(K) ein ewiges Leben der medizinischen Daten?

Transkript

1 (K) ein ewiges Leben der medizinischen Daten? DIN 66399/1-3 Vernichten von Datenträger Stand und Entwicklung der neuen Norm Leipzig 14. Oktober 2013

2 Zu meiner Person Bis 2010 in der VOLKSWAGEN AG zuständig für Datenschutz und Geheimhaltung Datenschutzbeauftragter diverser VW-Konzerngesellschaften wie z.b. Volkswagen Design Center Potsdam GmbH Seit 2010 externer DSB Volkswagen Osnabrück GmbH Leiter ERFA-Kreis BRAUNSCHWEIG der Gesellschaft für Datenschutz und Datensicherheit (GDD), Bonn Stellvertr. Obmann im DIN 66399

3 Themenübersicht Datenträgervernichtung Einführung Risiken/Datenpannen bisherige Normen neue DIN bis -3 Rechtliche Konsequenzen / Standpunkt der Aufsichtsbehörden Empfehlungen

4 Vernichtung von Datenträgern!?! Personenbezogene Daten Auftragsdatenverarbeitung ADV-Vertrag 203 StGB 80-85a SGB X Datenschutzgesetze Prozessablauf Datensicherheit Compliance Datenträger Chipkarten Mikrofilm USB-Sticks CDs/DVDs Festplatten Datenpannen Papierdokumente Wirtschaftsspionage Bin Raiding DIN- Normen Sicherheitsstufen Schutzklasse

5 BDSG 3 BDSG Begriffsbestimmungen (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschafts-zugehörigkeit, Gesundheit oder Sexualleben. 20 BDSG Berichtigung, Löschung und Sperrung von Daten (2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn 1.ihre Speicherung unzulässig ist oder 2.ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. Löschung beinhaltet auch das Entsorgen!!!

6 Wer ist verantwortlich? Hört die ärztliche Schweigepflicht bei der Entsorgung auf? Für die ordnungsgemäße Vernichtung der Daten und die Datenträger ist die verantwortliche Stelle (Dateneigentümer) verantwortlich. Dies gilt für den gesamten Entsorgungsprozess!! Einschließlich der eingesetzten Dienstleister

7 Seite Juli 2012 Basic Template

8 Problemstellung - Datenschutz Bin Raiding - Was Papierkörbe erzählen! Quelle: G. Stampe Quelle: Quelle: G. Stampe Unter Bin Raiding versteht man das Durchsuchen von Papiermüll nach verwertbaren Informationen Es ist festzustellen, dass das Gefahrenbewusstsein bei der Entsorgung/Vernichtung vertraulicher Unterlagen nur unzureichend geprägt ist und die Gefahr des ldentitätsbetrugs allgemein unterschätzt wird

9 Problemstellung Datenpannen Beispiel Datenpannen Quelle:

10

11 Problemstellung Datenpannen Datenpannen Quelle: Weser-Report

12 Problemstellung Datenpannen Röntgenunterlagen von aktuellen und ehemaligen Patienten der Fürst-Stirum- Klinik Bruchsal sind am Donnerstag den entwendet worden. Die Unterlagen waren zehn Jahre alt und lagerten auf einem unverschlossenen Lkw im Freien, da sie von einer Spezialfirma, die für die Entsorgung von Akten zuständig ist, abgeholt werden sollten.

13 Problemstellung Datenpannen. Der Fehler passierte nach Angaben des Sprechers bei den externen Fachfirmen, die für die Entsorgung engagiert waren

14 Problemstellung - Datenpannen Veröffentlichung von Datenpannen - Nachhaltiger Imageschaden! Datenpannen Quelle: projekt-datenschutz.de

15 BDSG 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisato-rischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen Anlage zu 9 : Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle etc.

16 Schweigepflicht 9 (Muster.) Berufsordnung für Ärzte(innen) : Schweigepflicht (1) Ärztinnen und Ärzte haben über das, was ihnen in ihrer Eigenschaft als Ärztin oder Arzt anvertraut oder bekannt geworden ist - auch über den Tod der Patientin oder des Patienten hinaus - zu schweigen. Dazu gehören auch schriftliche Mitteilungen der Patientin oder des Patienten, Aufzeichnungen über Patientinnen und Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde. (2) 203 Strafgesetzbuch!

17 Strafgesetzbuch 203 Verletzung von Privatgeheimnissen wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als - Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, - Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlußprüfung - staatlich anerkanntem Sozialarbeiter oder staatlich anerkanntem Sozialpädagogen oder - Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft

18 Schwerpunkt: Auftragsdatenverarbeitung Auftragsdatenverarbeitung - eine Form des Outsourcings - ist die Auslagerung von Datenverarbeitungsprozessen an einen Dienstleister. Kriterien: - Der Auftraggeber bleibt rechtlich Herr der Daten, - Der Auftragnehmer hat keine Entscheidungsbefugnis hinsichtlich der ihm weitergegebenen Daten; - Der Auftragnehmer darf die Daten nur zum vereinbarten Zweck, bzw. im Rahmen erteilter Weisungen verwenden; - Der Auftragnehmer steht in keiner rechtlichen Beziehung zu den Betroffenen.

