Datenschutz der große Bruder der IT-Sicherheit

Größe: px

Ab Seite anzeigen:

Download "Datenschutz der große Bruder der IT-Sicherheit"

Tomas Jaeger
vor 8 Jahren
Abrufe

1 Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / Poststelle@datenschutz.hessen.de

2 Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde für die Hessische Landesverwaltung und Hessische Gebietskörperschaften (Kommunen, Landkreise) sowie deren Vereinigungen und der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (z.b. IHK) Seit 2011 auch Aufsichtsbehörde für den nichtöffentlichen Bereich (Unternehmen mit Sitz in Hessen) September 2015 Datenschutz bb der IT-Sicherheit 2

und der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts (z.b.

3 Was Sie erwartet Grundsätzliche Überlegungen Datensicherungsziele des HDSG und BDSG (neue) Gewährleistungsziele Fälle aus der Praxis einer Aufsichtsbehörde September 2015 Datenschutz bb der IT-Sicherheit 3

Gewährleistungsziele Fälle aus der Praxis einer

4 Grundsätzliche Überlegungen

5 Ihre Rollen im Datenschutz Verbraucher Bürgerin Institution Mitarbeiter September 2015 Datenschutz bb der IT-Sicherheit 5

6 Geschichte des Datenschutzes HDSG; das ERSTE Datenschutzgesetz weltweit 1974 privacy Act 1977 BDSG 1983 Volkszählungsurteil Recht auf informationelle Selbstbestimmung 1995 EU-RL 95/46 Novellierungen 1999 / 2011 HDSG 2001 / 2009 BDSG HDSG und BDSG regeln unterschiedliche Bereiche. Sie stehen nebeneinander, nicht: Bundesrecht bricht Landesrecht September 2015 Datenschutz bb der IT-Sicherheit 6

auf informationelle Selbstbestimmung 1995 EU-RL 95/46 Novellierungen 1999 / 2011 HDSG 2001 / 2009

7 Verfassungsrechtliche Systematik Das Recht auf informationelle Selbstbestimmung (1983) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (2008) Kreationen des Bundesverfassungsgerichts Kombination aus Art. 2 Abs. 1 mit Art 1 Abs.1 GG - Allgemeine Handlungsfreiheit und Schutz der Menschenwürde Einschränkungen nur mit konkreter Rechtsgrundlage September 2015 Datenschutz bb der IT-Sicherheit 7

Bundesverfassungsgerichts Kombination aus Art. 2 Abs. 1 mit Art 1 Abs.

8 Datenschutzprinzipien (Recht auf informationelle Selbstbestimmung) Erforderlichkeit (Datenvermeidung, Datensparsamkeit) Zulässigkeit Zweckbindung Transparenz (für den Bürger / Kunden; Kontrolle) Korrekturrechte Und... Datensicherungsmaßnahmen (fast IT-Sicherheit) September 2015 Datenschutz bb der IT-Sicherheit 8

Transparenz (für den Bürger / Kunden; Kontrolle) Korrekturrechte Und.

9 Datensicherungsziele in HDSG und BDSG

10 Datensicherungsziele (nicht Backup!) Angemessenheit Die Maßnahmen müssen angemessen sein. ( 10 (1) Satz 2 HDSG, 9 Satz 2 BDSG) Stand der Technik Die Maßnahmen müssen dem Stand der Technik entsprechen. ( 10 (2) Satz 2 HDSG) Verschlüsselungsverfahren nach dem Stand der Technik (Anlage zu 9 Satz 1 BDSG) Regelungsbereiche Die Datensicherheitsziele sollten sich ergänzen. Sie wurden in 8 Ziele zusammengefasst. September 2015 Datenschutz bb der IT-Sicherheit 10

( 10 (2) Satz 2 HDSG) Verschlüsselungsverfahren nach dem Stand der Technik (Anlage zu 9 Satz 1 BDSG)

11 Sicherheitsziele aus dem HDSG Zutrittskontrolle Benutzerkontrolle Zugriffskontrolle Datenverarbeitungskontrolle Verantwortlichkeitskontrolle Auftragskontrolle Dokumentationskontrolle Organisationskontrolle September 2015 Datenschutz bb der IT-Sicherheit 11

Verantwortlichkeitskontrolle Auftragskontrolle

12 Sicherheitsziele aus dem BDSG Anlage zu 9 Satz 1 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot September 2015 Datenschutz bb der IT-Sicherheit 12

Weitergabekontrolle Eingabekontrolle Auftragskontrolle

13 Gewährleistungsziele Alte Bekannte und Neue Ziele

14 Alte Bekannte Vertraulichkeit Integrität Verfügbarkeit September 2015 Datenschutz bb der IT-Sicherheit 14

15 Transparenz Gewährleisten, dass die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann. September 2015 Datenschutz bb der IT-Sicherheit 15

nachvollzogen, überprüft und bewertet werden kann.

