Früher gab es Drucker und Kopierer, heute gibt es Multifunktionsdrucker (Multifunction Printer, MFP) im "papierlosen Büro". Technisch handelt es sich um kleine Server, die Drucken, Scannen, Versenden (Scan to Mail, Scan to FTP) und über ein zentrales Backend gesteuert werden, gerne auch aus der Cloud oder durch den Hersteller. Die Folien stellen die bei Datenschutz, Datensicherheit und IT-Sicherheit zu beachtenden Aspekte von MFP im Überblick dar.
3. +
Wer?
Sascha Kremer
Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter, Datenschutzauditor
Lehrbeauftragter Hochschulen Düsseldorf und Bonn-Rhein-Sieg
Dozent u.a. TÜV Rheinland, BvD, GDD, DataKontext, DGRI/DSRI, DAA, OVS
Agiles, Mobiles, Wolkiges, Virtualisiertes
Social Media (CC-BY-SA 4.0):
www.twitter.com/saschakremer und www.twitter.com/loginpartners
www.slideshare.net/saschakremer
www.nicht.koeln
www.facebook.com/lpkhb
www.cr-online.de/blog
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
3
4. +
Was?
Einleitung
Datenschutz und TOM
Beschaffung und Pflege von Hardware
Rechtsfolgen bei Verstößen
Praktische Hinweise
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
4
6. +
Entwicklung
Früher:
Kopierer = Sofortbildkamera
Kopie war „Abzug“ des Bildes
keine Datenspeicherung
Heute:
Multifunktionale Geräte (MFP)
Scanner + Drucker + Fax + E-Mail
Intelligente Bündelung „dummer“ Einzelgeräte
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
6
7. +
Papierausgabe analog?
beachte:
„analoges“ Papierausgabefach
Ausdruck ist Ergebnis automatisierter Verarbeitung
Weiterhin relevant für Datenschutz und Datensicherheit = Einbindung in TOM nach § 9
BDSG
organisatorisch: Ausdrucke sind sofort abzuholen
technisch: Ausdruck erst nach Autorisierung Nutzer am MFP
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
7
8. +
Papierloses Büro
Ziel vielfach: „papierloses Büro“:
Elektronische Speicherung von Dokumenten
Elektronische Übermittlung von Dokumenten
Qualifizierte elektronische Signaturen / eID zur Authentifizierung des Verantwortlichen
Digitale Aufbewahrung von Dokumenten
TR RESISCAN
TR ESOR
Mittel für Erzeugung, Empfang, Versand: MFP
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
8
9. +
MFP: Funktionen (1)
Drucken:
Ausdruck von angeschlossenem Endgerät („Stecker“)
Ausdruck aus dem Netzwerk
(LAN, WLAN, Bluetooth, z.B. AirPrint)
Ausdruck von Smart Device
(über Netzwerk oder App/Internet)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
9
10. +
MFP: Funktionen (2)
Scannen:
Digitalisieren von Dokumenten
Versenden von Dokumenten (Scan-to-Mail)
Ablegen von Dokumenten auf Datenträger
(intern MFP/extern, z.B. USB-Stick/LAN)
Kopieren:
Vervielfältigung von Papierdokumenten
Faxen:
Versenden von Dokumenten (Telefon/IP)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
10
13. +
Datenschutz bei MFP
Datenschutz bei MFP relevant
Klassiker: Ein Druckauftrag aus dem Büro lässt das MFP auf dem Flur Kundenlisten
ausdrucken. Als der Mitarbeiter den ausgedruckten Stapel einige Zeit später abholen will, ist
dieser verschwunden.
Neu: Bedrohung durch Verknüpfung von Netzwerk (viele Anwender), Speicherung (viele
Daten), Administration (am Gerät/Fernzugriff)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
13
14. +
Verantwortliche Stelle
Verantwortliche Stelle bei MFP:
Nicht Beschäftigter im Unternehmen
Unternehmen als Betreiber MFP
Ggf. Hersteller/Dienstleister wg. Administration, Wartung oder Bereitstellung Backend im
Internet
Ausnahme: wirksame Auftragsdatenverarbeitung zwischen verantwortlicher Stelle und
Hersteller/Dienstleister, § 11 Abs. 1, Abs. 5 BDSG
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
14
15. +
Betroffener
Betroffener bei MFP:
Nutzer des Geräts (lokal/Netzwerk)
Empfänger vom Gerät (Scan-to-Mail)
Dritter
Lieferant, Kunde, Interessent
Wegen Inhalten auf Dokumenten
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
15
17. +
Umgang mit pbD (1)
Erheben von pbD, § 3 Abs. 3 BDSG
Erlangung von pbD zum Zweck der Speicherung
Bestandsdaten (+)
Bereitstellung von Funktionalitäten
Nutzungsdaten (+)
Protokollierung der Benutzung
Aus Gründen technischer Sicherheit?
Inhaltsdaten (+)
Erbringung der Leistung, z.B. Scan-to-Mail
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
17
18. +
Umgang mit pbD (2)
Verarbeiten von pbD, § 3 Abs. 4 BDSG
Speichern, § 3 Abs. 4 Nr. 1 BDSG
Ablegen des Dokuments auf Datenträger (intern/extern, siehe oben)
Als Zwischenspeicherung
Dauerhaft zur wiederholten Reproduktion
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
18
19. +
Umgang mit pbD (3)
Übermitteln pbD, § 3 Abs. 4 Nr. 3 BDSG
Als Weiterleiten (Senden)
Bestandteil der Funktionalität (Scan-to-Mail)
Senden von Auswertungen (z.B. Druckaufträge pro Benutzer nach Farbe/schwarz-weiß)
Als Zugänglichmachen (Lesen)
Abruf gespeicherter Dokumente
Abruf gespeicherter Nutzungsdaten
Abruf gespeicherter Bestandsdaten
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
19
20. +
Umgang mit pbD (4)
Nutzen von pbD, § 3 Abs. 5 BDSG
Auswerten gespeicherter Dokumente
Auswerten gespeicherter Bestands- und Nutzungsdaten
Zur Kontrolle
Zur Abrechnung
Zur Fehlerbehebung
Umwandeln von Dokumenten (OCR im MFP)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
20
21. +
TOM (1)
Technische und organisatorische Maßnahmen nach § 9 BDSG, Anlage
Zutrittskontrolle:
Gesonderter MFP für Personalabteilung oder Rechtsabteilung in verschlossenem Raum
Kein Zutritt von Besuchern zu Räumen mit MFP
Zugangskontrolle:
Sicherung von MFP durch Benutzerkennungen
Automatisches Deaktivieren MFP zu festen Uhrzeiten
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
21
22. +
TOM (2)
Technische und organisatorische Maßnahmen nach § 9 BDSG, Anlage
Zugriffskontrolle:
Einrichten Benutzerkennungen für Druckaufträge
Verwenden von Token zur Freischaltung von Druckaufträgen am MFP
Protokollierung von Administrationszugriffen mit Verschieben/Löschen von Dokumenten
Löschen von Dokumenten
IIO (Immediate Image Overwrite)
ODIO (On Demand Image Overwrite)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
22
23. +
TOM (3)
Technische und organisatorische Maßnahmen nach § 9 BDSG, Anlage
Weitergabekontrolle:
Protokollierung von Übermittlungen (Senden)
Verschlüsselung von Übermittlungen (Senden)
Verschlüsselung gespeicherter Dokumente
Auftragskontrolle:
Beschränkung/Regelung des Fernzugriffs
Protokollierung des Fernzugriffs
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
23
24. +
TOM (4)
Technische und organisatorische Maßnahmen nach § 9 BDSG, Anlage
Verfügbarkeitskontrolle:
Backup von Daten im MFP (z.B. Konfiguration)
Gewährleistung der Zweckbindung:
Benutzerkonten/Berechtigungsmanagement
Beschränkung Administration
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
24
25. +
3. Beschaffung und Pflege von
Hardware
08.09.2015 Sascha Kremer: Datenschutz bei Multifunktionsdruckern 25
26. +
Beschaffung (1)
Modularität von MFP
Grundgerät
Ergänzung um Funktionalitäten
Hardware
Erweiterung Scanmodul
Authentifizierung (z.B. Token, Chipkarten)
Software
Verschlüsselung
Löschung
Internet
Administrationsbackend in der Cloud
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
26
27. +
Beschaffung (2)
Vor der Anschaffung:
Festlegung der Anforderungen
Festlegung des Schutzbedarfs
Dokumentation der Festlegungen
Auswahl von Anbieter, Hardware, Software
Siehe § 11 Abs. 2 S. 1 BDSG: sorgfältige Auswahl insbesondere nach versprochenen
TOM
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
27
28. +
Beschaffung (3)
Beschaffung per (Full Service) Leasing
Drei-Parteien-Verhältnis aus Verkäufer, Leasinggeber, Leasingnehmer
Zu klären: Verantwortliche Stelle
Zu klären: Rechte Leasinggeber/Verkäufer
Ggf. ADV nach § 11 Abs. 1, Abs. 5 BDSG
Zu klären: ggf. beteiligte Subunternehmer/Dritter (z.B. für Pflege/Wartung MFP)
Ebenso: Miete von MFP
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
28
29. +
Beschaffung (4)
Problem:
Austausch von MFP während Vertragslaufzeit
Rückgabe von MFP nach Vertragslaufzeit
Regelungsbedürftig:
Umgang mit Datenträgern
Fest eingebaut (Flashspeicher)
Entnehmbar (Festplatten)
Umgang mit pbD
Löschung möglich/Vernichtung erforderlich?
Welches Verfahren (Common Criteria/BSI/andere)?
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
29
30. +
4. Verträge mit Dienstleistern
08.09.2015 Sascha Kremer: Datenschutz bei Multifunktionsdruckern 30
31. +
Dienstleister (1)
Wartung und Pflege für MFP (ebenso bei Full Service Leasing/Miete, siehe oben)
Frage: automatisierte Datenverarbeitung bei ausschließlicher
Leistungserbringung vor Ort?
Falls nein: BDSG (-)
MFP = Datenverarbeitungsanlage
Wechsel von Toner/Ersatzteilen ohne Zugang zu Benutzerkonten/gespeicherten
Dokumenten u.ä.: kein Umgang mit pbD
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
31
32. +
Dienstleister (2)
Prüfen von Nutzungsdaten und ggf. Abruf von Einzeldokumenten zur
Fehlerbehebung:
Übermitteln und Nutzen von pbD (s.o.)
BDSG anwendbar
Notwendig:
Vereinbarung zur ADV, § 11 Abs. 5 BDSG
Schriftlich (siehe Vortrag Kremer, GDD Infotage 2014)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
32
33. +
Dienstleister (3)
Erforderlich für Wartung und Pflege von MFP mit Übermittlung/Nutzung von
pbD
TOM des Dienstleisters
Verpflichtung auf Datengeheimnis, § 5 BDSG, für Beschäftigte Dienstleister (durch
Dienstleister)
Ggf. Abbildung Leistungskette bei Einbindung von Subunternehmern
ergänzend Geheimhaltungsvereinbarung (NDA) zum Schutz von Betriebs-und
Geschäftsgeheimnissen
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
33
34. +
Dienstleister (4)
Ggf. ergänzend erforderlich:
Dienstleister für Entsorgung von Datenträgern/Dokumenten
Notwendig: ADV nach § 11 Abs. 1 BDSG
Ggf. ergänzend:
Geheimhaltungsvereinbarung (siehe oben)
Besondere Vertraulichkeitserklärung bei Berufsgeheimnisträgern (neu in BRAO:
Legalisierung non-legal-Outsourcing)
Nicht vergessen: Reinigungskräfte (Papierausgabe, Bedienung Gerät)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
34
35. +
Rechtsfolgen insb.
Ordnungswidrigkeit
§ 43 Abs. 1 Nr. 2 lit. b) BDSG (ADV)
§ 43 Abs. 2 Nr. 1 BDSG (Speicherung)
Informationspflicht bei Datenpanne
§ 42a BDSG
Berufsgeheimnisträger
§ 203 StGB
Shitstorm
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
35
37. +
Praktische Hinweise (1)
ADV nach § 11 Abs. 1, Abs. 5 BDSG mit
Leasinggeber und/oder
Verkäufer und/oder
Dienstleister
Reinigungskräfte
Verpflichtung auf Datengeheimnis nach § 5 BDSG für Beschäftigte bei
Dienstleistern (ggf. ergänzend Sozialgeheimnis, Bankgeheimnis, Verschwiegenheit)
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
37
38. +
Praktische Hinweise (2)
TOM, § 9 BDSG/Anlage:
Physischer Schutz vor Zugriffen Dritter
Separate Räume
Token/Chipkarten/PIN
Einbindung in Netzwerkinfrastruktur
Vermeidung Wildwuchs
Insb. MFP mit WLAN/Bluetooth
Verschlüsselung Kommunikation/Speicher
Aktenvernichter an zentralen/kritischen MFP
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
38
39. +
Praktische Hinweise (3)
Sofortige Löschung von Dokumenten
Umstellen der Standard-Passwörter
Insbesondere für Administration
Insbesondere für Fernzugriff
Sicherheitsupdates der Hersteller einspielen
Ergänzend BSI Maßnahmen M 1.32, M 2.397 bis M 2.400, M 4.299 bis M 4.304
heranziehen
08.09.2015Sascha Kremer: Datenschutz bei Multifunktionsdruckern
39