19 Typische Beispiele: - Auslagerung der gesamten Datenverarbeitung oder einzelner Datenverarbeitungsaufgaben (z.b. Lohn- und Gehaltsrechnung); - Cloud Computing die unvermeidliche Zukunft der DV; - Datenerfassung; - Online-Backup; - Archivierung; - Datenträgerentsorgung; - Datenrettung; - Hard- und Softwarewartung; - Prüfungstätigkeiten - usw.

20 Normen zur Datenträgervernichtung Warum eine neue Norm? Neue DIN DIN Veraltet Beschreibt ausschließlich die Anforderungen an Maschinen zur Vernichtung von Papier (Stand der Technik???) Quelle: ediligt.de DIN EN Quelle: aktenvernichter.info junge Norm (2009) sehr unverbindlich ( könnte, sollte, und-oder) viele Formulierungsschwächen keine Definition des Schutzbedarfs Prozess nicht vollständig dargestellt Quelle: nikon-fotografie.de Veraltet Beschreibt das Löschen von Daten!!! Löschen sollte der Vernichtung vorausgehen (elektr./magn. Datenträger)

21 Stand der Technik Änderungen / Neuerungen Art der Datenträger, Schriftgrößen und Speicherdichte haben sich stark verändert Neue Techniken sind entwickelt worden, die Daten von den Datenträgern wieder herzustellen Neue gesetzliche Anforderungen aus dem Bundesdatenschutzgesetz (BDSG) wie z.b. - Auftragsdatenverarbeitung ( 11 ) - Vorabkontrolle ( 4d ) - Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ( 42a )

22 Zusammensetzung des DIN-AK/ neue DIN bis 3 Teilnehmer im DIN-Arbeitskreis - Maschinenhersteller - Entsorgungsfirmen der Datenträgervernichtung - Vertreter - BSI (Bundesamt für Sicherheit in der Informationstechnik) - Bundesamt für den Datenschutz und die Informationsfreiheit - Wirtschaftsunternehmen

23 Neue DIN bis -3 DIN Grundlagen und Begriffe Schutzklassen und Sicherheitsstufen Neue DIN DIN Anforderungen an Maschinen zur Vernichtung von Datenträgern zusätzliche Datenträger definiert Stand der Technik Vermischen und Verpressen neu geregelt Prüfung überarbeitet SPEC (DIN) Prozesse der Datenträgervernichtung Prozesskriterien Prozessvarianten Checkliste

24 neue DIN Grundlagen und Begriffe Änderungen gegenüber DIN (1995) Anforderungen an Maschinen entfallen, Berücksichtigung in DIN Sicherheitsstufen neu definiert, Schutzklassen erstmals aufgenommen Neue DIN Ermittlung der Risikostruktur Um Daten vor Missbrauch zu schützen, bedarf es eines Sicherheits- und Kontrollsystems, das eine zuverlässige Qualität des Vernichtungsprozesses vor Ort bei der verantwortlichen Stelle oder extern beim Dienstleister garantiert. Schutzzweck im Vernichtungsprozess ist die Verhinderung von Datenmissbrauch. Um Wirtschaftlichkeits- bzw. Angemessenheitsprinzip Rechnung zu tragen, ist es zielführend, das Vernichtungsgut in Schutzklassen (Schutzklasse 1 bis 3) einzuteilen. Einstufung in Schutzklassen: Schutzklasse 1 Normaler Schutzbedarf für interne Daten Schutzklasse 2 Hoher Schutzbedarf für vertrauliche Daten Schutzklasse 3 Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten

25 neue DIN Grundlagen und Begriffe Änderungen gegenüber DIN (1995) Ermittlung der Risikostruktur Für Sozialdaten

26 neue DIN Grundlagen und Begriffe Zuordnung Schutzklassen und Sicherheitsstufen Die Zuordnung der drei Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden, sollte aber pro Einzelfall in einer Risikoanalyse ermittelt werden. Fallen Daten unterschiedlicher Schutzklassen an der Anfallstelle an, so ist aus ökologischen und ökonomischen Gründen die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen. Ist dies nicht möglich, so muss eine Vernichtung grundsätzlich und einheitlich gemäß der höheren Sicherheitsstufe erfolgen, um das Risiko einer unzureichenden Vernichtung sensibler Daten durch eine fehlerhafte Zuordnung zu minimieren.

27 neue DIN Anforderungen an Maschinen zur Vernichtung von Datenträgern Materialbezug der Sicherheitsstufen (DIN ) P Informationsdarstellung in Originalgröße (Papier, Film, Druckformen, ) Neue D I N F Informationsdarstellung verkleinert (Microfilm/Folie, ) O Informationsdarstellung auf optischen Datenträgern (CD/DVD, ) T Informationsdarstellung auf magnetischem Datenträger (Disketten, ID-Karten Magnetbandkassetten,...) H Informationsdarstellung auf Festplatten mit magnetischem Datenträger (Festplatten) E Informationsdarstellung auf elektronischen Datenträgern Maschinen und Einrichtungen nach dieser Norm müssen hinsichtlich des Grades der Vernichtung mindestens die Anforderungen der nachfolgenden Tabellen erfüllen. (siehe Beispiel P Papier)

28 neue DIN Anforderungen an Maschinen zur Vernichtung von Datenträgern Klassifizierung des Vernichtungsgrads Neue D I N Einstufung der Sicherheitsstufen: Beispiel Papier: Sicherheitsstufe P1 Sicherheitsstufe P2 Sicherheitsstufe P3 Sicherheitsstufe P4 Sicherheitsstufe P5 Sicherheitsstufe P6 Sicherheitsstufe P7 max mm² max. 800 mm² max. 320 mm² max. 160 mm² max. 30 mm² max. 10 mm² max. 5 mm² P1 P6 Bei der Wahl der geeigneten Sicherheitsstufe ist die Speicherdichte und/oder die Größe der Informationsdarstellung auf dem Datenträger zu berücksichtigen. Je höher die Speicherdichte, desto kleiner die Materialteilchen (Sicherheitsstufe?)

29 neue DIN Anforderungen an Maschinen zur Vernichtung von Datenträgern weitere Inhalte Beeinflussung der Sicherheitsstufe Neue D I N Zuführungs- und Ablageeinrichtungen Kontrolle der Vollständigkeit der Vernichtung Prüfmaterial für Maschinen oder Einrichtungen zur Vernichtung Prüfung des Vernichtungsgrades Prüfbericht Prüfzeugnis Quelle: hsm.eu Quelle: vecoplan.de

30 neue SPEC (DIN) Prozesse der Datenträgervernichtung Beantwortung der W-Fragen Neue DIN Welche Informationen sind schutzwürdig und in welche Schutzklassen einzuordnen? Was? Interne oder externe Vernichtung? Wer? Vernichtung vor Ort durch Dienstleister oder im Dienstleistungsunternehmen? Wo? Technische und organisatorische Maßnahmen Wie? am Anfallort, beim Transport und beim Dienstleister? Vernichtung in Sicherheitsstufen? In welcher Form? Daraus resultiert die operative Abwicklung (Sicherheitskonzept).

31 neue SPEC (DIN) Prozesse der Datenträgervernichtung Prozessdurchführung Neue D I N Voraussetzung für eine ordnungsgemäße Durchführung des Prozesses ist eine detaillierte Organisation, in der der Ablauf dokumentiert, die Zuständigkeiten festgelegt, die gesetzlichen und betrieblichen Rahmenbedingungen spezifiziert und die Anforderungen an das im Prozess eingesetzte Personal vorgegeben sind. Die verantwortliche Stelle ist für den gesamten Prozess (intern/extern) bis zur endgültigen Vernichtung der Daten verantwortlich. Insofern ist es seine Aufgabe, den Prozess so zu gestalten und zu prüfen, dass eine ordnungsgemäße Vernichtung unter Berücksichtigung der gesetzlichen sowie der betrieblichen Anforderungen sichergestellt ist.

32 Datenträgervernichtung allgemeine Prozessbeschreibung Neue DIN

33 neue SPEC (DIN) Prozesse der Datenträgervernichtung Neue DIN

34 neue SPEC (DIN) Prozesse der Datenträgervernichtung Prüfung gemäß Prozesskriterien Beispiel Variante 3 (Dienstleister extern) DIN SPEC Prozesskriterien Neue D I N Das Betriebsgebäude/der o. g. Bereich ist durch eine EMA (Einbruchmeldeanlage) ausgerüstet, welche zu einer Hilfe leistenden Stelle aufgeschaltet ist Schutzklasse 1 Schutzklasse 2 Schutzklasse 3 möglich erforderlich erforderlich

