Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
-
Upload
bernd-fuhlert -
Category
Documents
-
view
687 -
download
3
description
Transcript of Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 1
Datenschutz und IT-Sicherheit
Ansätze. Rechtsfragen. Verantwortlichkeiten.
DATATREE AG
Exkursion FOM Düsseldorf
Heubesstraße 10, 40597 Düsseldorf
Freitag, 09. Dezember 2011
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 2
Inhalt
Leistungsprofile DATATREE 3
Vorbemerkungen 4
Warum Datenschutz - Sinn und Zweck 8
Besonderheit der IT-Administratoren 18
Haftungsmatrix 21
Was ist zu tun, wenn…? 25
Andere Länder – andere Gesetze 26
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 3
Leistungsprofile der DATATREE
DATATREE AG | Seite 3
Compliance Recht
Mitwirkung bei der Umsetzung
betrieblicher Regelungen zum
Datenschutz
Erstellung von rechtlichen
Gutachten zur Compliance
Bewertung und Optimierung
von Haftungsrisiken
Vertragsgestaltung zur ADV
und Funktionsübertragung
Compliance IT
Stärken-Schwächen-Analyse
(SWO) der Datensicherheit
Strategieentwicklung
(Inhouse, Outsourcing)
Maßnahmenplanung bei
Lücken im Datenschutz und
Datensicherheit (BSI,ITIL)
Regelmäßige Prüfung zum
Erhalt des Datenschutzniveaus
(SW/HW)
Stellung
Datenschutzbeauftragte
Erstellung gesetzlicher
Verfahrensverzeichnisse
Erstellung von
Verarbeitungsverzeichnissen
Beschreibung, Analyse des
bestehenden Datenschutzes
Erstschulungen für Mitarbeiter
Aufbau von Datenschutz-
konzepten (Schutz vor
Wissentsransfer oder Diebstahl)
Ausbildung zu externen
Datenschutzbeauftragten
Weitere Services
& Produkte
Audits gemäß § 11 BDSG und
Erstellung von Gutachten für
Auftragnehmer
Krisenmanagement
Zertifizierungen
Marketingkonzepte zur daten-
schutzkonformen Generierung
von Daten
Escrow (THD-Bank für sensitive
Daten)
Whistleblowingstelle
Treuhand-Datenbank
Google Ad-Words Datenbank
Leistungsprofile
- Unternehmensvisionen und -ziele definieren und festlegen
- Strategien entwickeln und umsetzen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 4
Vorbemerkung
Zielgerichtete Compliance Maßnahmen gewährleisten jederzeit rechts-
konformen und technisch funktionierenden Datenschutz und Datensicherheit.
Eine der Schnittstellen zwischen Datenschutz und Datensicherheit bildet § 9
BDSG und die dazu gehörige Anlage (besser bekannt als TOMs).
Dort werden losgelöst vom aktuellen technischen Standard Oberbegriffe
definiert, die konkrete datenschutzrechtliche und datensicherheitstechnische
Kontrollmaßnahmen erfordern.
Dennoch kann Datensicherheit gegeben sein, obwohl gegen datenschutz-
rechtliche Gesetze und Regelungen verstoßen wird.
Zu beachten: Die Datenschutzaufsicht selbst muss vom „Kostengesetz“
ausgehen und kann für ihre Tätigkeit - ausgehend von der „Bedeutung“ der
Angelegenheit - weitgehend frei kalkulieren.
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 5
Warum Datenschutz - Steigerung der Datenmengen
Social Media und andere neue Formen der Medien erreichen in immer kürzeren
Intervallen mehr User und erhöhen somit die Datenmengen exponentiell:
* Anzahl Jahre um 50 Millionen User zu erreichen
Radio 38 Jahre* Internet 4 Jahre*
TV 13 Jahre* iPod 3 Jahre*
Facebook: 100 Millionen User in
weniger als 9 Monaten*
iPod applications:
1 Milliarde Downloads
in nur 9 Monaten*
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 6
Warum Datenschutz - Sinn und Zweck des Gesetzes
Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt.
Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können.
Daten von juristischen Personen, Vereinen, Verbänden etc. sind durch das BDSG nicht geschützt.
Datenschutz ist ein Grundrecht!
Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. (Art. 2 GG)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 7
Warum Datenschutz - Sinn und Zweck des Gesetzes
Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personen-
bezogener Daten, erlaubt diese aber unter bestimmten Voraussetzungen
(Verbot mit Erlaubnisvorbehalt).
Datenerhebung ist somit zulässig, wenn sie ...
durch das BDSG selbst ...
Beispiel: öffentlich zugängliche Daten
oder durch eine andere Rechtsvorschrift ...
Beispiel: Steuern, Abgaben
oder durch die Einwilligung des Betroffenen ...
Beispiel: Einverständniserklärung zur Datennutzung
... erlaubt wird.
gesetzliche
Grundlage
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 8
Warum Datenschutz - Sinn und Zweck des Gesetzes
Bestimmbar wird eine Person,
wenn ihre Identität durch die
Kombination des Datums mit einer
anderen Information feststellbar
wird.
IP-Adresse
Abgleich mit
Providerdaten
Bestimmt ist eine
Person, wenn sich ihre
Identität direkt aus dem
Datum selbst ergibt.
Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte
oder aber auch bestimmbare Person beziehen.
Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartenummer, Telefonnummer
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 9
Warum Datenschutz - Sinn und Zweck des Gesetzes
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 10
Möglichkeiten der Datenerhebung im Unternehmen
1. Möglichkeit
im Rahmen der
Zweckbestimmung
gemäß § 28 (1) BDSG (z. B. des Arbeitsverhältnisses)
2. Möglichkeit
individuelle Einwilligung
gemäß § 4 a BDSG
3. Möglichkeit
kollektivrechtliche
Einwilligung (Betriebsvereinbarung)
Datenschutzrechtliche Zulässigkeit von automatisiert verarbeiteten personen-
bezogenen Daten von Mitarbeitern im Unternehmen:
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 11
Möglichkeiten der Datenerhebung im Unternehmen
1. Möglichkeit
Im Rahmen der Zweckbestimmung
nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG
Direktionsrecht des Arbeitgebers
Zu- und Abgangsdaten
Private Nutzung von Betriebsmittel
Wenn Betriebsrat vorhanden:
Betriebsvereinbarung erforderlich
Beispiel: Zeiterfassung, PKW - Nutzung
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 12
Möglichkeiten der Datenerhebung im Unternehmen
2. Möglichkeit
Individuelle Einwilligung Einwilligung (z. B. im Arbeitsvertrag) rechtfertigt jederzeit Eingriff in die Persönlichkeitsrechte
Sonderfall: E-Mail und Internet
Beides sind Betriebsmittel zur Erbringung der Arbeitsleistung ABER! mit Bereitstellung privater Nutzungsmöglichkeit wird AG
zum geschäftsmäßigen TK-Anbieter (E-Mail - § 3 Nr. 10 TKG)
zum Telemedienanbieter (Internet - § 2 Abs. 1 TMG)
und damit infiziert das Fernmeldegeheimnis Mailpostfach und die
Internetlogfiles
Beispiel: Aufzeichnung, Auswertung und Speicherung
der E-Mails und Internetverbindungen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 13
Möglichkeiten der Datenerhebung im Unternehmen
3. Möglichkeit
Betriebsvereinbarung
Mitbestimmung gemäß § 75 Abs. 2 BetrVG:
Arbeitgeber und Betriebsrat haben die freie Entfaltung der
Persönlichkeit der Beschäftigten zu schützen
Betriebsvereinbarungen haben Vorrang vor dem BDSG (BAG Beschluss vom 27.5.1986)
Betriebsvereinbarung ersetzt die individuelle Einwilligung
Beispiel: Pausenzeiten, Nachbearbeitungszeiten im
Service Center (technische Überwachung darf keinen
permanenter Überwachungsdruck ausüben)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 14
Problemfall: DATA Mining
Lösung: Anonymisierung und Pseudonymisierung
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 15
Exkurs in die Welt der Gerichte
Auskunftsanspruch gegenüber einem TK-Unternehmen zur Feststellung der Vaterschaft
Aus Spaß wurde ernst – d. h. konkret aus einem sexuellen Kontakt ein Kind. Die Mutter kannte aber nur Vornamen und Handy-Nummer des Vaters. Da sich das Telekommunikationsunternehmern weigerte, die Daten des Anschlussinhabers preiszugeben, hatte das Landgericht Bonn in seinem Urteil vom 29.09.2010 über die geforderte Auskunft zur Feststellung der Vaterschaft zu entscheiden.
Im Ergebnis verneinte das Landgericht Bonn einen Auskunftsanspruch der Mutter gegenüber dem Telekommunikationsunternehmen. Die Bonner Richter sahen keine eigene Anspruchsgrundlage für ein solches Auskunftsverlangen.
Allerdings ließen sie gleichzeitig Raum für einen Auskunftsanspruch des Kindes, über den aber nicht entschieden wurde.
