De-Mail und Datenschutz



Ähnliche Dokumente
Datenschutz und D

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz

Akkreditierung gemäß D -Gesetz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

D UND E-POST-BRIEF: SINNVOLL UND SICHER?

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz

D , neue Perspektiven für die elektronische Kommunikation

D . So einfach wie , so sicher wie Papierpost.

D DATENSCHUTZ-NACHWEIS

BSI Technische Richtlinie

Telekom D Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte

Aktuelle Herausforderungen im Datenschutz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz im Rahmen der Re-Zertifizierung

D - so einfach wie , so sicher wie Papierpost. Dr. Uwe Schiel. (BearingPoint GmbH, Berater für den IT-Stab, BMI)

Technisches und rechtliches Rezertifizierungs-Gutachten

Sichere Kommunikation mit Ihrer Sparkasse

Rechtliche Absicherung von Administratoren

Datenschutz der große Bruder der IT-Sicherheit

D Versandoptionen

Datenschutz im E-Learning Sektor. Ingrid Pahlen-Brandt Behördliche Datenschutzbeauftragte an der Freien Universität Berlin GML 2009, 13.

Standard-Kontaktformular

Sichere Kommunikation mit Ihrer Sparkasse

BSI Technische Richtlinie

Das IT-Sicherheitsgesetz


Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

-Verschlüsselung viel einfacher als Sie denken!

OutLook 2003 Konfiguration

D . So einfach wie , so sicher wie Papierpost. Dr. Uwe Schiel. (BearingPoint GmbH, Berater für den IT-Stab, BMI)

Verwendung des IDS Backup Systems unter Windows 2000

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

D . So einfach wie und so sicher wie die Papierpost. Dr. Jens Dietrich Projektleiter D IT-Stab im Bundesministerium des Innern

BSI Technische Richtlinie

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Gesünder mit Apps und Co? Datenschutzrechtliche Anforderungen

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

VERWALTUNG. Postfächer, Autoresponder, Weiterleitungen, Aliases. Bachstraße 47, 3580 Mödring

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Datenschutzaspekte bei Nutzung mobiler Endgeräte

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Outlook 2000 Thema - Archivierung

Nationale Initiative für Internetund Informations-Sicherheit

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

Datenschutz und IT-Sicherheit

Einrichten des -Clients (Outlook-Express)

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Abb. 1 Einstellungen Supervisor Oprionen Gebäude-/Verteilertätigkeit

Subpostfächer und Vertretungen für Unternehmen

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Anleitung Postfachsystem Inhalt

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Kommunikations-Management

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Erstellen einer in OWA (Outlook Web App)

Tag des Datenschutzes

Anleitung für -Client Outlook 2000 mit SSL Verschlüsselung

1 Einleitung Anmelden und Abmelden Mail-Adresse einrichten Versenden von SMS Zusätzliche Einstellungen...

GDD-Erfa-Kreis Berlin

Kryptografische Verfahren für sichere

Kurzanleitung zum Einrichten des fmail Outlook Addin

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

AnNoText Online Spam Firewall

Die technische Seite Angebote und Risiken

ITIL & IT-Sicherheit. Michael Storz CN8

Kundeninformation zu Sichere S S

FIS: Projektdaten auf den Internetseiten ausgeben

Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit. Datenschutz-Schutzziele

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Sparkasse Jerichower Land

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Anleitung für IQES-Verantwortliche Persönliche Konten verwalten

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Konfiguration Anti-Spam Outlook 2003

Installation & Konfiguration AddOn Excel Export Restriction

Installation & Konfiguration AddOn Excel Export Restriction

Telekom D . Ohne Brief, aber mit Siegel.

Datenschutz und Schule

macs Support Ticket System

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Datensicherung. mit. Ocster Backup Pro. it.kröger Hinweis:

Insight aus der Webseite!

Scannen Sie schon oder blättern Sie noch?

