KFZ-Steuer per GPS? · 6 Datenschutz – seit dem 01.09.2009 •Strengere Regeln für den Adresshandel •Verschärfte Anforderungen an die Auftragsdatenverarbeitung •Aufnahme einer

1

Datenschutz im Unternehmen

Andreas Gabrielwww.meck-online.de und www.ec-net.de/sicherheit

KFZ-Steuer per GPS?

© A. Gabriel19. November 2009

Datenschutz im Unternehmen2

Quelle: http://www.datenschutz.de/news/detail/?nid=3952

2

Wie sicher ist Ihre Kreditkarte?

Überschrift:Hunderttausende Kreditkartenwerden getauschtwerden getauscht

Datum:19.11.2009

Inhalt (Auszug):- „In D werden immer mehr Kredit-

karten zurückgerufen“- „Alleine bei den Sparkassen sind



190.000 Karten betroffen (BR)“- „Verbraucherschützer üben

harsche Kritik an Banken“- Ein spanischer Abrechnungs-

dienstleister wurde attakiert.

Quelle: http://www.tagesschau.de/wirtschaft/kreditkarten140.html

Netzwerk Elektronischer Geschäftsverkehr-28 regionale Zentren in ganz

Deutschland

Das Netzwerk Elektronischer Geschäftsverkehr

Deutschland-1 Branchenzentrum „Handel“

mit Sitz in Köln-Projektträger:

Deutsche Gesellschaft fürLuft- und Raumfahrt (DLR)

-Förderung durch das BMWi

© A. Gabriel

Förderung durch das BMWi(Bundesministerium fürWirtschaft und Technologie)

http://www.ec-net.de

19. November 2009

4 Datenschutz im Unternehmen

3

Begleitprojekt „Sichere E-Geschäfts-prozesse in KMU und Handwerk“

D K i H dDr. Kai HudetzAndreas Duscha

Dagmar Lange

Ekkehard DiedrichHarald Kesberg



Andreas GabrielCarlottaHerberhold

Dagmar Lange(Projektleiterin)Prof. Dr.Günther Neef

Veranstaltungshinweise

Weitere Informationenund Anmeldungund Anmeldung

unterwww.meck-online.de

oder

MainfränkischesElectronic CommerceKompetenzzentrumK t f i I f ti t lt

© A. Gabriel

KompetenzzentrumMainaustraße 3397082 Würzburg

Tel.: 0931 / 4194-577E-Mail: [email protected]

Kostenfreie Informationsveranstaltung

Datenschutz im Handwerk –muss das wirklich sein?Donnerstag, 03. Dezember 2009von 18:00 bis 20:00 Uhr

19. November 2009


Roadshow durch Unterfranken

Elektronische Vergabe

Donnerstag, 25. November 2009in Schweinfurt

Dienstag, 08. Dezember 2009in Würzburg

jeweils von 16:00 bis 18:00 Uhr

4

Über meine Person• Studium der Betriebswirtschaftslehre an der

Universität Würzburg• Certified Lead Auditor ISO 27001• IRCA-Nr : 011 96 118 (http://www irca org)

Andreas GabrielJahrgang 1974

IRCA Nr.: 011 96 118 (http://www.irca.org)• Betrieblicher Datenschutzbeauftragter• Selbstverteidigungs- &

Selbstbehauptungslehrer

Der Schwerpunkt meiner Tätigkeit:„Der kreative Umgang mit dem Thema Sicherheit“

• Referent an verschiedenen IHKs und HWKs

© A. Gabriel

g g • Referent an verschiedenen IHKs und HWKs• Dozent an der Universität Würzburg;

u. a. beim Weiterbildungsstudiengang MBA Business Integration(http://www.businessintegration.de)

19. November 2009


Handreichungen unseres Projektes

LogistikÖffentliche Verwaltung

Finanzwesen & V i h

Automatisierungs-/WartungstechnikInformationstechnik

Mehr als 30

Maschinenbau 1Maschinenbau 2Maschinenbau 3

SondermaschinenbauTextilindustrie

VersicherungGesundheitswesenBranchen-

beispiele!

© A. Gabriel

Handwerk 1Handwerk 2

19. November 2009


Download unter: http://www.ec-net.de/sicherheit

EinzelhandelProduktion/Großhandel

AnlagenbauUmwelt-/Geotechniku. v. m.

IT-Sicherheit:Themenfokus DatensicherungThemenfokus Web 2.0Themenfokus M-Commerce

Sicherheit für Existenzgründer

5

Kenntnisse über die wesentlichen gesetzlichen Vorgaben zur IT-Sicherheit

48,7%

60%• Über 70 % der Befragten geben an,

die wesentlichen Vorgaben ganz oder zumindest teilweise zu kennen, d h d IT S h h f

22,5%

48,7%

20,8%20%

40%

die im Bereich der IT-Sicherheit für Sie gelten.

