it-sicherheit und datenschutz im unternehmen sicherheit ...€¦ · it-sicherheit und datenschutz...

76
IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut Eiermann Stellv. Landesbeauftragter / Leiter Bereich Technik Digikon18, 11.6.2018, Mainz

Upload: others

Post on 13-Aug-2020

3 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

IT-Sicherheit und Datenschutz im Unternehmen

Sicherheit der Verarbeitung

nach der Datenschutz-Grundverordnung

Helmut Eiermann

Stellv. Landesbeauftragter / Leiter Bereich Technik

Digikon18, 11.6.2018, Mainz

Page 2: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 2 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Helmut Eiermann

Stellvertretender Landesbeauftragter

für den Datenschutz und die Informationsfreiheit

Leiter Bereich Technik

Postanschrift: Postfach 30 40

55020 Mainz

Büroanschrift: Hintere Bleiche 34

55116 Mainz

Telefon: +49 (6131) 208-2226

Telefax: +49 (6131) 208-2497

E-Mail: [email protected]

Web: www.datenschutz.rlp.de

Page 3: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 3 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Internet - Infrastruktur für Wirtschaft und Gesellschaft

Page 4: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 4 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Industriegesellschaft

Warenflüsse

grenzüberschreitend

global

Informationsgesellschaft

Datenflüsse

grenzüberschreitend

global

Page 5: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 5 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Mai 2016

Bundesdatenschutzgesetz

Verabschiedung

EU DSGVO

25. Mai 2018

In-Kraft-Treten

EU DSGVO

EU Datenschutz-Grundverordnung

Datenschutz-Grundverordnung

Bundesdatenschutzgesetz-neu

Page 6: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 6 Eiermann

Sicherheit der Verarbeitung nach DSGVO

EU Richtlinie 95/46/EG „Datenschutzrichtlinie“

Harmonisierung durch

Festlegung eines Rahmens

Ausfüllen durch nationale

Regelungen

6

28 nationale Datenschutz-

gesetze

Page 7: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 7 Eiermann

Sicherheit der Verarbeitung nach DSGVO

EU Verordnung 2016/679 „Datenschutzverordnung“

Einheitliche Regelungen

Öffnungsklauseln

(mit Vorbehalt)

7

Page 8: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 8 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Einheitliche Regeln für den digitalen Binnenmarkt

(Ziele: Datenschutz + freier Datenverkehr)

• Beitrag zu gleichen Wettbewerbsbedingungen

• Marktortprinzip (Marktangebot/EU Datenschutz)

• One-Stop-Shop-Prinzip ( ein Ansprechpartner)

• Kohärenzmechanismen (eine Auffassung)

• Unmittelbare Geltung ( eine Regelung)

Prinzipien

Page 9: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 9 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Digitalisierung der Wirtschaft unterliegt Regeln

• Datenverarbeitung im eigenen Unternehmen kennen

• Nachholbedarf schon nach bisherigem Recht?

• Errichtung eines angemessenen Managements der

Datenverarbeitung im Unternehmen

– Risiko-basierter Ansatz

• Selbstregulierung der Verantwortlichen

Prinzipien

Page 10: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 10 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Allgemeine Grundsätze, Art. 5

– Richtigkeit, Zweckbindung, Datensparsamkeit

• Datenschutz bei der Gestaltung der Produkte,

Dienstleistungen usw.

– Privacy by design

• Datenschutzfreundliche Voreinstellungen

– Privacy by default

Prinzipien

Page 11: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 11 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Pflichten gegenüber dem Einzelnen

– Information, Art. 13, 14

– Zweckänderung, Art. 14 Abs. 4

– Datenportabilität, Art. 20

• Kooperations- und Mitwirkungspflichten zur

Ermöglichung der Kontrolle

– Meldepflicht mit Fristen, Art. 33

Möglichst 72 Stunden

– Verzeichnis von Verarbeitungstätigkeiten, Art. 30

Prinzipien

Page 12: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 12 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Datensicherheit

– Vorkehrungen gegen Hacking, Cyber Crime,

Wirtschaftsspionage

• Verschlüsselung

• Pseudonymisierung

Prinzipien

Page 13: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 13 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Risikobasierter Ansatz

