Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Ähnliche Dokumente
Datenschutz eine Einführung. Malte Schunke

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Grundlagen des Datenschutz

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Monitoring und Datenschutz

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datenschutz und Datensicherheit in mittelständischen Betrieben

Meine Daten. Mein Recht

Datenschutz - Ein Grundrecht

Ansätze für datenschutzkonformes Retina-Scanning

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

1. Einführung. 2. Die Mitarbeiterübersicht

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

GPP Projekte gemeinsam zum Erfolg führen

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Datenschutz und Schule

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Datenschutz der große Bruder der IT-Sicherheit

ANYWHERE Zugriff von externen Arbeitsplätzen

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Der Schutz von Patientendaten

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Berechtigungsgruppen TimeSafe Leistungserfassung

Datenschutz-Unterweisung

Drei Fragen zum Datenschutz im. Nico Reiners

Kirchlicher Datenschutz

Anleitung WLAN BBZ Schüler

HSR git und subversion HowTo

Treckerverein Monschauer Land e.v.

Installationsanleitung CLX.PayMaker Home

SharePoint Demonstration

Datenschutz-Politik der MS Direct AG

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Einführung in den Datenschutz

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

UNIVERSITÄT ROSTOCK PERSONALRAT FÜR DIE WISSENSCHAFTLICH BESCHÄFTIGTEN (WPR)

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Netzwerkeinstellungen unter Mac OS X

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Quick Guide Mitglieder

Einführung in die Datenerfassung und in den Datenschutz

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

PC-Software für Verbundwaage

Mediumwechsel - VR-NetWorld Software

D i e n s t e D r i t t e r a u f We b s i t e s

Leitfaden für den Zugriff auf die SEB-Webseite. Anmelden, Kennwort ändern, mit- arbeiten und gestalten ;-)

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Das digitale Klassenund Notizbuch

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Handbuch Synology-Server Einrichten / Firewall

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Benutzerhandbuch - Elterliche Kontrolle

Installationsanleitung CLX.PayMaker Office

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

teischl.com Software Design & Services e.u. office@teischl.com

Installation & Konfiguration AddOn Excel Export Restriction

Einführung in die Datenerfassung und in den Datenschutz

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Kleines Handbuch zur Fotogalerie der Pixel AG

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Big Data, Amtliche Statistik und der Datenschutz

Update VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34.

Nicht über uns ohne uns

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Drägerware.ZMS/FLORIX Hessen

Beschaffung mit. Auszug aus dem Schulungshandbuch: Erste Schritte im UniKat-System

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Vernichtung von Datenträgern mit personenbezogenen Daten

Checkliste Überwachung der Arbeitnehmenden

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Der große VideoClip- Wettbewerb von Media Markt.

Transkript:

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Rechtsgrundlagen Personenbezogene Daten Datenschutz und IT-Datensicherheit Bundesamt für Sicherheit in der Informationstechnik Eckpunkte der Datensicherheit Datenschutz und Datensicherheit Zugang, Zutritt, Zugriffsrechte Kontrolle, Protokolle, Überwachung

1. Rechtsgrundlagen Die grundsätzlichen Rechtsgrundlagen für den Datenschutz lassen sich u. a. ableiten. Grundgesetz Artikel I (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. Artikel II (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. Bundesdatenschutzgesetz 3a Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. Volkszählungsurteil vom 15.12.1983 Das Recht auf informationelle Selbstbestimmung ist das Recht jedes Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Quelle: www.bfdi.bund.de Seite 3

2. Rechtsgrundlagen Rechtsgrundlagen für die Schulverwaltung. Gesetzliche Grundlagen Bundesdatenschutzgesetz gilt für Behörden und öffentliche Stellen des Bundes und gewerbliche Institutionen Datenschutzgesetz der Länder gilt für Behörden und öffentliche Stellen der Länder bereichsspezifische Vorschriften z. B. Schulgesetz, Verordnungen, Sozialgesetzbücher, Polizeigesetz usw. Verantwortung für die Einhaltung der rechtlichen Regelungen: Schulleitung Seite 4

2. Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über: Persönliche Umstände Z. B. Name, Anschrift, Familienstand, Geburtsdatum, Beruf, Fingerabdruck, persönliche Überzeugung, Bankverbindung, Beruf, Fotos. Sachliche Verhältnisse der Person Z. B. über Eigentumsverhältnisse, vertragliche Beziehungen und Verbindungen, Konsumverhalten, Kommunikationsverhalten. Bestimmbarkeit (Identifikation) einer Person Bestimmbar ist eine Person, wenn sie nicht über vorhandene Daten allein, jedoch mit Hilfe weiterer Merkmale identifiziert werden kann. Dies gilt für natürliche Personen nicht für juristische Personen. Art der Erfassung und Darstellung Dies gilt unabhängig von der Art der Erfassung, Technik und der Darstellung (wie z. B. Bilder, Texte, analoge oder digitale Verarbeitung). Seite 5

Telef on 3. Datenschutz und IT-Datensicherheit Wenn personenbezogene Daten mit Hilfe von Informationstechnologie verwaltet werden, ist die Frage der IT- Sicherheit mit zu beachten: IT-Sicherheit betrifft jeden, der mit Informationstechnologien arbeitet. IT-Sicherheit funktioniert am wirkungsvollsten, wenn in allen Bereichen und von allen Beteiligten ein verantwortungsvolles abgestimmtes Verhalten erfolgt. Außenverbindung Papier Datenträger Personen Software Daten Hardware PC, Monitor, Drucker, Router Gebäude Infrastruktur Räume Seite 6

4. Bundesamt für Sicherheit in der Informationstechnik Grundlagen, Fragen, Hinweise, Hilfen zur Erhaltung von Datenschutz und Datensicherheit - das BSI hilft. Angesichts der vielfältigen und wachsenden Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für alle Anwender hinsichtlich der Informationssicherheit die Fragen, wie kann ich mit welchen Mitteln mehr Sicherheit erreichen Das BSI stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, wie z. B. die BSI-Standards zum Informationssicherheitsmanagement, die IT- Grundschutz-Kataloge und das GSTOOL Dazu gehört aber auch die ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, die sowohl eine Prüfung des Informationssicherheitsmanagements als auch der konkreten Sicherheitsmaßnahmen auf Basis von IT-Grundschutz umfasst Seite 7

5. Eckpunkte der IT-Sicherheit Die IT-Sicherheit lässt sich mit folgenden Eckpunkten beschreiben Vertraulichkeit Sensible Daten (z. B. personenbezogen) müssen vertraulich bleiben und dürfen unberechtigten Personen nicht zugänglich sein Integrität Daten oder Systeme dürfen weder unberechtigt noch zufällig verändert oder gelöscht werden Authentizität Bei der Anmeldung an einem System, PC oder an einem IT-Verfahren wird die Identität der Person, die sich anmeldet, geprüft (Name und Passwort) und damit deren Berechtigung, auf bestimmte Daten oder Systeme zuzugreifen, nachgewiesen Verfügbarkeit Die Daten müssen an bestimmten Orten und zu bestimmten Zeiten zuverlässig verfügbar sein Seite 8

6. Datenschutz und Datensicherheit Sicherheitsstörungen können den Datenschutz auf unterschiedliche Art bedrohen: z. B. Unberechtigte Datenmanipulation Der Zugang zu einem IT-System erfolgt mit falscher Identität und Datensätze werden manipuliert (z.b. Noten) Geplanter Datenklau Daten werden aus dem System unberechtigt abgezogen und verwendet (z. B. Verkauf) Unbeabsichtigter Datenverlust aufgrund fehlerhafter Anwendung oder defekter Infrastruktur Elektronisch gespeicherte Daten stehen nicht mehr zur Verfügung, um Sachstand/Leistungsstand/Profil zu belegen Gestörter Zugriff auf die erforderlichen Daten in kritischen Phasen Erforderliche Zeugnisse können nicht gefertigt werden und verhindern bei den Betroffenen eine fristgerechte Bewerbung Vertrauliche Daten kommen in die falschen Hände Besonderer Förderbedarf wird bekannt gegeben und verhindert eine Einstellung Seite 9

7. Zugang, Zutritt, Zugriffsrechte Zugangsberechtigungen und Zugriffsrechte müssen geklärt sein. Maßnahmen zur Raum- und Gebäudesicherheit Es muss gesichert sein, dass der Zutritt zum Gebäude geregelt ist, Ausnahmen (z. B. Elternabende) müssen besonders beachtet werden Zugang zu Räumen mit IT-Infrastruktur Ausschließlich autorisierte Personen haben Zugang (dokumentierte Schlüsselvergabe) Unberechtigte Personen (z. B. Schüler) haben nur beaufsichtigten Zugang (Ausnahmen, z. B. für Reinigungspersonal, Wartung der Geräte etc. müssen gesondert geregelt werden) Bei Abwesenheit sind diese Räume (Fenster und Türen) verschlossen zu halten Anmeldung an das System Zur Authentifizierung erhält jeder zur Anmeldung an das System einen Benutzernamen mit Passwort Das Passwort muss nach dem ersten Login gewechselt werden Das Passwort muss vorgegebenen Regeln entsprechen Für das Passwort muss es ein Ablaufdatum geben Aufgabenbezogene Zugriffsberechtigungen innerhalb der Anwendung Trennung von Lese- Schreib- und Löschrechten Administrator dient ausschließlich der Nutzereinrichtung und Zuweisung von Rechten Ein Rollen- und Rechtekonzept regelt die aufgabenbezogenen Zugriffsberechtigungen der Nutzer Die Schulleitung legt die Zuweisung der Rollen und Personen fest Seite 10

8. Kontrolle, Protokolle, Überwachung (Programm)Technische Vorkehrungen müssen die Einhaltung der IT-Sicherheit kontrollieren, protokollieren und überwachen. Protokollierung und Meldung zum Anmeldeverhalten Welche User wurden mit welchen Rechten zu welchem Zeitpunkt eingerichtet Es wird angezeigt, wenn sich der User ordnungsgemäß (Abmeldefunktion) abmeldet Zugangsberechtigungen sollten bei länger währender Abwesenheit einer berechtigten Person vorübergehend gesperrt werden Protokollierung von Datenbankaktionen (schreiben, lesen, löschen) Welche Daten wurden von welchem User zuletzt verändert oder gelesen Sind (eventabhängig) auffällige Datenbankaktionen zu verzeichnen (penetrante Anmeldeversuche, unverhältnismäßige Löschvorgänge) Die Kontrolle der durchgängigen Protokollierung muss erfolgen (wie ist es bei Updates mit Systemneustart geregelt) Wer hat Zugriff auf die Protokolle und darf Auswertungen vornehmen Reaktion bei Auffälligkeiten unterscheiden sich nach der Sicherheitsrelevanz Bei sicherheitsrelevanten Vorkommnissen (Änderungen von Passwörtern, Anwenderrollen wurden verändert, Benutzer wurden gelöscht) muss eine automatische Information ausgelöst werden Datenveränderungen ohne unmittelbare Sicherheitsrelevanz werden für gezielte Analysen protokolliert (z. B. Änderungen von Leistungsdaten, Stammdaten, usw.) Seite 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback