Datenschutz und informationstechnische Sicherheit bei PCs Verfasser: Hanns-Wilhelm Heibey Ursula Meyer zu Natrup Ralf Hauser Carsten Schmidt

Größe: px
Ab Seite anzeigen:

Download "Datenschutz und informationstechnische Sicherheit bei PCs Verfasser: Hanns-Wilhelm Heibey Ursula Meyer zu Natrup Ralf Hauser Carsten Schmidt"

Transkript

1 Datenschutz und informationstechnische Sicherheit bei PCs Verfasser: Hanns-Wilhelm Heibey Ursula Meyer zu Natrup Ralf Hauser Carsten Schmidt

2 2 Impressum Herausgeber: Redaktion, Layout: Satz und Druck: Berliner Datenschutzbeauftragter verantwortlich: Claudia Schmid Pallasstraße 25/26, Berlin Telefon: (030) Telefax: (030) Bildschirmtext: * # Internet: Volker Brozio Verwaltungsdruckerei Berlin 1. Auflage: Dezember 1997

3 3 Datenschutz und informationstechnische Sicherheit bei PCs Inhaltsverzeichnis 1. Was soll mit dieser Broschüre erreicht werden? 2. Was ist grundsätzlich zu wissen und zu beachten? 2.1 Worüber wird in dieser Broschüre gesprochen? Systeme Rechtmäßigkeit und Sicherheit der Datenverarbeitung Grundtechniken der IT-Sicherheit 2.2 Wann stehen Datenschutz- und IT-Sicherheitsfragen in einem PC-Projekt an? 2.3 Welche Besonderheiten beeinflussen beim PC die Sicherheit? 3. Wie wird informationstechnische Sicherheit beim PC-Einsatz sichergestellt? 3.1. Gegen welche Bedrohungen und Risiken müssen die PCs geschützt werden? Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen? Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes? Was bedroht die Verfügbarkeit der Systeme, Programme und Daten? Was bedroht die Integrität von Systemen, Programmen und Daten? Was bedroht die Vertraulichkeit der Daten? 3.2 Wie wird der PC gegen die Bedrohungen geschützt? Wie werden die Risiken verringert? Welche personellen und organisatorischen Maßnahmen sind zu ergreifen? Wie kann der Schutz der Hardwarekomponenten gewährleistet werden? Wie sind Programme gegen unerwünschte Veränderungen zu schützen? Wie sind Programme gegen unberechtigte Nutzung zu schützen? Wie sind die Daten vor unbefugtem Zugriff zu schützen? Welche Schutzmaßnahmen sind insbesondere bei tragbaren Computern zu beachten? Welche Schutzmaßnahmen sind insbesondere bei Clients zu beachten?

4 Welche Schutzmaßnahmen sind insbesondere bei Servern zu beachten? 4. Wie ist der technische und organisatorische Datenschutz zu gewährleisten? 4.1 Wie werden die Kontrollanforderungen der Datenschutzgesetze umgesetzt? Welche Kriterien gelten für die Auswahl geeigneter technischorganisatorischer Maßnahmen? Welche Maßnahmen können für die Umsetzung der Zehn Gebote des technischen und organisatorischen Datenschutzes ergriffen werden? 4.2 Mit welchen Maßnahmen ist die Ordnungsmäßigkeit der Datenverarbeitung herzustellen? Literaturhinweise Anlagen: 1. Grundsätze für organisatorische und technische Maßnahmen zum Datenschutz beim Einsatz von unvernetzten oder vernetzten Personalcomputern 2. Empfehlungen für die Vergabe von Paßwörtern

5 1. Was soll mit dieser Broschüre erreicht werden? 5 Im Jahre 1986 veröffentlichte der Berliner Datenschutzbeauftragte erstmals seine Grundsätze für den Datenschutz für isolierte Rechner und Personalcomputer. Die Broschüre fand lebhaftes Interesse, nicht nur in der Berliner Verwaltung, die damals noch einziger direkter Adressat der Empfehlungen des Berliner Datenschutzbeauftragten sein konnte. Bis 1992 wurden vier Auflagen herausgebracht, meist inhaltlich an den technologischen Wandel angepaßt - auch unter Berücksichtigung der zunehmenden Vernetzung von PCs. Durch eine Änderung des 33 Berliner Datenschutzgesetz (BlnDSG) ist seit 1995 der Berliner Datenschutzbeauftragte in Berlin auch Aufsichtsbehörde für private Organisationen gem. 38 Bundesdatenschutzgesetz (BDSG). Somit richten sich unsere Empfehlungen nunmehr auch unmittelbar an private Institutionen, die personenbezogene Daten automatisiert verarbeiten. Die Grundsätze mit ihren Erläuterungen sollten erste Datenschutzmaßstäbe für den zunehmenden Einsatz von PCs vorstellen. Inzwischen sind PCs auf fast jedem Büroarbeitsplatz und in fast jeder Wohnstube für die häusliche IT-Nutzung und als Bestandteil der Unterhaltungselektronik zu finden. Die erreichten Leistungsdaten der PCs sind in atemberaubender Weise gestiegen und werden dies weiter tun. Der Datenschutz und die informationstechnische Sicherheit bei den PCs ist dagegen weiterhin Stiefkind dieser Entwicklung geblieben. Diese Broschüre beschränkt sich nicht auf Grundsätze, sondern beschäftigt sich ausführlich mit den Aspekten der IT-Sicherheit und des Datenschutzes beim Einsatz isolierter oder vernetzter PCs. Es werden Vorschläge zur Erfüllung von Sicherheitsanforderungen gemacht, und es werden methodische Anhaltspunkte gegeben, um zu einer sinnvollen Auswahl geeigneter Maßnahmen im Einzelfall zu gelangen. Es wird der Zusammenhang zwischen den Ansätzen der informations-technischen Sicherheit und des Datenschutzes hergestellt. Dadurch wird auch der erfreulichen Beobachtung Rechnung getragen, daß die Gestaltung betrieblicher und behördlicher PC-Einsätze wieder zunehmend in die Hände professioneller IT-Fachleute gegeben worden ist, die eine entsprechend fachkundige IT-Sicherheits- und Datenschutzberatung beanspruchen, und die Ad-hoc-Planung wohlmeinender Autodidakten im Bereich professioneller Anwendungen weitgehend der Vergangenheit angehört. Der Berliner Datenschutzbeauftragte hält sich seit jeher mit der Erarbeitung pauschaler Muster- Datenschutzkonzepte zurück. Jeder Einzelfall bedarf einer gesonderten Betrachtung, da die Risiken unterschiedlich verteilt sind. Aus diesem Grunde sind methodische Herangehensweisen vonnöten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wesentliche Beiträge dazu geleistet, in dem es Erarbeitungsprozesse für IT-Sicherheitskonzepte beschrieben hat. Das 1992 erschienene IT-Sicherheitshandbuch mag für den einfachen PC-Einsatz zu aufwendig zu handhaben sein, das jährlich aktualisierte Grundschutzhandbuch (die letzte hier berücksichtigte Fassung ist die von 1997) ist jedoch ein geeigneter Ansatz für die rationelle Ausarbeitung von Sicherheitskonzepten. Die vorliegende Broschüre beruht wesentlich auf dem Grundschutzhandbuch. Die Broschüre soll bei der Erarbeitung konkreter IT-Sicherheits- und Datenschutzkonzepte helfen. Hintergrundinformationen, die dabei helfen sollen, werden zunächst in Abschnitt 2 gegeben. Einige Begriffe, die in dieser Broschüre und in der Diskussion um Datenschutz und IT- Sicherheit eine besondere Rolle spielen, werden in 2.1 dargestellt. Dabei ging es um das Verständnis für den Gesamtzusammenhang, nicht unbedingt um das wörtliche Zitieren genormter Definitionen. In 2.2 geht es um die Vorbereitungen eines datenschutzgerechten, ordnungsgemäßen und sicheren Einsatzes der Informationstechnik. Der Abschnitt 2.3 beschreibt die Besonderheiten, die dem PC und seinem Einsatz im Gegensatz zu anderen Systemen innewohnen, die die Sicherheitsrisiken seines Einsatzes begründen und für den sicheren Einsatz zu beachten sind. Wer ein IT-Sicherheitskonzept für geplante oder bestehende informationstechnische Systeme ausarbeiten will, muß dies auf der Grundlage einer realistischen Risikobetrachtung machen. Er muß wissen, gegen was er das IT-System und/oder die IT-Anwendung intensiv schützen muß

