Ergänzende Informationen zum Selbstbeurteilungsbogen zur Revision

Transkript

1 Fachstelle für Datenschutz HRG Innovatis Treuhand GmbH Bahnhofstrasse Buchs Tel: Fax: Web: Mail: Ergänzende Informationen zum Selbstbeurteilungsbogen zur Revision Regionale Datenfachschutzstelle Buchs Seite 1 von 13

2 Recht 2. Gesetzliche Grundlagen: Personendaten Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen, unterstehen dem Datenschutzgesetz (dies gilt nicht für Sachdaten). Der Anwendungsbereich des Gesetzes erstreckt sich auf alle Formen der Datenbearbeitung wie das Beschaffen, Verwenden, Bekanntgeben, Aufbewahren usw. Dabei wird unterschieden, ob Personendaten oder besonders schützenswerte Personendaten bearbeitet werden. Einer der datenschutzrechtlichen Grundsätze ist das Gesetzmässigkeitsprinzip. Dies bedeutet, dass das Bearbeiten von Personendaten nur gestützt auf eine gesetzliche Grundlage erfolgen darf. Für das Bearbeiten von Personendaten, also Daten, welche sich auf eine bestimmte oder bestimmbare Personen beziehen, wie Name oder Adresse, genügt es, wenn die Aufgabe, zu deren Zweck die Datenbearbeitung geeignet und notwendig ist, gesetzlich verankert ist. Dies ist zum Beispiel der Fall, wenn die Aufgabe in einer Verordnung umschrieben ist. Bei besonders schützenswerten, also z. B. bei Daten mit strafrechtlichem Charakter oder Daten aus dem Gesundheitsbereich, ist die Gefahr einer Persönlichkeitsverletzung grösser. Deshalb braucht es für diese Bearbeitung eine formell-gesetzliche Grundlage, d.h. ein Gesetz, welches im Gesetzgebungsverfahren durch das Parlament erlassen wurde. 3. Gesetzliche Grundlagen: Besonderes schützenswerte Personendaten Datenbearbeitungen besonders schützenswerte Personendaten, also von Daten, welche z.b. Informationen über die Gesundheit, strafrechtliche Sanktionen oder Massnahmen der sozialen Hilfe beinhalten, müssen sich auf eine formell-gesetzliche Grundlage stützen. Es muss ein Gesetz vorhanden sein, welches durch die Rechtssetzungsorgane erlassen wurde. Dasselbe gilt für das Bearbeiten von Persönlichkeitsprofilen, also von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit von Personen erlauben. Hier genügen keine Verordnungen. Regionale Datenfachschutzstelle Buchs Seite 2 von 13

3 4. Verhältnismässigkeitsprinzip Daten dürfen nur bearbeitet werden, wenn sie sich für den Zweck, für welchen sie erhoben wurden, eignen. Weiter müssen sie für die Zweckerfüllung erforderlich sein. 5. Zweckbindung Daten dürfen nur für den ursprünglich erhobenen Zweck bearbeitet werden, es sei denn, eine weitere Verwendung ist rechtlich vorgesehen oder die betroffene Person hat im Einzelfall eingewilligt 6. Transparenz: Erkennbarkeit der Datenbeschaffung bei Personendaten Die Datenbeschaffung und der Zweck ihrer Bearbeitung müssen für betroffene Personen erkennbar sein, d.h. Daten dürfen nicht auf eine Weise erhoben werden, mit denen eine Person nicht rechnen musste. Als erkennbar gilt z.b. eine Beschaffung von Daten, wenn die Möglichkeit der Beschaffung in einem Gesetz oder einer Verordnung verankert ist (Beispiel Amtshilfe). 7. Transparenz: Erkennbarkeit der Datenbeschaffung bei besonders schützenswerten Personendaten Bei der Beschaffung von besonderen Personendaten müssen Betroffene über den Zweck der Bearbeitung informiert werden, wenn nicht aus einem Gesetz oder einer Verordnung die Beschaffung und der Zweck hervorgehen. 8. Anonymisierung oder Pseudonymisierung Den Prinzipien der Datenvermeidung und Datensparsamkeit ist Rechnung zu tragen. Datenbearbeitungssysteme und programme sind so zu gestalten, dass möglichst wenig Personendaten anfallen, die zur Aufgabenerfüllung notwendig sind. Regionale Datenfachschutzstelle Buchs Seite 3 von 13

4 9. Aufbewahrungsfrist Es ist zwischen der Aufbewahrung und der Archivierung zu unterscheiden. Öffentliche Organe des Kantons Zürich dürfen Informationen so lange aufbewahren, als sie für das Verwaltungshandeln benötigt werden. Danach noch höchstens zehn Jahre. Allfällige Rechtsmittel- und Verjährungsfristen sind zu berücksichtigen. Sind diese länger als zehn Jahre, verlängert sich die maximale Aufbewahrungsdauer. Nach Ablauf dieser Frist sind die Akten dem Archiv anzubieten und anschliessend sind diejenigen, welche nicht archiviert werden, zu vernichten. 10. Archivierung Nach Ablauf der Aufbewahrungsfrist bietet das öffentliche Organ die Informationen und Findmittel dem zuständigen Archiv an. Informationen, die nicht archiviert werden, sind zu vernichten. 11. Auskunftsrecht Verlangt eine betroffene Person Auskunft über die sie betreffenden Personendaten, so ist ihr diese von der zuständigen Stelle inklusive der Information über die Rechtsgrundlagen, den Bearbeitungszweck, die an der Datenbearbeitung beteiligten Organe und der regelmässigen Empfänger, bekannt zu geben. Vorbehalten bleiben rechtliche Bestimmungen, überwiegende öffentliche oder private Interessen. 12. Verantwortlichkeit Immer häufiger werden in der Verwaltung Datenpools geschaffen. Dies bedeutet, dass mehrere Stellen dieselben Informationen zu unterschiedlichen Zwecken bearbeiten. Die Verantwortlichkeiten müssen in diesen Fällen für die Verwaltung der Daten, für die Bekanntgabe aber auch für den Betrieb der elektronischen Datenbestände klar geregelt sein. 13. Verzeichnis der Informationsbestände Öffentliche Organe sind verpflichtet, ein Verzeichnis ihrer Informationsbestände zu führen und dies öffentlich zugänglich zu machen. Regionale Datenfachschutzstelle Buchs Seite 4 von 13

5 14. Vorabkontrolle Werden Bearbeitungen von Personendaten geplant, welche besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten, muss das Projekt dem Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Besondere Risiken sind z.b. das Einführen von Online-Zugriffen oder der Einsatz neuer Technologien. 15. Bekanntgabe von Personendaten: Amtshilfe Unter Amtshilfe versteht man die gegenseitige Unterstützung von Verwaltungseinheiten. Aus Sicht des IDG bedeutet Amtshilfe eine Datenbekanntgabe im Einzelfall durch ein öffentliches Organ an ein anderes öffentliches Organ. Voraussetzung einer solchen Anfrage ist, dass die Daten zur Erfüllung der gesetzlichen Aufgaben benötigt werden. Diese Anfragen sind zu begründen. 16. Bekanntgabe von Personendaten: Interessenabwägung Wenn eine gesetzliche Grundlage, also ein Spezialgesetz oder auch die Einwilligung der betroffenen Person, eine unmittelbar bestehende Gefahr für Leib und Leben oder die Amtshilfe die Bekanntgabe von Personendaten legitimieren, muss in einem zweiten Schritt überprüft werden, ob wesentliche öffentliche Interessen, offensichtlich schützenswerte Interessen einer betroffenen Person oder rechtliche Bestimmungen (z.b. besondere gesetzliche Geheimhaltungspflichten) bestehen, welche die Datenbekanntgabe einschränken, verhindern oder bewirken, dass die Datenbekanntgabe mit Auflagen verbunden werden muss. 17. Bekanntgabe von Personendaten: Nicht personenbezogene Zwecke Bei einer Bekanntgabe von Personendaten an Dritte für Forschungszwecke oder Statistiken müssen diese anonymisiert werden oder es muss zumindest sichergestellt werden, dass der Empfänger sie so schnell als möglich anonymisiert. Regionale Datenfachschutzstelle Buchs Seite 5 von 13

