Deutschland sicher im Netz e.v. Gemeinsam für mehr IT-Sicherheit

Transkript

1 Workshop IT-Sicherheit für Rechtsanwälte

2 Rechtsanwalt Zertifizierter Datenschutzbeauftragter (TÜV) Stellv. Vorsitzender der davit.de Leiter AG Recht, TeleTrusT Lehrbeauftragter der TH Wildau zum IT-Recht Auditor datenschutz cert GmbH Sachverständiger für IT-Produkte beim ULD S-H Schlichter IT-Recht der IHK Berlin

3 Agenda 1. IT-Sicherheit und der Rechtsanwalt 2. IT-Sicherheit und Datenschutzrecht Technische und organisatorische Maßnahmen (TOM) Der Datenschutzbeauftragte Die Auftragsdatenverarbeitung (ADV) am Bsp. Cloud Computing 3. Social Media, ing, Signatur, ERV 4. Risiken 5. Praktische Umsetzung + IT-Sicherheitscheck

4 Anlass dieser Veranstaltung BMWi: Initiative Task Force IT-Sicherheit in der Wirtschaft unterstützt Unternehmen beim sicheren Einsatz von IKT Task Force arbeitet mit Verbänden, privater Wirtschaft und Wissenschaft zusammen Möglichkeiten der IKT versus Gefahren Grundlagen für mehr IT-Sicherheit schaffen, insbesondere für KMU

5 Ein weiterer Anlass

6 Berliner Beauftragter für Datenschutz und Informationsfreiheit Vor dem Hintergrund der aktuellen Berichte zu den Ausspähungen durch den US-amerikanischen Geheimdienst National Security Agency und unabhängig davon, ob durch Safe Harbor, Standardvertragsklauseln, Individualverträge oder verbindliche Unternehmensregelungen ein angemessenes Datenschutzniveau bei den Datenempfängern in den USA gewährleistet werden soll, bitten wir Sie mitzuteilen, ob und welche Maßnahmen die [ ] GmbH ergreift, um unverhältnismäßige Zugriffe der US- Sicherheitsbehörden auf die in die USA übermittelten Daten zu verhindern.

7 Rechtsanwälte/-innen Multiplikatoren für den Mittelstand ca Berufsträger über die örtlichen Anwaltsvereine organisiert Anwaltschaft ist kompetenter Ansprechpartner für den Mittelstand Gute Flächendeckung Hohe Qualifikation Erwartungshaltung der Mandanten Doppelnutzen Verantwortung für die eigene Kanzlei und das Mandatsgeheimnis Einfluss auf Maßnahmen / Sensibilisierung der KMU über das Mandat Planmäßige Auseinandersetzung mit IT-Sicherheit 7

8 Anwaltliche Beratung: Schlüssel zur mehr IT-Sicherheit? Beschäftigung mit IT-Sicherheit fördert die Sicherheit in der eigenen Kanzlei Berufsträger benötigen verlässliche und sichere Mandantendaten für ihre tägliche Arbeit Kenntnisse zur IT-Sicherheit runden das Profil der Anwaltskanzlei als vertrauenswürdiger Berater in Grundsatzfragen ab Sichert das Mandatsverhältnis 8

9 IT-Sicherheit und Datenschutz Daten sind Kern der anwaltlichen Arbeit. Verlust bedeutet: Ausfall von Einnahmen Wiederbeschaffungs- / Wiederherstellungskosten Haftung gegenüber Mandanten ggf. berufsrechtliche Folgen Strafbarkeit Imageverlust und Ende von Mandatsverhältnissen Aufgabe Datenschutz schaffen und personell besetzen IT-Beschaffung, IT-Betreuung und Einsatz vor Ort in der Kanzlei und mobil Berufsträger als Vorbilder 9

10 IT-Sicherheit und Datenschutz Daten in der Kanzlei: Beschäftigtendaten Mandantendaten und Informationen (personenbezogene Daten, besondere personenbezogene Daten, Know How, IP) personenbezogene Daten sonstiger Beteiligter Know How, Vorlagen, Muster etc. Zugangsdaten zu Recherchetools Kontaktdaten außerhalb des Mandats Eigene wirtschaftliche Kennzahlen Fristen Altakten und Archivdaten (Originale / Titel) angemessen technisch und organisatorisch sichern 10

