D-A-CH Mobilitätskonferenz 19. bis 20. November Drei Länder, ein Ziel: Mobilität, die verbindet DATEN(UN)SICHERHEIT. Thomas Kranig, BayLDA

Transkript

1 Drei Länder, ein Ziel: Mobilität, die verbindet D-A-CH Mobilitätskonferenz 19. bis 20. November 2013 DATEN(UN)SICHERHEIT Thomas Kranig, BayLDA

2 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 2

3 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 3

4 1. Datenschutz was ist das? (1) Das Grundrecht gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. (Grund-)Recht auf informationelle Selbstbestimmung Seite 4

5 1. Datenschutz was ist das? (2) Datenschutz und Datensicherheit Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten Datensicherheit Sachlage, bei der Daten unmittelbar oder mittelbar so weit wie möglich von Beeinträchtigung oder Missbrauch bewahrt sind. Seite 5

6 1. Datenschutz was ist das? (3) Was sind personenbezogene Daten? Bundesdatenschutzgesetz 3 Weitere Begriffsbestimmungen Quelle: (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Seite 6

7 1. Datenschutz was ist das? (4) Verbot mit Erlaubnisvorbehalt Hat Betroffener Datenumgang erlaubt? Gibt es ein Gesetz dafür? Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (Datenumgang) ist zunächst einmal verboten. Zulässig sind diese Vorgänge nur, wenn eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Seite 7

8 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 8

9 2. Datensicherheit (1) Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG mit Anlage Seite 9

10 2. Datensicherheit (1) EG-Datenschutzrichtlinie vom (RL 95/46/EG) Artikel 17 Sicherheit der Verarbeitung (1) Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Seite 10

11 2. Datensicherheit (2) User arzt-01 Password ********* Login! Zutritt Zugang Zugriff Weitergabe Eingabe Auftrag Verfügbarkeit Datentrennung Maßnahmen der Datensicherheit gemäß 9 BDSG i.v.m. Anlage zu 9 Siehe: Checkliste Datensicherheit Seite 11

12 2. Datensicherheit (3) Zutrittskontrolle: Unbefugten den Zutritt zu IT-Anlagen zu verwehren Durch z.b. Sichere Serverräume Einbruchshemmende Türen Videoüberwachung Schleusen Werkschutz Tragen von Dienstausweisen PC-Gehäuse Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Seite 12

13 2. Datensicherheit (4) Zugangskontrolle: Unbefugte dürfen IT-System nicht nutzen Durch z.b. Sichere Passwörter Regelmäßige Passwortwechsel (?) Keine Gruppenkennungen Keine Post-Its (Hardware-)Tokens 2-Faktor-Authentifizierung Biometrie? Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Seite 13

14 2. Datensicherheit (5) Zugriffskontrolle: Berechtigungen und Rollenkonzepte Verhindern, dass Unbefugte personenbez. Daten lesen, kopieren oder ändern können Durch z.b. Normaler vs. Admin-Nutzer Differenzierte Adminkennungen z.b. Empfang hat keinen Zugriff auf Entwicklungsserver Seite 14

15 2. Datensicherheit (6) Weitergabekontrolle: Unbefugte können Daten bei 1. Übertragung 2. Speicherung nicht lesen, ändern oder löschen Durch z.b. HTTPS-Verschlüsselung Netzwerksicherung (z.b. Firewall) Hacker-Schutz Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Seite 15

16 2. Datensicherheit (7) Eingabekontrolle: Nachträglich prüfbar, ob Daten eingeben, verändert oder entfernt wurden -> Protokollierung Durch z.b. Server-Logs Datenbankprotokolle Betriebssystemprotokolle Anwendungsprotokolle Seite 16

17 2. Datensicherheit (8) Auftragskontrolle: Bei Dienstleistern dürfen Daten nur nach Weisung des Auftraggebers verarbeitet werden Hängt mit Vertrag zur Auftragsdatenverarbeitung ( 11 BDSG) zusammen und beinhaltet z.b. TOMs nach 9 BDSG Kontrollpflichten Regelungen zur Unterauftragnehmervergabe Umfang der Weisungsbefugnis Seite 17