6 6 und welche Gefahren er eher als unwahrscheinlich betrachten darf. Das nötige Hintergrundwissen bieten die Abschnitte und 3.1.2, nämlich die Darstellung relevanter Grundbedrohungen und Hinweise zu präzisen Risikobetrachtungen. Die konkreten Bedrohungen bzw. Risiken für die IT-Sicherheit beim PC-Einsatz werden in den Abschnitten (Verfügbarkeit), (Integrität) und (Vertraulichkeit) dargestellt. Dort finden sich in jedem Einzelfall Verweise auf Maßnahmen, die gegen die Bedrohungen bzw. Risiken wirken und im Abschnitt 3.2 dargestellt werden, speziell organisatorische (3.2.1), hardwarebezogene (3.2.2) und softwarebezogene (3.2.3 und 3.2.4) Maßnahmen sowie Maßnahmen zum Schutz der Daten (3.2.5). Abgeschlossen wird der Abschnitt mit Ausführungen zu Maßnahmen bei speziellen Einsatzformen der PCs, nämlich als tragbare Systeme (3.2.6), als Clients (3.2.7) oder als Server (3.2.8) in Client-Server-Netzen. Ganz nebenbei erfährt man in 3.2 durch einen Verweis auf die zehn Kontrollanforderungen des Bundesdatenschutzgesetzes bzw. Berliner Datenschutzgesetzes, zu welcher Kontrollanforderung eine Maßnahme einen Beitrag liefert. Wer ein Datenschutzkonzept auf der Grundlage der technisch-organisatorischen Anforderungen der Datenschutzgesetze zu erarbeiten hat, findet das nötige Grundlagenwissen im Abschnitt 4. In 4.1 geht es um die Umsetzung der Kontrollanforderungen zu technisch-organisatorischen Maßnahmen des Datenschutzes. Dabei werden auch Kriterien für die geeignete Auswahl von Maßnahmen (4.1.1) beschrieben, bevor es in um die Behandlung der sog. Zehn Gebote und ihren Stellenwert speziell beim PC-Einsatz geht. 4.2 befaßt sich mit den Anforderungen an eine ordnungsgemäße Datenverarbeitung. Neben dem Literaturverzeichnis finden sich in der Anlage zwei inhaltliche Ergänzungen der Ausführungen dieser Broschüre: Eine gestraffte und am aktuellen technischen Stand orientierte Überarbeitung der PC-Grundsätze und die bereits im Jahresbericht 1996 veröffentlichten Empfehlungen für die Vergabe von Paßwörtern. Die Broschüre kann die Entscheidung über die geeignete Maßnahme im Einzelfall nicht abnehmen. Allerdings erfährt man durch den Rückverweis von den Maßnahmen zu den Bedrohungen und Risiken, welchen Beitrag die Maßnahmen für die informationstechnische Sicherheit leisten. Insbesondere, weil Maßnahmen für die informationstechnische Sicherheit auch bauliche Maßnahmen und Maßnahmen der allgemeinen Sicherheitsinfrastruktur (z. B. Fluchtwege, Tür- und Fenstersicherungen, Alarmanlagen, Meldeanlagen) einbeziehen können, sei ausdrücklich darauf hingewiesen, daß Polizei und Feuerwehr Beratung in solchen Fragen anbieten, die ein Datenschutzbeauftragter in der Regel nicht mit gleicher Kompetenz leisten kann.

7 7 Schema zur Erstellung eines IT-Sicherheitskonzeptes: Datenschutzkonzeptes: Risikobetrachtung/ Risikoanalyse Maßnahmen Auswahlkriterien Risiko/Bedrohung Maßnahmen Auswahl der Maßnahmen Auswahl der Maßnahmen Datenschutzkonzept IT-Sicherheitskonzept Im Idealfall kommt man im Zusammenhang mit der Verarbeitung personenbezogener Daten auf beiden Wegen zu gleichen, zumindest vergleichbaren Ergebnissen, denn die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes und der Ordnungsmäßigkeit der Datenverarbeitung decken sich bei der Verarbeitung personenbezogener Daten mit den Maßnahmen zur Sicherstellung informationstechnischer Sicherheit.

