kfz-steuer per gps? · 6 datenschutz – seit dem 01.09.2009 •strengere regeln für den...
TRANSCRIPT
1
Datenschutz im Unternehmen
Andreas Gabrielwww.meck-online.de und www.ec-net.de/sicherheit
KFZ-Steuer per GPS?
© A. Gabriel19. November 2009
Datenschutz im Unternehmen2
Quelle: http://www.datenschutz.de/news/detail/?nid=3952
2
Wie sicher ist Ihre Kreditkarte?
Überschrift:Hunderttausende Kreditkartenwerden getauschtwerden getauscht
Datum:19.11.2009
Inhalt (Auszug):- „In D werden immer mehr Kredit-
karten zurückgerufen“- „Alleine bei den Sparkassen sind
© A. Gabriel19. November 2009
Datenschutz im Unternehmen3
190.000 Karten betroffen (BR)“- „Verbraucherschützer üben
harsche Kritik an Banken“- Ein spanischer Abrechnungs-
dienstleister wurde attakiert.
Quelle: http://www.tagesschau.de/wirtschaft/kreditkarten140.html
Netzwerk Elektronischer Geschäftsverkehr-28 regionale Zentren in ganz
Deutschland
Das Netzwerk Elektronischer Geschäftsverkehr
Deutschland-1 Branchenzentrum „Handel“
mit Sitz in Köln-Projektträger:
Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)
-Förderung durch das BMWi
© A. Gabriel
Förderung durch das BMWi(Bundesministerium fürWirtschaft und Technologie)
http://www.ec-net.de
19. November 2009
4 Datenschutz im Unternehmen
3
Begleitprojekt „Sichere E-Geschäfts-prozesse in KMU und Handwerk“
D K i H dDr. Kai HudetzAndreas Duscha
Dagmar Lange
Ekkehard DiedrichHarald Kesberg
© A. Gabriel19. November 2009
Datenschutz im Unternehmen5
Andreas GabrielCarlottaHerberhold
Dagmar Lange(Projektleiterin)Prof. Dr.Günther Neef
Veranstaltungshinweise
Weitere Informationenund Anmeldungund Anmeldung
unterwww.meck-online.de
oder
MainfränkischesElectronic CommerceKompetenzzentrumK t f i I f ti t lt
© A. Gabriel
KompetenzzentrumMainaustraße 3397082 Würzburg
Tel.: 0931 / 4194-577E-Mail: [email protected]
Kostenfreie Informationsveranstaltung
Datenschutz im Handwerk –muss das wirklich sein?Donnerstag, 03. Dezember 2009von 18:00 bis 20:00 Uhr
19. November 2009
6 Datenschutz im Unternehmen
Roadshow durch Unterfranken
Elektronische Vergabe
Donnerstag, 25. November 2009in Schweinfurt
Dienstag, 08. Dezember 2009in Würzburg
jeweils von 16:00 bis 18:00 Uhr
4
Über meine Person• Studium der Betriebswirtschaftslehre an der
Universität Würzburg• Certified Lead Auditor ISO 27001• IRCA-Nr : 011 96 118 (http://www irca org)
Andreas GabrielJahrgang 1974
IRCA Nr.: 011 96 118 (http://www.irca.org)• Betrieblicher Datenschutzbeauftragter• Selbstverteidigungs- &
Selbstbehauptungslehrer
Der Schwerpunkt meiner Tätigkeit:„Der kreative Umgang mit dem Thema Sicherheit“
• Referent an verschiedenen IHKs und HWKs
© A. Gabriel
g g • Referent an verschiedenen IHKs und HWKs• Dozent an der Universität Würzburg;
u. a. beim Weiterbildungsstudiengang MBA Business Integration(http://www.businessintegration.de)
19. November 2009
7 Datenschutz im Unternehmen
Handreichungen unseres Projektes
LogistikÖffentliche Verwaltung
Finanzwesen & V i h
Automatisierungs-/WartungstechnikInformationstechnik
Mehr als 30
Maschinenbau 1Maschinenbau 2Maschinenbau 3
SondermaschinenbauTextilindustrie
VersicherungGesundheitswesenBranchen-
beispiele!
© A. Gabriel
Handwerk 1Handwerk 2
19. November 2009
8 Datenschutz im Unternehmen
Download unter: http://www.ec-net.de/sicherheit
EinzelhandelProduktion/Großhandel
AnlagenbauUmwelt-/Geotechniku. v. m.
IT-Sicherheit:Themenfokus DatensicherungThemenfokus Web 2.0Themenfokus M-Commerce
Sicherheit für Existenzgründer
5
Kenntnisse über die wesentlichen gesetzlichen Vorgaben zur IT-Sicherheit
48,7%
60%• Über 70 % der Befragten geben an,
die wesentlichen Vorgaben ganz oder zumindest teilweise zu kennen, d h d IT S h h f
22,5%
48,7%
20,8%20%
40%
die im Bereich der IT-Sicherheit für Sie gelten.
• Jeder fünfte Befragte kennt die gesetzlichen Vorgaben nicht.
© A. Gabriel
8,1%
0%ja teilweise nein weiß nicht
In Kooperation mit dem E-Commerce-Center Handel, Köln
Die ganze Studie finden Sie unter:http://www.ec-net.de/sicherheit
19. November 20099 Datenschutz im Unternehmen
Ein Beispiel:§43 GmbHG
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwendenSorgfalt eines ordentlichen Geschäftsmannes anzuwenden.(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.(3) 1 Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des § 30 zuwider Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft gemacht oder den Bestimmungen des § 33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind. 2 Auf den Ersatzanspruch finden die Bestimmungen in § 9b Abs. 1 entsprechende Anwendung.3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich
© A. Gabriel
3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in 5 Jahren.
Quelle: http://www.gesetze-im-internet.de/gmbhg/__43.html
19. November 2009
10 Datenschutz im Unternehmen
6
Datenschutz – seit dem 01.09.2009
•Strengere Regeln für den AdresshandelStrengere Regeln für den Adresshandel•Verschärfte Anforderungen an die
Auftragsdatenverarbeitung•Aufnahme einer Grundsatzregelung zum
Arbeitnehmerdatenschutz•Ausbau der Sanktionsmöglichkeiten der
D h b hö d
© A. Gabriel19. November 2009
Datenschutz im Unternehmen11
Quelle: http://www.bfdi.bund.de/cln_118/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2009/PM_26_DatenschutzIstChefsache.html?nn=408908
Datenschutzbehörden•Stärkung der betrieblichen Datenschutzbeauftragten
Mögliche Konsequenzen – auch für Ihr Unternehmen?
Titel: Lidl muss Millionen-Strafe zahlen
Erscheinungsdatum:11. September 2008
Inhalt:-„illegale Bespitzelung
der Mitarbeiter“- Strafe in Höhe von
© A. Gabriel19. November 2009
Datenschutz im Unternehmen12
Quelle: http://www.stern.de/wirtschaft/news/unternehmen/ueberwachungsskandal-lidl-muss-millionen-strafe-zahlen-638756.html
-„Strafe in Höhe von 1,462 Mio. Euro“
-„Konzern hatte schon zuvor Besserung gelobt“
7
Der Datenschutz in der Presse 1/3
Überschrift:Bundestag verschärft Datenschutz
Datum:Datum:03.07.2009
Inhalt (Auszug):- Persönliche Daten zukünftig
unter höherer Kontrolle.- Einwilligung des Betroffenen ist
obligat.- Adressweitergabe und -handel
© A. Gabriel
Quelle: http://www.spiegel.de/politik/deutschland/0,1518,634247,00.html
19. November 2009
13 Datenschutz im Unternehmen
d ess e te gabe u d a dewird erschwert.
- Regelmäßige Kontrolle, obDatenschutz und Datensicher-heit „gut genug“ sind.
Der Datenschutz in der Presse 2/3
Überschrift:Eingeschränkter Datenschutz
Datum:Datum:11.07.2009
Inhalt (Auszug):- „Spickmich“ war auf dem Prüf-
stand beim BGH.- BDSG ist nur eingeschränkt auf
dieses Bewertungsportal anwendbar.
© A. Gabriel
Quelle: http://www.spiegel.de/netzwelt/web/0,1518,635584,00.html
19. November 2009
14 Datenschutz im Unternehmen
a e dba- Die Bewertung erfolgt anonym.
8
Der Datenschutz in der Presse 3/3Überschrift:Abmahnung gegen soziale Netzwerk
Datum:Datum:14.07.2009
Inhalt (Auszug):- Es erfolgte eine Abmahnung von
Verbraucherschützer gegen ausge-wählte soziale Netzwerke.
- Hintergrund: Es wird mehr Daten-schutz gefordert.
© A. Gabriel
Quelle: http://www.spiegel.de/netzwelt/web/0,1518,636092,00.html
19. November 2009
15 Datenschutz im Unternehmen
sc ut ge o de t- Es wurde ein Forderungspapier
erstellt, mit dem die Betreiber zu einem höheren Level im Beriech des Datenschutzes aufgefordert werden (sollen).
Meldung vom 16.10.2009
© A. Gabriel19. November 2009
Datenschutz im Unternehmen16
Quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,655703,00.html
9
Diese Sicherheitslücke wurde hier veröffentlicht
TitelDatenleck bei SchülerVZ
VeröffentlichtFreitag, 16.10.2009; 16:38 Uhr
Inhalt-Viele Datensätze von SchülerVZwurden diesem Betreiber zuge-spielt-Profil-ID, Name, Schule, Schul-ID,Geschlecht, Alter und Profilbild
© A. Gabriel19. November 2009
Datenschutz im Unternehmen17
Quelle: http://www.netzpolitik.org/2009/datenleck-bei-schuelervz
Gesc ec t, te u d o b d-Suchabfragen möglich-StudiVZ hatte vor 3 Jahren ein ähnliches Problem-Angriff per Cross-Site-Scriptingmöglich
Wie viele „soziale Netzwerke“ braucht ein Mensch?
© A. Gabriel19. November 2009
18 Datenschutz im Unternehmen
10
Die Gefahr des 21. Jahrhunderts:Identitätsdiebstahl?!
„Identitätsdiebstahl wird aber nicht „Identitätsdiebstahl wird aber nicht nur durch die kriminelle Energie von Betrügern, sondern zunehmend auch
durch aktives Zutun der Nutzer vereinfacht. Die Popularität von Social
Networks, in denen Mitglieder freiwillig eine Vielzahl privater Daten
© A. Gabriel
preisgeben, vereinfacht Phishing und Datenmissbrauch erheblich.“
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2009, S. 28
19. November 2009
19 Datenschutz im Unternehmen
„Hacking“ kann so einfach sein …
© A. Gabriel
Quellen: http://www.hacker-tools.de, http://www.woerter.at/dud/stuff/google_hacking.pdf
19. November 2009
20 Datenschutz im Unternehmen
11
IT-Sicherheit alleine ist nicht genug!