6 18. Bekanntgabe von Personendaten: Abrufverfahren Unter Abrufverfahren versteht man automatisierte Verfahren, welche die Bekanntgabe von Daten an Dritte durch Abruf ermöglichen, wie zum Beispiel Online-Zugriffe. Weil bei einem Online-Zugriff keine Interessenabwägung mehr stattfindet und das bekannt gebende Organ keinen Einfluss mehr hat, muss dieser Zugriff bei Personendaten in einem Gesetz oder in einer Verordnung, bei besonderen Personendaten in einem Gesetz im formellen Sinn verankert sein. 19. Bekanntgabe von Personendaten: Outsourcing Werden Bearbeitungen von Personendaten an Dritte übertragen (Outsourcing), so bleibt die Verantwortung für die Daten beim übertragenden Organ. Das Outsourcing bedingt, sofern rechtlich nicht festgehalten, einen schriftlichen Vertrag mit gesetzlich vorgeschriebenem Inhalt. 20. Grenzüberschreitende Datenbekanntgabe Werden Daten ins Ausland transferiert, ist der Schutzbedarf besonders hoch. Einen Mindestschutz bietet das betreffende Europarats-Übereinkommen. Hat der Datenempfänger dieses nicht ratifiziert, dürfen Daten nur bekannt gegeben werden, wenn entweder der Empfänger ein angemessener Schutz gewährleistet, eine gesetzliche Grundlage die Datenbekanntgabe erlaubt oder vertragliche Sicherheitsvorkehrungen getroffen wurden. Regionale Datenfachschutzstelle Buchs Seite 6 von 13

7 Organisatorische und technische Fragen 21 IKT-Sicherheitsleitlinie Die Sicherheitspyramide (hierarchischer Aufbau der Richtlinien) besteht aus drei Ebenen: In der ersten Ebene werden kurz und prägnant die allgemeinen Sicherheitsziele der Information und Kommunikationstechnologie (IKT- Sicherheitsziele) und die IKT-Sicherheitsstrategie formuliert. Die Strategie enthält keine technischen Details, wird vom Management verabschiedet und wird selten geändert. In der zweiten Ebene werden aus der Strategie grundlegende technische Anforderungen abgeleitet. Dazu gehören wenige Dokumente, die verschiedene Aspekte der IKT-Sicherheit beschreiben (z. B. eine Richtlinie zur Internetnutzung oder ein Virenschutzkonzept), ohne auf konkrete Produkte einzugehen. In der dritten Ebene werden technische Details, konkrete Maßnahmen und produktspezifische Einstellungen beschrieben. Sie enthält viele Dokumente, die regelmäßig geändert werden und nur von den zuständigen Experten gelesen werden. Regionale Datenfachschutzstelle Buchs Seite 7 von 13

