Datenschutzpolicy Rechtsfragen der Protokollierung Dr. Johann Bizer Stellvertretender Landesbeauftragter für den Datenschutz in Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz (ULD) Heinlein: Berlin, den 5. Dezember 2007
Das Unabhängige Landeszentrum für Datenschutz Anstalt des öffentlichen Rechts Aufsicht über Wirtschaft und Verwaltung Kontrollen und Beanstandungen Beratung Bürgerinnen und Bürger Wirtschaft und Verwaltungen Personal- und Betriebsräte ULDi Innovationszentrum Datenschutz
Die 7 Säulen des ULD Prüfung Primäre Adressaten: Beratung Schulung inkl. DATENSCHUTZAKADEMIE Verwaltung Wirtschaft Bürger IT-Labor Modellprojekte Gütesiegel Wirtschaft, Wissenschaft, Verwaltung Audit
Datenschutzthemen im Projektbereich Identitätsmanagement (PRIME) Biometrie (FIDIS) Ubiquitäres Computing Privacy4DRM Verbraucherdatenschutzrecht Scoringverfahren Betrieb von AN.ON EuroPriSe
Datenschutz-Policy Datenschutz durch Recht Datenschutz durch Technik Datenschutz als Wettbewerbsfaktor Datenschutz durch Prozessmanagement
Datenschutz-Policy Prozessmanagement Technik Wettbewerb Recht
Datenschutz durch Recht Ziele Privatsphäre Informationelle Selbstbestimmung Vertragsfreiheit Vertraulichkeit Instrumente Gesetze Einwilligung Betriebsvereinbarungen Dienst- und Arbeitsanweisungen
Datenschutz durch Technik Ziel: Datenschutzgerechte Technikgestaltung Privacy Enhanced Technologies (PET) Mittel: Systemdatenschutz Konzeptgestaltung Beispiel: Revisionssichere Protokollierung Beispiel: Kundendaten-Konto Datensicherheit / IT-Sicherheit Mittel: Selbstdatenschutz Verschlüsselung durch Nutzer Anonymisierung (JAP AN.ON)
Datenschutz durch Wettbewerb Ziel Anreize für Investitionen in den Datenschutz Belohnung durch Zertifikat Werbewirksamkeit nach Innen und Außen Zertifikate für IT-Sicherheit ISO 27001 / ISO 17799 IT-Grundschutz des BSI Datenschutz-Gütesiegel für Produkte: Privacy incide Zertifizierungen sind freiwillig!
ULD Gütesiegel IT-Produkt oder Dienstleistung Anerkannte/r Gutachter prüft Produkt oder Dienstleistung Verleihung des Gütesiegels Akkreditierte Zertifizierungsstelle überprüft Gutachten
Datenschutz-Gütesiegel SH Qualitätssicherndes Verfahren Äquivalentes Verfahren wie BSI-Zertfizierung Veröffentlichter Kriterienkatalog (Orientierung an CC) Akkreditierte Gutachter zertifizieren im Auftrag des Herstellers ULD zertifiziert nach Prüfung der Gutachten Seit 2003 in Schleswig-Holstein knapp 40 Gütesiegel 2004: Europ. Innovationspreis für SH 2/2007: Internationale Anerkennung Gütesiegel an Microsoft für Windows Update-Server 2007/2008: EuroPrise Auftrag der EU-Kommission an ULD und Partner das GütesiegelKonzept SH europäisch auszurollen
Seals from Schleswig-Holstein
Erfahrungen aus Schleswig-Holstein Über 30 akkreditierte Gutachter Anträge von kleinen, mittleren und großen internationalen Unternehmen Über 40 zertifizierte Produkte seit 2003
Datenschutz-Gütesiegel nach Bereichen Sicherer Internetanschluss: Archivierungssystem: E-Government-Anwendung: Sozialdatenverarbeitung: Medizinbereich: Datenträgervernichtung: Verwaltungsdokumentation: Bonuskarten: Sonstiges: Rezertifizierungen: 4 3 6 5 8 5 9 1 6 15
Datenschutz-Gütesiegel nach Bundesländer Schleswig-Holstein: Nordrhein-Westfalen: Hamburg: Berlin: Niedersachsen: Bremen: Bayern: 1 Sachsen: Sachsen-Anhalt: Brandenburg: USA: 15 12 7 3 2 1 1 1 2 2
Datenschutz durch Prozessmanagement Was bedeutet Prozessmanagement? = Aufbau- und Ablauforganisation Wer macht was unter welchen Voraussetzungen! Sicherheitsmanagement (BS 100-2) Regelung der Verantwortlichkeiten und Aufgaben Regelung der Abläufe bei Sicherheitsvorfällen Datenschutzmanagement Controlling der Aufgaben und Verantwortlichkeiten Controlling der Abläufe Voraussetzungen: - Organisation: Datenschutz- und Sicherheitsmanagement Prozesshandbuch: Abläufe modellieren (ITIL, Prince2 etc. etc.) Verbindlichkeit: Dienst-/Arbeitsanweisungen Werkzeugunterstützung (Beispiel: Ticketsystem)
Mittel: Auditierung von Verfahren Unternehmensinterne Audits Parallele zur Qualitätssicherung Riskmanagement: Vorsorge Compliance: Einhaltung der Vorgaben Management: Funktionsfähigkeit der Datenschutzorganisation Datenschutzaudit im Behördenbereich Schleswig-Holstein: Über 15 Auditverfahren im Behördenbereich Datenschutzkonformität von DV-Verfahren (Recht und IT-Sicherheit) Sicherheits- und Datenschutzmanagement
Datenschutz durch Recht Ziele Privatsphäre Informationelle Selbstbestimmung Vertragsfreiheit Vertraulichkeit Instrumente Gesetze Einwilligung Betriebsvereinbarungen Dienst- und Arbeitsanweisungen
Anwendungsbereich: Personenbezogene Daten Personenbezogene Daten sind Daten, die eine Person bestimmen Beispiel: Johann Bizer, Kiel Daten, die eine Person bestimmbar machen Beispiel: Stellvertr. LfD Schleswig-Holstein Bestimmbare Daten sind auch Anonymisierte Daten, wenn sie einer Person mit verhältnismäßigem Aufwand zugeordnet werden können Pseudonymisierte Daten (Zuordnungsregel) Umkehrschluss: Keine Pb Daten sind ausreichend anonymisierte Daten Rechtsgrundlage für Verarbeitung personenbezogener Daten
Datenschutz ist einfach: Sieben Goldenen Regeln Verantwortlichkeit Auftragsdatenverarbeitung 3. Rechtmäßigkeit Gesetz, Einwilligung, Vertrag 5. Einwilligung Freiwilligkeit, Informiert 7. Zweckbindung Bindung an Primärzwecke 9. Erforderlichkeit Art, Umfang, Dauer Löschung 11. Transparenz Unterrichtung, Information, Auskunft 13. Datensicherheit Risikoabschätzung / Sicherheitsmaßnahmen 15. Kontrolle Externe und Interne Datenschutzkontrolle
Fallbeispiel: IP-Adresse IP-Adressen sind personenbeziehbare Daten: Access Provider Zuweisung und Zuordnung durch Access Provider Gilt für statische und dynamische als IP-Adresse Web-Provider (Hosting) Zuweisung durch Zusammenarbeit mit Access Provider Selbst-Authentifizierung durch Nutzer Bspw.: Eintrag in Webformular Bspw.: Webmail (Beispiel: webmaster@domain.de) Hinweis: Verpflichtung durch Anbieterkennzeichnung Auf Verarbeitung von IP-Adressen findet Datenschutzrecht Anwendung
Rechtsgrundlagen für Verarbeitung von IP-Adressen Telekommunikationsgesetz (TKG) IP-Adressen ermöglicht den Zugang zum TK-Dienst TK-Dienste = Vermittlung / Übermittlung von Daten Zugang um Internet E-Mail Vorratsdatenspeicherung setzt Datensparsamkeit außer Kraft 6 Monate Speicherpflicht über Tatsache und Zeitpunkt der Zuweisung einer IP-Adresse zu einer Person Telemediengesetz (TMG) IP-Adresse ermöglicht die Nutzung von Telemedien Telemedien = Web-Angebote (Server Client) Abgrenzung: Inhaltsdaten BDSG Beispiel: Daten in einem Webformular
Protokollierung Für welchen Zweck werden an welcher Stelle personenbezogene Daten protokolliert? Zweck bestimmt die Erforderlichkeit, d.h. Art, Umfang und Dauer der Verarbeitung Zweck: Access (1) Dem Teilnehmer einen Zugang zum Internet verschaffen Zweck: Hosting (2) Dem Nutzer Web-Angebote bereitstellen
Access (1) Telekommunikationsgesetz Zugang zum Dienst verschaffen Verkehrsdaten nur soweit für Access erforderlich Löschung Ausnahme: Vorratsdatenspeicherung 6 Monate Abrechnung des Dienstes Abrechnungsdaten nur soweit für Abrechnung erforderlich Löschung Vertrag bestimmt Tarifierung (Beispiel flat rate) Betriebssicherheit nur soweit für Aufklärung / Prävention erforderlich Löschung Indikator: Praxis der Aufklärung vergangener Befunde Faustformel: Nicht mehr als 5 bis max. 10 Arbeitstage
Hosting (2) Telemediengesetz (TMG) Nutzung des Dienstes verschaffen Nutzungsdaten Löschung unmittelbar nach Nutzung Abrechnung des Dienstes Abrechnungsdaten nur soweit für Abrechnung erforderlich Löschung Tarifierung der Nutzung kostenpflichtiger Webangebote Achtung: TMG findet keine Anwendung auf Inhaltsdaten Betriebssicherheit nur soweit für Aufklärung / Prävention erforderlich Löschung Indikator: Aussagekräftige Aufklärung und Prävention Faustformel: Nicht mehr als 2 bis 5 Arbeitstage
Administration Besondere Zweckbindung von Logfiles Strikte Zweckbindung von Daten der Datenschutz- und (Betriebs)Sicherheitskontrolle ( 31 BDSG) Voraussetzung: Definierte Policies Datenschutz-Konsole Automatisierte Protokollauswertung Ampelfunktionalität Gestufte Speicherung Protokolldaten Tätigkeit der Kunden (Teilnehmer / Nutzer) Tätigkeit der Administratoren
Controlling der Administratoren Controlling der Administratoren Verwaltung von Admin-Rechten Verwaltung von Berechtigungen Revisionssichere Protokollierung der Admin-Tätigkeit Stichproben der Admin.-Tätigkeit Besondere Leistungs- und Verhaltenkontrolle Protokollierung als Nachweis professioneller Administration Regelmäßige Revision der Admin-Tätigkeit Soll-Ist Vergleich der aktuellen Admin-Accounts Befolgung der Passwort-Richtlinie
Verpflichtung zur Herausgabe Verpflichtung zur Datensparsamkeit Logfiles anonymieren bzw. löschen, sobald möglich. Ausnahme Vorratsdatenspeicherung Internetprotokoll-Adresse des Teilnehmers Eindeutige Kennung des Anschlusses der Internetnutzung Beginn und Ende der Internetnutzung Auch Verbindungsversuche Verpflichtung zur Herausgabe gespeicherter Logfiles An Strafverfolgungsbehörden ( 100 g, h StPO) Richterlicher Beschluss / Staatsanwaltschaft Gefahr im Verzug Nachrichtendienste (G-10 Beschluss) Vorsorge: Unternehmensinternen Prozess definieren Rechtabteilung / Rechtsanwalt einschalten
Verpflichtung zur Herausgabe von Bestandsdaten Verpflichtung zur Speicherung von Bestandsdaten Daten aus Vertragsverhältnis 2 Jahre Auskunft über Kunden gegenüber Bedarfsträgern Polizei, Staatsanwaltschaften, Nachrichtendiensten Zur Erfüllung ihrer Aufgaben ( )
Was ist zu tun? Datenschutz-Policy für Protokollierung Fokus: Nutzer / Kunden Fokus: Administration Datensparsamkeit Revisionsichere IT-Administration Identifizierung der gesetzlichen Verpflichtungen Vorratsdatenspeicherung Herausgabepflichten Aufsetzen eines Datenschutz- und Sicherheitsmanagements Aufgaben / Rollen Prozessbeschreibungen Kommunikation der Datenschutz-Policy an Kunden
Verpflichtung zur Vorratsdatenspeicherung Telefon / Mobilfunk / Internettelefonie Rufnummern der Anrufer / Angerufenen (Um- und Weiterleitung) Beginn und Ende der Verbindung Genutzte Dienste Bei Mobilfunk Kennung der Mobilfunkkarte Kennung der anrufenden / angerufenen Endgeräte Funkzelle Internet-Telefonie Internetprotokoll-Adresse
Verpflichtung zur Vorratsdatenspeicherung Anbieter von E-Mail E-Mail-Adresse / Benutzerkennung des Absenders E-Mail-Adresse des Empfängers Internetprotokoll-Adresse des Absenders Beginn und Ende der Nutzung des Dienstes Anbieter von Internetzugangsdiensten Internetprotokoll-Adresse des Teilnehmers Eindeutige Kennung des Anschlusses der Internetnutzung Beginn und Ende der Internetnutzung Jeweils auch Verbindungsversuche
Verwendungszwecke Auskünfte aus Vorratsdaten für Zwecke zukünftiger Auskunftsbegehren Für Zwecke der Straftatverfolgung Für Zwecke der Gefahrenabwehr Für Zwecke der Nachrichtendienste Forderung: Erfüllung zivilrechtlicher Auskunftsansprüche wegen Verletzung von Urheberrechtsansprüchen. Erste Kritik: In der Praxis fehlt es bereits heute an der gebotenen verfahrensrechtlichen Disziplin
Kritik Speicherung auf Vorrat zu unbestimmten Zwecken Millionen von Daten Verstoß gegen Verbot der Vorratsdatenspeicherung Milderes Mittel: Quick Freeze im Einzelfall Kein Schutz besonderer Geheimnisse Ärzte, Strafverteidiger, Seelsorger, Journalisten Kein Schutz der Unabhängigkeit des Abgeordnetenmandats Keine Dokumentationspflicht der Abfragen
Kontakt Dr. Johann Bizer Unabhängiges Landeszentrum für Datenschutz (ULD) 24103 Kiel, Holstenstraße 98 Telefon0431/988-1286 Telefax 0431/988-1223 E-Mail bizer@datenschutzzentrum.de Internet www.datenschutzzentrum.de