vorlesung datenschutz in der informationsgesellschaft (dig) · gradually the scope of these legal...
TRANSCRIPT
1
Vorlesung
Datenschutz in der Informationsgesellschaft (DIG)
Prof. Dr. Hannes Federrath
Sicherheit in verteilten Systemen (SVS)
http://svs.informatik.uni-hamburg.de
DIG
15
.03
.2021
2
Wegweiser durch die Vorlesung
§ Ursprünge und Herleitung des Datenschutzes
§ Grundlagen zur EU-Datenschutzgrundverordnung
– Gegenstand, Anwendungsbereich, Begriffsbestimmungen (Art. 1 bis 4 DSGVO)
– Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
– Grundsätze, Rechtmäßigkeit, Einwilligung (Art. 5 bis 8 DSGVO)
§ Aufgaben des Datenschutzmanagements
– Informationspflichten und Rechte der Betroffenen (Art. 12 bis 22 DSGVO)
– Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten (Art. 28-30 DSGVO)
– Datenschutzbeauftragter (Art. 37 bis 39 DSGVO)
– Meldung von Verletzungen (Art. 33, 34 DSGVO)
§ Technischer Datenschutz
– Datenschutz-Folgenabschätzung (Art. 35, 36 DSGVO)
– Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
– Sicherheit der Verarbeitung (Art. 32 DSGVO)
Die bereitgestellten Kursmaterialen dienen ausschließlich dem persönlichen Gebrauch. Die Veröffentlichung, Vervielfältigung, Verbreitung oder Weitergabe, auch
auszugsweise, ist nur mit schriftlicher Genehmigung des Verfassers erlaubt.
DIG
15
.03
.2021
3
Schutz der Privatsphäre und der Vertraulichkeit
Eigenschaft einer Information, nur für einen beschränkten Empfängerkreis vorgesehen zu sein; unkontrollierte Weitergabe und Veröffentlichung ist nicht erwünscht
Beispiele:
400 v. Chr.
Eid des Hippokrates,
Ärztliche Schweigepflicht
Beicht-geheimnis,Johannes Nepomuk
14. Jh. 18. Jh.
Post- und Briefgeheimnis, the right to bele(f)t alone
20. Jh.
Fernmelde- und Telekommunika-tionsgeheimnis,Sozialgeheimnis
Europäische Menschenrechts-konvention, EU-Grundrechtecharta
DIG
15
.03
.2021
4
Ärztliche Schweigepflicht
§ Eid des Hippokrates, ca. 400 v. Chr.
– Was ich bei der Behandlung oder auch außerhalb meiner Praxis im Umgang mit Menschen sehe und höre, das man nicht weiterreden darf, werde ich verschweigen und als Geheimnis bewahren.
– https://www.aerzteblatt.de/archiv/52441/Medizingeschichte(n)-Medizinische-Ethik-Der-Eid-des-Hippokrates
§ § 203 Abs.1 Strafgesetzbuch
– Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als … [Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
– http://www.gesetze-im-internet.de/stgb/__203.html
Manuskript aus dem 12. JahrhundertBildquelle: https://de.wikipedia.org/wiki/Datei:HippocraticOath.jpg
DIG
15
.03
.2021
5
Johannes Nepomuk (1350-1393)
Johannes Nepomuk gilt als Patron des Beichtgeheimnisses.
»Nach der Legende, die zur späteren Heiligsprechung des Johannes Nepomuk führte, entsprang sein Streit mit dem König nicht dem kirchenpolitischen Konflikt, sondern seiner Weigerung, das Beichtgeheimnis zu brechen. Demnach habe der Priester dem König nicht preisgeben wollen, was dessen von Wenzel der Untreue verdächtigte Frau ihm anvertraut hatte. Deshalb habe Wenzel ihn foltern und anschließend von der Prager Karlsbrücke ins Wasser stürzen lassen.«
https://de.wikipedia.org/wiki/Johannes_Nepomuk
Johannes Nepomuk auf der Prager KarlsbrückeBildquelle: https://de.wikipedia.org/wiki/Datei:Jan_Nepomucky_na_Karlove_moste.jpg
DIG
15
.03
.2021
6
»Appification« – Petras smarter Tagesablauf
7 Uhr:
§ Petra wacht auf.
§ Petra hat Kaffee gekocht.
§ Petra geht ins Bad.
8 Uhr:
§ Die Tochter geht zur Schule.
§ Die Haustür wird abgeschlossen.
§ Lampen noch schnell ausmachen…
17 Uhr:
§ Mutter: »Alexa, spiel meine Musik«
§ Tochter spielt, Puppe »Cayla« passt auf
§ Boden wird gesaugt
20 Uhr:
§ Fernsehzeit am Smart TV
§ App überwacht Schlafrhythmus
§ App macht Kaffee vom Bett aus
§ Smarte Zahnbürste für gesunde Zähne
§ GPS-Tracker schützt die Tochter
§ Smartes Türschloss für mehr Sicherheit
§ App zur Lampensteuerung übers Internet
§ Amazon kennt meine Vorlieben
§ Smartes Spielzeug überwacht Kinder
§ Smarter Saugroboter findet vermissten Schmuck wieder
§ Hersteller weiß, welche Sender ich schaue
DIG
15
.03
.2021
https://itunes.apple.com/de/app/sleep-cycle-wecker-tracker/
🕖 7 Uhr
§ Petra wacht auf.
DIG
15
.03
.2021
https://at.jura.com/de/produkte-professional/zubehoer/JOE
🕖 7 Uhr
§ Petra wacht auf.
§ Petra hat Kaffee gekocht.
DIG
15
.03
.2021
🕖 7 Uhr
§ Petra wacht auf.
§ Petra hat Kaffee gekocht.
§ Petra geht ins Bad.
https://de.dhgate.com/product/xiaomi-mijia-toothbrush-soocare-x3-soocas/435487245.html
DIG
15
.03
.2021
https://schutzranzen.com
🕗 8 Uhr
§ Die Tochter geht zur Schule.
DIG
15
.03
.2021
https://www.burg.biz/p/tuerschlosselektronik/tse-secuentry-easy/key-app/
🕗 8 Uhr
§ Die Tochter geht zur Schule.
§ Die Haustür wird abgeschlossen.
DIG
15
.03
.2021
Bilder: Philips Hue
🕗 8 Uhr
§ Die Tochter geht zur Schule.
§ Die Haustür wird abgeschlossen.
§ Lampen noch schnell ausmachen…
DIG
15
.03
.2021
Bilder: Amazon, https://www.trendsderzukunft.de/my-friend-cayla-die-intelligente-puppe-im-test/, Samsung
🕔 17 Uhr
§ Mutter: »Alexa, spiel meine Musik«
§ Tochter spielt, Puppe »Cayla« passt auf
§ Smarter Saugroboter findet vermisste Kette wieder
DIG
15
.03
.2021
DIG
15
.03
.2021
Bild: Samsung
🕗 20 Uhr
§ Fernsehzeit am Smart TV
DIG
15
.03
.2021
Bilder: usbwine.com
🕗 20 Uhr
§ und gerne ein Glas Wein mit USB Wine
DIG
15
.03
.2021
Warum sind Facebook,
Twitter, Instagram,
Google etc. kostenlos?
https://www.heise.de/-5077251
https://www.zeit.de/wirtschaft/2011-01/werbung-internet/seite-2
DIG
15
.03
.2021
Mit Werbung wird Geld
verdient!
Wirtschaftskrise im Jahr 2009 aus: https://www.heise.de/-5077251
DIG
15
.03
.2021
DIG
15
.03
.2021
DIG
15
.03
.2021
DIG
15
.03
.2021
DIG
15
.03
.2021
DIG
15
.03
.2021
24
Wie geht das mit der Verkettung?
DIG
15
.03
.2021
25
Profil
Werbung
Wie geht das mit der Verkettung?
Gesundheit
ReiseVersicherung
Bewerbung
Party
Online Shop
Online Shop
Online Shop
DIG
15
.03
.2021
26
Lightbeam (vormals Collusion) visualisiert Abhängigkeiten
Links: Abhängigkeitsgraph Rechts: Browserfenster
Wh.
DIG
15
.03
.2021
28
Brief- und Postgeheimnis
§ Botenordnungen von Fürsten und Städten
– Boten waren eidlich verpflichtet zur Wahrung des Briefgeheimnisses
– hohe Strafandrohungen bei Verletzungen
§ Preußische Postordnung vom 10. August 1712, Kapitel VIII, § 4
– »unterschlagen, erbrechen oder die Aushändigung in fremde Hand« unter Strafe gestellt
– Delinquent hatte entstandenen Schaden zu ersetzen und
– erhielt Strafe von 100 Talern
– im Wiederholungsfalle Entlassung
DIG
15
.03
.2021
29
Brief- und Postgeheimnis
Artikel 10 Abs. 1 Grundgesetz
(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. …
https://www.gesetze-im-internet.de/gg/art_10.html
Bild: https://annaschublog.com/2017/09/19/postgeheimnis-in-deutschland-ausgehebelt/
DIG
15
.03
.2021
htt
ps:
//w
ww
.hei
se.d
e/n
ewst
icke
r/m
eld
un
g/N
SA-u
nd-
XK
eysc
ore
-BN
D-a
ls-
Die
nst
leis
ter-
des
-Ver
fass
un
gssc
hu
tzes
-27
92
70
5.h
tml
DIG
15
.03
.2021
31
The right to be le(f)t alone
Samuel Warren and Louis Brandeis : The Right to Privacy (1890)
»That the individual shall have full protection in person and in property is a principle as old as the common law; but it has been found necessary from time to time to define anew the exact nature and extent of such protection. Political, social, and economic changes entail the recognition of new rights, and the common law, in its eternal youth, grows to meet the new demands of society.
… Gradually the scope of these legal rights broadened; and now the right to life has come to mean the right to enjoy life, – the right to be le(f)t alone.«
DIG
15
.03
.2021
32
Sozialgeheimnis
§ 35 SGB I Sozialgeheimnis
»Jeder hat Anspruch darauf, daß die ihn betreffenden Sozialdaten (§ 67 Abs. 1 Zehntes Buch) von den
Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden (Sozialgeheimnis).
Die Wahrung des Sozialgeheimnisses
umfaßt die Verpflichtung, auch
innerhalb des Leistungsträgers
sicherzustellen, daß die Sozialdaten nur Befugten zugänglich sind oder
nur an diese weitergegeben werden.
Sozialdaten der Beschäftigten und
ihrer Angehörigen dürfen Personen,
die Personalentscheidungen treffen
oder daran mitwirken können,
weder zugänglich sein noch von Zugriffsberechtigten weitergegeben
werden.«
Bild: http://www.karikatur-cartoon.de/bilder/vorschrift.jpg
DIG
15
.03
.2021
33
Europarechtliche Verankerung des Rechts auf Datenschutz
§ Art. 8 Europäische Menschenrechtskonvention (EMRK) vom 4.11.1950:
(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.
(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.
§ Seit den 1970er Jahren leitete der Europäische Gerichtshof für Menschenrechte (EGMR) daraus den grundrechtlichen Schutz personenbezogener Daten ab.
DIG
15
.03
.2021
34
Europarechtliche Verankerung des Rechts auf Datenschutz
§ Verankerung des Rechts auf Datenschutz als eigenes Recht auf Schutz personenbezogener Daten in Artikel 8 EU-Grundrechtecharta – GRCh) vom 18.12.2000 (i.d.F. vom 26.10.2012)
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
DIG
15
.03
.2021
35
Leseempfehlung zur Geschichte des Datenschutzes
Der Bayerische Landesbeauftragte für den Datenschutz: Vom Eid des Hippokrates bis zu Edward Snowden – eine kleine Reise durch 2500 Jahre Datenschutz. 2014
DIG
15
.03
.2021
36
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben.
§ Datenschutz
= Schutz der Menschen
≠ (Schutz der Daten = Datensicherheit)
§ Seit Mai 2018 europaweit einheitlich geregelt über eine EU-Datenschutz-Grundverordnung
Recht auf informationelle Selbstbestimmung
DIG
15
.03
.2021
37
Personenbezogene Daten
Name, Vorname
Geburtsdatum
Telefonnummer
Wohnort
Religionszugehörigkeit
Steuernummer Autokennzeichen
Krankenversicherungs-Nr.
Grundbuch- und
Katasterbezeichnung
Kontonummer
Kreditkarten-Nr.
E-Mail-Adresse
»Personenbezogene Daten sind
Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener).«Def. gemäß § 3 Abs. 1 BDSG
Personenbezogene Daten sind alle
Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden
»betroffene Person«) beziehen. –Def. nach Art. 4 Nr. 1 DSGVO
Geschlecht
DIG
15
.03
.2021
39
Öffentlicher Bereich
Privater
Bereich
Beispiele für Datenübermittlungen
Einwohnermeldeamt
Bürger
(Internet) Service Provider
Kunde
FinanzamtPolizei Private
Dienstleister
Ausland
TOR
JAP/Jondonym
Ich als Mensch muss noch wissen
dürfen, welche mich betreffenden Informationen an welcher Stelle bekannt sind.
Ich muss einschätzen können, welches Wissen meine
Kommunikationspartner über mich haben.
DIG
15
.03
.2021
»Datenschutz? Privatheit? Interessiert mich nicht. Ich habe nichts zu verbergen.«
»Aber warum hat Ihre Toilette eine Tür, wo doch sowieso jeder weiß, was Sie dahinter tun?«
DIG
15
.03
.2021
41
Datenschutzgesetzgebung in Deutschland
§ 1970 Hessisches Datenschutzgesetz
DIG
15
.03
.2021
42
Datenschutzgesetzgebung in Deutschland
§ 1970 Hessisches Datenschutzgesetz
§ 1977 Bundesdatenschutzgesetz
§ 1983 BVerfG: Recht auf informationelle Selbstbestimmung
§ 1984 und Folgejahre diverse bereichsspezifische Datenschutzbestimmungen
§ 2008 BVerfG: Neues Computergrundrecht
§ 2016 EU-DSGVO (wirksam seit 25. Mai 2018)
§ 2017 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) mit Neuregelung des BDSG https://www.gesetze-im-internet.de/bdsg_2018/index.html
§ 2018 Datenschutz-Anpassungsgesetz 2018 (2. DSAnpUG-EU) https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2018/dsanpug.pdf;jsessionid=A250D36F41A80F0321F354195365D87D.2_cid373?__blob=publicationFile&v=2
DIG
15
.03
.2021
43
Geplante Volkszählung 1983
§ Erfassung aller in Deutschland lebenden Menschen zu statistischen Zwecken (Auskunftspflicht)
§ Hilfsmerkmale (Name, Anschrift, Nr. des Erhebungsbogens, …)
§ Erhebungsmerkmale (Beruf, Bildungsstand, Wohnsituation, …)
§ Rück-Übermittlung der Hilfsmerkmale an die Meldebehörden
§ Bußgeld für Verstöße gegen das Meldegesetz
Verkündung des Volkszählungsurteils am 15. Dezember 1983
§ aufgrund des Volkszählungsurteils erst 1987 modifiziert durchgeführt
DIG
15
.03
.2021
44
Proteste zu den Volkszählungen 1983/1987
DIG
15
.03
.2021
45Bild: https://netzpolitik.org/2013/alles-gute-zum-30-geburtstag-des-volkszaehlungsurteils/
Ausschnitt aus dem Fragebogen von 1987
DIG
15
.03
.2021
46
Recht auf informationelle Selbstbestimmung
»Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den
Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner
persönlichen Daten voraus. …
Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in
bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher
Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich
gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.
Mit dem Recht auf informationelle Selbstbestimmung wäre eine Gesellschaftsordnung nicht vereinbar, in
der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.«
aus dem Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 1 BvR 209/83 Abschnitt C II.1, S. 43
DIG
15
.03
.2021
48
Proteste zur Vorratsdatenspeicherung 2008
https://de.wikipedia.org/wiki/Datei:Freiheit-statt-Angst-Demo-11-Oct-2008.jpgDIG
15
.03
.2021
49
Recht auf informationelle Selbstbestimmung
Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben.
– Recht auf informationelle Selbstbestimmung = Grundrecht
§ Herleitung des Rechts auf informationelle Selbstbestimmung
– aus dem Allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG) durch das Bundesverfassungsgericht im Volkszählungsurteil
§ Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983:
– »Das Grundrecht gewährleistet [...] die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.«
DIG
15
.03
.2021
50
Grundrechtsnormen als Abwehrrechte gegen den Staat
Grundrechtsnormen wurden als Abwehrrechte der Grundrechtsträger gegen den Staat konzipiert.
§ Frage:
– Können Grundrechte auch in der Beziehung Privater untereinander bedeutsam und wirksam sein?
§ Dritt- oder Horizontalwirkung der Grundrechte
– Grundrechtsnormen sind auch »objektiv-rechtlich fundierte Aufträge an den Staat zur näheren Ausgestaltung der Möglichkeit des Freiheitsgebrauchs und zum Freiheitsschutz auch gegenüber Gefährdungen durch Private« (Hoffmann-Riem 2018, S. 28)
siehe auch Urteil des Bundesverfassungsgerichts
vom 15. Januar 1958 1 BvR 400/51
DIG
15
.03
.2021
51
Seit dem 25. Mai 2018 geltendes Datenschutzrecht
§ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Europäische Datenschutz-Grundverordnung – DSGVO)
– nach zweijähriger Übergangszeit seit 25. Mai 2018 wirksam
• löst EU-Datenschutzrichtlinie 95/46/EG ab
• tritt an die Stelle nationaler Gesetze (z.B. BDSG oder LDSGs)
– DSGVO gilt in allen Mitgliedsstaaten unmittelbar
• Harmonisierung der europäischen Datenschutzrechts
• Anwendungsvorrang gegenüber nationalem Recht
– gilt für öffentliche und private Stellen gleichermaßen
§ Öffnungsklauseln erlauben nationale Ausgestaltung und Einschränkung (Art. 23)
– z.B. öffentlicher Bereich, Beschäftigtendatenschutz, nationale Sicherheit
DIG
15
.03
.2021
52
EU-Datenschutzgrundverordnung (DSGVO)
§ Nationale Datenschutzvorschriften (»Öffnungsklauseln«)
– Bundesdatenschutzgesetz in der Fassung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU vom 30. Juni 2017, Zweites DSAnpUG
– Landesdatenschutzgesetze (zwischenzeitlich an DSGVO angepasst)
– bereichsspezifische Vorschriften auf Bundes- und Landesebene (teilweise an DSGVO angepasst)
§ Neue Regeln der DSGVO
– Privacy by Design, Privacy by Default (Art. 25)
– Gewährleistung von Datensicherheit (Art. 32)
– Meldepflicht bei Datenschutzverstößen an Aufsichtsbehörde (Art. 33)
– Datenschutz-Folgenabschätzung vor Verfahrenseinführung (Art. 35)
– Zertifizierung, Einführung von Datenschutzgütesiegeln (Art. 42)
– Strenge Sanktionierung bei Datenschutzverstößen (Art. 83)
• Geldbußen bis zu 4 Prozent des weltweiten Jahresumsatzes
DIG
15
.03
.2021
53
Inhalt und Aufbau der DSGVO – Übersicht (I)
– Gegenstand und Anwendungsbereich (Art. 1 bis 3)
– Begriffsbestimmungen (Art. 4)
– Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
• Rechenschaftspflicht
– Rechtmäßigkeit der Verarbeitung (Art. 6)
– Bedingungen für die Einwilligung; Einwilligung eines Kindes (Art. 7, 8)
– Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
– Informationspflichten und Rechte der Betroffenen (Art. 12 bis 22)
DIG
15
.03
.2021
54
Inhalt und Aufbau der DSGVO – Übersicht (II)
– Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25)
– Auftragsverarbeitung (Art. 28, 29)
– Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
– Sicherheit der Verarbeitung (Art. 32)
– Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33, 34)
– Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörde (Art. 35, 36)
– Datenschutzbeauftragter (Art. 37, 38, 39)
– Unabhängige Aufsichtsbehörden, Aufgaben und Befugnisse (Art. 51-62)
– Kohärenzverfahren, Europäischer Datenschutzausschuss (Art. 63-76)
– Haftung/Recht auf Schadenersatz, Geldbußen, Sanktionen (Art. 82-84)
– Öffnungsklauseln für mitgliedsstaatliche Regelungen (Art. 89ff.)
