Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung

Unabhängiges Landeszentrum fürDatenschutz Schleswig-Holstein

Datenschutz an Hochschulen in S-H:Aktuelle Erfahrungen nach Beratungen, Prüfungen und

Auditierung

Berlin, 14. September 2007

Martin RostUnabhängiges Landeszentrum für Datenschutz

Schleswig-Holstein


Gliederung

• Datenschutzparadigmen und ULD• DS-Instrumente: Beratung, Prüfung, Auditierung • Bewertungsmaßstäbe • Die festgestellten Mängel an den Hochschulen in

Schleswig-Holstein• Was kann man tun?• Fazit:

Zur Zeit ist kein hinreichender Nachweis der Ordnungsmäßigkeit des Verwaltungshandelns an den Hochschulen in S-H möglich.


Eine kurze Geschichte der einander ergänzenden Datenschutzparadigmen

• ab 1890: Herausbildung des rechtsfähigen Anspruchs auf „right to be let alone“ (Warren/Brandeis, USA), seitdem spontan aufblitzendes Thematisieren bspw. des „Rechts am eigenen Bild“ insbesondere von Prominenten und Funktionsträgern

• ab 1970: Verstetigte bürgerrechtliche Politisierung von Datenschutzthemen• ab Ende der 1970er: Verrechtlichung und Institutionalisierung des

Datenschutzes, mit dem rechtlichen Höhepunkt 1983 „Volkszählungsurteil“: Recht auf informationelle Selbstbestimmung als Grundrecht. Ab Mitte der 70er Einrichtung öffentlicher Datenschutzbeauftragter. (vorläufiger Höhepunkt 2003/11: Europaweite Vereinheitlichung des DS-Rechts durch Inkraftsetzen der EU-Richtlinie.)

• ab Mitte der 1990er: Technisierung des Datenschutzes: „Privacy-Enhancing-Technologies“ (PET): „Datenschutz (nicht wie bislang gegen sondern) durch Inanspruchnahme von Technik implementieren“.

• ab 2000: Ökonomisierung des Datenschutzes: Datenschutz-Gütesiegel nach dem Motto: „Privacy sells“.

• ab 2006: Datenschutz als integrierender Bestandteil organisierten Prozessmanagements (im Rahmen von ITIL, CoBIT, BS, ISO27001)

DS-Instrument: Beratung/

Mitentwicklung

DS-Instrument: Prüfung

DS-Instrument: Auditierung


Die 7 Säulen des ULD

Prüfung Beratung Schulunginkl.

DATEN-SCHUTZ-

AKADEMIE

IT-Labor Modell-projekte

Gütesiegel Audit

Öffentl. Verwaltungen

Unternehmen

Bürger, Kunden, Klienten, Patienten

PrimäreAdressaten:

Wirtschaft,Wissenschaft,Verwaltung


Projekte im ULD

• Ubiquitäres Computing - TAUCIS

• Identitätsmanagement - Prime und FIDIS

• Nutzerorientiertes Digital Rights Management - Privacy4DRM

• Datenschutzanforderungen für die Forschung – PRISE

• Europäische Melderegisterauskunft - RISER

• Verbraucherdatenschutz und Datenschutzrecht im Scoring

• Spamingbekämpfung bei Voice-Over-IP – SPIT-AL

• Verkettungen und Identitätsmanagement

• SOA-Usecases and Privacy

• Biodatenbanken

• Euro-Prise, Datenschutzsiegel für Europa

• …


Beratung, Prüfung, Auditierungvon Hochschulen in S-H


Die Beratung

• Auslöser für Beratung: Die Universität wird aktiv, typischerweise Verantwortliche aus dem Umfeld der EDV. – Erwartungen seitens der Uni an Aufsichtsbehörde:

• Kompetent aber kostenfrei zu bereits getroffene oder noch anstehende Sicherheitsmaßnahmen sowie grundsätzlich zu RZ-Organisationsparadigmen (SOA, ITIL, CoBIT, ISO-27001) beraten werden.

• Aufklärung über rechtliche Anforderungen. Typische Fragen: Welche Gesetze gelten? Welche Dokumentationspflichten bestehen? Was ist wie zu protokollieren? Sind wir E-Mail-Provider?

– Erwartungen seitens der Aufsichtsbehörde an Ratsuchende:

• Die Empfehlungen werden umgesetzt.

• Der Dialog wird fortgesetzt, Teilnahme an Schulungen

• Zunahme der Sensibilität dafür, dass die Kriterien und Maßnahmen für Sicherheit (gem. BSI-Grundschutz) und für Datenschutz nicht deckungsgleich sind.


Die Prüfung

• Auslöser für Prüfungen: – Durch strategische Maßgaben der Hausleitung– Von Mitarbeiter oder Betroffenem wird ein DS-Vorfall

gemeldet, der vom ULD als Datenschutzverstoß gewertet wird. Darauf folgt in der Regel eine Prüfung vor Ort.

• Zum (idR angekündigten) Prüfungstermin werden angefordert:– Verantwortlicher Leiter der Organisation, Vertreter der Personal-

abteilung, Datenschutzbeauftragte, IT-Systemverantwortliche– Dokumente in Kopie:

• Bestellungsurkunde der/des Datenschutzbeauftragten (vgl. §10 LDSG)• Aufgabenbeschreibung der Systemverantwortlichen• Dienstanweisungen, z.B. zur Nutzung der EDV-Systeme oder Internetdienste• Verfahrensverzeichnis (vgl. § 7 LDSG)• IT-Konzept (vgl. § 4 DSVO), insbesondere Netzplan• Sicherheitskonzept (vgl. § 6 DSVO)• Test und Freigabe (exemplarisch anhand eines Verfahrens) (vgl. § 7 DSVO)• Auszug aus dem IT-Inventarverzeichnis (vgl. § 8 DSVO)• Auszug aus dem Berechtigungskonzept der Mitarbeiter/ Systemadministratoren

an IT-Geräten, Programmen und Dateien (vgl. § 8 DSVO)• Wartungs-/Dienstleistungs-Verträge mit externen Dienstleistern (vgl. § 17 LDSG)


Prüfungsablauf

1. Initiierung: Gemeldeter Vorfall oder Prüfstrategie2. Prüfungsankündigung (erfolgt in der Regel)3. Bestandsaufnahme vor Ort4. Dokumentation der Befunde5. Bewertung der Befunde, mögliche Bewertungen:

– Als „In Ordnung“ bestätigen – Mangel aussprechen bei Verstößen– Beanstandung bei erheblichen Verstößen, zusätzlich

ausführliche Darstellung im jährlichen Tätigkeitsbericht sowie möglicherweise Bußgeld (Aufsichtsbereich: bis 250T€ möglich.)

6. Vorschläge für Maßnahmen zur Behebung festgestellter Schwächen, Verstöße und Mängel

7. Nachprüfung


Behörden-Audit in Schleswig-Holstein durch das ULD

Auslöser: Die betroffene öffentliche Verwaltung ODER ein Auftraggeber einer betroffenen öffentlichen Verwaltung äußern gegenüber dem ULD den Wunsch, die Datenschutzkonformität vom ULD nach Innen qualitätssichernd und nach Außen hin werbewirksam mit einem Siegel bestätigen zu lassen.


Audit: Unterschied zur Prüfung?

• Ein Audit ist zunächst wie eine Prüfung angelegt, allerdings mit dem Unterschied, dass beim Audit das ULD an der Behebung der festgestellten Mängel (meist: Dokumentation und Einrichtung von Kontrollverfahren bzw. Datenschutz-managementsystem) mitarbeitet.

• Die Vergabe des Audit-Zeichens verlangt, dass sich das Niveau in Bezug auf Datensicherheit und technischen Datenschutz wenigsten auf dem Stand der Technik befindet und bei zumindest einem Aspekt Exzellenz hervorgehoben werden kann.


Audit: Bestimmungen, Durchführung

• Maßgeblich bei der Durchführung sind die Anwendungs-bestimmungen des ULD zur Durchführung eines Datenschutz-Behördenaudits

• Die Projektmanagement-Methode eines ULD-Audits orientiert sich an PRINCE2 („PRojects IN Controlled Environments“). Stärken von PRINCE2:– Produktorientierung, wesentliche Leitfrage: „Was sollen wir

liefern?“ (nicht: „Was sollen wir tun?“)

– Eindeutige und vollständige Zuordnung von Rollen und Verantwortlichkeiten

– Standardisierte Projekt-Prozesse

– Kriterien für ein allseits erwatbares Risiko- und Changemanagement

– Controlling bzgl. des Status des Verfahrens


Audit: Trennung von Berater und Auditor

• Die Rollen des Beraters und des Auditors sind personell getrennt.

• Die Aufgabe des Beraters besteht darin, zusammen mit der zu auditierenden Organisation Auditierfähigkeit herzustellen.

• Der für die Auditierung zuständige Vertreter der Organisation, der Berater aus dem ULD und der Auditor aus dem ULD machen eine gemeinsame Begehung und stellen zusammen, was alles in die Bestandsaufnahme und Bewertung eingehen soll.

• Der Auditor begutachtet anschließend das vom Berater und Organisation hergestellte Dokument einschließlich Einsichtnahmen vor Ort.


Audit: Organisation und Aufgaben innerhalb eines Auditverfahrens

„Programmatischer Wille“

Entscheidungsinstanz

Kommunikations- und Beobachtungsinstanz

Produktexperten-Instanz


Audit-Ablauf, Doing und Controlling

Phase 1„Vor-Audit“Vertrags-verhandlung,Festlegungdes Audit-Gegenstands

Phase 3„Defizit-Behebung“ - Technik - Recht - Prozesse - Dokumen- tation

Phase 4„Auditierung“ - Technik - Recht - Dokument. - Verträge

Phase 5„Verleihung“des Audit-siegels

Übergang 1„Begehung“Pressearbeit

Übergang 3„Test-Audit“(letzte Defizit-Behebung)

Übergang 4„Abschluss“

t

Sitzung LGFreigabe

Auditierung

Phase 2„Bestands-aufnahme“ - Technik - Recht - Prozesse - Dokumen- tation

Sitzung LGFeststellungdes Projekt-

erfolgs

Übergang 2 „Ist-Soll“

Sitzung LGFreigabe Defizit-

Behebung

Sitzung LGFreigabe des Audit-

Starts

Doing

Control

Berater Berater AuditorLG, Auditor, Berater Zertifizierungsstelle


Die Bewertungsmaßstäbe des ULD fürdie Beurteilung der Qualität der

Datenverarbeitung an Hochschulen


Sieben Goldene Regeln des Datenschutz(Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD 2007/05: 350-356)

1. RechtmäßigkeitJede DV bedarf einer rechtlichen Grundlage (Gesetz/ Vertrag, betriebl. Regelung oder Einwilligung des Betroffenen)

2. EinwilligungEine Einwilligung nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat.

3. ZweckbindungsprinzipPersonen bezogene Daten dürfen nur für erhobenen Zweck verwendet werden

4. ErforderlichkeitDie DV auf den f. i. Erhebungszweck notw. Umfang zu begrenzen

5. TransparenzErhebung und Verarb. pers.bez.Dat. muss gegenüber Betroffenen transp. sein

6. DatensicherheitDS nur gewährleistet, wenn pers.bez.Dat. sicher verarbeitet werden.

7. KontrolleDie DV unterliegt einer internen und externen Kontrolle.


Anforderungen an die Dokumentation gemäß Datenschutzverordnung (DSVO-SH)

Verfahrenszweck

Verfahrensbeschreibung

Sicherheitskonzept

Test und Freigabe

Verfahrensdokumentation

Geräteverzeichnis

Programmverzeichnis

Berechtigungskonzept

Administrationskonzept

Verfahrensübergreifende Dokumentation


Anforderungen Dokumentation gemäß DSVO, speziell Sicherheitskonzept

Die Daten verarbeitende Stelle hat darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um §§ 5 und 6 LDSG zu erfüllen.

Berechtigungskonzept

Protokollierung

Kryptokonzept

Datenschutzmanagement

Sicherheitskonzept

(LDSG § 5 Abs. 1, § 6 Abs. 1)

(LDSG § 5 Abs. 2, § 5 Abs. 4, DSVO § 6)

(LDSG § 5 Abs. 3)

(LDSG § 5 Abs. 5)


Sicherheitsmechanismen und –organisation nach Stand der Technik, typische Fragestellungen:

• Verfügbarkeit: Wie steht es um Redundanz und Zugänglichkeit von IT-Systemen?

• Integrität: Wie sind die IT-Verfahren eingerichtet um zu gewährleisten, dass Daten und Strukturen in Organisationen nicht unkontrollierbar verändert werden können?

• Vertraulichkeit: Wie ist das Zuordnungsmanagement gelöst, dass nur berechtigte Mitarbeiter personenbezogene Daten einsehen und bearbeiten dürfen?

• Authentisierungen: Wie werden Logins/Passworte, Chipkarten und biometrische Eigenschaften verwaltet (vermessen, ausgegeben, gelöscht)?

• Authorisierung: Wie werden die Zugriffsrechte auf Programme und Daten auf den relevanten Personenkreis verwaltet (festgelegt, umgesetzt, eingeschränkt, kontrolliert)?

• Wie werden Sicherheits- und Datenschutzvorfälle erkannt und verwaltet? Wie ist der Einbezug des Sicherheits- und Datenschutzmanagements in die Revision?

• Gibt es ein Management-Paradigma für IT-Betrieb, Sicherheit, Datenschutz?


Prozesse eines gemanagten IT-Betriebs (Beispiel ITIL)

Incident-Management

Nutzer

ManagementServicelevel-Management

Problem-Management

Change-Management

Configuration-Management

Release-Management

Availability-Management

Continuity-Management

Financial-Management

Capacity-Management

Kunde IT-Service-Dienstleister

Service Support

Service Delivery


Reifegradmodell für Prozesse

• Ebene 1: Ausgangszustand (Initial)– Chaotisch, eher Projekte als Prozesse; Input und Ergebnis sind

nicht definiert, Abläufe wiederholen sich nur selten.

• Ebene 2: Reproduzierbar (Managed)– Auf Ebene der kleinsten Organisationseinheiten sind Prozesse

organisiert; Input und Ergebnis sind weitgehend definiert.

• Ebene 3: Standardisiert (Standardised)– Arbeitsschritte und Teilprozesse laufen wiederholbar ab,

Prozesse sind dokumentiert.

• Ebene 4: Vorhersehbar (Predictable)– Es existieren für Arbeitsschritte und Teilprozesse

Qualitätskriterien, so genannte Key Performance Indikatoren (KPI).

• Ebene 5: Optimiert (Optimised)– Der Prozess wird unter Auswertung der KPI beständig

optimiert.


Aufbau des Prozess Reifegradmodells

Stufe 1

Stufe 2

Stufe 3

Stufe 4

Stufe 5

AusgabeEingabe

AusgabeEingabe

AusgabeEingabe

AusgabeEingabe

EingabenAusgaben


ISMS (Information-Security-Managementsystem,

an BSI- bzw. ISO-27001-orientiert)

• Kernprozess:– Erstellung und Pflege von Sicherheitskonzepten in Bezug auf

Gewährleistung von Sicherheitszielen (Kriterien: Integrität, Vertraulichkeit, Verfügbarkeit,zyklischer Prozess: „Plan Do Check Act“ (nach Deming))

– Schutzbedarfsfeststellung / Modellierung von Prozessen

• Unterstützungsprozesse– IT-Sicherheitsvorfallmanagement

(Strukturelement: IT-Sicherheitsvorfallmanagement-Team)

– Notfall-Vorsorge und Notfall-Management

• Entwicklung/ Pflege Notfall-Managementhandbuch

– IT-Revision:

• Interne und externe Auditierung des ISMS

– …


Datenschutzmanagementsystems (DSMS)

• Installieren und Identifizieren von Prüfpunkten, um die Rechtmäßigkeit der Datenverarbeitung gemäß LDSG und DSVO kontrollieren zu können.

• Ein Kontrollkonzept enthält typischerweise Regeln zur…– Durchführen von regelmäßigen Kontrollen

– Durchführen von anlaßbezogenen Kontrollen

– Kontrolle des Berichtwesens

– Beauftragung von (externen) Prüfungen und Audits

• Beteiligung an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung und Fortschreibung von Sicherheitskonzepten.

• Für Datenschutz-Awareness durch Schulungen von Mitarbeitern sorgen.

• In Kommunikation mit der Aufsichtsbehörde stehen.


Befunde nach Beratungen, Prüfungen und einem laufenden Audit

an Hochschulen in S-H


Befunde in Bezug auf Technik-Know-how, Datenschutz-Sensibilität, Rechtskenntnisse

• Vor Ort sind überwiegend technisch-funktional fähige Systemadministratoren anzutreffen.

• Durchgängig findet man ein durchaus glaubwürdiges Bekunden von Sensibilität für Sicherheit und Datenschutz auf der Hochschul- als auch der IT- bzw. RZ-Leitungs-Ebene.

• Durchgängig weitgehende Unkenntnisse geltender Rechtsvorschriften sowie von IT-Sicherheit und Datenschutz-Knowhow auf der Ebene von Fakultäts-, Instituts- oder Fachbereichs-VertreterInnen. – Unter dem Label „Freiheit für Forschung und Lehre“ segelnd

lässt sich regelrecht ein Bemühen um die Ausbildung unbeobachtbarer Räume an Hochschulen feststellen, selbst wenn Mechanismen des Finanzcontrollings etabliert sind. Fazit: Hochschulleitungen haben ein Governance-Problem!


Datenschutzbeauftragte

Die Datenschutzbeauftragten waren in der Regel… – mit geringem Zeitkontingent ausgestattet (5-50%) und

– selbst nach frisch genossenen Fortbildungen mit nur geringen technischen Kenntnissen gesegnet,

– verfügten über keine nachhaltigen operativ umsetzbaren Strategien mit Gestaltungsanspruch, somit

– verbleibt ihnen nur eine anlaßbezogene Aktivitätsentfaltung im Modus akuter Brandbekämpfung.


Befunde bzgl. Dokumentation von Organisation und Verfahren

• Keine aktuellen gültigen Organigramme von der HS-Struktur• Keine aktuellen gültigen Geschäftsverteilungspläne• Keine zutreffenden Tätigkeitsbeschreibungen insbesondere für

die Systemadministration• Rudimentäre Verfahrensverzeichnisse• Keine System- und Verfahrensbeschreibungen im Rahmen eines

übergreifenden, allgemeinen „IT-Konzepts“• Rudimentäre Netzwerkpläne, wenn vorhanden dann methodisch

unreflektiert.• Keine quantitativ oder qualitativ ausreichenden

Sicherheitskonzept-Dokumentationen von Verfahren• Zwar waren Testsysteme vorhanden, aber keine Dokumentation

von Tests


• Mit Bezug zur EDV-Nutzung gibt es in der Regel Nutzungs-anweisungen für Studierende, aber nur ausnahmsweise und unsystematisch Dienstanweisungen für SachbearbeiterInnen oder SystemadministratorInnen.

• Wie Zugriffsrechte der Uni-Leitung, des akademischen und Verwaltungs-Personals, der Studierenden und der Systemadministratoren verwaltet werden (Einrichtung, Unterweisung, Löschung), konnte nicht prüffähig dargestellt werden

• Keine dokumentiert geregelte Verfahren, wie Änderungen von Prüfungsordnungen in der IT tatsächlich umgesetzt und getestet werden.

• Keine beweissichere oder revisionsfeste (automatisierte) Protokollierung der Tätigkeiten der Systemadministration.

• Verträge mit externen IT-Dienstleistern (Hardware) oder Software (insbesondere der HIS) konnten nur rudimentär vorgelegt werden und waren dann von fragwürdiger Qualität.

Befunde bzgl. Dokumentation von Organisation und Verfahren


Befund Prozessmanagement

Keinerlei Kenntnisse - weder bei Administratoren noch bei Leitung, Verwaltung geschweige denn dem akademischen Personal - in Bezug auf methodischen Managementleitlinien für IT-Betrieb (a la ITIL, COBIT, ISO27001 oder BS, Datenschutzverordnung).


Grundsätzliche Mindest-Anforderungen an ein Datenschutzmanagementsystem einer Hochschule

• Ausweis von Prüfpunkten zur Nachweisbarkeit bzw. zur Kontrolle der Rechtmäßigkeit der Datenverarbeitung,

• Durchführung von Kontrollen des Berichtwesens durch DSB,• Beauftragung von Prüfungen und Durchführen von anlaß-

oder regelmäßigen Kontrollen sowie interner Audits durch DSB,

• Beteiligung des DSB an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung/ Fortschreibung von Sicherheitskonzepten,

• Erreichen von Datenschutz-Awareness in der Organisation durch Schulungen. (Besondere Aufmerksamkeit sollte der Schulung von Lehrstuhlinhabern gelten, um mit diesen gemeinsam die rechtlichen Grenzen der Freiheit von Forschung und Lehre besser bestimmbar zu machen.)

• Kommunikation mit der Aufsichtsbehörde.


Wie anfangen?

• Der Leitung darlegen: Datenschutz ist zu einem konstruktiven Aspekt des Risk-Managements einer Organisation geworden!

• Datenschutz heute heisst: Konstruktive Beteiligung am Kommunikationsmanagement nach Innen und Außen.

• Mehr Ressourcen für Datenschutz einfordernDie gibt es aber nur, wenn die Datenschützerin oder der Datenschützer etwas sichtbar Funktionales zu bieten hat. Zumindest sollte sie/er tatsächlich ein wesentlicher Compliance-Wächter für eine Hochschule sein.


Wie anfangen?

• Bündnispartner mit Interessensschnittmenge suchen– Personalrat: Mitarbeiterdatenschutz– Mit Studierendenvertretern sprechen– Kontakt zum RZ-Sicherheitsbeauftragten aufbauen

• BSI-Grundschutz ist Minimum für RZ-Sicherheits-Design, das bietet Strukturierung, an die man anknüpfen kann.

• Mit der IT eine Dokumentationstrategie vereinbaren, Verzeichnisse anlegen und dann pragmatisch ANFANGEN!

• Win-Win-Situationen herstellen und z.B. die „Protokollierung“ von Prozessen thematisieren: Wie erzeugt unsere Organisation eigentlich Transparenz in der IT? Das interessiert Alle.

– Konkret: Auf die IT (auch: HIS) zugehen und sich darlegen lassen, was wie wo protokolliert wird, unter welchen Umständen wer warum und wie diese Daten auswertet und wie grundsätzlich mit möglicherweise festgestellten Sicherheitsvorfällen dann umgegangen wird. Dazu bedarf es keines eigenen Technik-Know-hows.

• Selber als Projektmanager agieren und sich mit einer Projektmanagementmethode vertraut machen (z.B. PRINCE2)


Fazit

• Die wesentlichen Prozesse gemäß ITIL sind im Bereich der Verwaltungs-IT an den Hochschulen noch nicht als solche gegeneinander separiert und hochauflösend konzipiert.

• Der Reifegrad dieser Prozesse bzw. des IT-Managements an den Hochschulen befindet sich bestenfalls auf Stufe 2. Das heisst: Es gibt „irgendwie laufende“ Prozesse, die wenig bis gar nicht dokumentiert und somit, aus der Perspektive der Organisations-steuerung, intransparent sind.

– Intransparenz wiederum bedeutet:

• Es ist kein hinreichend revisionssicherer oder beweisfester Nachweis der Rechtmäßigkeit des Verwaltungshandelns möglich (obwohl dieser operativ besser denn je möglich wäre).

• Keine prüffähe Transparenz der technisch-funktionalen Prozesse derzeit. (Und das bedeutet abgeleitet auch: Keine hinreichend präzisen Wirtschaftlichkeits- Berechnungen von Prozessen oder Verfahren möglich.)


ULD - Martin Rost

E-Mail:[email protected]

Telefon: 0431 988 1391ULD: Holstenstr. 98, 24103 Kiel

Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung

Documents

Transcript of Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung