BSI IT-Grundschutztagung IT-Grundschutz und das BDSG. Zusammenspiel von Datenschutz und IT-Grundschutz. Miriam Meder

Transkript

1 BSI IT-Grundschutztagung IT-Grundschutz und das BDSG Zusammenspiel von Datenschutz und IT-Grundschutz Regensburg, 13. Juni 2013 Bayerisches Landesamt für Datenschutzaufsicht 1

2 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3. Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 6. Ausblick auf die europäische 2

3 Datenschutzaufsichts- und -kontrollstellen in Deutschland LfD BW Bundesbeauftragter für Datenschutz und Informationsfreiheit LfD NDS LfD BY BayLDA LfDI NRW Berliner BDI LfD Rh-Pf LDA BDB LfDI Bremen Datenschutz Recht auf informationelle Selbstbestimmung LfD Saarland DB Sachsen LfD Sa-Anh BfDI HH BD Hessen ö-r- Rundfunk priv. Rundfunk ULD SH LfD Meck-Pom. kath. Kirche ev. Kirche LfD THÜ 3

4 Datenschutzaufsichts- und kontrollstellen in Bayern Bayerischer Landesbeauftragter für den Datenschutz (Art. 29 BayDSG) Bayerisches Landesamt für Datenschutzaufsicht (Art. 34 BayDSG) Datenschutz Recht auf informationelle Selbstbestimmung Bayer. Rundfunk Bayer. Landeszentrale für neue Medien ev. Kirche kath. Kirche 4

5 Datenschutzaufsicht in Bayern Präsident Grundsatzfragen, Öffentlichkeitsarb eit Vorzimmer, Geschäftsstel le Referat 1 Referat 2 Referat 3 Referat 4 Referat 5 Referat 6 Beschäftigtendatenschutz Videoüber-wac hung Freiberufliche Tätigkeit Soziale Einrichtungen Banken Auskunfteien Werbung betriebliche Datenschutzbeauftragte Auftragsdatenverarbeitung Versicherungen Internet IT-Sicherheit Gesundheitswesen Telemedien Industrie Handel,Gewerbe internationaler Datenverkehr Vereine und Verbände Wohnungseig. Branchenverzeichnisse Technischer Datenschutz Bußgeld 5

6 Datenschutzaufsicht in Bayern 38 BDSG: Die Aufsichtsbehörde... kontrolliert... ( 38 Abs. 1 Satz 1 BDSG) berät und unterstützt... ( 38 Abs. 1 Satz 2 BDSG) veröffentlicht Tätigkeitsbericht ( 38 Abs. 1 Satz 7 BDSG) ordnet an... ( 38 Abs. 5 BDSG) erlässt Bußgeldbescheid (in Bayern) leitet Strafverfahren ein ( 44 Abs. 2 Satz 2 BDSG) Vorstellung des Tätigkeitsberichts am 21. März

7 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3.Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 6. Ausblick auf die europäische 7

8 Datenschutz und Informationssicherheit Datenschutz Ziel: Schutz des Einzelnen vor einer Beeinträchtigung des Persönlichkeitsrecht s durch den Umgang mit personenbezogenen Daten (vgl. 1 Abs. 1 BDSG) Informationssiche rheit Ziel: Mittels eines ganzheitlichen Ansatzes (organisatorisch, personell, infrastrukturell und technisch) soll ein angemessener Schutz für alle Informationen einer Institution erreicht werden. 8

9 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3.Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 9

10 Grundlagen des Datenschutzes (1) Datenschutz ist Grundrechtsschutz Es geht um das jedermann zustehende Recht auf informationelle Selbstbestimmung. Das Recht auf informationelle Selbstbestimmung ist durch Art. 2 Abs. 1 GG (freie Entfaltung der Persönlichkeit) i.v.m. Art. 1 Abs. 1 GG (Menschenwürde) garantiert. 10

11 Grundlagen des Datenschutzes (2) Auszug aus dem Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember BvR 209/83: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und 11

12 Grundlagen des Datenschutzes Schutzgegenstand im Datenschutzrecht sind die personenbezogenen Daten. 3 Abs. 1 BDSG Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Beispiele: Name, Telefonnummer, Adresse, Adresse, IP-Adresse, KFZ-Kennzeichen 12

13 Grundlagen des Datenschutzes (3) Verbot mit Erlaubnis vorbehal t Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (Datenumgang) ist zunächst einmal verboten. Zulässig sind diese Vorgänge nur, wenn eine Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene 13

14 Grundlagen des Datenschutzes (4) Zweckbindungsgrundsatz vor jeder Erhebung und Verarbeitung muss der konkrete Zweck klar erkennbar festgelegt sein jede Zweckänderung bedarf einer erneuten Rechtfertigung Keine Erhebung / Speicherung auf Vorrat zulässig! Direkterhebungsgrundsatz Daten sind grundsätzlich beim Betroffenen zu erheben Gründe: Transparenz der Maßnahme und Richtigkeit der Daten Grundsatz der Verhältnismäßigkeit die Datenverarbeitung muss zur Erreichung des konkreten Zwecks geeignet, erforderlich und angemessen sein Grundsatz der Datensparsamkeit / Datenvermeidung So wenig Daten wie möglich erheben, verarbeiten oder nutzen Daten möglichst pseudonymisieren oder anonymisieren. 14

15 Grundlagen des Datenschutzes (5) Datenschutz als Querschnittsmaterie datenschutzrechtliche Vorgaben finden sich in zahlreichen Gesetzen bspw. Datenschutz im Internet reiner Datentransport TKG Bereitstellung von Inhalten und nicht nur Transport TMG Inhalte der Kommunikation, die genauso in der Offline -Welt anfallen könnten, sind durch das BDSG geschützt Bsp: Kauf eines Buches in einem Online-Shop: die personenbezogenen Vertragsdaten unterfallen nicht den Regelungen des TMG, sondern des BDSG! 15

16 Grundlagen des Datenschutzes (6) Rechte des Betroffenen Info bei Erhebung 4 Abs. 3 Einsicht in Verfahrensüb er-sicht 4g Abs. 2 S. 2 Schadensersatz 7 Benach-ric htigung 33 Auskunft 34 Sperrung 35 Abs. 3 Werbewiderspruch 28 Abs. 4 Berichtigun g 35 Abs. 1 Löschung 35 Abs. 2 Gegendarstellun g 35 Abs. 6 S.2 16

17 Grundlagen des Datenschutzes (7) Bundesdatenschutzgesetz (BDSG) 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht

18 Grundlagen des Datenschutzes (8) Anlage zu 9 Satz 1 BDSG Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Zutrittskontrolle, 2. Zugangskontrolle, 3. Zugriffskontrolle, 4. Weitergabekontrolle, 5. Eingabekontrolle, 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle, 8. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

19 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3.Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 19

20 Überschneidung technischer Datenschutz und IT-Sicherheit (1) berschneidungen von Datenschutz und IT-Sicherheit Quelle: BSI, 20

21 Überschneidung technischer Datenschutz und IT-Sicherheit (2) BSI-IT-Grundschutzkatalog B 1 Übergreifende Aspekte B 1.5 Datenschutz : Gefährdungen und Maßnahmen M 7.5 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten Tabelle zum Baustein 1.5: Übersicht der Maßnahmen der IT-Grundschutz-Kataloge, die zur Erreichung der technisch-organisatorischen Maßnahmen nach 9 BDSG i.v.m. der Anlage 21

22 Technisch-organisatorische Maßnahmen im BDSG (1) Zutrittskontrolle: Unbefugten den Zutritt zu T-Anlagen zu verwehren Durch z.b. Sichere Serverräume Einbruchshemmende Türen Videoüberwachung Schleusen Werkschutz Tragen von Dienstausweisen PC-Gehäuse Quelle: Bundesamt für Sicherheit in der Informationstechnik (BS 22

23 Technisch-organisatorische Maßnahmen im BDSG (2) ugangskontrolle: nbefugte dürfen IT-System nicht nutzen Durch z.b. Sichere Passwörter Regelmäßige Passwortwechsel (?) Keine Gruppenkennungen Keine Post-Its (Hardware-)Tokens 2-Faktor-Authentifizierung Biometrie? Quelle: Bundesamt für Sicherheit in der Informationstechnik (BS 23

24 Technisch-organisatorische Maßnahmen im BDSG (1) ugriffskontrolle: erechtigungen und Rollenkonzepte erhindern, dass Unbefugte personenbez. aten lesen, kopieren oder ändern können Durch z.b. Normaler vs. Admin-Nutzer Differenzierte Adminkennungen z.b. Empfang hat keinen Zugriff auf Entwicklungsserver 24

