dgq regionalkreis nürnberg arbeitskreis qmb datenschutz / datensicherheit

10.03.2005 DGQ-N AK QMB: Datenschutz - Wolfgang Schultz - QM

1

DGQ Regionalkreis Nürnberg

Arbeitskreis QMB

Datenschutz / Datensicherheit


2

Übersicht Datenschutz

• Bundesdatenschutzgesetz (Stand: 18.05.2001)

Arbeitnehmer Datenschutz (aus EU-Vorgabe)

Allgemeiner DatenschutzBetriebsdatenschutz (Personendaten gleichzustellende Daten: „juristische Person“)

• Physische und umgebungsbezogene Sicherheit

• IT-Sicherheit

• Mitgeltende Unterlagen

Personenbezogene Daten sind unabhängig vom Medium!!!- also z.B. Papier, Diskette, Festplatte, CD, Microfiche, Film, Foto, Video ...... u n d d a s g e s p r o c h e n e W o r t


3

BDSG

• Erste Fassung vom 01.02.1977 / ab 01.01.1979 in Kraft

• Derzeit gültige 3. Fassung seit 18.05.2001 in Kraft,enthält Umsetzung der EU-Datenschutzrichtlinie von 1995

• Leitsätze: Grundrecht des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.Einschränkungen sind nur im überwiegenden Allgemeininteresse zulässig und - bedürfen verfassungsgemäßer gesetzlicher Grundlage nach rechtsstaatlichem Gebot - für Gesetzgeber gilt der Grundsatz der Verhältnismäßigkeit

• 1. Abschnitt: Allgemeine Bestimmungen §§ 1 bis 11 (Zweck und Anwendungsbereich, Datenvermeidung und -sparsamkeit, Zulässigkeit, Meldepflicht / Datenschutzbeauftragter, Datengeheimnis(§5), Rechte des Betroffenen, Technische und organisatorische Maßnahmen (§9 T.O. Maßnahmen)

• 2. Abschnitt: öffentliche Stellen §§ 12 bis 26• 3. Abschnitt: Nicht-öffentliche Stellen §§ 27 bis 38a (Rechtsgrundlagen, Rechte der Betroffenen,

Aufsichtsbehörde, Verhaltensregeln)

• 4. Abschnitt: Sondervorschriften §§ 39 bis 42 (Berufs- und Amtsgeheimnisse, Forschung, Medien, Bundesrundfunk)

• 5. Abschnitt: Bußgeld und Strafvorschriften §§43 bis 44


4

Die 7 Säulen des Datenschutzes

DatenschutzZulässigkeit (§ 4, 4a ff)(Verbot mit Erlaubnisvorbehalt)

Zweckverbindung,Datenvermeidung (§ 3a)

Transparenz (§ 4b)(Informationen, Benachrichtigung)

Korrekturrechte (§20)(Berichtigung, Sperrung, Löschung, Widerspruch)

DatensicherungSchutz vor Verlust, Sabotage, unbefugten Zugriff

Kontrolle(intern / extern)

Sanktionen (§ 43 - 44)(Bußgeld / Strafe / Schadensersatz)


5

Bereichsspezifische Gesetze (mitgeltende Unterlagen)(enthalten im Einzelfall Vorgaben für die Verarbeitung und Nutzung personenbezogener Daten)

• Altersteilzeitgesetz (AltTzG)

• Altersvermögensgesetz (AVmG)

• Arbeitnehmer-Entsendegesetz (AEntG)

• Arbeitnehmererfindungsgesetz (ArbErfG)

• Arbeitnehmerüberlassungsgesetz (AÜG)

• Arbeitsförderung (Sozialgesetzbuch III)

• Arbeitsplatzschutzgesetz (ArbPlSch)

• Arbeitsschutzgesetz (ArbSchG)

• Arbeitssicherheitsgesetz (ASiG)

• Arbeitszeitgesetz (ArbZG)

• Berufsbildungsgesetz (BBiG)

• Beschäftigungsförderungsgesetz (BeschFöG)

• Betriebsrentengesetz (BetrAVG)

• Betriebsverfassungsgesetz (BetrVG)

• Bundeserziehungsgeldgesetz (BErzGG)

• Bundesurlaubsgesetz BUrlG)

• Bürgerliches Gesetzbuch (BGB)• Einkommensteuergesetz (EStG)

• Entgeltfortzahlungsgesetz (EFZG)

• Entsenderichtlinie (96 / 71 / EG)

• Gleichbehandlungsrichtlinie

• Grundgesetz (GG)

• Handelsgesetzbuch (HGB)

• Heimarbeitsgesetz (HAG)

• Jugendarbeitsschutzgesetz (JArbSchG)

• Kündigungsfristengesetz (KüFG)

• Kündigungsschutzgesetz (KSchG)

• Ladenschlussgesetz (Ladenschl.G)

• Mutterschutzgesetz (MuSchG)

• Nachweisgesetz (NachwG)

• Schwerbehindertengesetz (SchwbG)

• Sozialgesetzbücher (SGB)

• Teilzeit- und Befristungsgesetz (TzBfG)Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit!

Weitere Rechtsnormen für den Datenschutz sind die EU Datenschutzrichtlinie (// zu BDSG), Sozialdatenschutz (SGB X § 67 ff., Telegesetze (z.B. Postgeheimnis) ...


6

Zulässigkeit des Umgangs mit personenbezogenen Daten

• Prinzip des Verbots mit Erlaubnisvorbehalt (§ 4 BDSG), jedoch Datenerhebung, -verarbeitung und -nutzung (§ 28 BDSG), wenn die jeweilige Verwendung der Daten - der Zweckbestimmung eines Vertragsverhältnisses ... dient, - durch berechtigte Interessen der verantwortlichen Stelle bedingt ist ..., - die Daten allgemein zugänglich sind oder gemacht werden dürfen ...

• Gebot der Datenvermeidung / Datensparsamkeit

• Befugnisse zur Datennutzung: Individueller Datenschutz - PersönlichkeitsrechtKollektiver Datenschutz - kein Persönlichkeitsrecht (z.B. Tarifvertr., § 87 BetrVG)

• Auch für arbeitnehmerähnliche Personen (z.B. Bewerber, Rentner ...)

• Die Rechte des Betroffenen (Auskunft, Berichtigung ...) sind nicht ausschließbar - aber Einsichtnahme dokumentieren!

• Bei Datenübermittlung (z.B. Lohnabrechnung, aber auch Telefonauskünfte!): - Berechtigung der empfangenden Stelle prüfen - sicherstellen, das nur der berechtigte Daten erhält


7

Pflichten des Unternehmens• Verpflichtung der Mitarbeiter nach § 5 BDSG

• DSB bestellen (§ 4f, schriftlich dokumentiert mit Befugnissen und Pflichten) - weisungsfreie Anwendung der Fachkunde, Leitung unmittelbar unterstellt - Zugang zu allen Stellen zu Überwachungszwecken (Schweigepflicht!) - Datenschutzverbesserung: Maßnahmenempfehlung und Anhörungsrecht

• Datenschutzrichtlinie erstellen, einführen und aufrecht erhalten, Datenschutzkontrollen

• Zulässigkeitsprüfung (Rechtsgrundlagen, Zweckbestimmtheit, Angemessenheit

• Meldeverfahren (§ 4d (1), falls kein DSB bestellt ist (§ 4 d (2) für Verfahren automatisierter

Verarbeitung),

• Interne Verarbeitungsübersicht / Verfahrensübersicht erstellen und aufrecht erhalten

• Vorabkontrolle (Zulässigkeit, Datensparsamkeit, Risiken)

• Erstellung Öffentliches Verfahrensverzeichnis (§ 4g, ab 24.05.2004 Pflicht)

• Maßnahmen der IT-Sicherheit (TOM: Datensicherheit)

• Bei Auftragsdatenverarbeitung/Funktionsübertragung: Datenschutzvertrag, Weisungsgebundenheit,

Auftragskontrolle


8

Kontrollsystem im Datenschutz

Verantwortliche Stelle

DATENSCHUTZ-BEAUFTRAGTERRichtlinien(Vorab-) KontrolleVerfahrensverzeichnis

BETRIEBSRAT(Arbeitnehmerdaten)Auskunft / MitbestimmungUnterlassung

AUFSICHTS-BEHÖRDEAuskunft / ZutrittMeldepflichtStrafantragsrecht

BETROFFENERBenachrichtigungAuskunft KorrekturWiderspruchsrecht


9

Datenschutz und IT-Sicherheitgemeinsame Maßnahmen für Informationssicherheit

BundesdatenschutzgesetzBundesdatenschutzgesetzEU-DatenschutzrichtlinieEU-Datenschutzrichtlinie

InformationssicherheitInformationssicherheitfür das Unternehmenfür das Unternehmen

Gefahr:Gefahr:Verletzung vonPersönlichkeits-rechten

Geschützt:Geschützt:Personen

IT-Sicherheit:IT-Sicherheit:Maßnahmen zum Schutzvon IT-Systemen, Sicherheit der Datenund Prozesse desUnternehmens

Technischeundorganisato-rischeMaßnahmen(§ 9 BDSG)


10

Technische und organisatorische Maßnahmen (TOM)

§ 9: Technische und organisatorische Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Anlage (zu § 9 Satz 1)Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.


11

Helfende Adressen

• Regierung von MittelfrankenBayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen BereichPostfach 606, 91511 Ansbach, Tel.: (0981) 53 - 0, Fax (0981) 53 - 1206e-mail: [email protected] 205 - Datenschutz und Personenstandsrecht (für ganz Bayern)Sachgebietsleiter: Ltd. RD Dorn (mit 5 weiteren MA)

• „Deutschland sicher im Netz“: www.sicher-im-netz.de Gemeinschaftsinitiative mit Partnern aus Politik, Wirtschaft und Gesellschaft

• Bundesamt für Sicherheit in der Informationstechnik: www.bsi.bund.dekostenloser Newsletter 14tägig: [email protected]

• IHK Nürnberg für Mittelfranken: IHK/GDD-Anwenderclub „Datenschutz und Informationssicherung“dreimal jährlich Erfahrungsaustausch unter DSB´s, Dipl.-Inf. Knut HarmsenInternet: www.eforum.ihk-nuernberg.de/datenschutz


12

Allgemeine Sicherheitsziele

VerfügbarkeitHohe Betriebsbereitschaft der verwendeten Systeme und Anwendungen(hohe Ausfallsicherheit)

IntegritätSicherstellung der Korrektheit (Unversehrtheit) der Information (Datenintegrität)

VertraulichkeitSchutz gegen unberechtigte Kenntnisnahme

AuthentizitätSicherstellung der Echtheit von Informationen bzw. der Identität der angegebenen Quelle


13

Beispiel: Verfügbarkeit

Risiko Ausfall der IT Infrastruktur

Bewertung Teilausfall:Schaden: bis hochWahrscheinlichkeit: mittel

Totalausfall:Schaden: bis existentiellWahrscheinlichkeit: gering

Sicherheitsanalyse(Ziele)

Das System darf max. n.. Stunden komplett ausfallen

Das System darf n Stunden mit X % der Leistung funktionieren

Maßnahmen-katalog

Analyse kritischer Komponenten Bewertung von Aufstellungsorten Regiebücher/Notfallpläne/Übungspläne erstellen


14

Risikomanagementprozess (Informations-Sicherheits-Management)

Unternehmensstrategie, Sicherheitspolitik

Risikenidentifizieren

Risikoanalyse und -bewertung - Schritt für Schritt

analysieren& bewerten

Do

kum

enti

eren

&ko

mm

un

izie

ren reflektieren

& verb

essern

Zieleableiten

Maßnahmenergreifen

Prozesse (Inventar)Managementprozesse

Operative Prozesse


15

Risikoportfolio - wesentliches transparent (Beispiel)E

intr

itts

wah

rsch

ein

lich

keit

Auswirkung / Schaden

Maßnahmen

fast sicher

hoch

mittel

gering

unwahrscheinlich

unbedeutend existentiellgering spürbar kritisch

D

G

F

C

A

E

B

dgq regionalkreis nürnberg arbeitskreis qmb datenschutz / datensicherheit

Documents