• Jeder fünfte Befragte kennt die gesetzlichen Vorgaben nicht.

© A. Gabriel

8,1%

0%ja teilweise nein weiß nicht

In Kooperation mit dem E-Commerce-Center Handel, Köln

Die ganze Studie finden Sie unter:http://www.ec-net.de/sicherheit

19. November 20099 Datenschutz im Unternehmen

Ein Beispiel:§43 GmbHG

(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwendenSorgfalt eines ordentlichen Geschäftsmannes anzuwenden.(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.(3) 1 Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des § 30 zuwider Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft gemacht oder den Bestimmungen des § 33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind. 2 Auf den Ersatzanspruch finden die Bestimmungen in § 9b Abs. 1 entsprechende Anwendung.3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich

© A. Gabriel

3 Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in 5 Jahren.

Quelle: http://www.gesetze-im-internet.de/gmbhg/__43.html

19. November 2009


6

Datenschutz – seit dem 01.09.2009

•Strengere Regeln für den AdresshandelStrengere Regeln für den Adresshandel•Verschärfte Anforderungen an die

Auftragsdatenverarbeitung•Aufnahme einer Grundsatzregelung zum

Arbeitnehmerdatenschutz•Ausbau der Sanktionsmöglichkeiten der

D h b hö d



Quelle: http://www.bfdi.bund.de/cln_118/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2009/PM_26_DatenschutzIstChefsache.html?nn=408908

Datenschutzbehörden•Stärkung der betrieblichen Datenschutzbeauftragten

Mögliche Konsequenzen – auch für Ihr Unternehmen?

Titel: Lidl muss Millionen-Strafe zahlen

Erscheinungsdatum:11. September 2008

Inhalt:-„illegale Bespitzelung

der Mitarbeiter“- Strafe in Höhe von



Quelle: http://www.stern.de/wirtschaft/news/unternehmen/ueberwachungsskandal-lidl-muss-millionen-strafe-zahlen-638756.html

-„Strafe in Höhe von 1,462 Mio. Euro“

-„Konzern hatte schon zuvor Besserung gelobt“

7

Der Datenschutz in der Presse 1/3

Überschrift:Bundestag verschärft Datenschutz

Datum:Datum:03.07.2009

Inhalt (Auszug):- Persönliche Daten zukünftig

unter höherer Kontrolle.- Einwilligung des Betroffenen ist

obligat.- Adressweitergabe und -handel

© A. Gabriel

Quelle: http://www.spiegel.de/politik/deutschland/0,1518,634247,00.html

19. November 2009


d ess e te gabe u d a dewird erschwert.

- Regelmäßige Kontrolle, obDatenschutz und Datensicher-heit „gut genug“ sind.

Der Datenschutz in der Presse 2/3

Überschrift:Eingeschränkter Datenschutz


Inhalt (Auszug):- „Spickmich“ war auf dem Prüf-

stand beim BGH.- BDSG ist nur eingeschränkt auf

dieses Bewertungsportal anwendbar.

© A. Gabriel

Quelle: http://www.spiegel.de/netzwelt/web/0,1518,635584,00.html

19. November 2009


a e dba- Die Bewertung erfolgt anonym.

8

Der Datenschutz in der Presse 3/3Überschrift:Abmahnung gegen soziale Netzwerk


Inhalt (Auszug):- Es erfolgte eine Abmahnung von

Verbraucherschützer gegen ausge-wählte soziale Netzwerke.

- Hintergrund: Es wird mehr Daten-schutz gefordert.

© A. Gabriel

Quelle: http://www.spiegel.de/netzwelt/web/0,1518,636092,00.html

19. November 2009


sc ut ge o de t- Es wurde ein Forderungspapier

erstellt, mit dem die Betreiber zu einem höheren Level im Beriech des Datenschutzes aufgefordert werden (sollen).

Meldung vom 16.10.2009



Quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,655703,00.html

9

Diese Sicherheitslücke wurde hier veröffentlicht

TitelDatenleck bei SchülerVZ

VeröffentlichtFreitag, 16.10.2009; 16:38 Uhr

Inhalt-Viele Datensätze von SchülerVZwurden diesem Betreiber zuge-spielt-Profil-ID, Name, Schule, Schul-ID,Geschlecht, Alter und Profilbild



Quelle: http://www.netzpolitik.org/2009/datenleck-bei-schuelervz

Gesc ec t, te u d o b d-Suchabfragen möglich-StudiVZ hatte vor 3 Jahren ein ähnliches Problem-Angriff per Cross-Site-Scriptingmöglich

Wie viele „soziale Netzwerke“ braucht ein Mensch?



10

Die Gefahr des 21. Jahrhunderts:Identitätsdiebstahl?!