8 22.Informationsicherheitsorganisation Es geht um die Funktionsbeschreibung der am Sicherheitsprozess verantwortlichen Personen. Folgende Komponenten sollten beschrieben werden: Der Name der Funktion Die Zielsetzung für diese Funktion Die Aufgaben und Aktivitäten, die aus den Sicherheitsprozessen abgeleitet werden können Die für die Ausübung dieser Funktion notwendigen Kenntnisse und Erfahrungen Beispielsweise können folgende Funktionen definiert werden: Dienststellenleitung, Sicherheitsbeauftragter Dienstelle, Prozessverantwortlicher Dienstelle, Benutzer, IT-Leitung, IT- Prozessverantwortlicher, IT-Systemverantwortlicher. 23. Verantwortlichkeiten Die verantwortlichen Personen für Netzwerke, Systeme und Applikationen sind mit ihren Stellvertretungen schriftlich zu bestimmen. 24. Zugriffskontrolle Um IKT-Systeme bzw. System-Komponenten und Netze nutzen zu können bzw. um dort gespeicherte Informationen abrufen zu können, muss die Zugriffs- bzw. Zugangskontrolle geregelt sein. Neben den an den einzelnen IKT-Komponenten (Objekten) einzurichtenden Zugriffs- bzw. Zugangskontrollen hat eine übergreifende Richtlinie hierzu zu existieren, in der die Grundsatzfragen geregelt sind. Folgende Struktur entspricht der logischen Abfolge bei der Erstellung des Zugriffskonzepts: Aufgabenzuteilung o Profile der Aufgaben im IT-Betrieb o Profile der Aufgaben in der Stelle o Funktionstrennung o Zuweisung der Profile zur Stelle oder Person Strukturierte Datenhaltung Vergabe der Zugriffsrechte o Objekte Regionale Datenfachschutzstelle Buchs Seite 8 von 13

9 o Rechte o Gruppen o Einschränkungen (Zeit, Ort, Objekttyp) o Zuweisung zur Stelle oder Person Einrichten der Zugriffsrechte o Dateneigentümer o Administratoren o Hotline o Meldestelle für Sicherheitsvorfälle o Ablauf Detailspezifikationen o Namenskonventionen (extern und intern) o Betriebssystemebene o Datenbankebene Kontrolle der Protokolldateien Periodische Überprüfung 25. Passwörter Der Passwortwechsel muss spätestens alle 3 Monate technisch erzwungen werden. Allfällige Applikationen mit eigenen Passwörtern sind falls immer möglich gleich einzurichten. Das Passwort muss mindestens 8-10 Zeichen lang sein, sowie Sonderzeichen und Ziffern beinhalten. 26. Verschlüsselung Das Kryptokonzept beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können. 27. Entsorgung Vor der Entsorgung müssen Datenträger wie Disketten, Disks, CDs, DVDs, Tapes, USB-Sticks usw. physikalisch gelöscht werden (Beispiele: Überschreiben der Daten durch spezielle Löschprogramme, physikalische Zerstörung des Datenträgers). Regionale Datenfachschutzstelle Buchs Seite 9 von 13

10 28. Physikalische Sicherheit Das Zutrittskonzept kann z.b. folgende Bereiche beinhalten: Festlegung der Sicherheitszonen Vergabe von Zutrittsberechtigungen Bestimmung eines Verantwortlichen für die Zutrittskontrolle Definition von Zeitabhängigkeiten Festlegung der Beweissicherung Behandlung von Ausnahmesituationen Kontrolle der Zutritte 29. Einhaltung von Vorschriften Die auf der IKT-Sicherheitsleitlinie basierenden Konzepte müssen regelmässig (ca. 1-mal pro Jahr) auf ihre Übereinstimmung geprüft werden. Zusätzlich zur Klassifizierung der Systeme, Daten und Anwendungen, muss auch definiert werden, welche Massnahmen die verschiedenen Schutzbedarfsstufen erfordern. 30. Ein- und Austrittsprozess Einweisung des Nachfolgers Berechtigungen / Passwörter Schlüssel Weisungen Awareness-Schulung Software-Schulung 31. und Internet Für Amtsstellen ist die kantonale Verordnung verbindlich. Eine noch detailliertere - und Internet-Weisung bzw. Hilfestellung sollte die Verordnung immer ergänzen. Sie ist Bestandteil der internen Weisung für die Benutzung der IKT-Geräte (PC-Weisung) und von den Mitarbeitenden zu unterzeichnen. Regionale Datenfachschutzstelle Buchs Seite 10 von 13

11 32. Sicherheitsaufgaben in Stellenbeschreibungen Die Verantwortung für Datenschutz und IKT-Sicherheit ist explizit den Mitarbeitenden zuzuweisen. Die entsprechenden Ressourcen sind ebenfalls zu gewähren. Eine rollende Jahresplanung sorgt für die permanente Sensibilisierung der Mitarbeitenden z.b. in den Bereichen Virenschutz, Passwortverwendung und Verwendung von IKT-Geräten gemäss den internen (PC-)Richtlinien. 33. Informationen bezüglich Datenschutz Die Mitarbeitenden sind regelmässig über die getroffenen Datenschutz- und IKT-Sicherheitsmassnahmen durch die Verantwortlichen als Teil der Sensibilisierungskampagne zu informieren. 34. Administratorenrechte Ist sichergestellt, dass die Mitarbeitenden nur die Administratorenrechte besitzen, welche sie auch benötigen? 35. Nachvollziehbarkeit Werden schützenswerte Daten verändert, muss die verantwortliche Person bzw. das verantwortliche System identifizierbar sein. 37. Personal Firewall Eine Personal-Firewall hat den Vorteil gegenüber einer Netzwerk-Firewall, dass sie je nach Applikation die Kommunikation zulassen bzw. blockieren kann. Somit können die Zugriffe auf Applikationsebene geregelt werden, wodurch die Regeln feingranular definiert werden können. Zudem schützt sie auch vor internen Angriffen, bei welchen keine Netzwerk-Firewall dazwischen steht. Regionale Datenfachschutzstelle Buchs Seite 11 von 13

12 38. Freigabeverfahren Internetpublikation Es ist wichtig, dass alle Veröffentlichungen ein festgelegtes und nachvollziehbares Kontrollverfahren durchlaufen. Dies sollte eine inhaltliche Qualitätskontrolle ebenso umfassen wie eine formale Freigabe. Hier muss überprüft werden, ob die Informationen überhaupt für eine Veröffentlichung geeignet sind oder ob sie z. B. vertraulich sind, dem Datenschutz unterliegen, Copyright-geschützt sind oder Ähnliches. 39. Datendiebstahl Folgende Massnahmen helfen, Datendiebstahl zu vermeiden: Festplattenverschlüsselung Monitoring bezüglich Datentransfer des Dateiservers Verschlüsselter Transfer übers Netzwerk Automatische Verschlüsselung bei Transfer auf CD / USB-Stick oder den Transfer auf externe Datenträger ganz unterbinden Vielmals geschieht Datendiebstahl von internen Stellen, somit sollte auch ein Monitoring-System eingeführt werden, welches aufzeichnet, wenn grosse Datenmengen von einer einzelnen Station abgerufen wurden. 40. Überprüfung der Sicherheitsmassnahmen Die Amtsstellen und Gemeinden sind gemäss 18 ISV (Informationssicherheitsverordnung, LS 170.8) durch unabhängige Stellen periodisch zu überprüfen. 41. Mobile Arbeitsplätze + Geräte Bei mobilen Geräten existieren zusätzliche Risiken, welche den Benützenden verständlich gemacht werden müssen. Dabei ist eine Weisung für mobile Geräte zu erlassen. Regionale Datenfachschutzstelle Buchs Seite 12 von 13

13 42. Protokollierung bei besonders schützenswerten Personendaten Bei einer Bearbeitung von besonders schützenswerten Personendaten muss protokolliert werden, wer wann wie auf welche Daten zugegriffen und diese bearbeitet hat. Besonders schützenswerte Personendaten sind zur Zeit im Datenschutzgesetz wie folgt definiert: Daten, bei denen wegen ihrer Bedeutung, der Art ihrer Bearbeitung oder ihrer Verknüpfung mit anderen Daten eine besondere Gefahr einer Persönlichkeitsverletzung besteht, wie Daten über: die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten die Gesundheit, den persönlichen Geheimbereich oder die Rassenzugehörigkeit Massnahmen der sozialen Hilfe Strafrechtliche Verfolgungen und Sanktionen Regionale Datenfachschutzstelle Buchs Seite 13 von 13