DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN Was ist meine Grundlage für Speicherung von personenbezogenen Daten, was darf ich speichern und für wie lange? Hanno Wagner <rince@cccs.de>
WER BIN ICH? Hanno,Rince Wagner, arbeite in Stuttgart Seit 3 Jahren betrieblicher Datenschutzbeauftragter (für einen mittelständischen Konzern) Seit ca. 10 Jahren mit dem Thema vertraut (CCC, Fitug, EDRi et al)
WARUM ADMINISTRATOREN? Zugriff auf komplette Infrastruktur Zugriff auf die Rohdaten, auch bei Filesystemen und Datenbanken Wir bekommen die Daten leichter zu sehen als der Anwender
WARUM ADMINISTRATOREN? Zusammenführung möglich Statistiken möglich Kurz mal was nachschauen
QUINTESSENZ Wir sollten wissen was wir dürfen
BEISPIELE Mailserverlog Webserverlog Proxyserverlog
WEITERE BEISPIELE Active Directory Generell LDAP/NIS/NIS+/... Datenbank-Logins Fotos für den Firmenausweis oder von Firmenfeiern
WAS SIND PERSONENBEZOGENE DATEN? Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse beschreiben. Dabei muss nicht der Name bekannt sein, es reicht die Bestimmungsmöglichkeit der Person
ARTEN PERSONENBEZOGENER DATEN Einfache personenbezogene Daten Persönlichkeitsdaten Sensible Daten
THEORIE: GESETZE BDSG LDSG Spezielle Rechtsnormen wie TKG, TMG, Sozialgesetzbuch X, VDS
WAS GENAU WIRD GEREGELT? Umgang mit personenbezogene Daten in Deutschland In Europa einheitlich, einige zusätzliche Länder haben denselben hohen Standard (Island, Liechtenstein, Norwegen) Drittstaaten mit angemessenem Datenschutz-Niveau: USA mit Safe Harbour, Kanada teilweise, Argentinien, Vogtei Guemsey und Isle of Man
UNTERSCHIED USA <-> EUROPA Besitz der Daten Safe-Harbour
HIERARCHIE Öffentliche Einrichtungen des Bundes: Bundesbeauftragter für Datenschutz und Informationssicherheit Öffentliche Einrichtungen des Landes: LDSB Nicht-Öffentliche Einrichtungen: Das Innenministerium des Landes; kann dieses auch an den LDSB übertragen
KONTROLLORGANE In einer Firma oder Behörde: Der betriebliche/ bestellte Datenschutzbeauftragte Welche Firmen brauchen einen DSB? Ansonsten: Chef, Gruppenleiter, Bereichsleiter bis hin zum Vorstand
SAMMELN DER DATEN Erlaubnisvorbehalt Gesetzliche Vorgaben Öffentliche Quelle Vertrags- oder vorvertragsähnliches Verhältnis Abwägung Einwilligung
ZWECKBINDUNG Bevor die Daten gesammelt werden muss bereits festgelegt sein wofür die Daten gesammelt werden
AUFTRAGSDATENVERARBEITUNG Definition Auftragsdatenverarbeitung Zu beachten: Alle TOMs müssen vorher geprüft sein
TOMS Technisch-Organisatorische Maßnahmen: Definiert in 9 BDSG + Anhang Grundlage für das Verfahrensverzeichnis / öffentliche Verfahrensliste
MAßNAHMEN Zutrittsschutz Zugangsschutz Zugriffsschutz Eingabekontrolle Weitergabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Chinese Walls
VERFAHRENSLISTE Enthält alle notwendigen Daten um das Verfahren zu beschreiben welches die personenbezogenen Daten erfasst oder verarbeitet
INHALT VERFAHRENSLISTE Name oder Firma der verantwortlichen Stelle Inhaber / Leiter der verantwortlichen Stelle Anschrift Zweckbestimmung Beschreibung der betroffenen Personengruppen Empfänger oder Kategorie von Empfängern Regelfristen für Löschung der Daten geplante Datenübermittlung in Drittstaaten allgemeine Beschreibung
WAS TUN? Datensparsamkeit
DATENSCHUTZ UND DIE ARBEIT DES SYSADMINS Dürfen keine Logfiles mehr geschrieben werden? Wir brauchen sie aber! Marketing will Analysen fahren können
BACKUP Wird vom Gesetz nicht direkt erfasst. Man geht davon aus dass das Recovern von Daten aus dem Backup zuviel Aufwand ist als das dass unbeobachtet passieren kann.
FRAGEN? Ich bin unter <rince@cccs.de> zu erreichen, ansonsten bei der Diskussion hier