„IT umfasst im Sinne des BSI-Errichtungsgesetzes alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen “
Definition „IT“:
Definition „IT-Sicherheit“:„Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind.“
Quelle: BSI Schulung IT-Grundschutz – Glossar
die der Verarbeitung oder Übertragung von Informationen dienen.Quelle: BSI Schulung IT-Grundschutz – Glossar
© A. Gabriel19. November 2009
Datenschutz im Unternehmen21
Was können Sie unter „angemessenen Maßnahmen“ und
einem „tragbaren Maß“verstehen?
Definition „Informationssicherheit“„Informationssicherheit hat zum Ziel, die Verarbeitung,
Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und
Integrität (Vollständigkeit) der Informationen und Systeme Integrität (Vollständigkeit) der Informationen und Systeme in ausreichendem Maß sichergestellt wird. (…) Dabei umfasst
die Informationssicherheit, neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten,
auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.“ Quelle: http://de.wikipedia.org
© A. Gabriel
DatenschutzIT-Sicherheit
InformationssicherheitQuelle: In Anlehnung an C. Simon;Bildquelle: http://www.clipart-gallery.de
19. November 2009
22 Datenschutz im Unternehmen
12
Umsetzung „Vertraulichkeit“ / „Vollständigkeit“ / „Verfügbarkeit“
Vertraulichkeit: „Die Eigenschaft, dass Information nicht-autorisierten Individuen Instanzen oder Prozessen weder autorisierten Individuen, Instanzen oder Prozessen weder verfügbar gemacht noch offenbart wird.“
Integrität: „Die Eigenschaft, die Richtigkeit und Vollständig-keit über von wertvoller Information zu sichern.“
© A. Gabriel
Quelle: Schutz und Zukunftssicherung zugleich von Prof. Dr. Karsten Decker; http://www.mit-solutions.com/downloads/Informationssicherheit.pdf
19. November 2009
23 Datenschutz im Unternehmen
Verfügbarkeit: „Die Eigenschaft, dass Information für autorisierte Instanzen bei Bedarf zugänglich und verwendbar ist.“
Wie lange kommen Sie ohne diese vier Dienste aus?
© A. Gabriel19. November 2009
Datenschutz im Unternehmen24
In Kooperation mit dem E-Commerce-Center Handel, KölnDie ganze Studie finden Sie unter:http://www.ec-net.de/sicherheit
13
Ein aktuelles Beispiel für „gelebte Sicherheit“
1. Sie starten den Browser „Ihres Vertrauens“
intitle:"Live View / - AXIS 205"
© A. Gabriel
intitle: Live View / - AXIS 205
2. Sie suchen nach dem folgenden Text
19. November 2009
25 Datenschutz im Unternehmen
Über was reden wir hier überhaupt?
© A. Gabriel
Quelle: http://www.axis.com, http://www.mediacoms.de, http://www.computerhome.nl, http://pro.corbis.com
19. November 2009
26 Datenschutz im Unternehmen
14
Das Ergebnis unserer Suche
237 Trefferin 0 12 Sekin 0,12 Sek.
© A. Gabriel19. November 2009
27 Datenschutz im Unternehmen
Ein Beispiel: Live am Oxford City Center
© A. Gabriel
Quelle: http://webcam.oii.ox.ac.uk
19. November 2009
28 Datenschutz im Unternehmen
15
Sie können einfach nicht genug bekommen?
Luzern
© A. Gabriel
29
Quelle: http://212.59.162.17:82
19. November 2009
Datenschutz im Unternehmen
Wo verbringen denn Sie so Ihren Urlaub?
Ortschaft:HaarlemLand:Niederlande
© A. Gabriel19. November 2009
Quelle: http://mozart.amadeus-hotel.com:81
30 Datenschutz im Unternehmen
16
Sammlung von „Kameraseiten“
Quelle: http://www.opentopia.com
621 Kameras116 Zuschauer
© A. Gabriel19. November 2009
31 Datenschutz im Unternehmen
Wo gibt es „Free Live Webcams“?
Afghanistan (1)Argentina (2)Australia (2)
Hong Kong (1)Hungary (2)Iceland (1)
Slovakia (1) Slovenia (1)Spain (8)Australia (2)
Austria (7)Brazil (1)Bulgaria (10)Canada (24)CZECH REPUBLIC (11)Denmark (5)Egypt (1)E t i (5)
Iceland (1)India (1)Israel (1)Italy (24) Japan (7)Korea, South (1)Luxembourg (1)Mexico (6)N th l d (41)
Spain (8)Sweden (42)Switzerland (14)Taiwan (7)Turkey (3)Ukraine (8)United Kingdom (26)United States (250)
© A. Gabriel
Estonia (5) Finland (5)France (7)Germany (21)
Netherlands (41)Norway (13)Poland (9)Russia (23)
Quelle: http://www.opentopia.com
19. November 2009
32 Datenschutz im Unternehmen
17
Datenschutz und Google …
© A. Gabriel
33
Quellen: http://www.heise.de, http://www.wiwo.de, http://www.tz-online.de
Das sog. „Googlemobil“
19. November 2009
Datenschutz im Unternehmen
So starten Sie Google Street View
BayernStädte Landkreise
© A. Gabriel19. November 2009
Datenschutz im Unternehmen34
Quelle: http://maps.google.de/intl/de/help/maps/streetview/
AB, BA,BT,Schweinfurt,Würzburg, etc.
