Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung Berlin, 14. September 2007 Martin Rost Unabhängiges.

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung Berlin, 14. September 2007 Martin Rost Unabhängiges."—  Präsentation transkript:

1 Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung Berlin, 14. September 2007 Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2 Gliederung Datenschutzparadigmen und ULD DS-Instrumente: Beratung, Prüfung, Auditierung Bewertungsmaßstäbe Die festgestellten Mängel an den Hochschulen in Schleswig-Holstein Was kann man tun? Fazit: Zur Zeit ist kein hinreichender Nachweis der Ordnungsmäßigkeit des Verwaltungshandelns an den Hochschulen in S-H möglich.

3 Eine kurze Geschichte der einander ergänzenden Datenschutzparadigmen ab 1890: Herausbildung des rechtsfähigen Anspruchs auf right to be let alone (Warren/Brandeis, USA), seitdem spontan aufblitzendes Thematisieren bspw. des Rechts am eigenen Bild insbesondere von Prominenten und Funktionsträgern ab 1970: Verstetigte bürgerrechtliche Politisierung von Datenschutzthemen ab Ende der 1970er: Verrechtlichung und Institutionalisierung des Datenschutzes, mit dem rechtlichen Höhepunkt 1983 Volkszählungsurteil: Recht auf informationelle Selbstbestimmung als Grundrecht. Ab Mitte der 70er Einrichtung öffentlicher Datenschutzbeauftragter. (vorläufiger Höhepunkt 2003/11: Europaweite Vereinheitlichung des DS-Rechts durch Inkraftsetzen der EU-Richtlinie.) ab Mitte der 1990er: Technisierung des Datenschutzes: Privacy-Enhancing- Technologies (PET): Datenschutz (nicht wie bislang gegen sondern) durch Inanspruchnahme von Technik implementieren. ab 2000: Ökonomisierung des Datenschutzes: Datenschutz- Gütesiegel nach dem Motto: Privacy sells. ab 2006: Datenschutz als integrierender Bestandteil organisierten Prozessmanagements (im Rahmen von ITIL, CoBIT, BS, ISO27001) DS-Instrument: Beratung/ Mitentwicklung DS-Instrument: Prüfung DS-Instrument: Auditierung

4 Die 7 Säulen des ULD PrüfungBeratungSchulung inkl. DATEN- SCHUTZ- AKADEMIE IT-LaborModell- projekte GütesiegelAudit Öffentl. Verwaltungen Unternehmen Bürger, Kunden, Klienten, Patienten Primäre Adressaten: Wirtschaft, Wissenschaft, Verwaltung

5 Projekte im ULD Ubiquitäres Computing - TAUCIS Identitätsmanagement - Prime und FIDIS Nutzerorientiertes Digital Rights Management - Privacy4DRM Datenschutzanforderungen für die Forschung – PRISE Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Spamingbekämpfung bei Voice-Over-IP – SPIT-AL Verkettungen und Identitätsmanagement SOA-Usecases and Privacy Biodatenbanken Euro-Prise, Datenschutzsiegel für Europa …

6 Beratung, Prüfung, Auditierung von Hochschulen in S-H

7 Die Beratung Auslöser für Beratung: Die Universität wird aktiv, typischerweise Verantwortliche aus dem Umfeld der EDV. –Erwartungen seitens der Uni an Aufsichtsbehörde: Kompetent aber kostenfrei zu bereits getroffene oder noch anstehende Sicherheitsmaßnahmen sowie grundsätzlich zu RZ-Organisationsparadigmen (SOA, ITIL, CoBIT, ISO-27001) beraten werden. Aufklärung über rechtliche Anforderungen. Typische Fragen: Welche Gesetze gelten? Welche Dokumentationspflichten bestehen? Was ist wie zu protokollieren? Sind wir - Provider? –Erwartungen seitens der Aufsichtsbehörde an Ratsuchende: Die Empfehlungen werden umgesetzt. Der Dialog wird fortgesetzt, Teilnahme an Schulungen Zunahme der Sensibilität dafür, dass die Kriterien und Maßnahmen für Sicherheit (gem. BSI-Grundschutz) und für Datenschutz nicht deckungsgleich sind.