11 IT-Sicherheit und Datenschutz Datenkategorien: Personenbezogene Daten 3 Abs. 1 BDSG Personenbeziehbare Daten 3 Abs. 1 BDSG Besondere Arten personenbezogener Daten 3 Abs. 9 BDSG Anonymisierte Daten 3 Abs. 6 BDSG Pseudonyme 3 Abs. 6 a BDSG 11

12 IT-Sicherheit und Datenschutz Datenerhebung/ -verarbeitung/ -nutzung 12

13 Datenvermeidung Datensparsamkeit Generelles Verbot mit Erlaubnisvorbehalt Zweckbindung Transparenz

14 IT-Sicherheit und Datenschutz Verbotsprinzip ( 4 BDSG) Prinzip der Direkterhebung ( 4 Absatz 2 BDSG) Prinzip der Zweckbindung ( 14 und 28 ff., 39 BDSG) Einwilligung ( 4 und 4 a BDSG) Datenvermeidung ( 3 a BDSG) Datensparsamkeit ( 3 a BDSG) Datensicherheit ( 9 BDSG nebst Anlage) 14

15 IT-Sicherheit und Datenschutz Anwaltliche Datenverwendung 28 I Nr. 1 BDSG 15

16 IT-Sicherheit und Datenschutz Maßnahmen 1. TOM 2. Datenschutzbeauftragter / Meldepflicht 3. Verfahrensverzeichnis 4. Schulungen / Datenschutzverpflichtung 5. Vertragsmanagement 6. Dokumentation 7. Audit / Zertifizierung 8. Krisenmanagement 16

17 IT-Sicherheit und Datenschutz Technische und organisatorische Maßnahmen 9 BDSG, Anlage zum BDSG 17

18 IT-Sicherheit und Datenschutz Maßnahmen nach 9 BDSG und Anlage: [ ] Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 18

19 IT-Sicherheit und Datenschutz 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 19

20 IT-Sicherheit und Datenschutz 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. (Trennungsgebot). 20

21 IT-Sicherheit und Datenschutz Datenschutzkontrolle 4 f BDSG: Datenschutzbeauftragter 4 d BDSG: Meldepflicht 4 d Abs. 5 BDSG: Vorabkontrolle 4 g II S. 1 BDSG: Interne Verarbeitungsübersicht 4 g II S. 2 BDSG: Öffentliches Verfahrensverzeichnis (Jedermannsverzeichnis) [ 9 a BDSG: Datenschutzaudit] [Stiftung Datenschutz] Rechte der Betroffenen 19 21, BDSG Informationspflicht bei Datenpanne 42 a BDSG Zertifizierung / Gütesiegel 21

22 IT-Sicherheit und Datenschutz 4 f BDSG: Datenschutzbeauftragter Verpflichtung: Grundsatz Monatsfrist Ausnahme Vorabkontrolle Person des Datenschutzbeauftragten Fachkunde Zuverlässigkeit intern / extern 22

23 IT-Sicherheit und Datenschutz 4 f BDSG: Datenschutzbeauftragter Ausübung: Weisungsfreiheit Unmittelbar der Leitung unterstellt Kündigungsschutz Fort- und Weiterbildung Räume, Einrichtungen, Geräte, Mittel, Hilfspersonen Verschwiegenheit als Datenschutzbeauftragter Zeugnisverweigerungsrecht Beschlagnahmefreiheit 23

24 IT-Sicherheit und Datenschutz Datenschutzbeauftragter Datenverarbeitende Personen vertraut machen 4 g Abs. 1, 4 Nr. 2 BDSG Datenschutzkenntnis sicher stellen 4 g Abs. 2 a BDSG 5 Verpflichtungsverfahren 24