Bad KissingenHaßbergeMain-SpessartRhön-Grabfeldetc.
18
Laufen Sie mit mir durch London …
© A. Gabriel19. November 2009
Datenschutz im Unternehmen35
Quelle: http://maps.google.com/maps?f=q&source=s_q&hl=en&geocode=&q=london&sll=37.0625,-95.677068&sspn=42.716829,87.011719&ie=UTF8&layer=c&cbll=51.500809,-0.121453&panoid=UOKxpiBRud0UiLeOvQY3BQ&cbp=11,236.28524551968158,,0,-7.81818181818182&ll=51.500836,-0.121536&spn=0.037508,0.175095&z=13&iwloc=addr&utm_campaign=en&utm_medium=lp&utm_source=en-lp-na-us-gns-svn
Es sind wohl noch keine Aufnahmen von deutschen Städten online …
© A. Gabriel19. November 2009
Datenschutz im Unternehmen36
Quelle: http://maps.google.de/intl/de/help/maps/streetview
19
Entstehung des Datenschutzes inDeutschland
1970 Hessen verabschiedet das erste Datenschutzgesetz in Deutschland1977 das erste Bundesdatenschutzgesetzt wird 1977 das erste Bundesdatenschutzgesetzt wird veröffentlichtBis 1981 wurden in allen Bundesländern Datenschutzregelungen verabschiedet15.12.1983 Volkszählung informationelle Selbstbestimmung
h h h l / /
© A. Gabriel
1995 Europäische Datenschutzrichtlinie 1995/46/EG2001 Novellierung des Bundesdatenschutzgesetzes2006 Novellierung des Bundesdatenschutzgesetzes2009 Erneute Überarbeitung des BDSG 01.09.2009
19. November 2009
37 Datenschutz im Unternehmen
Was ist informationelle Selbstbestimmung?
D G d h äh l i i i „Das Grundrecht gewährleistet insoweit die Befugnis des
Einzelnen, grundsätzlich selbst über die Preisgabe und
Verwendung seiner persönlichen Daten zubestimmen “
© A. Gabriel
bestimmen.
Volkszählungsurteil des Bundesverfassungsgerichtes vom 15.12.1983
19. November 2009
38 Datenschutz im Unternehmen
20
Hier finden Sie weitere Informationen
An dieser Adresse finden Sie weiterführende Informationen
http://www.bsi.de/gshb/baustein-datenschutz
oder
http://www.datenschutz.dehttp://www.bfd.bund.de
© A. Gabriel
ttp // b d bu d dehttp://www.datenschutzzentrum.dehttp://www.datenschutz-berlin.deu.v.m.
19. November 2009
39 Datenschutz im Unternehmen
Hilfe und Unterstützung beim Bundesamt für Sicherheit in der Informationstechnik
© A. Gabriel
Quelle: http://www.bsi.de/gshb/baustein-datenschutz
19. November 2009
40 Datenschutz im Unternehmen
21
Ansprechpartner im Bereich des Datenschutzes
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Peter Schaarhttp://www.bfdi.bund.de
Der Bayerische Landesbeauftragte für den Datenschutz
Dr. Karl Michael Betzlhttp://www.datenschutz-bayern.de
Aufsichtsbehörde für den nicht-öffentlichen Bereich
© A. Gabriel
Aufsichtsbehörde für den nicht öffentlichen Bereich
Die Regierung von Mittelfranken – Bayerische Datenschutzbehörde für den nicht öffentlichen Bereichhttp://www.regierung.mittelfranken.bayern.de
19. November 2009
41 Datenschutz im Unternehmen
Ihr Ansprechpartner im BereichDatenschutz
© A. Gabriel19. November 2009
Datenschutz im Unternehmen42
Adresse: http://www.datenschutz-bayern.de
22
Die Bayerische Aufsichtsbehörde
© A. Gabriel19. November 2009
Datenschutz im Unternehmen43
Adresse: http://www.regierung.mittelfranken.bayern.de
Aktuelle Themen aus Mittelfranken …1/2
© A. Gabriel19. November 2009
Datenschutz im Unternehmen44
Quelle: http://www.regierung.mittelfranken.bayern.de/aufg_abt/abt1/abt1dsa10aktuell1.htm
23
Aktuelle Themen aus Mittelfranken …2/2
© A. Gabriel19. November 2009
Datenschutz im Unternehmen45
Quelle: http://www.regierung.mittelfranken.bayern.de/aufg_abt/abt1/abt1dsa10aktuell2.htm
Wer muss den Datenschutz beachten?§ 1 BDSG
(1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten durch(1) Öffentliche Stellen des Bundes(2) Öffentliche Stelle der Länder (…)(3) Nicht öffentliche Stellen, soweit sie die Daten unter Einsatz
D b i l b i d
© A. Gabriel
Quelle: § 1 BDSG
von Datenverarbeitungsanlagen verarbeiten, nutzen oderdafür erheben oder die Daten in oder aus nicht auto-matisierter Dateien verarbeiten, nutzen oder dafür erheben,es sei denn (…)
19. November 2009
46 Datenschutz im Unternehmen
24
Protagonisten
Verantwortliche Stelle
© A. Gabriel
Betroffener Dritter
19. November 2009
47 Datenschutz im Unternehmen
Vorgaben des Datenschutzes
DatensparsamkeitDatensparsamkeit
Sie dürfen nur die Daten erheben, die Sie unbedingtbenötigen.Zweckbindungsgrundsatz
Die Daten dürfen nur für den Zweck erhoben werden, der mit dem Kunden vereinbart ist.