(LG Bonn Az.: 1 O 207/10)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 16
Besonderheit der IT-Administration
Die Aufgaben eines Systemadministrators sind vielfältig:
Einführung in den Datenschutz | Seite 16
Analyse und Bewertung des
Soft- und Hardwarebedarfs
Installation und Konfiguration von
Software, Systemen und Komponenten
Planung und Überprüfung von
Sicherheitsmaßnahmen gegen
Angriffe von außen und innen
Benutzersupport
Administration von
Servern und Anwendungen
Einrichtung und Verwaltung von Nutzerkonten,
Zugriffsrechten, Verzeichnisdiensten
Dabei genießt er weitgehende technische Möglichkeiten
Was darf der Admin wissen?
Was darf das Unternehmen(Behörde)?
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 17
Besonderheit der IT-Administration
Keine Immunität für Administratoren
Aufgabe von Administratoren ist es zwar, Vertraulichkeit, Integrität und
Verfügbarkeit von Informationen sicherzustellen. Allerdings zählt dazu nicht, die
verschiedenen Inhalte einzusehen oder gar auszuwerten.
Beschäftigt ein Unternehmen mehr als einen Administrator, sollten die Admin
Rollen in unterschiedliche Bereiche aufgeteilt werden.
Alle Rollen sollten aber im Notfall auf jeden Admin übertragbar sein.
Administratoren sollten nur die Passwörter kennen, die sie für die Erfüllung
Ihrer routinemäßigen Aufgaben benötigen.
Fazit: So viel Einsichtsrechte wie nötig, so wenig wie möglich!
(Need to Know-Prinzip)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 18
Besonderheit der IT-Administration
Auswertung von Logfiles und Protokollen
Kritische Tätigkeiten
Remotezugriff auf einen PC, insbesondere Spiegelung einer
Benutzersitzung ohne vorherige Information des Anwenders
Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels
der Standard-Adminfreigaben des Betriebssystems oder anderer
Funktionen ohne vorherige Information des Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das
E-Mail-Postfach eines Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das Home-
Verzeichnis eines Anwenders ohne vorherige Information des
Anwenders
Nutzung jeder Funktionalität gleich welcher Art, die einen
unbemerkten Zugriff auf einen PC ermöglicht
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 19
Besonderheit der IT-Administration
Mögliche Konsequenzen
Ordnungsgeld / Strafrecht
Für den Betrieb: Stillegung der EDV
Erschwernisse durch Prüfungen / Presse im Tagesgeschäft
Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)
Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe
§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)
…das könnte passieren …. das wird passieren
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 20
Exkurs: Was kann ich mit Daten verdienen?
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 21
Sanktionen: Haftungsmatrix
Ko
ntr
ollo
rga
ne
GF
/ V
ors
tan
d
IT -
Le
ite
r
DS
B
Un
tern
eh
me
n
Dri
tte
n
Unternehmensstillstand
Datenverlust
§§ 7 i.V.m. 9 BDSG
§ 280 BGB
Datenverlust
Produktionsausfall
Imageverlust
§ 117 AktG
§ 43 GmbHG
§ 9 BDSG
Verlust von Fachkräften
Imageschade
Kosten druch Nutzung der Dienste
Art. 10 GG
§§ 242 i.V.m. 611 BGB
§ 44 TKG
Freiheitsstrafe
Schadenersatz
Schadenersatz
Zugang zu personenbezogenen
Daten durch Unbefugte
Imageschaden
Datenverlust durch z. B. Viren
§ 206 StGB
§ 303 a StGB
§§ 97 i. V. m. § 100 UrhG
§ 117 AktG
§ 43 GmbHG
Unterlassung
Schadenersatz
Unterlassung
Schadenersatz
Schadenersatz
Schadenersatz
Anspruch
aus Pflichtverletzung
Mögliche
Rechtliche Grundlage
Haftung
gegenüber
§ 280 BGB
§ 254 BGB
Regelung für die private
Nutzung von Internet und
E-Mail am Arbeitsplatz
Schaden durch Vernichtung
wichtiger Informationen
Verantwortlichkeit
Auswahl an Themenbereichen
die in der Regel durch die
IT mit abgebildet werden
Durchführung regelmäßiger Backups
Sicherstellung der Verwendung
von lizensierter Software
Verwendung von Virensoftware
Firewall, SPAM-Filter
Schäden
durch Pflichtverletzung
Konzept für Zugang von externen
Dritten zu DV - Systemen
Kontinuierliche Aktualisierung
des Datensicherheit- und
Datenschutzkonzeptes
Unternehmensstillstand
Imageschaden
Kosten Nachlizenzierung + Strafe
Quelle: Haftungsmatrix der Bitkom (Auszug)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 22
Exkurs in die Welt der Gerichte
Systemadministrator sichtete zur vorgeblichen Beweissicherung E-Mails eines Geschäftsführers Der Kläger des Verfahrens, ehedem als Systemadministrator beschäftigt, habe unter anderem Zugriff auf die E-Mails eines Geschäftsführers genommen. Diese habe er einem anderen Geschäftsführer vorgelegt, um damit nachzuweisen, dass der Empfänger der Nachrichten vertragswidrig gegen seine Dienstpflichten verstoße und damit das Unternehmen schädige; zudem solle dieser unbefugt auf Daten aus dem Personalbereich zugegriffen haben. Daraufhin sei dem Systemadministrator fristlos gekündigt worden.
