Grundlagen des Datenschutzes und der IT-Sicherheit (13) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Größe: px

Ab Seite anzeigen:

Download "Grundlagen des Datenschutzes und der IT-Sicherheit (13) Vorlesung im Sommersemester 2005 von Bernhard C. Witt"

Peter Eberhardt
vor 6 Jahren
Abrufe

1 und der IT-Sicherheit (13) Vorlesung im Sommersemester 2005 von

2 Struktur der heutigen Vorlesung Fortsetzung Verknüpfung unterschiedlicher Grundlagen: Sicherheitsmaßnahmen & Notfall-Vorsorge-Konzept Zusammenfassung (insb. aus den Übungen) Datenschutzfreundliche Techniken: Merkmale & Prinzipien datenschutzfreundlicher Techniken Zusammenfassung (incl. Übungen) Anwendungsbeispiel Datenschutz an Hochschulen: Grundlagen Zusammenfassung (insb. aus den Übungen) Aktuelle Fragen des Datenschutzes und der IT-Sicherheit: entfällt! 2

3 Sicherheitsmaßnahmen Sicherheit bei der Konzeption (Architektur): Aufteilung in Sicherheitszonen Verschlüsselung des Datentransports Härtung der IT-Systeme ( Absicherung gegen Angriffe) Ergebnis: DMZ Sicherheit im laufenden Betrieb: Sensibilisierung der Mitarbeiter Authentisierung bei Zugang und Zugriff Schutz vor Viren, Würmer, Trojanische Pferde etc. Protokollierung ( Überwachung der Technik & Datenströme) Kontrollen (z.b. durch Penetrationstests) 3

4 Äußere Einflüsse der IT-Sicherheit 4

5 Notfall-Vorsorge-Konzept Notwendige Inhalte: Verzeichnis der IT-Systeme & Vernetzung Anforderungen an die Verfügbarkeit ( Prioritätssetzung) Verantwortlichkeiten ( CERT) Wiederanlaufplan & Notfallübungen Redundanzkonzept (Technik & Daten) Ergebnis: Notfall-Handbuch Das Notfall-Vorsorge-Konzept ist schwerpunktmäßig auf Fragen der Safety ausgerichtet Regelmäßige Revision erforderlich (PDCA-Ansatz) Zum IT-Sicherheitsprozess s.a. Guideline von ISO/IEC TR

6 Ergebnis: Verknüpfung zur Praxis bei Datenschutz & IT-Sicherheit Verhältnis und Gegensätze von Datenschutz und IT-Sicherheit Verknüpfung von Datenschutz- und Telekommunikationsrecht (am Beispiel Netzwerktrafficanalyse) Anwendung von Datenschutzrecht bei der Videoüberwachung durch nicht-öffentliche Stellen Beschränkungen beim Umgang mit Mails Umsetzung von Datenschutz und IT-Sicherheit bei Datenbanken Typische Sicherheitsmaßnahmen bei Konzeption und im laufenden Betrieb Äußere Einflüsse auf die Gestaltung der IT-Sicherheit Notwendige Bestandteile für ein Notfall-Vorsorge-Konzept 6

7 Datenschutzfreundliche Techniken 7

8 Kennzeichen datenschutzfreundlicher Techniken = Privacy Enhancing Technologies (PET; 1995) Ziel: weniger Risiken für die Privatsphäre der Betroffenen durch Ausgestaltung eingesetzter Informations- und Kommunikationstechnik unter Reduktion des Personenbezugs ( Anonymität) setzt bereits im Vorfeld der Verarbeitung personenbezogener Daten an Datenvermeidung! wichtiges Hilfsmittel vorausschauender Technikgestaltung unabhängig von etwaigen Rechtsnormen Rückwirkung auf rechtliche Entwicklung ( Stand der Technik ) datenschutzgerecht & datenschutzfördernd frühere Bezeichnung: Systemdatenschutz (Podlech) strukturelle, systemanalytische Ergänzung des individuellen Rechtsschutzes der Betroffenen 8

9 Prinzipien datenschutzfreundlicher Techniken (1) Datensparsamkeit & Systemdatenschutz je weniger personenbezogene Daten herausgegeben werden (müssen), desto leichter lassen sich entsprechende Techniken anwenden nur erforderliche Daten verarbeiten frühestmögliche Anonymisierung frühestmögliche Löschung Verschlüsselung bei Kommunikation Beispiel: prepaid-chipkarten, Mix-Netz, Transaktionspseudonym (z.b. mit verdeckter Zufallszahl bei elektronischem Geld) 9

10 Prinzipien datenschutzfreundlicher Techniken (2) Selbstdatenschutz & Transparenz Selbstbestimmung und steuerung des Nutzers Nutzer entscheidet selbst, wie anonym er Dienste in Anspruch nimmt Verarbeitung wird verständlich offengelegt (Verfahrensverzeichnis) und ist nachprüfbar ( Identitätsmanagement) Formulierung eigener Schutzziele Nutzung vertrauenswürdiger Institutionen (Trust Center) Unterstützung durch Anwendung der Betroffenenrechte Beispiel: Platform for Privacy Preferences (P3P auf 10

11 Ergebnis: Datenschutzfreundliche Techniken Ziel datenschutzfreundlicher Techniken Merkmale datenschutzfreundlicher Techniken Prinzipien zur Gestaltung datenschutzfreundlicher Techniken Funktionsweisen datenschutzfreundlicher Techniken anhand zweier Beispiele: DC-Netz & Proxies (Mix-Netz) 11

12 Anwendungsbeispiel: Datenschutz an Hochschulen 12

Interessenabwägung Wissenschaftsfreiheit: Art. 5 Abs. 3 GG: Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung.

13 Interessenabwägung Wissenschaftsfreiheit: Art. 5 Abs. 3 GG: Kunst und Wissenschaft, Forschung und Lehre sind frei. Die Freiheit der Lehre entbindet nicht von der Treue zur Verfassung. Folge: akademische Selbstverwaltung (Hochschulautonomie) Hinweis: auf jede wissenschaftliche Tätigkeit bezogen! Informationelle Selbstbestimmung: Art. 2 Abs. 1 GG i.v.m. Art. 1 Abs. 1 GG 13

14 Konsequenzen Forschungsprivileg bei der Verarbeitung personenbezogener Daten ( 19 und 35 LDSG) Nutzungsbeschränkung der Verarbeitung für wissenschaftliche Zwecke auf (andere) wissenschaftliche Zwecke ( 35 I LDSG) bei Hochschulautonomie darf der Staat nur eingreifen, um die Organisation der Hochschule nach seinem Ermessen unter Berücksichtigung der unterschiedlichen Interessen der Hochschulangehörigen zu ordnen (BVerfGE 35, 79) eine Bewertung wissenschaftlicher Tätigkeit (Forschung & Lehre!) erfordert Gleichrangigkeit der Gutachter (siehe auch BVerwGE 102, 304) 14

15 Ergebnis: Anwendungsbeispiel Datenschutz an Hochschulen Ausgleich konträrer Grundrechte durch Gesetz (LDSG & LHG) Beschränkung staatlichen Eingriffs auf Hochschulorganisation Hochschulangehörige haben Priviliegen Untersuchung gesetzlicher Hochschulvorschriften auf Verfassungsmäßigkeit (Normenklarheit & Verhältnismäßigkeit) Beachtenswertes bei internen Lehrevaluationen Datenschutz und IT-Sicherheit bei Chipkarten Voraussetzungen für datenschutzkonforme technische Nutzungen am Beispiel der Prüfungsanmeldung mit Chipkarte Anforderungen an elektronisch durchgeführter Evaluation und Internet-Veröffentlichungen 15

16 Weitere Anwendungsbeispiele entfallen aus Zeitgründen! 16

17 Aktuelle Fragen zu Datenschutz und IT-Sicherheit: entfällt! 17

18 Ausblick: in der letzten Vorlesungswoche nur noch Training für Prüfungsklausur! Prüfung am 17. August 2005, bis Uhr! Viel Erfolg! 18

Ähnliche Dokumente

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2010 an der Universität Ulm von 1. Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche Prinzipien Mehrseitige IT-Sicherheit