Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011

© DATATREE 2011 l 07.11.2011

Datenschutz & Datensicherheit l 1

Datenschutz und IT-Sicherheit

Ansätze. Rechtsfragen. Verantwortlichkeiten.

DATATREE AG

Exkursion FOM Düsseldorf

Heubesstraße 10, 40597 Düsseldorf

Freitag, 09. Dezember 2011

© DATATREE 2011 l 07.11.2011


Inhalt

Leistungsprofile DATATREE 3

Vorbemerkungen 4

Warum Datenschutz - Sinn und Zweck 8

Besonderheit der IT-Administratoren 18

Haftungsmatrix 21

Was ist zu tun, wenn…? 25

Andere Länder – andere Gesetze 26

© DATATREE 2011 l 07.11.2011


Leistungsprofile der DATATREE

DATATREE AG | Seite 3

Compliance Recht

Mitwirkung bei der Umsetzung

betrieblicher Regelungen zum

Datenschutz

Erstellung von rechtlichen

Gutachten zur Compliance

Bewertung und Optimierung

von Haftungsrisiken

Vertragsgestaltung zur ADV

und Funktionsübertragung

Compliance IT

Stärken-Schwächen-Analyse

(SWO) der Datensicherheit

Strategieentwicklung

(Inhouse, Outsourcing)

Maßnahmenplanung bei

Lücken im Datenschutz und

Datensicherheit (BSI,ITIL)

Regelmäßige Prüfung zum

Erhalt des Datenschutzniveaus

(SW/HW)

Stellung

Datenschutzbeauftragte

Erstellung gesetzlicher

Verfahrensverzeichnisse

Erstellung von

Verarbeitungsverzeichnissen

Beschreibung, Analyse des

bestehenden Datenschutzes

Erstschulungen für Mitarbeiter

Aufbau von Datenschutz-

konzepten (Schutz vor

Wissentsransfer oder Diebstahl)

Ausbildung zu externen

Datenschutzbeauftragten

Weitere Services

& Produkte

Audits gemäß § 11 BDSG und

Erstellung von Gutachten für

Auftragnehmer

Krisenmanagement

Zertifizierungen

Marketingkonzepte zur daten-

schutzkonformen Generierung

von Daten

Escrow (THD-Bank für sensitive

Daten)

Whistleblowingstelle

Treuhand-Datenbank

Google Ad-Words Datenbank

Leistungsprofile

- Unternehmensvisionen und -ziele definieren und festlegen

- Strategien entwickeln und umsetzen

© DATATREE 2011 l 07.11.2011


Vorbemerkung

Zielgerichtete Compliance Maßnahmen gewährleisten jederzeit rechts-

konformen und technisch funktionierenden Datenschutz und Datensicherheit.

Eine der Schnittstellen zwischen Datenschutz und Datensicherheit bildet § 9

BDSG und die dazu gehörige Anlage (besser bekannt als TOMs).

Dort werden losgelöst vom aktuellen technischen Standard Oberbegriffe

definiert, die konkrete datenschutzrechtliche und datensicherheitstechnische

Kontrollmaßnahmen erfordern.

Dennoch kann Datensicherheit gegeben sein, obwohl gegen datenschutz-

rechtliche Gesetze und Regelungen verstoßen wird.

Zu beachten: Die Datenschutzaufsicht selbst muss vom „Kostengesetz“

ausgehen und kann für ihre Tätigkeit - ausgehend von der „Bedeutung“ der

Angelegenheit - weitgehend frei kalkulieren.

© DATATREE 2011 l 07.11.2011


Warum Datenschutz - Steigerung der Datenmengen

Social Media und andere neue Formen der Medien erreichen in immer kürzeren

Intervallen mehr User und erhöhen somit die Datenmengen exponentiell:

* Anzahl Jahre um 50 Millionen User zu erreichen

Radio 38 Jahre* Internet 4 Jahre*

TV 13 Jahre* iPod 3 Jahre*

Facebook: 100 Millionen User in

weniger als 9 Monaten*

iPod applications:

1 Milliarde Downloads

in nur 9 Monaten*

© DATATREE 2011 l 07.11.2011


Warum Datenschutz - Sinn und Zweck des Gesetzes

Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt.

Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können.

Daten von juristischen Personen, Vereinen, Verbänden etc. sind durch das BDSG nicht geschützt.

Datenschutz ist ein Grundrecht!

Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. (Art. 2 GG)

© DATATREE 2011 l 07.11.2011



Das BDSG verbietet grundsätzlich die Erhebung, Verarbeitung und Nutzung personen-

bezogener Daten, erlaubt diese aber unter bestimmten Voraussetzungen

(Verbot mit Erlaubnisvorbehalt).

