DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2. Hanno Wagner

Transkript

1 DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2 Hanno Wagner <rince@cccs.de> 1

2 WER BIN ICH? Hanno,Rince Wagner, arbeite in Stuttgart Seit 3 Jahren betrieblicher Datenschutzbeauftragter (für einen mittelständischen Konzern mit Tochterfirmen) Seit ca. 10 Jahren mit dem Thema vertraut (CCC, Fitug, EDRi et al) Sensibilisiere Mitarbeiter und Geschäftsleitung für Datenschutz und Awareness-Maßnahmen 2

3 ÜBERSICHT Warum Datenschutz aus Sicht der Administratoren? Informationsklassifizierung Technisch-Organisatorische Maßnahmen Novellierung des Bundesdatenschutzgesetzes Folgen bei Vergehen gegen Datenschutz 3

4 Warum Datenschutz aus Sicht der Systemadministratoren? 4

5 WARUM ADMINISTRATOREN? Rohdaten Projekte Mitdenken, gerade bei Auftragsdatenverarbeitung Daten-Verantwortliche meistens nicht fit Löschen und Sichern Zweckbindung 5

6 QUINTESSENZ Wir sollten wissen was wir dürfen (und was wir tun müssen!) 6

7 Informations klassifizierung 7

8 ERLAUBNISVORBEHALT Das Speichern von personenbezogenen Daten ist verboten, außer es gilt: Gesetzliche Vorgabe Öffentliche Quelle Vertragsverhältnis Abwägung Einwilligung 8

9 INFORMATIONSKLASSIFIZIERUNG Bewertung von Daten: Einerseits aufgrund der gesetzlichen Definition (BDSG) Andererseits der Kontext der Daten 9

10 ARTEN VON PERSONENBEZOGENEN DATEN Das Bundesdatenschutzgesetz sieht eine Einsortierung von personenbezogenen Daten in drei Klassen: Einfache Daten Persönlichkeitsdaten Sensible Daten 10

11 INFORMATIONSKLASSIFIZIERUNG IM KONTEXT Der Gesetzgeber hat es noch nicht erkannt, wohl aber das BVerfG Daten müssen im Kontext gesehen werden, davon hängt der Wert der Daten ab (Scoring) Hier der Ansatz einer Klassifizierung 11

12 INFORMATIONSKLASSIFIZIERUNG Unkritische Daten Für ordnungsgemäßen Betrieb notwendige Daten Abwägung Kritische Daten 12

13 WAS KÖNNEN WIR TUN? Wir wissen um den Wert der Daten Zweckbindung der Daten Verfahrensliste und deren Überprüfung 13

14 Datensparsamkeit ist wichtiger denn je 14

15 15

16 GOLDENE REGELN Möglichst wenig Daten sammeln Begründung für das Sammeln der Daten notwendig Komme ich mit weniger Daten aus? Oder mit anonymen Daten? Löschen der Daten auch durchführen 16

17 Technisch- Organisatorische Maßnahmen 17

18 TECHNISCH-ORGANISATORISCHE MAßNAHMEN Vorgabe des BDSG, wenn man als Organisation personenbezogene Daten speichern möchte Maßnahmenkatalog ist als Mindestforderung anzusehen 18

19 MINDESTANFORDERUNGE Zutrittskontrolle Eingabekontrolle Zugangskontrolle Auftragskontrolle Zugriffskontrolle Verfügbarkeitskontrolle Weitergabekontrolle Chinese-Wall-System 19

20 WOFÜR DIESE MAßNAHMEN? Mindestvoraussetzungen Erst nach kompletter Erfüllung dürfen personenbezogene Daten erhoben werden Richtschnur für Verfahren Auftragsdatenverarbeitung erst nach Prüfung TOMs möglich 20

21 WAS DÜRFEN ADMINISTRATOREN? In Rohdaten Einsicht nehmen zur Pflichterfüllung Keine Statistiken für Fachbereich erstellen; Zweckbindung! Sicherheit einbringen wo möglich 21

22 Novellierung Bundesdatenschutzgesetz 22

23 NOVELLIERUNG BDSG Seit 1. Septemer 2009 gibt es eine Novellierung des Bundesdatenschutzgesetzes. Neue Definition für Beschäftigte Neuer Status Datenschutzbeauftragter Pseudonymisierung wird forciert 23

24 NOVELLIERUNG BDSG Rechte Betroffener werden verstärkt Auftragsdatenverarbeitung und entsprechende Verträge Daten für Marketingzwecke Scoring 24

25 BEI DATENSCHUTZPROBLEMEN Die Aufsichtsbehörde muss sofort informiert werden Die Betroffenen sollen informiert werden Datenschutzprobleme sind (weiterhin) nur Ordnungswidrigkeiten. 25

26 Folgen bei Vergehen gegen Datenschutz 26

27 STRAFEN Jede einzelne Tat wird bestraft Auf natürliche Personen ausgesprochen, nicht auf Firmen 27

28 ORDNUNGSWIDRIGKEITEN Nicht-mögliche Überprüfung einer Dateiübermittlung nicht vollständig formulierter Auftrag nach 11 BDSG Auskunftsverlangen nicht korrekt entsprochen Abhängigkeit eines Vertrags von Einwilligung Mitteilung an Datenschutzbehörde oder Betroffene nicht rechtzeitig gemacht 28

29 BUßGELDER Bußgeldmöglichkeiten wurden verdoppelt bis zu bei einfachen Ordnungswidrigkeiten bis zu bei schwereren Ordnungswidrigkeiten möglich 29

30 FRAGEN? Ich bin unter zu erreichen, ansonsten bei der Diskussion hier 30