„Identitätsdiebstahl wird aber nicht „Identitätsdiebstahl wird aber nicht nur durch die kriminelle Energie von Betrügern, sondern zunehmend auch

durch aktives Zutun der Nutzer vereinfacht. Die Popularität von Social

Networks, in denen Mitglieder freiwillig eine Vielzahl privater Daten

© A. Gabriel

preisgeben, vereinfacht Phishing und Datenmissbrauch erheblich.“

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2009, S. 28

19. November 2009


„Hacking“ kann so einfach sein …

© A. Gabriel

Quellen: http://www.hacker-tools.de, http://www.woerter.at/dud/stuff/google_hacking.pdf

19. November 2009


11

IT-Sicherheit alleine ist nicht genug!

„IT umfasst im Sinne des BSI-Errichtungsgesetzes alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen “

Definition „IT“:

Definition „IT-Sicherheit“:„Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind.“

Quelle: BSI Schulung IT-Grundschutz – Glossar

die der Verarbeitung oder Übertragung von Informationen dienen.Quelle: BSI Schulung IT-Grundschutz – Glossar



Was können Sie unter „angemessenen Maßnahmen“ und

einem „tragbaren Maß“verstehen?

Definition „Informationssicherheit“„Informationssicherheit hat zum Ziel, die Verarbeitung,

Speicherung und Kommunikation von Informationen so zu gestalten, dass die Vertraulichkeit, Verfügbarkeit und

Integrität (Vollständigkeit) der Informationen und Systeme Integrität (Vollständigkeit) der Informationen und Systeme in ausreichendem Maß sichergestellt wird. (…) Dabei umfasst

die Informationssicherheit, neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten,

auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.“ Quelle: http://de.wikipedia.org

© A. Gabriel

DatenschutzIT-Sicherheit

InformationssicherheitQuelle: In Anlehnung an C. Simon;Bildquelle: http://www.clipart-gallery.de

19. November 2009


12

Umsetzung „Vertraulichkeit“ / „Vollständigkeit“ / „Verfügbarkeit“

Vertraulichkeit: „Die Eigenschaft, dass Information nicht-autorisierten Individuen Instanzen oder Prozessen weder autorisierten Individuen, Instanzen oder Prozessen weder verfügbar gemacht noch offenbart wird.“

Integrität: „Die Eigenschaft, die Richtigkeit und Vollständig-keit über von wertvoller Information zu sichern.“

© A. Gabriel

Quelle: Schutz und Zukunftssicherung zugleich von Prof. Dr. Karsten Decker; http://www.mit-solutions.com/downloads/Informationssicherheit.pdf

19. November 2009


Verfügbarkeit: „Die Eigenschaft, dass Information für autorisierte Instanzen bei Bedarf zugänglich und verwendbar ist.“

Wie lange kommen Sie ohne diese vier Dienste aus?



In Kooperation mit dem E-Commerce-Center Handel, KölnDie ganze Studie finden Sie unter:http://www.ec-net.de/sicherheit

13

Ein aktuelles Beispiel für „gelebte Sicherheit“

1. Sie starten den Browser „Ihres Vertrauens“

intitle:"Live View / - AXIS 205"

© A. Gabriel

intitle: Live View / - AXIS 205

2. Sie suchen nach dem folgenden Text

19. November 2009


Über was reden wir hier überhaupt?

© A. Gabriel

Quelle: http://www.axis.com, http://www.mediacoms.de, http://www.computerhome.nl, http://pro.corbis.com

19. November 2009


14

Das Ergebnis unserer Suche

237 Trefferin 0 12 Sekin 0,12 Sek.



Ein Beispiel: Live am Oxford City Center

© A. Gabriel

Quelle: http://webcam.oii.ox.ac.uk

19. November 2009


15

Sie können einfach nicht genug bekommen?

Luzern

© A. Gabriel

29

Quelle: http://212.59.162.17:82

19. November 2009


Wo verbringen denn Sie so Ihren Urlaub?

Ortschaft:HaarlemLand:Niederlande


Quelle: http://mozart.amadeus-hotel.com:81


16

Sammlung von „Kameraseiten“

Quelle: http://www.opentopia.com

621 Kameras116 Zuschauer



Wo gibt es „Free Live Webcams“?

Afghanistan (1)Argentina (2)Australia (2)

Hong Kong (1)Hungary (2)Iceland (1)

Slovakia (1) Slovenia (1)Spain (8)Australia (2)

Austria (7)Brazil (1)Bulgaria (10)Canada (24)CZECH REPUBLIC (11)Denmark (5)Egypt (1)E t i (5)

Iceland (1)India (1)Israel (1)Italy (24) Japan (7)Korea, South (1)Luxembourg (1)Mexico (6)N th l d (41)

Spain (8)Sweden (42)Switzerland (14)Taiwan (7)Turkey (3)Ukraine (8)United Kingdom (26)United States (250)

© A. Gabriel

Estonia (5) Finland (5)France (7)Germany (21)

Netherlands (41)Norway (13)Poland (9)Russia (23)

Quelle: http://www.opentopia.com

19. November 2009


17

Datenschutz und Google …

© A. Gabriel

33

Quellen: http://www.heise.de, http://www.wiwo.de, http://www.tz-online.de

Das sog. „Googlemobil“

19. November 2009


So starten Sie Google Street View

BayernStädte Landkreise



Quelle: http://maps.google.de/intl/de/help/maps/streetview/

AB, BA,BT,Schweinfurt,Würzburg, etc.

Bad KissingenHaßbergeMain-SpessartRhön-Grabfeldetc.

18

Laufen Sie mit mir durch London …



Quelle: http://maps.google.com/maps?f=q&source=s_q&hl=en&geocode=&q=london&sll=37.0625,-95.677068&sspn=42.716829,87.011719&ie=UTF8&layer=c&cbll=51.500809,-0.121453&panoid=UOKxpiBRud0UiLeOvQY3BQ&cbp=11,236.28524551968158,,0,-7.81818181818182&ll=51.500836,-0.121536&spn=0.037508,0.175095&z=13&iwloc=addr&utm_campaign=en&utm_medium=lp&utm_source=en-lp-na-us-gns-svn

Es sind wohl noch keine Aufnahmen von deutschen Städten online …



Quelle: http://maps.google.de/intl/de/help/maps/streetview

19

Entstehung des Datenschutzes inDeutschland

1970 Hessen verabschiedet das erste Datenschutzgesetz in Deutschland1977 das erste Bundesdatenschutzgesetzt wird 1977 das erste Bundesdatenschutzgesetzt wird veröffentlichtBis 1981 wurden in allen Bundesländern Datenschutzregelungen verabschiedet15.12.1983 Volkszählung informationelle Selbstbestimmung

h h h l / /

© A. Gabriel

1995 Europäische Datenschutzrichtlinie 1995/46/EG2001 Novellierung des Bundesdatenschutzgesetzes2006 Novellierung des Bundesdatenschutzgesetzes2009 Erneute Überarbeitung des BDSG 01.09.2009

19. November 2009


Was ist informationelle Selbstbestimmung?

D G d h äh l i i i „Das Grundrecht gewährleistet insoweit die Befugnis des

Einzelnen, grundsätzlich selbst über die Preisgabe und

Verwendung seiner persönlichen Daten zubestimmen “

© A. Gabriel

bestimmen.

Volkszählungsurteil des Bundesverfassungsgerichtes vom 15.12.1983

19. November 2009


20

Hier finden Sie weitere Informationen

An dieser Adresse finden Sie weiterführende Informationen

http://www.bsi.de/gshb/baustein-datenschutz

oder

http://www.datenschutz.dehttp://www.bfd.bund.de

© A. Gabriel

ttp // b d bu d dehttp://www.datenschutzzentrum.dehttp://www.datenschutz-berlin.deu.v.m.

19. November 2009


Hilfe und Unterstützung beim Bundesamt für Sicherheit in der Informationstechnik

© A. Gabriel

Quelle: http://www.bsi.de/gshb/baustein-datenschutz

19. November 2009


21

Ansprechpartner im Bereich des Datenschutzes

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Peter Schaarhttp://www.bfdi.bund.de

Der Bayerische Landesbeauftragte für den Datenschutz

Dr. Karl Michael Betzlhttp://www.datenschutz-bayern.de

Aufsichtsbehörde für den nicht-öffentlichen Bereich

© A. Gabriel

Aufsichtsbehörde für den nicht öffentlichen Bereich

Die Regierung von Mittelfranken – Bayerische Datenschutzbehörde für den nicht öffentlichen Bereichhttp://www.regierung.mittelfranken.bayern.de

19. November 2009


Ihr Ansprechpartner im BereichDatenschutz



Adresse: http://www.datenschutz-bayern.de

22

Die Bayerische Aufsichtsbehörde



Adresse: http://www.regierung.mittelfranken.bayern.de

Aktuelle Themen aus Mittelfranken …1/2



Quelle: http://www.regierung.mittelfranken.bayern.de/aufg_abt/abt1/abt1dsa10aktuell1.htm

23

Aktuelle Themen aus Mittelfranken …2/2



Quelle: http://www.regierung.mittelfranken.bayern.de/aufg_abt/abt1/abt1dsa10aktuell2.htm

Wer muss den Datenschutz beachten?§ 1 BDSG

(1) Zweck dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzungpersonenbezogener Daten durch(1) Öffentliche Stellen des Bundes(2) Öffentliche Stelle der Länder (…)(3) Nicht öffentliche Stellen, soweit sie die Daten unter Einsatz

D b i l b i d

© A. Gabriel

Quelle: § 1 BDSG

von Datenverarbeitungsanlagen verarbeiten, nutzen oderdafür erheben oder die Daten in oder aus nicht auto-matisierter Dateien verarbeiten, nutzen oder dafür erheben,es sei denn (…)

19. November 2009


24

Protagonisten

Verantwortliche Stelle

© A. Gabriel

Betroffener Dritter

19. November 2009


Vorgaben des Datenschutzes

DatensparsamkeitDatensparsamkeit

Sie dürfen nur die Daten erheben, die Sie unbedingtbenötigen.Zweckbindungsgrundsatz

Die Daten dürfen nur für den Zweck erhoben werden, der mit dem Kunden vereinbart ist.

© A. Gabriel

Umgang mit personenbezogenen Daten

Die Rechte jedes einzelnen Kunden müssengeschützt werden.

19. November 2009


25

Die entscheidendsten Gebote desBundesdatenschutzgesetzes

Verbot mit Erlaubnisvorbehalt

Informationsgrundsatz

Auskunftspflicht

Berichtigungsverpflichtung

Löschungsverpflichtung

© A. Gabriel

Löschungsverpflichtung

Etablierung entsprechender Schutzmaßnahmen

(technischer und organisatorischer Art)

19. November 2009


Was Sie besonders schützen müssen§ 3 Abs. 9 BDSG

Besondere Arten personenbezogener Daten:Besondere Arten personenbezogener Daten:

1. Rassische oder ethnische Herkunft

2. Politische Meinung

3. Religiöse oder philosophische Überzeugung

4. Gewerkschaftszugehörigkeit

© A. Gabriel

g g

5. Gesundheit

6. Sexualleben

19. November 2009


26

Was man mit Daten alles machen kann …

1. Erheben1. Interview 4. Kauf von Adressen2. Fragebogen 5. Videokamera3. Lotterie 6. Jegliche Art der Akquisition

2. Verarbeiten1. Speichern 4. Sperren2. Verändern 5. Löschen

© A. Gabriel

3. Übermitteln3. Nutzen

Jegliche Art der Verwendung

19. November 2009


Begriffsdefinitionen 1/2

Erheben ist das Beschaffen von Daten über den BetroffenenErheben ist das Beschaffen von Daten über den Betroffenen.

Speichern ist das Erfassen, Aufnehmen oder Aufbewahrenpersonenbezogener Daten auf einem Datenträger zum Zweckihrer weiteren Verarbeitung oder Nutzung.

Verändern ist das inhaltliche Umgestalten personenbezogenergespeicherter Daten.

© A. Gabriel

Übermitteln ist das Bekanntgeben gespeicherter oder durchDatenverarbeitung gewonnener personenbezogener Datenan einen Dritten (…).

19. November 2009


Quelle: Bundesdatenschutzgesetz – Text und Erläuterung

27

Begriffsdefinitionen 2/2Sperren ist das Kennzeichnen gespeicherter personenbezogener

Daten, um ihre weitere Verarbeitung oder Nutzung einzu-schränkenschränken.

Löschen ist das Unkenntlich machen gespeicherter personen-bezogener Daten.

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachlicheVerhältnisse nicht mehr oder nur mit unverhältnismäßig großen Aufwand an Zeit Kosten und Arbeitskraft einer bestimmten oder

© A. Gabriel

Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oderbestimmbaren natürlichen Person zugeordnet werden können.

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen (…).

19. November 2009


Quelle: Bundesdatenschutzgesetz – Text und Erläuterung

Umsetzungen, die vom Datenschutz gefordert werden § 9 und Anlage zu § 9

§ 9 BDSG: Technische und organisatorische Maßnahmen

„Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten

oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die

erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu

© A. Gabriel

diesem Gesetz genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur,

wenn ihr Aufwand in einen angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

19. November 2009


Quelle: Bundesdatenschutzgesetz (BDSG)

28

Anlage zu § 9 Satz 1 – Organisation

1. Bestellung eines Datenschutzbeauftragten

2 Verpflichtung auf das Datengeheimnis2. Verpflichtung auf das Datengeheimnis

3. Erstellung von Dienstanweisungen

4. Schulungen

5. Regeln für Archivierung

© A. Gabriel

6. Dokumentation der eigenen Prozesse

7. NotfallmanagementQuelle: In Anlehnung an H. Filges

19. November 2009


Vorgaben des BundesdatenschutzGAnlage zu § 9 Satz 1

1. Zutrittskontrolle

2 Zugangskontrolle2. Zugangskontrolle

3. Zugriffskontrolle

4. Weitergabekontrolle

5. Eingabekontrolle

© A. Gabriel

6. Auftragskontrolle

7. Verfügbarkeitskontrolle

8. Trennungskontrolle

19. November 2009


29

Zutrittskontrolle

(…) Unbefugten den Zutritt zu Dateiverarbeitungs-anlagen mit denen personenbezogene Datenanlagen, mit denen personenbezogene Daten

verarbeitet oder genutzt werden, zu ver-wehren.

