Datenschutzaspekte bei Nutzung mobiler Endgeräte Dipl.Inform.(Univ.) 28. November2012
Agenda I. Kurzvorstellung II. Datenschutz allgemein III. Schutzziele im Kontext Smart-Devices IV.BayLDA und Smart-Devices V. Fragen
Kurzvorstellung : BayLDA Als unabhängige Aufsichtsbehörde überwachen wir die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, d.h. in den privaten Wirtschaftsunternehmen bei den freiberuflichen Tätigen in Vereinen und Verbänden Ebenso beraten wir in Fragen zum rechtlichen und technischen Datenschutz In der Öffentlichkeitsarbeit wird über (aktuelle) Fragenstellungen zum Datenschutz informiert
Kurzvorstellung : BayLDA Sitz der Aufsichtsbehörde : Ansbach Momentan 16 Mitarbeiter Der Landesbeauftragte überwacht den Öffentlichen Bereich (München) Grundlage der Arbeit ist BDSG, TMG und Spezialregelungen
Kurzvorstellung : BayLDA BAYLDA Bürger Unternehmen Interessensausgleich
Kurzvorstellung : BayLDA PRÄSIDENT THOMAS KRANIG GESCHÄFTSSTELLE REFERAT 1 REFERAT 2 REFERAT 3 REFERAT 4 REFERAT 5 REFERAT 6 Beschäftigtendatenschutz Videoüberwachung Banken Auskunfteien Werbung Versicherungen Gesundheitswesen Internet Bußgeldverfahren Internationaler Datenverkehr IT-Sicherheit Technischer Datenschutz
Datenschutz allgemein Datenschutz ist Grundrecht Es geht um das jedermann zustehende allgemeine Persönlichkeitsrecht Jeder Einzelne soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können
Datenschutz allgemein 1 Bundesdatenschutzgesetz (BDSG): Zweck dieses Gesetzes ist es, den Einzelnendavor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Datenin seinem Persönlichkeitsrecht beeinträchtigt wird. 4 BDSG Personenbezogene Daten dürfen nur mit Einwilligung oder auf gesetzlicher Grundlage verarbeitet werden
Datenschutz allgemein Es geht um alle Daten, die etwas über eine bestimmte oder bestimmbare Person aussagen Zum Beispiel Name, Adresse, Alter, Aber auch Meinungen, Kommentare, Fotos, Dazu auch besondere Arten: ethnische Herkunft, Gesundheit, Schwieriger bei IP-Adresse, Cookies, MAC-Adressen, RFID-Tags,
Technische und organisatorische Maßnahmen 9 BDSG : Technische und organisatorische Maßnahmen Sicherungsmaßnahmen zum Schutz der personenbezogenen Daten im Rahmen einer Datenverarbeitung Anlage zu 9 BDSG: Zutrittskontrolle (z.b. Zugang in den Serverraum) Zugangskontrolle (z.b. Passwortsicherheit) Zugriffskontrolle (Benutzer-/Rechtekonzepte) Weitergabekontrolle (z.b. VPN-Tunnel) Eingabekontrolle (z.b. Protokollierung)
Themenfelder BayLDA (Referat 6) Löschen von Daten aus dem Internet Webtracking Phishing & Spam RFID, NFC Hacking Kryptographie Geolokalisierung Smartphone-Sicherheit IT-Sicherheit (BSI Grundschutz, ISO 27001) Soziale Netzwerke Smart Metering Cloud Computing Mitarbeit/Expertisen mit den rechtlichen Referaten
Schutzziele im Kontext Smart- Devices Vertraulichkeit Verfügbarkeit Integrität Transparenz Nicht-Verkettbarkeit Intervenierbarkeit IT-Sicherheit Technischer Datenschutz
Schutzziel: Vertraulichkeit Nur Befugte dürfen auf Verfahren und Daten zugreifen Zugangsschutz durch Vergabe von Pins/Passwörtern
Schutzziel: Vertraulichkeit Sicherheitslücken schließen Verschlüsselung einsetzen
Schutzziel: Vertraulichkeit Ist das Backend ausreichend sicher?
Schutzziel: Vertraulichkeit Was machen die Apps?
Schutzziel: Verfügbarkeit Verfahren und Daten müssen zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden Daten vom Gerät sichern? Evtl. Daten gar nicht auf Gerät speichern Terminallösungen (Auch bei BYOD relevant)
Schutzziel: Integrität Daten müssen unversehrt, zurechenbar und aktuell bleiben Angriffe auf Smartphones mit dem Ziel die Telefonverifikation zu missbrauchen das Smartphone als Proxy ins Firmennetz zu verwenden evtl. ein Single-Sign-On unberechtigt zu verwenden Gefälschte Nachrichten (z.b. auch Spam-Mails) können für Personen unangenehm/schädlich sein Verschlüsselter Datenverkehr vermindert Fälschungsrisiko
Schutzziel: Transparenz Verarbeitung von personenbezogenen Daten muss mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können Trojaner -Apps die Daten (Kontakte, Standorte, Bilder, ) vom eigenen Gerät saugen Momentane Möglichkeiten: Ggf. App-Berechtigungen prüfen Ggf. Opt-Out einschalten Prüfungen in App-Stores? Prüfungen durch Community? Ist momentan noch nicht vollständig gewährleistet.
Schutzziel: Transparenz Informieren die Datenschutzbestimmungen? Datenschutzeinstellungen bei Apps? Viele Möglichkeiten im Vergleich zum Browser
Schutzziel: Nicht-Verkettbarkeit Eindeutige Geräte-Ids IMEI/IMSI UUID (iphone) Registrierungen vor sinnvoller Nutzung notwendig E-Mail Adresse ist Identifier Möglichkeiten der Verkettbarkeit ist Bestandteil der Plattformen Tracking mit personenbezogenem Datum möglich?
Schutzziel: Intervenierbarkeit Verfahren müssen den Betroffenen die Ausübung Ihrer Rechte (Auskunftsrecht, Löschrecht, ) ermöglichen Bei Apps: Wer ist Verantwortliche Stelle? Der App-Hersteller (z.b. Softwarehaus)? Der App-Anbieter (z.b. Fußballverein)? Der App-Vertreiber (z.b. itunes)? Der Plattform-Anbieter (z.b. Apple)? Wie sieht es mit der Mitverantwortung aus?
BayLDA und Smart-Devices 2012 : Ein Schwerpunkt war/ist Webtracking-Analyse (Sommer: Google Analytics, Winter: xxxxxxxxxxx) 2013: Möglichkeiten zum datenschutzkonformen App- Tracking 2013: Ziel, ebenfalls App-Analysen durchzuführen Datenschutz geht zur Schule: Neben Soziale Netzwerke wollen wir nun auch sichere Smartphone-Nutzung thematisieren
Vielen Dank für Ihre Aufmerksamkeit! Fragen?