25 Cloud Computing

26

27 Cloud Computing Deutschland sicher im Netz e.v. Software as a Service Platform as a Service Infrastructure as a Service SaaS Anwendung Entwickl.- Umgebung Anwendung Virtualisierte Server Bsp: Google Docs, Basecamp, Salesforce.com Bsp. Windows Azure Plattform, Google App-Engine Bsp. Amazon web services wie EC2 27

28 Die Auftragsdatenverarbeitung (ADV) 28

29 Cloud Service Provider Subunternehmer des CSP Verantwortliche Stelle Personenbezogene Daten Betroffener

30 IT-Sicherheit und Datenschutz Auftragsdatenverarbeitungsvertrag Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 30

31 IT-Sicherheit und Datenschutz 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 11. Informationspflichten nach 42 a BDSG 31

32 IT-Sicherheit und Datenschutz Testierung Auditoren, Sachverständige, Rechtsanwälte, IT-Sicherheitsbeauftragte, Wirtschaftsprüfer, etc. Auditierung / Zertifizierung BSI IT-Grundschutz, ISO datenschutz cert, DEKRA, TÜV EuroCloud Star Audit Europrise ULD Schleswig-Holstein // Risikoabwägung und Nebenziele // 32

33 EU - EU/ EWR EU - Drittland

34 Anforderungen an die Datenübermittlung aus EU-Mitgliedstaat in Nicht-Mitglied der EU/ des EWR 1. Kein bereichsspezifisches Verbot 2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen 3. Angemessenes Schutzniveau Sicheres Drittland (z.b. Kanada, Schweiz) EU Standardvertragsklauseln (EU-Model Clauses) Binding Corporate Rules (BCRs) Safe Harbor (nur USA) nach NSA?

35 Cloud Computing - Datenschutzbehörden Düsseldorfer Kreis Entschließungen, insbes. vom 28./29. September 2011 Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group Datenschutz darf nicht in der Wolke verdunsten! Sopot Memorandum zum Cloud Computing, Cloud-Nutzung darf DS nicht mindern Folgenabschätzung vor Nutzung Größtmögliche Transparenz und Kontrolle für Nutzer Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen Rechtlicher Rahmen zu überprüfen

36 Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 1 StGB: Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 3. Rechtsanwalt, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 36

37 Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 3 StGB:... Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. 37

38 Schutz eigener Daten und des Mandatsgeheimnisses Alles in der Cloud - auch die Kanzlei? Aktenverwaltung Terminverwaltung Video- / Telefon-/ Webkonferenzen Dokumenten-Sharing Recherchetools Diktat- / Schreibservice Archivlösungen Server- und Datensicherungslösungen 38

39 IT-Sicherheit und Datenschutz lokal & auf den mobilen Geräten verschlüsseln Löschfunktion bei Endgeräteverlust Verschlüsselte Cloud Beachte: Mit jeder Verschlüsselung ist ein Risiko des Datenverlustes verbunden, sofern es kein Duplikat des Schlüssels und/oder einen zweiten Zugriffsberechtigten gibt. und sogar verschlüsselt Telefonieren 39

40 IT-Sicherheit und Datenschutz 40

41 IT-Sicherheit und Datenschutz Vorsorge unverzichtbar, da nachholen unmöglich Datenverlust ist ggf. nicht revidierbar Haftungsrisiken Gewinn an Professionalität Mehrwert für die Mandanten 41

42 Die Auftragsdatenverarbeitung versus Funktionsübertragung 42

43 Social Media

44 44

45 Social Media Start AGB der Plattformbetreiber Profil, Impressum, Kontaktabgleich Nutzung Messaging Plug-in, Log-In, Check-In Betriebliche Maßnahmen Social Media Strategie Beschäftigtendatenschutz Exit

46

47 Elektronische Kommunikation in der Kanzlei -Kommunikation D EGVP Elektronische Signatur und Verschlüsselung ftp-server Mandantenportale Social Media 47

48 Authentizität -Absender 48

49 Authentizität -Absender 49

50

51 Umgang mit Anhängen

52 EGVP-Domäne für Rechtsanwälte Rechtsanwaltskammern bürgen für die Eigenschaft und Identität der Anwälte/Anwältinnen, welche über diese Domäne Teilnehmer im EGVP werden Anwälte könnten untereinander über EGVP kommunizieren Beglaubigte Abschriften direkt über EGVP an den Gegenanwalt 52

53 D -Dienste DeIdent: Dienst zur Online-Altersverifikation DeSafe: Datenarchiv Kombinierbar mit Signatur / Verschlüsselung der Dateien Sichere Anmeldung / Anmeldung ohne Sicherheit D -Einschreiben D -Adresse: Identifizierung über npa / elektronische Signatur / PostIdent 53

54 Risiken

55 Angriffe von außen

56 Gefahren von innen

57 Schäden durch höhere Gewalt

58 Organisatorische Mängel

59 Technische Mängel

60 Sie werden am wenigsten beachtet: Handhabungsfehler

61 Wie kommt es zum Schaden? Schäden an Software, Hardware und Daten Fehler von Software oder Hardware unzureichende Organisation Fahrlässigkeit DV-gestützte Angriffe Informationsabfluss durch EDV (PC/LAN/Internet) Schäden durch Vorsatz und Angriff Schadsoftware (Malware, Fakeware, Crimeware) Klassisches Ausspionieren Information aus Entsorgung von Notizen und Akten Information aus Entsorgung von Speichermedien (intern/extern) Information aus personellen Schwachstellen (Wer geht ein und aus?)

62 Auswirkungen von Angriffen Offenlegung vertraulicher Daten Finanzieller Schaden (Konto und Kreditkarten) Kompromittierte PCs (Fakeware, Malware, Crimeware) Identitätsdiebstahl Vorspiegelung falscher Daten Drohungen an Geschäftspartner, Einflussnahme, Spionage (Unternehmen, staatliche Stellen, Persönlichkeiten) Bsp.: Einsichtnahmen in Unterlagen zu Ausschreibungen/Entwicklungen, Offenlegung Einkommenssituation Mandant) Offenlegung des Vorfalls / Informationspflicht ( 42a BDSG)

63

64 Praktische Umsetzung

65 Sicherheit ist Chefsache Sicherheit ist Chefsache Ergänzen Sie Ihr Wissen zur Einhaltung der Datenschutz- und Sicherheitsanforderungen in Ihrer Kanzlei und schließen Sie mögliche Lücken durch geeignete Maßnahmen. Technische Schutzmaßnahmen alleine reichen nicht aus. Die Umsetzung und Einhaltung wird z. B. gewährleistet durch Festlegung klarer Verantwortlichkeiten und Sicherstellung der geeigneten Qualifikation Verbindliche Organisationsanweisungen für Mitarbeiter Laufende Sensibilisierung und Schulung der Mitarbeiter

66 IT-Sicherheitschecks Inhalt des IT-Sicherheitschecks Aufnahme wesentlicher Strukturdaten des Unternehmens zur Bestimmung des erforderlichen IT- Sicherheitsniveaus Feststellen des genutzten IT-Umfelds und ableiten möglicher IT-Sicherheitsrisiken Ziele des IT-Sicherheitschecks Liefert einen erster Überblick über den Stand der IT-Sicherheit in Ihrem Unternehmen Offenlegen möglicher IT-Sicherheitslücken und Handlungsbedarf Darlegen von Handlungsempfehlungen und Lösungsalternativen Wo finde ich den IT-Sicherheitscheck?

67 Sicherheitsniveau Investitionen und IT-Sicherheit 100%ige Sicherheit ist nicht erzielbar Schon mit relativ wenig Aufwand lässt sich viel erreichen Sicherheitsinvestitionen

68 Einschätzung des Risikoprofils Identifikation von Risikobereichen Kontrollen und Maßnahmen Umsetzung und Regelbetrieb 68

69 Einschätzen des Risikoprofils Compliance Reputation und Vertrauen Risikokriterien Betrieb Art, Umfang, Komplexität Finanzen 69