- Beschilderung - ggf. Videoüberwachung- Verschlossene Tore - Wachschutz- Umzäunung - Alarmanlagen

© A. Gabriel

Quelle: BDSG, Anlage zu § 9

Umzäunung Alarmanlagen- Schranken - Vergitterung- Dokumentierte Ausgabe von Schlüsseln- Verschiedene Schlüsselkreise

19. November 2009


Zugangskontrolle

( ) zu verhindern dass Datenver-(…) zu verhindern, dass Datenverarbeitungssysteme von

Unbefugten genutzt werden können.

© A. Gabriel


- Login für den PC/BIOS/Applikationen- VORSICHT: Das Passwort muss ausreichend komplex sein!- Provokante Frage: Wie häufig wechseln Sie Ihre Passworte?

19. November 2009


30

Alle möglichenKombinationen

z B Jaiss§Jb97070

Wie komplex ist Ihr Passwort?

Einfach Ersatzz B 8tung z. B. Jaiss§Jb97070z. B. 8tung

© A. Gabriel

Eher unwahrscheinlich Wörterbuchz. B. Mutatach z. B. Apfel, test

In Anlehnung an S. Rogge

19. November 2009


Zeichenvorrat – Grundgesamtheit

Zeichenvorrat Anzahl der Zeichen

Alphabet

Alphabet mit Groß-und Kleinschreibung

Zzgl. Zahlen

26

52

62

© A. Gabriel

Zzgl. Zahlen

Zzgl. Sonderzeichen ca. 95

Quelle: http://www.rrzn.uni-hannover.de/pw_cracking.html

19. November 2009


31

Länge/Komplexitätdes Passwortes

26 52 62 95

Wie sicher ist Ihr Passwort?!

K O M P L E X I T Ä T

5

6

7

39 Sek.

17 Min.

7,4 Std.

21 Min.

18 Std.

39 Tage

51 Min.

2,2 Tage

135 Tage

7,2 Std.

28 Tage

7,4 Jahre

L

Ä

N

G

© A. Gabriel

8 8 Tage 5,6 Jahre 23 Jahre 700 Jahre

Quelle: http://www.rrzn.uni-hannover.de/pw_cracking.html

G

E

19. November 2009


Wie finden Sie ein sicheres Passwort?

Jetzt arbeite ich schon seit drei Jahren bei der Uni Würzburg

J a i s s d J b d U WTransformationder Zahlen J a i s s 3 J b 97070 13 Zeichen

GroßbuchstabenKleinbuchstaben

© A. Gabriel

Transformationder Sonderzeichen

J a i s s § J b 97070KleinbuchstabenSonderzeichenZahlen

19. November 2009


32

Zugriffskontrolle

(…) zu gewährleisten, dass die zur Benutzungeines Datenverarbeitungssystems eines Datenverarbeitungssystems

Berechtigten ausschließlich auf die ihrer Zugriffs-berechtigung unterliegenden Daten zugreifen

können, und dass personenbezogene Daten beider Verarbeitung, Nutzung und nach der

Speicherung nicht unbefugt gelesen,

- Verschlüsselung der Festplatten- Sichere Aufbewahrung der Daten (Backup!)

Firewall (Kabel und WLAN)

© A. Gabriel

Speicherung nicht unbefugt gelesen, kopiert, verändert oder

entfernt werden können.


- Firewall (Kabel und WLAN)- Welche Daten sind auf Ihrem Handy?- Aktenvernichtung

19. November 2009


Weitergabekontrolle(…) zu gewährleisten, dass personenbezogene Daten

bei der elektronischen Übertragung oderwährend ihres Transports oder ihrer Speicherung

auf Datenträger nicht unbefugt gelesen, kopiert, ver-ändert oder entfernt werden können, und dass

überprüft und festgestellt werden kann, an welche Stellen eine

Übermittlung personenbezogener Daten durch Ein-

© A. Gabriel

Übe tt u g pe so e be oge e ate du crichtungen zur Datenübertragung vorgesehen ist.


- Verschlüsselte Kommunikation- Sichere Datenübertragung im WWW (VPN-Tunnel)

19. November 2009


33

Eingabekontrolle

( ) zu gewährleisten dass nachträglich über(…) zu gewährleisten, dass nachträglich über-prüft und festgestellt werden kann, ob und

von wem personenbezogene Daten in Datenverarbeitungssysteme

eingegeben, verändert oder entfernt wordensind

© A. Gabriel

sind.


Protokollierungen an verschiedenen Stellen im Unternehmen

19. November 2009


Auftragskontrolle

(…) zu gewährleisten, dass personenbezogene Datendass personenbezogene Daten,

die im Auftrag verarbeitet werden,nur entsprechend des Weisungen des

Auftraggebers verarbeitetwerden können.

© A. Gabriel


- Entsprechende Ausarbeitung der Dienstleistungsverträge- Kontrolle bei Ihren Dienstleistern- Auch hier: Datenvernichtung beachten!

