Datenschutz und Informationssicherheit bei Klientenberatungen Georg Göbel Medizinische Universität Innsbruck 1
Geschäftsprozesse unter Kontrolle Aus Daten Informationen und aus Informationen Wissen generieren ist eine der Kernaufgaben des Enterprise Content Managements (ECM). Die Spezialisten von Swisscom IT Services sorgen dafür, dass Ihr ECM System dieser Aufgabe vollumfänglich gerecht wird. Bei Swisscom IT Services finden Sie das profunde Expertenwissen, um Lösungen für das Enterprise Content Management erfolgreich aufzubauen. Wir stimmen die ECM Lösung auf Ihre Branche, Ihre Geschäftsprozesse und Ihre technologische Infrastruktur ab, damit sich ihr Nutzen voll entfalten kann. Der ECM Service verschafft Ihrem Unternehmen einen Wettbewerbsvorteil, wann und wo immer Entscheidungen getroffen werden müssen. ECM versetzt Sie in die Lage, alle Ihre Inhalte zu verwalten und Ihre Geschäftsprozesse kontrolliert und effizient zu gestalten. Die Spezialisten von Swisscom IT Services sind auf allen wichtigen ECM Systemen zertifiziert und haben jederzeit Zugriff auf die aktuellsten Entwicklungen der Hersteller. Der ECM Service bietet Ihnen eine hochprofessionelle Lösung aus einer Hand, die spezifisch auf die Bedürfnisse in der Schweiz abgestimmt ist. Der ECM Service unterstützt den gesamten Lebenszyklus in Ihrem Unternehmen: von der Erstellung neuer Informationen über deren langfristige Archivierung bis hin zur Löschung. Übersicht Beispiele, Ausgangssituation und Hintergründe Hintergrund Recht Was bedeutet Datenschutz Wo finden sich datenschutzrechtliche Regelungen Begriffsdefinition: Daten, Auftraggeber, Betroffener etc. Was kann / muss ich tun? Abläufe und Maßnahmen bzgl. Datenschutz und Informationssicherheit Meldepflicht, Dokumentation, Verschwiegenheitserklärung etc. Infrastruktur: Datensicherheit 3 2
18. September 2013 Aus zwei Rechenzentren der Swisscom in Bern sind mehrere Kassetten mit riesigen Mengen an Daten verschwunden. Auf den entwendeten Bändern sind neben anderem über 14 500 E Mails gespeichert. Dies betrifft: Verträge mit Privat und Geschäftskunden, Angaben zu Bestellungen und Telefonanschlüssen sowie Verrechnungsaufträge 600 000 Nummern aus dem Directories Telefonbuch sind auf einem Tape abgelegt. Die internen E Mail Korrespondenzen gewähren Einblick in den Stand von Projekten, informieren über Probleme und Sitzungs Traktanden. Ebenso sind Protokolle, Dienstpläne, Krankheitsmeldungen und Einladungen zu Apéros, Raclette Essen und Basketball Trainings dabei; im Weiteren Absagen auf Blindbewerbungen und Mitteilungen zu Entlassungen von Mitarbeitern. Zudem umfasst der Schriftverkehr Angebote zu Weiterbildungskursen sowie Abhandlungen, wer ein Swisscom Geschäftsauto ohne Firmenlogo fahren darf, welche Fahrzeuge beschädigt und welche im Service sind. Die Korrespondenzen verraten, für welche Unternehmen die Swisscom Server überwacht. Bedeutende Firmennamen tauchen in Adressen und Absendern auf, Aufträge werden in Dokumenten definiert. Georg Göbel Beruf Wissenschaftlicher Mitarbeiter für Medizinische Informatik und Statistik an der Medizinischen Universität Innsbruck Department für Medizinische Statisitik, Informatik und Gesundheitsökonomie Zertifizierter Auditor für Datenschutz und Informationssicherheit (ISO 27001) Allgemein beeideter & gerichtlich zertifizierter Sachverständiger Background Studium Mathematik & Informatik Universität Innsbruck Zertifikat Auditor ISO 27001 (CIS) Berechtigungsprüfung Technisches Büros (Eine) Eigenschaft: Chronische Paranoia und pathologische Misstrauensanfälle 5 3
Sieht so Ihr Büro aus? Verhältnis von Informationssicherheit (IT-Sicherheit) und Datenschutz (Privacy) Daten-/InformationsSICHERHEIT DatenSCHUTZ Sicherstellung der Verfügbarkeit, Vertraulichkeit, Integrität von wertvollen Daten bzw. Informationen aus Sicht der Unternehmenssicherheit IT-Sicherheit: behandelt vorrangig technische Fragen: z.b.: Datensicherung, Verschlüsselung, Katastrophenschutz (Datenwiederherstellung) Zugriffsschutz Protokollierung Rechteverwaltung Datenbeschädigung Datenverlust Passwörter Grundrechtliche Fragen: Personenbezogene Daten Informationelle Selbstbestimmung Zweckbindung, Meldepflicht, Auskunfts-/löschpflicht Offenlegungspflicht 4
Datenschutz? Das Grundrecht auf Datenschutz ist ein Persönlichkeitsrecht Datenschutz bedeutet, Menschen die ein Geheimnis haben, davor zu schützen, dass ihr Geheimnis preisgegeben wird. Datenschutz bedeutet, sich so zu verhalten, dass das entgegengebrachte Vertrauen anderer nicht enttäuscht wird. Datenschutz bedeutet auch, dass, wenn Daten weitergegeben werden, darauf zu achten, dass das Recht auf Geheimhaltung so weit wie möglich gewahrt bleibt. 8 Informationssicherheit Sicht des Unternehmens auf die unternehmenseigenen Daten Sicherstellung von Vertraulichkeit Integrität Verfügbarkeit Yes, we scan! 5
Aspekte bei (personenbezogenen) Informationen Prozesse und (interne) Regelungen zb Bewerbungen Kunden-/Klientenakten Personaldaten Wer erfasst / verarbeitet Daten über Personen? MitarbeiterInnen Sekretariat Auftraggeber Infrastruktur zb Zugänge PCs /Serverraum Sicherheit Rechtsgrundlagen zb Gesetze Vereinbarungen Verträge Personengruppen MitarbeiterIn Kunde / Klient Externe SteuerberaterIn Lieferanten FördergeberIn 6
Wo ist der Datenschutz geregelt? EU: EU-Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Neue Richtlinie in Arbeit Österreich: Datenschutzgesetz 2000 - DSG 2000 vom 17.8.1999 / 2010 novelliert + Novellen / Verordnungen In zahlreichen anderen Gesetzen und Standesrichtlinien: z.b. Verschwiegenheitsverpflichtung bei Steuerberatern, Anwälten Ärztegesetz, Psychotherapiegesetz etc. 12 DSG 2000 Grundrecht auf Datenschutz (Verfassungsbestimmung) 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. (2)... Einschränkungen nur zur Wahrung wichtiger öffentlicher Interessen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden. 13 7
Grundrecht auf Datenschutz ØZustimmung des Betroffenen Øseine lebenswichtigen Interessen Øüberwiegende berechtigte Interessen eines anderen ØEingriff einer staatlichen Behörde gemäß dem Gesetz nach 8 EMRK Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. 14 (Personenbezogene) Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Sensible Daten ( besonders schutzwürdige Daten'' ) Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben 15 8
direkt personenbezogene Daten = Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist Bsp: Klientenkartei indirekt personenbezogene Daten = wie A, aber die Identität des Betroffenen ist mit rechtlich zulässigen Mitteln nicht mehr bestimmbar Bsp: Sozialversicherungsnummer, Autokennzeichen anonymisierte Daten = es gibt keinen Personenbezug, daher nicht datenschutzrelevant 16 Sensible Daten Daten natürlicher Personen über ihre rassische und ethnische religiöse oder philosophische Herkunft Überzeugung politische Meinung Gesundheit Gewerkschaftszugehörigkeit oder ihr Sexualleben sind SENSIBLE DATEN = BESONDERS SCHUTZWÜRDIG Der Sicherheitsstandard sollte den verwendeten Daten angemessen sein! 17 9
Verarbeiten von Daten + Übermitteln von Daten = Verwenden von Daten ist das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten; ist die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers ist jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten als auch das Übermitteln von Daten Betroffener jede vom Auftraggeber verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden. Auftraggeber natürliche oder juristische Personen, wenn sie die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Dienstleister natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten, die ihnen zur Herstellung eines aufgetragenen Werkes überlassen wurden, verwenden. 19 10
Wer ist bei Projekten der Auftraggeber? Warum ist diese Frage wichtig? Vielzahl an Rechten und Pflichten: Meldepflicht an Datenschutzregister sofern keine Ausnahme besteht Informations- und Auskunftspflicht gegenüber Betroffenen Abschluss von Dienstleistungsverträgen Verantwortlich für Datensicherheit, (Datenschutzverpflichtungserklärungen Mitarbeiter, Datensicherung...) Ist der Fördergeber oder der Projektträger Auftraggeber: Hat eine Institution (Verein) gemeinsam mit anderen Einrichtungen die Entscheidung getroffen, die Daten für einen bestimmten Zweck zu verarbeiten und dafür um Fördermittel beim AMS oder Bundessozialamt anzusuchen, so ist dieser Verein Auftraggeber Anders bei Auftragsprojekten nach Ausschreibungen des AMS etc. 20 Daten von Kunden KlientInnen Achtung bei Gesundheitsdaten! Informationen über Menschen mit körperlichen, geistigen Behinderungen, psychische und körperliche Erkrankungen eindeutig sensible Daten nach dem DSG erhöhter Datensicherheitsstandard vorgeschrieben (Vertraulichkeit, Integrität, Verfügbarkeit) Vorsicht bzgl. der MitarbeiterInnen Aufklärung, Sensibilisierung bei Arbeitsbeginn Datenschutzerklärung unterschreiben lassen > Personalakt Regelmässige Schulungen 21 11
Grundsätze beim Umgang mit personenbezogenen Daten Zweckbindung Treu und Glauben Wesentlichkeitsgrundsatz Sachliche Richtigkeit und Aktualität Datenlöschung 22 Zweckbindung Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden. Beispiele: Protokolle von Gesprächen mit Kunden (Re-)Integration in den Arbeitsmarkt Integrationsberatung für MigrantInnen Coaching von Menschen mit Behinderungen 23 12
Zustimmung der Betroffenen Sehr strenge Judikatur des OGH Der Betroffene muss die Zustimmungserklärung verstehen, um rechtlich verbindlich zustimmen zu können. Zustimmung ist die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt. Wenn der Betroffene nicht zustimmen kann, so muss die Zustimmungserklärung des rechtlichen Vertreters eingeholt werden. Die Zustimmungserklärung muss genau enthalten: Datenarten Zweck Empfänger 24 Prüfung vor Datenverwendung 1. Prüfung der Grundsätze nach 6 DSG 2000 + 2. Prüfung der Zulässigkeit der Verwendung ØTreu und Glauben Øfestgelegter, eindeutiger und rechtmäßiger Zweck Ønicht über den Zweck hinaus Øsachlich richtig und am neuesten Stand ØAufbewahrung nur solange als nötig A) Berechtigung des Auftraggebers vorhanden B) Schutzwürdige Geheimhaltungsinteressen des Betroffenen 7 DSG bei nicht-sensiblen Daten nicht verletzt 8 DSG bei sensiblen Daten nicht verletzt 9 DSG 25 13
Zusätzliche Prüfung bei Übermittlungen Hat der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis - soweit diese nicht außer Zweifel steht - im Hinblick auf den Übermittlungszweck glaubhaft gemacht? Werden durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt? Alternative: pseudonymisierte / anonymisierte Übermittlungen ACHTUNG!! bei der Zusammenführung von anonmyisierten Dateien und Befragungen 26 Fragen zur Umsetzung? Welche personenbezogenen Daten werden verarbeitet? Gibt es dafür rechtliche Grundlagen? Erfassung aller relevanten Personen(-gruppen), die die Daten verwenden Erklärungen und Schulungen dieser Personen (Zustimmung, Verschwiegenheit, Werkverträge etc.) Meldepflicht an das Datenverarbeitungsregister Maßnahmen zur Datensicherheit Personal (Ursache von 70% aller Sicherheitsvorfälle) IT-Infrastruktur / Netzwerk (Firewall) Softwaresicherheit (z.b. Malware) Datenspeicherung (Cloud?) Datenarchivierung (Verfügbarkeit nach Jahren!) Reparaturen / Entsorgung (Festplatten) 14
Meldepflicht? 17 DSG: Jeder Auftraggeber hat, soweit in den Abs 2 und 3 nicht anders bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Ausnahmen: veröffentlichte Daten anonyme Daten Daten, die unter eine Standardanwendung fallen... Bei kundenorientierten Projekten im Normalfall Meldepflicht gegeben. 28 Kunden KlientInnen Zustimmungserklärung(en) der Personen (Achtung auf Verständnis der Betroffenen!) Aufnahme von Datenschutzthemen in AGBs oder Beratungsverträge Geschützte Gesprächsatmosphäre Terminvereinbarungen, -kalender Diskreter, geschützter Zugang (Empfang, Wartebereiche) Besprechungsraum (Sichtschutz, Hörschutz, Mitschriften, Plakate etc.) Mitarbeiterbesprechungen - Fallbesprechungen Genaue Regelung der Datenweitergabe (welche Daten, an wen, auf welcher Rechtsgrundlage, Information des/der KlientIn) Aufbewahrung / Entsorgung der Falldokumentationen (Papier / digitale Version) Recht auf Auskunft, Änderung, Löschung (grundsätzlich 1x/J kostenlos, Fristen) 29 15
MitarbeiterInnen 14 Abs 2 Z 3 DSG Jeder Mitarbeiter ist über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften zu belehren. Zweck der Mitarbeiterbelehrung Die Sensibilität der Mitarbeiter soll erhöht werden Damit die Mitarbeiter Kenntnis erlangen, über den Datenschutz an sich, das Datengeheimnis und die Datensicherheitsvorschriften Nur durch verantwortungsvolle Mitarbeiter ist Datenschutz realisierbar. Das technisch aufwendigste Sicherheitssystem bringt nichts, wenn es nicht von den Mitarbeitern akzeptiert und umgesetzt wird Die häufigste Form der Datenschutzverletzung, nämlich im Gespräch Daten preiszugeben (Tratsch) soll stark reduziert werden. 30 Externe Fragen: Wer hat Zutritt zu den Räumlichkeiten (ev. ausserhalb der Öffnungszeiten)? An wen werden vertrauliche Unterlagen übermittelt? Sicherheit für Büros und Schreibtisch / Unterlagen Sicherheit bzgl. Computer und Netzwerk Wartung (intern, Fernwartung) Reparaturen (v.a. außer Haus) Entsorgung von vertraulichen Unterlagen, Datenträger Technischer / organisatorischer Datenschutz (Datensicherung, Backup, Firewalls TIPP: Aufnahme von Datenschutz - / sicherheitsthemen in Werkverträge bzw. Aufträge 31 16
Tipps und Unterlagen für die Umsetzung GoodPriv@cy Datenschutzgütesiegel der SQS ISO 27001 Zertifizierung ähnlich der ISO 9001 Unterlagen Broschüren der Wirtschaftskammer http://portal.wko.at/wk/format_detail.wk?angid=1&stid=505419&dstid=6841 Österreichisches Sicherheitshandbuch http://www.a-sit.at/pdfs/oe-siha_i_ii_v2-3_2007-05-23.pdf Grundschutzkataloge des BSI https://www.bsi.bund.de/cln_156/de/themen/itgrundschutz/itgrundschutzstandards/ ITGrundschutzStandards_node.html IEC / IS0 27001 ff (kostenpflichtig) In diesem Sinn Gelebter Datenschutz ist gelebtes Qualitätsmanagement. Die Qualität Ihrer Dienstleistung ist ein wichtiger Erfolgsfaktor für Ihre Institution. Menschen sollen Ihrer Dienstleistung vertrauen. Vertrauenswürdige Institutionen verkaufen hochwertige Dienstleistungen. Gelebter Datenschutz stärkt das Vertrauen in Ihre Einrichtung Kontakt: Dr. Georg Göbel georg.goebel@i-med.ac.at 17