Daten.Leben. Datenschutz & Datensicherheit Do s und Dont s. Hamburg, den 8.September einfach.machen.

Transkript

1 Daten.Leben. Datenschutz & Datensicherheit Do s und Dont s Hamburg, den 8.September 2016

2 Heute geht s um Datenschutz. Das ist gar nicht so langweilig wie Sie jetzt vielleicht denken...

3 Datenunfall 01. Beim Faschingsumzug im thüringischen Dermbach kamen geschredderte Patientenakten als Konfetti zum Einsatz. Allerdings waren die Papierschnipsel nur grob zerkleinert worden, so dass personenbezogene Daten wie Namen, Adressen und Telefonnummern zu lesen waren. Die Akten stammen offenbar aus einem zum Klinikum Bad Salzungen gehörenden medizinischen Versorgungszentrum. In einer Erklärung des Klinikums heißt es, eine Prüfung habe ergeben, dass unter Missachtung der Vorschriften patientenbezogene Papiere nicht ordnungsgemäß entsorgt wurden. Ups.

4 Datenunfall 02. Berge von Mandantenakten vor dem Eingang zum Gäste-WC Bei einem Besuch eines potentiellen Kunden lagen auf dem Weg zum Gäste-WC offen Berge von Papierstapeln. Auf den ersten Blick erkannte ich, dass es sich hierbei um Mandantenakten handelte, die wohl vernichtet werden sollten. Auf meine Nachfrage sagte mir die Büroleiterin, dass das Rechtsanwaltsbüro dort über ein Jahr lang die Akten zur Vernichtung sammelt, um sie jetzt vernichten zu lassen. Die Akten lagen offen und lose, also ohne Ordner, unbeaufsichtigt so, dass jeder Besucher ohne Probleme hätte zugreifen können.

5 Datenunfall 03. Persönliche Daten von Millionen Flugreisenden konnten seit Ende 2011 problemlos im Internet abgerufen werden. Eine Sicherheitslücke beim Berliner Flugticket-Großhändler Aerticket, der Tickets für tausende Kunden wie Reisebüros oder Reiseportale ausstellt, verursachte das Datenleck. Angaben zu Name, Anschrift, Abflughafen, Fluglinie, Datum und der Preis des Flugtickets waren so Süddeutsche online zufolge mühelos zugänglich. Falls das Ticket per Überweisung bezahlt wurde, waren auch IBAN und BIC der Kunden einsehbar. Die Lücke ist inzwischen geschlossen und sei laut Aerticket nicht von Kriminellen ausgenutzt worden. Der Fall wird nun vom Berliner Datenschutzbeauftragten untersucht.

6 Datenunfall 04. Energieversorger verschickt sensible Kundendaten Eine Mitarbeiterin der MVV Energie AG aus Mannheim hat versehentlich sensible Kundendaten per an eine Privatperson gesendet. Die Mails enthielten auch Namen und Bankverbindungen von rund MVV-Kunden. Laut MVV war die Autofill-Funktion im Mailprogramm "Outlook" der Grund für die Datenpanne. Bei Autofill werden Mail-Adressen bei der Eingabe automatisch ergänzt, wobei es bei ähnlichen Adressen zu Verwechslungen kommen kann. Der Energieversorger hat die etwa betroffenen Kunden benachrichtigt und sie aufgefordert, in den nächsten Wochen auf ungewöhnliche Kontobewegungen zu achten. Zudem wurde eine Hotline eingerichtet.

7 Was ist was? Datenschutz, Datensicherheit Zwei Begriffe, die zusammengehören, sich unterscheiden und immer wieder mal falsch verwendet werden. Eine 100% eindeutige Definition der Begriffe ist nicht möglich. Aber eine klare Abgrenzung

8 Datenschutz. Es geht um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder verankert sind. Hier wird also geregelt, ob personenbezogene Daten überhaupt, in welcher Form und für wie lange verarbeitet werden dürfen.

9 Datensicherheit. Die Datensicherheit ist gemäß 9 BDSG durch Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten. Man spricht hier gern auch von den TOM s Die TOM s enthalten die wichtigsten 8 Gebote Hier geht es also um die Frage, welche Maßnahmen zum Schutz der Daten erhoben werden müssen.