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Datensicherheit und Datenschutz von ehealth Apps

Outlook 2013

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Transkript:

De-Mail und Datenschutz Gesetzliche Anforderungen, Zertifizierung und Verbesserungspotential Dr. Thomas Probst, Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel {thomas.probst, marit.hansen}@datenschutzzentrum.de

Kurzabriss De-Mail Was genau ist Datenschutz bei De-Mail? Welche gesetzliche Datenschutzanforderungen gibt es? Wie wird die Einhaltung überprüft? Welches Verbesserungspotential gibt es? Wie könnten Datenschutzanforderungen an Verbesserungen geprüft werden? Inhalt De-Mail und Datenschutz 2

De-Mail Postfach und Versanddienst B De-Mail-Anbieter C De-Mail-Anbieter D De-Mail und Datenschutz 3

Bindung Person/Institution <-> De-Mail-Adresse geprüft (z.b. Personalausweis) verschiedene Authentisierungsniveaus automatisierte Bestätigungen für A über Einlieferung ( Versandbestätigung ) Einlage in das Postfach von B ( Empfangsbestätigung ) Log-in von B in De-Mail-Postfach ( Abholbestätigung, für Behörden) Verzeichnisdienst (Eintrag optional) Datensafe (Angebot optional) Identifizierungsdienst (Angebot optional) De-Mail und Datenschutz 4

Verfügbarkeit des Dienstes und der Nachrichten OK Out of order De-Mail und Datenschutz 5

Datenschutz bei De-Mail II Vertragsdaten (u.a. 13, 15 De-MailG): z.b. Datenumfang (Name, Anschrift, Ausweisdaten,?) Speicherdauer Zweckbindung Funktionalitätsanforderungen (u.a. 4, 5 De-MailG): z. B. Bestätigungen Authentisierungsniveau Vertraulichkeit, Integrität, Verfügbarkeit auch der Bestätigungen De-Mail und Datenschutz 6

Datenschutz bei De-Mail III Transparenz (Einstellungen, Filterungen, ) Datenschutz-Organisation, u.a.: Einhaltung der Spielregeln bei der Auflösung von Pseudonymen ( 16 De- MailG) oder Zugriffen der Polizei/ Staatsanwaltschaft ( 113 TKG) Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Anpassungen an Änderungen in Technik und Recht) Auskunftsersuchen zu eigenen Daten, Beschwerden etc. De-Mail und Datenschutz 7

De-Mail-Gesetz seit dem 03.05.2011, z.b. Funktionalitätsanforderungen (u.a. 3-13, 16) explizite Sicherheitsanforderungen (z.b. Verschlüsselung zwischen Nutzer und Diensteanbieter sowie unter den Diensteanbietern, 4 Abs. 3, 5 Abs. 3) Verweis auf Technische Richtlinie TR 01201 Regelungen für Vertragsdaten des Nutzers (u.a. 13, 15, 16) allgemeine datenschutzrechtliche Regelungen: Bundesdatenschutzgesetz (BDSG) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) De-Mail und Datenschutz 8

Wie wird die Einhaltung überprüft? Akkreditierung der Anbieter durch das BSI ( 18 De-MailG) Voraussetzungen: Testat bezüglich IT-Sicherheit von BSI-akkreditierten Sachverständigen Abnahme durch IT-Sicherheitsdienstleister Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Prüfung durch anerkannte Sachverständige anhand eines Kriterienkatalogs Kriterienkatalog mit TR 01201 verzahnt Vollprüfung Abnahme des Gutachtens durch den BfDI De-Mail und Datenschutz 9

Verbesserungspotential Beispiele für sinnvolle Verbesserungsmöglichkeiten: Ende-zu-Ende-Verschlüsselung nutzergesteuerte Delegationsmöglichkeiten feingranulare lesende Zugriffsrechte (für Dritte) im Datensafe Angebot von (zusätzlichen) De-Mail-Adressen mit beschränkter Gültigkeitsdauer Online-Auskunftsverfahren Darstellung von Datenschutzeigenschaften durch Icons selbstbestimmte Filterung beim Versand von De-Mails De-Mail und Datenschutz 10

Datenschutzprüfung von Verbesserungen neue Schutzziele als Messlatte: Vertraulichkeit Integrität klassische IT-Sicherheitsziele Verfügbarkeit Transparenz Intervenierbarkeit Datenschutz-Schutzziele Nicht-Verkettbarkeit De-Mail und Datenschutz 11

Bezug der Schutzziele untereinander Eigenschaft Zugreifbarkeit Nachvollziehbarkeit Echtheit Schutzziel Verfügbarkeit: gesicherte Zugreifbarkeit Transparenz: Beobachtbarkeit Integrität: gesicherte Echtheit Dual des Schutzziels Vertraulichkeit: gesicherte Nicht- Zugreifbarkeit Nicht-Verkettbarkeit: fehlende Möglichkeit der Zuordnung Intervenierbarkeit: Eingreifmöglichkeit, u.a. Gewährleisten der Betroffenenrechte Nach Rost/Pfitzmann 2009 De-Mail und Datenschutz 12

Beispiel 1: Filter und Sperrungen I nutzergesteuertes Filtern, z.b. Sperrung ausgehender/eingehender Anhänge mit spezifischen Dateiformaten Filterung auf Inhaltsebene (z.b. Metainformationen, Überarbeitungsmarkierung) Information über Sperrungen/Filtermechanismen manuelles Übersteuern von Filterungen/Sperrungen bei Problemen De-Mail und Datenschutz 13

Beispiel 1: Filter und Sperrungen II nutzergesteuertes Filtern, z.b. Sperrung ausgehender/eingehender Anhänge mit spezifischen Dateiformaten Filterung ausgehender Nachrichten auf Inhaltsebene (z.b. Metainformationen, Überarbeitungsmarkierung) Vertraulichkeit Integrität Vertraulichkeit Information über Sperrungen/Filtermechanismen manuelles Übersteuern von Filterungen/Sperrungen bei Problemen Transparenz Intervenierbarkeit De-Mail und Datenschutz 14

Beispiel 2: nutzergesteuerte Delegation I nutzergesteuerte Delegation: Briefkasten für Nachbarn leeren, z.b. befristete Log-in-Möglichkeit für vorher bestimmte Dritte ( Delegierte ) konfigurierbare Beschränkung der Lese-Rechte, z.b.: nur Absender (und Betreff?) lesen Volltext lesen nur Nachrichten von definierte Absendern ( Whitelist ) lesen Leserechte nur für neu eingegangene Nachrichten konfigurierbare Beschränkung der Schreib-/Senderechte, z.b.: nur Weiterleitung, keine Texterstellung nur Weiterleitung an voreingestellte Adressen Protokollierung der Delegation Darstellung, ob Aktionen selbst oder vom Delegierten ausgeführt werden ggf. mehrere Drittzugriffsrechte, kontextabhängig De-Mail und Datenschutz 15

Beispiel 2: nutzergesteuerte Delegation II befristetes Log-in für Dritte beschränkte Lese-Rechte: nur Absender (und Betreff?) lesen nur Nachrichten von definierte Absendern ( Whitelist ) lesen Leserechte nur für neu eingegangene Nachrichten beschränkte Schreib-/Senderechte: nur Weiterleitung, keine Texterstellung nur Weiterleitung an voreingestellte Adressen Protokollierung für Delegierenden Darstellung der Delegation (für Dritte; Statusanzeige) Möglichkeit von Konfiguration, Abbruch und Prüfung Verfügbarkeit des Dienstes Vertraulichkeit (Nachrichten) Vertraulichkeit (Kommunikationspartner) Integrität des Dienstes Vertraulichkeit Transparenz der Delegation Transparenz der Tatsache der Delegation Intervenierbarkeit De-Mail und Datenschutz 16

Fazit Datenschutz-Prüfung umfasst rechtliche, technische und organisatorische Aspekte Datenschutz-Organisation und Abläufe sind wichtiger Prüfpunkt enge Verzahnung mit den IT-Sicherheitsprüfungen sowie Funktionalitätsprüfungen sinnvoll neue Schutzziele als Prüfpunkte für Verbesserungen und neue Funktionen, für die noch keine Prüfkriterien existieren De-Mail und Datenschutz 17

Vielen Dank für Ihre Aufmerksamkeit. Kontakt: Dr. Thomas Probst, Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Holstenstraße 98 24103 Kiel {thomas.probst, marit.hansen}@datenschutzzentrum.de Bildquellen: BSI, www.openclipart.org De-Mail und Datenschutz 18

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback