Workshop IT-Sicherheit für Rechtsanwälte
Rechtsanwalt Zertifizierter Datenschutzbeauftragter (TÜV) Stellv. Vorsitzender der davit.de Leiter AG Recht, TeleTrusT Lehrbeauftragter der TH Wildau zum IT-Recht Auditor datenschutz cert GmbH Sachverständiger für IT-Produkte beim ULD S-H Schlichter IT-Recht der IHK Berlin
Agenda 1. IT-Sicherheit und der Rechtsanwalt 2. IT-Sicherheit und Datenschutzrecht Technische und organisatorische Maßnahmen (TOM) Der Datenschutzbeauftragte Die Auftragsdatenverarbeitung (ADV) am Bsp. Cloud Computing 3. Social Media, E-Mailing, Signatur, ERV 4. Risiken 5. Praktische Umsetzung + IT-Sicherheitscheck
Anlass dieser Veranstaltung BMWi: Initiative Task Force IT-Sicherheit in der Wirtschaft unterstützt Unternehmen beim sicheren Einsatz von IKT Task Force arbeitet mit Verbänden, privater Wirtschaft und Wissenschaft zusammen Möglichkeiten der IKT versus Gefahren Grundlagen für mehr IT-Sicherheit schaffen, insbesondere für KMU
Ein weiterer Anlass
Berliner Beauftragter für Datenschutz und Informationsfreiheit Vor dem Hintergrund der aktuellen Berichte zu den Ausspähungen durch den US-amerikanischen Geheimdienst National Security Agency und unabhängig davon, ob durch Safe Harbor, Standardvertragsklauseln, Individualverträge oder verbindliche Unternehmensregelungen ein angemessenes Datenschutzniveau bei den Datenempfängern in den USA gewährleistet werden soll, bitten wir Sie mitzuteilen, ob und welche Maßnahmen die [ ] GmbH ergreift, um unverhältnismäßige Zugriffe der US- Sicherheitsbehörden auf die in die USA übermittelten Daten zu verhindern.
Rechtsanwälte/-innen Multiplikatoren für den Mittelstand ca. 65.000 Berufsträger über die örtlichen Anwaltsvereine organisiert Anwaltschaft ist kompetenter Ansprechpartner für den Mittelstand Gute Flächendeckung Hohe Qualifikation Erwartungshaltung der Mandanten Doppelnutzen Verantwortung für die eigene Kanzlei und das Mandatsgeheimnis Einfluss auf Maßnahmen / Sensibilisierung der KMU über das Mandat Planmäßige Auseinandersetzung mit IT-Sicherheit 7
Anwaltliche Beratung: Schlüssel zur mehr IT-Sicherheit? Beschäftigung mit IT-Sicherheit fördert die Sicherheit in der eigenen Kanzlei Berufsträger benötigen verlässliche und sichere Mandantendaten für ihre tägliche Arbeit Kenntnisse zur IT-Sicherheit runden das Profil der Anwaltskanzlei als vertrauenswürdiger Berater in Grundsatzfragen ab Sichert das Mandatsverhältnis 8
IT-Sicherheit und Datenschutz Daten sind Kern der anwaltlichen Arbeit. Verlust bedeutet: Ausfall von Einnahmen Wiederbeschaffungs- / Wiederherstellungskosten Haftung gegenüber Mandanten ggf. berufsrechtliche Folgen Strafbarkeit Imageverlust und Ende von Mandatsverhältnissen Aufgabe Datenschutz schaffen und personell besetzen IT-Beschaffung, IT-Betreuung und Einsatz vor Ort in der Kanzlei und mobil Berufsträger als Vorbilder 9
IT-Sicherheit und Datenschutz Daten in der Kanzlei: Beschäftigtendaten Mandantendaten und Informationen (personenbezogene Daten, besondere personenbezogene Daten, Know How, IP) personenbezogene Daten sonstiger Beteiligter Know How, Vorlagen, Muster etc. Zugangsdaten zu Recherchetools Kontaktdaten außerhalb des Mandats Eigene wirtschaftliche Kennzahlen Fristen Altakten und Archivdaten (Originale / Titel) angemessen technisch und organisatorisch sichern 10
IT-Sicherheit und Datenschutz Datenkategorien: Personenbezogene Daten 3 Abs. 1 BDSG Personenbeziehbare Daten 3 Abs. 1 BDSG Besondere Arten personenbezogener Daten 3 Abs. 9 BDSG Anonymisierte Daten 3 Abs. 6 BDSG Pseudonyme 3 Abs. 6 a BDSG 11
IT-Sicherheit und Datenschutz Datenerhebung/ -verarbeitung/ -nutzung 12
Datenvermeidung Datensparsamkeit Generelles Verbot mit Erlaubnisvorbehalt Zweckbindung Transparenz
IT-Sicherheit und Datenschutz Verbotsprinzip ( 4 BDSG) Prinzip der Direkterhebung ( 4 Absatz 2 BDSG) Prinzip der Zweckbindung ( 14 und 28 ff., 39 BDSG) Einwilligung ( 4 und 4 a BDSG) Datenvermeidung ( 3 a BDSG) Datensparsamkeit ( 3 a BDSG) Datensicherheit ( 9 BDSG nebst Anlage) 14
IT-Sicherheit und Datenschutz Anwaltliche Datenverwendung 28 I Nr. 1 BDSG 15
IT-Sicherheit und Datenschutz Maßnahmen 1. TOM 2. Datenschutzbeauftragter / Meldepflicht 3. Verfahrensverzeichnis 4. Schulungen / Datenschutzverpflichtung 5. Vertragsmanagement 6. Dokumentation 7. Audit / Zertifizierung 8. Krisenmanagement 16
IT-Sicherheit und Datenschutz Technische und organisatorische Maßnahmen 9 BDSG, Anlage zum BDSG 17
IT-Sicherheit und Datenschutz Maßnahmen nach 9 BDSG und Anlage: [ ] Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 18
IT-Sicherheit und Datenschutz 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 19
IT-Sicherheit und Datenschutz 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. (Trennungsgebot). 20
IT-Sicherheit und Datenschutz Datenschutzkontrolle 4 f BDSG: Datenschutzbeauftragter 4 d BDSG: Meldepflicht 4 d Abs. 5 BDSG: Vorabkontrolle 4 g II S. 1 BDSG: Interne Verarbeitungsübersicht 4 g II S. 2 BDSG: Öffentliches Verfahrensverzeichnis (Jedermannsverzeichnis) [ 9 a BDSG: Datenschutzaudit] [Stiftung Datenschutz] Rechte der Betroffenen 19 21, 33-35 BDSG Informationspflicht bei Datenpanne 42 a BDSG Zertifizierung / Gütesiegel 21
IT-Sicherheit und Datenschutz 4 f BDSG: Datenschutzbeauftragter Verpflichtung: Grundsatz Monatsfrist Ausnahme Vorabkontrolle Person des Datenschutzbeauftragten Fachkunde Zuverlässigkeit intern / extern 22
IT-Sicherheit und Datenschutz 4 f BDSG: Datenschutzbeauftragter Ausübung: Weisungsfreiheit Unmittelbar der Leitung unterstellt Kündigungsschutz Fort- und Weiterbildung Räume, Einrichtungen, Geräte, Mittel, Hilfspersonen Verschwiegenheit als Datenschutzbeauftragter Zeugnisverweigerungsrecht Beschlagnahmefreiheit 23
IT-Sicherheit und Datenschutz Datenschutzbeauftragter Datenverarbeitende Personen vertraut machen 4 g Abs. 1, 4 Nr. 2 BDSG Datenschutzkenntnis sicher stellen 4 g Abs. 2 a BDSG 5 Verpflichtungsverfahren 24
Cloud Computing
Cloud Computing Deutschland sicher im Netz e.v. Software as a Service Platform as a Service Infrastructure as a Service SaaS Anwendung Entwickl.- Umgebung Anwendung Virtualisierte Server Bsp: Google Docs, Basecamp, Salesforce.com Bsp. Windows Azure Plattform, Google App-Engine Bsp. Amazon web services wie EC2 27
Die Auftragsdatenverarbeitung (ADV) 28
Cloud Service Provider Subunternehmer des CSP Verantwortliche Stelle Personenbezogene Daten Betroffener
IT-Sicherheit und Datenschutz Auftragsdatenverarbeitungsvertrag Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 30
IT-Sicherheit und Datenschutz 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 11. Informationspflichten nach 42 a BDSG 31
IT-Sicherheit und Datenschutz Testierung Auditoren, Sachverständige, Rechtsanwälte, IT-Sicherheitsbeauftragte, Wirtschaftsprüfer, etc. Auditierung / Zertifizierung BSI IT-Grundschutz, ISO 27001 datenschutz cert, DEKRA, TÜV EuroCloud Star Audit Europrise ULD Schleswig-Holstein // Risikoabwägung und Nebenziele // 32
EU - EU/ EWR EU - Drittland
Anforderungen an die Datenübermittlung aus EU-Mitgliedstaat in Nicht-Mitglied der EU/ des EWR 1. Kein bereichsspezifisches Verbot 2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen 3. Angemessenes Schutzniveau Sicheres Drittland (z.b. Kanada, Schweiz) EU Standardvertragsklauseln (EU-Model Clauses) Binding Corporate Rules (BCRs) Safe Harbor (nur USA) nach NSA?
Cloud Computing - Datenschutzbehörden Düsseldorfer Kreis Entschließungen, insbes. vom 28./29. September 2011 Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group Datenschutz darf nicht in der Wolke verdunsten! Sopot Memorandum zum Cloud Computing, 27.04.2012 Cloud-Nutzung darf DS nicht mindern Folgenabschätzung vor Nutzung Größtmögliche Transparenz und Kontrolle für Nutzer Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen Rechtlicher Rahmen zu überprüfen
Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 1 StGB: Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 3. Rechtsanwalt, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 36
Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 3 StGB:... Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. 37
Schutz eigener Daten und des Mandatsgeheimnisses Alles in der Cloud - auch die Kanzlei? Aktenverwaltung Terminverwaltung Video- / Telefon-/ Webkonferenzen Dokumenten-Sharing Recherchetools Diktat- / Schreibservice Archivlösungen Server- und Datensicherungslösungen 38
IT-Sicherheit und Datenschutz lokal & auf den mobilen Geräten verschlüsseln Löschfunktion bei Endgeräteverlust Verschlüsselte Cloud Beachte: Mit jeder Verschlüsselung ist ein Risiko des Datenverlustes verbunden, sofern es kein Duplikat des Schlüssels und/oder einen zweiten Zugriffsberechtigten gibt. und sogar verschlüsselt Telefonieren 39
IT-Sicherheit und Datenschutz 40
IT-Sicherheit und Datenschutz Vorsorge unverzichtbar, da nachholen unmöglich Datenverlust ist ggf. nicht revidierbar Haftungsrisiken Gewinn an Professionalität Mehrwert für die Mandanten 41
Die Auftragsdatenverarbeitung versus Funktionsübertragung 42
Social Media
44
Social Media Start AGB der Plattformbetreiber Profil, Impressum, Kontaktabgleich Nutzung Messaging Plug-in, Log-In, Check-In Betriebliche Maßnahmen Social Media Strategie Beschäftigtendatenschutz Exit
Elektronische Kommunikation in der Kanzlei E-Mail-Kommunikation De-Mail EGVP Elektronische Signatur und Verschlüsselung ftp-server Mandantenportale Social Media 47
Authentizität Email-Absender 48
Authentizität Email-Absender 49
Umgang mit Anhängen
EGVP-Domäne für Rechtsanwälte Rechtsanwaltskammern bürgen für die Eigenschaft und Identität der Anwälte/Anwältinnen, welche über diese Domäne Teilnehmer im EGVP werden Anwälte könnten untereinander über EGVP kommunizieren Beglaubigte Abschriften direkt über EGVP an den Gegenanwalt 52
DeMail-Dienste DeIdent: Dienst zur Online-Altersverifikation DeSafe: Datenarchiv Kombinierbar mit Signatur / Verschlüsselung der Dateien Sichere Anmeldung / Anmeldung ohne Sicherheit DeMail-Einschreiben DeMail-Adresse: Identifizierung über npa / elektronische Signatur / PostIdent 53
Risiken
Angriffe von außen
Gefahren von innen
Schäden durch höhere Gewalt
Organisatorische Mängel
Technische Mängel
Sie werden am wenigsten beachtet: Handhabungsfehler
Wie kommt es zum Schaden? Schäden an Software, Hardware und Daten Fehler von Software oder Hardware unzureichende Organisation Fahrlässigkeit DV-gestützte Angriffe Informationsabfluss durch EDV (PC/LAN/Internet) Schäden durch Vorsatz und Angriff Schadsoftware (Malware, Fakeware, Crimeware) Klassisches Ausspionieren Information aus Entsorgung von Notizen und Akten Information aus Entsorgung von Speichermedien (intern/extern) Information aus personellen Schwachstellen (Wer geht ein und aus?)
Auswirkungen von Angriffen Offenlegung vertraulicher Daten Finanzieller Schaden (Konto und Kreditkarten) Kompromittierte PCs (Fakeware, Malware, Crimeware) Identitätsdiebstahl Vorspiegelung falscher Daten Drohungen an Geschäftspartner, Einflussnahme, Spionage (Unternehmen, staatliche Stellen, Persönlichkeiten) Bsp.: Einsichtnahmen in Unterlagen zu Ausschreibungen/Entwicklungen, Offenlegung Einkommenssituation Mandant) Offenlegung des Vorfalls / Informationspflicht ( 42a BDSG)
Praktische Umsetzung
Sicherheit ist Chefsache Sicherheit ist Chefsache Ergänzen Sie Ihr Wissen zur Einhaltung der Datenschutz- und Sicherheitsanforderungen in Ihrer Kanzlei und schließen Sie mögliche Lücken durch geeignete Maßnahmen. Technische Schutzmaßnahmen alleine reichen nicht aus. Die Umsetzung und Einhaltung wird z. B. gewährleistet durch Festlegung klarer Verantwortlichkeiten und Sicherstellung der geeigneten Qualifikation Verbindliche Organisationsanweisungen für Mitarbeiter Laufende Sensibilisierung und Schulung der Mitarbeiter
IT-Sicherheitschecks Inhalt des IT-Sicherheitschecks Aufnahme wesentlicher Strukturdaten des Unternehmens zur Bestimmung des erforderlichen IT- Sicherheitsniveaus Feststellen des genutzten IT-Umfelds und ableiten möglicher IT-Sicherheitsrisiken Ziele des IT-Sicherheitschecks Liefert einen erster Überblick über den Stand der IT-Sicherheit in Ihrem Unternehmen Offenlegen möglicher IT-Sicherheitslücken und Handlungsbedarf Darlegen von Handlungsempfehlungen und Lösungsalternativen Wo finde ich den IT-Sicherheitscheck? http://www.dsin.de/sicherheitscheck
Sicherheitsniveau Investitionen und IT-Sicherheit 100%ige Sicherheit ist nicht erzielbar Schon mit relativ wenig Aufwand lässt sich viel erreichen Sicherheitsinvestitionen
Einschätzung des Risikoprofils Identifikation von Risikobereichen Kontrollen und Maßnahmen Umsetzung und Regelbetrieb 68
Einschätzen des Risikoprofils Compliance Reputation und Vertrauen Risikokriterien Betrieb Art, Umfang, Komplexität Finanzen 69
Wie geht es weiter? Mit Mandanten über IT-Sicherheit sprechen Analysieren und Optimieren Sie die für Ihre Kanzlei bestehenden / getroffenen IT-Sicherheitsvorkehrungen Starten Sie einen stetigen Verbesserungsprozess Helfen Sie Ihren Geschäftspartnern/ Mandaten, Mängel zu erkennen und zu beseitigen 70
Wie geht es weiter? Interne Regeln (QM-Maßnahmen) Zuständigkeiten & Zusammenarbeit regeln (Administrator, Sicherheitsbeauftragter, Datenschutzbeauftragter, Public Relations Management, Kanzleileitung) IT-Sicherheitsvorgaben / Datenschutzvorgaben / Prioritäten Schulungen (Digital Natives) Regeln für die private Nutzung der IT Krisenmanagement / Notfallpläne https://www.bsi.bund.de/de/themen/weiterethemen/itgrundschutzkataloge/hilfsmittel/musterundbeispiele/musterundbeispiele_node.html 71
To Do-Liste IT-Sicherheit Einsatz bedarfsgerechter und professioneller IT-Lösungen mit regelmäßiger Statuskontrolle (Einhaltung des Stands der Technik) Datensicherungskonzept und Backup einführen Spam- und Virenfiltern regelmäßig aktualisieren verschlüsselter Einsatz von WLAN Einführung eines Passwortmanagements Datenschutzregelungen einführen (Datenschutzbeauftragten bestellen) Verfahrensverzeichnisse/Datenschutzerklärungen 72
To Do-Liste IT-Einsatz Betriebsinterne Regelungen für die Email- und Internet- sowie Social Network-Nutzung einführen Einsatz ausreichend lizenzierter Software oder Freier Software und Nutzungsbedingungen einhalten Zulässigkeit des IT-Outsourcing / Cloud Computing prüfen Vertraulichkeits- und Geheimhaltungsvereinbarungen mit Dienstleistern, Subunternehmern treffen Einsatz der elektronischen Signatur und Verschlüsselung prüfen / sichere Kommunikation ermöglichen 73
Wie geht es weiter? Kleine Helfer auf dem Weg zu mehr IT-Sicherheit DsiN-Sicherheitscheck http://www.dsin.de/sicherheitscheck DsiN-Leitfäden, Checklisten zur IT-Sicherheit, Info-Material, etc. https://www.sicher-im-netz.de/downloads/125.aspx BMWi-Sicherheitsnavigator https://www.it-sicherheit-in-der-wirtschaft.de BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. http://www.bitkom.org BSI, Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de 74
Lesetipp: Praxisleitfaden Sichere Nutzung von Cloud-Anwendungen am Beispiel des TeleTrusT Bundesverband IT-Sicherheit e.v. www.teletrust.de
Der IT-Sicherheitsnavigator Ist ein kostenloses Informationsangebot des BMWi für Sie und Ihre Mandanten. Er bietet einen Überblick zu den Angeboten bestehender IT-Sicherheitsinitiativen. Über eine Suchfunktion können passende Angebote schnell und einfach gefunden werden. Der Navigator verlinkt beispielsweise auf Beratungsstellen in Ihrer Region, Basis-Sicherheitschecks, Veranstaltungsübersichten, Broschüren und Leitfäden zu Themen wie CloudComputing, Mobiles Arbeiten, Datenschutz uvm. Erreichbar unter www.it-sicherheit-in-der-wirtschaft.de Weitere Infomaterialien (z.b. Flyer, Broschüren) zum Verteilen an Ihre Mandanten können Sie per E-Mail kostenlos bestellen unter : taskforce.it-sicherheit@bmwi.bund.de 76
Ausblick
EU Datenschutzgrundverordnung EU NIS Richtlinie DE IT-Sicherheitsgesetz DE Beschäftigtendatenschutzgesetz DE Stiftung Datenschutz
Ausblick: EU Datenschutz-Grundverordnung Voraussichtliche Regelungen der DS-GVO: Grundprinzip Verbot mit Erlaubnisvorbehalt wird beibehalten, Art. 6 Einwilligung der Eltern bei unter 13-Jährigen für Onlinedienste, Art. 8 "Recht auf Vergessenwerden", Art. 17 Recht auf Datenübertragbarkeit, Art. 18 Privacy by Default, Art. 23 Pflichten bei Datenschutzverstößen verschärft, Art. 31 Betrieblicher Datenschutzbeauftragter für Unternehmen mit mindestens 250 Mitarbeitern bzw. wenn Datenverarbeitung Kerntätigkeit, Art. 35 79
Viel Erfolg!