© A. Gabriel
Umgang mit personenbezogenen Daten
Die Rechte jedes einzelnen Kunden müssengeschützt werden.
19. November 2009
48 Datenschutz im Unternehmen
25
Die entscheidendsten Gebote desBundesdatenschutzgesetzes
Verbot mit Erlaubnisvorbehalt
Informationsgrundsatz
Auskunftspflicht
Berichtigungsverpflichtung
Löschungsverpflichtung
© A. Gabriel
Löschungsverpflichtung
Etablierung entsprechender Schutzmaßnahmen
(technischer und organisatorischer Art)
19. November 2009
49 Datenschutz im Unternehmen
Was Sie besonders schützen müssen§ 3 Abs. 9 BDSG
Besondere Arten personenbezogener Daten:Besondere Arten personenbezogener Daten:
1. Rassische oder ethnische Herkunft
2. Politische Meinung
3. Religiöse oder philosophische Überzeugung
4. Gewerkschaftszugehörigkeit
© A. Gabriel
g g
5. Gesundheit
6. Sexualleben
19. November 2009
50 Datenschutz im Unternehmen
26
Was man mit Daten alles machen kann …
1. Erheben1. Interview 4. Kauf von Adressen2. Fragebogen 5. Videokamera3. Lotterie 6. Jegliche Art der Akquisition
2. Verarbeiten1. Speichern 4. Sperren2. Verändern 5. Löschen
© A. Gabriel
3. Übermitteln3. Nutzen
Jegliche Art der Verwendung
19. November 2009
51 Datenschutz im Unternehmen
Begriffsdefinitionen 1/2
Erheben ist das Beschaffen von Daten über den BetroffenenErheben ist das Beschaffen von Daten über den Betroffenen.
Speichern ist das Erfassen, Aufnehmen oder Aufbewahrenpersonenbezogener Daten auf einem Datenträger zum Zweckihrer weiteren Verarbeitung oder Nutzung.
Verändern ist das inhaltliche Umgestalten personenbezogenergespeicherter Daten.
© A. Gabriel
Übermitteln ist das Bekanntgeben gespeicherter oder durchDatenverarbeitung gewonnener personenbezogener Datenan einen Dritten (…).
19. November 2009
52 Datenschutz im Unternehmen
Quelle: Bundesdatenschutzgesetz – Text und Erläuterung
27
Begriffsdefinitionen 2/2Sperren ist das Kennzeichnen gespeicherter personenbezogener
Daten, um ihre weitere Verarbeitung oder Nutzung einzu-schränkenschränken.
Löschen ist das Unkenntlich machen gespeicherter personen-bezogener Daten.
Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachlicheVerhältnisse nicht mehr oder nur mit unverhältnismäßig großen Aufwand an Zeit Kosten und Arbeitskraft einer bestimmten oder
© A. Gabriel
Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oderbestimmbaren natürlichen Person zugeordnet werden können.
Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen (…).
19. November 2009
53 Datenschutz im Unternehmen
Quelle: Bundesdatenschutzgesetz – Text und Erläuterung
Umsetzungen, die vom Datenschutz gefordert werden § 9 und Anlage zu § 9
§ 9 BDSG: Technische und organisatorische Maßnahmen
„Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten
oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die
erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu
© A. Gabriel
diesem Gesetz genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur,
wenn ihr Aufwand in einen angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
19. November 2009
54 Datenschutz im Unternehmen
Quelle: Bundesdatenschutzgesetz (BDSG)
28
Anlage zu § 9 Satz 1 – Organisation
1. Bestellung eines Datenschutzbeauftragten
2 Verpflichtung auf das Datengeheimnis2. Verpflichtung auf das Datengeheimnis
3. Erstellung von Dienstanweisungen
4. Schulungen
5. Regeln für Archivierung
© A. Gabriel
6. Dokumentation der eigenen Prozesse
7. NotfallmanagementQuelle: In Anlehnung an H. Filges
19. November 2009
55 Datenschutz im Unternehmen
Vorgaben des BundesdatenschutzGAnlage zu § 9 Satz 1
1. Zutrittskontrolle
2 Zugangskontrolle2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
© A. Gabriel
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungskontrolle
19. November 2009
Datenschutz im Unternehmen56
29
Zutrittskontrolle
(…) Unbefugten den Zutritt zu Dateiverarbeitungs-anlagen mit denen personenbezogene Datenanlagen, mit denen personenbezogene Daten
verarbeitet oder genutzt werden, zu ver-wehren.
