Weitere ähnliche Inhalte Ähnlich wie Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011 (20) Mehr von Bernd Fuhlert (13) Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 20111. Datenschutz und IT-Sicherheit
Ansätze. Rechtsfragen. Verantwortlichkeiten.
DATATREE AG
Exkursion FOM Düsseldorf
Heubesstraße 10, 40597 Düsseldorf
Freitag, 09. Dezember 2011
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 1
2. Inhalt
Leistungsprofile DATATREE 3
Vorbemerkungen 4
Warum Datenschutz - Sinn und Zweck 8
Besonderheit der IT-Administratoren 18
Haftungsmatrix 21
Was ist zu tun, wenn…? 25
Andere Länder – andere Gesetze 26
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 2
3. Leistungsprofile der DATATREE
Leistungsprofile
- Unternehmensvisionen und -ziele
definieren und festlegen
- Strategien entwickeln und
umsetzen
Compliance Recht Compliance IT Stellung Weitere Services
Datenschutzbeauftragte & Produkte
Mitwirkung bei der Umsetzung Stärken-Schwächen-Analyse Erstellung gesetzlicher Audits gemäß § 11 BDSG und
betrieblicher Regelungen zum (SWO) der Datensicherheit Verfahrensverzeichnisse Erstellung von Gutachten für
Datenschutz Auftragnehmer
Strategieentwicklung Erstellung von
Erstellung von rechtlichen (Inhouse, Outsourcing) Verarbeitungsverzeichnissen Krisenmanagement
Gutachten zur Compliance Zertifizierungen
Maßnahmenplanung bei Beschreibung, Analyse des
Bewertung und Optimierung Lücken im Datenschutz und bestehenden Datenschutzes Marketingkonzepte zur daten-
von Haftungsrisiken Datensicherheit (BSI,ITIL)
Erstschulungen für Mitarbeiter schutzkonformen Generierung
Vertragsgestaltung zur ADV Regelmäßige Prüfung zum von Daten
Aufbau von Datenschutz-
und Funktionsübertragung Erhalt des Datenschutzniveaus Escrow (THD-Bank für sensitive
konzepten (Schutz vor
(SW/HW) Daten)
Wissentsransfer oder Diebstahl)
Ausbildung zu externen Whistleblowingstelle
Datenschutzbeauftragten Treuhand-Datenbank
Google Ad-Words Datenbank
© DATATREE 2011 l 07.11.2011
DATATREE AG | Seite 3
Datenschutz & Datensicherheit l 3
4. Vorbemerkung
Zielgerichtete Compliance Maßnahmen gewährleisten jederzeit rechts-
konformen und technisch funktionierenden Datenschutz und Datensicherheit.
Eine der Schnittstellen zwischen Datenschutz und Datensicherheit bildet § 9
BDSG und die dazu gehörige Anlage (besser bekannt als TOMs).
Dort werden losgelöst vom aktuellen technischen Standard Oberbegriffe
definiert, die konkrete datenschutzrechtliche und datensicherheitstechnische
Kontrollmaßnahmen erfordern.
Dennoch kann Datensicherheit gegeben sein, obwohl gegen datenschutz-
rechtliche Gesetze und Regelungen verstoßen wird.
Zu beachten: Die Datenschutzaufsicht selbst muss vom „Kostengesetz“
ausgehen und kann für ihre Tätigkeit - ausgehend von der „Bedeutung“ der
Angelegenheit - weitgehend frei kalkulieren.
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 4
5. Warum Datenschutz - Steigerung der Datenmengen
Social Media und andere neue Formen der Medien erreichen in immer kürzeren
Intervallen mehr User und erhöhen somit die Datenmengen exponentiell:
Radio 38 Jahre* TV 13 Jahre*
Internet 4 Jahre* iPod 3 Jahre*
iPod applications:
1 Milliarde Downloads
Facebook: 100 Millionen User in in nur 9 Monaten*
weniger als 9 Monaten*
* Anzahl Jahre um 50 Millionen User zu erreichen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 5
6. Warum Datenschutz - Sinn und Zweck des Gesetzes
Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht
geregelt.
Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen
zugeordnet werden können.
Daten von juristischen Personen, Vereinen, Verbänden etc. sind durch das BDSG
nicht geschützt.
Datenschutz ist ein Grundrecht!
Jeder Mensch soll grundsätzlich selbst über die Preisgabe und
Verwendung seiner persönlichen Daten bestimmen. (Art. 2 GG)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 6
7. Warum Datenschutz - Sinn und Zweck des Gesetzes
Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personen-
bezogener Daten, erlaubt diese aber unter bestimmten Voraussetzungen
(Verbot mit Erlaubnisvorbehalt).
Datenerhebung ist somit zulässig, wenn sie ...
durch das BDSG selbst ...
Beispiel: öffentlich zugängliche Daten
gesetzliche
Grundlage
oder durch eine andere Rechtsvorschrift ...
Beispiel: Steuern, Abgaben
oder durch die Einwilligung des Betroffenen ...
Beispiel: Einverständniserklärung zur Datennutzung
... erlaubt wird.
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 7
8. Warum Datenschutz - Sinn und Zweck des Gesetzes
Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte
oder aber auch bestimmbare Person beziehen.
Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartenummer, Telefonnummer
IP-Adresse
Bestimmt ist eine Bestimmbar wird eine Person,
Person, wenn sich ihre wenn ihre Identität durch die
Identität direkt aus dem Kombination des Datums mit einer
Datum selbst ergibt. anderen Information feststellbar Abgleich mit
wird. Providerdaten
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 8
9. Warum Datenschutz - Sinn und Zweck des Gesetzes
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 9
10. Möglichkeiten der Datenerhebung im Unternehmen
Datenschutzrechtliche Zulässigkeit von automatisiert verarbeiteten personen-
bezogenen Daten von Mitarbeitern im Unternehmen:
1. Möglichkeit
2. Möglichkeit
im Rahmen der 3. Möglichkeit
Zweckbestimmung individuelle Einwilligung
gemäß § 28 (1) BDSG gemäß § 4 a BDSG kollektivrechtliche
(z. B. des Arbeitsverhältnisses) Einwilligung
(Betriebsvereinbarung)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 10
11. Möglichkeiten der Datenerhebung im Unternehmen
1. Möglichkeit
Im Rahmen der Zweckbestimmung
nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG
Direktionsrecht des Arbeitgebers
Zu- und Abgangsdaten
Private Nutzung von Betriebsmittel
Wenn Betriebsrat vorhanden:
Betriebsvereinbarung erforderlich
Beispiel: Zeiterfassung, PKW - Nutzung
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 11
12. Möglichkeiten der Datenerhebung im Unternehmen
2. Möglichkeit
Individuelle Einwilligung
Einwilligung (z. B. im Arbeitsvertrag) rechtfertigt jederzeit Eingriff in die Persönlichkeitsrechte
Sonderfall: E-Mail und Internet
Beides sind Betriebsmittel zur Erbringung der Arbeitsleistung
ABER! mit Bereitstellung privater Nutzungsmöglichkeit wird AG
zum geschäftsmäßigen TK-Anbieter (E-Mail - § 3 Nr. 10 TKG)
zum Telemedienanbieter (Internet - § 2 Abs. 1 TMG)
und damit infiziert das Fernmeldegeheimnis Mailpostfach und die
Internetlogfiles
Beispiel: Aufzeichnung, Auswertung und Speicherung
der E-Mails und Internetverbindungen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 12
13. Möglichkeiten der Datenerhebung im Unternehmen
3. Möglichkeit
Betriebsvereinbarung
Mitbestimmung gemäß § 75 Abs. 2 BetrVG:
Arbeitgeber und Betriebsrat haben die freie Entfaltung der
Persönlichkeit der Beschäftigten zu schützen
Betriebsvereinbarungen haben Vorrang vor dem BDSG
(BAG Beschluss vom 27.5.1986)
Betriebsvereinbarung ersetzt die individuelle Einwilligung
Beispiel: Pausenzeiten, Nachbearbeitungszeiten im
Service Center
(technische Überwachung darf keinen
permanenter Überwachungsdruck ausüben)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 13
15. Exkurs in die Welt der Gerichte
Auskunftsanspruch gegenüber einem TK-Unternehmen zur
Feststellung der Vaterschaft
Aus Spaß wurde ernst – d. h. konkret aus einem sexuellen Kontakt ein Kind.
Die Mutter kannte aber nur Vornamen und Handy-Nummer des Vaters. Da sich
das Telekommunikationsunternehmern weigerte, die Daten des
Anschlussinhabers preiszugeben, hatte das Landgericht Bonn in seinem Urteil
vom 29.09.2010 über die geforderte Auskunft zur Feststellung der Vaterschaft
zu entscheiden.
Im Ergebnis verneinte das Landgericht Bonn einen Auskunftsanspruch der
Mutter gegenüber dem Telekommunikationsunternehmen. Die Bonner
Richter sahen keine eigene Anspruchsgrundlage für ein solches
Auskunftsverlangen.
Allerdings ließen sie gleichzeitig Raum für einen Auskunftsanspruch des
Kindes, über den aber nicht entschieden wurde.
(LG Bonn Az.: 1 O 207/10)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 15
16. Besonderheit der IT-Administration
Die Aufgaben eines Systemadministrators sind vielfältig:
Installation und Konfiguration von Planung und Überprüfung von
Software, Systemen und Komponenten Sicherheitsmaßnahmen gegen
Angriffe von außen und innen
Analyse und Bewertung des Administration von
Soft- und Hardwarebedarfs Servern und Anwendungen
Benutzersupport Einrichtung und Verwaltung von Nutzerkonten,
Zugriffsrechten, Verzeichnisdiensten
Dabei genießt er weitgehende technische Möglichkeiten
Was darf der Admin wissen?
Was darf das Unternehmen(Behörde)?
© DATATREE 2011 l 07.11.2011
Einführung in den Datenschutz | Seite 16
Datenschutz & Datensicherheit l 16
17. Besonderheit der IT-Administration
Keine Immunität für Administratoren
Aufgabe von Administratoren ist es zwar, Vertraulichkeit, Integrität und
Verfügbarkeit von Informationen sicherzustellen. Allerdings zählt dazu nicht, die
verschiedenen Inhalte einzusehen oder gar auszuwerten.
Beschäftigt ein Unternehmen mehr als einen Administrator, sollten die Admin
Rollen in unterschiedliche Bereiche aufgeteilt werden.
Alle Rollen sollten aber im Notfall auf jeden Admin übertragbar sein.
Administratoren sollten nur die Passwörter kennen, die sie für die Erfüllung
Ihrer routinemäßigen Aufgaben benötigen.
Fazit: So viel Einsichtsrechte wie nötig, so wenig wie möglich!
(Need to Know-Prinzip)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 17
18. Besonderheit der IT-Administration
Kritische Tätigkeiten
Remotezugriff auf einen PC, insbesondere Spiegelung einer
Benutzersitzung ohne vorherige Information des Anwenders
Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels
der Standard-Adminfreigaben des Betriebssystems oder anderer
Funktionen ohne vorherige Information des Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das
E-Mail-Postfach eines Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das Home-
Verzeichnis eines Anwenders ohne vorherige Information des
Anwenders
Nutzung jeder Funktionalität gleich welcher Art, die einen
unbemerkten Zugriff auf einen PC ermöglicht
Auswertung von Logfiles und Protokollen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 18
19. Besonderheit der IT-Administration
Mögliche Konsequenzen
Ordnungsgeld / Strafrecht
Für den Betrieb: Stillegung der EDV
Erschwernisse durch Prüfungen / Presse im Tagesgeschäft
Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)
Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe
§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)
…. das wird passieren …das könnte passieren
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 19
20. Exkurs: Was kann ich mit Daten verdienen?
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 20
21. Sanktionen: Haftungsmatrix
Haftung
Verantwortlichkeit
gegenüber
Auswahl an Themenbereichen
Kontrollorgane
Schäden Anspruch Mögliche
GF / Vorstand
Unternehmen
die in der Regel durch die
IT - Leiter
durch Pflichtverletzung aus Pflichtverletzung Rechtliche Grundlage
Dritten
DSB
IT mit abgebildet werden
Datenverlust
§ 280 BGB
Durchführung regelmäßiger Backups Produktionsausfall Schadenersatz
§ 254 BGB
Imageverlust
Unternehmensstillstand §§ 97 i. V. m. § 100 UrhG
Sicherstellung der Verwendung Unterlassung
Imageschaden § 117 AktG
von lizensierter Software Schadenersatz
Kosten Nachlizenzierung + Strafe § 43 GmbHG
Verwendung von Virensoftware Schaden durch Vernichtung Unterlassung § 206 StGB
Firewall, SPAM-Filter wichtiger Informationen Schadenersatz § 303 a StGB
Zugang zu personenbezogenen
Konzept für Zugang von externen Daten durch Unbefugte §§ 7 i.V.m. 9 BDSG
Schadenersatz
Dritten zu DV - Systemen Imageschaden § 280 BGB
Datenverlust durch z. B. Viren
Kontinuierliche Aktualisierung § 117 AktG
Unternehmensstillstand
des Datensicherheit- und Schadenersatz § 43 GmbHG
Datenverlust
Datenschutzkonzeptes § 9 BDSG
Regelung für die private Verlust von Fachkräften Art. 10 GG
Freiheitsstrafe
Nutzung von Internet und Imageschade §§ 242 i.V.m. 611 BGB
Schadenersatz
E-Mail am Arbeitsplatz Kosten druch Nutzung der Dienste § 44 TKG
Quelle: Haftungsmatrix der Bitkom (Auszug)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 21
22. Exkurs in die Welt der Gerichte
Systemadministrator sichtete zur vorgeblichen Beweissicherung
E-Mails eines Geschäftsführers
Der Kläger des Verfahrens, ehedem als Systemadministrator beschäftigt, habe
unter anderem Zugriff auf die E-Mails eines Geschäftsführers genommen.
Diese habe er einem anderen Geschäftsführer vorgelegt, um damit
nachzuweisen, dass der Empfänger der Nachrichten vertragswidrig gegen
seine Dienstpflichten verstoße und damit das Unternehmen schädige; zudem
solle dieser unbefugt auf Daten aus dem Personalbereich zugegriffen haben.
Daraufhin sei dem Systemadministrator fristlos gekündigt worden.
Die unerlaubte Einsichtnahme in fremde E-Mails durch einen
Systemadministrator stelle einen schwerwiegenden Pflichtverstoß dar und
rechtfertige dessen fristlose Kündigung, so das Landesarbeitsgericht (LAG)
München mit Urteil vom 8. Juli 2009.
Die Richter bestätigten damit die vorinstanzliche Entscheidung des
Arbeitsgerichts München.
(LARG München Az.: 11 Sa 54/09)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 22
23. Was ist zu tun, wenn… ?
Handlungshilfen
Was tun, wenn der Bauch sich meldet….
Klären Sie folgende Fragen:
Grundsätzlich erste Frage: Auf welcher Grundlage?
Schriftliche Anweisung
Kfm. Bestätigungsschreiben
Protokollieren Sie den Vorgang!!
3 Dinge schaffen: Fakten, Fakten, Fakten!
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 23
24. Was ist zu tun, wenn… ?
Handlungshilfen
Aufsichtsbehörde will kontrollieren
Mitarbeiter sollen sofort Ihren Vorgesetzten einschalten!
Klären Sie, ob der Datenschutzbeauftragte Ihres
Unternehmens informiert ist.
Auf keinen Fall direkt alleine die Fragen beantworten!!!!
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 24
25. Andere Länder – andere Gesetze
Gesetz der russischen Föderation
über die Auslandsaufklärung Artikel 5 (Ziele der Spionage):
„Förderung der wirtschaftlichen Entwicklung und
des wissenschaftlich-technischen Fortschritts des
Landes durch Beschaffung von wirtschaftlichen
und wissenschaftlich-technischen
Informationen durch die
Organe der Auslandsaufklärung.“
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 25
26. Andere Länder – andere Gesetze
Regulation of Investigatory Powers (RIP) Act 2000
Der Regulation of Investigatory Powers Act 2000 (RIP, RIPA)
ist ein Gesetz, das die
Telekommunikationsüberwachung im
United Kingdom regelt.
RIPA ermächtigt die im Gesetz aufgelisteten
staatlichen Stellen
zu Überwachungsmaßnahmen
im Dienste der Nationalen Sicherheit,
zum Zweck der Verbrechensbekämpfung …..und zum
Schutz der nationalen wirtschaftlichen Interessen des UK.
Die Liste der ermächtigten staatlichen Stellen
umfasst mittlerweile 792 Behörden,
darunter Polizei-, Militär-, Zoll etc.
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 26
27. Exkurs in die Welt der Gerichte
Datensicherung muss in bestimmten Intervallen erfolgen
Eine Reiseunternehmen hatte eine Fachfirma mit der Reparatur ihrer
Computeranlage betraut. Hier kam es zu einem Komplettabsturz und einem
unwiederbringlichen Datenverlust. Der Schaden betrug 14.000 Euro.
Das Reiseunternehmen hat Schadenersatz geltend gemacht.
Dies erklärten die Richter für nicht zulässig. Das Reiseunternehmen hat
grob fahrlässig gehandelt und trägt die alleinige Verantwortung. Erfolgt in
einem Unternehmen nicht täglich die Datensicherung und nicht mindestens
einmal im Monat eine Komplettsicherung, so trifft das Unternehmen und die
Unternehmensführung die alleinige Verantwortung!
Damit trägt auch die IT entsprechende persönliche Verantwortung!
(OLG Hamm Az.: 13 U 133/03)
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 27
28. Offene Diskussion
Offene Diskussion
und Fragen
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 28
29. Vielen Dank für Ihre Aufmerksamkeit!
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
+49 (0) 211 5989471 Tel.
+49 (0) 176 62960098 Mobil
+49 (0) 211 59894780 Fax
Bernd.Fuhlert@datatree.eu
www.datatree.eu
© DATATREE 2011 l 07.11.2011
Datenschutz & Datensicherheit l 29