19. November 2009


34

Verfügbarkeitskontrolle

(…) zu gewährleisten, dass personenbezogene( ) g , p gDaten gegen zufällige Zerstörung oder Verlust

geschützt sind.

- Feuer- und Rauchmelder- Feuerlöscher (Vorsicht bei EDV)

Stromversorgung sichern

© A. Gabriel


- Stromversorgung sichern- Überspannungsschutz- Temperaturregelung- Datensicherung

19. November 2009


Trennungsgebot

(…) zu gewährleisten, dass zu unterschiedlichenZwecken erhobene Daten

getrennt verarbeitet werden können.

© A. Gabriel


19. November 2009


35

Informationssicherheit – technische Maßnahmen

© A. Gabriel

© A. Gabriel

19. November 2009


-Die Mitarbeiter in die richtige Umsetzung des Datenschutzes einweisenEin Verfahrensverzeichnis sowie ein internes

Ausgangslage Datenschutz in Ihrem Unternehmen

-Ein Verfahrensverzeichnis sowie ein internes Verarbeitungsverzeichnis führen (§4 BDSG)

-Die Mitarbeiter zu deren Verschwiegenheit verpflichten (§5 BDSG)

-Alle notwendigen technischen und organisatorischenVorgaben erfüllen (§9 BDSG)

J d U t h d h l 4 Mit b it it d t9

© A. Gabriel

Quelle: http://www.datenschutz-it.de

Jedes Unternehmen, das mehr als 4 Mitarbeiter mit der auto-matisierten Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beschäftigt, muss einen

betrieblichen Datenschutzbeauftragten bestellen (§4 BDSG).

9

19. November 2009


36

Der Datenschutzbeauftragte

Daten-schutzWer ist für diese Aufgabe geeignet?

•Fachkunde + SachverstandZ lä i k i

Intern oder Extern?

Pflichten undAufgaben

•Zuverlässigkeit•Unabhängig•Schriftliche Ernennung

•Kein Mitarbeiter der IT,Personalabteilung oder

•Überwachung „Einhaltung der Vorgaben“

•Einwandfreie Verwendungder EDV

© A. Gabriel

Weitere Informationen erhalten Sie u. a. beim Bundesverband der Datenschutzbeauftragten Deutschlands e. V. (BvD): http://www.bvdnet.de

Personalabteilung oder in einer führenden Position

•Er hat (leider) keine Weisungs-befugnis

•Zugriff nur für Befugte•Rechte des Eigentümers schützen

19. November 2009


Bestellung zumDatenschutzbeauftragten

Die Musterfirma GmbH bestellt hiermit Herrn / Frau Mustermanngemäß § 4f Absatz 1 Bundesdatenschutzgesetz zum betrieblichen Datenschutzbeauftragten. Der Beauftragte für den Datenschutz hat auf die ate sc ut beau t agte e eau t agte ü de ate sc ut at au d eEinhaltung des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften hinzuwirken. Weitere Rechte und Pflichten ergeben sich aus § 4f, § 4g Bundesdatenschutzgesetz. In Zweifelsfällen kann sich der / die Beauftragte an die örtlich zuständige Aufsichtsbehörde für den Datenschutz wenden.Herr / Frau Mustermann wird in seiner / ihrer Funktion als Datenschutzbeauftragte(r) der Geschäftsleitung unmittelbar unterstellt. Für die Geschäftsleitung:

© A. Gabriel

Quelle: https://www.datenschutzzentrum.de/wirtschaft/mustbdsb.htm

(Ort, Datum, Unterschrift)

Ich bin mit der Bestellung zum / zur Beauftragten für den Datenschutz einverstanden.(Ort, Datum, Unterschrift)

19. November 2009


37

Vorabkontrolle§ 4d Abs. 5 BDSG

5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrollei i b d d h füh ist insbesondere durchzuführen, wenn

1.besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

2.die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,



Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__4d.html

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Durchführung der Vorabkontrolle

„Zuständig für die Durchführung der Vorabkontrolle i d D h b fist der Datenschutzbeauftragte.

Dem DSB sind von der verantwortlichen Stelle für dieDatenverarbeitung vor der Durchführung derVorabkontrolle bestimmte Informationen zur Verfügung zu stellen.“



(Vgl. §4g Abs. 2 Satz 1 i. V. m. §4e Satz 1)

Quelle: Bundesdatenschutzgesetz – Text und Erläuterung, S. 27

38

Verfahrensverzeichnis § 4e BDSG1. Verantwortliche Stelle 2. Vertretung3. Anschrift der verantwortlichen Stelle 4. Welche Zweckbestimmung(en) liegen der Datenerhebung,

b it d t d ?-verarbeitung oder -nutzung zugrunde?5. Betroffene Personengruppen und Daten oder Datenkategorien6. Empfänger oder Kategorien von Empfängern, denen die Daten

mitgeteilt werden können; bei Datentransfers in Drittstaaten siehe Nr. 8

7. Wann werden die Daten gelöscht?8. Geplante Datenübermittlung in Drittstaaten

© A. Gabriel

9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

10. Zugriffsberechtigte Personen 11. Ggf. Ergebnis der Vorabkontrolle

19. November 2009


Weitere Informationen zum Verfahrensverzeichnis



Quelle: http://www.bitkom.org/de/publikationen/38336_43488.aspx

39

Definition Auftragsdatenverarbeitung§ 11 BDSG

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben verarbeitet oder genutzt ist der andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.

(2) Der Auftragnehmer ist unter besonderer Berücksich-tigung der Eignung der von ihm getroffenen technischen



Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__11.html

und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen.

Details des § 11 BDSG1. der Gegenstand und die Dauer des Auftrags,2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,3 di h § 9 ff d h i h d i i h M ß h

… wobei insbesondere im Einzelnen festzulegen sind:

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,4. die Berichtigung, Löschung und Sperrung von Daten,5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- undMitwirkungspflichten des Auftragnehmers,8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder




Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

40

Eine weitere Forderung des § 11 BDSG

„Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und Auftragnehmer getroffenen technischen und

organisatorischen Maßnahmen zu überzeugen.“Quelle: BDSG

Zwei Fragen an Sie als Auftragsgeber

Wie führen Sie eine derartige Prüfung durch?Wie belegen Sie, Ihre Erkenntnisse?



Eine Frage an Sie als AuftragsnehmerKönnen Sie den Nachweis führen, dass Sie alleorganisatorischen + technischen Aspekte berücksichtigt haben?

Auftragsdatenverarbeitung – ein ganz heißen Eisen …



Quelle: http://www.bitkom.org/de/publikationen/38336_45940.aspx

41

Datenschutzaudit§ 9a BDSG

„Zur Verbesserung des Datenschutzes und der Daten-sicherheit können Anbieter von Datenverarbeitungssicherheit können Anbieter von Datenverarbeitungs-systemen und -programmen und datenverarbeitende

Stellen ihr Datenschutzkonzept sowie ihre technischenEinrichtungen durch unabhängige und zugelassene

Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung das Verfahren sowie die



an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch

besonderes Gesetz geregelt.“

Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__9a.html

Datenschutzaudits in Schleswig-Holstein



Quelle: https://www.datenschutzzentrum.de/audit/index.htm

42

Datengeheimnis§ 5 BDSG

Den bei der Datenverarbeitung beschäftigten Personen b b fist untersagt, personenbezogene Daten unbefugt zu

erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.

Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort



ihrer Tätigkeit fort.


Bitte beachten Sie Ihre Nachweispflicht!

Private Nutzung von eMail und WWW



BITKOM-Leitfaden:http://www.bitkom.org Publikationen Juristische Praxishilfenhttp://www.bitkom.org/files/documents/BITKOM_Leitfaden_E-mail_und_Internet_im_Unternehmen_V.1.5_2008.pdf

43

„Highlights“ dieser Publikation

S. 17



BITKOM-Leitfaden:http://www.bitkom.org Publikationen Juristische Praxishilfenhttp://www.bitkom.org/files/documents/BITKOM_Leitfaden_E-mail_und_Internet_im_Unternehmen_V.1.5_2008.pdf

S. 19

Ein Rechenbeispiel:Umgang mit unerwünschten E-Mails

Lesen und Löschen von Spam E-Mails

Täglich werden zwischen 15 und 45 Minuten derproduktiven Arbeitszeit für das Beseitigen von Spampro Mitarbeiter genutzt

20 x 15 x 20 = 100 €



20 x 15 x 20 = 100 €

Stundenlohn in €

Min. Arbeitstage pro Monat

Monatliche Kosten pro Mitarbeiter

Quelle: Umfrage Symantec 2004

44

Gründe für Sicherheitsinvestitionen indeutschen Unternehmen



Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Jahresbericht 2009

Vielen Dank für Ihre Aufmerksamkeit!Vielen Dank für Ihre Aufmerksamkeit!

Andreas GabrielAndreas GabrielBegleitprojekt „Sicherheit“ des NEG, MECK Würzburgc/o Universität Würzburg, Lehrstuhl Prof. Dr. R. ThomeJosef-Stangl-Platz 297070 WürzburgTel.: 0931 / 3501-231Fax.: 0931 / 31-2955

http://www.xing.com/profile/Andreas_Gabriel7

© A. Gabriel

[email protected] und [email protected]://www.meck-online.dehttp://www.ec-net.de/sicherheithttp://www.wiinf.uni-wuerzburg.de

88

Wenn's wirklich sicher sein soll – Netzwerk Elektronischer Geschäftsverkehr

19. November 2009


Documents

KFZ-Steuer per GPS? · 6 Datenschutz – seit dem 01.09.2009 •Strengere Regeln für den Adresshandel •Verschärfte Anforderungen an die Auftragsdatenverarbeitung •Aufnahme einer