18 2. Datensicherheit (9) Verfügbarkeitskontrolle: Schutz gegen zufällige Zerstörung oder Verlust Brandschutz Unterbrechungsfreie Stromversorgung (USV) Backups Klimatisierung Lastverteilung Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Andere Quellen: Wikipedia Seite 18

19 2. Datensicherheit (10) Zweckbindung der Daten: Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden z.b. Mandantenfähigkeit bei Datenbanken A B C z.b. Pseudonymisierung Hans Meier A1 Fritz Müller C4 Johann Spiegel Z8 Gerhard Koch F1 Seite 19

20 2. Datensicherheit (11) Einsatz von Kryptographie: Transportverschlüsselung Ende-zu-Ende Verschlüsselung Datenbankverschlüsselung Hardware-Tokens Asymmetrische Verschlüsselung Symmetrische Verschlüsselung Hashfunktionen MD5/PBKDF2 AES 256 Bit RSA 2048 Bit Seite 20

21 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 21

22 3. Der Datenschutzbeauftragte (1) Quelle: Der betriebliche Datenschutzbeauftragte Eine Orientierungshilfe. Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Seite 22

23 3. Der Datenschutzbeauftragte (2) Bestellpflicht: Wenn mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind Aufgaben: Innerbetriebliches Kontrollorgan Wirkt auf die Einhaltung des Datenschutzes hin Unterstützt Geschäftsleitung und Mitarbeiter Stellung: Direkt der Unternehmensleitung unterstellt Eigenschaften: Fachkunde und Zuverlässigkeit Seite 23

24 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 24

25 3. Maßnahmen der Datenschutzaufsicht (1) Datenschutz - Behörden LfD BY LfD BW BayLDA Bundesbeauftragter für Datenschutz und Informationsfreiheit LfD NDS LfDI NRW Berliner BDI LfD Rh-Pf LDA BDB LfDI Bremen Datenschutz Recht auf informationelle Selbstbestimmung LfD Saarland DB Sachsen BfDI HH LfD Sa-Anh BD Hessen ö-r- Rundfunk priv. Rundfunk ULD SH LfD Meck-Pom. kath. Kirche ev. Kirche LfD THÜ Seite 25

26 3. Maßnahmen der Datenschutzaufsicht (2) Präsident Grundsatzfragen, Öffentlichkeitsarbeit Vorzimmer, Geschäftsstelle Referat 1 Referat 2 Referat 3 Referat 4 Referat 5 Referat 6 Beschäftigtendatenschutz Videoüberwachung Freiberufliche Tätigkeit Soziale Einrichtungen Versicherungen Internet Telemedien Banken Auskunfteien Werbung betriebliche Datenschutzbeauftragte Auftragsdatenverarbeitung Gesundheitswesen Branchenverzeichnisse Industrie Handel, Gewerbe internationaler Datenverkehr Vereine und Verbände Wohnungseig. Bußgeld IT-Sicherheit Technischer Datenschutz Seite 26

27 3. Maßnahmen der Datenschutzaufsicht (3) Die Datenschutzaufsichtsbehörde berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen kontrolliert kann unverzüglich zu erteilende Auskunft verlangen kann Räume betreten, Prüfung vornehmen, Unterlagen und Datenverarbeitungsprogramme einsehen ordnet an erlässt Bußgeldbescheid (in Bayern) leitet Strafverfahren ein Seite 27

28 3. Maßnahmen der Datenschutzaufsicht (4) Beratung für Unternehmen Anzahl der Beratungen Datenschutz Beratungen Unternehmen 2011: : Datenschutz Beratungen Bürger/Betroffene 1200 Anzahl der Beratungen : : Beratung für Privatleute Seite 28

29 3. Maßnahmen der Datenschutzaufsicht (5) Bußgeldbescheide Bußgeldbescheide Insgesamt wurden 174 Ordnungswidrigkeitsverfahren eröffnet (inklusive Onlineprüfung Google Analytics) Davon wurden 39 Bußgelder verhängt Seite 29

30 3. Maßnahmen der Datenschutzaufsicht (6) Datenpanne ( 42a BDSG) Stellt eine nichtöffentliche Stelle fest, dass bei ihr gespeicherte 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Seite 30

31 3. Maßnahmen der Datenschutzaufsicht (7) Datenpanne in der Reisebranche Bei dem Reisebuchungsdienstleister Travel- Tainment GmbH (TT) in NRW wurde im April 2013 ein Hacker-Angriff auf einen Server festgestellt, bei dem eine 5-stellige Zahl von Adressdaten, Telefonnummern und Kreditkartendaten (teilweise einschließlich der Sicherheitsnummern dazu) von Kunden der Reisevermittler aus dem gesamten Bundesgebiet entwendet wurden. Seite 31

32 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 32

33 4. Daten-un-sicherheit Safe Harbor und Prism, Tempora & Co. (1) Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts beim Umgang mit seinen personenbezogenen Daten Reisedaten Bewegungsprofil Zahlungsdaten Religion (Essen) Kontakte (Gesprächspartner) Seite 33

34 4. Daten-un-sicherheit Safe Harbor und Prism, Tempora & Co. (2) China Hacker NSA???? Provider Prism Tempora Cloud Nutzer Unternehmen, du und ich Verbindung Telefon, Internet Cloud Anbieter Microsoft, Amazon, Apple, Google Vertrauen und Rechtssicherheit Seite 34

35 4. Daten-un-sicherheit Safe Harbor und Prism, Tempora & Co. (3) Nutzung von Microsoft Office 365 Anwendung in der Wolke Nutzung von GMail Nutzung von What s App Anwendung und Datenspeicherung in der Wolke Nutzung von IPhone und ICloud Grafik-Quelle: Speicherung in der Wolke Seite 35

36 4. Daten-un-sicherheit Safe Harbor und Prism, Tempora & Co. (4) Safe Harbor sicherer Hafen Seite 36

37 4. Daten-un-sicherheit Safe Harbor und Prism, Tempora & Co. (1) Safe Harbor besteht hohe Wahrscheinlichkeit für Verletzung der Grundsätze wenn ja, Rechtsfolge?? Seite 37

38 Gliederung 1. Datenschutz was ist das? 2. Datensicherheit 3. Datenschutzbeauftragter 4. Maßnahmen der Datenschutzaufsicht 5. Daten-un-sicherheit; Safe Harbor und Prism, Tempora & Co. 6. Ausblick auf Europa Seite 38

39 5. Ausblick auf Europa (1) Am 25. Januar 2012 hat die EU-Kommission zur Fortschreibung der EU-Datenschutzrichtlinie vom 24. Oktober 1995 (RL 95/46/EG) den Entwurf einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vorgelegt. Diese Verordnung hat die Vollharmonisierung des Datenschutzrechts in Europa zum Ziel (d.h. Wegfall von Bundes- und Landesdatenschutzgesetzen und vieler sonstiger bereichsspezifischer Datenschutzregelungen.) Quelle: ec.europa.eu Viviane Reding Vizepräsidentin Kommissarin für Justiz, Grundrechte und Bürgerschaft Seite 39

40 5. Ausblick auf Europa (2) EU-Parlament EU-Kommission EU-Rat Keine Diskontinuität, Gesetzgebungsverfahren liefe auch nach Mai 2014 weiter, aber Beteiligte (Kommissarin, Berichterstatter) können sich ändern EU-Kommission kann Vorschlag zurückziehen EU-Parlament ist sprechfähig seit 22. Oktober 2013 Rat ist sich einig, dass er sich nicht einig ist (nächster JI-Rat: Dezember [Litauen], dann März 2014 [Griechenland]) TRILOG Verhandlungen zwischen Parlament, Rat und Kommission Seite 40

41 Vielen Dank für Ihre Interesse Thomas Kranig Präsident des Bayerischen Landesamtes für Datenschutzaufsicht Seite 41