10 Was gibt es in Bezug auf Datenschutz und Datensicherheit für Sie konkret zu tun?

11 Die Auftragsdatenverarbeitung. In Deutschland sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, nach dem 9 des Bundesdatenschutzgesetzes (BDSG) verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen (TOM s) zur Datensicherheit zu treffen. Haben Sie schon mal die Abkürzung ADV gehört? Kennen Sie evtl. schon den Vertrag, den Sie unbedingt mit jedem neuen Kunden, für den Sie Daten im Auftrag verarbeiten, schriftlich abschließen sollten?

12 Die Datensicherheit und die 8 Gebote der TOM s. Als Büroservice, Büroorganisation, Bürodienstleister verarbeiten Sie in jedem Fall auch personenbezogene Daten im Auftrag. Daher ist ein ADV-Vertrag für Sie relevant! Die Inhalte eines solchen Vertrages sind im 11, Abs. 2 des BDSG genau festgelegt. Die Verantwortung einen ordnungsgemäßen ADV-Vertrag zu schließen liegt beim Auftraggeber. Dieser hat im Außenverhältnis auch die Haftung. Sie als Auftragnehmer haben allerdings eine Sorgfaltspflicht, Ihren Auftraggeber darauf hinzuweisen, so einen Vertrag mit Ihnen zu schließen. (Schutz vor Regresspflicht im Innenverhältnis) Ihr Auftraggeber ist verpflichtet, mit Ihnen einen ADV-Vertrag abzuschließen, in dem die 8 Gebote der TOM s geregelt sein müssen. Sie als Dienstleister sollten für Ihre Auftraggeber so einen Vertrag vorbereitet haben.

13 Zutrittskontrolle. Zutrittskontrollmaßnahmen sollen Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren. Zum Beispiel: die Verwendung von Berechtigungsausweisen, Vergabe von Zutrittsrechten der Einsatz von Alarmanlagen oder Kameras das Schlüsselmanagement

14 Zugangskontrolle. Zugangskontrollmaßnahmen sollen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zum Beispiel: ein effektives Passwortmanagement die Verschlüsselung von Datenträgern die automatische Sperrung des Bildschirms bei Inaktivität

15 Zugriffskontrolle. Zugriffskontrollmaßnahmen sollen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die, ihrer Zugriffsberechtigung unterliegenden, Daten zugreifen können, und dass diese Daten bei der Verarbeitung, Nutzung oder Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zum Beispiel: Verpflichtungserklärungen nach 5 BDSG für die Personen, die in Ihrem Unternehmen personenbezogene Daten im Auftrag verarbeiten Berechtigungskonzepte - wer hat auf welche Daten Zugriff

16 Weitergabekontrolle. Merke: Eine Mail ist eine digitale Postkarte also nach Datenschutzrichtlinien nicht geeignet zur Übermittlung von personenbezogenen Daten jeglicher Art. Mit der Weitergabekontrolle soll verhindert werden, dass vor allem personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zum Beispiel: Weitergabe der Daten in einem verschlüsselten digitalen Raum (https mit Schloss).

17 Eingabekontrolle. Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben, verändert, d. h. auch gelöscht und entfernt worden sind. Zum Beispiel: Protokollierung von Dateneingaben sowie von Datenlöschungen. Digitale Unterschrift Revisionssicherheit im System.

18 Auftragskontrolle. Im Rahmen der Auftragskontrolle hat der Auftragnehmer zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Zum Beispiel: Eine eindeutige Vertragsgestaltung. Regelmäßige Prüfung der ADV durch den Auftraggeber.

19 Verfügbarkeitskontrolle. Die Kontrollmaßnahmen zur Verfügbarkeit sollen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind, insbesondere durch Vorfälle wie Stromausfall, Blitzschlag, Feuer- und Wasserschäden. Zum Beispiel: der Einsatz einer unterbrechungsfreien Stromversorgung (USV) oder von Notstromaggregaten. regelmäßige Update von Firewalls und Virenschutz. Für Sie sehr wichtig: Die Erstellung von regelmäßigen Backups sowie die Lagerung der Datenbänder extern, z.b. in einem Banksafe..., damit bei einer Zerstörung Ihres Servers durch Blitzschlag, Brand, etc. die Daten redundant zur Verfügung stehen. Eine Alternative ist, dass Sie mit einem Cloud-Anbieter arbeiten, der seine Server ausschließlich in Deutschland stehen hat.

