Tätigkeitsbericht des Beauftragten für den Datenschutz für das Jahr 2012

Transkript

1 Tätigkeitsbericht des Beauftragten für den Datenschutz für das Jahr 2012 Berichtszeitraum 1. Januar Dezember 2012 Dateiname und Ablageort: RE_Datenschutzbericht-2012_1.1-00, Wiki Dokumententyp: RE Report Status: freigegeben Vertraulichkeitsstufe: offen Verteiler: OpenIT, Kunden Freigegeben von: Oliver Haakert am: Datum / Version Was wurde geändert? Wer hat geändert? / initiale Version O. Haakert / Infos zu TOM integriert O. Haakert Inhaltsverzeichnis 1 Vorbemerkung/Vorwort Funktion und Aufgaben des Datenschutzbeauftragten Ausreichende Ausstattung mit Sachmitteln, Personal Entwicklung der datenschutzrechtlichen Rahmenbedingungen Vorgänge im Berichtszeitraum Re-Zertifizierung nach ISO Wichtige Projekte im Berichtszeitraum Cloud Computing Piwik (Webanalytik) Überprüfung des Einsatzes von Hash-Verfahren Prüfungen des Datenschutzbeauftragten Technisch-organisatorische Maßnahmen Zusammenarbeit mit Abteilungen Ausblick auf den kommenden Berichtszeitraum Anhang: Angaben nach 4e BSDG...7

2 Seite 2 von 7

3 1 Vorbemerkung/Vorwort Datenschutz und Datensicherheit stellen für OpenIT ein zentrales Thema dar, insbesondere weil OpenIT ein nach ISO zertifiziertes Unternehmen ist. Ein Internet-Service-Provider hat in verschiedenen Bereichen mit der Verarbeitung personenbezogener Daten zu tun. Das Spektrum reicht hier von Personaldaten und buchhalterischen Daten, die Kunden und Lieferanten betreffen, bis hin zu Daten, die von Applikationen bei externen Zugriffen auf Internet-Dienste protokolliert werden, die von OpenIT oder von Kunden der OpenIT angeboten werden. OpenIT wird von der deutschen Bundesnetzagentur unter Reg-Nr. 08/120 als Telekommunikationsdiensteanbieter nach 6 TKG (Telekommunikationsgesetz, Betreiben öffentlicher Telekommunikationsnetze oder gewerbliches Erbringen von Telekommunikationsdiensten für die Öffentlichkeit) geführt. Daraus ergeben sich zusätzliche Anforderungen an den Datenschutz. Dieser Bericht stellt allgemeine Entwicklungen des Datenschutzes und datenschutzrechtlich relevante Veränderungen und Problemstellungen, die speziell OpenIT betreffen, für den Berichtszeitraum zusammen. Abgrenzung: Dieser Bericht bezieht sich nur auf Aspekte des Datenschutzes, für die OpenIT Verantwortung trägt: Für Daten, die wir im Auftrag von Kunden verwalten, treffen diese die den Datenschutz betreffenden Entscheidungen. OpenIT setzt die Entscheidungen nach Vorgabe der Kunden um. Für personenbezogene Daten auf Kundensystemen, die zwar im Rechenzentrum von OpenIT betrieben werden, zu denen OpenIT aber keinen administrativen Zugang hat, übernimmt OpenIT im Allgemeinen keine Verantwortung in Bezug auf den Datenschutz. Der Unterzeichner, Oliver Haakert, wurde von der Geschäftsleitung der OpenIT GmbH am auf unbestimmte Zeit zum Datenschutzbeauftragten berufen. 2 Funktion und Aufgaben des Datenschutzbeauftragten Gemäß 4g BDSG ( Aufgaben des Beauftragten für den Datenschutz ) lassen sich die Tätigkeiten des Datenschutzbeauftragten bei OpenIT grob in zwei Bereiche einteilen: Die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme überwachen, insbesondere die Kontrolle aller Bereiche, die personenbezogene Daten verarbeiten. Die Mitwirkung bei der Planung von Vorhaben, die der automatisierten Verarbeitung von Daten dienen. Mitarbeiter mit den besonderen Erfordernissen des Datenschutzes vertraut machen. Seite 3 von 7

4 In diesem Zusammenhang sind auch die sich verändernden Rahmenbedingungen auf Grund von neuen Gesetzen und aktuellen Urteilen zu erwähnen: Diese haben oft eine direkte Auswirkung auf die innerbetriebliche Datenverarbeitung. Der Datenschutzbeauftragte berät bei Integration in die betrieblichen Prozesse und überprüft die Umsetzung. 3 Ausreichende Ausstattung mit Sachmitteln, Personal Der Datenschutzbeauftragte der OpenIT ist mit ausreichenden Mitteln ausgestattet, um seine Aufgaben wahrnehmen zu können. Wenn im Berichtszeitraum Handlungsbedarf zur Umsetzung von Maßnahmen in Bezug auf den Datenschutz bestand, waren ausreichende Ressourcen für eine zeitnahe Umsetzung verfügbar. 4 Entwicklung der datenschutzrechtlichen Rahmenbedingungen Im Berichtszeitraum gab es folgende neue gesetzliche Regelungen, Vorgaben von Datenschutzbehörden und Gerichtsurteile, die zum Teil Überprüfungen von oder Änderungen an Vorgehensweisen bezüglich des Umgangs mit personenbezogenen Daten zur Folge hatten: Vorratsdatenspeicherung: Seit dem Urteil des BVerfG in 2009 gibt es hier keine neuen Regelungen. Die Ausgestaltung ist weiterhin zwischen den Bundesministerien des Inneren und der Justiz umstritten. Deshalb findet aktuell keine Vorratsdatenspeicherung statt. Neues Meldegesetz: Das am 28. Juni vom Bundestag verabschiedete neue Meldegesetz, das Unternehmen den Zugriff auf die Adressdaten der Meldeämter vereinfacht hätte, ist nach Protesten von Opposition und Datenschützern nicht in Kraft getreten. Es ist zu erwarten, dass 2013 eine aus Sicht des Datenschutzes deutlich verbesserte Version des Gesetzes verabschiedet wird. Europäische Datenschutz-Grundverordnung: Durch diese Verordnung der EU sollen die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden. Es ist noch nicht abzusehen, wann die Verordnung in Kraft tritt. Wegen der zunehmenden wirtschaftlichen Verflechtungen innerhalb der EU und insbesondere der zu erwartenden Ausweitung der Nutzung von Cloud-Diensten, sind einheitliche Regelungen des Datenschutzes aus Sicht der Bürger und Unternehmen wünschenswert. Es ist zu hoffen, dass einheitliche Mindeststandards auf hohem Niveau vorgeben werden, die im Einzelfall von nationalen Regelungen übertroffen werden können. Safe Harbor USA: Eigentlich soll das Safe-Harbor-Abkommen zwischen der Europäischen Union und den Vereinigten Staaten den Schutz personenbezogener Daten sicherstellen, die in die USA übermittelt werden. Der US Patriot Act gibt US- Seite 4 von 7

5 Sicherheitsbehörden allerdings weitgehenden Rechte für den Zugriff auf Daten. Das betrifft u.u. sogar Daten, die von US-amerikanischen Firmen in Europa gespeichert werden und die Daten europäischer Firmen, die (auch) einen Firmensitz in USA haben. Die deutschen Datenschutzbeauftragten haben auf ihrer 82. Konferenz vor der Nutzung von US-Clouds gewarnt. Die Reaktionen auf diese Entwicklungen seitens OpenIT werden unter Punkt 5 aufgeführt. 5 Vorgänge im Berichtszeitraum Im Folgenden werden die wesentlichen Vorgänge in Bezug auf den Schutz personenbezogener Daten im Unternehmen im Berichtszeitraum aufgeführt. 5.1 Re-Zertifizierung nach ISO Im Jahr 2012 wurde eine erneute Zertifizierung der Infrastruktur der OpenIT nach ISO /IT-Grundschutz durchgeführt. Wegen neuen Kollokationen der OpenIT wurde der zu zertifizierende IT-Verbund erweitert. Workflows und Dokumente wurden an die aktuellen IT-Grundschutz-Kataloge (12. Ergänzungslieferung) des BSI angepasst. Leider haben wir vom BSI das neue Zertifikat noch nicht erhalten. Da keine Mängel vom Auditor angemerkt wurden und die Zertifizierung empfohlen wurde, gehen wir davon aus, dass dies in Kürze geschehen wird. 6 Wichtige Projekte im Berichtszeitraum 6.1 Cloud Computing Cloud Computing bezeichnet das Bereitstellen benötigter Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. Dabei kann zwischen Clouds, die nur einer geschlossenen Nutzergruppe zur Verfügung stehen (Private Clouds) und solchen, die frei zugänglich sind (Public Clouds) unterschieden werden. Die OpenIT bietet ihren Kunden sowohl dedizierte Clouds als auch virtuelle Instanzen auf einer shared Cloud an. OpenIT hat im Jahr 2012 die Infrastruktur ihrer shared Cloud deutlich vergrößert. OpenIT berät ihre Kunden, ob der Betrieb eines Projekts in einer shared Cloud aus Sicht des Datenschutzes empfehlenswert ist oder ob im Zweifelsfall besser auf eine private Cloud zurückgegriffen werden sollte Piwik (Webanalytik) Der Einsatz von Diensten wie Google Analytics oder IVW Online ist in Deutschland aus Datenschutzgründen umstritten. Piwik ist ein Open-Source-Programm für Webanalytik. Bei einem ähnlichen Funktionsumfang wie bei den oben genannten Diensten kann es komplett lokal betrieben Seite 5 von 7

6 werden. Seit 2012 kommt diese aus Sicht des Datenschutzes unbedenkliche Alternative zu Google Analytics und IVW Online im Rahmen mehrerer Kundenprojekte zum Einsatz. 6.3 Überprüfung des Einsatzes von Hash-Verfahren Der von verschiedenen Applikationen genutzte Algorithmus zur Verschlüsselung (Hashing) von Passwörter (MD5) entspricht nicht mehr dem Stand der Technik und sollte durch eine sichere Alternative ( bcrypt ) ersetzt werden. Wir haben verschiedenen Projekte auf den zur Verschlüsselung des Passworts genutzten Algorithmus hin untersucht und bei Bedarf Kunden auf die Problematik hingewiesen. 7 Prüfungen des Datenschutzbeauftragten Die Umsetzung von Entscheidungen mit Bezug auf den Datenschutz wurde vom Datenschutzbeauftragten überprüft. 7.1 Technisch-organisatorische Maßnahmen Laut 9 BDSG ist OpenIT verpflichtet, technische und/oder organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten zu treffen, die gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die aktuellen Listen der TOMs sind im Dokument TOM_Technisch_organisatorische_Maßnahmen_2012.pdf vom Juni 2012 hinterlegt. Diese Dokument dient häufig auch als Grundlage für Kunden-spezifische Vereinbarungen. Im Berichtszeitraum wurden alle in dem Dokument beschriebenen technischen und/oder organisatorische Maßnahmen durchgeführt bzw. eingehalten. Es gab keine Datenschutzverletzungen oder -vorfälle. 8 Zusammenarbeit mit Abteilungen Die Planung und Umsetzung von Projekten und Vorgehensweisen mit Bezug zum Schutz von personenbezogenen Daten und Änderungen an bestehenden Projekten und Vorgehensweisen mit Bezug zum Schutz von personenbezogenen Daten wurden in enger Kooperation zwischen dem Datenschutzbeauftragten und dem Team der Administration durchgeführt. Bei Bedarf (Kundendaten, Rechnungen, Personal) wurde die Buchhaltung eingebunden. 9 Ausblick auf den kommenden Berichtszeitraum Leider häufig auf Grund von auch im Jahr 2012 bekannt gewordenen Vorfällen im Bereich des Datenschutzes bleibt das Thema in den Medien und in der öffentliche Diskussion präsent. Es ist zu hoffen, dass dies dem Datenschutz in Deutschland auf Dauer förderlich ist. Die Diskussion um das neue Meldegesetz und die daraufhin geplanten Änderungen können meiner Meinung nach als ein positiver Hinweis darauf gewertet werden. Seite 6 von 7

7 10 Anhang: Angaben nach 4e BSDG Laut 4g Abs. 2 BDSG hat der Beauftragte für den Datenschutz Angaben nach 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar zu machen. Das betrifft im Fall der OpenIT GmbH das von uns betriebene Gateway zum Versand von SMS ( OpenSMS). Nachfolgend die erforderlichen Angaben: 1. Name oder Firma der verantwortlichen Stelle: OpenIT GmbH, Düsseldorf 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen: Geschäftsführer Maurice Kemmann und Oliver Haakert 3. Anschrift der verantwortlichen Stelle: In der Steele 33a 41, Düsseldorf 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung: Versand und Empfang von SMS 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien: Betroffenen Personengruppen: Kunden und Kontakte der Nutzer des SMS- Gateways Art der Daten: Mobilfunknummern, Nachrichtentexte, Metadaten 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können: Mobilfunkgesellschaften wie T-Mobile, Vodafone, O 2, E-Plus, mobilcom 7. Regelfristen für die Löschung der Daten: Löschung der Nachrichteninhalte und Kürzung der Telefonnummern nach vier Wochen 8. eine geplante Datenübermittlung in Drittstaaten: SMS, deren Adressat sich im Ausland befindet, werden an Telefongesellschaften im Ausland weitergegeben. Seite 7 von 7