Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 08 - DSGVO - Privacy by Design

1. 1
Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
Rechtsverträgliche
Technikgestaltung
„Privacy by Design“
Workshop Datenschutz in der Gesetzlichen Unfallversicherung
26 April 2018

2. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
„Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO)
Gesetzliche Anforderungen
2
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Datenschutz durch Technikgestaltung:
• Berücksichtigung des Stands der Technik und der
Implementierungskosten
• Auf der Grundlage einer Risikoanalyse
 Geeignete technische und organisatorische Maßnahmen
zur wirksamen Umsetzung des Datenschutzes
Datenschutzfreundliche Voreinstellungen:
 Geeignete technische und organisatorische Maßnahmen
zur Sicherstellung, dass durch Voreinstellung nur
erforderliche personenbezogene Daten verarbeitet werden
• Betrifft: Menge der Daten, Verarbeitungsumfang,
Speicherfrist, Zugänglichkeit
…erforderlich, wenn und soweit:
• Ein hohes Risiko für Rechte und Freiheiten vorhersehbar
ist, z.B. durch Einsatz neuer Technologien
• Bestimmte besonders risikobehaftete Datenverarbeitung
erfolgt, z.B. Profiling, systematische Überwachung,
Verarbeitung besonderer Datenkategorien
…beinhaltet unter anderem:
• Abhilfemaßnahmen, Sicherheitsvorkehrungen und
Verfahren zum Schutz der personenbezogenen Daten
• Fortwährende Überprüfung und ggf. Neubeurteilung bei
Änderungen

3. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Konzept „Privacy by Design“
3
PETs
Fertige
Standard-
Software
Älterer Ansatz: nachträgliche Anpassung an
Datenschutzanforderungen
• Datenschutz-
anforderungen
• Datenschutz-
freundliches Design
• Technische
Umsetzung in
Datenstruktur
Individual-
software
oder neue
Standard-
Software
Privacy by Design: Berücksichtigung von
Datenschutzanforderungen von Anfang an

4. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Design-Prinzipien (Auswahl)
4
Minimieren
• Auswahl nur notwendiger Datenfelder
• Möglichkeit der Nichterhebung im
Einzelfall
• Nutzung von Pseudonymen
Verbergen
• Nichtanzeige
• Verschleierung des Umfangs durch
Verschlüsselung
• Vermischung mit sonstiger
Datenübertragung
Trennen
• Verschiedene Datenbanken für
verschiedene Quellen
• Keine übergreifenden
Identifikationsmerkmale
• Dezentrale Speicherung und
Verarbeitung
Zusammenfassen
• Viele Auswertungszwecke erfordern
keine Unterscheidung einzelner
Personen
• Ereignisse pro Zeitraum
zusammenfassbar
• Differenzieller Datenschutz
Durchsetzen
• Technische Umsetzung statt
Handlungsanweisungen
• Weitergabe von
Datenschutzmaßnahmen bei
Übermittlung
• Unternehmensübergreifendes
Berechtigungsmanagement
Dokumentieren
• Aufzeichnung von Zugriffen und
Änderungen an Daten
• Auditierung auf Unregelmäßigkeiten
• Revisionssicherheit

5. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Anforderungsmanagement
(Auftraggeber)
5
Fachliche
Beschreibung des
Geschäftsprozesses
Ergänzung mit
Datenkategorien,
Betroffenen,
Datenquellen,
Datenübermittlungen,
etc.
Datenschutzprüfung:
- Rechtsgrundlage
- Verarbeitungs-
grundsätze
- besondere Risiken
Umsetzung im Rahmen von Beschaffungs- oder Erstellungsprojekten
Aufnahme von
„Privacy by Design“
Anforderungen in
Fachspezifikation
Datenschutzprüfung
der vorgeschlagenen
konkreten
Maßnahmen im
Pflichtenheft auf
Geeignetheit
Kontrolle der
Umsetzung der
Maßnahmen

6. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Vergabeverfahren
Besonderheiten
6
Erstellungsprojekt
Offenes Verfahren
• Technologieneutralität und Produktneutralität
• Konkrete Datenschutzmaßnahmen abhängig von
eingesetzter Technologie/Produkt
• Umfangreiche Prüfung der Geeignetheit und
Angemessenheit von Maßnahmen
Andere Verfahrensarten
• Einschränkung Teilnehmerkreis sinnvoll möglich?
• Mehrstufige Verfahren (z.B. wettbewerblicher Dialog)
zeitaufwändig
…nach Wasserfall- oder V-Modell:
• Detaillierungsgrad Fachspezifikation bestimmt Soll-
Beschaffenheit (für Gewährleistung, etc.)
• Umsetzung konkreter Maßnahmen bleibt in Verantwortung
des Auftragnehmers
• Vorschnelle Auswahl von Maßnahmen kann zu Change-
Request führen
…nach agiler Methode:
• Fortlaufende Involvierung auch des
Datenschutzbeauftragten bzw. externer Berater
• Datenschutzrechtliche Neubewertung der Maßnahmen bei
signifikanter Änderung des Datenmodells bzw. der
technischen Gestaltung erforderlich

7. Private & Confidential. Not for distribution.
© DWF Germany Rechtsanwaltgesellschaft mbH 2017 www.dwf.law
EU-DSGVO-Workshop für die Träger der Gesetzlichen Unfallversicherung, 26.04.2018, Berlin
Kontakt
7
Thorsten Jansen, LL.M.
Rechtsanwalt (attorney at law)
T +49 221 534098-0
E Thorsten.Jansen@dwf.law

8. © DWF Germany Rechtsanwaltsgesellschaft mbH 2017.
DWF Germany Rechtsanwaltsgesellschaft mbH is a limited
company incorporated in Germany and registered at the
local court of Cologne with number HRB 68568,
represented by the managing directors Oliver Bolthausen,
LL.M. (USA), FCIArb (UK), Klaus M. Brisch, LL.M.
(USA), Michael Falter, Dr. Mathias Reif. Copyright in this
document belongs to DWF Germany
Rechtsanwaltsgesellschaft mbH which asserts the right to be
identified as such and hereby objects to any misuse thereof.
This information is intended as a general discussion
surrounding the topics covered and is for guidance purposes
only. It does not constitute legal advice and should not be
regarded as a substitute for taking legal advice.
dwf.law
DWF is a global legal business, connecting expert
services with innovative thinkers across diverse
sectors. Like us, our clients recognise that the world is
changing fast and the old rules no longer apply.
That’s why we’re always finding agile ways to tackle
new challenges together. But we don’t simply claim to
be different. We prove it through every detail of our
work, across every level. We go beyond conventions
and expectations.
Join us on the journey.
Beyond borders, sectors and expectations