8 2. Was ist grundsätzlich zu wissen und zu beachten? Worüber wird in dieser Broschüre gesprochen? Vorangestellt werden hier eine Reihe von Begriffen, die mehr oder weniger intuitiv in den allgemeinen Sprachgebrauch eingeflossen sind, dabei aber an der notwendigen Schärfe verloren haben. Zu den Begriffen, die in den Datenschutzgesetzen definiert werden, wird auf die jeweiligen datenschutzrechtlichen Bestimmungen verwiesen Systeme informationstechnisches System PC Ein ist eine Gesamtheit zusammenwirkender Geräte, mit dem Daten verarbeitet, d.h. empfangen, erfaßt, gespeichert, verändert, gelöscht und übertragen werden können. Die Abkürzung steht für Personal Computer, übersetzt: persönlicher Computer. Sie steht damit für eine Klasse von informationstechnischen Systemen, die sich auszeichnen durch ihre vergleichsweise geringen Abmessungen, so daß sie als Bürogerät auf jeden Schreibtisch passen, Preisgünstigkeit, so daß sie für jeden durchschnittlichen Verdiener erschwinglich sind, die große Verbreitung und Kompatibilität der verwendeten Hardwarekomponenten einschließlich der Prozessoren, internen und externen Speichermedien, die große Verbreitung und Kompatibilität der verwendeten (Industrie-)Standard-Betriebssysteme und der leistungsstarken (Industrie-)Standard-Anwendungssoftware, die überdies so variabel ist, daß sie in gewissen Grenzen an vorgegebene organisatorische Strukturen angepaßt werden kann. Es haben sich bis heute nur wenige (Industrie-)Standards bei den PC-Betriebssystemen durchgesetzt. Vorrangig haben sich Betriebssysteme der Firma Microsoft 2 durchgesetzt. Daneben existieren u.a. die Betriebssysteme OS/2 von IBM und Macintosh-OS von Apple sowie spezielle UNIX-Derivate wie z.b. LINUX, die allerdings einen vergleichsweise geringen Marktanteil erreicht haben. Die Aussagen dieser Broschüre sind im Normalfall unabhängig vom Betriebssystem zu sehen. Soweit doch Bezüge zu einem Betriebssystem unvermeidlich sind, beziehen sich die Aussagen auf 1 Es handelt sich dabei um folgende Begriffe: personenbezogene Daten; Datei; Akte; Datenverarbeitung; Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen, Nutzen, Anonymisieren von Daten; speichernde bzw. datenverarbeitende Stelle. Die Begriffe sind in 3 BDSG und/oder 4 BlnDSG beschrieben. 2 MS-DOS mit WINDOWS 3.x, WINDOWS 95, WINDOWS NT CLIENT

9 9 die Produkte von Microsoft. Zur normalen Ausstattung eines modernen unvernetzten PCs gehören Eingabegeräte wie Tastatur und Maus, ein graphischer Bildschirm, ein Tintenstrahl- oder Laserdrucker, je ein Laufwerk für 3,5-Zoll-Disketten und CDs. Hinzu kommen können je nach Anwendungsbereich Ausstattungskomponenten für multimediale Anwendungen. Laptop, Notebook, Palmtop, tragbarer Computer Client-Server-System Client Server sind Begriffe für PCs, die für den mobilen Einsatz geeignet sind. Die verschiedenen Begriffe stehen für unterschiedliche Größen hinsichtlich ihrer Abmessung und Funktionalität. In dieser Broschüre soll daher der Begriff für diesen PC-Typ verwendet werden. Ein ist ein System vernetzter Computer, die hinsichtlich ihrer Rolle im Netz als Clients oder Server bezeichnet werden. Dabei ist ein ein PC, an dem der Benutzer mit dem Client-Server-System arbeitet. Die zwischen dem Benutzer und dem System stattfindende Interaktion wird über die vom Client angebotene Benutzeroberfläche realisiert. Für ihn und seine Komponenten (z.b. Bildschirm, Software-Oberfläche) gelten daher strenge ergonomische Anforderungen. Dagegen ist ein ein Computer, der im Client-Server-Netz die Clients mit bestimmten zentralen Leistungen bedient, die von den Clients abgerufen werden können. Dabei kann es mehrere Server für unterschiedliche Dienstleistungen geben. Ausgeschlossen ist auch nicht, daß ein Computer gleichzeitig als Client und als Server eingesetzt werden kann. Meist stellt man sich unter einem Client-Server-System allerdings ein Netz mit einem Server vor, der alle zentralen Funktionen (z.b. Datenhaltung, Benutzerverwaltung, Druckersteuerung usw.) ausführt. Viele Server sind (meist besonders ausgestattete) PCs. Verbreitete Netzbetriebssysteme mit PC-Servern sind WINDOWS NT SERVER und Novell Netware. Andere Client-Server-Systeme werden jedoch mit Servern betrieben, die unter einem UNIX- Derivat arbeiten. Solche Server werden hier jedoch nicht mehr unter dem Begriff PC erfaßt. APC Die Abkürzung steht für den Begriff Arbeitsplatz-Computer und bezeichnet alle Computer, die am Arbeitsplatz eines anwendenden (in einem Netz nicht systemverwaltenden!) Benutzers eingesetzt werden. Dazu gehören also die unvernetzten PCs und die Clients in Client- Server-Systemen. Genau diesen Computern soll sich diese Broschüre widmen.