– Inkrafttreten und Anwendung (Art. 99)
DIG
15
.03
.2021
55
Literaturempfehlungen zur DSGVO
§ Albrecht, Jotzo: Das neue Datenschutzrecht der EU. Nomos, 2017
§ Bundesbeauuragter für den Datenschutz und die Informavonsfreiheit: Datenschutz-Grundverordnung - Bundesdatenschutzgesetz - Texte und Erläuterung. Info 1, Juni 2018
– hwps://www.bfdi.bund.de/SharedDocs/Publikavonen/Infobroschueren/INFO1.html
§ Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) als Auslegungshilfen zur DSGVO
– hwps://www.datenschutzkonferenz-online.de/kurzpapiere.html
§ Bayerisches Landesamt für Datenschutzaufsicht: Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine. C.H.Beck, 2017
§ Landesbeauuragte für Datenschutz und Informavonsfreiheit Nordrhein-Wesxalen: Datenschutz im Verein. 2018
– hwps://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenschutz-im-Verein/Datenschutz-im-Verein.html
DIG
15
.03
.2021
56
Grundlagen zur EU-Datenschutzgrundverordnung
Gegenstand, Anwendungsbereich, Begriffsbestimmungen (Art. 1 bis 4 DSGVO)
Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
Grundsätze, Rechtmäßigkeit, Einwilligung (Art. 5 bis 8 DSGVO)
DIG
15
.03
.2021
57
Für wen gilt das Datenschutzrecht?
§ Definition des »Verantwortlichen« (Art. 4 Nr. 7 DSGVO):
§ Beispiele: Unternehmen, Vereine, Behörden und andere öffentliche Stellen
»die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet […]«
DIG
15
.03
.2021
58
Was versteht man unter »Datenverarbeitung«?
§ Definition der »Verarbeitung« in Art. 4 Nr. 2 DSGVO:
§ Beispiele: Informationsgewinnung durch Gespräche, Beratungen, Dokumentation der Informationen in Akten bzw. elektronische Speicherung etc.
» jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang […] im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.«
DIG
15
.03
.2021
59
Personenbezogene Daten
§ Def. Personenbezogene Daten nach Art. 4 Nr. 1 DSGVO
»Personenbezogene Daten sind alle Informavonen, die sich auf eine idenvfizierte oder idenvfizierbare natürliche Person(im Folgenden ›betroffene Person‹) beziehen. …«
Das Datenschutzrecht schützt nur personenbezogene Daten natürlicher Personen. Andere Daten sind ggf. ebenfalls vertraulich zu behandeln und durch andere Gesetze geschützt.
§ Beispiele für andere schützenswerte Daten
– Betriebs- und Geschäusgeheimnisse
– Staatsgeheimnisse
Name, Vorname Telefonnummer
Religionszugehörigkeit
Steuernummer AutokennzeichenKrankenversicherungs-Nr.
Kontonummer
Kreditkarten-Nr. E-Mail-Adresse
Wohnort
Geburtsdatum
Geschlecht
DIG
15
.03
.2021
60
Natürliche Person
§ Jeder Mensch (Inhaber der Menschenwürde) egal ob deutscher Staatsbürger oder nicht
– Beachte: US Privacy Act (1974) schützt nur US-Bürger und ausländische residents (langfrisvger Aufenthalt), siehe§ 552a(a)2: »the term “individual” means a civzen of the United States or an alien lawfully admiwed for permanent residence« hbps://www.law.cornell.edu/uscode/text/5/552a
§ Kein Schutz für Daten über Verstorbene (siehe auch Erwägungsgrund 27)
– Beachte: Postmortales Persönlichkeitsrecht
– Digitaler Nachlass darf von Erben zugegriffen werden
– Beispiel: Facebook-Account eines verstorbenen Angehörigen
Der Bundesgerichtshofs hat am 12. Juli 2018 entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben des ursprünglichen Kontoberechggten übergeht und diese einen Anspruch gegen den Netzwerkbetreiber auf
Zugang zu dem Konto einschließlich der darin vorgehaltenen Kommunikagonsinhalte haben.
Quelle: Pressemeldung Nr. 115/2018, hbps://gnyurl.com/BGH-115-2018
DIG
15
.03
.2021
Quelle: http://www.spiegel.de/panorama/flugsicherheit-in-deutschland-schwarze-liste-mangelhafter-flugzeuge-bleibt-geheim-a-281535.html
Zitat aus dem Text:
Eine Fluggesellschaft ist eine juristische Person, aber keine natürliche Person.
DIG
15
.03
.2021
62
Juristische Personen
§ Was sind juristische Personen?
– Vereine, Gruppen oder Personengesellschaften
– Staatliche Stellen
§ Daten juristischer Personen sind nicht durch das Datenschutzrecht geschützt.
– einzelne Personen sind in ihrer Funktion in Betrieb oder Verein geschützt
– Schutz von Amtsträgern
• Abwägung zwischen Informationsinteresse/Unterrichtung der Öffentlichkeit und Schutz des persönlichen Lebensbereichs (Beachtung des allgemeinen Persönlichkeitsrechts) notwendig
§ Österreichisches (und schweizerisches) Datenschutzrecht schützt auch juristische Personen
– direkte Anwendbarkeit der DSGVO ausgeschlossen, da sie nur natürliche Personen schützt
– Anwendbarkeit der DSGVO »entsprechenden« Regeln auf juristische Personen ist umstritten
– nationale Regeln erforderlich
DIG
15
.03
.2021
63
Personenbezogene Daten
§ Def. Personenbezogene Daten nach Art. 4 Nr. 1 DSGVO
»Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ›betroffene Person‹) beziehen.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.«
Name, Vorname Telefonnummer
Religionszugehörigkeit
Steuernummer AutokennzeichenKrankenversicherungs-Nr.
Kontonummer
Kreditkarten-Nr. E-Mail-Adresse
Wohnort
Geburtsdatum
Geschlecht
DIG
15
.03
.2021
64
Indirekt identifizierbare natürliche Person
Daten sind auch dann personenbezogen, wenn die Zuordnung zu einer Person nur indirekt vorgenommen werden kann.
– entscheidend ist allein die (realistische) Möglichkeit einer Zuordnung
– Zuordnung über Gruppenzugehörigkeit genügt bereits
– Zuordnung auf Umwegen (Zusatzwissen, Big Data) ist ebenfalls eine realistische Möglichkeit
§ Urteil des EuGH v. 19.10.2016, Az. C-582/14
– Es genügt auch, über rechtliche Mittel zu verfügen, die eine verantwortliche Stelle in die Lage versetzen, die Zuordnung zu einer Person vorzunehmen.
• Hintergrund war: Personenbezug von dynamischen IP-Adressen für Webseitenbetreiber
DIG
15
.03
.2021
65
Indirekt identifizierbare natürliche Person
§ Beispiel: Personenbezug von IP-Adressen
– entscheidend ist der Aufwand zur Herstellung des Personenbezugs
– wenn fehlender Personenbezug:
• keine Anwendbarkeit des Datenschutzrechts
• dürften unbeschränkt gespeichert und übermittelt werden
– Zulässigkeit der Speicherung: Zur Aufrechterhaltung des Dienstes
• 14 Tage sind zu lang und damit nicht angemessen
§ Urteil des EuGH v. 19.10.2016, Az. C-582/14
– Es genügt auch, über rechtliche Mittel zu verfügen, die eine verantwortliche Stelle in die Lage versetzen, die Zuordnung zu einer Person vorzunehmen.
• Hintergrund war: Personenbezug von dynamischen IP-Adressen für Webseitenbetreiber
DIG
15
.03
.2021
66
Idenafizierbarkeit
§ Auszug aus Erwägungsgrund 26 der DSGVO:
»Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. …«
DIG
15
.03
.2021
67
Anonyme Daten
§ Auszug aus Erwägungsgrund 26 der DSGVO:
»Die Grundsätze des Datenschutzes sollten [daher] nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.«
§ Absolute Anonymität
– Daten können unter keinen Umständen mehr zugeordnet werden
§ Faktische Anonymität
– Einzelangaben können nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden
• Datenschutzrecht grundsätzlich nicht anwendbar
• Durch Leistungssteigerung von IT-Verfahren können faktisch anonyme Daten wieder personenbezogen werden!
DIG
15
.03
.2021
68
Pseudonymisierte Daten
§ Art. 4 Nr. 5 DSGVO Pseudonymisierung
»Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informavonen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informavonen gesondert au�ewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer idenvfizierten oder idenvfizierbaren natürlichen Person zugewiesen werden.«
Maßnahmen, die darauf abzielen, eine direkte Zuordnung (ohne Kenntnis einer Zuordnungsregel) zu einem Betroffenen zu unterbinden, ohne dabei in jedem Fall den Personenbezug dabei völlig aufzuheben
DIG
15
.03
.2021
69
Pseudonymisierte Daten
§ Art. 4 Nr. 5 DSGVO Pseudonymisierung
»Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.«
§ Auszug aus Erwägungsgrund 26 der DSGVO:
»Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.«
DIG
15
.03
.2021
70
Besondere Kategorien personenbezogener Daten
§ Personenbezogene Daten über
– rassische und ethnische Herkunft
– politische Meinungen
– religiöse oder weltanschauliche Überzeugungen
– Gewerkschaftszugehörigkeit
– genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
– Gesundheitsdaten
– Daten zum Sexualleben oder der sexuellen Orientierung
§ Grundsätzliches Verbot der Verarbeitung
§ Verarbeitung nur auf Grund besonderer Regelungen (Art. 9 Abs. 2) zulässig
Art. 9 Abs. 1 DSGVO
DIG
15
.03
.2021
71
Besondere Kategorien personenbezogener Daten
13. »genetische Daten« personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. »biometrische Daten« mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. »Gesundheitsdaten« personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheiteiner natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
Art. 4 DSGVO
DIG
15
.03
.2021
72
Grundsätze für die Verarbeitung personenbezogener Daten
§ Art. 5 DSGVO
(1) a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
b) Zweckbindung
c) Datenminimierung
d) Richtigkeit
e) Speicherbegrenzung
f) Integrität und Vertraulichkeit
(2) Rechenschaftspflicht
Art. 5 DSGVO
»Die Zwecke, zu denen personenbezogene Daten verarbeitet werden, sollten eindeuqg und
rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.« (vgl. ErwG 39). Gesetzlich erlaubte Weiterverarbeitung u.a. für wissenscharliche Forschungszwecke und staqsqsche Zwecke wird »nicht als unvereinbar« angesehen
»auf das für die Zwecke notwendige Maß« beschränkt
»nur so lange […], wie es für die Zwecke […] erforderlich ist«; auf das
erforderliche Mindestmaß begrenzen (ErwG 39)
»Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich
und muss dessen Einhaltung nachweisen können«
unrichtige Daten unverzüglich löschen oder berichtigen
Datensicherheit (Art. 32)
DIG
15
.03
.2021
73
Rechtmäßigkeit der Datenverarbeitung: Verbot mit Erlaubnisvorbehalt
§ BVerfG: »Einschränkungen dieses Rechts auf informavonelle Selbstbesvmmung sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. [...]«
§ Grundsatz: »Alles ist verboten, es sei denn, es ist erlaubt.«
Die Datenschutzvorschriuen enthalten nicht Verbote, sondern Befugnisse für die Verarbeitung personenbezogener Daten!
§ Die Verarbeitung personenbezogener Daten ist zulässig, soweit
– diese durch ein Gesetz oder eine andere Rechtsvorschriu erlaubt ist
– oder die betroffene Person eingewilligt hat.
§ Es genügt nicht, dass die Datenverarbeitung für den Zweck lediglich nützlich ist, sie muss erforderlich sein.
Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO)
DIG
15
.03
.2021
74
Treu und Glauben, Transparenzgebot
§ BVerfG im Volkszählungsurteil:
– Jeder Bürger hat das Recht, zu wissen »wer was wann und bei welcher Gelegenheit über ihn weiß.«
§ Art. 5 Abs. 1 lit. a) DSGVO:
– »Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)«
»Rechtsgrundsatz, wonach von jedem ein Verhalten gefordert wird, das von redlich und anständig denkenden Menschen unter gegebenen Umständen an den Tag gelegt würde. […]« (Brockhaus, 2000)
Der Grundsatz der Transparenz setzt voraus, dass alle Informagonen und Mibeilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind (Erwägungsgrund 39 zu Argkel 5 DSGVO).
DIG
15
.03
.2021
75
Rechtmäßigkeit der Datenverarbeitung
§ Art. 6 Abs. 1 DSGVO
a) Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a)
b) Verarbeitung erforderlich für Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b)
c) Verarbeitung erforderlich zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c)
d) Verarbeitung erforderlich, um lebenswichtige Interessen zu schützen (Art. 6 Abs. 1 lit. d)
e) Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e)
f) Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (Art. 6 Abs. 1 lit. f)
Daraus folgt: Art. 6 Abs. 1 lit. b ist nicht geeignet, um Kunden kostenloser Dienste mit ihren Daten bezahlen zu lassen, wenn diese z.B. für Werbezwecke verwendet werden sollen, denn diese Datennutzung ist zur Bereitstellung des kostenlosen Dienstes nicht notwendig.
Einwilligung scheidet ebenfalls aus: Koppelungsverbot (Art. 7 Abs. 4 DSGVO) verbietet, Dienste nur denjenigen Kunden kostenlos anzubieten, die der Nutzung zu Werbezwecken zustimmen.
Datenverarbeitung muss für Erfüllung eines Vertrages
erforderlich sein ®Notwendigkeit eines unmittelbaren Zusammenhangs zwischen Datenverarbeitung und konkretem Zweck des
Schuldverhältnisses
DIG
15
.03
.2021
76
Rechtmäßigkeit der Datenverarbeitung
§ Art. 6 Abs. 1 DSGVO
a) Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a)
b) Verarbeitung erforderlich für Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b)
c) Verarbeitung erforderlich zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c)
d) Verarbeitung erforderlich, um lebenswichtige Interessen zu schützen (Art. 6 Abs. 1 lit. d)
e) Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e)
f) Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (Art. 6 Abs. 1 lit. f)
• betreffen primär Datenverarbeitung durch öffentliche Stellen• Wahrnehmung »klassischer Staatsaufgaben« (Albrecht, Jotzo, 2017, S. 73)• konkrete Ausgestaltung über nationales Recht (Öffnungsklauseln), z.B. SGB, Schul- und
Hochschulgesetze, Landeskrankenhausgesetze
• anwendbar für Notfälle, in denen die betroffene Person nicht mehr selbst in die Verarbeitung einwilligen kann
• sehr hohe Rechtfertigungsschwelle (Albrecht, Jotzo, 2017, S. 74)
DIG
15
.03
.2021
77
Rechtfertigender Notstand nach § 34 StGB als Verarbeitungsgrundlage?
§ Rechtfertigender Notstand praxisrelevant beim Einsatz moderner Überwachungstechnologien ohne gesetzliche Grundlage
§ Wortlaut:
»Wer in einer gegenwärtigen, nicht anders abwendbaren Gefahr für Leben, Leib, Freiheit, Ehre, Eigentum oder ein anderes Rechtsgut eine Tat begeht, um die Gefahr von sich oder einem anderen abzuwenden, handelt nicht rechtswidrig, wenn bei Abwägung der widerstreitenden Interessen, namentlich der betroffenen Rechtsgüter und des Grades der ihnen drohenden Gefahren, das geschützte Interesse das beeinträchtigte wesentlich überwiegt. Dies gilt jedoch nur, soweit die Tat ein angemessenes Mittel ist, die Gefahr abzuwenden.«
§ Interessenabwägung im Einzelfall
DIG
15
.03
.2021
78
Rechtmäßigkeit der Datenverarbeitung
§ Art. 6 Abs. 1 DSGVO
a) Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a)
b) Verarbeitung erforderlich für Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b)
c) Verarbeitung erforderlich zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c)
d) Verarbeitung erforderlich, um lebenswichtige Interessen zu schützen (Art. 6 Abs. 1 lit. d)
e) Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e)
f) Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich (Art. 6 Abs. 1 lit. f)
Beispiele für (überwiegend) berechtigtes Interesse: (siehe auch ErwG 47-49)• Betrugsbekämpfung (ErwG 47)• Direktwerbung (ErwG 47)• Datenverarbeitung innerhalb einer Unternehmensgruppe (ErwG 48)• Gewährleistung der IT-Sicherheit (ErwG 49)
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Das Bestehen eines berechtigten Interesses ist sorgfältig abzuwägen und zu begründen. Im Zweifel haben die Rechte der
betroffenen Person Vorzug. (vgl. Albrecht, Jotzo, 2017, S. 75)Art. 6 Abs. 1 lit. f ist keine geeignete Rechtsgrundlage für öffentliche Stellen.
DIG
15
.03
.2021
79
Prüfen des Bestehens eines berechtigten Interesses
§ Das Bestehen eines berechtigten Interesses ist sorgfältig abzuwägen und zu begründen. Im Zweifel haben die Rechte der betroffenen Person Vorzug. (vgl. Albrecht, Jotzo, 2017, S. 75)
Geeignet
Die Maßnahme bewirkt die Erreichung des
Zwecks oder ist zumindest förderlich.
Erforderlich
Es exisvert kein milderes Miwel gleicher Eignung, den Zweck zu erreichen.
Angemessen
Die Maßnahme ist in einer grundrechtlichen Abwägung sämtlicher
Vor- und Nachteile verhältnismäßig.
DIG
15
.03
.2021
80
Datenverarbeitung auf Grundlage einer Einwilligung
§ Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 lit. a DSGVO:
– »betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.«
§ Definition der Einwilligung in Art. 4 Nr. 11 DSGVO:
– »[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.«
§ Beispiele:
– über das Kernangebot hinausgehende Dienstleistungen (z.B. Newsletter)
– Veröffentlichung von Fotos von Teilnehmern auf Konferenzen
– Veröffentlichung von Jubiläumsdaten in Gemeindebriefen
DIG
15
.03
.2021
81
Welche Anforderungen gelten für die Einwilligung?
§ Transparenz: Erklärung ist in verständlicher und leicht zugänglicher Form in einer verständlichen, klaren und einfachen Sprache zu verfassen
§ Informiertheit (»in informierter Weise«): betroffene Person muss in Kenntnis der Sachlage handeln, d.h. Zwecke der Datenverarbeitung und Verantwortlicher müssen bekannt sein
§ Informationspflicht über Widerrufsmöglichkeit: Information als Basis für Ausübung der Betroffenenrechte, z.B. jederzeitiges Recht des Betroffenen zum Widerruf der Einwilligung
§ Nachweispflicht des Verantwortlichen: Beweislast für Vorliegen der Einwilligung liegt beim Verantwortlichen
§ Freiwilligkeit im Verarbeitungskontext: echte bzw. freie Wahl und Koppelungsverbot nach Art. 7 Abs. 4 DSGVO
§ Besondere Anforderungen bei
– Einwilligung durch Kinder (Art. 7 DSGVO)
– Verarbeitung besondere Kategorien (sensibler Daten) (Art. 9)
DIG
15
.03
.2021
82
Einwilligung
§ Freiwilligkeit: echte bzw. freie Wahl
– Art. 7 Abs. 4 DSGVO: Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
– Erwägungsgrund 43: Einwilligung ist nicht freiwillig, » … wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.«
»Koppelungsverbot« nach Art. 7 Abs. 4 DSGVO: Abschluss eines Vertrages darf nicht von der Einwilligung in andere Zwecke abhängig gemacht werden
DIG
15
.03
.2021
83
Einwilligung
§ Freiwilligkeit der Einwilligung gegenüber Behörden
– Erwägungsgrund 43: »[…] zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn […] Verantwortlichen um eine Behörde handelt, und deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern.«
– Machtgefälle zwischen Betroffenen und Behörde
• Beantragung von Sozialleistungen
• offizielle Informationen in sozialen Netzen
Einwilligung in der Regel nicht relevant, wenn eine gesetzliche Datenverarbeitungsbefugnis vorliegt.
DIG
15
.03
.2021
84
Besonderer Schutz von Kindern nach der DSGVO
§ Erwägungsgrund 38 (zu Artikel 8 DSGVO):
»Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten vonKindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. [...]«
DIG
15
.03
.2021
85
Einwilligung von Kindern nach der DSGVO
§ Art. 8 DSGVO regelt die Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.