Die unerlaubte Einsichtnahme in fremde E-Mails durch einen Systemadministrator stelle einen schwerwiegenden Pflichtverstoß dar und rechtfertige dessen fristlose Kündigung, so das Landesarbeitsgericht (LAG) München mit Urteil vom 8. Juli 2009.
Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München.
(LARG München Az.: 11 Sa 54/09)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 23
Was ist zu tun, wenn… ?
Handlungshilfen
Was tun, wenn der Bauch sich meldet….
Klären Sie folgende Fragen:
Grundsätzlich erste Frage: Auf welcher Grundlage?
Schriftliche Anweisung
Kfm. Bestätigungsschreiben
Protokollieren Sie den Vorgang!!
3 Dinge schaffen: Fakten, Fakten, Fakten!
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 24
Was ist zu tun, wenn… ?
Handlungshilfen
Aufsichtsbehörde will kontrollieren
Mitarbeiter sollen sofort Ihren Vorgesetzten einschalten!
Klären Sie, ob der Datenschutzbeauftragte Ihres
Unternehmens informiert ist.
Auf keinen Fall direkt alleine die Fragen beantworten!!!!
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 25
Andere Länder – andere Gesetze
Gesetz der russischen Föderation
über die Auslandsaufklärung Artikel 5 (Ziele der Spionage):
„Förderung der wirtschaftlichen Entwicklung und
des wissenschaftlich-technischen Fortschritts des
Landes durch Beschaffung von wirtschaftlichen
und wissenschaftlich-technischen
Informationen durch die
Organe der Auslandsaufklärung.“
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 26
Regulation of Investigatory Powers (RIP) Act 2000
Der Regulation of Investigatory Powers Act 2000 (RIP, RIPA)
ist ein Gesetz, das die
Telekommunikationsüberwachung im
United Kingdom regelt.
RIPA ermächtigt die im Gesetz aufgelisteten
staatlichen Stellen
zu Überwachungsmaßnahmen
im Dienste der Nationalen Sicherheit,
zum Zweck der Verbrechensbekämpfung …..und zum
Schutz der nationalen wirtschaftlichen Interessen des UK.
Die Liste der ermächtigten staatlichen Stellen
umfasst mittlerweile 792 Behörden,
darunter Polizei-, Militär-, Zoll etc.
Andere Länder – andere Gesetze
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 27
Exkurs in die Welt der Gerichte
Datensicherung muss in bestimmten Intervallen erfolgen
Eine Reiseunternehmen hatte eine Fachfirma mit der Reparatur ihrer Computeranlage betraut. Hier kam es zu einem Komplettabsturz und einem unwiederbringlichen Datenverlust. Der Schaden betrug 14.000 Euro.
Das Reiseunternehmen hat Schadenersatz geltend gemacht.
Dies erklärten die Richter für nicht zulässig. Das Reiseunternehmen hat grob fahrlässig gehandelt und trägt die alleinige Verantwortung. Erfolgt in einem Unternehmen nicht täglich die Datensicherung und nicht mindestens einmal im Monat eine Komplettsicherung, so trifft das Unternehmen und die Unternehmensführung die alleinige Verantwortung!
Damit trägt auch die IT entsprechende persönliche Verantwortung!
(OLG Hamm Az.: 13 U 133/03)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 28
Offene Diskussion
Offene Diskussion
und Fragen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 29
Vielen Dank für Ihre Aufmerksamkeit!
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
+49 (0) 211 5989471 Tel.
+49 (0) 176 62960098 Mobil
+49 (0) 211 59894780 Fax
www.datatree.eu