70 Wie geht es weiter? Mit Mandanten über IT-Sicherheit sprechen Analysieren und Optimieren Sie die für Ihre Kanzlei bestehenden / getroffenen IT-Sicherheitsvorkehrungen Starten Sie einen stetigen Verbesserungsprozess Helfen Sie Ihren Geschäftspartnern/ Mandaten, Mängel zu erkennen und zu beseitigen 70

71 Wie geht es weiter? Interne Regeln (QM-Maßnahmen) Zuständigkeiten & Zusammenarbeit regeln (Administrator, Sicherheitsbeauftragter, Datenschutzbeauftragter, Public Relations Management, Kanzleileitung) IT-Sicherheitsvorgaben / Datenschutzvorgaben / Prioritäten Schulungen (Digital Natives) Regeln für die private Nutzung der IT Krisenmanagement / Notfallpläne 71

72 To Do-Liste IT-Sicherheit Einsatz bedarfsgerechter und professioneller IT-Lösungen mit regelmäßiger Statuskontrolle (Einhaltung des Stands der Technik) Datensicherungskonzept und Backup einführen Spam- und Virenfiltern regelmäßig aktualisieren verschlüsselter Einsatz von WLAN Einführung eines Passwortmanagements Datenschutzregelungen einführen (Datenschutzbeauftragten bestellen) Verfahrensverzeichnisse/Datenschutzerklärungen 72

73 To Do-Liste IT-Einsatz Betriebsinterne Regelungen für die - und Internet- sowie Social Network-Nutzung einführen Einsatz ausreichend lizenzierter Software oder Freier Software und Nutzungsbedingungen einhalten Zulässigkeit des IT-Outsourcing / Cloud Computing prüfen Vertraulichkeits- und Geheimhaltungsvereinbarungen mit Dienstleistern, Subunternehmern treffen Einsatz der elektronischen Signatur und Verschlüsselung prüfen / sichere Kommunikation ermöglichen 73

74 Wie geht es weiter? Kleine Helfer auf dem Weg zu mehr IT-Sicherheit DsiN-Sicherheitscheck DsiN-Leitfäden, Checklisten zur IT-Sicherheit, Info-Material, etc. BMWi-Sicherheitsnavigator BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. BSI, Bundesamt für Sicherheit in der Informationstechnik 74

75 Lesetipp: Praxisleitfaden Sichere Nutzung von Cloud-Anwendungen am Beispiel des TeleTrusT Bundesverband IT-Sicherheit e.v.

76 Der IT-Sicherheitsnavigator Ist ein kostenloses Informationsangebot des BMWi für Sie und Ihre Mandanten. Er bietet einen Überblick zu den Angeboten bestehender IT-Sicherheitsinitiativen. Über eine Suchfunktion können passende Angebote schnell und einfach gefunden werden. Der Navigator verlinkt beispielsweise auf Beratungsstellen in Ihrer Region, Basis-Sicherheitschecks, Veranstaltungsübersichten, Broschüren und Leitfäden zu Themen wie CloudComputing, Mobiles Arbeiten, Datenschutz uvm. Erreichbar unter Weitere Infomaterialien (z.b. Flyer, Broschüren) zum Verteilen an Ihre Mandanten können Sie per kostenlos bestellen unter : taskforce.it-sicherheit@bmwi.bund.de 76

77 Ausblick

78 EU Datenschutzgrundverordnung EU NIS Richtlinie DE IT-Sicherheitsgesetz DE Beschäftigtendatenschutzgesetz DE Stiftung Datenschutz

79 Ausblick: EU Datenschutz-Grundverordnung Voraussichtliche Regelungen der DS-GVO: Grundprinzip Verbot mit Erlaubnisvorbehalt wird beibehalten, Art. 6 Einwilligung der Eltern bei unter 13-Jährigen für Onlinedienste, Art. 8 "Recht auf Vergessenwerden", Art. 17 Recht auf Datenübertragbarkeit, Art. 18 Privacy by Default, Art. 23 Pflichten bei Datenschutzverstößen verschärft, Art. 31 Betrieblicher Datenschutzbeauftragter für Unternehmen mit mindestens 250 Mitarbeitern bzw. wenn Datenverarbeitung Kerntätigkeit, Art

80 Viel Erfolg!