hatte mehrere Rollen inne, als ich Bekanntschaft mit der Verordnung gemacht habe • Teilweise kennt ihr diese Rollen
  2. Ziel Warum solltest du mir zuhören? • Erfahrungsbericht aus mehreren

    Blickwinkeln • etwas Fachwissen aus der Verordnung • »geteiltes Leid ist halbes Leid« • die DSGVO ist immer für einen Lacher gut
  3. Überblick • Was ist die DSGVO? • meine Erfahrungen als

    • Informationssicherheitsbeauftragter eines Auftragsverarbeiters • Datenschutzbeauftragter eines Sportvereins • als Blogger Verantwortlicher für die Verarbeitung • Betroffener der Verarbeitung
  4. Gegenstand und Ziele Artikel 1 • Diese Verordnung enthält Vorschriften

    zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. • Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. • Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
  5. Sachlicher Anwendungsbereich Artikel 2 • Diese Verordnung gilt für die

    ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  6. Sachlicher Anwendungsbereich Artikel 2 • Diese Verordnung gilt für die

    ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. • »Dateisystem« ist eine schlechte Übersetzung von »filing system«. • Ablage, Akten, Ordner, Kartons …
  7. Was sind personenbezogene Daten? Artikel 4 „personenbezogene Daten“ [sind] alle

    Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
  8. Was sind personenbezogene Daten? Artikel 4 „personenbezogene Daten“ [sind] alle

    Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online- Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
  9. Grundsätze Artikel 5 • Transparenz • Zweckbindung • Minimierung •

    Richtigkeit • zeitlich begrenztes Speichern (»Recht auf Vergessen«) • Rechenschaftspflicht
  10. Transparenz Artikel 12 • Der Verantwortliche trifft geeignete Maßnahmen, um

    der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.
  11. Transparenz Artikel 12 • Der Verantwortliche trifft geeignete Maßnahmen, um

    der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.
  12. Auftragsverarbeitung • Weisungsgebundene Verarbeitung personenbezogener Daten • Auftraggeber entscheidet über

    Zweck (»Was und warum?«) und Mittel (»Wie?«) • Beispiele: Auslagerung von Verarbeitungen für Personal (Bewerbermanagement, Personalverwaltung) • Gegenbeispiele: Steuerberater, Arztpraxis
  13. Die Rolle des ISB • Kümmert sich aus Sicht der

    Organisation um »CIA« • Vertraulichkeit (»confidentiality«) • Unversehrtheit (»integrity«) • Verfügbarkeit (»availability«) • Früher IT-Sicherheit, jetzt Informationssicherheit: IT ist nur Mittel zum Zweck
  14. ISB gegen DSB • ISB vertritt die Organisation, DSB vertritt

    die Betroffenen • ISB hat »die großen drei« Schutzziele im Blick, DSB hauptsächlich Vertraulichkeit • Aber jetzt haben wir Artikel 32 (Luft holen!)
  15. Sicherheit der Verarbeitung Artikel 32 Unter Berücksichtigung des Stands der

    Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
  16. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  17. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  18. Sicherheit der Verarbeitung Artikel 32 (2) • die Pseudonymisierung und

    Verschlüsselung personenbezogener Daten; • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  19. IS ist Teil von DS
 (laut DSGVO) • Mit Artikel

    32 ist Informationssicherheit Teil von Datenschutz • Es muss alles nachweisbar sein: Dokumentation und Verträge • Jeder Auftraggeber hat eine eigene Sichtweise • Auftragsdatenverarbeitung ist etwas anderes als Auftragsverarbeitung (neu ist z.B. Haftung) • Hilfreich war unsere Zertifizierung nach ISO 27001
  20. »Gegenseite« • Ich habe mich freiwillig gemeldet • Dachverband hat

    Vereine vier Wochen vor Wirksamkeit der DSGVO zur ersten Schulung eingeladen • Mein Eindruck: Vereine, Handwerker, Klein- und Kleinunternehmen fühlen sich von Gesetzgeber, Innungen und Dachverbänden wenig bis gar nicht informiert • Reaktion reicht von Panik bis Tiefenentspannung • Mitgliedschaft in Verein ist einem Vertrag gleichzusetzen
  21. Maßnahmen • Datenschutz ist Chefsache: Vorstandsbeschluss • »Kleine Risikobewertung«: Bedrohung

    von »Rechten und Freiheiten« der Betroffenen im Sportverein sind klein, daher ruhige Umsetzung • Maßnahmen erkennen, beschließen, priorisieren und ruhig umsetzen • Datenschutz wurde bereits 2016 in der Satzung verankert
  22. Unsicherheit: Fotos • »Darf ich noch Fotos machen? Wann? Unter

    welchen Umständen? Von wem?« • »Darf ich die Fotos veröffentlichen? Wo? Brauche ich eine Einwilligung?« • »Warum ist das alles so kompliziert?« • Ist es nicht. DSGVO ist Sekundärrecht, in Deutschland steht das KUG davor. Kurzform: (fast) alles wie vorher. • Aber: Erkläre dies einem Schiedsrichter, der ein Spiel einer Jugendmannschaft nicht anpfeifen will, weil jemand ein Telefon in der Hand hat.
  23. Unsicherheit: Fotos (2) • Es gibt keine verbindliche Aussagen dazu

    und schon gar keine Rechtssprechung • DSGVO wird 2020 überarbeitet • Gesetzgeber überarbeitet Gesetze und Verordnungen und harmonisiert sie mit der DSGVO
  24. Unsicherheit: Veröffentlichung von Ergebnissen • Es gibt keine verbindliche Aussagen

    dazu und schon gar keine Rechtssprechung • Es kann davon ausgegangen werden, dass Teilnehmer von Sportveranstaltungen sich der Veröffentlichung bewusst sind und diese auch wollen
  25. Untersuchungsgegenstand • privat betriebenes Blog auf Grundlage von WordPress •

    Einsatz vieler Plugins, »weil es ging« • … und weil »best practice« suggeriert wurde • Dann kam der April 2018
  26. Reduktion aufs Wesentliche • Plugins durchforsten und abschalten • Kommentare

    mit Gravataren? Speichern von E-Mail- Adressen und IP-Adressen? Mit Zeitstempeln? • Webfonts? Statistiken (Jetpack)? Einbettung von Videos und Karten? Protokollierung? • Mailinglisten? Newsletter? Affiliate-Links? • »Habe ich etwa Webseiten miteinander verbunden?« • Datenschutzerklärung! Auftragsverarbeitungsvertrag!
  27. … der Hack • Ein Plugin, das bei dem DSGVO-konformen

    Betrieb helfen sollte … • … wurde innerhalb kürzester Zeit zur Installation von Root- Shells genutzt. • Mein Blog wurde dann auf eine Pillendreher-Seite umgelenkt • Hoster hat Seite gesperrt • Aufräumarbeiten haben dazu geführt, dass ich nicht mehr veröffentlichen kann
  28. Exkurs: Meldepflichten • Gewisse Ereignisse muss man der Aufsichtsbehörde und

    den Betroffenen melden • Deutlich härter als früher. Hacks kann man nicht mehr hinnehmen und verschweigen, denn es geht um den Schutz der Betroffenen. • Wann ist ein Ereignis ein Vorfall ein Verstoß? Wann tritt die Meldepflicht ein? • Vielleicht helfen hier die Artikel 33 und 34 … • Stichworte: 72 Stunden, Risikobewertung, detaillierte Meldung
  29. Umzug • Weg von WordPress (dynamisch), hin zu Hugo (statisch)

    • Webfonts lokal speichern • Kommentare an Disqus auslagern • die Datenschutzerklärung als Roman
  30. Stand der Technik? • HTTPS ist Stand der Technik •

    Endlich »Let’s Encrypt«-Zertifikat! • Und mein Hoster bietet HSTS per Klick an • Dann fragen wir doch mal https:// webbkoll.dataskydd.net/
  31. Welche Daten hat Spotify? • Anfrage möglich über Homepage, Chat,

    Mail • Binnen 30 Tagen soll ich ein Archiv mit meinen Daten erhalten • Die Mail mit Link kam tatsächlich nach wenigen Tagen • Enthalten war …
  32. Spotify gibt mir … • Meine Abspiel-Historie der letzten drei

    Monate • Wo ist der Rest? Wie werden daraus die Jahresendlisten generiert? • Nicht enthalten sind Infos darüber, wann ich Lieder abgebrochen und übersprungen habe • Das wird nicht alles sein, wo ist der Rest? • Ich bleibe am Ball …