DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Transkript

1 DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN Was ist meine Grundlage für Speicherung von personenbezogenen Daten, was darf ich speichern und für wie lange? Hanno Wagner

2 WER BIN ICH? Hanno,Rince Wagner, arbeite in Stuttgart Seit 3 Jahren betrieblicher Datenschutzbeauftragter (für einen mittelständischen Konzern) Seit ca. 10 Jahren mit dem Thema vertraut (CCC, Fitug, EDRi et al)

3 WARUM ADMINISTRATOREN? Zugriff auf komplette Infrastruktur Zugriff auf die Rohdaten, auch bei Filesystemen und Datenbanken Wir bekommen die Daten leichter zu sehen als der Anwender

4 WARUM ADMINISTRATOREN? Zusammenführung möglich Statistiken möglich Kurz mal was nachschauen

5 QUINTESSENZ Wir sollten wissen was wir dürfen

6 BEISPIELE Mailserverlog Webserverlog Proxyserverlog

7 WEITERE BEISPIELE Active Directory Generell LDAP/NIS/NIS+/... Datenbank-Logins Fotos für den Firmenausweis oder von Firmenfeiern

8 WAS SIND PERSONENBEZOGENE DATEN? Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse beschreiben. Dabei muss nicht der Name bekannt sein, es reicht die Bestimmungsmöglichkeit der Person

9 ARTEN PERSONENBEZOGENER DATEN Einfache personenbezogene Daten Persönlichkeitsdaten Sensible Daten

10 THEORIE: GESETZE BDSG LDSG Spezielle Rechtsnormen wie TKG, TMG, Sozialgesetzbuch X, VDS

11 WAS GENAU WIRD GEREGELT? Umgang mit personenbezogene Daten in Deutschland In Europa einheitlich, einige zusätzliche Länder haben denselben hohen Standard (Island, Liechtenstein, Norwegen) Drittstaaten mit angemessenem Datenschutz-Niveau: USA mit Safe Harbour, Kanada teilweise, Argentinien, Vogtei Guemsey und Isle of Man

12 UNTERSCHIED USA <-> EUROPA Besitz der Daten Safe-Harbour

13 HIERARCHIE Öffentliche Einrichtungen des Bundes: Bundesbeauftragter für Datenschutz und Informationssicherheit Öffentliche Einrichtungen des Landes: LDSB Nicht-Öffentliche Einrichtungen: Das Innenministerium des Landes; kann dieses auch an den LDSB übertragen

14 KONTROLLORGANE In einer Firma oder Behörde: Der betriebliche/ bestellte Datenschutzbeauftragte Welche Firmen brauchen einen DSB? Ansonsten: Chef, Gruppenleiter, Bereichsleiter bis hin zum Vorstand

15 SAMMELN DER DATEN Erlaubnisvorbehalt Gesetzliche Vorgaben Öffentliche Quelle Vertrags- oder vorvertragsähnliches Verhältnis Abwägung Einwilligung

16 ZWECKBINDUNG Bevor die Daten gesammelt werden muss bereits festgelegt sein wofür die Daten gesammelt werden

17 AUFTRAGSDATENVERARBEITUNG Definition Auftragsdatenverarbeitung Zu beachten: Alle TOMs müssen vorher geprüft sein

18 TOMS Technisch-Organisatorische Maßnahmen: Definiert in 9 BDSG + Anhang Grundlage für das Verfahrensverzeichnis / öffentliche Verfahrensliste

19 MAßNAHMEN Zutrittsschutz Zugangsschutz Zugriffsschutz Eingabekontrolle Weitergabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Chinese Walls

20 VERFAHRENSLISTE Enthält alle notwendigen Daten um das Verfahren zu beschreiben welches die personenbezogenen Daten erfasst oder verarbeitet

21 INHALT VERFAHRENSLISTE Name oder Firma der verantwortlichen Stelle Inhaber / Leiter der verantwortlichen Stelle Anschrift Zweckbestimmung Beschreibung der betroffenen Personengruppen Empfänger oder Kategorie von Empfängern Regelfristen für Löschung der Daten geplante Datenübermittlung in Drittstaaten allgemeine Beschreibung

22 WAS TUN? Datensparsamkeit

23 DATENSCHUTZ UND DIE ARBEIT DES SYSADMINS Dürfen keine Logfiles mehr geschrieben werden? Wir brauchen sie aber! Marketing will Analysen fahren können

24 BACKUP Wird vom Gesetz nicht direkt erfasst. Man geht davon aus dass das Recovern von Daten aus dem Backup zuviel Aufwand ist als das dass unbeobachtet passieren kann.

25 FRAGEN? Ich bin unter zu erreichen, ansonsten bei der Diskussion hier