»Dienst der Informationsgesellschaft« i.S.d. Art. 4 Nr. 25 DSGVO betrifft jede in der Regel elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung (z.B. soziale Netzwerke, Online-Spiele).
§ Voraussetzungen
– Einwilligung des Kindes möglich, wenn 16. Lebensjahr erreicht ist
– ansonsten Einwilligung der Personensorgeberechtigten notwendig
– Ausnahme im Zusammenhang mit Präventions- und Beratungsdiensten, die unmittelbar einem Kind angeboten werden
Fallbeispiel: »Nutzer müssen mindestens 13 Jahre alt sein, um auf Facebook ein Konto erstellen zu können (in einigen
Gerichtsbarkeiten kann diese Altersbeschränkung höher sein). Das Erstellen eines Kontos mit falschen Daten verstößt gegen unsere Nutzungsbedingungen. Hierzu zählt auch das Registrieren von Konten im Namen einer Person unter 13 Jahren.« Quelle: https://de-de.facebook.com/help/157793540954833
DIG
15
.03
.2021
86
Inhalt einer Einwilligung
§ Inhalt einer Einwilligung in Anlehnung an Erwägungsgrund 42 DSGVO:
– Identität des Verantwortlichen
– Beschreibung des Verarbeitungsvorgangs
– Zwecke der Verarbeitung
– Information über die Betroffenenrechte
• Beschwerderecht
• Recht auf Widerruf, Auskunft, Berichtigung oder Löschung
• Recht auf Einschränkung der Verarbeitung
§ Goldene Regeln
– Einwilligung nicht mit allgemeiner Datenschutzinformation vermischen
– undeutliche Formulierungen vermeiden
• »schöneres Nutzungserlebnis«
• »zur Weiterentwicklung des Dienstes«
• »teilen Informationen mit unseren Geschäftspartnern«
siehe auch: Informationspflichten nach Art. 13 DSGVO
DIG
15
.03
.2021
87
Einwilligung
§ Allgemein gilt
– eindeutige Erklärung erforderlich
– Stillschweigen reicht nicht aus
– kein Schriftformerfordernis, aber bestätigende Handlung der betroffenen Person erforderlich
§ Elektronische Einwilligungserklärung
– »Ankreuzkästchen« muss vom Betroffenen explizit angehakt werden
– Nachweis, dass Einwilligung vorliegt, ist vom Verantwortlichen zu führen
• bei elektronischer Erklärung Protokollierung notwendig (Beweislast)
– jederzeitige Abrufmöglichkeit der Einwilligung, z.B. durch Hinweis auf Datum der Einwilligung in Profileinstellungen
– jederzeitige Widerrufsmöglichkeit für die Zukunft, ebenfalls elektronisch
– möglichst »Double-Opt-In-Verfahren« vorsehen
• z.B. bei Bestellung von Newslettern: Bestätigungsmail
DIG
15
.03
.2021
88
Aufgaben des Datenschutzmanagements
Informationspflichten und Rechte der Betroffenen (Art. 12 bis 22 DSGVO)
Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten (Art. 28-30 DSGVO)
Datenschutzbeauftragter (Art. 37 bis 39 DSGVO)
Meldung von Verletzungen (Art. 33, 34 DSGVO)
DIG
15
.03
.2021
89
Rechte der betroffenen Person nach der DSGVO
Rechte der
betroffenen
PersonenRecht auf Auskunft,
Recht auf Kopie
(Art. 15)
Recht auf Berichtigung
(Art. 16)
Recht auf Löschung, Recht auf Vergessenwerden
(Art. 17)
Recht auf Einschränkung der Verarbeitung
(Art. 18)
Recht auf Datenübertragbarkeit
(Art. 20)
Widerspruchsrecht
(Art. 21)
entspricht dem Recht auf
Sperrung aus dem BDSG (alt)
Datenmitnahme
in strukturierten gängigen elektronischen Formaten
Eng verbunden:
• Informationspflichten (Art. 13, 14)• Transparenzgebot (einfache, verständliche Sprache, Art. 12 Abs. 1); • Kosten für Auskunft (Art. 12 Abs. 5)
DIG
15
.03
.2021
90
Betroffenenrechte: Recht auf Auskunft
§ DSGVO Art. 15 Recht auf Auskunft
– Auskunft über die Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger oder Kategorien von Empfängern, geplante Speicherdauer oder Kriterien für deren Festlegung
– Hinweis auf Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie Beschwerderecht bei einer Aufsichtsbehörde
– ggf. Information über die Herkunft der Daten
– ggf. Information automatische Entscheidungsfindung gem. Art. 22
§ Erwägungsgrund 64
»Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.«
DIG
15
.03
.2021
91
Informationspflichten nach der DSGVO
§ Zu unterscheiden
– Informationspflichten bei Direkterhebung (Art. 13)
– Informationspflichten bei Dritterhebung (Art. 14)
Die Informationspflicht des Verantwortlichen steht am Anfang des Datenverarbeitungsprozesses.
§ Information in »präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache«
– müssen in konkreter Situation verfügbar sein, d.h. bei schriftlicher Kommunikation i.d.R. kein Verweis auf das Internet zulässig
§ Zu unterscheiden zwischen den
– der betroffenen Person mitzuteilenden Daten (Art. 13 Abs. 1)
– zur Verfügung zu stellenden Daten (Art. 13 Abs. 2)
DIG
15
.03
.2021
92
Informationspflichten nach der DSGVO
§ Erhebung bei der betroffenen Person (Art. 13 DSGVO)
– Zwecke der Verarbeitung, ggf. Absicht der Zweckänderung
– Rechtsgrundlage der Verarbeitung
– ggf. verfolgte Interessen des Verantwortlichen
– Speicherdauer und -kriterien
– Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.)
– Hinweis auf Beschwerderecht bei Aufsichtsbehörde
– ggf. Hinweis auf automatische Entscheidungsfindung gem. Art. 22
– Name und Kontaktdaten des Verantwortlichen und Kontaktdaten des Datenschutzbeauftragten
– ggf. Übermittlungsabsicht (in ein Drittland) nebst Empfänger bzw. Empfängerkategorien der personenbezogenen Daten (auch Auftragsverarbeiter)
Art. 6 Abs. 1 lit. f) »die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.«
bei Einwilligung (Art. 6 Abs. 1 lit. a) und berechtigtem Interesse
(Art. 6 Abs. 1 lit. f) Hinweis auf Widerrufsrecht
bei Datenverarbeitung nach Art. 6 Abs. 1 lit. f
DIG
15
.03
.2021
93
Informationspflichten nach der DSGVO
§ Erhebung aus dritter Quelle (Art. 14 DSGVO)
– Zwecke der Verarbeitung, ggf. Absicht der Zweckänderung
– Rechtsgrundlage der Verarbeitung, ggf. Hinweis auf Widerrufsmöglichkeit
– Verfolgte Interessen des Verantwortlichen
– Speicherdauer und -kriterien
– Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.)
– Hinweis auf Beschwerderecht bei Aufsichtsbehörde
– ggf. Hinweis auf automatische Entscheidungsfindung gem. Art. 22
– Name und Kontaktdaten des Verantwortlichen und Kontaktdaten des Datenschutzbeauftragten
– ggf. Übermittlungsabsicht (in ein Drittland) nebst Empfänger bzw. Empfängerkategorien der personenbezogenen Daten (auch Auftragsverarbeiter)
– Kategorien der verarbeiteten Daten
– Quellen der Daten
– ggf. Hinweis auf gesetzliche oder vertragliche Verpflichtung zur Bereitstellung bzw. Verarbeitung der Daten und Folgen der Nichtbereitstellung
Bedeutung Dritterhebung: Es bestehen auch Informationspflichten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.
DIG
15
.03
.2021
94
Informationspflichten nach der DSGVO
§ Wann sind die Angaben mitzuteilen?
– Direkterhebung (Art. 13)
• im Zeitpunkt der Erhebung der Daten
• keine Informationspflicht, wenn Daten bereits bekannt sind
– Dritterhebung (Art. 14)
• Nachträglich innerhalb angemessener Frist (längstens Monatsfrist)
§ Nachweispflicht
– aus Transparenzgebot folgt Nachweispflicht des Verantwortlichen
(Art. 5 Abs. 1 lit. a und Abs. 2)
– Verstoß kann mit Geldbuße bestraft werden (Art. 83 Abs. 5 lit. b)
Die Information der Betroffenen ist die Basis für die Ausübung der Betroffenenrechte.
DIG
15
.03
.2021
95
Ausnahmen von Informationspflicht und Auskunftsrecht Nach: BfDI Info 1 (2019) S. 53
Keine Informagonspflicht bzw. keine Auskuns, wenn … Art. 13 Art. 14 Art. 15
Aufgabenerfüllung einer öffentlichen Stelle gefährdet x x x
öffentliche Sicherheit und Ordnung gefährdet x x x
Information bei betroffener Person bereits vorhanden x x
Forschung, Wissenschaft, Archive unmöglich sind x x
allgemein anerkannte Geheimnisse Dritter verletzt würden x x
Übermittlung an Sicherheitsbehörden und Sicherheit Deutschlands berührt wird x x
Informationsinteresse gering bzw. unverhältnismäßiger Aufwand (z.B. Papierakte) x x x
durch das Ersuchen die vertrauliche Übermittlung an öffentliche Stelle gefährdet x
Geltendmachung von Ansprüchen dadurch gefährdet x
vertragliche oder gesetzliche Aufbewahrungspflicht besteht x
Verarbeitung der Daten aufgrund anderer Rechtsvorschriften als DSGVO erfolgt x
DIG
15
.03
.2021
96
Auftragsverarbeitung nach Art. 28 DSGVO
§ Wenn Auftragsverarbeiter die Möglichkeit des Zugriffs auf personenbezogene Daten hat, z.B.
– Fernwartung von Systemen
– Fehleranalysen durch IT-Dienstleister
– Outsourcing im Rahmen von Cloud-Computing
§ Vertrag über Auftragsverarbeitung mit Pflicht zur weisungsgebundenen Verarbeitung
– individueller Vertrag (Formulierungshilfen) oder Standarddatenschutzklauseln
§ Rollen im Datenschutz (vgl. Schaar, 2017)
Betroffene Person DritterÜbermittlungErhebung
Auftragnehmer
Au
ftra
gbesitzt Recht auf
– Auskunft– Löschung– …
entscheidet über
Verarbeitung, Nutzung, …
handelt
weisungsgebunden
Verantwortlicher
DIG
15
.03
.2021
97
Auftragsverarbeitung nach Art. 28 DSGVO
§ Wenn Auftragsverarbeiter die Möglichkeit des Zugriffs auf personenbezogene Daten hat, z.B.
– Fernwartung von Systemen
– Fehleranalysen durch IT-Dienstleister
– Outsourcing im Rahmen von Cloud-Computing
§ Vertrag über Auftragsverarbeitung mit Pflicht zur weisungsgebundenen Verarbeitung
– individueller Vertrag (Formulierungshilfen) oder Standarddatenschutzklauseln
§ Verantwortlicher trägt Gesamtverantwortung und hat Geeignetheit des Auftragnehmers zu prüfen
– Einhaltung technischer und organisatorischer Maßnahmen
– Auftragsverarbeiter darf keine weiteren Auftragsverarbeiter ohne Genehmigung des Verantwortlichen in Anspruch nehmen
• Auftragsverarbeiter des Auftragsverarbeiters unterliegt denselben Datenschutzpflichen wie Verantwortlicher und Auftragsverarbeiter
– neben der Verantwortlichkeit des Verantwortlichen eigene Verantwortlichkeit des Auftragsverarbeiters: Haftung, Schadenersatz, Geldbußen auch des Auftragsverarbeiters
DIG
15
.03
.2021
98
3
Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und so-
dann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen
technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflich-
tungen zu überzeugen.
Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkei-
ten bei der Prüfung der Auftragsergebnisse feststellt.
Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von
Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behan-
deln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers
Weisungsberechtigte Personen des Auftraggebers sind:
(Vorname, Name, Organisationseinheit, Telefon)
Weisungsempfänger beim Auftragnehmer sind:
(Vorname, Name, Organisationseinheit, Telefon)
Für Weisung zu nutzende Kommunikationskanäle:
(genaue postalische Adresse/ E-Mail/ Telefonnummer)
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertrags-
partner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter
mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalen-
derjahre aufzubewahren.
5. Pflichten des Auftragnehmers
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbei-
tung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt,
hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem
solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor
2
Dauer des Auftrags
Der Vertrag beginnt am .................................... und endet am ....................................
oder
wird auf unbestimmte Zeit geschlossen. Kündigungsfrist ist ........................................
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein
schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmun-
gen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen
kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abge-
leiteten Pflichten stellt einen schweren Verstoß dar.
2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien
betroffener Personen:
(nähere Beschreibung, ggf. Verweis auf Leistungsverzeichnis als Anlage etc.)
Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):
Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-
GVO):
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):
3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wah-
rung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber
verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie er-
kennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen
Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elekt-
ronischen Format festzulegen.
Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in
einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich
Formulierungshilfen für Auftragsdatenverarbeitungsvertrag
Beispiel: https://www.lda.bayern.de/media/muster_adv.pdf
Bayerisches Landesamt für
Datenschutzaufsicht
Formulierungshilfe für einen Auftragsverarbeitungsvertrag
nach Art. 28 Abs. 3 DS-GVO1
Hinweis:
Diese Formulierungshilfe ist nicht abschließend und bezieht sich in erster Linie auf die Fallgestaltung einer
Auslagerung von klassischen IT-Dienstleistungen z. B. für die Lohnabrechnung oder Finanzbuchhaltung.
Je nach konkretem Anwendungsfall müssen gegebenenfalls weitere Inhalte hinzukommen, können solche
weggelassen oder müssen modifiziert werden, um dem gegebenen Sachverhalt gerecht zu werden (z. B. bei
Berufsgeheimnisträgern, bei Dienstleistungen zur Wartung, Datenlöschung oder
-konvertierung, bei der externen Datenarchivierung).
Diese Formulierungshilfe stellt keine zivilrechtliche Beratung durch das BayLDA dar. Es wird darauf hingewie-
sen, dass es den Verwendern obliegt, die zivilrechtliche Bewertung dieser Formulierungshilfe vorzunehmen.
Insbesondere ist durch das BayLDA keine Prüfung nach den §§ 307ff. BGB vorgenommen worden.
Auftraggeber (Verantwortlicher):
Auftragnehmer (Auftragsverarbeiter):
1. Gegenstand und Dauer der Vereinbarung
Der Auftrag umfasst Folgendes:
(Gegenstand des Auftrags, konkrete Beschreibung der Dienstleistungen)
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von
Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäi-
schen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum
erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der
vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Vorausset-
zungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Stan-
darddatenschutzklauseln, genehmigte Verhaltensregeln).
1 Diese Formulierungshilfe stellt keine Standardvertragsklauseln im Sinne von Art. 28 Abs. 8 DS-GVO dar.
10-seitiges Dokument mit Formulierungsvorschlägen
für einen Auftragsdatenverarbeitungsvertrag
DIG
15
.03
.2021
99
Auftragsverarbeitung nach Art. 28 DSGVO
§ Wenn Auftragsverarbeiter die Möglichkeit des Zugriffs auf personenbezogene Daten hat, z.B.
– Fernwartung von Systemen
– Fehleranalysen durch IT-Dienstleister
– Outsourcing im Rahmen von Cloud-Computing
§ Vertrag über Auftragsverarbeitung mit Pflicht zur weisungsgebundenen Verarbeitung
– individueller Vertrag (Formulierungshilfen) oder Standarddatenschutzklauseln
§ Auftragsverarbeitung vs. Funktionsübertragung
– Bei Auftragsverarbeitung bleibt die inhaltliche Verantwortung voll beim Auftraggeber.
• weitreichende Kontrollpflicht des Auftraggebers
– Bei Funktionsübertragung entscheidet der Vertragspartner im Wesentlichen selbst über den Umgang mit den Daten. Bei Funktionsübertragung findet eine Datenübermittlung statt.
• Beispiel: Outsourcing Personalverwaltung
Im Kohärenzverfahren (europaweit einheitliche Anwendung
der DSGVO durch Zusammenarbeit der Aufsichtsbehörden) werden sog. Standarddatenschutzklauseln empfohlen.
DIG
15
.03
.2021
100
Auftragsverarbeitung in Drittstaaten nach Art. 28 DSGVO
§ Drittstaaten: Anforderungen an Auftragsverarbeitung durch Dienstleister außerhalb der EU
§ Verantwortlicher: muss sicherstellen, dass Drittstaat nach den EU-Standards erfüllt
§ Umsetzungsmöglichkeit 1: EU-Kommission prüft Drittstaat und erklärt mit einem »Angemessenheitsbeschluss« (Art. 45 Abs. 3) die Erfüllung eines ausreichenden Datenschutzniveaus
– Beispiele für sichere Drittstaaten: Argentinien, Kanada, Israel, Neuseeland, Schweiz, Japan, …
• Auftragsdatenverarbeitungsvertrag mit ausländischem Dienstleister abschließen, keine weiteren Auflagen erforderlich
§ Umsetzungsmöglichkeit 2: Verantwortlicher und ausländischer Dienstleister einigen sich vertraglich auf »Standarddatenschutzklauseln« (Art. 46), die in einem Prüfverfahren nach Art. 93 Abs. 2 von EU-Kommission genehmigt wurden, wenn kein Angemessenheitsbeschluss existiert
– je nach Drittstaat ggf. weitere Maßnahmen für ausreichendes Datenschutzniveau erforderlich
• verschlüsselte Ablage im Drittstaat
• Pseudonymisierung vor Übermittlung in Drittstaat
• Einsatz eines Datentreuhänders innerhalb der EU
• …DIG
15
.03
.2021
101
Standarddatenschutzklauseln – Art. 46 Abs. 2 lit. c) DSGVO
Im Einklang mit dem Kohärenzverfahren werden Standarddatenschutzklauseln als Grundlage für die Datenübermittlung in Drittländer empfohlen:
§ von der EU-Kommission vorgeschlagene —ohne weitere Genehmigung anwendbar
§ Aufsichtsbehörden können eigene Standarddatenschutzklauseln entwerfen
Die auf der Grundlage der alten EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) von der EU-Kommission erlassenen Standarddatenschutzklauseln bleiben bis zu einer gegenteiligen Beschlussfassung durch die EU-Kommission auch nach dem Inkrafttreten der DSGVO anwendbar.
§ Beispiele: Beschlüsse 2001/497/EG, 2004/915/EG, 2010/87/EU der EU-Kommission
BESCHLUSS DER KOMMISSION
vom 5. Februar 2010
über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments
und des Rates
(Bekannt gegeben unter Aktenzeichen K(2010) 593)
(Text von Bedeutung für den EWR)
(2010/87/EU)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ( 1 ), insbesondere auf Artikel 26 Absatz 4,
nach Anhörung des Europäischen Datenschutzbeauftragten,
in Erwägung nachstehender Gründe:
(1) Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet und vor der Übermittlung die aufgrund der anderen Bestimmungen der Richtlinie erlasse
(4) Standardvertragsklauseln sollten sich nur auf den Datenschutz beziehen. Dem Datenexporteur und dem Datenimporteur ist es daher freigestellt, weitere geschäftsbezogene Klauseln aufzunehmen, die sie für vertragsrelevant halten, sofern diese nicht im Widerspruch zu den Standardvertragsklauseln stehen.
(5) Dieser Beschluss sollte die nationalen Genehmigungen unberührt lassen, die von den Mitgliedstaaten nach ihren eigenen Rechtsvorschriften zur Umsetzung von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilt werden können. Dieser Beschluss sollte lediglich die Wirkung haben, dass die Mitgliedstaaten die darin aufgeführten Standardvertragsklauseln als angemessene Garantien anerkennen müssen; sie sollte daher andere Vertragsklauseln unberührt lassen.
(6) Die Entscheidung 2002/16/EG der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG ( 2 ) soll einem in der Europäischen Union niedergelassenen für die Datenverarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter, der in einem Drittland niedergelassen ist, das kein angemessenes Datenschutzniveau gewährleis
DE 12.2.2010 Amtsblatt der Europäischen Union L 39/5
DIG
15
.03
.2021
102
Auftragsverarbeitung in Drittstaaten nach Art. 28 DSGVO
§ Drittstaaten: Anforderungen an Auftragsverarbeitung durch Dienstleister außerhalb der EU
§ Verantwortlicher: muss sicherstellen, dass Drittstaat nach den EU-Standards erfüllt
§ Umsetzungsmöglichkeit 1: Angemessenheitsbeschluss
§ Umsetzungsmöglichkeit 2: Standarddatenschutzklauseln
§ Weitere Umsetzungsmöglichkeiten:
– einzeln ausgehandelte Vertragsklauseln
– verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules, BCR)
– branchenspezifische Codes of Conduct oder ein genehmigter Zertifizierungsmechanismus
– für Behörden und öffentliche Stellen: internationale Abkommen oder Verwaltungsvereinbarungen
https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Internationaler_Datentransfer.html
– Genehmigung durch die Aufsichtsbehörde erforderlich
DIG
15
.03
.2021
103
Datenübermittlung in die USA: Safe Harbor, Privacy Shield, …
Safe Harbor und Privacy Shield waren (teilweise lediglich auf informellen Zusagen beruhende) »Angemessenheitsbeschlüsse« für die die Erfüllung eines ausreichenden Datenschutzniveaus bei Datenübermittlung in die USA.
§ 2015 »Schrems I«: EuGH erklärt Safe-Harbour-Abkommen für ungültig
§ Juli 2020 »Schrems II«: EuGH erklärt auch Privacy-Shield-Abkommen für ungültig
§ Begründung
– USA sei kein sicherer Drittstaat, da US-Gesetze die US-Unternehmen dazu verpflichten, Kundendaten europäischer Kunden an US-Sicherheitsbehörden und -Geheimdienste herauszugeben
– auch innerhalb der EU gespeicherte Kundendaten auf europäischen Servern der US-Unternehmen unterliegen der Verpflichtung zur Herausgabe
§ Solange kein neues Abkommen zustande kommt:
– Anwendung der Standarddatenschutzklauseln mit zusätzlich notwendigen Schutzmaßnahmen, um die Daten dem Zugriff durch die US-Behörden zu entziehen
Idee von Privacy Shield: US-Unternehmen geben
Erklärung ab, sich den Regeln des Privacy Shield zu unterwerfen und nachfolgend zertifizieren zu lassen.
DIG
15
.03
.2021
104
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Gemeinsame Verantwortlichkeit (joint controllership) ist das Zusammenwirken mehrerer verantwortlicher Stellen.
§ Art. 26 DSGVO: Gemeinsam für die Verarbeitung Verantwortliche
(1) […] legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, […]
(2) […] Die Vereinbarung […] muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln […]
(3) Ungeachtet der Einzelheiten der Vereinbarung […] kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
§ Beachte: Gemeinsame Verantwortlichkeit ist zu unterscheiden von Datenverarbeitung im Auftrag
DIG
15
.03
.2021
105
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
§ Fallbeispiel Facebook
– EuGH-Urteil vom 5.6.2018: Betreiber von Facebook Fanpages sind gemeinsam mit Facebook datenschutzrechtlich als gemeinsame Verantwortliche für Einhaltung der Datenschutzvorschriften zuständig (Az. C-210/16).
– Facebook-Ergänzungsvereinbarung zur gemeinsamen Verantwortlichkeithttps://www.facebook.com/legal/terms/page_controller_addendum
DIG
15
.03
.2021
106
Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
§ Fallbeispiel Facebook
– EuGH-Urteil vom 5.6.2018: Betreiber von Facebook Fanpages sind gemeinsam mit Facebook datenschutzrechtlich als gemeinsame Verantwortliche für Einhaltung der Datenschutzvorschriften zuständig (Az. C-210/16).
– Facebook-Ergänzungsvereinbarung zur gemeinsamen Verantwortlichkeithttps://www.facebook.com/legal/terms/page_controller_addendum
– Facebook sieht sich verantwortlich für
• Erfüllung der Informationspflichten (Art. 12-13 DSGVO)
• Betroffenenrechte (Art. 15-22 DSGVO)
• Meldung von Datenschutzverstößen (Art. 32-34 DSGVO)
– Fanpage-Seitenbetreiber ist verantwortlich für
• Rechtmäßigkeit der auf der Fanpage verarbeiteten Daten
• eigene Datenschutzerklärung des Betreibers der Fanpage
• Weiterleitung von Auskunftsersuchen Betroffener an Facebook
DIG
15
.03
.2021
107
Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten (z.B. Kundendaten, Beschäftigtendaten etc.)
§ Inhalt des Verzeichnisses der Verarbeitungstätigkeiten
– Zwecke der Verarbeitung
– Beschreibung der Kategorien personenbezogener Daten
– Beschreibung der betroffenen Personen
– Speicherdauer (z.B. Aufbewahrungspflichten)
– Beschreibung technischer und organisatorischer Maßnahmen
• Pseudonymisierung
• Verschlüsselung
• …
DIG
15
.03
.2021
108
Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten (z.B. Kundendaten, Beschäftigtendaten etc.)
§ Verzeichnis der Verarbeitungstätigkeiten
– kein öffentliches Verzeichnis mehr
– keine Meldepflicht
– aber: Verpflichtung, der Aufsichtsbehörde jederzeit Einsicht zu ermöglichen
– Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
§ Hinweise und Muster z.B. unter
https://www.datenschutz-berlin.de/themen-verarbeitungsverzeichnis.html
DIG
15
.03
.2021
109
Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO
§ Pflicht zur Benennung nach Art. 37 Abs. 1
a) Behörden und öffentliche Stellen (Ausnahme: Gerichte, Justiz)
b) aufgrund des Umfangs und/oder der Zwecke …
c) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
§ Benennung als
– interner Beschäftigter oder
– externer Datenschutzbeauftragter auf der Grundlage eines Dienstleistungsvertrages (Art. 37 Abs. 6 DSGVO)
§ Fachkunde muss nachgewiesen sein
– berufliche Qualifikation
– Fachwissen im Datenschutzrecht
– Fachwissen in der Datenschutzpraxis
Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung an Aufsichtsbehörde (Art. 37 Abs. 7)
DIG
15
.03
.2021
110
Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO
a) Unterrichtung und Beratung des Verantwortlichen […] hinsichtlich […] Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften […] sowie der Strategien des Verantwortlichen […] für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung […]
c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung […]
d) Zusammenarbeit mit der Aufsichtsbehörde
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde […] und gegebenenfalls Beratung zu allen sonstigen Fragen
DIG
15
.03
.2021
111
Stellung des Datenschutzbeauftragten (DSB) nach Art. 38 DSGVO
§ Pflichten des Verantwortlichen
– frühzeitige Einbindung in alle Fragen personenbezogener Daten
– Bereitstellung der zur Erfüllung erforderlichen Ressourcen
– Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen
– Ressourcen zur Erhaltung seines Fachwissens
– keine Anweisungen bezüglich der Ausübung der Aufgaben des DSB
§ Rechte des Datenschutzbeauftragten
– DSB kann nicht abberufen werden wegen Erfüllung der Aufgaben
– DSB berichtet unmittelbar der höchsten Managementebene
§ Pflichten des Datenschutzbeauftragten
– Ansprechperson für Betroffene
– Geheimhaltungspflicht
Vermeidung von Interessenskonflikten bei gleichzeitiger Wahrnehmung anderer Aufgaben innerhalb der Organisation beachten!
DIG
15
.03
.2021
112
Pflicht zur Benennung eines Datenschutzbeauftragten
§ Bestellpflicht nach§ 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auuragsverarbeiter müssen einen Datenschutzbeauuragten beschäuigen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automavsierten Verarbeitung personenbezogener Daten beschäuigen.«
§ Am 19.10.2018 gescheiterte Bundesratsinivavve des Ausschusses für Innere Angelegenheiten und des Wirtschausausschusses vom 5.10.2018:
– Vorschlag 1: Streichen von § 38 Abs. 1 Satz 1 BDSG
– Folge: Es gilt nur noch die Regelung des Art. 37 DSGVOAus dem Erwägungsgrund 97: Bestellpflicht »In Fällen, in denen die Verarbeitung […] durch einen Verantwortlichen erfolgt,
dessen Kerntäqgkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systemaqsche Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntäqgkeit des Verantwortlichen oder des Aurragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von
Daten über strafrechtliche Verurteilungen und Straraten besteht …«
https://www.bundesrat.de/SharedDocs/drucksachen/2018/0401-0500/430-1-18.pdf?__blob=publicationFile&v=1
DIG
15
.03
.2021
113
Pflicht zur Benennung eines Datenschutzbeauftragten
§ Bestellpflicht nach§ 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auuragsverarbeiter müssen einen Datenschutzbeauuragten beschäuigen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automavsierten Verarbeitung personenbezogener Daten beschäuigen.«
§ Am 19.10.2018 gescheiterte Bundesratsinivavve des Ausschusses für Innere Angelegenheiten und des Wirtschausausschusses vom 5.10.2018:
– Vorschlag 1: Streichen von § 38 Abs. 1 Satz 1 BDSG
– Hilfsempfehlung 1: Neufassung von § 38 Abs. 1 Satz 1 BDSG
• Verantwortliche und Auuragsverarbeiter müssen einen Datenschutzbeauuragten beschäuigen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automavsierten Verarbeitung personenbezogener Daten beschäuigen und die Verarbeitung gewerblichen Zwecken dient.«
https://www.bundesrat.de/SharedDocs/drucksachen/2018/0401-0500/430-1-18.pdf?__blob=publicationFile&v=1
DIG
15
.03
.2021
114
Pflicht zur Benennung eines Datenschutzbeauftragten
§ Bestellpflicht nach§ 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auuragsverarbeiter müssen einen Datenschutzbeauuragten beschäuigen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automavsierten Verarbeitung personenbezogener Daten beschäuigen.«
§ Am 19.10.2018 gescheiterte Bundesratsinivavve des Ausschusses für Innere Angelegenheiten und des Wirtschausausschusses vom 5.10.2018:
– Vorschlag 1: Streichen von § 38 Abs. 1 Satz 1 BDSG
– Hilfsempfehlung 1: Neufassung von § 38 Abs. 1 Satz 1 BDSG
– Hilfsempfehlung 2: Neufassung von § 38 Abs. 1 Satz 1 BDSG
• Pflicht zur Bestellung von aktuell 10 Personen, die ständig mit der automavsierten Verarbeitung personenbezogener Daten beschäuigt sind, soll auf 50 Personen erhöht werden (Änderungsvorschlag: »zehn« durch »fünfzig« ersetzen)
hbps://www.bundesrat.de/SharedDocs/drucksachen/2018/0401-0500/430-1-18.pdf?__blob=publicaconFile&v=1
DIG
15
.03
.2021
115
Pflicht zur Benennung eines Datenschutzbeauftragten
§ Bestellpflicht nach§ 38 Abs. 1 Satz 1 BDSG (Bundesdatenschutzgesetz):
– Verantwortliche und Auftragsverarbeiter müssen einen Datenschutzbeauftragten beschäftigen, »soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.«
§ Am 03.04.2019 vom Land Niedersachsen in den Bundesrat eingebrachter Entschließungsantrag mit dem Ziel, kleinere Betriebe und Vereine zu entlasten: »die in § 38 Abs. 1 S. 1 BDSG genannte Mindestzahl von zehn Personen deutlich anzuheben.«
– 27.06.2019: Bundestag beschließt Anhebung der Bestellpflicht:
In § 38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt.http://dip21.bundestag.de/dip21/btd/19/111/1911181.pdf
– mit Zustimmung des Bundesrats beschlossen und im Bundesgesetzblatt Jahrgang 2019 Teil I Nr. 41, ausgegeben zu Bonn am 25. November 2019, Seite 1634 verkündet
DIG
15
.03
.2021
116
Meldung von Datenschutzverletzungen nach Art. 33 Abs. 1 DSGVO
Unternehmen sind verpflichtet, schwerwiegende Datenschutzverletzungen unverzüglich an die Datenschutzbehörden zu melden
§ Art. 33 Abs. 1 DSGVO
»Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der … zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.«
§ Verpflichtung zur Information der Betroffenen
§ Verpflichtung zur Information der Öffentlichkeit (ggf. über Anzeigen)
DIG
15
.03
.2021
117
SUCHE
DATENSCHUTZ INFORMATIONSFREIHEIT UNSERE BEHÖRDE SERVICE UND MEDIENBILDUNG
Angaben zur Meldung
Art der Meldung
Meldung einer Datenschutzverletzung durch Verantwortliche (DataBreach)Dieses Formular dient der Meldung einer Datenschutzverletzung durch eine in Hamburg ansässige verantwortliche
Stelle. Wenn Sie sich über einen Vorfall beschweren möchten, benutzen Sie bitte das elektronische
Beschwerdeformular.
Die Verletzung des Schutzes personenbezogener Daten (vgl. Art. 4 Nr. 12 DSGVO) ist gemäß Art. 33 DSGVO bei der
zuständigen Aufsichtsbehörde zu melden. Dies ist beispielsweise der Fall, wenn sich Hacker Zugri! auf
personenbezogene Daten verscha!t haben, Datenträger gestohlen wurden bzw. verloren gegangen sind oder wenn
Datenbankinhalte unbeabsichtigt über das Internet zugänglich werden.
Die Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung gemeldet werden.
Ausnahmsweise kann von der Meldung abgesehen werden, wenn der Vorfall voraussichtlich nicht zu einem Risiko für
die Rechte und Freiheiten der Betro!enen führt.
Im Falle eines hohen Risikos sind zudem die Betro!enen zu informieren.
Weitere Informationen und Beispielfälle zur Meldepflicht finden Sie hier (PDF).
Angaben der Meldung
§ Betroffene Organisavon
§ Wer meldet den Vorfall?
§ Angaben zum Vorfall
– Kategorie des Vorfalls
– Zeitpunkt/Zeitraum des Vorfalls
– Zeitpunkt der Feststellung
– Sachverhalt
– Art der betroffenen Daten
§ Wie wurde reagiert?
– Ergriffene Maßnahmen
– Anzahl der Betroffenen
– Wurden die Betroffenen informiert?
• Wann und Wie?
§ Opvonale Anhänge
https://datenschutz-hamburg.de/meldung-databreach
DIG
15
.03
.2021
118
https://datenschutz-hamburg.de/meldung-databreach
Angaben zum Vorfall
E-Mail Adresse
Ihre dienstliche E-Mail Adresse
Telefonnummer
Ihre dienstliche Telefonnummer
Ihr Verhältnis zur betroffenen Organisation
Datenschutzbeauftrage/r
Internes Aktenzeichen
Aktenzeichen der internen Fallbearbeitung der verantwortlichen Stelle
Kategorie des Vorfalls
Sonstiges
Zeitpunkt/Zeitraum, des Verstoßes PflichtfeldPflichtfeld
11.03.2021 16:06
Datum und Uhrzeit der Feststellung des Verstoßes PflichtfeldPflichtfeld
11.03.2021 16:06
Sachverhalt PflichtfeldPflichtfeld
Bitte beschreiben Sie Ihren Vorfall.
Art der betroffenen Daten
Gesundheit/Kreditwesen/Religion/Sexualität/E-Mail/Passwörter/...
Angaben der Meldung
§ Betroffene Organisation
§ Wer meldet uns einen Vorfall?
§ Angaben zum Vorfall
– Kategorie des Vorfalls
– Zeitpunkt/Zeitraum des Vorfalls
– Zeitpunkt der Feststellung
– Sachverhalt
– Art der betroffenen Daten –>
§ Wie wurde reagiert?
– Ergriffene Maßnahmen
– Anzahl der Betroffenen
– Wurden die Betroffenen informiert?
• Wann und Wie?
§ Optionale Anhänge
DIG
15
.03
.2021
119
Wie wurde reagiert
Optionale Anhänge
Sie können uns Dateien mitschicken, die den Sachverhalt Ihrer Meldung verdeutlichen, z.B. Screenshots oder gescannte Briefe. Wenn Sie mehrere
Dateien mitschicken möchten, halten Sie im Auswahldialog die STRG-Taste gedrückt. Die Gesamtgröße aller Dateien darf 10MB nicht überschreiten.
Beschwerde Absenden
Mit einem Klick auf diesen Button werden Ihre Eingaben zur Validierung an unseren Server gesendet. Wenn keine Probleme mehr auftreten, wird Ihre
Meldung akzeptiert, andernfalls bekommen Sie die Möglichkeit einer Korrektur.
Nach dem Absenden erhalten Sie eine Zusammenfassung Ihrer Eingaben mit einem Zeitstempel als PDF.
Ergriffene technische und organisatorische Maßnahmen PflichtfeldPflichtfeld
Welche Maßnahmen wurden nach Bekanntwerden des Vorfalls ergriffen und welche sollten noch ergriffen werden?
Anzahl der Betroffenen
Möglichst genaue Angabe oder Schätzung der Anzahl der betroffenen Perso Die Betroffenen wurden bereits informiert
Löschen
Prüfen und Absenden
Keine Dateien ausgewählt Auswählen
Angaben der Meldung
§ Betroffene Organisavon
§ Wer meldet uns einen Vorfall?
§ Angaben zum Vorfall
– Kategorie des Vorfalls
– Zeitpunkt/Zeitraum des Vorfalls
– Zeitpunkt der Feststellung
– Sachverhalt
– Art der betroffenen Daten
§ Wie wurde reagiert?
– Ergriffene Maßnahmen
– Anzahl der Betroffenen
– Wurden die Betroffenen informiert?
• Wann und Wie?
§ Opvonale Anhänge
hbps://datenschutz-hamburg.de/meldung-databreach
DIG
15
.03
.2021
120
Meldung von Datenschutzverletzungen nach Art. 33 Abs. 1 DSGVO
§ Verpflichtung zur Information der Betroffenen
§ Verpflichtung zur Information der Öffentlichkeit (ggf. über Anzeigen)
Beispiel einer öffentlichen
Bekanntmachung gemäß Art. 34 DSGVO
DIG
15
.03
.2021
121
Technischer Datenschutz
Datenschutz-Folgenabschätzung (Art. 35, 36 DSGVO)
Datenschutz in Kommunikationsnetzen (E-Privacy-Verordnung)
Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
Sicherheit der Verarbeitung (Art. 32 DSGVO)
DIG
15
.03
.2021
122
Datenschutz-Folgenabschätzung
§ Auszug aus Art. 35 DSGVO:
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
• Beispiele:
– Scoring
– Videoüberwachung
– medizinische Daten
– KI-Technologien
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauuragten, sofern ein solcher benannt wurde, ein.
DIG
15
.03
.2021
123
Datenschutz-Folgenabschätzung
§ Auszug aus Art. 35 DSGVO:
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
DIG
15
.03
.2021
124
Datenschutz-Folgenabschätzung
§ Auszug aus Art. 35 DSGVO:
(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
DIG
15
.03
.2021
125
Risikobeurteilung
Erstellung des Datenschutz-Folgenabschätzungs-Berichts
Auswahl geeigneter Abhilfemaßnahmen
Modellierung der Risikoquellen
Methodik einer Datenschutz-Folgenabschätzung
§ Vorgehen gemäß Kurzpapier Nr. 5 »Datenschutz-Folgenabschätzung nach Art. 35 DSGVO« der Datenschutzkonferenz (DSK)
§ marginale Unterschiede zum Risikomanagement aus der IT-Sicherheit
– entweder Risikomanagementkreislauf
– oder BSI-Standard zur Risikoanalyse verwenden
DIG
15
.03
.2021
126
Abgrenzung von IT-Sicherheit und Datenschutz
§ IT-Sicherheit = Schutz der Daten
– IT-Sicherheit versucht, die mit Hilfe von Informationstechnik (IT) realisierten Produktions- und Geschäftsprozesse in Unternehmen und Organisationen systematisch gegen beabsichtigte Angriffe (Security) und unbeabsichtigte Ereignisse (Safety) zu schützen.
§ Datenschutz = Schutz der Menschen
– Mit dem Begriff Datenschutz wird das Recht des Einzelnen auf informationelle Selbstbestimmung umschrieben. »Das Grundrecht gewährleistet [...] die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.« (BVerfG) Eine Organisation hat technisch-organisatorische Maßnahmen zu treffen, um dieses Recht zu gewährleisten.
DIG
15
.03
.2021
127
Verknüpfung von Sicherheit und Datenschutz
Schutz der
Vertraulichkeit
Integrität
Verfügbarkeit
IT-Sicherheit
Schutz der Daten
Datenschutz
Schutz der Menschen
DIG
15
.03
.2021
128
Methodik einer Datenschutz-Folgenabschätzung
§ Souwareunterstützung der Privacy Impact Analysis (PIA) der französischen Aufsichtsbehörde (CNIL)
– Souware im Quellcode veröffentlicht
– hwps://www.cnil.fr/en/privacy-impact-assessment-pia
DIG
15
.03
.2021
DIG
15
.03
.2021
130
Datenschutz in Kommunikationsnetzen
Telekommunikationsgesetz
Telemediengesetz
E-Privacy-Verordnung
DIG
15
.03
.2021
131
Müller,
Alfons
TKG, …
DSGVO, BDSG, LDSG, …
TMG, E-Privacy-Verordnung, …
z.B. Clickstream nach Zugriff auf den Web-Server
z.B. Kundendaten nach Warenbestellung im virtuellen Kaufhaus
z.B. Datenverkehr über die Leitungen eines Internet Service Providers
Ebene der NetzeTelekommunikation
Ebene der AnwendungInhalte
Ebene der DiensteInternet
»Drei Schichten« des Datenschutzes in Kommunikaaonsnetzen
DIG
15
.03
.2021
132
Personenbezogene Daten in Kommunikationsnetzen
§ Bestandsdaten
– Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses mit dem Kunden anfallen, z.B. Name, Adresse, Login-Kennung des Benutzers, Angaben über Bankverbindung
§ Inhaltsdaten
– Daten, die unmittelbar von einem Nutzer gespeichert oder mit einem oder mehreren Kommunikationspartnern ausgetauscht werden
§ Verkehrsdaten (neuerdings auch Metadaten)
– Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden
DIG
15
.03
.2021
133
Telekommunikaaonsgesetz (TKG) Teil 7
TKG Teil 7 Abschnitt 1 – Fernmeldegeheimnis
§ 88 Fernmeldegeheimnis
§ 89 Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen
§ 90 Missbrauch von Sende- oder sonstigen TK-Anlagen
TKG Teil 7 Abschnitt 2 – Datenschutz
§ 91 Anwendungsbereich
§ 92 (weggefallen)
§ 93 Informationspflichten
§ 94 Einwilligung im elektronischen Verfahren
§ 95 Vertragsverhältnisse
§ 96 Verkehrsdaten
§ 97 Entgeltermittlung und Entgeltabrechnung
§ 98 Standortdaten
§ 99 Einzelverbindungsnachweis
§ 100 Störungen von TK-Anlagen und Missbrauch von TK-Diensten
§ 101 Mitteilen ankommender Verbindungen
§ 102 Rufnummernanzeige und -unterdrückung
§ 103 Automatische Anrufweiterschaltung
§ 104 Teilnehmerverzeichnisse
§ 105 Auskunftserteilung
§ 106 Telegrammdienst
§ 107 Nachrichtenübermittlungssysteme mit Zwischenspeicherung
TKG Teil 7 Abschnitt 3 – Öffentliche Sicherheit
§ 108 Notruf
§ 109 Technische Schutzmaßnahmen
§ 109a Daten- und Informationssicherheit
§ 110 Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften
§ 111 Daten für Auskunftsersuchen der Sicherheitsbehörden
§ 112 Automatisiertes Auskunftsverfahren
§ 113 Manuelles Auskunftsverfahren
§ 113a Verpflichtete; Entschädigung
§ 113b Pflichten zur Speicherung von Verkehrsdaten
§ 113c Verwendung der Daten
§ 113d Gewährleistung der Sicherheit der Daten
§ 113e Protokollierung
§ 113f Anforderungskatalog
§ 113g Sicherheitskonzept
§ 114 Auskunftsersuchen des Bundesnachrichtendienstes
§ 115 Kontrolle und Durchsetzung von Verpflichtungen
http://www.gesetze-im-internet.de/tkg_2004/
DIG
15
.03
.2021
134
§ 96 Abs. 1 Telekommunikaaonsgesetz (TKG) (Auszug)
Der Diensteanbieter darf folgende Verkehrsdaten erheben, soweit dies für die in diesem Abschnitt genannten Zwecke erforderlich ist:
1. die Nummer oder Kennung der beteiligten Anschlüsse …, bei mobilen Anschlüssen auch die Standortdaten,
2. den Beginn und das Ende der jeweiligen Verbindung … und … die übermittelten Datenmengen,
3. …,
4. die Endpunkte von festgeschalteten Verbindungen …,
5. sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten.
…
DIG
15
.03
.2021
135
E-Privacy-Verordnung
§ war ursprünglich als Ergänzung und zeitgleich mit der DSGVO geplant
§ soll die E-Privacy-Richtlinie (2002/58/EG, »Cookie-Richtlinie«) ablösen
§ regelt Verwendung von Cookies und Tracking-Mechanismen
– Grundsatz: Alle nicht-technischen Cookies sind zusvmmungspflichvg.
§ rechtskonforme Implemenverung der Zusvmmung über sog. Cookie-Banner
– beeinträchvgt Usability insbesondere von sensiblen Nutzern, die regelmäßig Cookies löschen
– absurd: Speicherung eines Cookies zur Vermeidung einer erneuten Abfrage der Zusvmmung
§ sehr umstriwen:
– Zulässigkeit von Tracking als Ersatz für Bezahlung von Inhalten
– Beachte Koppelungsverbot: Art. 7 Abs. 4 DSGVO verbietet, Dienste nur denjenigen Kunden kostenlos anzubieten, die der Nutzung zu Werbezwecken zusvmmen
DIG
15
.03
.2021
136
Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
Sicherheit der Verarbeitung (Art. 32 DSGVO)
DIG
15
.03
.2021
137
Datenschutz durch Technikgestaltung – Auszug aus Artikel 25 DSGVO
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als
auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die
Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung
[grundsätzlich] nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
...
DIG
15
.03
.2021
138
Datenschutz durch Technikgestaltung = Privacy by Design
§ Art. 25 (1) fordert
– Berücksichtigung u.a.
• des Stands der Technik
• der Implementierungskosten
• der Eintrittswahrscheinlichkeiten und … Risiken
– geeignete technisch-organisatorische Maßnahmen
• zur Umsetzung der Datenschutzgrundsätze (Art. 5 DSGVO)
– Rechtmäßigkeit und Transparenz
– Zweckbindung
– Datenminimierung (und Datensparsamkeit)
– Richtigkeit
– Speicherbegrenzung
– Integrität und Vertraulichkeit ® Datensicherheit ® Art. 32 DSGVO
– Rechenschaftspflicht
• zur Durchsetzung der Betroffenenrechte
DIG
15
.03
.2021
139
Rechte der betroffenen Person nach der DSGVO
Rechte der
betroffenen
PersonenRecht auf Auskunr,
Recht auf Kopie
(Art. 15)
Recht auf Berichtigung
(Art. 16)
Recht auf Löschung, Recht auf Vergessenwerden
(Art. 17)
Recht auf Einschränkung der Verarbeitung
(Art. 18)
Recht auf Datenübertragbarkeit
(Art. 20)
Widerspruchsrecht
(Art. 21)
entspricht dem Recht auf
Sperrung aus dem BDSG (alt)
Datenmitnahme
in strukturierten gängigen elektronischen Formaten
Eng verbunden:
• Informaqonspflichten (Art. 13, 14)• Transparenzgebot (einfache, verständliche Sprache, Art. 12 Abs. 1); • Kosten für Auskunr (Art. 12 Abs. 5)
Wh.
DIG
15
.03
.2021
Datenschutzgrundsätze
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
DIG
15
.03
.2021
Datenschutzgrundsätze
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Alle Aspekte, die in den Grundlagen des Datenschutzes besprochen wurden!
DIG
15
.03
.2021
142
Verbot mit Erlaubnisvorbehalt
§ Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten!
§ Es sei denn
– diese ist durch ein Gesetz oder eine andere Rechtsvorschriu erlaubt
– oder der Betroffene hat eingewilligt.
Einwilligung oder normavve Ermächvgung (gesetzliche Befugnis)
Wh.
DIG
15
.03
.2021
143
Einwilligung
§ Anforderungen an eine Einwilligung
– Transparenz: verständliche, leicht zugängliche Form; verständliche, klare, einfache Sprache
– Informiertheit (»in informierter Weise«): betroffene Person muss in Kenntnis der Sachlage handeln
• Identität des Verantwortlichen
• Beschreibung des Verarbeitungsvorgangs
• Zwecke der Verarbeitung
• Informationspflicht über Widerrufsmöglichkeit
– Beweislast für Vorliegen der Einwilligung liegt beim Verantwortlichen
– »Koppelungsverbot« nach Art. 7 Abs. 4 DSGVO: Abschluss eines Vertrages darf nicht von der Einwilligung in andere Zwecke abhängig gemacht werden
Wh.
DIG
15
.03
.2021
144
Direkt- bzw. Ersterhebung bei der betroffenen Person
§ Die Erhebung von Daten (Beschaffen von Daten) ist grundsätzlich nur beim Betroffenen und mit seiner Kenntnis zulässig.
Ausnahmen vom Direkterhebungsgrundsatz nur, wenn diese gesetzlich geregelt sind.
– Beispiel: wenn Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des
Betroffenen beeinträchtigt werden (§ 4 Abs. 2 b Bundesdatenschutzgesetz alt).
§ Art. 13 DSGVO sieht Informationspflichten bei der Erhebung von personenbezogenen Daten bei der betroffenen Person vor (z.B. Zweck und Dauer der Datenverarbeitung, Rechtsgrundlagen, Bestehen von Auskunfts- und Beschwerderechten)
Also nicht von:
Wh.
DIG
15
.03
.2021
Datenschutzgrundsätze
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentacon• …
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Alle Aspekte, die in den Grundlagen des Datenschutzes besprochen wurden!
DIG
15
.03
.2021
146
Datenschutz durch Technikgestaltung – Auszug aus Arakel 25 DSGVO
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als
auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die
Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung
[grundsätzlich] nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
...
DIG
15
.03
.2021
147
Datenschutz durch Technikgestaltung = Privacy by Design + Privacy by Default
§ Art. 25 (2) Privacy by Default – datenschutzfreundliche Voreinstellungen
– Beschränkung durch fest eingebaute Funkvonalität
• Beschränkung auf Verarbeitungszweck
• Beschränkung des Umfangs
• Beschränkung auf Speicherfristen
• Beschränkung der Zugänglichkeit
DIG
15
.03
.2021
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Datenschutzgrundsätze
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Privacy byDefault
DIG
15
.03
.2021
149
Auszug aus Arakel 32 DSGVO
Art. 32 Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischenZwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte
Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weiseverarbeitet wurden.
…
DIG
15
.03
.2021
150
Sicherheit der Verarbeitung
§ Art. 32 (1) fordert in Präzisierung von Art. 25 (1)
– geeignete technisch-organisatorische Maßnahmen
• zur Pseudonymisierung und Verschlüsselung
• zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
• zur Wiederherstellung der Verfügbarkeit nach Zwischenfällen
• zur Überprüfung, Bewertung und Evaluierung der technisch-organisatorischen Maßnahmen
DIG
15
.03
.2021
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
Privacy byDefault
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschans-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
Daten-sicherheit
DIG
15
.03
.2021
152
Unter Berücksichtigung …
Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als
auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die
Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung
[grundsätzlich] nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre
Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
...• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände, Zwecke
• Risiko
• Technisch-organisatorische Maßnahmen
DIG
15
.03
.2021
153
Unter Berücksichtigung …
Art. 32 Sicherheit der Verarbeitung
(1) Unter Berücksichcgung des Stands der Technik, der Implemencerungskosten und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung sowie der unterschiedlichen Eintribswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Aunragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfallrasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichcgen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichcgt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermibelt, gespeichert oder auf andere Weise verarbeitet wurden.
…
• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände, Zwecke
• Risiko
• Technisch-organisatorische Maßnahmen
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
managementPrivacy by
Default
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Privacy by DesignD
IG 1
5.0
3.2
021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentacon• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschans-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Wiederherstellbarkeit • Noxallmanagement
DIG
15
.03
.2021
156
ISMS Information Security Management System
Informaaon Security Management System — Views
Identifikation
Steuerung
Bewertung
Überwachung
Ini?ierung
Si-Konzept
Umsetzung
Erhaltung
Plan
Check
Do
Act
»Operator«: Grundschutz-Vorgehensmodell
(Sicherheitspoliqk, Sicherheitskonzept, Umsetzung, Erhaltung im laufenden Betrieb)
»Management«: Deming-Kreislauf (Plan, Do,
Check, Act)
»Controller«: Risikomanagement (Identifikation,
Bewertung, Steuerung, Überwachung)
Wh.
DIG
15
.03
.2021
157
Risikomanagement Kreislauf
Idengfikagon
Steuerung
Bewertung
Überwachung Risiko =Eintrittswahrschein-
lichkeit · Schadenshöhe
Wh.
DIG
15
.03
.2021
158
Identifikation von Bedrohungen
§ Frage
– Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?
§ Methoden & Werkzeuge
– Checklisten
– Fehler- und Angriffsbäume
– Planspiele
– Szenarioanalysen
– Historische Daten
§ Herausforderungen
– Vollständige Erfassung aller Bedrohungen
Local network failure
Power failure
Misconfiguration of PC settings
Misconfiguralon of network devices
Disconnection of cables
Malicious person
User mistakeMalicious
personAdmin
mistake
Wh.
DIG
15
.03
.2021
159
Idenafikaaon von Bedrohungen
§ Frage
– Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?
§ Beispiel Checklisten
Bedrohungskategorien des Security Development Lifecycle (SDL):
STRIDE Threat Model:
Spoofing: Fälschen der eigenen IdenvtätTampering: Fälschen oder Verändern von DatenRepudiavon: Anwenden von Verschleierungstakvken Informavon disclosure: Unbefugte Preisgabe vertraulicher InformavonenDenial of service: Unbefugte Beeinträchvgung der FunkvonalitätElevavon of privilege: Unbefugtes Erlangen von Berechvgungen
The STRIDE Threat Model. Microsoft, 2002https://msdn.microsoft.com/en-us/library/
ee823878(v=cs.20).aspx
Wh.
DIG
15
.03
.2021
160
Identifikation von Bedrohungen
§ Frage
– Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?
§ Beispiel: LINDDUN privacy threat modeling
Non-repudiationnon-repudiation of data flownon-repudiation of data storenon-repudiation of process
Detectabilitydetectability of data flowdetectability of data storedetectability of process
Disclosure of informationUnawareness
Unawareness of entityNon-compliance
policy and consent non-compliance
LinkabilityLinkability of engtyLinkability of data flowLinkability of data storeLinkability of process
Idengfiabilityidengfiability of engtyidengfiability of data flowidengfiability of data storeidengfiability of process
LINDDUN wurde stark angelehnt an das STRIDE threat model.
Wh.
https://linddun.org/catalog.php
DIG
15
.03
.2021
162
Idenafikaaon von Bedrohungen
§ Frage
– Welche Bedrohungen sind für das jeweilige Schutzobjekt relevant?
§ Beispiel Planspiele
– möglichst realistischer Simulation einer Praxissituation
– eigene Entscheidungen treffen
– Konsequenzen des Handelns erfahren
– gemeinsame Reflexion der Planspielteilnehmer
Konstruktivistische Planspiele:
– konstruktiver Möglichkeitsraum wird geschaffen und untersucht
– verschiedene Rollen und Perspektiven werden eingenommen
nach: http://methodenpool.uni-koeln.de/planspiel/frameset_planspiel.html
Wh.
DIG
15
.03
.2021
163
Bewertung von Risiken
§ Frage
– Wie groß sind Eintriwswahrscheinlichkeit und Schadenshöhe eines potenvellen Schadensereignisses?
§ Methoden & Werkzeuge
– Qualitavve Bewertung
– Quanvtavve Bewertung
– Spieltheorie
– Maximalwirkungsanalyse
§ Herausforderungen
– Abhängigkeit von den Assets
– Strategische Angreifer
– Korrelavonen
– Quanvfizierbarkeit
low med high
low
med
high
Schadenswahrscheinlichkeit
Sch
aden
shö
he
Risiko
Wh.
DIG
15
.03
.2021
164
Steuerung der Risiken
§ Frage
– Welche Risiken sollen wie behandelt werden?
§ Methoden
– Risikovermeidung
– Risikobehandlung (z.B. nach IT-Grundschutz und ISO 27002)
– Risikoüberwälzung
– Risikoakzeptanz
§ Herausforderungen
– Komplexität der Problemstellung
– Finden von geeigneten Musterlösungen
– Komposition eines sicheren Gesamtsystems aus sicheren Teillösungen
Wh.
DIG
15
.03
.2021
165
Risiko-Management für IT-Systeme
low med high
low
med
high
Schadenswahrscheinlichkeit
Sch
aden
shö
he
Über-wälzung
Akzep-tanz
Schutz-maßnahmen
Vermeidung
Typische Positionen für Vermeidung, Akzeptanz und Überwälzung:
Wh.
DIG
15
.03
.2021
166
Risiko-Management für IT-Systeme
Risikoanalyse
Gesamtrisiko Risikovermeidung
Schutzmaßnahmen
Schadensbegrenzung
ÜberwälzungSicherheitskonzept
Noxallplan
Versiche-rungen
nach: Schaumüller-Bichl 1992
Restrisiko
Wh.
DIG
15
.03
.2021
167
Risikoanalyse
Gesamtrisiko Risikovermeidung
Schutzmaßnahmen
Sicherheitskonzept
Risiko-Management für IT-Systeme
§ Verfügbarkeit
– Back-Up (Rechenzentrum, Daten), Notlaufkonzepte, Wiederbeschaffungs- und Wiederanlaufpläne
§ Integrität
– Schaden kann schleichend eintreten, schwer umkehrbar, Backup-Konzepte können helfen
§ Vertraulichkeit
– Schaden kann schleichend eintreten, nahezu nicht umkehrbar, da Löschung aller Kopien kaum herbei-führbar
§ Vorgehensweise
– BSI-Standard 100-4 Notfallmanagement
Schadensbegrenzung
Überwälzung
Noxallplan
Versiche-rungen
nach: Schaumüller-Bichl 1992
Restrisiko
Wh.
DIG
15
.03
.2021
168
Überwachung der Risiken und Maßnahmen
§ Frage
– Waren die Maßnahmen effektiv und effizient? Wie sicher ist die Organisation?
§ Methoden
– Kennzahlen- und Scorecard-Systeme
– Return on Security Investment (ROSI)
§ Herausforderungen
– Die richtigen Kennzahlen verwenden
– Kennzahlen richtig ermitteln
– Kennzahlen aktuell halten
nach: Loomans, 2002
Wh.
DIG
15
.03
.2021
169
§ Frage
– Waren die Maßnahmen effekvv und effizient? Wie sicher ist die Organisavon?
§ ROSI
– basiert auf dem ALE-Konzept (Annual Loss Expenditure) aus den 70er Jahren
– soll Analogie zum klassischen Return on Investment herstellen
– verschiedene Darstellungsformen und Weiterentwicklungen
ROSI – Return on Security Investment – »Ersparnis« durch Abwenden der wahrscheinlichen Schäden abzügl. der Kosten der Sicherheitsmaßnahmen
Return on Security Investment (ROSI)W
h.D
IG 1
5.0
3.2
021
170
Return on Security Investment (ROSI)
§ Beispiel
– Webservice
• Savings – Reduz. d. K. der wahrsch. Schäden
S = 100.000 EUR p.a. (Kunden- und Imageverlust)
• Total Costs – Kosten der Maßnahmen
T = 5.000 EUR p.a. (Zertifikat, Firewall, Updates etc.)
ROSI = S – T = 95.000 EUR p.a.
nach: Pohlmann, 2006
Wh.
DIG
15
.03
.2021
171
Risikomanagement Kreislauf
Idengfikagon
Steuerung
Bewertung
Überwachung
Checklisten
Workshops
Experten
Histor. Daten
BasisansatzKategorien
QuanNtaNve
Verfahren
Best Practice
Scoring
Quantitative
Verfahren
Checklisten
ScorecardsKennzahlen
Risiko =Eintribswahrschein-
lichkeit · Schadenshöhe
Wh.
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentacon• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Vertraulichkeit• Integrität• Verfügbarkeit
DIG
15
.03
.2021
173
unbefugter Informavonsgewinn
unbefugte Modifikation
unbefugte Beeinträchtigung der Funktionalität
Schutzziele der Daten- und IT-Sicherheit
§ Klassische IT-Sicherheit berücksichtigt im Wesentlichen Risiken, die durch regelwidriges Verhalten in IT-Systemen entstehen.
Voydock, Kent, 1983
Vertraulichkeit
Integrität
Verfügbarkeit
Wh.
DIG
15
.03
.2021
174
Vertraulichkeit: Verfahren und Algorithmen
Inhaltsdaten Verkehrsdaten
AnonymitätUnbeobachtbarkeit
Sender
Empfänger
Ort
Verschlüsselung
Web-Anonymisierer, Remailer,
anonyme Zahlungssysteme
Steganographie
Vertraulichkeit
Verdecktheit
DES, 3-DES, OTP, IDEA, AES,
RSA, ElGamal, …
F5, …
+ Existenz Pseudonyme, Proxies,
umkodierende Mixe, DC Netz, Private Information Retrieval, …
Inhalte
Inhalte
Beispiele für Verfahren
Beispiele für Algorithmen
Was wird geschützt?
Verfahren des technischen Datenschutzes
Wh.
DIG
15
.03
.2021
175
Inhaltsdaten
Integrität und Zurechenbarkeit, Rechtsverbindlichkeit
Integrität ZurechenbarkeitRechtsverbindlichkeit
Absender
Empfänger
BezahlungInhalte
RSA, ElGamal, …
Verfahren
Algorithmen
Message Authenqcaqon Codes
Digitale SignaturenChallenge-Response-Authenqfikaqon
KommunikationsumständeWann?, Wo?, Wer?Verkehrsdaten
auch: AuthentizitätUnabstreitbarkeit
Verfahren des technischen Datenschutzes
Wh.
DIG
15
.03
.2021
176
Verfügbarkeit: Redundanz und Diversität
§ Redundanz
– Mehrfache Auslegung von Systemkomponenten
– Bei Ausfall übernimmt Ersatzkomponente
§ Diversität
– Verschiedenartigkeit der Herkünfte
– Tolerieren von systematischen Fehlern und verdeckten trojanischen Pferden –> »Implantate«
– Unabhängige Entwicklung von redundanten (Software)-Komponenten
Verfügbarkeit Erreichbarkeit
Inhalte RechnerNutzer
Beispiel: Doppelung
Wh.
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentacon• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Verschlüsselung
DIG
15
.03
.2021
178
Anwendungsfall x Schlüsselbeziehung
Konzelaqon (Verschlüsselung) Authentifikation
symmetrische One-time-pad, DES, Triple-DES, AES,
IDEA, A5/1 (GSM), A5/2 (GSM) …
Symmetrische Authentifikationscodes,
CCM, A3 (GSM), …
asymmetrische RSA, ElGamal, McEliece, … RSA, ElGamal, DSA, GMR, …
Algorithmus
SecurIDGnuPG/PGP
TLS
GnuPG/PGP GnuPG/PGP
IPSec IPSec
TLS
TLS
TLSHBCI
Anwendung
HBCI
WPA2 WPA2
Die übliche Bezeichnung für ein asymmetrisches Authentifikationssystem ist »Digitales Signatursystem«.
Wh.
DIG
15
.03
.2021
179
x
Zufallszahl z
KlartextSchlüsseltext s
kgeheimer Schlüssel
Ver-schlüsse-lung
Ent-schlüsse-lung
Schlüssel-generierungk:=gen(z)
x Klartext
Symmetrische Verschlüsselung
»Undurchsichtiger Kasten mit Schloss. Es gibt zwei gleiche Schlüssel.«
k(x)
k
s:=E(x,k) oders:=enc(x,k) oders:=k(x)
x:=E-1(s,k) oderx:=dec(s,k) oderx:=k(s)
Schutzziel: Vertraulichkeit
Angriffsbereich
Wh.
DIG
15
.03
.2021
180
c
x c(x)
Zufallszahl z
KlartextSchlüsseltext s
d
Chiffrierschlüssel, öffentlich bekannt
Dechiffrierschlüssel, geheim gehalten
Ver-schlüsse-lung
Ent-schlüsse-lung
Schlüssel-generie-rung
x
Klartext
Asymmetrische Verschlüsselung
»Kasten mit Schnappschloss. Es gibt nur einen Schlüssel.«
s:=enc(x,c) oders:=c(x)
x:=dec(s,d) oderx:=d(s)
(c,d):=gen(z)
Vertrauensbereich des Empfängers
Zufallszahl (nonce) r > 100 Bit gewährleistet indeterministische Verschlüsselung
geheimer Bereich
Schutzziel: Vertraulichkeit
Angriffsbereich
Wh.
DIG
15
.03
.2021
181
kk
Angriffsbereich
Testergebnis und Klartext
Codieren Testen
x
Klartext MAC Message
Authengcagon Code
»ok« oder »falsch«
Symmetrische Authentifikation
x Klartext
MAC :=code(x,k)
MAC =code(x,k)
?
Zufallszahl z
geheimer Schlüssel
Schlüssel-generierungk:=gen(z)
Schutzziel: Verfälschungen erkennen (Integrität)
Wh.
DIG
15
.03
.2021
182
Digitales Signatursystem (asymmetrisches Authentifikationssytem)
x x, sig(x)
Zufallszahl
Text
Schlüssel zum Signieren, geheim gehalten
Sig
Schlüssel-generie-rung
Test»ok« oder
»falsch«,sig(x)
geheimer Bereich
öffentlicher Bereich t
Text mitSignatur
Text mit Signatur und Test-ergebnis
s
Vertrauensbereich des Signierers, Schlüsselgenerierung in Signierkomponente für opgmalen Schutz von s
Schlüssel zum Testen der Signatur, öffentlich bekannt
Angriffsbereich
Schutzziel: Zurechenbarkeit
Wh.
DIG
15
.03
.2021
183
Welche Schlüssellängen und Kryptoalgorithmen sind sicher?
Jährlicher Algorithmenkatalog nach § 17 (1) SigG des Bundesamts für die Sicherheit in der Informationstechnik (BSI)
hSps://www.bsi.bund.de/Algorithmenkatalog
Wh.
DIG
15
.03
.2021
184
Vollständiges Durchsuchen (brute-force, exhaustive search)
§ Angriff über Supercomputer und künftig Quantencomputer
– betrifft nur komplexitätstheoretisch sichere Systeme
§ Schutz gegen Supercomputer
– Schlüssel ausreichend lang wählen
§ Schutz gegen Quantencomputer
– symmetrisch: Schlüssellänge verdoppeln auf mind. 256 Bit
– asymmetrisch: Hoffen auf Post-Quantum Kryptographie
Key
lengths
Complexity
nach: Bernstein, Buchmann,
Dahmen: Post Quantum
Cryptography. Springer, 2009
Super
Computer
Quantum
Computer
Symm.128 Bit 2127 264
Grover, 1996256 Bit 2255 2128
Asymm.1024 Bit ≈ 290 ≈ 225
Shor, 19942048 Bit ≈ 2117 ≈ 228
Wh.
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
Initiierung
Si-Konzept
Umsetzung
Erhaltung
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
PIMS
DIG
15
.03
.2021
186
IT-Sicherheitsprozess in der Standard-Absicherung nach BSI 200-2, S. 26
Initiierung des IT-Sicherheitsprozesses• Verantwortung der Leitungsebene• Konzeption und Planung des Sicherheitsprozesses• Aufbau einer geeigneten Organisationsstruktur• Erstellung der Leitlinie
Erstellung einer Sicherheitskonzeption
Aufrechterhaltung und kontinuierliche Verbesserung
Umsetzung der Sicherheitskonzeption
Wh.
DIG
15
.03
.2021
187
Erstellung einer IT-Sicherheitskonzeption nach BSI 200-2
normal hoch, sehr hoch
Schutzbedarfsfeststellung
Risikoanalyse• bei erhöhtem Schutzbedarf• bei nicht hinreichenden Bausteinen• bei besonderen Einsatzszenarien
IT-Grundschutz-Check (Teil 1 Soll-Ist-Vergleich)
Modellierung (Auswahl der Sicherheitsanforderungen, Bausteine)
Konsolidierung und IT-Grundschutz-Check (Teil 2 Soll-Ist-Vergleich)
Strukturanalyse (Erfassung der Prozesse und Anwendungen)Initiierung
Si-Konzept
Umsetzung
Erhaltung
Wh.
DIG
15
.03
.2021
188
Aufwand-Nutzen-Relation nach BSI-Grundschutz
Aufwand
Sich
erh
eits
niv
eau
normal
hoch
sehr hoch
MaximalErhöhtGrundschutz
Wh.
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschans-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
Initiierung
Si-Konzept
Umsetzung
Erhaltung
Kontext
Bewertung
Gew-Ziele
Soll-Ist-An
Feedback
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
PIMS
DIG
15
.03
.2021
190
Privacy Information Management System (PIMS)
§ Enge Verwandtschaft mit ISO 27001 und ISO 27002 Information Security Management System (ISMS)
– beschreibt die Anforderungen an ein ISMS (27001) bzw. PIMS (27701)
– ist, genau wie ISO 27001, ISO 9001 u.a. ein Management-System-Standard
– Prozessorientierter Ansatz
– Grundlage für Zertifizierung
ISO 27701 formuliert Anforderungen an Verantwortliche (controllers) Verarbeiter (processors) von Personally Identifiable Information (PII).
§ Aufbau des 68-seitigen ISO 27701
– PIMS-specific requirements related to ISO 27001
– PIMS-specific requirements related to ISO 27002
– Additional ISO 27002 guidance for PII controllers
– Additional ISO 27002 guidance for PII processors
ISO 27701 (2019)
»… guidance for establishing, implemencng, maintaining andconcnually improving a Privacy Informacon Management System (PIMS) in the form of an extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management within thecontext of the organizacon.« ISO 27701 (2019) S. 1
Def. PIMS: »Informacon security management system whichaddresses the proteccon of privacy as potencally affected bythe processing of PII ISO 27701« (2019) S. 2
DIG
15
.03
.2021
191
Standard-Datenschutzmodell
§ Methode zur
– Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele
– Überprüfung der Übereinstimmung der gesetzlichen Anforderungen im Umgang mit personenbezogenen Daten und der entsprechenden Umsetzung dieser Vorgaben
§ Von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder empfohlen
– Ca. 50 Seiten Umfang
– https://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwendungen/TechnischeAnwendungenArtikel/Standard-Datenschutzmodell.html
DIG
15
.03
.2021
192
*Vertraulichkeit*Verdecktheit+Anonymität+Unbeobachtbarkeit
Gewährleistungsziele in Anlehnung an Bock und Rost, 2011
Integrität (Unversehrtheit)*
Zurechenbarkeit+
Rechtsverbindlichkeit+
°Transparenz °Intervenierbarkeit
(Eingreifbarkeit)+Kontingenz+Abstreitbarkeit
Verfügbarkeit*
Findbarkeit*
Erreichbarkeit+
Ermittelbarkeit+
Verbindlichkeit+
°Nichtverkettbarkeit
(Zweckbindung,
Zwecktrennung)
kursiv = elementare Schutzziele
normal = abgeleitete Schutzziele* = Schutz der Inhaltsdaten+ = Schutz der Verkehrsdaten° = spezifische Datenschutz-Schutzziele
x __________________ yDualität
DIG
15
.03
.2021
193
Inhaltsdaten Verkehrsdaten
AnonymitätUnbeobachtbarkeitVerdecktheit
Schutzziele und Verfahren
Vertraulichkeit
Integrität
Verfügbarkeit
ZurechenbarkeitRechtsverbindlichkeit
Erreichbarkeit
KommunikationsgegenstandWas?, Worüber?
KommunikationsumständeWann?, Wo?, Wer?
Verschlüsselung Web-Anonymisierer, Remailer,
anonyme ZahlungssystemeSteganographie
Message Authentication CodesDigitale Signaturen
Challenge-Response-Authenqfikaqon
Redundanz, Diversität
Wh.
DIG
15
.03
.2021
194
Inhaltsdaten Verkehrsdaten
Anonymität
UnbeobachtbarkeitVerdecktheit
Wechselwirkungen vgl. A. Pfitzmann, G. Wolf, 2000
Vertraulichkeit
Integrität
Verfügbarkeit
ZurechenbarkeitRechtsverbindlichkeit
KommunikationsgegenstandWas?, Worüber?
KommunikavonsumständeWann?, Wo?, Wer?
+
+
–
impliziert
verstärkt
schwächt
+
–
Legende:
Erreichbarkeit
DIG
15
.03
.2021
195
Verknüpfung von Sicherheit und Datenschutz
Schutz der
Vertraulichkeit
Integrität
Verfügbarkeit
IT-Sicherheit
Schutz der Daten
Datenschutz
Schutz der Menschen
*Vertraulichkeit*Verdecktheit+Anonymität+Unbeobachtbarkeit
Integrität (Unversehrtheit)*
Zurechenbarkeit+
Rechtsverbindlichkeit+
°Transparenz °Intervenierbarkeit
(Eingreifbarkeit)+Kontingenz+Abstreitbarkeit
Verfügbarkeit*
Findbarkeit*
Erreichbarkeit+
Ermittelbarkeit+
Verbindlichkeit+
°Nichtverke;barkeit
(Zweckbindung,
Zwecktrennung)
UnbeobachtbarkeitVerdecktheit
Integrität Zurechenbarkeit
Rechtsverbindlichkeit
+
+
–
ErreichbarkeitVerfügbarkeit
Vertraulichkeit Anonymität
Schutzziele der mehrseitigen Sicherheit Gewährleistungsziele im Datenschutz
DIG
15
.03
.2021
196
Schutzziele und Gewährleistungsziele im Vergleich
§ entnommen aus den Schutzzielen der mehrseivgen Sicherheit: (2000)
– Vertraulichkeit, Verdecktheit, Anonymität, Unbeobachtbarkeit, Integrität, Zurechenbarkeit, Rechtsverbindlichkeit, Verfügbarkeit, Erreichbarkeit
Schutzziele der mehrseitigen Sicherheit Gewährleistungsziele im Datenschutz
°Transparenz °Intervenierbarkeit
(Eingreifbarkeit)+Kontingenz+Abstreitbarkeit
°Nichtverkettbarkeit
(Zweckbindung,
Zwecktrennung)
*Vertraulichkeit*Verdecktheit+Anonymität+Unbeobachtbarkeit
Integrität (Unversehrtheit)*
Zurechenbarkeit+
Rechtsverbindlichkeit+
Verfügbarkeit*
Findbarkeit*
Erreichbarkeit+
ErmiSelbarkeit+
Verbindlichkeit+
UnbeobachtbarkeitVerdecktheit
Integrität Zurechenbarkeit
Rechtsverbindlichkeit
+
+
–
ErreichbarkeitVerfügbarkeit
Vertraulichkeit Anonymität
DIG
15
.03
.2021
197
Schutzziele und Gewährleistungsziele im Vergleich
*Vertraulichkeit*Verdecktheit+Anonymität+Unbeobachtbarkeit
Integrität (Unversehrtheit)*
Zurechenbarkeit+
Rechtsverbindlichkeit+
Verfügbarkeit*
Findbarkeit*
Erreichbarkeit+
Ermittelbarkeit+
Verbindlichkeit+
UnbeobachtbarkeitVerdecktheit
Integrität Zurechenbarkeit
Rechtsverbindlichkeit
+
+
–
ErreichbarkeitVerfügbarkeit
Vertraulichkeit Anonymität
Schutzziele der mehrseitigen Sicherheit Gewährleistungsziele im Datenschutz
°Transparenz °Intervenierbarkeit
(Eingrei@arkeit)+KonNngenz+Abstreitbarkeit
°Nichtverkettbarkeit
(Zweckbindung,
Zwecktrennung)
§ hinzugekommen als (neue) Gewährleistungsziele: (2011)
– Intervenierbarkeit/Abstreitbarkeit als Gegenteil zu Zurechenbarkeit/…
– Nichtverkettbarkeit und Transparenz als Gegensatzpaare
§ Idee: Erzeugen einer Dualität innerhalb der Gewährleistungsziele
DIG
15
.03
.2021
198
Standard-Datenschutzmodell
Geschäftsprozesse, Zwecke, verantwortliche Stellen, Betroffene und deren Rechtsverhältnisse festlegen, Einwilligungen
Analyse Verarbeitungs-
kontext
Rechtsgrundlagen, Zulässigkeit, Übermiblungsbefugnisse, Interessensabwägung zwischen Betroffenen und verantwortlichen Stellen
Materiell-rechtliche Bewertung
Grad der Verpflichtung, qualitative Parameter, Schutzbedarfsanalyse, quantitative ParameterGewähr-
leistungsziele
Festlegung der technisch-organisatorischen Maßnahmen, Einschätzung der Angemessenheit und Wirksamkeit, ggf. Risikoanalyse
Soll-Ist-Analyse
Zusätzliche technisch-organisatorische Maßnahmen, Vorgehen und Sanktionen bei DatenschutzverstößenFeedback
An
wen
du
ng
des
Sta
nd
ard
-D
aten
sch
utz
mo
del
ls
vgl. SDM-Standard 1.0, 2016
DIG
15
.03
.2021
199
Bausteine des IT-Grundschutz-Kompendiums des BSI
§ Prozessorientierte Bausteine
– ISMS (Sicherheitsmanagement)
– ORP (Organisation und Personal)
– CON (Konzeption und Vorgehensweise)
– OPS (Betrieb)
– DER (Detektion und Reaktion)
§ Systemorientierte Bausteine
– APP (Anwendungen)
– SYS (IT-Systeme)
– IND (Industrielle IT)
– NET (Netze und Kommunikation)
– INF (Infrastruktur)
APP SYS IND NET INF
ORP CON OPS
DER
ISMS
CON.2 Datenschutz
1 Beschreibung
1.1 Einleitung
Aufgabe des Datenschutzes ist es, Personen davor zu schützen, dass diese durch den Umgang mit
personenbezogenen Daten auf der Seite von Institutionen an der Ausübung von Grundrechten
beeinträchtigt werden. Die Verfassung der Bundesrepublik Deutschland gewährleistet das Recht der Bürgerinnen und Bürger, grundsätzlich selbst über die Verwendung ihrer personenbezogenen Daten zu bestimmen. Die Datenschutzgesetze des Bundes und der Bundesländer nehmen darauf
Bezug , wenn sie den Schutz des Rechts auf informationelle Selbstbestimmung hervorheben. Die
EU-Grundrechte-Charta formuliert in Artikel 8 unmittelbar das Recht auf den Schutz
personenbezogener Daten (Absatz 1), hebt die Notwendigkeit einer Rechtsgrundlage zur Datenverarbeitung hervor (Absatz 2) und schreibt die Überwachung der Einhaltung von Datenschutzvorschriften durch eine unabhängige Stelle vor (Absatz 3). Die Datenschutz-
Grundverordnung [DSGVO] führt diese Anforderungen der Grundrechte-Charta näher aus. Von
herausragender Bedeutung ist dabei der Artikel 5 DSGVO, der die Grundsätze versammelt, die
teilweise als Schutzziele ausgewiesen sind. Das Standard-Datenschutz-Modell (SDM) bietet eine Methode, um diese geforderte Umsetzung von Datenschutzvorschriften, auf der Grundlage von sieben Schutzzielen bzw. Gewährleistungszielen, systematisch überwachen zu können.
DIG
15
.03
.2021
200
Stand der öffentlich zugänglichen Bausteinbeschreibungen
§ IT-Grundschutz-Kompendium des BSI
– 39 Prozessorientierte Bausteine
– 49 Systemorientierte Bausteinehttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/bausteine_node.html
§ Standard-Datenschutzmodell
– Baustein 11 »Aufbewahren«
– Baustein 41 »Planung und Spezifikation«
– Baustein 42 »Dokumentieren«
– Baustein 43 »Protokollieren«
– Baustein 50 »Trennen«
– Baustein 60 »Löschen und Vernichten«
– Baustein 61 »Berichtigen«
– Baustein 62 »Einschränken der Verarbeitung«
– [Baustein 80 »Datenschutzmanagement«]https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
DIG
15
.03
.2021
201
SDM in existierenden Softwarelösungen (1/2)
Bisherige toolunterstützte Ansätze lassen eine explizite Verwendung des Standard-Datenschutzmodells (noch) nicht erkennen.
§ verinice Datenschutzmodul (hwps://verinice.com/datenschutz/)
– Übersicht über Verarbeitungstävgkeiten
– »Integravon von EU-DSGVO« auf der Roadmap
§ HiScout Datenschutz (hwps://www.hiscout.com/module/hiscout-datenschutz)
– Verarbeitungstävgkeitsverzeichnis
– Datenschutzfolgenabschätzung
– Berechvgungskonzepte
– Löschkonzepte
DIG
15
.03
.2021
202
SDM in existierenden Softwarelösungen (2/2)
§ Intervalid (https://intervalid.com)
– Verzeichnis von Verarbeitungen
– Erfassung von Maßnahmen und deren Fortschritt
– Zuordnung von Maßnahmen zu Verarbeitungen
§ Das Datenschutz Tool (https://datenschutz-tool.de)
– Verzeichnis von Verarbeitungen
– Analyse nach den sechs Gewährleistungszielen
– Übersicht über Verarbeitungen mit Prüffragen
§ QSEC (https://wmc-direkt.de/qsec/grc-software)
– Orientiert sich an den 99 Artikeln der DSGVO
– Prüffragen zur Compliance für jeden Artikel
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
• Anonymität• Unbeobachtbarkeit• Unverkettbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
• Pseudonymisierung
DIG
15
.03
.2021
208
Personenpseudonyme Rollenpseudonyme
öffent-liche
nicht-öffentliche
anonyme Geschäfts-beziehungs-pseudonym
Transaktions-pseudonym
Pseudonyme
Arten von Pseudonymen Pfitzmann, Waidner, Pfitzmann, 1990
Telefon-nummer, E-
Mail-
Adresse
Konto-nummer,
IP-Adresse
Biometrische Merkmale(solange kein Register)
Künstlername, Nickname
Kennwort, Zufallszahl
Beispiele für Pseudonyme:
Gute Skalierbarkeit bezüglich der Anonymität
Wh.
DIG
15
.03
.2021
209
Pseudonyme: Implemenaerungen
§ Pseudonym-Arten
– Vom Teilnehmer selbst gewählte Zeichenketten, die keinen Bezug zu seiner Identität besitzen
– Große Zufallszahlen (etwa 45 Dezimalstellen)
– Öffentliche Testschlüssel eines Signatursystems
§ Pseudonyme zur Bestätigung von Eigenschaften
– Einfaches »qualifizierendes Zertifikat«
– Blenden des Pseudonyms vor dem Zertifizieren
– Secret-key Zertifikate
BEGIN ZERTIFIKATPseudonym: 30452634272346623424987241375
Öffentlicher Testschlüssel des Pseudonyms:h833hd38dddajscbicme098342k236egfkw74h5445
84hdbscldmrtpofjrkt0jshuedagaszw12geb3u4b=
Bestätigte Eigenschaften:Der Inhaber ist über 18 Jahre alt.
Der Inhaber ist deutscher Staatsbürger.Datum: 19.03.2000
Gültig bis: 18.03.2001
Aussteller: Einwohnermeldeamt DresdenSignatur des Ausstellers:23j423vdsaz345kj435ekji3u4z2983734ijo23i72kj867wdbez2o074j5lkdmcdkki1237t3rgbdvbwdj=
END ZERTIFIKAT
Wh.
DIG
15
.03
.2021
210
Digitales Signatursystem für Pseudonymität verwenden
§ Testschlüssel t ist das Pseudonym
§ Bereits heute realisierbar mit OpenPGP u.ä.
x x, sig(x)
Zufallszahl
Text
Schlüssel zum Signieren, geheim gehalten
Sig
Schlüssel-generie-rung
Test»ok« oder
»falsch«,sig(x)
t
Text mitSignatur
Text mit Signatur und Test-ergebnis
s
Vertrauensbereich des Signierers, Schlüsselgenerierung in Signierkomponente für optimalen Schutz von s
Schlüssel zum Testen der Signatur, öffentlich bekannt
Angriffsbereich
Wh.
DIG
15
.03
.2021
211
Begriffliche Abgrenzung von Pseudo- und Anonymisierung
§ Pseudonymisierung
– Ersetzen der identifizierenden Daten durch eine Zuordnungsregel (Pseudonym), d.h. bei Kenntnis der Regel: personenbezogene Daten
• Beispiel Elektronischer Kauf digitaler Güter: Händler kennt Identität des Kunden nicht; bei Betrug durch Kunden ist Pseudonym jedoch aufdeckbar.
§ Anonymisierung
– Entfernung des Personenbezugs, d.h. Re-Identifizierung nicht mehr oder nur mit unverhältnismäßig hohem Aufwand möglich
Telefon-nummer, E-
Mail-
Adresse
Konto-nummer,
IP-Adresse
Biometrische Merkmale(solange kein Register)
Künstlername, Nickname
Kennwort, Zufallszahl
Beispiele für Pseudonyme:
Gute Skalierbarkeit bezüglich der Anonymität
DIG
15
.03
.2021
212
Begriffliche Abgrenzung von Anonymität und Unbeobachtbarkeit
§ Unbeobachtbarkeit
– Kommunikationsereignisse bzgl. des Sendens oder Empfangens werden vom Angreifer als unabhängig erkannt
• Beispiel Patentrecherche: Patentamt und Kunde kennen sich, aber kein Außenstehender soll mitbekommen, dass Kunde recherchiert; Inhalte sind durch Verschlüsselung geschützt
§ Anonymitätsgruppe
– Ereignisse sind nicht mit einem individuellen Teilnehmer verkettbar
Anonymitätsgruppe Ereignisse
Nachricht
Zugriff
DIG
15
.03
.2021
213
§ 13 Abs. 6 Telemediengesetz (TMG )
Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.
DIG
15
.03
.2021
214
Technischer Datenschutz
§ Technischer Datenschutz
– Systeme so konstruieren, dass unnötige Daten vermieden und nicht miteinander verkettet werden können.
§ Zu schützen sind
– Adressen
• Sender, Empfänger, Kommunikationsbeziehung
– zeitliche Korrelationen
• Zeitpunkte, Dauer
– übertragenes Datenvolumen
– inhaltliche Korrelationen
– Orte
• Aufenthaltsorte, Bewegungsspuren
DIG
15
.03
.2021
215
Anonymität und Unbeobachtbarkeit in Kommunikaaonsnetzen
§ Wer ist zu schützen?
– Schutz des Senders: Senderanonymität
– Schutz des Empfängers: Empfängeranonymität
– Schutz der Kommunikationsbeziehung
§ Vor wem ist zu schützen?
– Schutz vor Outsidern
• Proxies
– Schutz vor Insidern und Outsidern
• Broadcast
• DC-Netz
• MIX-Netz
DIG
15
.03
.2021
216
Broadcast
§ Verteilung (Broadcast) + implizite Adressierung
– Technik zum Schutz des Empfängers
– Alle Teilnehmer erhalten alles
– Lokale Auswahl
– Es bleibt verborgen, welchen Inhalt der Nutzer konsumiert
– Zeitung lesen– Radio über Antenne hören– Fernsehen über
Breitbandverteilkabel
Wh.
DIG
15
.03
.2021
217
Broadcast
§ Vermittlungsnetze
– Video on Demand
– Internet-Radio
– Zeitungen online
– Plötzlich stehen Nutzungsdaten zur Verfügung.
– Der Kunde wird gläsern.
§ Verteilung (Broadcast) + implizite Adressierung
– Technik zum Schutz des Empfängers
– Alle Teilnehmer erhalten alles
– Lokale Auswahl
– Es bleibt verborgen, welchen Inhalt der Nutzer konsumiert
– Zeitung lesen– Radio über Antenne hören– Fernsehen über
Breitbandverteilkabel
• Verteilung (Broadcast)
Wh.
DIG
15
.03
.2021
218
DC-Netz
§ Jeder für sich:
– Jeder wirs mit jedem eine Münze
– Berechnet das xor der beiden Bits
– Wenn bezahlt, dann xor mit 1 (Komplement des Ergebnisses aus Schrib 2)
– Ergebnis veröffentlichen
§ Alle zusammen:
– Berechnen das xor der drei (lokalen) Ergebnisse
– Wenn globales Ergebnis 0, hat jmd. anderes bezahlt
Chaum, 1988
1 1
0
0 1
10
1
0
1
Wer hat bezahlt?
1
https://www.chaum.com/publications/Security_Wthout_Identification.html
Wh.
DIG
15
.03
.2021
219
Anonymität und Unbeobachtbarkeit in Kommunikationsnetzen
§ Wer ist zu schützen?
– Schutz des Senders: Senderanonymität
– Schutz des Empfängers: Empfängeranonymität
– Schutz der Kommunikationsbeziehung
§ Vor wem ist zu schützen?
– Schutz vor Outsidern
• Proxies
– Schutz vor Insidern und Outsidern
• Broadcast
• DC-Netz
• MIX-Netz
DIG
15
.03
.2021
220
MIX 1 MIX 2
Mix-Netz
§ Auch die Betreiber der Mixe erfahren nichts mehr über die Kommunikationsbeziehung zwischen Sender und Empfänger.
§ Randbedingungen
– Alle Nachrichten haben die gleiche Länge.
– Mehr als einen Mix verwenden.
– Wenigstens ein Mix darf nicht angreifen.
Chaum, 1981
Wh.
DIG
15
.03
.2021
221
Blockschaltbild eines Mix Chaum, 1981
Wieder-
holungignorieren
alle
Eingabenachrichten speichern, die gleich umkodiert werden Genügend viele
Nachrichten von genügend vielen Absendern?
Um-
kodieren
Eingabe-
nachrichtenpuffern
Um-
sortieren?
N = {N1, N2, ..., Nn}
c(Ni, ri) isReplay(c(Ni, ri)) d(c(Ni, ri)) sort(N) Ni
Ein
gab
en
ach
rich
ten
Au
sgab
en
ach
rich
ten
Wh.
DIG
15
.03
.2021
222
Mix-Netz
§ System zum Schutz von Kommunikationsbeziehungen bei vermittelter Kommunikation
Chaum, 1981
M1
M2
M2
MIX 1 MIX 2
Wh.
DIG
15
.03
.2021
223
Proxy
Nutzer 1
Nutzer 2
Nutzer 3
From Proxy
GET Page.html
Proxies: Outsider
§ Erreichbare Sicherheit (Outsider)
– Beobachter nach Proxy und Serverbereiber:
• erfahren nichts über den wirklichen Absender eines Requests
– Beobachter vor Proxy:
• Schutz des Senders, wenn Verbindung zu Proxy verschlüsselt
From Nutzer x
$sd%6d!3$?&vh%0
Wh.
DIG
15
.03
.2021
224
Proxy
Proxies: Outsider
§ Erreichbare Sicherheit (Outsider)
– Aber: Trotz Verschlüsselung:
• kein Schutz gegen Verkehrsanalysen
– Verkettung über Nachrichtenlängen
– zeitliche Verkettung
Nutzer 1
Nutzer 2
Nutzer 3
Verkehrsanalysen
| || | ||| ||
| || | ||| ||| | || |
|| |||||| | |
|| |||||| | |
| | || |
Wh.
DIG
15
.03
.2021
225
Mix-Netz und praktische Verkettungsangriffe
§ Erreichbare Sicherheit
– für einzelne Runde: perfekt (atomare Betrachtung)
– über längere Zeit und mit Kontexvnformavon
• Abhängigkeit vom Benutzerverhalten
• Abhängigkeit von Verkehrssituavon
§ Beachte: Angreifer ist stets gleich stark
Nutzer 1
Nutzer 2
Nutzer 3
| || | ||| ||
| || | ||| ||| | || |
|| |||||| | |
|| |||||| | |
| | || |Mix Mix»Black Box«
Verkehrsanalysen
Wh.
DIG
15
.03
.2021
226
Strafverfolgung bei schweren Straftaten
§ Entweder: Anordnung nach § 100a,b StPO
– Aktivieren der Funktion nach richterlicher Anordnung
– auf 3 Monate begrenzt
– nur für Zukunft
– wird erfasst in Überwachungsstatistik
§ Oder: Vorratsdatenspeicherung (VDS)
Bedarfsträger
Bedarfsträger:
Erhalten Auskunft
Browser
Web
Server
.
.
.
Server
Server
MIXMIXunobservable data flow
MIXTORCacheProxy
Mixe:
Speichern die Ein-/Ausgabezuordnung
Wh.
DIG
15
.03
.2021
227
Vorratsdatenspeicherung bei Mixen
§ Mixe speichern Ein-/Ausgabezuordnung für 6 Monate
– Problem: Ziel-URLs dürfen nicht gespeichert werden
– Auskunftsersuchen
Bedarfsträger
Bedarfsträger:
Erhalten Auskunm
Browser
Web
Server
.
.
.
Server
Server
MIXMIXunobservable data flow
MIXTORCacheProxy
Mixe:
Speichern die Ein-/Ausgabezuordnung
Wh.
DIG
15
.03
.2021
228
Website-Fingerprinting
§ Entschlüsselung des Datenstroms meist aussichtslos
§ Alternavven:
– Online-Durchsuchung: Direkter Zugriff auf Klartexte durch Installavon einer Souware auf dem Rechner eines Verdächvgen.
– Traffic-Analyse: Durch Analyse charakterisvschen Eigenschauen des Datenverkehrs kann ein passiver Beobachter auf Inhalts und/oder Adressdaten schließen.
§ Beobachtbare Merkmale:
– Auuretenshäufigkeit von Paketen/Verbindungen
– Paketgröße und Datendurchsatz
– Zeitpunkte und Paketzwischenabstände
Wh.
DIG
15
.03
.2021
229
Website-Fingerprinting
§ Traffic-Analyse (passiver Beobachter): Charakterisvsche Eigenschauen des Datenverkehrs lassen Rückschlüsse auf Kommunikavonsbeziehungen zu
– Auuretenshäufigkeit von Paketen/Verbindungen
– Paketgröße und Datendurchsatz
– Zeitpunkte und Paketzwischenabstände
Bedarfs-
träger
Bedarfsträger:
Führen Verkehrsanalyse durch
Browser.
.
.
Server
Server
encrypted linkTOR »Tunnel«
Wh.
DIG
15
.03
.2021
230
Tor und JonDonym: Anonymes Surfen
§ Schutz auch vor dem Betreiber des Anonymisierungsdienstes
– https://www.torproject.org
– https://www.anonym-surfen.de
§ Besonders einfache Verwendung beim anonymen Websurfen mit den integrierten Browsern
– Tor Browser Bundle
– JonDoFox
Wh.
DIG
15
.03
.2021
231
Historische Entwicklung – Privacy Enhancing Technologies
1978 Public-key encryption
1981 MIX, Pseudonyms
1983 Blind signature schemes
1985 Credentials
1988 DC network
1990 Privacy preserving value exchange
1991 ISDN-Mixes
1995 Blind message service
1995 Mixmaster
1996 MIXes in mobile communications
1996 Onion Routing
1997 Crowds Anonymizer
1998 Stop-and-Go (SG) Mixes
1999 Zeroknowledge Freedom Anonymizer
2000 AN.ON/JAP Anonymizer
2004 TOR
Grundverfahren
Anwendungen
Wh.
DIG
15
.03
.2021
Bereitschaft zur datenschutz-freundlichen Gestaltung
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
• Anonymität• Unbeobachtbarkeit• Unverkettbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Bereitschaft
DIG
15
.03
.2021
233
Beispiel einer Datenschutzerklärung (Privacy Policy)
DIG
15
.03
.2021
Quelle: http://www.grueneerde.com/info/service/datenschutz/
DIG
15
.03
.2021
235
Datenschutzerklärung (Privacy Policy)
§ Beispiel: Tool unter hwp://datenschutz-generator.de/
DIG
15
.03
.2021
236
Die 7 Grundprinzipien der Privacy by Design
1. Proaktiv, nicht reaktiv – als Vorbeugung und nicht als Abhilfe
2. Datenschutz als Standardeinstellung
3. Datenschutz ist in das Design eingebettet
4. Volle Funktionalität – eine Positivsumme, keine Nullsumme
5. Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz – für Offenheit sorgen
7. Die Wahrung der Privatsphäre der Nutzer – für eine nutzerzentrierte Gestaltung sorgen
Entwickelt von Ann Cavoukian beim Information & Privacy Commissioner Ontario, Canada in den 1990er Jahren
hbps://www.privacybydesign.ca
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
• Anonymität• Unbeobachtbarkeit• Unverkettbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Privacy by Design (PbD):Schniwmenge von PbDnach der DSGVO und PbD nach Cavoukian
DIG
15
.03
.2021
238
Altes BDSG § 9 Techn. und org. Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der
Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind
Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Anlage zu § 9 Abs. 1 BDSG
1. Zutri�skontrolle (räumlicher Zutri�, Gebäude)
2. Zugangskontrolle (Benutzung, Passwort)
3. Zugri�ontrolle (Berechqgung, Administratoren)
4. Weitergabekontrolle (Transport, Netze)
5. Eingabekontrolle (Nutzer-Protokoll)
6. Aurragskontrolle (Outsourcing, Wartung)
7. Verfügbarkeitskontrolle (Zerstörung)
8. Trennungsgebot (Zwecktrennung)
Technisch-organisatorische Maßnahmen
DIG
15
.03
.2021
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richcgkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
• Minimise• Separate• Aggregate• Perturbate• Hide
• Anonymität• Unbeobachtbarkeit• Unverkettbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
• Enforce• Inform• Control• Demonstrate
Technisch-organisatorische Maßnahmen
Betroffenenrechte
DIG
15
.03
.2021
240
Privacy design strategies in Anlehnung an Hoepman, 2014
AttributesIn
div
idu
als
minimise separate
aggregate
perturbate
hide
DIG
15
.03
.2021
241
Privacy design strategies
§ Technisch
– Minimise: Nur notwendige Daten speichern und verarbeiten
– Separate: Daten verteilt verarbeiten und speichern
– Aggregate: Daten auf das notwendige Maß zusammenfassen
– Perturbate: Daten durch zufällige Störungen ungenau machen
– Hide: Daten nicht in offener Form speichern
§ Organisatorisch
– Enforce: Durchsetzung einer Datenschutz-Policy (access control)
– Inform: Betroffene über Datenverwendung informieren (P3P)
– Control: Eingriffsmöglichkeit der Betroffenen (informed consent)
– Demonstrate: Überprüfbarkeit (privacy management, logging)
in Anlehnung an Hoepman, 2014
DIG
15
.03
.2021
242
Goldene Regeln zur Umsetzung von Datenschutz
§ Aus Sicht der IT-Sicherheit:
– Informieren (Transparenz)
– Auskunftsverfahren etablieren
– Einwilligung, wo nötig
– Weniger (speichern) ist mehr (Datenschutz)
– Regelmäßige Sensibilisierung (wie im Umwelt- und Arbeitsschutz)
– Sanktionen bei Verstößen klarmachen
– Aber: Kontrollieren und beraten, nicht gleich bestrafen!
§ Immer fragen: Was ist Grundlage der Erhebung, Verarbeitung, Speicherung?
– Einwilligung?
– Gesetzliche Vorgabe?
– Aufrechterhaltung des laufenden Betriebs? (IT-Sicherheit)
DIG
15
.03
.2021
Bereitschaft zur datenschutz-freundlichen Gestaltung
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Noxallmanagement• Überprüyarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentacon• …
Stand der Technik
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunft• Berichtigung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
• Minimise• Separate• Aggregate• Perturbate• Hide
• Anonymität• Unbeobachtbarkeit• Unverkettbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
• Enforce• Inform• Control• Demonstrate
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Bereitschaft
Big Data
Algorithmen
DIG
15
.03
.2021
245
Definition von Big Data
Big Data bezeichnet Datenmengen, die
– zu groß sind, oder/und
– zu komplex sind, oder/und
– sich zu schnell ändern und daher
mit herkömmlichen Datenbanksystemen und Datenverarbeitungssystemen nicht mehr effektiv gespeichert und verarbeitet werden können oder durch Anwendung neuer Methoden neue Erkenntnisse aus diesen Datenmengen gewonnen werden können.
in Anlehnung an http://de.wikipedia.org/wiki/Big_Data (2014)
DIG
15
.03
.2021
248
Big-Data-Analyak
§ Deskriptive Big-Data-Analytik
– zur Auswertung, Sichtung und Aufbereitung von Daten; Beispiele:
• Data Mining
• Filterung, Klassifizierung und Priorisierung von Daten
§ Prädiktive Big-Data-Analytik
– Suche nach Indikatoren für einen möglichen Kausalzusammenhang
• Einsichten in das Verhalten von Menschen
• Trends und Verhaltensmuster zur Vorhersage künftigen Verhaltens
§ Präskriptive Big-Data-Analytik
– zur Erreichung bestimmter Ziele
• personalisierte Selektion bei der Preisgestaltung
• Beeinflussung öffentlicher Meinungsbildung
• Einwirkung auf gesellschaftliche Entwicklungen
Nach: Hoffmann-Riem, 2018, S.20f
DIG
15
.03
.2021
249
Prädiktive Big-Data-Analytik: Stecknadeln im Heuhaufen
DIG
15
.03
.2021
250
Carnivore
ISP 1
Sniffer
Kunden
Datenbank des Überwachers
ISP 2
Sniffer
Kunden
ISP 3
Kunden
Überwachungsziel
Sniffer zum ungezieltenÜberwachen (”Rasterfahndung”)Sniffer greift
Datenströme ab,filtert sie undspeichert dieinteressierendenDaten
überwachte Daten werdenfür spätere Analysengespeichert
Router vermitteln dieInternetkommunikation zwischen denISPs
DIG
15
.03
.2021
251
Carnivore
ISP 1
Sniffer
Kunden
Datenbank des Überwachers
ISP 2
Sniffer
Kunden
ISP 3
Kunden
Überwachungsziel
Sniffer zum ungezieltenÜberwachen (”Rasterfahndung”)Sniffer greift
Datenströme ab,filtert sie undspeichert dieinteressierendenDaten
überwachte Daten werdenfür spätere Analysengespeichert
Router vermitteln dieInternetkommunikation zwischen denISPs
Quelle: Wikimedia
DIG
15
.03
.2021
ECHELON
terrestrische Rich�unkstrecke
Überwachungssatellit fängt schwache Reststrahlung der terrestrischen Richtfunkstrecke auf
Bodenstation des Überwachers
Senderichtung
DIG
15
.03
.2021
253
ECHELON
§ Das EU-Parlament über das globale Überwachungssystem ECHELON:
– »... daß nunmehr kein Zweifel mehr daran bestehen kann, daß das System nicht zum Abhören militärischer, sondern zumindest privater und wirtschaftlicher Kommunikation dient, ...«
– »... ihre Bürger und Unternehmen über die Möglichkeit zu informieren, daß ihre international übermittelten Nachrichten unter bestimmten Umständen abgefangen werden; besteht darauf, daßdiese Information begleitet wird von praktischer Hilfe bei der Entwicklung und Umsetzung umfassender Schutzmaßnahmen, auch was die Sicherheit der Informationstechnik anbelangt; ...«
Bericht über die Existenz eines globalen Abhörsystems für private und wirtschaftliche Kommunikation
(Abhörsystem ECHELON) (2001/2098 (INI)). EU Parlament, Nichtständiger Ausschuss über das Abhörsystem Echelon, Sitzungsdokument A5-0264/2001, Teil 1, 11. Juli 2001.
DIG
15
.03
.2021
254Source: hWp://ig.cs.tu-berlin.de/w2000/ir1/referate2/b-1a/
ECHELON
§ Überwachungsstation in Bad Aibling
DIG
15
.03
.2021
256
Soziale Netze und Datenschutz – Der Fall »Strava Heatmap«
§ Fitness-Tracker Website veröffentlicht beliebte Laufstrecken
§ Soldaten des US-Militärs offiziell ausgestattet mit Fitness-Tracker
§ Öffentliche »Heatmap« enthüllt ungewollt geheime US-Bases im Ausland
Sources: hSps://twiSer.com/Nrg8000/status/957318498102865920
hSps://www.theguardian.com/us-news/2018/jan/29/pentagon-strava-fitness-security-us-militaryDIG
15
.03
.2021
258
Anonymisierte Daten…
…können Geheimes verraten.
URL: https://www.politico.com/story/2018/03/05/what-taxi-data-shows-about-the-feds-contact-with-bankers-383751
David Andrew Finer: What Insights Do Taxi Rides Offer into Federal Reserve
Leakage? Working Paper, Booth School of Business, University of Chicago,
March 2018. https://research.chicagobooth.edu/-
/media/research/stigler/pdfs/workingpapers/18whatinsightsdotaxiridesofferintofederalreserveleakage.pdf
DIG
15
.03
.2021
260
Verknüpfung von Datensätzen gefährdet Anonymität Latanya Sweeney, 2000
Ethnicity
Visit date
Diagnosis
Procedure
Medica4on
Total carge
Vermeintlich anonymes medizinisches Register mit Daten von US-Bürgern…
Name
Address
Date registered
Party affiliation
Dat last voted
ZIP
Birth date
Sex
…wurde verknüpft mit öffentlich zugänglichen US-Wählerverzeichnissen
Medical Data Voter List
Beide Datensätze enthalten Geschlecht, Geburtsdatum, Postleitzahl.
Ergebnisse:
• Idenvfizierung der Krankenakte des ehem. Gouverneurs von Massachusews, William Weld, war möglich
• Insgesamt 87 Prozent der US-Bevölkerung kann re-idenvfiziert werden
Latanya Sweeney entwickelte das Konzept der k-Anonymität.
DIG
15
.03
.2021
263
Pseudonymisierte Daten…
…können Persönlichkeitsrechte verletzen.
20 GByte of pseudonymisierter Daten von 170 Mio. Taxifahrten der New Yorker Taxi-gesellschaft
Daten öffentlich abrufbar unter:
http://www.andresmh.com/nyctaxitrips/
Drop-off locations for trips starting at Larry Flynt‘s Hustler Club between
midnight and 6 am during 2013. Source: http://content.research.neustar.biz/blog/differential-privacy/stripRaw.htmlD
IG 1
5.0
3.2
021
265
Der Fall Cambridge Analytica
DIG
15
.03
.2021
266
Der Fall Cambridge Analytica nach: ct 2018, Hes 8, S. 20
>270.000 Facebook-Nutzer
…
Profile von ∅ >190 Freunden
Profil desNutzers
Facebook-App »thisisyourdigitallife« des Psychologen Alexander Kogan greift (mit Einwilligung der Facebook-Nutzer auf Basis der damaligen Privacy-Einstellungen) »zu wiss. Zwecken« auf Profile und Daten von
Freunden zuFB-App
Cambridge Analytica:Weiterverwendung zur gezielten Anzeige von (Wahl)-Werbung: Brexit, Trump, …
Unerlaubte Datenweitergabe
>50 Mio. Facebook-
Profile
Auswertung nach Persönlichkeitsprofilen gem. OCEAN-Modell:• Openness• Conscientiousness• Extraversion• Agreeableness• Neuroticism
DIG
15
.03
.2021
267
Facebooks 98 Datenpunkte zum Targeting Washington Post
https://www.washingtonpost.com/news/the-intersect/wp/2016/08/19/98-personal-data-points-that-facebook-uses-to-target-ads-to-you/
https://netzpolitik.org/2016/98-daten-die-facebook-ueber-dich-weiss-und-nutzt-um-werbung-auf-dich-zuzuschneiden/
1. Ort
2. Alter3. Generation4. Geschlecht
5. Sprache6. Bildungsniveau
7. Ausbildungsbereich8. Schule9. ethnische Zugehörigkeit
10. Einkommen und Eigenkapital11. Hausbesitz und -typ
12. Hauswert13. Grundstücksgröße14. Hausgröße in Quadratmeter
15. Jahr, in dem das Haus gebaut wurde16. Haushaltszusammensetzung
17. Nutzer, die innerhalb von 30 Tagen ein Jubiläum haben
18. Nutzer, die von der Familie oder Heimatstadt
entfernt sind
DIG
15
.03
.2021
268
19. Nutzer die mit jemandem befreundet sind,
der einen Jahrestag hat, frisch verheiratet oder verlobt ist, gerade umgezogen ist oder bald Geburtstag hat
20. Nutzer in Fernbeziehungen21. Nutzer in neuen Beziehungen
22. Nutzer mit neuen Jobs23. Nutzer, die frisch verlobt sind24. Nutzer, die frisch verheiratet sind
25. Nutzer, die vor Kurzem umgezogen sind26. Nutzer, die bald Geburtstag haben
27. Eltern28. Werdende Eltern29. Mü�er in Typen unterteilt („Fußball,
trendy“ etc.)30. Nutzer, die sich wahrscheinlich poliqsch
betäqgen31. Konservaqve und Liberale32. Beziehungsstatus
33. Arbeitgeber34. Branche
35. Berufsbezeichnung
36. Art des Büros
37. Interessen38. Nutzer, die ein Motorrad besitzen39. Nutzer, die planen, ein Auto zu kaufen
(welche Art/Marke, und wann)40. Nutzer, die kürzlich Autoteile oder
Zubehör gekaur haben41. Nutzer die wahrscheinlich Autoteile oder
Service benöqgen
42. Art und Marke des Autos, dass man fährt43. Jahr, in dem das Auto gekaur wurde
44. Alter des Autos45. Wieviel Geld der Nutzer vermutlich für
sein nächstes Auto ausgeben wird
46. Wo der Nutzer vermutlich sein nächstes Auto kaufen wird
47. Wieviele Mitarbeiter die eigene Firma hat48. Nutzer, die kleine Unternehmen haben49. Nutzer, die Manager oder Führungskräre
sind50. Nutzer, die für wohltäqge Zwecke
gespendet haben (unterteilt nach Art)
Facebooks 98 Datenpunkte zum Targeting Washington Post
DIG
15
.03
.2021
269
51. Betriebssystem
52. Nutzer, die Browserspiele spielen53. Nutzer, die eine Spielekonsole besitzen54. Nutzer, die eine Facebook-Veranstaltung
erstellt haben55. Nutzer, die Facebook-Payments benutzt
haben56. Nutzer, die mehr als üblich per Facebook-
Payments ausgegeben haben
57. Nutzer, die Administrator einer Facebookseite sind
58. Nutzer, die vor Kurzem ein Foto auf Facebook hochgeladen haben
59. Internetbrowser
60. Emailanbieter61. „Early Adopters“ und „late Adopters“ von
Technologien62. Auswanderer (sortiert nach dem
Ursprungsland)
63. Nutzer, die einer Genossenschaftsbank, einer nationalen oder regionalen Bank
angehören
64. Nutzer, die Investoren sind (sortiert nach
Typ der Investition)65. Anzahl der Kredite66. Nutzer, die aktiv eine Kreditkarte
benutzen67. Typ der Kreditkarte
68. Nutzer, die eine Lastschriftkarte haben69. Nutzer, die Guthaben auf der Kreditkarte
haben
70. Nutzer, die Radio hören71. Bevorzugte TV-Shows
72. Nutzer, die ein mobiles Gerät benutzen (nach Marke aufgeteilt)
73. Art der Internetverbindung
74. Nutzer, die kürzlich ein Tablet oder Smartphone gekauft haben
75. Nutzer, die das Internet mit einem Smartphone oder einem Tablet benutzen
76. Nutzer, die Coupons benutzen
77. Arten von Kleidung, die der Haushalt des Nutzers kauft
Facebooks 98 Datenpunkte zum Targeting Washington Post
DIG
15
.03
.2021
270
78. Die Zeit im Jahr, in der der Haushalt des
Nutzers am meisten einkaur79. Nutzer, die „sehr viel“ Bier, Wein oder
Spirituosen kaufen
80. Nutzer, die Lebensmi�el einkaufen (und welche Art)
81. Nutzer, die Kosmeqkprodukte kaufen 82. Nutzer, die Medikamente gegen Allergien
und Schnupfen/Grippe, Schmerzmi�el und
andere nicht-verschreibungspflichqge Arzneimi�el einkaufen
83. Nutzer, die Geld für Haushaltsgegenstände ausgeben
84. Nutzer, die Geld für Produkte für Kinder
oder Hausqere ausgeben (und welche Art von Hausqer)
85. Nutzer, deren Haushalt mehr als üblich einkaur
86. Nutzer, die dazu neigen online (oder
offline) einzukaufen87. Arten von Restaurants, in denen der Nutzer
isst
88. Arten von Läden, in denen der Nutzer
einkauft89. Nutzer, die „empfänglich“ für Angebote
von Firmen sind, die Online-
Autoversicherungen, Hochschulbildung oder Hypotheken, Prepaid-Debitkarten
und Satellitenfernsehen anbieten90. Wie lange der Nutzer sein Haus bereits
bewohnt
91. Nutzer, die wahrscheinlich bald umziehen92. Nutzer, die sich für Olympische Spiele,
Cricket oder Ramadan interessieren93. Nutzer, die häufig verreisen (geschäftlich
oder privat)
94. Nutzer, die zur Arbeit pendeln95. Welche Art von Urlaub der Nutzer bucht
96. Nutzer, die kürzlich von einem Ausflug zurückkommen
97. Nutzer, die kürzlich eine Reise-App
benutzt haben98. Nutzer, die ein Ferienwohnrecht haben
Facebooks 98 Datenpunkte zum Targeting Washington Post
DIG
15
.03
.2021
271
Ähnlichkeitsvergleich des Nutzungsverhaltens der Internetnutzer
Datenanalyse des Surfverhaltens Gerber, 2009
DIG
15
.03
.2021
272
Usage amelines and ip-geo-tagging
Colour: locationLightness: usage intensity
DIG
15
.03
.2021
273
Stromverbrauch verrät Infos über persönliche Lebensverhältnisse
DIG
15
.03
.2021
274
Big Data – Die Technik im Mittelpunkt!
Qu
elle
: W
ikim
ed
ia
• unbegrenzter Speicher
• viel Bildschirmfläche
• large-scale compuvng
• hoher Stromverbrauch
• starke Verkewbarkeit
DIG
15
.03
.2021
275
Cathy O’NeilWeapons of Math Destruction
§ A signature of a Weapon of Math Destruction is that it’s used to determine some critical element in the lives of many people.
§ We’ve made the decision as a society to stamp out discrimination based on race, gender, sexual orientation, or disability status—and fortunately, most data scientists know to be very careful when using these attributes to categorize people or model behavior.
§ The attributes we’re trying to model (like criminality, trustworthiness, or fitness for a job) don’t actually exist. Because of this, data scientists often rely on other variables they believe might correlate with what they’re trying to measure.
§ Even well-intentioned algorithms can have flawed assumptions built in.
Quotes from
https://spectrum.ieee.org/tech-talk/computing/software/are-you-making-a-weapon-of-math-destruction
DIG
15
.03
.2021
276
Big Data – Der Mensch im Mittelpunkt?
§ große Transparenz (wünschenswert)
§ starke Offenheit (erwartet)
§ starke Kontrolle (notwendig)
§ Orwells Metapher in 1984
– Lückenlose Überwachung und Bevormundung von Menschen durch Menschen (Big Brother)
§ Neue Metapher in 20xx
– Lückenlose Überwachung und Profilbildung von Menschen durch Computer (Big Data) … durch Menschen
DIG
15
.03
.2021
277
Auszug aus Arakel 22 DSGVO
Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden
Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
…
Auszug aus Erwägungsgrund 71:
Die betroffene Person sollte das Recht haben, keiner Entscheidung […] unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie
die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter
Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten,
Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
DIG
15
.03
.2021
278
Automatisierte Entscheidungen im Einzelfall einschl. Profiling
§ DSGVO Art. 22 (1) Automatisierte Entscheidungen
– automatisierte Entscheidungen verletzen das Persönlichkeitsrecht
– Profiling verletzt das Persönlichkeitsrecht
– Erwägungsgrund 71 nennt Beispiele:
• Online-Kreditantrag
• Online-Einstellungsverfahren
• Analyse oder Prognose von
– Arbeitsleistung
– wirtschaftlicher Lage
– Gesundheit
– persönlichen Vorlieben oder Interessen
– Zuverlässigkeit oder Verhalten
– Aufenthaltsort oder Ortswechsel
DIG
15
.03
.2021
279
Neubestimmung des Begriffs personenbezogene Daten
§ Personenbezogene Daten sind auch Daten, die als Ergebnis einer Big-Data-Analyse entstehen.
– allgemein und ohne Herleitung aus Daten speziell der konkret betroffenen Person
– Beispiele: Person wohnt in einem besvmmten Stadweil; daraus Ableitung von Finanzkrau, Herkunu, sexueller Orienverung, Gesundheit
§ Personenbezogene Daten sind auch Daten, deren Personenbezug durch Anonymisierung enxällt.
– Möglichkeiten der Deanonymisierung und Ableitung von Eigenschauen düruen nicht unterschätzt werden
– Beispiele: New York Taxi Data Analyvcs, StravaHeatmap
§ ebenso krivsch pseudonymisierte, aggregierte, perturbierte, verschlüsselte Daten betrachten
Nach: Hoffmann-Riem 2018, S.55
DIG
15
.03
.2021
280
nach: Martini 2017
Spannungsfeld der Regulierung von Algorithmen
Förderung digitaler Wertschöpfungspotenziale
Schutz der Persönlichkeitsrechte
Schutz der Betriebs- und Geschäftsgeheimnisse
GI vom BMJV mit einer Machbarkeitsstudie für ein Algorithmengesetz beausragt.
DIG
15
.03
.2021
281
Ansatzpunkte für die Regulierung von Algorithmen
(1) Präventiv(2) Einsatz-begleitend
(3) Selbst-regulierend
(4) Ex-Post
• Art. 22 DSGVO
• Transparenz- Kennzeichnungs-
pflicht
- Begründungspflicht- Transparenz-
anforderungen• Ex-ante-Kontrolle• AGG
• Kontrollalgorithmen &
Standardisierung• Risikomanagement• Protokollierung der
Programmabläufe
• Algorithmic
ResponsibilityKodex mit Erklärungspflicht
• Haftung
- Beweislastverteilung- Gefährdungshaftung
• Erweiterung prozess.
Handlungsräume- Abmahnbefugnisse
- Verbandsklagerecht / Schiedsstelle
- Nebenfolgen-
kompetenz
GI vom BMJV mit einer Machbarkeitsstudie für ein Algorithmengesetz beauftragt.
nach: Marcni 2017
DIG
15
.03
.2021
Bereitschaft zur datenschutz-freundlichen Gestaltung
• Pseudonymisierung• Verschlüsselung• Vertraulichkeit• Integrität• Verfügbarkeit• Belastbarkeit• Wiederherstellbarkeit • Notfallmanagement• Überprüfbarkeit• Bewertung• Evaluierung
• Beschränkung auf Verarbeitungszweck• Beschränkung des Umfangs• Beschränkung auf Speicherfristen• Beschränkung der Zugänglichkeit
Datenschutzgrundsätze
KostenArt, Umfang,
Umstände, ZweckeRisiko-
management
Privacy by Design
Privacy byDefault
• Verbot mit Erlaubnisvorbehalt oder Einwilligung• Ersterhebung bei betroffener Person• Gute Dokumentation• …
Stand der Technik
Zweck-bindung
Richtigkeit Speicher-begrenzung
Rechenschafts-pflicht
• Auskunn• Berichcgung• Löschung• Einschränkung der
Verarbeitung• Datenübertragbarkeit• Widerspruchsrecht
ROSI
Initiierung
Si-Konzept
Umsetzung
Erhaltung
Kontext
Bewertung
Gew-Ziele
Soll-Ist-An
Feedback
• Minimise• Separate• Aggregate• Perturbate• Hide
• Anonymität• Unbeobachtbarkeit• Unverkebbarkeit
Daten-minimierung
Privacy Policy
Daten-sicherheit
Rechtmäßigkeit, Transparenz
• Enforce• Inform• Control• Demonstrate
Technisch-organisatorische Maßnahmen
Betroffenenrechte
Bereitschan
Big Data
Algorithmen
PIMS
DIG
15
.03
.2021