20 Trennungskontrolle. Ziel der Trennungskontrolle ist, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Zum Beispiel: Verwendung von sogenannter mandantenfähiger Software mit entsprechend konzipierten Zugriffsberechtigungen, eine Art digitaler Tresor.

21 Was kann man denn sonst noch so tun? Sehr viel. Allerdings sollte man sich auch bewusst sein, dass es keine absolute Sicherheit gibt. In 1. Linie geht es darum, ein hohes Maß an Sensibilität für den Umgang mit Daten zu entwickeln und sich immer wieder bewusst zu machen, was alles relevante Informationen sein könnten.

22 Konkrete Maßnahmen im Kleinen... Personenbezogene Daten in physischer Form immer sicher unter Verschluss halten. Akten im Büro immer in verschlossenen Schränken aufbewahren. Möglichst keine personenbezogenen Daten auf der Festplatte Ihres PCs speichern und nur dann auf Datenträger kopieren, wenn dies unumgänglich ist. Komplexe Passwörter wählen und regelmäßig wechseln. Aber nicht auf Post-it s schreiben und diese offen rumliegen lassen. Im Homeoffice nicht private und geschäftliche Daten auf dem Rechner vermischen und vermeiden, dass andere Familienmitglieder Zugang zu Ihren Geschäftsdaten haben. Gewissenhafte Prüfung des Systems mit dem Sie arbeiten. Wo werden meine Daten gespeichert, sind sie redundant, revisionssicher etc.

23 Noch 2-3 Tipps... Bevor Sie Unterlagen und Papier entsorgen, nochmals draufschauen, ob dort etwas steht, dass besser nicht in den Papierkorb gehört. Fehldrucke und -kopien mit personenbezogenem Inhalt nicht mal eben kurz im Papierkorb neben dem Kopierer entsorgen, der dann später in der Altpapiertonne vor der Tür landet. Defekte, veraltete Datenträger ebenso nicht einfach wegwerfen, sondern selbst in die datenschutzkonforme Vernichtung geben. Evtl. noch einmal über eine Beratung zum Thema Datenschutz vom Profi nachdenken. Ein paar Fragen kann ich Ihnen vielleicht schon im jetzt folgenden Speed-Dating beantworten. Na los, fragen Sie einfach.

24 Das war s. Wir hoffen, dass wir Sie ausreichend informieren, sensibilisieren und auch unterhalten konnten. Behalten Sie uns in guter Erinnerung und vielleicht noch eins zum Abschluss: Wir haben noch gar nicht erwähnt, dass wir von REISSWOLF Ihnen gern beratend zur Seite stehen, wenn es um Datenschutzthemen aller Art geht. Oder Sie benötigen ein digitales, revisionssicheres Speicherprogramm oder die sichere zertifizierte Vernichtung von Datenträgern? Wir helfen Ihnen gern und stellen auch Sicherheitsbehälter für die datenschutzkonforme Vernichtung von Daten zur Verfügung.

25 Danke für s Zuhören und ab in die Workshops

26 Wir netzwerken gern. Sie auch? Nachfolgend eingehende Fragen von Teilnehmern, beantworten wir gern. Vorzugsweise leiten wir alle Antworten an uns vorliegende Verteiler weiter. Geben Sie uns gern Ihre Kontaktdaten durch und Sie werden Teil des Verteilers. So können Sie auch nachfolgend dabei sein. Wir freuen uns auf einen weiterhin regen Austausch. REISSWOLF Akten- und Datenvernichtung GmbH Cordula Haak Wendenstraße Hamburg Tel.: +49 (0) Fax: +49 (0) Web:

27 REISSWOLF Akten- und Datenvernichtung GmbH Cordula Haak Wendenstraße Hamburg Tel.: +49 (0) Fax: +49 (0) Web: