21
Datenschutz und Datenschutz und Datensicherheit Datensicherheit zwei Seiten einer zwei Seiten einer Medaille Medaille

Datenschutz und Datensicherheit zwei Seiten einer Medaille

Embed Size (px)

Citation preview

Page 1: Datenschutz und Datensicherheit zwei Seiten einer Medaille

Datenschutz und Datenschutz und DatensicherheitDatensicherheit

zwei Seiten einer Medaillezwei Seiten einer Medaille

Page 2: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datenschutzgem. BDSG

Datenschutzgem. BDSG

Datensicherheit(Grundschutzgem. GSHB)

Datensicherheit(Grundschutzgem. GSHB)

Ein Atemzug und doch ein UnterschiedEin Atemzug und doch ein Unterschied

Page 3: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datenschutz gem. Datenschutz gem. Bundesdatenschutzgesetz (§ 1)Bundesdatenschutzgesetz (§ 1)

Zweck des Gesetzes ist der Schutz des Zweck des Gesetzes ist der Schutz des Einzelnen vor Beeinträchtigung seines Einzelnen vor Beeinträchtigung seines PersönlichkeitsrechtsPersönlichkeitsrechts

durch öffentliche Stellen des Bundes/der durch öffentliche Stellen des Bundes/der LänderLänder

oder durch nicht-öffentliche Stellen.oder durch nicht-öffentliche Stellen.

Page 4: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Personenbezogene Daten – Personenbezogene Daten – was ist das? (§ 3)was ist das? (§ 3)

Einzelangaben überEinzelangaben über persönliche oder sachliche Verhältnissepersönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbareneiner bestimmten oder bestimmbaren natürlichennatürlichen Person. Person.

Page 5: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Grundsatz der Datensparsamkeit Grundsatz der Datensparsamkeit (§ 3a)(§ 3a)

Bei der Gestaltung und Auswahl von Bei der Gestaltung und Auswahl von Datenverarbeitungssystemen Datenverarbeitungssystemen

ist darauf zu achten,ist darauf zu achten, keine oder so wenig personenbezogene keine oder so wenig personenbezogene

Daten wie möglich Daten wie möglich zu erheben, verarbeiten oder zu nutzen.zu erheben, verarbeiten oder zu nutzen.

Page 6: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Verbot der DatenverarbeitungVerbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4)unter Erlaubnisvorbehalt (§ 4)

Die Erhebung, Verarbeitung und Die Erhebung, Verarbeitung und Nutzung ist nur zulässig, Nutzung ist nur zulässig,

soweit dies das BDSG oder eine soweit dies das BDSG oder eine andereandereRechtsnorm zulässt oder anordnet Rechtsnorm zulässt oder anordnet oder –oder –

oder Betroffene eingewilligt hat.oder Betroffene eingewilligt hat.

aberaber::

Page 7: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Verbot der DatenverarbeitungVerbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4)unter Erlaubnisvorbehalt (§ 4)

Ohne seine Mitwirkung dürfen sie erhoben Ohne seine Mitwirkung dürfen sie erhoben werden, wenn…werden, wenn…

die Kenntnis der Daten zur Aufgabenerfüllung die Kenntnis der Daten zur Aufgabenerfüllung notwendig ist,notwendig ist,

dies zum Schutz lebenswichtiger Interessen des dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist,Betroffenen oder eines Dritten notwendig ist,

es sich um offenkundige Daten handelt oderes sich um offenkundige Daten handelt oder dies zur Abwehr einer erheblichen Gefahr für dies zur Abwehr einer erheblichen Gefahr für

die öffentliche Sicherheit notwendig ist.die öffentliche Sicherheit notwendig ist.

Page 8: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Meldepflicht (§ 4d)Meldepflicht (§ 4d)

Verfahren automatisierter Verarbeitung Verfahren automatisierter Verarbeitung sind sind vorvor Inbetriebnahme dem Inbetriebnahme dem Datenschutzbeauftragten zu melden.Datenschutzbeauftragten zu melden.

Page 9: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datengeheimnis (§ 5)Datengeheimnis (§ 5)

Den bei der Datenverarbeitung Den bei der Datenverarbeitung Beschäftigten ist untersagt, unbefugt Beschäftigten ist untersagt, unbefugt Daten zu erheben, zu verarbeiten oder zu Daten zu erheben, zu verarbeiten oder zu nutzen.nutzen.

Sie sind auf das Datengeheimnis zu Sie sind auf das Datengeheimnis zu verpflichten verpflichten

Page 10: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Wann müssen die Daten Wann müssen die Daten gelöscht werden? (§ 35)gelöscht werden? (§ 35)

ihre Speicherung unzulässig warihre Speicherung unzulässig war sobald die Kenntnis für die sobald die Kenntnis für die

Aufgabenerfüllung nicht mehr erforderlich Aufgabenerfüllung nicht mehr erforderlich istist

wenn der Betroffene ihrer Speicherung wenn der Betroffene ihrer Speicherung widerspricht und rechtlich keine Grundlage widerspricht und rechtlich keine Grundlage zur Speicherung besteht.zur Speicherung besteht.

Page 11: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datenschutzbeauftragte bei Datenschutzbeauftragte bei BundesverwaltungenBundesverwaltungen

örtlicher Datenschutzbeauftragter bei HZA/OFD

örtlicher Datenschutzbeauftragter bei HZA/OFD

behördlicher Datenschutzbeauftragter beim BMF

behördlicher Datenschutzbeauftragter beim BMF

BundesdatenschutzbeauftragterBundesdatenschutzbeauftragter

Page 12: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Kontrolle der Einhaltung des Kontrolle der Einhaltung des DatenschutzesDatenschutzes

DienststelleDienststelle

behördlicher Datenschutzbeauftragter

behördlicher Datenschutzbeauftragter

BundesdatenschutzbeauftragterBundesdatenschutzbeauftragter

prüft

berichtet bemängelt

Tätigkeits-bericht

Tätigkeits-bericht

erwähnt

Page 13: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 04/2013© rb, 04/2013

Die drei Grundwerte:Die drei Grundwerte:

DatensicherheitDatensicherheit

VertraulichkeitVertraulichkeit IntegritätIntegrität

VerfügbarkeitVerfügbarkeit

Page 14: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datensicherheit um jeden Preis?Datensicherheit um jeden Preis?

einen hundertprozentigen Schutzeinen hundertprozentigen Schutzgibt es nicht, gibt es nicht,

weil der Aufwand dafür unendlich weil der Aufwand dafür unendlich groß wäre groß wäre

man mit einem vollkommen sicherenman mit einem vollkommen sicherenSystem nicht arbeiten könnte.System nicht arbeiten könnte.

undund

Page 15: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Datensicherheit um jeden Preis?Datensicherheit um jeden Preis?

Schutz ist also relativ,Schutz ist also relativ,

vom Schutzbedarf.

aber wovon machtaber wovon macht

man den Aufwand abhängig?man den Aufwand abhängig?

Page 16: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Schutzbedarfsfeststellung Schutzbedarfsfeststellung als Ausgangspunktals Ausgangspunkt

Schutzbedarfsfestellung für jedes einzelne Schutzbedarfsfestellung für jedes einzelne IT-System, aber Gruppierung möglich.IT-System, aber Gruppierung möglich.

Es wurden drei SchutzbedarfskategorienEs wurden drei Schutzbedarfskategoriendurch das BSI definiert:durch das BSI definiert:

niedrig/mittel hoch sehr hoch

Page 17: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Schutzbedarf niedrig bis mittelSchutzbedarf niedrig bis mittel

Schadensauswirkungen sind Schadensauswirkungen sind begrenztbegrenztund überschaubar.und überschaubar.

Page 18: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Schutzbedarf hochSchutzbedarf hoch

Schadensauswirkungen können Schadensauswirkungen können beträchtlich sein, aber noch tolerabelbeträchtlich sein, aber noch tolerabel

Page 19: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Schutzbedarf sehr hochSchutzbedarf sehr hoch

Schadenauswirkungen können ein Schadenauswirkungen können ein existenziell bedrohliches, existenziell bedrohliches, katastrophaleskatastrophalesAusmaß annehmenAusmaß annehmen

Page 20: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

SchadensszenarienSchadensszenarien

Verstoß gegen Verstoß gegen Vorschriften/Gesetze/VerträgeVorschriften/Gesetze/Verträge

Beeinträchtigung des informellen Beeinträchtigung des informellen SelbstbestimmungsrechtesSelbstbestimmungsrechtes

Beeinträchtigung der persönlichen Beeinträchtigung der persönlichen UnversehrtheitUnversehrtheit

Beeinträchtigung der AufgabenerfüllungBeeinträchtigung der Aufgabenerfüllung negative Außenwirkungnegative Außenwirkung finanzielle Auswirkungenfinanzielle Auswirkungen

Page 21: Datenschutz und Datensicherheit zwei Seiten einer Medaille

© rb, 08/2005© rb, 08/2005

Grundschutzhandbuch des BSIGrundschutzhandbuch des BSI

Vom Bundesamt für Sicherheit in der Vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben Informationstechnik herausgegeben

enthält Empfehlungen, deren Einhaltungenthält Empfehlungen, deren Einhaltungeinen Grundschutz darstellt.einen Grundschutz darstellt.

Mit diesem Grundschutz wird Mit diesem Grundschutz wird niedrigerniedriger bis bis mittlerermittlerer Schutzbedarf befriedigt. Schutzbedarf befriedigt.

Für höheren Schutzbedarf wird eine Für höheren Schutzbedarf wird eine Risikoanalyse benötigt.Risikoanalyse benötigt.