16 Nichtverkettbarkeit Personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können. Pseudonyme,... September 2015 Datenschutz bb der IT-Sicherheit 16

ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden

17 Intervenierbarkeit Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte wirksam ermöglichen. (z.b. Auskunft, Berichtigung, Löschung) September 2015 Datenschutz bb der IT-Sicherheit 17

18 Datensparsamkeit Die Datensparsamkeit ergibt sich aus der Erforderlichkeit einer Verarbeitung personenbezogener Daten. September 2015 Datenschutz bb der IT-Sicherheit 18

19 Folgerung Datenschutz als Recht auf informationelle Selbstbestimmung schützt Grundrechte, nicht Daten. Datenschutz umfasst hinsichtlich personenbezogener Daten die IT-Sicherheit weitgehend und geht mit einigen Anforderungen darüber hinaus. September 2015 Datenschutz bb der IT-Sicherheit 19

Datenschutz umfasst hinsichtlich personenbezogener Daten die

20 Beispiele September 2015 Datenschutz bb der IT-Sicherheit 20

21 Verschlüsselung Sehr gut geeignet als Sicherheitsmaßnahme Algorithmen, Zufallszahlen, Implementierung wichtig Schlüsselmanagement für Erfolg entscheidend Für rechtliche Bewertung: Wer kann entschlüsseln? Keine einheitliche Meinung der Aufsichtsbehörden zur Personenbeziehbarkeit verschlüsselter Daten, wenn die speichernde Stelle keinen Zugriff auf Entschlüsselungsschlüssel hat. In jedem Fall: verantwortliche Stelle muss Kontrolle über die Daten behalten (Löschen, Sicherungsmaßnahmen bestimmen) September 2015 Datenschutz bb der IT-Sicherheit 21

22 Bewegungsprofile Häufig: MAC-Adressen zur Lokalisation MAC-Adressen sind personenbezogene Daten Wie kann ein nicht-personenbezogener Identifikator gebildet werden? Kürzen, salzen, hashen? Salzen, hashen, kürzen? Ein Projekt in Hessen: Im Sensor Salzen (Salt Zufallszahl, täglich wechselnd), hashen, auf 14 Bit kürzen September 2015 Datenschutz bb der IT-Sicherheit 22

23 Einsatz Smartphones Situation Privatperson und Institution (Behörde / Firma) nicht vergleichbar Privatperson kann auf Rechte verzichten Institution kann nicht Rechte des Bürgers / Kunden (ohne explizite Einwilligung) preisgeben. Dabei gibt es auch noch Grenzen für eine Einwilligung. Verantwortliche Stelle muss die Verantwortung übernehmen können: Bleibt sie Herr der Daten? September 2015 Datenschutz bb der IT-Sicherheit 23

24 Schutz von Kundendaten gegen Dritte Weitgehende Übereinstimmung zwischen IT-Sicherheit und Datenschutz Angemessenheit Stand der Technik Kann keine ausreichende Sicherheit erreicht werden: auf die Verarbeitung ist zu verzichten Gerade in Firmen: Es gibt oft nicht-personenbezogene Daten, die einen noch höheren Schutzbedarf haben September 2015 Datenschutz bb der IT-Sicherheit 24

25 Protokollierung Begrifflichkeit klären: Protokollierung, Dokumentation Was wird wo protokolliert und an welcher Stelle gespeichert? Wie ist die Speicherdauer? IT-Sicherheit vs Datenschutz vs Betriebsrat Wie werden die Daten ausgewertet? September 2015 Datenschutz bb der IT-Sicherheit 25

26 Vielen Dank für Ihre Aufmerksamkeit Sie können den Hessischen Datenschutzbeauftragten jederzeit ansprechen!

Ähnliche Dokumente

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz? 17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische