Datenschutzaspekte bei Nutzung mobiler Endgeräte

Transkript

1 Datenschutzaspekte bei Nutzung mobiler Endgeräte Dipl.Inform.(Univ.) 28. November2012

2 Agenda I. Kurzvorstellung II. Datenschutz allgemein III. Schutzziele im Kontext Smart-Devices IV.BayLDA und Smart-Devices V. Fragen

3 Kurzvorstellung : BayLDA Als unabhängige Aufsichtsbehörde überwachen wir die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, d.h. in den privaten Wirtschaftsunternehmen bei den freiberuflichen Tätigen in Vereinen und Verbänden Ebenso beraten wir in Fragen zum rechtlichen und technischen Datenschutz In der Öffentlichkeitsarbeit wird über (aktuelle) Fragenstellungen zum Datenschutz informiert

4 Kurzvorstellung : BayLDA Sitz der Aufsichtsbehörde : Ansbach Momentan 16 Mitarbeiter Der Landesbeauftragte überwacht den Öffentlichen Bereich (München) Grundlage der Arbeit ist BDSG, TMG und Spezialregelungen

5 Kurzvorstellung : BayLDA BAYLDA Bürger Unternehmen Interessensausgleich

6 Kurzvorstellung : BayLDA PRÄSIDENT THOMAS KRANIG GESCHÄFTSSTELLE REFERAT 1 REFERAT 2 REFERAT 3 REFERAT 4 REFERAT 5 REFERAT 6 Beschäftigtendatenschutz Videoüberwachung Banken Auskunfteien Werbung Versicherungen Gesundheitswesen Internet Bußgeldverfahren Internationaler Datenverkehr IT-Sicherheit Technischer Datenschutz

7 Datenschutz allgemein Datenschutz ist Grundrecht Es geht um das jedermann zustehende allgemeine Persönlichkeitsrecht Jeder Einzelne soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können

8 Datenschutz allgemein 1 Bundesdatenschutzgesetz (BDSG): Zweck dieses Gesetzes ist es, den Einzelnendavor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Datenin seinem Persönlichkeitsrecht beeinträchtigt wird. 4 BDSG Personenbezogene Daten dürfen nur mit Einwilligung oder auf gesetzlicher Grundlage verarbeitet werden

9 Datenschutz allgemein Es geht um alle Daten, die etwas über eine bestimmte oder bestimmbare Person aussagen Zum Beispiel Name, Adresse, Alter, Aber auch Meinungen, Kommentare, Fotos, Dazu auch besondere Arten: ethnische Herkunft, Gesundheit, Schwieriger bei IP-Adresse, Cookies, MAC-Adressen, RFID-Tags,

10 Technische und organisatorische Maßnahmen 9 BDSG : Technische und organisatorische Maßnahmen Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten im Rahmen einer Datenverarbeitung Anlage zu 9 BDSG: Zutrittskontrolle (z.b. Zugang in den Serverraum) Zugangskontrolle (z.b. Passwortsicherheit) Zugriffskontrolle (Benutzer-/Rechtekonzepte) Weitergabekontrolle (z.b. VPN-Tunnel) Eingabekontrolle (z.b. Protokollierung)

11 Themenfelder BayLDA (Referat 6) Löschen von Daten aus dem Internet Webtracking Phishing & Spam RFID, NFC Hacking Kryptographie Geolokalisierung Smartphone-Sicherheit IT-Sicherheit (BSI Grundschutz, ISO 27001) Soziale Netzwerke Smart Metering Cloud Computing Mitarbeit/Expertisen mit den rechtlichen Referaten

12 Schutzziele im Kontext Smart- Devices Vertraulichkeit Verfügbarkeit Integrität Transparenz Nicht-Verkettbarkeit Intervenierbarkeit IT-Sicherheit Technischer Datenschutz

13 Schutzziel: Vertraulichkeit Nur Befugte dürfen auf Verfahren und Daten zugreifen Zugangsschutz durch Vergabe von Pins/Passwörtern

14 Schutzziel: Vertraulichkeit Sicherheitslücken schließen Verschlüsselung einsetzen

15 Schutzziel: Vertraulichkeit Ist das Backend ausreichend sicher?

16 Schutzziel: Vertraulichkeit Was machen die Apps?

17 Schutzziel: Verfügbarkeit Verfahren und Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden Daten vom Gerät sichern? Evtl. Daten gar nicht auf Gerät speichern Terminallösungen (Auch bei BYOD relevant)

18 Schutzziel: Integrität Daten müssen unversehrt, zurechenbar und aktuell bleiben Angriffe auf Smartphones mit dem Ziel die Telefonverifikation zu missbrauchen das Smartphone als Proxy ins Firmennetz zu verwenden evtl. ein Single-Sign-On unberechtigt zu verwenden Gefälschte Nachrichten (z.b. auch Spam-Mails) können für Personen unangenehm/schädlich sein Verschlüsselter Datenverkehr vermindert Fälschungsrisiko

19 Schutzziel: Transparenz Verarbeitung von personenbezogenen Daten muss mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können Trojaner -Apps die Daten (Kontakte, Standorte, Bilder, ) vom eigenen Gerät saugen Momentane Möglichkeiten: Ggf. App-Berechtigungen prüfen Ggf. Opt-Out einschalten Prüfungen in App-Stores? Prüfungen durch Community? Ist momentan noch nicht vollständig gewährleistet.

20 Schutzziel: Transparenz Informieren die Datenschutzbestimmungen? Datenschutzeinstellungen bei Apps? Viele Möglichkeiten im Vergleich zum Browser

21 Schutzziel: Nicht-Verkettbarkeit Eindeutige Geräte-Ids IMEI/IMSI UUID (iphone) Registrierungen vor sinnvoller Nutzung notwendig Adresse ist Identifier Möglichkeiten der Verkettbarkeit ist Bestandteil der Plattformen Tracking mit personenbezogenem Datum möglich?

22 Schutzziel: Intervenierbarkeit Verfahren müssen den Betroffenen die Ausübung Ihrer Rechte (Auskunftsrecht, Löschrecht, ) ermöglichen Bei Apps: Wer ist Verantwortliche Stelle? Der App-Hersteller (z.b. Softwarehaus)? Der App-Anbieter (z.b. Fußballverein)? Der App-Vertreiber (z.b. itunes)? Der Plattform-Anbieter (z.b. Apple)? Wie sieht es mit der Mitverantwortung aus?

23 BayLDA und Smart-Devices 2012 : Ein Schwerpunkt war/ist Webtracking-Analyse (Sommer: Google Analytics, Winter: xxxxxxxxxxx) 2013: Möglichkeiten zum datenschutzkonformen App- Tracking 2013: Ziel, ebenfalls App-Analysen durchzuführen Datenschutz geht zur Schule: Neben Soziale Netzwerke wollen wir nun auch sichere Smartphone-Nutzung thematisieren

24 Vielen Dank für Ihre Aufmerksamkeit! Fragen?