10 Rechtmäßigkeit und Sicherheit der Datenverarbeitung IT-Sicherheit Datenschutz Technischer und organisatorischer Datenschutz Ordnungsmäßigkeit der Datenverarbeitung steht für Sicherheit der Informationstechnik und meint den Schutz der Anwendungen der Informationstechnik vor möglichen Bedrohungen 3. Zu diesen Bedrohungen wird mehr in Abschnitt 3 ausgesagt. ist der zusammenfassende Begriff aller rechtlichen, organisatorischen und technischen Maßnahmen zur Gewährleistung des unmittelbar aus den allgemeinen Persönlichkeitsrechten abzuleitenden Rechts auf informationelle Selbstbestimmung. Er umfaßt die Verarbeitung personenbezogener Daten 4 - gleichgültig, ob diese automatisiert oder nicht automatisiert erfolgt. umfaßt daher die technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes. Alle Maßnahmen zur Herstellung von IT-Sicherheit im Zusammenhang mit personenbezogenen Anwendungen sind somit gleichzeitig technischorganisatorische Maßnahmen des Datenschutzes, speziell jene, die in den zehn Kontrollanforderungen der Datenschutzgesetze des Bundes und der Länder verlangt werden. 5 Die ist ein Qualitätsmerkmal der Datenverarbeitung, die im Zusammenhang mit der Anwendung von Datenverarbeitungsprogrammen zur Verarbeitung personenbezogener Daten überwacht 6 bzw. gewährleistet 7 werden muß. Die Datenverarbeitung ist ordnungsgemäß, wenn sie das leistet, was sie leisten soll, nicht leistet, was sie nicht leisten soll, und beides kontrolliert werden kann. Erreicht wird dies mit einer revisionssicheren Aufbau- und Ablauforganisation der Datenverarbeitung (Dokumentation und Protokollierung!) sowie einer ebenso revisionssicheren Verantwortungsverteilung bei der Datenverarbeitung (Funktionentrennung und Freigabeverfahren) Grundtechniken der IT-Sicherheit Identifizierung Bei der des Benutzers eines informationstechnischen Systems gibt der Benutzer dem System seinen Namen oder eine eindeutig auf ihn 3 Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Sicherheitshandbuch, Bonn 1992, S. 2 4 Definitionen zu den Begriffen Datenverarbeitung und personenbezogene Daten finden sich in den Datenschutzgesetzen des Bundes und der Länder, z.b. 3 Abs. 1 und 5 Bundesdatenschutzgesetz (BDSG) und 4 Abs. 1 und 2 Berliner Datenschutzgesetz (BlnDSG) 5 Siehe z.b. Anlage zu 9 Satz 1 BDSG oder 5 Abs. 3 BlnDSG sowie Abschnitt 4 dieser Broschüre. 6 Siehe z.b. 18 Abs. 2 Satz 3, 37 Abs. 1 Satz 3, Nr. 1 BDSG 7 Siehe z.b. 19 Abs. 1 Satz 2 BlnDSG

11 11 bezogene Ersatzidentifikation (Benutzerkennung, User-ID, Identifier) bekannt. Meist handelt es sich dabei um Namenskürzel. Authentifizierung Protokollierung Verschlüsselung kryptographische Verschlüsselung Die Identifizierung muß durch die ergänzt werden. Dabei weist der Benutzer dem System die Richtigkeit seiner Identifizierung nach. Allgemein üblich ist die Authentifizierung mit Paßwörtern und/oder maschinenlesbaren Ausweisen, in Zukunft insbesondere Chipkarten. Auch biometrische Verfahren (Fingerabdruck-, Handflächen-, Augenhintergrund-, Sprach-, Handschrifterkennung) werden in Zukunft eine Rolle spielen. ist in diesem Zusammenhang die Aufzeichnung von Vorgängen bei der Benutzung informationstechnischer Systeme. Sie kann nicht-automatisiert, etwa durch schriftliche Aufzeichnungen, oder automatisiert auf Papier oder maschinenlesbaren Datenträgern erfolgen. ist das Ersetzen von Klartextbegriffen oder Zeichen durch andere, häufig zur Verbesserung der Effizienz der Datenverarbeitung und Programmierung, nicht immer also zum Verbergen des korrekten Inhalts. Dagegen dient die dazu, daß Daten so durch andere Zeichenfolgen ersetzt werden, daß eine sinnvolle Interpretation der Daten Unbefugten unmöglich gemacht wird. Die kryptographische Verschlüsselung gilt als um so stärker, je größer der (theoretische bzw. mathematische) Aufwand für Unbefugte ist, den Klartext zu rekonstruieren. 2.2 Wann stehen Datenschutz- und IT-Sicherheitsfragen in einem PC-Projekt an? Wenn Verfahren der Datenverarbeitung eingerichtet oder wesentlich verändert werden, die für die Aufgabenerfüllung von Organisationen wichtig sind, von denen gar das Leben oder die Gesundheit von Menschen bzw. die wirtschaftliche Existenz oder der gesellschaftliche Status von Personen oder Organisationen abhängt, sind mehr oder weniger starke und wirksame Maßnahmen für die informationstechnische Sicherheit der eingesetzten Systeme erforderlich. Wenn es um die Verarbeitung personenbezogener Daten geht, sind die Datenschutzgesetze zu beachten, die für die jeweilige Organisation gelten. Auch sie enthalten Regelungen, die die Sicherheit der Datenverarbeitung tangieren, die also nicht nur den Inhalt der Datenverarbeitung betreffen, sondern auch den technischen Zustand der Systeme und deren organisatorisches Umfeld. Maßnahmen zur Herstellung informationstechnischer Sicherheit und des technischen und organisatorischen Datenschutzes überschneiden sich, der Unterschied liegt in der Zielsetzung. Datenschutz und IT-Sicherheit sind in die Planungsphase eines IT-Projektes einzubeziehen, je früher, desto besser. Datenschutzfreundliche Technologien zeichnen sich dadurch aus, daß sie auf personenbezogene Daten ganz oder teilweise verzichten bzw. daß weite Bereiche (Sphären) der informationstechnischen Systeme mit pseudonymisierten Daten arbeiten, deren unvorhergesehene Kenntnisnahme durch Dritte die informationelle Selbstbestimmung nicht tangiert. Solche Überlegungen gehören an den Anfang eines Projektes und können hohen Kosten für Sicherheitsmaßnahmen vorbeugen. Will man solchen Ideen folgen oder will man der Sicherheit

12 12 der Datenverarbeitung einen hohen Stellenwert einräumen, dann gehört in jedes Pflichtenheft die Forderung nach einem umfassenden IT-Sicherheitskonzept und nach Vorschlägen zu seiner Umsetzung. Je später im Projekt IT-Sicherheit und Datenschutz eine Rolle spielen, desto teurer, aber wirkungsärmer werden die Nachbesserungen. Aus diesem Gedanken heraus enthalten die Datenschutzgesetze z.t. Regelungen, die die frühzeitige Unterrichtung der internen und/oder externen Datenschutzkontrollinstanzen fordern: Der betriebliche Datenschutzbeauftragte privater Organisationen ist gem. 37 Abs. 1 Satz 3 Nr. 1, 2. Halbsatz BDSG über Vorhaben der automatisierten Datenverarbeitung rechtzeitig zu unterrichten. Da die zitierte Vorschrift durch die Verweisung in 19 Abs. 5 BlnDSG auch für behördliche Datenschutzbeauftragte der Berliner öffentlichen Stellen gilt, sind auch diese rechtzeitig über Vorhaben der automatisierten Datenverarbeitung in ihrem Hause zu unterrichten. Gem. 24 Abs. 3 Satz 3 BlnDSG ist auch der Berliner Datenschutzbeauftragte von allen öffentlichen Stellen des Landes über die Einführung neuer Automationsvorhaben zu informieren. Diese Vorschrift soll sicherstellen, daß der Berliner Datenschutzbeauftragte so rechtzeitig Gelegenheit erhält, Hinweise und Empfehlungen zu geben, daß sie noch im Projekt berücksichtigt werden können. Die Rechnungshöfe des Bundes und der Länder verlangen ebenfalls eine frühzeitige Unterrichtung zu informationstechnischen Vorhaben. Für die öffentlichen Stellen des Landes Berlin gilt Nummer 8 der Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik - IT- Mindestanforderungen Fassung: Berlin - vom 16.Juli Dort werden umfassende Unterrichtungspflichten definiert. Insbesondere ist der Rechnungshof unverzüglich über den Beginn und über den Abschluß oder Abbruch jedes IT-Verfahrens schriftlich zu unterrichten, und es sind bestimmte Dokumentationsunterlagen bereitzuhalten. Bei IT-Verfahren im Bereich des Haushaltswesens sind die meisten dieser Unterlagen sogar mit der schriftlichen Unterrichtung mitzusenden. Die Terminplanung solcher Projekte hat für den Rechnungshof und die Senatsverwaltung für Finanzen einen angemessenen Zeitraum zur Auswertung und Beurteilung zu berücksichtigen. Ebenfalls für die Berliner öffentlichen Stellen gilt für Verfahren im Rahmen der allgemeinen Verwaltungstätigkeit, für die also das Berliner Informationsverarbeitunggesetz (IVG) 8 anzuwenden ist, gemäß 4 IVG, daß vor der Entscheidung über den Einsatz oder die wesentliche Änderung eines automatisierten Verfahrens der allgemeinen Verwaltungstätigkeit zu prüfen ist, ob und in welchem Umfang mit der Nutzung der Informationstechnik Gefahren für die Rechte der Betroffenen oder für die Funktionsfähigkeit der Verwaltung verbunden sind. Automatisierte Verfahren dürfen nur eingesetzt oder wesentlich geändert werden, soweit derartige Risiken durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können. Die Entscheidung trifft der Leiter der die Informationstechnik einsetzenden Stelle. Er unterrichtet den Berliner Datenschutzbeauftragten über die Entscheidung. 2.3 Welche Besonderheiten beeinflussen beim PC die Sicherheit? PC heißt personal computer, also persönlicher Computer. 8 Gesetz über die Informationsverarbeitung bei der allgemeinen Verwaltungstätigkeit (Informationsverarbeitungsgesetz - IVG) vom 9. Oktober 1992 (GVBl. S. 305), zuletzt geändert durch Haushaltsstrukturgesetz 1997 vom 12. März 1997 (GVBl. S. 69,81)

13 13 Er ist daher ursprünglich so konzipiert worden, daß er den Bedürfnissen jener einzelnen Person genügt, welche ihn benutzen soll oder will. Er ist somit auch mit allem ausgestattet, was ein vollständiger Computer benötigt, der jedoch nur einen bestimmten Benutzer hat. Seine Sicherheit wird dadurch bestimmt, wie dieser Benutzer ihn schützt, ob er ihn im verschlossenen Raum betreibt, ob er die Benutzung durch andere verhindert, wie er mit den Datenträgern umgeht - alles bleibt der Verantwortung des einzigen Benutzers überlassen. Wenn ein persönlicher Computer jedoch als unpersönlicher Computer eingesetzt wird, er also mehrere Benutzer haben soll oder kann, dann funktioniert die ursprüngliche einfache Sicherheitsphilosophie nicht mehr: Es müssen zusätzliche Maßnahmen getroffen werden, meist solche, die im Verhältnis zum billigen Computer teuer sind und/oder die ursprünglich so bequeme Benutzung verkomplizieren.

14 14 Die Besonderheiten: Beschreibung Begründung Besonderheit: Das Betriebssystem eines PC enthält standardmäßig keine Benutzerverwaltung und demzufolge auch keine Benutzerauthentifizierung. Wozu auch? Standardmäßig gibt es ja nur einen Benutzer. Warum sollte man dann Benutzer verwalten und authentifizieren können? Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Besonderheit: Besonderheit: Besonderheit Wird ein PC nicht als persönlicher Computer eingesetzt, weil z.b. mehrere Benutzer mit ihm arbeiten sollen oder weil er als Client in ein Client-Server-System eingebunden ist, so muß im Gesamtsystem eine Benutzerverwaltung erfolgen, die eine Benutzerauthentifizierung voraussetzt. Ein solcher PC ist demzufolge mit entsprechenden Zusatzwerkzeugen auszustatten. Das Betriebssystem eines PC führt standardmäßig keine Protokolle, die das Benutzerverhalten kontrollierbar machen. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Wozu auch? Es gibt standardmäßig nur einen Benutzer. Warum sollte er sein eigenes Verhalten protokollieren wollen? Wird ein PC nicht als persönlicher Computer eingesetzt, so ist er mit zusätzlichen Werkzeugen auszustatten, die die gesetzlich vorgeschriebenen oder aus anderen Gründen erforderlichen Protokolle erstellen. Die Fähigkeit, mit einem PC umgehen zu können, ist weit Wegen der weltweiten Verbreitung der PCs sind auch die Betriebssysteme, Standardanwendungsprogramme und gebräuchli- verbreitet. Die mögliche Unwissenheit Dritter kann also nicht als Argument der Sicherheit gegenüber Dritten dienenchen Tools weltweit bekannt und überall leicht erhältlich. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Wenn nicht ausgeschlossen werden kann, daß unbefugte Dritte (z.b. Reinigungskräfte, Hausmeister etc.) unbeobachtet Zugang zum PC erhalten, so sind Maßnahmen zu treffen, die verhindern, daß der PC in Betrieb genommen werden kann. Das für die Bedienung eines PCs nötige Wissen ist im Zweifel als gegeben vorauszusetzen. Ein PC enthält standardmäßig Laufwerke für bewegliche Datenträger (Disketten, CDs), von denen gelesen oder auf die Daten geschrieben werden können. Solche Datenträger sind überall leicht erhältlich. Der persönliche Computer ist ein vollständiger Computer, und daher benötigt er solche Laufwerke, damit Programme und Daten eingespielt werden können bzw. eine Datensicherung betrieben werden kann. Daher die Forderungen für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen zu diesem besonders gravierenden Sicherheitsproblem: Bei Einzelplatz-PCs kann zwar auf solche Laufwerke nicht verzichtet werden, sie müssen jedoch gegen die unbefugte

15 15 Nutzung verschlossen oder gesperrt werden. Die befugte Benutzung ist durch technische und organisatorische Maßnahmen auf ein unbedingt erforderliches Minimum zu beschränken. Die organisatorischen Abläufe sind so zu gestalten, daß das Minimum klein gehalten werden kann. Die befugte Nutzung sollte nach dem Vier-Augen-Prinzip abgesichert und protokolliert werden. In Client-Server-Systemen benötigen Clients solche Laufwerke grundsätzlich nicht, weil das Einspielen von Daten und Programmen bzw. die Datensicherung zentral vom Server oder Administrations-PC aus erfolgen kann. Sofern Clients solche Laufwerke in begründeten Einzelfällen enthalten, gelten hier die für Einzelplatz-PCs aufgestellten Forderungen Besonderheit: Besonderheit: Besonderheit: Für bewegliche Datenträger ist sicherzustellen, daß sie Unbefugten nicht zugänglich sind und daß die Vollständigkeit und Authentizität der Datenträger gewährleistet ist und regelmäßig kontrolliert wird. Ein PC enthält standardmäßig Schnittstellen zum Anschluß Der persönliche Computer ist ein vollständiger Computer, und peripherer Geräte wie Drucker, zusätzliche Datenträgerlaufwerke, Scanner etc. Diese Schnittstellen sind frei zu- Computer ohne Drucker? daher braucht er solche Schnittstellen, denn was ist z.b. ein gänglich. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Es ist zu verhindern, daß solche Schnittstellen mißbräuchlich verwendet werden, z.b. um periphere Geräte anzuschließen und in Betrieb zu nehmen, deren Gebrauch nicht gestattet werden soll (etwa externe Laufwerke an Clients, die Datenträgerlaufwerke nicht enthalten sollen). Im Arbeitsleben werden PCs in normalen Büroräumen benutzt, in denen auch Publikumsverkehr herrschen kann. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Besonders geschützte Rechnerräume geben für Arbeitsplatzcomputer keinen Sinn. Sie gehören ja zur Schreibtisch- und damit zur Arbeitsplatzausstattung. Wird der Arbeitsplatz verlassen, ist zu verhindern, daß sich Unbefugte am PC zu schaffen machen. Der Standort der Bildschirme, der Drucker und anderer Geräte ist so zu wählen, daß unbefugte Mitarbeiter und Außenstehende keine Daten unbefugt lesen oder unbefugte Eingriffe in das System tätigen können. Ein PC ist klein und leicht genug, um von einer Person davongetragen zu werden. Insbesondere gilt dies natürlich für tragbare Computer. Daher die Forderung für schutzbedürftige (z.b. personenbezogene) PC-Anwendungen: Diebstahls- und Einbruchsschutz sind selbstverständlich, aber gerade beim PC, der ja in normalen Büroräumen steht, nur mit gewissen Einschränkungen möglich. Zur Gewährleistung der Vertraulichkeit der Daten, also des Daten-

16 16 schutzes ist daher die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten angeraten. Bei tragbaren Computern, die auch mobil eingesetzt werden, ist die kryptographische Verschlüsselung der auf der Festplatte gespeicherten schutzbedürftigen Daten obligatorisch.

17 3. Wie wird die informationstechnische Sicherheit beim PC-Einsatz sichergestellt? Gegen welche Bedrohungen und Risiken müssen die PCs geschützt werden? Welche Grundbedrohungen sind beim PC-Einsatz zu berücksichtigen? Nach der Definition des IT-Sicherheitshandbuchs des BSI ist informationstechnische Sicherheit gegeben, wenn die Anwendungen der Informationstechnik vor möglichen Bedrohungen geschützt sind. Zur Klassifizierung der Bedrohungen werden zunächst die sog. Grundbedrohungen herangezogen. Es handelt sich bei der klassischen Datenverarbeitung um die Bedrohung der Verfügbarkeit der Systeme, Programme und Daten, der Integrität der Systeme, Programme und Daten sowie der Vertraulichkeit der Daten. Nimmt man die Datenkommunikation in (großen)+ Netzen hinzu, so ist auch die Bedrohung der Authentizität (Verläßlichkeit) der übertragenen Daten bzw. Dokumente zu den Grundbedrohungen hinzuzurechnen. Im Zusammenhang mit dieser Broschüre soll die Bedrohung der Authentizität keine Rolle spielen. Bedrohung der Verfügbarkeit Es ist zu verhindern, daß informationstechnische Systeme oder Einzelkomponenten solcher Systeme durch Verlust oder Funktionsuntüchtigkeit für die vorgesehenen Anwendungen nicht zur Verfügung stehen; Programme durch Löschung oder Veränderungen, die sie funktionsuntüchtig machen, nicht genutzt werden können; Daten dadurch, daß sie gelöscht wurden oder der Zugriff auf sie nicht mehr möglich ist, nicht verwendet werden können. Die Beeinträchtigung der Verfügbarkeit verhindert die vorgesehenen Datenverarbeitungsprozesse. Bedrohung der Integrität Es ist zu verhindern, daß informationstechnische Systeme oder Einzelkomponenten solcher Systeme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden; Programme so verändert (verfälscht) werden, daß vorgesehene Funktionen entfallen, sich in unerwünschter Form verändern oder unerwünschte Funktionen hinzugefügt werden; Daten in unerwünschter Weise verändert oder verfälscht werden. Die Beeinträchtigung der Integrität verfälscht die Ergebnisse der Datenverarbeitungsprozesse. Bedrohung der Vertraulichkeit Es ist zu verhindern, daß Unbefugte Daten zur Kenntnis erhalten oder gar nutzen können.

18 18 Die Beeinträchtigung der Vertraulichkeit gefährdet je nach Art der Daten Persönlichkeitsrechte oder wichtige, manchmal existentielle Interessen von Staaten, Behörden oder privaten Organisationen Wie erfolgt eine Risikobetrachtung für die Erarbeitung eines Sicherheitskonzeptes? Die Maßnahmen zur Sicherheit der Datenverarbeitung und zur Sicherstellung des technischen und organisatorischen Datenschutzes sollten auf einem Sicherheitskonzept beruhen, welches sich gegen realistische Bedrohungen in angemessener Weise und nach dem Stand der Technik richtet. Es wird kein Sicherheitskonzept auf Akzeptanz stoßen, also vernünftig umgesetzt und in der täglichen Routine beachtet werden, das nicht dadurch gerechtfertigt werden kann, daß es gegen nachvollziehbare Gefahren schützt. Das IT-Sicherheitshandbuch des BSI 9 beschreibt ein differenziertes Verfahren zur Bedrohungsund Risikoanalyse, dessen Anwendung empfehlenswert ist, jedoch für den einzelnen PC- Einsatz unangemessen aufwendig sein dürfte. Demgegenüber wird im IT-Grundschutzhandbuch des BSI 10 die Risikoanalyse zu einer Schutzbedarfsfeststellung pauschalisiert. Danach werden Gefährdungen durch höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen beschrieben und Maßnahmen an der Infrastruktur, der organisatorischen Gestaltung, personeller Art, an Hard- und Software, an der Kommunikationstechnik und für die Notfallvorsorge dargestellt, die sich gegen die Gefährdungen richten. Es ist jetzt Sache der Anwender bzw. der anwendenden Organisation, in internen Diskursen die im Einzelfall zu betrachtenden Gefährdungen herauszufinden, zu gewichten und die entsprechenden Maßnahmen in das Sicherheitskonzept zu übernehmen. Aus diesen Überlegungen wird deutlich, daß es kaum möglich ist, Standard- Sicherheitskonzepte unkritisch zu übernehmen. In jedem Einzelfall finden sich andere Rahmenbedingungen, die zu anderen Gefährdungslagen führen und somit andere Maßnahmen erfordern. So sind zu beachten: die personellen Gegebenheiten (Ausstattung, Qualifikation, Motivation...) 9 Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, Version März Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch - Maßnahmenempfehlungen für den mittleren Schutzbedarf, letzte Version von 1997, Bundesanzeiger Verlagsges. GmbH, Köln

19 19 die baulichen und räumlichen Verhältnisse (Kellergeschoß, Dachgeschoß, irgendwo dazwischen, Einzelbüro, Großraumbüro, Publikumsverkehr...) die Art der eingesetzten Informationstechnik (PCs, PC-Netze, UNIX-Systeme, proprietäre Großrechner, Telekommunikationssysteme...) Anreize Unbefugter, sich die Daten zu beschaffen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen. Anreize Befugter, die Daten zu mißbrauchen, Daten, Hard- und Software zu zerstören oder zu manipulieren. Auch diese Anreize können finanzieller Art, politisch begründet sein oder auf individuellen Rachegelüsten oder Frustrationen beruhen. usw. Eine Risikobetrachtung beruht auf Annahmen über die Schadenshöhe, die das Eintreten eines Ereignisses auslöst und über die Häufigkeit, mit der man mit dem Eintreten eines solchen Ereignisses rechnen muß. Maßnahmen, die sich gegen die Risiken richten, verringern den Schaden und/oder die Häufigkeit des Eintretens. Ausreichend sind die Maßnahmen dann, wenn sie das Risiko eines Schadensereignisses auf ein akzeptabel geringes Restrisiko reduzieren. Der wirtschaftlichen Angemessenheit wird Rechnung getragen, indem man aus der möglichen Vielfalt von ausreichenden Maßnahmen jene ergreift, die in ökonomischer Hinsicht günstig sind. Bei der Risikobetrachtung selbst dürfen ökonomische Aspekte keine Rolle spielen: Ein Risiko wird nicht dadurch geringer, daß Ausgaben für seine Eingrenzung zu befürchten sind! Grundsätzlich gilt das Verhältnismäßigkeitsprinzip auch für Maßnahmen zur Verbesserung der informationstechnischen Sicherheit oder zur Sicherstellung des Datenschutzes. Der Schutzzweck, an dem sich die Verhältnismäßigkeit mißt, orientiert sich allerdings am Schaden, der für den Betroffenen entsteht, wenn seine Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise des Datenschutzes), am Risiko, das eine Organisation trägt, daß Daten unbefugt offenbart, verändert oder genutzt werden (Sichtweise der IT-Sicherheit), auf keinen Fall jedoch am Investitionsvolumen für die informationstechnischen Systeme und/oder an den Kosten für die notwendigen technisch-organisatorischen Maßnahmen. Nach wie vor gilt der Grundsatz, daß Daten deshalb nicht weniger zu schützen sind, weil sie nur mit PCs verarbeitet werden!