- Beschilderung - ggf. Videoüberwachung- Verschlossene Tore - Wachschutz- Umzäunung - Alarmanlagen
© A. Gabriel
Quelle: BDSG, Anlage zu § 9
Umzäunung Alarmanlagen- Schranken - Vergitterung- Dokumentierte Ausgabe von Schlüsseln- Verschiedene Schlüsselkreise
19. November 2009
57 Datenschutz im Unternehmen
Zugangskontrolle
( ) zu verhindern dass Datenver-(…) zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können.
© A. Gabriel
Quelle: BDSG, Anlage zu § 9
- Login für den PC/BIOS/Applikationen- VORSICHT: Das Passwort muss ausreichend komplex sein!- Provokante Frage: Wie häufig wechseln Sie Ihre Passworte?
19. November 2009
58 Datenschutz im Unternehmen
30
Alle möglichenKombinationen
z B Jaiss§Jb97070
Wie komplex ist Ihr Passwort?
Einfach Ersatzz B 8tung z. B. Jaiss§Jb97070z. B. 8tung
© A. Gabriel
Eher unwahrscheinlich Wörterbuchz. B. Mutatach z. B. Apfel, test
In Anlehnung an S. Rogge
19. November 2009
59 Datenschutz im Unternehmen
Zeichenvorrat – Grundgesamtheit
Zeichenvorrat Anzahl der Zeichen
Alphabet
Alphabet mit Groß-und Kleinschreibung
Zzgl. Zahlen
26
52
62
© A. Gabriel
Zzgl. Zahlen
Zzgl. Sonderzeichen ca. 95
Quelle: http://www.rrzn.uni-hannover.de/pw_cracking.html
19. November 2009
60 Datenschutz im Unternehmen
31
Länge/Komplexitätdes Passwortes
26 52 62 95
Wie sicher ist Ihr Passwort?!
K O M P L E X I T Ä T
5
6
7
39 Sek.
17 Min.
7,4 Std.
21 Min.
18 Std.
39 Tage
51 Min.
2,2 Tage
135 Tage
7,2 Std.
28 Tage
7,4 Jahre
L
Ä
N
G
© A. Gabriel
8 8 Tage 5,6 Jahre 23 Jahre 700 Jahre
Quelle: http://www.rrzn.uni-hannover.de/pw_cracking.html
G
E
19. November 2009
61 Datenschutz im Unternehmen
Wie finden Sie ein sicheres Passwort?
Jetzt arbeite ich schon seit drei Jahren bei der Uni Würzburg
J a i s s d J b d U WTransformationder Zahlen J a i s s 3 J b 97070 13 Zeichen
GroßbuchstabenKleinbuchstaben
© A. Gabriel
Transformationder Sonderzeichen
J a i s s § J b 97070KleinbuchstabenSonderzeichenZahlen
19. November 2009
62 Datenschutz im Unternehmen
32
Zugriffskontrolle
(…) zu gewährleisten, dass die zur Benutzungeines Datenverarbeitungssystems eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffs-berechtigung unterliegenden Daten zugreifen
können, und dass personenbezogene Daten beider Verarbeitung, Nutzung und nach der
Speicherung nicht unbefugt gelesen,
- Verschlüsselung der Festplatten- Sichere Aufbewahrung der Daten (Backup!)
Firewall (Kabel und WLAN)
© A. Gabriel
Speicherung nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können.
Quelle: BDSG, Anlage zu § 9
- Firewall (Kabel und WLAN)- Welche Daten sind auf Ihrem Handy?- Aktenvernichtung
19. November 2009
63 Datenschutz im Unternehmen
Weitergabekontrolle(…) zu gewährleisten, dass personenbezogene Daten
bei der elektronischen Übertragung oderwährend ihres Transports oder ihrer Speicherung
auf Datenträger nicht unbefugt gelesen, kopiert, ver-ändert oder entfernt werden können, und dass
überprüft und festgestellt werden kann, an welche Stellen eine
Übermittlung personenbezogener Daten durch Ein-
© A. Gabriel
Übe tt u g pe so e be oge e ate du crichtungen zur Datenübertragung vorgesehen ist.
Quelle: BDSG, Anlage zu § 9
- Verschlüsselte Kommunikation- Sichere Datenübertragung im WWW (VPN-Tunnel)
19. November 2009
64 Datenschutz im Unternehmen
33
Eingabekontrolle
( ) zu gewährleisten dass nachträglich über(…) zu gewährleisten, dass nachträglich über-prüft und festgestellt werden kann, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt wordensind
© A. Gabriel
sind.
Quelle: BDSG, Anlage zu § 9
Protokollierungen an verschiedenen Stellen im Unternehmen
19. November 2009
65 Datenschutz im Unternehmen
Auftragskontrolle
(…) zu gewährleisten, dass personenbezogene Datendass personenbezogene Daten,
die im Auftrag verarbeitet werden,nur entsprechend des Weisungen des
Auftraggebers verarbeitetwerden können.
© A. Gabriel
Quelle: BDSG, Anlage zu § 9
- Entsprechende Ausarbeitung der Dienstleistungsverträge- Kontrolle bei Ihren Dienstleistern- Auch hier: Datenvernichtung beachten!
19. November 2009
66 Datenschutz im Unternehmen
34
Verfügbarkeitskontrolle
(…) zu gewährleisten, dass personenbezogene( ) g , p gDaten gegen zufällige Zerstörung oder Verlust
geschützt sind.
- Feuer- und Rauchmelder- Feuerlöscher (Vorsicht bei EDV)
Stromversorgung sichern
© A. Gabriel
Quelle: BDSG, Anlage zu § 9
- Stromversorgung sichern- Überspannungsschutz- Temperaturregelung- Datensicherung
19. November 2009
67 Datenschutz im Unternehmen
Trennungsgebot
(…) zu gewährleisten, dass zu unterschiedlichenZwecken erhobene Daten
getrennt verarbeitet werden können.
© A. Gabriel
Quelle: BDSG, Anlage zu § 9
19. November 2009
68 Datenschutz im Unternehmen
35
Informationssicherheit – technische Maßnahmen
© A. Gabriel
© A. Gabriel
19. November 2009
69 Datenschutz im Unternehmen
-Die Mitarbeiter in die richtige Umsetzung des Datenschutzes einweisenEin Verfahrensverzeichnis sowie ein internes
Ausgangslage Datenschutz in Ihrem Unternehmen
-Ein Verfahrensverzeichnis sowie ein internes Verarbeitungsverzeichnis führen (§4 BDSG)
-Die Mitarbeiter zu deren Verschwiegenheit verpflichten (§5 BDSG)
-Alle notwendigen technischen und organisatorischenVorgaben erfüllen (§9 BDSG)
J d U t h d h l 4 Mit b it it d t9
© A. Gabriel
Quelle: http://www.datenschutz-it.de
Jedes Unternehmen, das mehr als 4 Mitarbeiter mit der auto-matisierten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt, muss einen
betrieblichen Datenschutzbeauftragten bestellen (§4 BDSG).
9
19. November 2009
70 Datenschutz im Unternehmen
36
Der Datenschutzbeauftragte
Daten-schutzWer ist für diese Aufgabe geeignet?
•Fachkunde + SachverstandZ lä i k i
Intern oder Extern?
Pflichten undAufgaben
•Zuverlässigkeit•Unabhängig•Schriftliche Ernennung
•Kein Mitarbeiter der IT,Personalabteilung oder
•Überwachung „Einhaltung der Vorgaben“
•Einwandfreie Verwendungder EDV
© A. Gabriel
Weitere Informationen erhalten Sie u. a. beim Bundesverband der Datenschutzbeauftragten Deutschlands e. V. (BvD): http://www.bvdnet.de
Personalabteilung oder in einer führenden Position
•Er hat (leider) keine Weisungs-befugnis
•Zugriff nur für Befugte•Rechte des Eigentümers schützen
19. November 2009
71 Datenschutz im Unternehmen
Bestellung zumDatenschutzbeauftragten
Die Musterfirma GmbH bestellt hiermit Herrn / Frau Mustermanngemäß § 4f Absatz 1 Bundesdatenschutzgesetz zum betrieblichen Datenschutzbeauftragten. Der Beauftragte für den Datenschutz hat auf die ate sc ut beau t agte e eau t agte ü de ate sc ut at au d eEinhaltung des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften hinzuwirken. Weitere Rechte und Pflichten ergeben sich aus § 4f, § 4g Bundesdatenschutzgesetz. In Zweifelsfällen kann sich der / die Beauftragte an die örtlich zuständige Aufsichtsbehörde für den Datenschutz wenden.Herr / Frau Mustermann wird in seiner / ihrer Funktion als Datenschutzbeauftragte(r) der Geschäftsleitung unmittelbar unterstellt. Für die Geschäftsleitung:
© A. Gabriel
Quelle: https://www.datenschutzzentrum.de/wirtschaft/mustbdsb.htm
(Ort, Datum, Unterschrift)
Ich bin mit der Bestellung zum / zur Beauftragten für den Datenschutz einverstanden.(Ort, Datum, Unterschrift)
19. November 2009
72 Datenschutz im Unternehmen
37
Vorabkontrolle§ 4d Abs. 5 BDSG
5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrollei i b d d h füh ist insbesondere durchzuführen, wenn
1.besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
2.die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,
© A. Gabriel19. November 2009
Datenschutz im Unternehmen73
Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__4d.html
es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Durchführung der Vorabkontrolle
„Zuständig für die Durchführung der Vorabkontrolle i d D h b fist der Datenschutzbeauftragte.
Dem DSB sind von der verantwortlichen Stelle für dieDatenverarbeitung vor der Durchführung derVorabkontrolle bestimmte Informationen zur Verfügung zu stellen.“
© A. Gabriel19. November 2009
Datenschutz im Unternehmen74
(Vgl. §4g Abs. 2 Satz 1 i. V. m. §4e Satz 1)
Quelle: Bundesdatenschutzgesetz – Text und Erläuterung, S. 27
38
Verfahrensverzeichnis § 4e BDSG1. Verantwortliche Stelle 2. Vertretung3. Anschrift der verantwortlichen Stelle 4. Welche Zweckbestimmung(en) liegen der Datenerhebung,
b it d t d ?-verarbeitung oder -nutzung zugrunde?5. Betroffene Personengruppen und Daten oder Datenkategorien6. Empfänger oder Kategorien von Empfängern, denen die Daten
mitgeteilt werden können; bei Datentransfers in Drittstaaten siehe Nr. 8
7. Wann werden die Daten gelöscht?8. Geplante Datenübermittlung in Drittstaaten
© A. Gabriel
9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
10. Zugriffsberechtigte Personen 11. Ggf. Ergebnis der Vorabkontrolle
19. November 2009
75 Datenschutz im Unternehmen
Weitere Informationen zum Verfahrensverzeichnis
© A. Gabriel19. November 2009
Datenschutz im Unternehmen76
Quelle: http://www.bitkom.org/de/publikationen/38336_43488.aspx
39
Definition Auftragsdatenverarbeitung§ 11 BDSG
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben verarbeitet oder genutzt ist der andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.
(2) Der Auftragnehmer ist unter besonderer Berücksich-tigung der Eignung der von ihm getroffenen technischen
© A. Gabriel19. November 2009
Datenschutz im Unternehmen77
Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__11.html
und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen.
Details des § 11 BDSG1. der Gegenstand und die Dauer des Auftrags,2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,3 di h § 9 ff d h i h d i i h M ß h
… wobei insbesondere im Einzelnen festzulegen sind:
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,4. die Berichtigung, Löschung und Sperrung von Daten,5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- undMitwirkungspflichten des Auftragnehmers,8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder
© A. Gabriel19. November 2009
Datenschutz im Unternehmen78
Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__11.html
Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
40
Eine weitere Forderung des § 11 BDSG
„Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und Auftragnehmer getroffenen technischen und
organisatorischen Maßnahmen zu überzeugen.“Quelle: BDSG
Zwei Fragen an Sie als Auftragsgeber
Wie führen Sie eine derartige Prüfung durch?Wie belegen Sie, Ihre Erkenntnisse?
© A. Gabriel19. November 2009
Datenschutz im Unternehmen79
Eine Frage an Sie als AuftragsnehmerKönnen Sie den Nachweis führen, dass Sie alleorganisatorischen + technischen Aspekte berücksichtigt haben?
Auftragsdatenverarbeitung – ein ganz heißen Eisen …
© A. Gabriel19. November 2009
Datenschutz im Unternehmen80
Quelle: http://www.bitkom.org/de/publikationen/38336_45940.aspx
41
Datenschutzaudit§ 9a BDSG
„Zur Verbesserung des Datenschutzes und der Daten-sicherheit können Anbieter von Datenverarbeitungssicherheit können Anbieter von Datenverarbeitungs-systemen und -programmen und datenverarbeitende
Stellen ihr Datenschutzkonzept sowie ihre technischenEinrichtungen durch unabhängige und zugelassene
Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung das Verfahren sowie die
© A. Gabriel19. November 2009
Datenschutz im Unternehmen81
an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch
besonderes Gesetz geregelt.“
Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__9a.html
Datenschutzaudits in Schleswig-Holstein
© A. Gabriel19. November 2009
Datenschutz im Unternehmen82
Quelle: https://www.datenschutzzentrum.de/audit/index.htm
42
Datengeheimnis§ 5 BDSG
Den bei der Datenverarbeitung beschäftigten Personen b b fist untersagt, personenbezogene Daten unbefugt zu
erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.
Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort
© A. Gabriel19. November 2009
Datenschutz im Unternehmen83
ihrer Tätigkeit fort.
Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__5.html
Bitte beachten Sie Ihre Nachweispflicht!
Private Nutzung von eMail und WWW
© A. Gabriel19. November 2009
Datenschutz im Unternehmen84
BITKOM-Leitfaden:http://www.bitkom.org Publikationen Juristische Praxishilfenhttp://www.bitkom.org/files/documents/BITKOM_Leitfaden_E-mail_und_Internet_im_Unternehmen_V.1.5_2008.pdf
43
„Highlights“ dieser Publikation
S. 17
© A. Gabriel19. November 2009
Datenschutz im Unternehmen85
BITKOM-Leitfaden:http://www.bitkom.org Publikationen Juristische Praxishilfenhttp://www.bitkom.org/files/documents/BITKOM_Leitfaden_E-mail_und_Internet_im_Unternehmen_V.1.5_2008.pdf
S. 19
Ein Rechenbeispiel:Umgang mit unerwünschten E-Mails
Lesen und Löschen von Spam E-Mails
Täglich werden zwischen 15 und 45 Minuten derproduktiven Arbeitszeit für das Beseitigen von Spampro Mitarbeiter genutzt
20 x 15 x 20 = 100 €
© A. Gabriel19. November 2009
Datenschutz im Unternehmen86
20 x 15 x 20 = 100 €
Stundenlohn in €
Min. Arbeitstage pro Monat
Monatliche Kosten pro Mitarbeiter
Quelle: Umfrage Symantec 2004
44
Gründe für Sicherheitsinvestitionen indeutschen Unternehmen
© A. Gabriel19. November 2009
Datenschutz im Unternehmen87
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Jahresbericht 2009
Vielen Dank für Ihre Aufmerksamkeit!Vielen Dank für Ihre Aufmerksamkeit!
Andreas GabrielAndreas GabrielBegleitprojekt „Sicherheit“ des NEG, MECK Würzburgc/o Universität Würzburg, Lehrstuhl Prof. Dr. R. ThomeJosef-Stangl-Platz 297070 WürzburgTel.: 0931 / 3501-231Fax.: 0931 / 31-2955
http://www.xing.com/profile/Andreas_Gabriel7
© A. Gabriel
[email protected] und [email protected]://www.meck-online.dehttp://www.ec-net.de/sicherheithttp://www.wiinf.uni-wuerzburg.de
88
Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr
19. November 2009
Datenschutz im Unternehmen