3. Das Datenschutz-Konzept der Nordrheinischen Ärzteversorgung

Transkript

1 ABV-Informationsveranstaltung zu Fragen der IT-Sicherheit und zum Datenschutz Donnerstag, 28. September Das Datenschutz-Konzept der Nordrheinischen Ärzteversorgung Fritz Schwarzelühr Zentrales Controlling / Datenschutzbeauftragter

2 Agenda 1 Datenschutz-Konzept: Begriffsklärung / Gesetzliche Grundlagen 2 Datenschutz-Konzept: Basis / Soll-Inhalte 3 Sicherheitskonzept 4 NÄV-Vorgehensweise zur Erstellung des Datenschutz-Konzeptes 5 Inhalte des NÄV- Datenschutz-Konzeptes 6 Praxis-Erfahrungen bei der Umsetzung des Datenschutz-Konzeptes 7 Fazit und Empfehlung 8 Internet-Adressen zum Datenschutz 2

3 1 Datenschutz-Konzept: Begriffsklärung / Gesetzliche Grundlagen Weder im Bundesdatenschutzgesetz (BDSG) noch im Datenschutzgesetz des Landes Nordrhein-Westfalen (DSG NRW) wird explizit auf ein Datenschutzkonzept eingegangen. Eine gesetzliche Verpflichtung zur Erstellung eines Datenschutzkonzepts existiert nicht. Aus den letzten Tätigkeitsberichten des Bundesbeauftragten für den Datenschutz Nr. 19 und Nr. 20 sowie aus den Datenschutzberichten Nr. 15, 16 und 17 der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen lässt sich ebenfalls keine Verpflichtung zur Erstellung eines Datenschutzkonzepts oder die inhaltlich eindeutige Definition eines Datenschutzkonzepts ableiten, In 9a BDSG bzw. 10a DSG NRW Datenschutzaudit wird dieser Begriff verwendet und erläutert, dass ein Datenschutzkonzept sowie die technischen Einrichtungen durch unabhängige und zugelassene Gutachter geprüft und bewertet werden können. Nach 9a Satz 2 BDSG bzw. 10a Satz 3 DSG NRW vorgesehene nähere Anforderungen an die Prüfung und Bewertung sollen durch Gesetz geregelt werden. Bislang ist ein entsprechendes Ausführungsgesetz, in dem dann auch begriffliche Klarheit zu erwarten ist, nicht ergangen. 3

4 2 Datenschutz-Konzept: Basis / Soll-Inhalte Der Gesetzgeber hat keine inhaltlich eindeutige Definition gegeben. Nach Auffassung der Landesbeauftragten für den Datenschutz in Nordrhein-Westfalen ist von einem Datenschutzkonzept zu erwarten, dass es die Rechtsgrundlage zur Datenerhebung und das Sicherheitskonzept umfasst. Bestandteile eines zu formulierenden Datenschutzkonzepts werden die in den Datenschutzgesetzen verpflichtend vorgesehenen Maßnahmen und Einrichtungen (z.b. Verfahrensverzeichnis, Verpflichtungen, Belehrungen, Schulungsnotwendigkeit und -plan, Vorabkontrolle, usw.) sein (aus Stellungnahme des Wirtschaftsprüfers der NÄV). Im IT-Grundschutzhandbuch, Stand 1999, des Bundesamtes für Sicherheit in der Informationstechnik (BSI) existierte ein Datenschutzkapitel. Dieses enthält nach der Einführung Beschreibungen der typischen Gefährdungen und Maßnahmen für den Datenschutz. Zur Zeit überarbeiten das Referat VI des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit*) in Zusammenarbeit mit Landesbeauftragten für den Datenschutz und weiteren Stellen dieses Datenschutzkapitel. Man hoffte ( ), noch in 2006 eine überarbeitete Fassung veröffentlichen zu können (-> *) Husarenstraße 30, Bonn; Tel.: Fax: Referat VI: ref6@bfdi.bund.de Webadresse: 4

5 3 Sicherheitskonzept In einem Sicherheitskonzept sind die technischen und organisatorischen Maßnahmen, die zur Gewährleistung der in 10 Abs. 2 DSG NRW angeführten Sicherheitsziele zu treffen sind, zu dokumentieren. Die Verpflichtung zur Erstellung eines Sicherheitskonzepts - als Bestandteil eines Datenschutz-konzepts in der Auffassung der Landesdatenschutzbeauftragten - sowie die abstrakten inhaltlichen Anforderungen an ein Sicherheitskonzept ergeben sich direkt aus 10 DSG NRW. Das BSI hat mit den in 2005 herausgegebenen IT-Grundschutz-Katalogen als Nachfolger des IT-Grundschutzhandbuchs die Baustein-, Maßnahmen- und Gefährdungskataloge für praktisch alle Gefährdungssituationen in der IT-Technologie bereit gestellt. Deren Sinn und Wert wird in Kapitel 1.3 wie folgt beschrieben: Für die erfolgreiche Etablierung eines kontinuierlichen und effektiven IT-Sicherheitsprozesses müssen eine ganze Reihe von Aktionen durchgeführt werden. Hierfür bieten die IT-Grundschutz-Vorgehensweise sowie die IT-Grundschutz-Kataloge Hinweise zur Methodik und praktische Umsetzungshilfen. Enthalten sind ferner Lösungsansätze für verschiedene, die IT-Sicherheit betreffende Aufgabenstellungen, bspw. IT-Sicherheitskonzeption, Revision und Qualifizierung. Je nach vorliegender Aufgabenstellung sind dabei unterschiedliche Anwendungsweisen des IT-Grundschutzes zweckmäßig. 5

6 Zu 3: IT-Grundschutz-Kataloge des BSI 6

7 Zu 3: IT-Grundschutz-Kataloge des BSI 7

8 zu 2/3: Auszug aus dem Datenschutzkapitel des IT-Grundschutzhandbuch des bsi,

9 zu 2/3: Auszug aus dem Datenschutzkapitel des IT-Grundschutzhandbuch des bsi,

10 4 NÄV-Vorgehensweise zur Erstellung des Datenschutz-Konzeptes - 1 Aus der Erkenntnis über die Notwendigkeit und die Sinnhaltigkeit hat die IT-Abteilung der NÄV schon früh mit der Erstellung eines Sicherheitshandbuches begonnen. Dieses beschreibt die Gefahren für die IT-Systeme und -Verarbeitung und leitete hieraus zunächst Konzepte für den Umgang mit ihnen ab (-> Sicherheitskonzept). Zentrales Risikomanagement und Interne Revision haben dieses Sicherheitsbuch geprüft und in einzelnen Bereichen Erweiterungen / Änderungen empfohlen. Im Umsetzungsschritt wurden organisatorische Regelungen (Funktionstrennung, etc.) bestimmt, Systeme angeschafft (Smartcard) und Ablaufverfahren überarbeitet (Business Process Reengineering) Nach Umstellung der IT-Aufwendungen (schrittweise von 2001 bis Mitte 2003) auf das System R/3 der SAP AG und nach Inbetriebnahme wichtiger ergänzender Module (ZAHL) hat der betriebliche Datenschutzbeauftragte die neue IT-Landschaft mit Systemen, Software- Moduln und Strukturen (insb. Berechtigungssysteme) z.t. dokumentiert, auf Datenschutz- Relevanz analysiert. Unterstützt durch externe Berater / Wirtschaftsprüfer wurde im nächsten Schritt die Konformität mit den Datenschutz-Vorschriften beurteilt. Aus dieser Beurteilung wurde ein Maßnahmenkatalog zur Beseitigung unzulässiger Verfahren abgeleitet, der z.zt. noch in Umsetzung ist. 10

11 4 NÄV-Vorgehensweise zur Erstellung des Datenschutz-Konzeptes - 2 Das Datenschutz-Konzept wurde und wird parallel zu den Anwendungskonzepten erstellt. Ausgangspunkt für ein Datenschutz-Konzept in NRW ist der neu gefasste 10 DSG NRW*): (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig, aktuell bleiben (Vertraulichkeit), (Integrität), 3. personenbezogene Daten zeitgerecht zur Verfügung stehen u. ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Authentizität), (Revisionsfähigkeit), (Transparenz). Diese Anforderungen betreffen zunächst die Datenführung. Es galt, die relevanten Funktionen der IT-Systeme zu identifizieren und Anforderungen herzuleiten. Darüber hinaus könnten die geforderten Dateneigenschaften durch bestimmte Situationen im Geschäftsverkehr mit den Betroffenen und in der damit korrespondierenden Datenverwaltung in den IT-Systemen während des Lebenszyklus der Daten verletzt werden. Beispiele: Ein Hypothekenantrag wird nicht angenommen. Ein Mietvertrag wird gekündigt. Datenpflege? *) zur Definition resp. zu den Beweggründen der Gesetzesänderung s. Datenschutz-Konzept, Kapitel resp

12 5 Inhalte des NÄV- Datenschutz-Konzeptes - 1 Hieraus entstand eine Liste der möglicher Verstöße gegen Datenschutz-Vorschriften... die mit Maßnahmenkonzepten (=Handlungsplan) beantwortet wurde... wodurch durch Umsetzung praktische Lösungen entstanden bzw. noch entstehen Der 1. Punkt: 12

13 5 Inhalte des NÄV- Datenschutz-Konzeptes - 2 Ferner von zentraler Bedeutung ist...: 13

14 5 Inhalte des NÄV- Datenschutz-Konzeptes - 3 Die Daten sollen nur im Rahmen der Aufgabenerfüllung eingesehen werden. Dies erfordert ein differenziertes Zugriffs-Rechtesystem. Organisatorisch sind Datenschutz- und Kontrollfunktion zu stärken: 14

15 5 Inhalte des NÄV- Datenschutz-Konzeptes - 4 Jeder IT-Betrieb bringt folgende Basisgefahren mit sich...: 15

16 5 Inhalte des NÄV- Datenschutz-Konzeptes - 5 Durch Auslagern (Outsourcing) der Datenverarbeitung entledigt ma n sich all dieser IT-Detailprobleme. Die Verantwortung kann man jedoch nicht abwälzen. Über Verträge muss der Auftragnehmer zur Erfüllung des Datenschutzes verpflichtet werden. Zudem sind Kontrollverfahren und -systeme erforderlich. 16

17 6 Praxis-Erfahrungen bei der Erstellung des Datenschutz-Konzeptes Es bestand Unsicherheit, ob es eine gesetzliche Verpflichtung zur Erstellung gibt. 9a BDSG bzw. 10a DSG NRW Datenschutzaudit lassen vermuten, dass nur Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ein Datenschutzkonzept entwickeln müssen, da sie sich bei Auftragsverarbeitung zur Erfüllung datenschutzrechtlicher Vorschriften verpflichten müssen. Gesetzliche Vorgaben (= Hilfestellung) zu Inhalten gibt es nicht. Bundes- und Landesbeauftragte für den Datenschutz haben die Neufassung des Kapitels 3.5 Datenschutz des IT-Grundschutzhandbuchs 1999 noch nicht fertig gestellt. Der Datenschutz unterliegt dynamischen Prozessen Neuaufbau auf Basis von R/3 Die Geschäftstätigkeit (Geschäfte, Vertragspartner) wandelt sich IT-Projekte verändern die IT-Strukturen (Anwendungen, Daten, Werkzeuge) Outsourcing R/3, DMS Datenschutz benötigt allgemeine IT-Sicherheitsstrukturen, die von der IT-Abteilung (bzw. einem Outsourcer ) bereit gestellt (konzipiert, realisiert, beschrieben) werden müssen. Datenschutz fordert z.t. weitergehende Schutzmechanismen, die von der IT nicht immer (gerne) wahrgenommen werden. Ein Datenschutzkonzept zu erstellen - obwohl nicht vorgeschrieben - ist sinnvoll. Es gewährleistet ein planvolles Vorgehen. 17

18 6 Praxis-Erfahrungen bei der Umsetzung des Datenschutz-Konzeptes -1 18

19 6 Praxis-Erfahrungen bei der Umsetzung des Datenschutz-Konzeptes -2 Ob die Satzung (für das Versicherungsgeschäft), Rahmenverträge mit Partnerbanken (für Hypothekendarlehen), Mietgesetze (für Vermietung) die Speicherung personenbezogener Daten decken - und wenn ja, wie lange -, wurde nie abschließend geprüft. Die Berechtigungskonzepte orientieren sich an den GoB, d.h. definierten Funktionstrennung / 4-Augen-Prinzip. Die Datenschutz-Sicht Zugriff nur für bearbeitende Stellen wird geringfügig im R/3-Produktivsystem durch Anzeigerollen sowie in ZAHL*) verletzt. Die für den Test neuer Software-Releases einführte Datenbankkopie vom Produktiv- ins Testsystem kann aus Datenschutzsicht nicht akzeptiert werden. Bei der Prüfung, ob die Zugriffsrechte so eingerichtet sind, wie sie konzipiert waren, zeigt sich, dass R/3 keine geeignete einfache Auswertung der zugewiesenen Rechte bietet; die Listen fassen Rechte nicht wertend zusammen, weisen Rechte nicht nach Daten aus. Der Leitfaden Datenschutz für R/3 (aus 2001) gibt viele Tipps zu Daten, zu Tools, etc. Diese können aber nur von technische versierten Benutzern umgesetzt werden. Zudem müssen vordefi-nierte Rollen erst mühsam an die Belange des Datenschützers angepasst werden. Auch für die Einsichtnahme Betroffener sind keine geeignete Rollen definiert. *) NÄV-Eigenentwicklung für den Zahlungsverkehr 19

20 7 Fazit und Empfehlung Die Datenschutz-Gesetze beinhalten Vorschriften mit Konsequenzen für Organisation und IT-Technik. Rechtsgrundlagen der Datenspeicherung dürften i.a. ausreichend sein. Versorgungswerke mit vielen IT-Anwendungen müssen einen hohen Aufwand für die Datenschutz-gerechte Pflege und -Archivierung der personenbezogenen Daten treiben. Versorgungswerke mit geringer Personal decke können sich zwar darauf berufen, dass sie den Datenschutz nicht so professionell wie größere Versorgungswerke betreiben können. Gleichwohl muss er gewährleistet sein. Lösungsansätze: Outsourcing der Datenschutz-Funktion oder Outsourcing der Gesamten IT-Aktivitäten und der Datenschutz-Funktion. Berechtigungssysteme nehmen aus Sicht von GoB und Datenschutz eine Schlüsselrolle ein. 20

21 8 Internet-Adressen #) zum Datenschutz Der Bundesbeauftragte für den Datenschutz Die Landesbeauftragte für den DS in NRW bzw. Adressenliste für Landesbeauftragte Das virtuelle Datenschutzbüro Zertifizierte Datenschutzberater *) Seminaranbieter *) Verlage / Zeitschriften wie z.b. Datenschutz und Datensicherheit (DUD), Datenschutzberater, Datenschutznachrichten (DANA), Recht der Datenverarbeitung (RDV) #) führt auch zu Literatur *) Beispiel; ohne Gewähr für Zertifizierung und Leistungen 21