• Datenschutzfolgenabschätzung, Art. 35

– Hohes Risiko der Rechtsverletzung

• Datenschutzmanagementsystem, Art. 32 (1) d

• Rechenschaftspflicht, Art. 5 (2)

• Verhaltensregeln, Art. 40

• Datenschutzbeauftragte, Art. 37

• Datenschutz im wirtschaftlichen Wettbewerb

– Akkreditierung, Art. 41

– Gütesiegel, Art. 42

– Zertifizierung, Art. 42, 43

Instrumentarium

Page 14: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 14 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Aufgaben und Befugnisse des LfDI

• Überwachung, Kontrolle, Aufsicht, Durchsetzung,

Beratung

• Akkreditierung, Genehmigung

• Zusammenarbeit

• Unterstützung des Einzelnen, Beschwerden

• Unterstützung der Wirtschaft

• Aufklärung, Information, Sensibilisierung

Page 15: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 15 Eiermann

Sicherheit der Verarbeitung nach DSGVO

datenschutz.rlp.de

Page 16: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 16 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Untersuchungs- und Prüfungsrechte,

Betretungs- und Auskunftsrechte (Art.58 DSGVO)

• Abhilfebefugnisse (Art. 58 Abs. 2)

– z.B. Anweisung, Untersagung

• Sanktionen (Art. 83, 84 i.V.m. § 42, 43 BDSG-neu)

- z.B. Verwarnung, Bußgeld

Exekutive Möglichkeiten

Aufgaben und Befugnisse des LfDI

Page 17: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 17 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• RLP: ca. 160.000 Unternehmen

• Ca. 2.000 Verwaltungen

Aufgaben und Befugnisse des LfDI

165.000 zu kontrollierende

Stellen

220 Arbeitstage/Jahr

1 Kontrolle/Tag

________________

750 Jahre

Page 18: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 18 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Quelle: www.pwc.de/de/compliance

Aufgaben und Befugnisse des LfDI

Page 19: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 19 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Eingabe-“Risiko“

• Bußgeldrisiko

Aber ...

Aufgaben und Befugnisse des LfDI

Page 20: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 20 Eiermann

Sicherheit der Verarbeitung nach DSGVO

• Art. 83 – Geldbußen

– Abs. 1: Wirksamkeit

– Abs. 2: Verhältnismäßigkeit

– Abs. 4: 10 000 000 Euro, 2 % des Umsatzes

– Abs. 5, 6: 20 000 000 Euro, 4 % des Umsatzes

• Weltweit erzielter Jahresumsatz des vergangenen

Geschäftsjahres

Bußgelder

Aufgaben und Befugnisse des LfDI

Bußgelder: Wirksam, verhältnismäßig + abschreckend

(Art. 83 DSGVO)

Page 21: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 21 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Kooperation der Aufsichtsbehörden

• One-Stop-Shop

• Kohärenzverfahren, Art. 60 ff.

• Federführende/ betroffene Aufsichtsbehörde

– Hauptniederlassung, Art. 4 Ziff. 16

Verfahren

Page 22: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 22 Eiermann

Sicherheit der Verarbeitung nach DSGVO

X

federführende AB

betroffene AB

Art. 4 Nr. 23

Datenverarbeitung in

einem Mitgliedsstaat mit

Auswirkungen auf

Betroffenene in anderen

Mitgliedsstaaten

Page 23: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 23 Eiermann

Sicherheit der Verarbeitung nach DSGVO

X

federführende AB

betroffene AB

Niederlassung

Hauptniederlassung

Art. 4 Nr. 23

Datenverarbeitung in

mehreren

Mitgliedsstaaten

Page 24: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 24 Eiermann

Sicherheit der Verarbeitung nach DSGVO

X

federführende AB

betroffene AB

Ansprechpartner

Außereuropäische

Anbieter

Page 25: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 25 Eiermann

Sicherheit der Verarbeitung nach DSGVO

X

federführende AB

betroffene AB

Hauptniederlassung

Beschwerdeführer

Eingabe/Beschwerde

von Betroffenen

Page 26: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 26 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Kooperation der Aufsichtsbehörden

Page 27: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 27 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Mai 2016

Bundesdatenschutzgesetz

Verabschiedung

EU DSGVO

25. Mai 2018

In-Kraft-Treten

EU DSGVO

EU Datenschutz-Grundverordnung

Datenschutz-Grundverordnung

Bundesdatenschutzgesetz-neu

Page 28: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 28 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.techconsult.de/it-security/der-security-aufschwung-

laesst-auf-sich-warten

Page 29: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 29 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Verhältnis Aufsichtsbehörde/Wirtschaft

• Datenschutz als Wettbewerbsvorteil

• Datenschutz als Chance im Rahmen der Digitalisierung

• Zusammenarbeitsverpflichtungen

• Zusammenarbeitsoptionen

• Gemeinsame Anstrengungen zum Grundrechtsschutz

…aber

Page 30: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 30 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Materialwirtschaft

Produktion

Finanz- und Rechnungswesen

Controlling

Personalwirtschaft

Forschung und Entwicklung

Verkauf und Marketing

Stammdatenverwaltung

Produktdatenmanagement

Dokumentenmanagement

Digitale

Unternehmenswerte

Page 31: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 31 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Unternehmen

Lieferanten IT-Dienstleister

Kunden Joint Venture

Unternehmen

Konzern

unternehmen Call Center

Geschäftspartner

Digitale

Unterehmens-

werte

Page 32: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 32 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.golem.de/0903/66215.html

Page 33: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 33 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.faz.net/aktuell/wirtschaft/unternehmen/datenpanne-telekom-stellt-strafanzeige-

gegen-vertriebspartner-1868281.html

Page 34: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 34 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.aerzteblatt.de/nachrichten/40040/Datenpanne-bei-BBK-Gesundheit

Page 35: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 35 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Individuelle Datenverarbeitung

mobile Datenverarbeitung

mobile Datenverarbeitung

+ Internet

Individuelle Datenverarbeitung

+ Internet

Cloud

Computing

IT-Entwicklung – Der Wandel

Location Based Services

Ubiquitous Computing

Smart Home/Car/Metering ...

RFID, VR, …

Big Data

Autonome Systeme

...

Page 36: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 36 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.techconsult.de/it-security/der-security-aufschwung-

laesst-auf-sich-warten

Page 37: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 37 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Sicherheitsvorfälle

http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf

Page 38: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 38 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Anmeldeaufforderung .HTACCESS

Page 39: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 39 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Tool-Unterstützung ...

... für eine beliebige

Kennung mit einem

beliebigem Passwort

(Brute Force)

Page 40: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 40 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Tool-Unterstützung ...

... für vorgewählte

Kennungen in einer

Datei mit einem

beliebigem Passwort

(Wörterbuchattacke)

z.B.

admin

administrator

system

sa

nimda

service

lvarp

test

...

Page 41: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 41 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Web-Anwendung

Page 42: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 42 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Web-Anwendung

Page 43: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 43 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Dahinter stehende SQL-Anweisung:

select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘

Web-Anwendung

Page 44: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 44 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Dahinter stehende SQL-Anweisung:

select ... from ... where name=‘ ... ‘ and passwd=‘ ...‘

Benutzereingabe führt zu:

select ... from ... where name=‘4711‘ or ‘1=1‘

Web-Anwendung

Page 45: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 45 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Anmeldung ohne

gültige

Benutzerkennung

oder Passwort war

möglich

Zeitaufwand ca. 5 sec

Web-Anwendung

Page 46: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 46 Eiermann

Sicherheit der Verarbeitung nach DSGVO

„Wir finden Dich …“

... admin.asp, admin.js, admin.html

... login.asp, login.js, login.html

... anmeldung.asp, anmeldung.js, anmeldung.html

Page 47: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 47 Eiermann

Sicherheit der Verarbeitung nach DSGVO

“Hackers Google”

Page 48: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 48 Eiermann

Sicherheit der Verarbeitung nach DSGVO

“Hackers Google”

Page 49: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 49 Eiermann

Sicherheit der Verarbeitung nach DSGVO

“Hackers Google”

Page 50: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 50 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Sicherheit der Verarbeitung

Page 51: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 51 Eiermann

Sicherheit der Verarbeitung nach DSGVO

http://www-01.ibm.com/common/ssi/cgi-

bin/ssialias?subtype=WH&infotype=SA&htmlfid=SEW03059DEEN&attach

ment=SEW03059DEEN.PDF

Sicherheit der Verarbeitung

Page 52: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 52 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Künftige Anforderungen der DS-GVO

Sicherheit der Verarbeitung

Page 53: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 53 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Gesetzliche Vorgaben für den

technisch-organisatorischen Datenschutz

heute

§ 9 BDSG + Anlage:

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Datentrennung

§ 3a BDSG:

Datenvermeidung

Datensparsamkeit

Anonymisierung/Pseudonymisierung

ab 25. Mai 2018

Art. 25 DS-GVO Datenschutz durch Technik:

Art. 32 DS-GVO Sicherheit der Verarbeitung:

Art. 5 DS-GVO Grundsätze:

Datenminimierung

Speicherbegrenzung

Rechenschaftspflicht (Dokumentation)

… sind an dem Ziel

auszurichten …

… müssen …

Privacy by Design (Gestaltung)

Privacy by Default (Voreinstellungen)

Integrität, Vertraulichkeit, Verfügbarkeit

Risikobewertung

Pseudonymisierung/Verschlüsselung

Regelmäßige Evaluation

(Datenschutzmanagement)

Art. 30 DS-GVO Verarbeitungsverzeichnis

§ 4e/g BDSG Verfahrensverzeichnis

Page 54: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 54 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Datenschutz

Art. 32 Sicherheit der Verarbeitung

IT-Sicherheit

Verfügbarkeit

Vertraulichkeit

Integrität

Auf Maßnahmen und Methoden der IT-Sicherheit

kann bei der Sicherheit der Verarbeitung nach der

DS-GVO zurückgegriffen werden

Technisch-organisatorischer Datenschutz

Page 55: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 55 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Verfügbarkeit

Vertraulichkeit

Integrität

IT-Grundschutz-

Kompendium

www.bsi.de

Risikoanalyse

Sicherheitskonzept

Sicherheitsmanagement

Art. 32 Sicherheit der Verarbeitung

Art. 32 DS-GVO Sicherheit der Verarbeitung:

Integrität, Vertraulichkeit, Verfügbarkeit

Risikobewertung

Pseudonymisierung/Verschlüsselung

Regelmäßige Evaluation

(Datenschutzmanagement)

Rechenschaftspflicht (Dokumentation)

Art. 5 DS-GVO Grundsätze:

IT-Grundschutz:

Page 56: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 56 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Risikoanalyse / Sicherheitskonzept

Sicherheit der Verarbeitung

Page 57: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 57 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 DS-GVO Sicherheit der Verarbeitung:

Integrität, Vertraulichkeit, Verfügbarkeit

Risikobewertung

Pseudonymisierung/Verschlüsselung

Regelmäßige Evaluation

(Datenschutzmanagement)

Art. 25, 32, 35 Risikobewertung

Page 58: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 58 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 DS-GVO Sicherheit der Verarbeitung:

Integrität, Vertraulichkeit, Verfügbarkeit

Risikobewertung

Pseudonymisierung/Verschlüsselung

Regelmäßige Evaluation

(Datenschutzmanagement)

Risiko?

Art. 35 DS-GVO Datenschutz-Folgenabschätzung

Art. 25, 32 Risikobewertung

voraussichtlich

Page 59: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 59 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Bewertung / Scoring

Kernpunkte WP 248

9 Kriterien für ein voraussichtlich hohes Risiko:

Automatisierte Entscheidungen

Systematische Überwachung

Sensible Daten (Art. 9, 10 DS-GVO)

Umfangreiche Verarbeitung

Zahl Betroffener

Datenumfang

Dauer der Verarbeitung/Speicherung

Geografische Reichweite

https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/wp248rev01_de.pdf

Page 60: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 60 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Verknüpfung von Datenbeständen,

die zu unterschiedlichen Zwecken

erhoben wurden

Kernpunkte WP 248

Kriterien für ein voraussichtlich hohes Risiko:

Verarbeitung von Daten schutz-

bedürftiger/abhängiger Personen

(z.B. Beschäftigte, Patienten, Alte,

Schutzsuchende)

Innovative Verarbeitungstechniken

(z.B. Gesichtserkennung, -analyse)

Hinderung an Rechtsausübung, Nutzung

einer Dienstleistung oder Vertragsdurch-

führung (z.B. Auskunfteien)

Bei 2 zutreffenden Kriterien:

DSFA

Page 61: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 61 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 DS-GVO Sicherheit der Verarbeitung:

Integrität, Vertraulichkeit, Verfügbarkeit

Risikobewertung

Pseudonymisierung/Verschlüsselung

Regelmäßige Evaluation

(Datenschutzmanagement)

Risiko?

Art. 35 DS-GVO Datenschutz-Folgenabschätzung

Normaler Schutzbedarf

(pauschalisierte Risiken)

Art. 25, 32 Risikobewertung

voraussichtlich

Page 62: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 62 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Elementare Gefährdungen

www.bsi.de

Verfügbarkeit

Vertraulichkeit

Integrität

Page 63: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 63 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Bausteine + Umsetzungshinweise

www.bsi.de

Elementare Gefährdungen

Page 64: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 64 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Bausteine + Umsetzungshinweise

www.bsi.de

Elementare Gefährdungen

Maßnahmen

Page 65: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 65 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 83 Bußgelder bei Defiziten bei der

Sicherheit der Verarbeitung

Art. 32 Sicherheit der Verarbeitung

Page 66: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 66 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Datenschutzmanagement

Sicherheit der Verarbeitung

Page 67: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 67 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 Datenschutzmanagement

Verfahren zur regelmäßigen

Überprüfung, Bewertung und

Evaluierung der Maßnahmen

zur Sicherheit der Verarbeitung.

Page 68: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 68 Eiermann

Sicherheit der Verarbeitung nach DSGVO

BSI Standard 200-1 IT-Sicherheitsmanagement ISO 27001

Verfahren nach Art 32 (2) Buchst. d) DS-GVO

Sicherheit der Verarbeitung nach DS-GVO

Die Methodik der ISO 27001 kann übernommen werden

Page 69: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 69 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 Datenschutzmanagement

Leitungsvorgaben

Vearbeitungsverzeichnis

Risikoanalyse

Maßnahmen/Dokumentation

Verantwortlichkeiten

Ressourcen

Umsetzung

Evaluation/Anpassung

Page 70: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 70 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Art. 32 Datenschutzmanagement

IT-Grundschutzkompendium: Sicherheitsmanagement

Page 71: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 71 Eiermann

Sicherheit der Verarbeitung nach DSGVO

DS-GVO 25.5.18

Umsetzung Art. 32 Sicherheit der Verarbeitung

BDSG heute

Verarbeitungsverzeichnis

Risikoanalyse

Sicherheitskonzept

Datenschutzmanagement

DSFA

Page 72: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 72 Eiermann

Sicherheit der Verarbeitung nach DSGVO

datenschutz.rlp.de

Page 73: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 73 Eiermann

Sicherheit der Verarbeitung nach DSGVO

datenschutz.rlp.de

Page 74: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 74 Eiermann

Sicherheit der Verarbeitung nach DSGVO

datenschutz.rlp.de

Page 75: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 75 Eiermann

Sicherheit der Verarbeitung nach DSGVO www.datenschutz.rlp.de

Page 76: IT-Sicherheit und Datenschutz im Unternehmen Sicherheit ...€¦ · IT-Sicherheit und Datenschutz im Unternehmen Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung Helmut

Folie: 76 Eiermann

Sicherheit der Verarbeitung nach DSGVO

Helmut Eiermann

Stellvertretender Landesbeauftragter

für den Datenschutz und die Informationsfreiheit

Leiter Bereich Technik

Postanschrift: Postfach 30 40

55020 Mainz

Büroanschrift: Hintere Bleiche 34

55116 Mainz

Telefon: +49 (6131) 208-2226

Telefax: +49 (6131) 208-2497

E-Mail: [email protected]

Web: www.datenschutz.rlp.de