25 Technisch-organisatorische Maßnahmen im BDSG (3) Weitergabekontrolle: nbefugte können Daten bei.übertragung.speicherung icht lesen, ändern oder löschen Durch z.b. HTTPS-Verschlüsselung Netzwerksicherung (z.b. Firewall, IDS, ) Hacker-Schutz (z.b. Injection, XSS, ) Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) 25

26 Technisch-organisatorische Maßnahmen im BDSG (4) ingabekontrolle: achträglich prüfbar, ob Daten eingeben, rändert oder entfernt wurden Protokollierung Durch z.b. Server-Logs Datenbankprotokolle Betriebssystemprotokolle Anwendungsprotokolle 26

27 Technisch-organisatorische Maßnahmen im BDSG (5) uftragskontrolle: i Dienstleistern dürfen Daten nur nach eisung des Auftraggebers verarbeitet werden ängt mit 11 BDSG ADV-Vertrag zusammen nd beinhaltet z.b. OMs nach 9 BDSG ontrollpflichten egelungen zur Unterauftragnehmervergabe mfang der Weisungsbefugnis 27

28 Technisch-organisatorische Maßnahmen im BDSG (6) erfügbarkeitskontrolle: Brandschutz hutz gegen zufällige rstörung oder Verlust Unterbrechungsfreie Stromversorgung (USV) Backups Klimatisierung Lastverteilung Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) Andere Quellen: Wikipedia 28

29 Technisch-organisatorische Maßnahmen im BDSG (7) Zweckbindung der Daten: u unterschiedlichen Zwecken rhobene Daten müssen getrennt erarbeitet werden z.b. Mandantenfähigkeit bei Datenbanken A B C z.b. Pseudonymisierung Hans Meier A1 Fritz Müller C4 Johann Spiegel Z8 Gerhard Koch F1 29

30 Technisch-organisatorische Maßnahmen im BDSG (8) Einsatz von Kryptographie: Transportverschlüsselung Ende-zu-Ende Verschlüsselung Datenbankverschlüsselung Hardware-Tokens Asymmetrische Verschlüsselung Symmetrische Verschlüsselung Hashfunktionen AES 256 Bit MD5/PBKDF2 RSA 2048 Bit 30

31 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3.Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 31

32 Verantwortlichkeiten im Unternehmen Wer ist für Datenschutz und Datensicherheit im Unternehmen verantwortlich? Umsetzungsverantwortung Unternehmensleitung Abteilungsleitung IT-Leitung Hinwirkungsverantwortung Datenschutzbeauftragter Überwachungs- und Mitwirkungsverantwortung Betriebsrat 32

33 Gliederung 1.Vorstellung des Bayerischen Landesamtes für Datenschutzaufsicht 2.Datenschutz und Informationssicherheit 3.Grundlagen des Datenschutzes 4. Technischer Datenschutz und IT-Sicherheit a. Überschneidungen b. Technisch-organisatorische Maßnahmen im Einzelnem 5. Verantwortlichkeiten im Unternehmen 33

34 Ausblick auf die europäische Entwicklung (1) Am 25. Januar 2012 hat die EU-Kommission zur Fortschreibung der EU-Datenschutzrichtlinie vom 24. Oktober 1995 (RL 95/46/EG) den Entwurf einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vorgelegt. Viviane Reding Vizepräsidentin Diese Verordnung hat die Vollharmonisierung des Datenschutzrechts in Europa zum Ziel (d.h. Wegfall von Bundes- und Landesdatenschutzgesetzen und vieler sonstiger bereichsspezifischer Datenschutzregelungen.) Kommissarin für Justiz, Grundrechte und Bürgerschaft 34

35 Ausblick auf die europäische Entwicklung (2) Beratung im Europäischen Parlament Lobby-ar beit Beratung im Rat (= Regierungs-chef s der Mitglied-staaten der EU) Trilog-Verhandlungen zwischen Parlament, Rat und Kommission (erstellt sog. Fomulierungshilfen ) Beschlussfassung im Europäischen Parlament Beschlussfassung im Rat Inkrafttreten gepl. in 2014, d.h. dann Beginn der zweijährigen Umsetzungsphase Die Kommission wird in sehr zahlreichen Fällen ermächtigt, delegierte Rechtsakte zu Lobby-ar erlassen beit Was auf Dauer wirklich gilt, ist z.zt. noch als offen. 35

36 Vielen Dank für Ihre Interesse! Referentin beim Bayerischen Landesamt für Datenschutzaufsicht 36