20 3.1.3 Was bedroht die Verfügbarkeit der Systeme, Programme und Daten? Es kann vielfältige Ursachen haben, daß Systeme, Programme oder Daten gerade dann nicht verfügbar sind, wenn man sie braucht. Die Folgen fehlender Verfügbarkeit sind ebenfalls unterschiedlicher Art. Je nach Bedeutung einer IT-Anwendung für die Aufgabenerfüllung einer Organisation kann es zum einen nur lästig sein, aber eine willkommene Gelegenheit bieten, endlich einmal aufgeschobene Dinge zu erledigen, für die man das System nicht braucht, zum anderen kann es aber zur existenziellen Gefährdung von Organisationen führen, wenn die IT-Anwendungen allzulange ausfallen. Solche Konsequenzen wird der Ausfall von PCs normalerweise nicht haben. Dennoch werden Arbeitsabläufe gestört, Aufgabenerledigungen erschwert und verzögert. Man muß also die konkreten Risiken erkennen und etwas dagegen tun. Höhere Gewalt, versehentliches, fahrlässiges oder absichtliches Fehlverhalten von Mitarbeitern und Außenstehenden, organisatorische Schwachstellen und Mängel sowie technisches Versagen können Ursachen dafür sein, daß ein System nicht zur Verfügung steht, Programme nicht ausgeführt werden können, Daten verschwunden sind. Die Zuordnung der Maßnahmen zu den einzelnen Risiken und Bedrohungen erfolgt nach folgenden Kriterien: Spielt eine Maßnahme eine ausschlaggebende Rolle bei der Einschränkung eines Risikos, so erfolgt der Verweis in Fettdruck. In der Regel werden Risiken durch eine sinnvolle Kombination diverser Maßnahmen reduziert. Der Verweis auf solche Maßnahmen wird nicht besonders hervorgehoben. Es gibt viele weitere Maßnahmen, die zumindest mittelbar dämmenden Einfluß auf ein Risiko haben können. Soweit sie naheliegend sind, erscheint ein Verweis in (Klammern). Manche der in 3.2 erwähnten Maßnahmen können in speziellen Einzelfällen und unter bestimmten Voraussetzungen bei der Eindämmung eines Risikos helfen. Es ist daher nicht ausgeschlossen, daß es auch Maßnahmen gibt, an die man denken könnte, die aber keinen Verweis erhalten haben. Nr. Risiko/Bedrohung Erläuterung Maßnahmen (3.2) Höhere Gewalt, die die Verfügbarkeit der Systeme bedroht, liegt vor bei R01 Feuer M12, M21, M22, M44, M49, und M51, M73, M90, M96 R02 Wassereinbruch durch Überschwemmungen, Rohrbrüche, eindringendes Regenwasser. Auch M12, M21, M22, M44, M49, M51, M73, M90, M96 R03 Überspannungen, hervorgerufen durch Blitzschlag oder Störungen in der Stromversorgung müssen beachtet werden. M12, M20, M21, M22, M35, M44, M49, M51, M73, M94, M95, M96

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement

IT-Sicherheit. Informationssicherheit: IT-Sicherheit bzw. IT-Risikomanagement IT-Sicherheit Informationssicherheit: Schutz aller Informationen im Unternehmen elektronisch gespeicherte Daten Informationen in nichtelektronischer Form z.b. auf Papier Expertenwissen, in den Köpfen der

Mehr

Datensicherheit. Dortmund, Oktober 2004

Datensicherheit. Dortmund, Oktober 2004 Datensicherheit Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902 1 Inhalt Seite

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG) Vollzug des Bayerischen Datenschutzgesetzes (BayDSG) Hinweis zum Widerspruchsrecht nach Art. 30 Abs. 2 des Bayerischen Datenschutzgesetzes bezüglich der Kontrolle von Personalakten durch den Landesbeauftragten

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis nach 6 HDSG Verfahrensverzeichnis nach 6 HDSG 1 neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 6 Abs. 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt Ausgenommen sind

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG Bemerkung: Betriebliche Datenschutzbeauftragte fragen nach wie vor an, wie das Verfahrensregister zu gestalten ist, was er nach 4g Abs. 2 resp. 4e Satz 1 BDSG zu führen und auszugsweise für jedermann zur

Mehr

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731 Datenschutz 1 Die Hintergründe des BDSG 2 Ziel des Datenschutzes: Die Vermeidung von erfahrungsfreiem Wissen (Informationelle Selbstbestimmung) Jeder Mensch sollte wissen, wer was mit seinen Daten macht

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Fortbildung Sachbearbeiter EDV

Fortbildung Sachbearbeiter EDV Fortbildung Sachbearbeiter EDV BSB Andreas Brandstätter November 2012 1 / 42 Überblick Themen Hintergrund Anforderungen der Benutzer Schutzziele konkrete Bedeutung Maßnahmen WLAN Datenspeicherung Backup

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG Name der Freien evangelischen Gemeinde, der Einrichtung oder des Werkes, die diesen Antrag stellt Freie evangelische Gemeinde Musterort Anschrift ( Straße, Hausnummer, PLZ, Ort) der oben genannten Einrichtung

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens 09.11.2004 c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - 2-1.

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Musterfirma Musterstraße 123 09876 Musterort Ralf Bergmeir Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

WLAN-AGB. 1. Gegenstand. 2. Nutzungsberechtigung. 3. Sicherheit

WLAN-AGB. 1. Gegenstand. 2. Nutzungsberechtigung. 3. Sicherheit Seite 1/5 WLAN-AGB 1. Gegenstand Die nachfolgenden WLAN-AGB regeln die Nutzung und den Zugang zum WLAN ( BVB WLAN ) der Borussia Dortmund GmbH und Co. KGaA ( BVB ). 2. Nutzungsberechtigung 2.1. Die Nutzung

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 Sicherheitsrisiken im Internet Gestaltung von Internetzugängen und -angeboten Folie: 3 Agenda: 1. Systematik von IT-Sicherheit und Datenschutz 2. Grundbedrohungen der IT-Sicherheit 3.

Mehr

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit 311.4 EVANGELISCH-REFORMIERTE GESAMTKIRCHGEMEINDE BERN Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit vom 20. September 2006 311.4 Weisungen Datenschutz/Datensicherheit Inhaltsverzeichnis

Mehr

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit Katastrophenschutz ein angestrebter Zustand, der durch Maßnahmen, wie, Katastrophenschutz und Datensicherung erreicht Datensicherung werden soll, aber niemals vollständig erreicht werden wird die EDV bringt

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ BADEN-WÜRTTEMBERG. Hinweise zur Datensicherheit beim Telefax

DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ BADEN-WÜRTTEMBERG. Hinweise zur Datensicherheit beim Telefax DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ BADEN-WÜRTTEMBERG Hinweise zur Datensicherheit beim Telefax Stand: 1. März 2006 Seite 2 Der Landesbeauftragte für den Datenschutz in Baden-Württemberg Urbanstraße

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2012 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2012 an der Universität Ulm von 1. Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche Prinzipien Mehrseitige IT-Sicherheit

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Datenschutz & -sicherheit

Datenschutz & -sicherheit Datenschutz & -sicherheit Dirk Jung Cologne Network Consulting CNC GmbH Datenschutz Definition Datenschutz umfasst alle Maßnahmen zum Schutz personenbezogener Daten vor missbräuchlicher Verwendung 1 Bundesdatenschutzgesetz

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q052 MO (2. Modul) Termin: 10.11. 12.11.2015 (2. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 12/2005 1

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 12/2005 1 Vorlesung Datenschutzrecht Hajo Köppen - Vorlesung Datenschutzrecht - Stand 12/2005 1 Vorlesung Datenschutzrecht Datenschutz & Datensicherheit - Hajo Köppen - Hajo Köppen - Vorlesung Datenschutzrecht -

Mehr