Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1
Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Verweis in die Anlage zu 9 Satz 1 Anlage zu 9 Satz 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), [ ] 2
Normen zur IT-Sicherheit WIE BERÄT DER IT-PROFI? Auswahl einer Norm aus dem Normensalat ISO 27001 internationale Norm Schwerpunkt: Management der IT- Sicherheit Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71 IT-Grundschutz nationale Norm Kochbuch 3
Vorgehensweise im IT-Grundschutz 1. Phase Initiierung Verantwortlichkeiten festlegen, Datenschutz-Leitlinie erstellen 2. Phase Strukturanalyse Aufnahme der IT-Infrastruktur (IT-Systeme, Benutzer, Standorte, Anwendungen) 3. Phase Schutzbedarfsfeststellung Festlegung von Schutzklassen, Festlegung des Schutzbedarfs für die Infrastruktur 4. Phase Modellierung Modellierung eines Ideal-Unternehmens 5. Phase Basis-Sicherheitscheck Soll-Ist-Vergleich mit dem Ideal-Unternehmen 6. Phase Realisierung Umsetzung der geplanten Maßnahmen - Projektplan Inventarisierung der IT-Infrastruktur (Strukturanalyse) Muster-Unternehmen: Im Unternehmen verfügen 23 Mitarbeiter (MA) über einen Zugriff auf Arbeitsplatzrechner /Zugriff auf personenbezogene Daten Ein Facility Manager 20 MA zur Abwicklung von Bestellungen (Großraumbüro) Zwei MA im Rechnungs-/Personalwesen (vorbereitende Tätigkeiten) Jeder MA ist mit einem Zugriff auf E-Mail ausgestattet 4
Bildung von Schutzstufen Schutzstufen: normal hoch sehr hoch Einteilung erfolgt in fünf Dimensionen Quelle: IT-Grundschutz-Profile, Anwendungsbeispiel für den Mittelstand Ermittlung des Schutzbedarfs Muster-Unternehmen: 1 MA bestellt per E-Mail (hier: Facility Manager ) Keine personenbezogenen Daten 20 MA versenden Angebote/Aufträge per E-Mail an Kunden (Abteilung Akquise) Personenbezogene Daten des Auftraggebers 2 MA übermitteln Daten aus der LoBu/FiBu an den StB Achtung: 42a BDSG 5
Auswahl der Maßnahmen Quelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Umrechnung Maßnahmen DS-Kontrollzielen Zutaten zum Rezept IT-Sicherheit IT-Maßnahmen im Ideal-Unternehmen 6
DS-Maßnahmen im Ideal-Unternehmen DS-Maßnahmen im Ideal-Unternehmen für die Phase Betrieb 7
Basissicherheitscheck (Soll-Ist-Abgleich) Fragestellung: Welche Maßnahmen sind umgesetzt (Klassen: ja, nein, teilweise, entbehrlich)? Sind die ergriffenen Maßnahmen wirkungsvoll? Welche Maßnahmen sollen von wem bis wann umgesetzt werden ( Projektplan)? Achtung: Bei den Sicherheitsstufen hoch und sehr hoch können auch zusätzliche Maßnahmen notwendig sein (Ergebnis einer Entscheidung des Management) Achtung: Zusätzliche Maßnahmen können sich auch aus Service Level Agreements (SLA) ergeben. E-Mail: Auswahl von Maßnahmen nach Schutzklasse (Auszug) Virenscanner Facility Manager Gruppe Akquise Gruppe FiBu/LoBu X X X Beseitigung von Restinformationen Festlegung der Komm.Partner Alternative: Verschlüsselung X X X X Arbeitsanweisung: Gruppe Akquise und Gruppe FiBu/LoBu dürfen keine Word-Dokumente wiederverwenden. Dokumente müssen immer für jedes neue Angebot/neuen Auftrag neu erstellt werden. Gruppe LoBu/FiBu dürfen das Adressfeld einer E-Mail nicht selber ausfüllen. Adressen müssen aus dem Adressbuch übernommen werden. 8
Konflikte: Protokollierung, Telekommunikationsgeheimnis RECHTLICHE ASPEKTE BEACHTEN! Rechtliche Anforderungen an E-Mails E-Mails sind Geschäftsbriefe! Pflichtangaben bei Geschäftsbriefen beachten Rechtssichere E-Mail-Archivierung Disclaimer Disclaimer sind Quatsch 9
Kontrolle von Internet, E-Mail Kontrolle von Internet, E-Mail 10
Grundsätze Unterscheidung, ob private Nutzung erlaubt ist oder nicht entscheidet, ob der ArbG Telekommunikationsanbieter ist! Bei Erlaubnis: ArbG ist Telekommunikationsanbieter: TK-Recht, 88 TKG (h.m.) (keine Vorratsdatenspeicherung, 113a TKG, da die Dienstleistung nicht öffentlich zugänglich) Grundsätze Privatnutzung verboten E-Mails wie Geschäftspost: Kontrolle vollumfänglich möglich Kontrolle zur Einhaltung des Verbots zur Privatnutzung nur Stichproben! Internet: Kontrolle zur Einhaltung des Verbots zur Privatnutzung keine permanente Überwachung Privatnutzung erlaubt Kontrolle der E-Mails ist nicht erlaubt (ü.m.) aber: Rspr. im Verwaltungsrecht: BVerfG: lediglich der Übertragungsweg ist geschützt (BVerfG v. 2.3.2006, VGH Kassel v. 19.5.2009 6 A 2672/08) Internet: Keine Kontrolle der besuchten Seiten 11
Kontrolle von E-Mails Privatnutzung verboten Datum, Beginn, Ende Überprüfung auf Viren ist möglich Unterdrückung von Anhängen ist möglich Empfänger darf erfasst werden Inhaltskontrolle ist möglich Empfehlung, den ArbN darauf hinzuweisen nur Stichprobenkontrolle Privatnutzung erlaubt ArbG als Telekommunikationsanbieter; Ausnahmen von 88 TKG: zu Abrechnungszwecken (Zeit, Dauer, Sender, Empfänger) Missbrauchskontrolle nur bei tatsächlichen Anhaltspunkten ( 102 Abs. 3 TKG) Kontrolle der Inhaltsdaten ist grds. Verboten auch z.b. bei Pornographie; Aufgabe der Staatsanwaltschaft (str.) Folgen rechtswidriger Überwachung durch ArbG Strafbarkeit des ArbG 202a StGB Ausspähen von Daten (str.) 206 StGB - Verletzung des Post- oder Fernmeldegeheimnisses Achtung: greift auch, wenn ArbG Spamfilter einsetzt und Nachrichten dadurch unterdrückt werden und dem Empfänger nicht zugestellt werden können. 303a StGB Datenveränderung Rechtswidrige Datenlöschung oder Veränderung (Spam- und Virenfilter) Lösung : Einwilligung des ArbN Problem: Kündigungsschutzprozess 12
Folgen rechtswidriger Überwachung durch ArbG Verwertung im Prozess eingeschränkt Kein generelles Verwertungsverbot (BAG Spindkontrolle ) Verwertungsverbot besteht bei gravierenden Eingriffen in das allg. Persönlichkeitsrecht, z.b. heimliche Videoüberwachung Schadensersatz und Schmerzensgeld Datenschutzmanagement PDCA-Zyklus B 1.5 Datenschutz M 7.5: IT-Grundschutz- Kataloge unternehmensindividuelle Umsetzung ausgewählter Maßnahmen 13