Die DSGVO mit SAS Die (ersten) Schritte zur Compliance Rainer Sternecker

Worum geht es? EU-Datenschutz-Grundverordnung (DSGVO) • Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai 2018 wirksam. • Die Reform stärkt Grundrechte der EU-Bürger im digitalen Raum mit Fokus auf personenbezogene Daten. • Die Verordnung fordert Techniken wie Anonymisierung (PD* entfernen), Auditing, Monitoring und Data Lineage. • europa.eu/rapid/press-release_MEMO-15-6385_de.htm

*) personenbezogene Daten

Inhalte (Auszug) 1. Verantwortung und Nachweispflicht a. b.

Data Protection Impact Assessments (DPIA) Privacy by Design und Privacy by Default

2. Einverständnis a.

b.

Eine valide Einverständniserklärung muss explizit für die gesammelten Daten und ihren Verwendungszweck vorliegen. Datenverantwortliche müssen Einverständnis nachweisen können (Opt-in); das Einverständnis kann widerrufen werden.

3. Datenschutzbeauftragter (Data Protection Officer) a.

verantwortlich für Sicherstellung der Compliance im Unternehmen

4. Datenschutzverletzungen a. b.

Wie reagieren Sie bei einer Verletzung des Datenschutzes/ der Datensicherheit? Rechtliche Verpflichtung, die Aufsichtsbehörden unmittelbar zu informieren

Company Confidential - For Internal Use Only, Copyright © 2016, SAS Institute Inc. All rights reserved.

5. Löschpflichten a.

Recht auf Vergessenwerden / Löschen

6. Datenübertragbarkeit a.

b.

Übertragung der personenbezogenen Daten von einem elektronischen Verarbeitungssystem in ein anderes Grenzüberschreitende Datenübermittlung

Die DSGVO und wir: Vor- und Nachteile

Vorteile

Nachteile

für Bürger:

   

Datenschutz Recht auf Vergessen Datenzugriff Recht auf Auskunft

 keine

für Unternehmen:

    

 keine 1 Regelung statt 28 1 Aufsicht statt 28 1 Recht für alle Datenzugriff endlich unternehmensweite DQ/DG!!!

Themenfelder mit Bauchweh und Handlungs-/Klärungsbedarf Informationspflicht

Informationen an die betroffene Person bezüglich der verarbeiteten Daten, des Verantwortlichen, des Zwecks sowie der entsprechenden Aufbewahrungspflichten.

Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbarem Format zu erhalten.

Berichtigung

Personenbezogene Daten müssen korrekt sein und berichtigt werden (spätestens nach Aufforderung der betroffenen Person).

Löschen/Sperren

Die Möglichkeit, personenbezogene Daten nach Ablauf aller entsprechenden Aufbewahrungsfristen zu löschen.

Einschränkung der Verarbeitung

Die betroffene Person hat in bestimmten Fällen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.

Automatisierte Entscheidung

Die betroffene Person hat bei der automatischen Entscheidung das Recht, das Eingreifen eines Menschen zu verlangen.

Welche Daten sind nochmal betroffen? Alle Daten. Wirklich „alle“ Daten? Ja, alle Daten.

EU-Datenschutz-Grundverordnung (DSGVO) Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann. Indirekt = Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Big Data versus Datenschutz Studie https://ico.org.uk/for-organisations/guide-to-data-protection/big-data/ “A recent MIT study looked at records of three months of credit card transactions for 1.1 million people and claimed that, using the dates and locations of four purchases, it was possible to identify 90 percent of the people in the dataset.”

“It may not be possible to establish with absolute certainty that an individual cannot be identified from a particular dataset[…] The issue is not about eliminating the risk of re-identification altogether, but whether it can be mitigated so it is no longer significant.” Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

Autarke Systeme versus Data Governance Ein neues Dilemma

Artificial Intelligence Self-/Deep-Learning Dezentrale Systeme

Compliance Datenschutz Transparenz Kontrolle

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

Personal Data Protection Merkmale •

Bank Account

•

o Bank Identifier Code (BIC) o IBAN

•

•

American Express VISA MasterCard Dinners Club Discover JCB

•

Name Geschlecht Geburtsdatum Alter Nationalität

•

Copyright © 2016, SAS Institute Inc. All rights reserved.

Digitale Identifizierungsmerkmale

Sociale Medien o o o o o

Kanäle o Telefonnummer o Adresse o Stadt o Land o Email Addresse

Passnummer Sozialversicherungsnummer Fahrgestellnummer Führerschein

o IP Adresse (V4, V6) o MAC Adresse o X/Y Geographische Koordinaten

Demographische Daten o o o o o

•

o o o o

Kreditkartennummer o o o o o o

Behörden Identifizierungsmerkmal

•

Twitter Account URL FaceBook URL Linkedin URL Pinterest URL Instagram

Organisation

•

Sensitive Daten o o o o o o o o o

Gesundheit Politisch Religiös Philosophisch Genetisch Biometrisch Ethnisch Kinder Mitgliedschaften

DSGVO Analyse Operative Systeme

DWH Data Stores

Datenprozesse IDV - CI - Analytics

Web

Reports / Analysen

User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?

ERP

Strategische Entscheidungen In neue Märkte investieren?

CRM

Offenlegungen Behörden Stakeholder Partner

SCM

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

DSGVO Analyse (1) Erkennen von PD Operative Systeme

DWH Data Stores

Datenprozesse IDV - CI - Analytics

Web

Reports / Analysen

User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?

ERP

Strategische Entscheidungen In neue Märkte investieren?

CRM

Offenlegungen Behörden Stakeholder Partner

SCM

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

ACCELERATOR FOR EU DATA PROTECTION

Beispiel:

Aufspüren und Extrahieren mithilfe vordefinierter DQ-Regelwerke (SAS® Quality Knowledge Base)

Copyright © 2016, SAS Institute Inc. All rights reserved.

DSGVO Analyse (2) Identifizieren und (3) Zuordnen Operative Systeme

DWH Data Stores

Datenprozesse IDV - CI - Analytics

Web

Reports / Analysen

User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?

ERP

Strategische Entscheidungen In neue Märkte investieren?

CRM

Offenlegungen Behörden Stakeholder Partner

SCM

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

ACCELERATOR FOR EU DATA PROTECTION

Verknüpfung von Systemen, Prozessen und Verantwortlichen entlang der Datenflüsse

Copyright © 2016, SAS Institute Inc. All rights reserved.

ACCELERATOR FOR EU DATA PROTECTION

•

Automatisiertes Glossar der personenbezogenen Daten

•

Definition von Begriffen und Geschäftsobjekten, um eine Zusammenarbeit von Fachabteilung und IT zu gewährleisten

•

Klare Übersicht der Rollen und Verantwortlichkeiten

Copyright © 2016, SAS Institute Inc. All rights reserved.

DSGVO Analyse (5) Überwachen Operative Systeme

DWH Data Stores

Datenprozesse IDV - CI - Analytics

Web

Reports / Analysen

User Operative Entscheidungen Dieses Produkt dem Kunden anbieten?

ERP

Strategische Entscheidungen In neue Märkte investieren?

CRM

Offenlegungen Behörden Stakeholder Partner

SCM

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

DSGVO mit SAS Data Quality

Lineage

Business Data Network

Federation Server

Visual Analytics

Erkennen

Identifizieren

Zuordnen

Absichern

Überwachen

• Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan) • Inventurliste PD-kritischer Felder

• Verbinden mit den DatenflussMetadaten zur Dokumentation der Prozesse • Visualisierung der Lineage

• Rollenbasiertes Glossar mit Verantwortlichen • Verknüpfung fachlicher Verfahren mit technischem Data Dictionary

• Zentrale Zugriffsbeschränkung mit dynamischen UserRechten • Federation • Pseudonymisierung • Anonymisierung

• DSB-Dashboard • Auditing-Logs • Monitoring • Eskalieren und Nachhalten von Verstößen per Workflow

Copy rig ht © SA S Institute Inc. A ll rig hts re se rve d.

Zusammenfassung • • • •

Anforderungsaufnahme

Definierter Umfang Kurze Projektlaufzeit - Schneller Erfolg End-to-End Unterstützung durch SAS Quickstart Service individuell erweiterbar

Installation

Access

Identify

Govern

Protect

Audit

• Profiling • Identifikation persönlicher Daten • Erste DQ-Analyse (z.B. DuplikateCheck)

• Dokumentation von Datenflüssen • Analyse von Auswirkungen und Abhängigkeiten • Erstellung eines Glossars

• Anonymisierung (PD entfernen) / Pseudonymisierung (PD ersetzen) / Verschlüsselung

• Erstellung eines Beispielberichts der Benutzerzugriffe

Implementierung

Coaching / Training

• Anbindung einer Datenquelle • Exemplarische Vergabe von Zugriffsrechten