Datenerhebung ist somit zulässig, wenn sie ...

durch das BDSG selbst ...

Beispiel: öffentlich zugängliche Daten

oder durch eine andere Rechtsvorschrift ...

Beispiel: Steuern, Abgaben

oder durch die Einwilligung des Betroffenen ...

Beispiel: Einverständniserklärung zur Datennutzung

... erlaubt wird.

gesetzliche

Grundlage

© DATATREE 2011 l 07.11.2011



Bestimmbar wird eine Person,

wenn ihre Identität durch die

Kombination des Datums mit einer

anderen Information feststellbar

wird.

IP-Adresse

Abgleich mit

Providerdaten

Bestimmt ist eine

Person, wenn sich ihre

Identität direkt aus dem

Datum selbst ergibt.

Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte

oder aber auch bestimmbare Person beziehen.

Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartenummer, Telefonnummer

© DATATREE 2011 l 07.11.2011


Möglichkeiten der Datenerhebung im Unternehmen

1. Möglichkeit

im Rahmen der

Zweckbestimmung

gemäß § 28 (1) BDSG (z. B. des Arbeitsverhältnisses)

2. Möglichkeit

individuelle Einwilligung

gemäß § 4 a BDSG

3. Möglichkeit

kollektivrechtliche

Einwilligung (Betriebsvereinbarung)

Datenschutzrechtliche Zulässigkeit von automatisiert verarbeiteten personen-

bezogenen Daten von Mitarbeitern im Unternehmen:

© DATATREE 2011 l 07.11.2011



1. Möglichkeit

Im Rahmen der Zweckbestimmung

nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG

Direktionsrecht des Arbeitgebers

Zu- und Abgangsdaten

Private Nutzung von Betriebsmittel

Wenn Betriebsrat vorhanden:

Betriebsvereinbarung erforderlich

Beispiel: Zeiterfassung, PKW - Nutzung

© DATATREE 2011 l 07.11.2011



2. Möglichkeit

Individuelle Einwilligung Einwilligung (z. B. im Arbeitsvertrag) rechtfertigt jederzeit Eingriff in die Persönlichkeitsrechte

Sonderfall: E-Mail und Internet

Beides sind Betriebsmittel zur Erbringung der Arbeitsleistung ABER! mit Bereitstellung privater Nutzungsmöglichkeit wird AG

zum geschäftsmäßigen TK-Anbieter (E-Mail - § 3 Nr. 10 TKG)

zum Telemedienanbieter (Internet - § 2 Abs. 1 TMG)

und damit infiziert das Fernmeldegeheimnis Mailpostfach und die

Internetlogfiles

Beispiel: Aufzeichnung, Auswertung und Speicherung

der E-Mails und Internetverbindungen

© DATATREE 2011 l 07.11.2011



3. Möglichkeit

Betriebsvereinbarung

Mitbestimmung gemäß § 75 Abs. 2 BetrVG:

Arbeitgeber und Betriebsrat haben die freie Entfaltung der

Persönlichkeit der Beschäftigten zu schützen

Betriebsvereinbarungen haben Vorrang vor dem BDSG (BAG Beschluss vom 27.5.1986)

Betriebsvereinbarung ersetzt die individuelle Einwilligung

Beispiel: Pausenzeiten, Nachbearbeitungszeiten im

Service Center (technische Überwachung darf keinen

permanenter Überwachungsdruck ausüben)

© DATATREE 2011 l 07.11.2011


Problemfall: DATA Mining

Lösung: Anonymisierung und Pseudonymisierung

© DATATREE 2011 l 07.11.2011


Exkurs in die Welt der Gerichte

Auskunftsanspruch gegenüber einem TK-Unternehmen zur Feststellung der Vaterschaft

Aus Spaß wurde ernst – d. h. konkret aus einem sexuellen Kontakt ein Kind. Die Mutter kannte aber nur Vornamen und Handy-Nummer des Vaters. Da sich das Telekommunikationsunternehmern weigerte, die Daten des Anschlussinhabers preiszugeben, hatte das Landgericht Bonn in seinem Urteil vom 29.09.2010 über die geforderte Auskunft zur Feststellung der Vaterschaft zu entscheiden.

Im Ergebnis verneinte das Landgericht Bonn einen Auskunftsanspruch der Mutter gegenüber dem Telekommunikationsunternehmen. Die Bonner Richter sahen keine eigene Anspruchsgrundlage für ein solches Auskunftsverlangen.

Allerdings ließen sie gleichzeitig Raum für einen Auskunftsanspruch des Kindes, über den aber nicht entschieden wurde.

(LG Bonn Az.: 1 O 207/10)

© DATATREE 2011 l 07.11.2011


Besonderheit der IT-Administration

Die Aufgaben eines Systemadministrators sind vielfältig:

Einführung in den Datenschutz | Seite 16

Analyse und Bewertung des

Soft- und Hardwarebedarfs

Installation und Konfiguration von

Software, Systemen und Komponenten

Planung und Überprüfung von

Sicherheitsmaßnahmen gegen

Angriffe von außen und innen

Benutzersupport

Administration von

Servern und Anwendungen

Einrichtung und Verwaltung von Nutzerkonten,

Zugriffsrechten, Verzeichnisdiensten

Dabei genießt er weitgehende technische Möglichkeiten

Was darf der Admin wissen?

Was darf das Unternehmen(Behörde)?

© DATATREE 2011 l 07.11.2011



Keine Immunität für Administratoren

Aufgabe von Administratoren ist es zwar, Vertraulichkeit, Integrität und

Verfügbarkeit von Informationen sicherzustellen. Allerdings zählt dazu nicht, die

verschiedenen Inhalte einzusehen oder gar auszuwerten.

Beschäftigt ein Unternehmen mehr als einen Administrator, sollten die Admin

Rollen in unterschiedliche Bereiche aufgeteilt werden.

Alle Rollen sollten aber im Notfall auf jeden Admin übertragbar sein.

Administratoren sollten nur die Passwörter kennen, die sie für die Erfüllung

Ihrer routinemäßigen Aufgaben benötigen.

Fazit: So viel Einsichtsrechte wie nötig, so wenig wie möglich!

(Need to Know-Prinzip)

© DATATREE 2011 l 07.11.2011



Auswertung von Logfiles und Protokollen

Kritische Tätigkeiten

Remotezugriff auf einen PC, insbesondere Spiegelung einer

Benutzersitzung ohne vorherige Information des Anwenders

Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels

der Standard-Adminfreigaben des Betriebssystems oder anderer

Funktionen ohne vorherige Information des Anwenders

Zugriff oder Einrichtung von Zugriffsrechten auf das

E-Mail-Postfach eines Anwenders

Zugriff oder Einrichtung von Zugriffsrechten auf das Home-

Verzeichnis eines Anwenders ohne vorherige Information des

Anwenders

Nutzung jeder Funktionalität gleich welcher Art, die einen

unbemerkten Zugriff auf einen PC ermöglicht

© DATATREE 2011 l 07.11.2011



Mögliche Konsequenzen

Ordnungsgeld / Strafrecht

Für den Betrieb: Stillegung der EDV

Erschwernisse durch Prüfungen / Presse im Tagesgeschäft

Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)

Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe

§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)

…das könnte passieren …. das wird passieren

© DATATREE 2011 l 07.11.2011


Exkurs: Was kann ich mit Daten verdienen?

© DATATREE 2011 l 07.11.2011


Sanktionen: Haftungsmatrix

Ko

ntr

ollo

rga

ne

GF

/ V

ors

tan

d

IT -

Le

ite

r

DS

B

Un

tern

eh

me

n

Dri

tte

n

Unternehmensstillstand

Datenverlust

§§ 7 i.V.m. 9 BDSG

§ 280 BGB

Datenverlust

Produktionsausfall

Imageverlust

§ 117 AktG

§ 43 GmbHG

§ 9 BDSG

Verlust von Fachkräften

Imageschade

Kosten druch Nutzung der Dienste

Art. 10 GG

§§ 242 i.V.m. 611 BGB

§ 44 TKG

Freiheitsstrafe

Schadenersatz

Schadenersatz

Zugang zu personenbezogenen

Daten durch Unbefugte

Imageschaden

Datenverlust durch z. B. Viren

§ 206 StGB

§ 303 a StGB

§§ 97 i. V. m. § 100 UrhG

§ 117 AktG

§ 43 GmbHG

Unterlassung

Schadenersatz

Unterlassung

Schadenersatz

Schadenersatz

Schadenersatz

Anspruch

aus Pflichtverletzung

Mögliche

Rechtliche Grundlage

Haftung

gegenüber

§ 280 BGB

§ 254 BGB

Regelung für die private

Nutzung von Internet und

E-Mail am Arbeitsplatz

Schaden durch Vernichtung

wichtiger Informationen

Verantwortlichkeit

Auswahl an Themenbereichen

die in der Regel durch die

IT mit abgebildet werden

Durchführung regelmäßiger Backups

Sicherstellung der Verwendung

von lizensierter Software

Verwendung von Virensoftware

Firewall, SPAM-Filter

Schäden

durch Pflichtverletzung

Konzept für Zugang von externen

Dritten zu DV - Systemen

Kontinuierliche Aktualisierung

des Datensicherheit- und

Datenschutzkonzeptes

Unternehmensstillstand

Imageschaden

Kosten Nachlizenzierung + Strafe

Quelle: Haftungsmatrix der Bitkom (Auszug)

© DATATREE 2011 l 07.11.2011



Systemadministrator sichtete zur vorgeblichen Beweissicherung E-Mails eines Geschäftsführers Der Kläger des Verfahrens, ehedem als Systemadministrator beschäftigt, habe unter anderem Zugriff auf die E-Mails eines Geschäftsführers genommen. Diese habe er einem anderen Geschäftsführer vorgelegt, um damit nachzuweisen, dass der Empfänger der Nachrichten vertragswidrig gegen seine Dienstpflichten verstoße und damit das Unternehmen schädige; zudem solle dieser unbefugt auf Daten aus dem Personalbereich zugegriffen haben. Daraufhin sei dem Systemadministrator fristlos gekündigt worden.

Die unerlaubte Einsichtnahme in fremde E-Mails durch einen Systemadministrator stelle einen schwerwiegenden Pflichtverstoß dar und rechtfertige dessen fristlose Kündigung, so das Landesarbeitsgericht (LAG) München mit Urteil vom 8. Juli 2009.

Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München.

(LARG München Az.: 11 Sa 54/09)

© DATATREE 2011 l 07.11.2011


Was ist zu tun, wenn… ?

Handlungshilfen

Was tun, wenn der Bauch sich meldet….

Klären Sie folgende Fragen:

Grundsätzlich erste Frage: Auf welcher Grundlage?

Schriftliche Anweisung

Kfm. Bestätigungsschreiben

Protokollieren Sie den Vorgang!!

3 Dinge schaffen: Fakten, Fakten, Fakten!

© DATATREE 2011 l 07.11.2011


Was ist zu tun, wenn… ?

Handlungshilfen

Aufsichtsbehörde will kontrollieren

Mitarbeiter sollen sofort Ihren Vorgesetzten einschalten!

Klären Sie, ob der Datenschutzbeauftragte Ihres

Unternehmens informiert ist.

Auf keinen Fall direkt alleine die Fragen beantworten!!!!

© DATATREE 2011 l 07.11.2011


Andere Länder – andere Gesetze

Gesetz der russischen Föderation

über die Auslandsaufklärung Artikel 5 (Ziele der Spionage):

„Förderung der wirtschaftlichen Entwicklung und

des wissenschaftlich-technischen Fortschritts des

Landes durch Beschaffung von wirtschaftlichen

und wissenschaftlich-technischen

Informationen durch die

Organe der Auslandsaufklärung.“

© DATATREE 2011 l 07.11.2011


Regulation of Investigatory Powers (RIP) Act 2000

Der Regulation of Investigatory Powers Act 2000 (RIP, RIPA)

ist ein Gesetz, das die

Telekommunikationsüberwachung im

United Kingdom regelt.

RIPA ermächtigt die im Gesetz aufgelisteten

staatlichen Stellen

zu Überwachungsmaßnahmen

im Dienste der Nationalen Sicherheit,

zum Zweck der Verbrechensbekämpfung …..und zum

Schutz der nationalen wirtschaftlichen Interessen des UK.

Die Liste der ermächtigten staatlichen Stellen

umfasst mittlerweile 792 Behörden,

darunter Polizei-, Militär-, Zoll etc.

Andere Länder – andere Gesetze

© DATATREE 2011 l 07.11.2011



Datensicherung muss in bestimmten Intervallen erfolgen

Eine Reiseunternehmen hatte eine Fachfirma mit der Reparatur ihrer Computeranlage betraut. Hier kam es zu einem Komplettabsturz und einem unwiederbringlichen Datenverlust. Der Schaden betrug 14.000 Euro.

Das Reiseunternehmen hat Schadenersatz geltend gemacht.

Dies erklärten die Richter für nicht zulässig. Das Reiseunternehmen hat grob fahrlässig gehandelt und trägt die alleinige Verantwortung. Erfolgt in einem Unternehmen nicht täglich die Datensicherung und nicht mindestens einmal im Monat eine Komplettsicherung, so trifft das Unternehmen und die Unternehmensführung die alleinige Verantwortung!

Damit trägt auch die IT entsprechende persönliche Verantwortung!

(OLG Hamm Az.: 13 U 133/03)

© DATATREE 2011 l 07.11.2011


Vielen Dank für Ihre Aufmerksamkeit!

DATATREE AG

Bernd Fuhlert

Heubesstraße 10

40597 Düsseldorf

+49 (0) 211 5989471 Tel.

+49 (0) 176 62960098 Mobil

+49 (0) 211 59894780 Fax

[email protected]

www.datatree.eu

mailto:[email protected]

Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011

Documents

Transcript of Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011