35 Auftragsdatenverarbeitung auch Datenträgervernichtung - Inhalt Datenschutzvertrag - 11 BDSG / 80 SGB X 1. Gegenstand und Dauer des Auftrags 2. Kronkretisierung des Auftragsinhalts 3. Technisch-organisatorische Maßnahmen Verweis auf DIN 66399! 4. Berichtigung, Sperrung und Löschung von Daten 5. Kontrollen und sonstige Pflichten des Auftragnehmers 6. Unterauftragsverhältnisse 7. Kontrollrechte des Auftraggebers 8. Mitteilung bei Verstößen des Auftragnehmers 9. Weisungsbefugnis des Auftraggebers 10. Löschung von Daten und Rückgabe von Datenträgern Er kann bei öffentlichen Stellen auch durch die Aufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

36 Auftragsdatenverarbeitung Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren! Sanktionen: Wenn die Auftragserteilung nicht richtig, nicht vollständig oder nicht in vorgeschriebener Weise erfolgte, drohen Bußgelder bis zu

37 ADV Vertrag Datenträgervernichtung X X

38 Hinweise vom ULD zur Akten- u. Datenträgervernichtung Allgemeine Vorschläge des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein zur Formulierung des datenschutzrechtlichen Teils vertraglicher Regelungen zur Auftragsdatenverarbeitung nach 11 BDSG (hier: Aktenvernichtung) Quelle:

39 Kassenärztliche Vereinigung Bayern

40 Aufsichtsbehörde

41 Offizielle Erläuterungen zum Landesdatenschutzgesetz Mecklenburg-Vorpommern Zu 4 Verarbeitung von personenbezogenen Daten im Auftrag 4 schließt grundsätzlich nicht aus, dass Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen, im Wege der Auftragsdatenverarbeitung auch durch private Auftragnehmer verarbeitet werden. Allerdings muss die private Stelle in der Lage sein, die Anforderungen tatsächlich zu erfüllen, die an die Verarbeitung solcher Daten zu stellen sind. Der Auftraggeber hat hierauf bei der Auswahl des Auftragnehmers zu achten. Einschränkungen können sich allerdings aus speziellen Vorschriften wie 80 Abs. 5 SGB X oder 203 Abs. 1 StGB (ärztliche Schweigepflicht) ergeben, wonach schon die bloße Offenbarung von Daten einer besonderen Rechtsgrundlage bedarf.

42 SGB X (weitgehende Anlehnung an BDSG) VW Osnabrück GmbH 80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten durch nicht öffentliche Stellen ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen (5) Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn 1.beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder 2.die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst bds-aktuell 2009

43 VW Osnabrück GmbH 83a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Sozialdaten Stellt eine in 35 des Ersten Buches genannte Stelle fest, dass bei ihr gespeicherte besondere Arten personenbezogener Daten ( 67 Absatz 12) unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies unverzüglich der nach 90 des Vierten Buches zuständigen Aufsichtsbehörde, der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen mitzuteilen. 42a Satz 2 bis 6 des Bundesdatenschutzgesetzes gilt entsprechend. 85 Bußgeldvorschriften Geldbuße bis zu ,- Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu ,- Euro geahndet werden. bds-aktuell 2009

44 Röntgenverordnung - RöV VW Osnabrück GmbH 44 Ordnungswidrigkeiten Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 17. entgegen 41 Abs. 3 Satz 1, 3 oder 4 eine Gesundheitsakte nicht, nicht richtig oder nicht vollständig führt, nicht oder nicht für die vorgeschriebene Dauer aufbewahrt oder nicht oder nicht rechtzeitig vernichtet, bds-aktuell 2009

45 Praxishilfen zum Thema GDD-Broschüre: DIN : DIN : SPEC : Homepage BSI: Datenschutzgerechte Datenträgerentsorgung nach dem Stand der Technik (2. Auflage) Verlag: Datakontext Vernichten von Datenträgern Teil 1 Grundlagen und Begriffe Verlag : Beuth Verlag Anforderungen an Maschinen zur Vernichtung von Datenträgern Verlag : Beuth Verlag Prozesse der Datenträgervernichtung Verlag : Beuth Verlag Technische Leitlinie Liste von Produkten zum Schutz von Verschlusssachen; Mustervertrag zum Download Mustervertrag des GDD-Arbeitskreises

46 Über Jahrzehnte hinweg galt die DIN : als der maßgebliche Standard für die Vernichtung von Datenträgern - ausschließlich bezogen auf Papier. Die rasante Ausbreitung digitaler Datenträger sowie gestiegene Anforderungen an die Informationssicherheit machten eine Überarbeitung erforderlich: die neue DIN trägt den aktuellen Gegebenheiten in vollem Umfang Rechnung. Nach ihrem Inkrafttreten hat sie die bisherige Datenschutznorm DIN abgelöst. Seite

47

48 Und zum Schluss! VW Osnabrück GmbH Danke für Ihre Aufmerksamkeit Gerne beantworte ich Ihre Fragen! Fragen? Fragen? Fragen? bds-aktuell 2009