8 Die Prüfung Auslöser für Prüfungen: –Durch strategische Maßgaben der Hausleitung –Von Mitarbeiter oder Betroffenem wird ein DS-Vorfall gemeldet, der vom ULD als Datenschutzverstoß gewertet wird. Darauf folgt in der Regel eine Prüfung vor Ort. Zum (idR angekündigten) Prüfungstermin werden angefordert: –Verantwortlicher Leiter der Organisation, Vertreter der Personal- abteilung, Datenschutzbeauftragte, IT-Systemverantwortliche –Dokumente in Kopie: Bestellungsurkunde der/des Datenschutzbeauftragten (vgl. §10 LDSG) Aufgabenbeschreibung der Systemverantwortlichen Dienstanweisungen, z.B. zur Nutzung der EDV-Systeme oder Internetdienste Verfahrensverzeichnis (vgl. § 7 LDSG) IT-Konzept (vgl. § 4 DSVO), insbesondere Netzplan Sicherheitskonzept (vgl. § 6 DSVO) Test und Freigabe (exemplarisch anhand eines Verfahrens) (vgl. § 7 DSVO) Auszug aus dem IT-Inventarverzeichnis (vgl. § 8 DSVO) Auszug aus dem Berechtigungskonzept der Mitarbeiter/ Systemadministratoren an IT-Geräten, Programmen und Dateien (vgl. § 8 DSVO) Wartungs-/Dienstleistungs-Verträge mit externen Dienstleistern (vgl. § 17 LDSG)

9 Prüfungsablauf 1.Initiierung: Gemeldeter Vorfall oder Prüfstrategie 2.Prüfungsankündigung (erfolgt in der Regel) 3.Bestandsaufnahme vor Ort 4.Dokumentation der Befunde 5.Bewertung der Befunde, mögliche Bewertungen: –Als In Ordnung bestätigen –Mangel aussprechen bei Verstößen –Beanstandung bei erheblichen Verstößen, zusätzlich ausführliche Darstellung im jährlichen Tätigkeitsbericht sowie möglicherweise Bußgeld (Aufsichtsbereich: bis 250T möglich.) 6.Vorschläge für Maßnahmen zur Behebung festgestellter Schwächen, Verstöße und Mängel 7.Nachprüfung

10 Behörden-Audit in Schleswig-Holstein durch das ULD Auslöser: Die betroffene öffentliche Verwaltung ODER ein Auftraggeber einer betroffenen öffentlichen Verwaltung äußern gegenüber dem ULD den Wunsch, die Datenschutzkonformität vom ULD nach Innen qualitätssichernd und nach Außen hin werbewirksam mit einem Siegel bestätigen zu lassen.

11 Audit: Unterschied zur Prüfung? Ein Audit ist zunächst wie eine Prüfung angelegt, allerdings mit dem Unterschied, dass beim Audit das ULD an der Behebung der festgestellten Mängel (meist: Dokumentation und Einrichtung von Kontrollverfahren bzw. Datenschutz- managementsystem) mitarbeitet. Die Vergabe des Audit-Zeichens verlangt, dass sich das Niveau in Bezug auf Datensicherheit und technischen Datenschutz wenigsten auf dem Stand der Technik befindet und bei zumindest einem Aspekt Exzellenz hervorgehoben werden kann.

12 Audit: Bestimmungen, Durchführung Maßgeblich bei der Durchführung sind die Anwendungs- bestimmungen des ULD zur Durchführung eines Datenschutz-Behördenaudits Die Projektmanagement-Methode eines ULD-Audits orientiert sich an PRINCE2 (PRojects IN Controlled Environments). Stärken von PRINCE2: –Produktorientierung, wesentliche Leitfrage: Was sollen wir liefern? (nicht: Was sollen wir tun?) –Eindeutige und vollständige Zuordnung von Rollen und Verantwortlichkeiten –Standardisierte Projekt-Prozesse –Kriterien für ein allseits erwatbares Risiko- und Changemanagement –Controlling bzgl. des Status des Verfahrens

13 Audit: Trennung von Berater und Auditor Die Rollen des Beraters und des Auditors sind personell getrennt. Die Aufgabe des Beraters besteht darin, zusammen mit der zu auditierenden Organisation Auditierfähigkeit herzustellen. Der für die Auditierung zuständige Vertreter der Organisation, der Berater aus dem ULD und der Auditor aus dem ULD machen eine gemeinsame Begehung und stellen zusammen, was alles in die Bestandsaufnahme und Bewertung eingehen soll. Der Auditor begutachtet anschließend das vom Berater und Organisation hergestellte Dokument einschließlich Einsichtnahmen vor Ort.

14 Audit: Organisation und Aufgaben innerhalb eines Auditverfahrens Programmatischer Wille Entscheidungsinstanz Kommunikations- und Beobachtungsinstanz Produktexperten- Instanz

15 Audit-Ablauf, Doing und Controlling Phase 1 Vor-Audit Vertrags- verhandlung, Festlegung des Audit- Gegenstands Phase 3 Defizit- Behebung - Technik - Recht - Prozesse - Dokumen- tation Phase 4 Auditierung - Technik - Recht - Dokument. - Verträge Phase 5 Verleihung des Audit- siegels Übergang 1 Begehung Pressearbeit Übergang 3 Test-Audit (letzte Defizit- Behebung) Übergang 4 Abschluss t Sitzung LG Freigabe Auditierung Phase 2 Bestands- aufnahme - Technik - Recht - Prozesse - Dokumen- tation Sitzung LG Feststellung des Projekt- erfolgs Übergang 2 Ist-Soll Sitzung LG Freigabe Defizit- Behebung Sitzung LG Freigabe des Audit- Starts Doing Control Berater AuditorLG, Auditor, Berater Zertifizierungsstelle

16 Die Bewertungsmaßstäbe des ULD für die Beurteilung der Qualität der Datenverarbeitung an Hochschulen

17 Sieben Goldene Regeln des Datenschutz (Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD 2007/05: ) 1.Rechtmäßigkeit Jede DV bedarf einer rechtlichen Grundlage (Gesetz/ Vertrag, betriebl. Regelung oder Einwilligung des Betroffenen) 2.Einwilligung Eine Einwilligung nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat. 3.Zweckbindungsprinzip Personen bezogene Daten dürfen nur für erhobenen Zweck verwendet werden 4.Erforderlichkeit Die DV auf den f. i. Erhebungszweck notw. Umfang zu begrenzen 5.Transparenz Erhebung und Verarb. pers.bez.Dat. muss gegenüber Betroffenen transp. sein 6.Datensicherheit DS nur gewährleistet, wenn pers.bez.Dat. sicher verarbeitet werden. 7.Kontrolle Die DV unterliegt einer internen und externen Kontrolle.

18 Anforderungen an die Dokumentation gemäß Datenschutzverordnung (DSVO-SH) Verfahrenszweck Verfahrensbeschreibung Sicherheitskonzept Test und Freigabe Verfahrensdokumentation Geräteverzeichnis Programmverzeichnis Berechtigungskonzept Administrationskonzept Verfahrensübergreifende Dokumentation

19 Anforderungen Dokumentation gemäß DSVO, speziell Sicherheitskonzept Die Daten verarbeitende Stelle hat darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um §§ 5 und 6 LDSG zu erfüllen. Berechtigungskonzept Protokollierung Kryptokonzept Datenschutzmanagement Sicherheitskonzept (LDSG § 5 Abs. 1, § 6 Abs. 1) (LDSG § 5 Abs. 2, § 5 Abs. 4, DSVO § 6) (LDSG § 5 Abs. 3) (LDSG § 5 Abs. 5)

20 Sicherheitsmechanismen und –organisation nach Stand der Technik, typische Fragestellungen: Verfügbarkeit: Wie steht es um Redundanz und Zugänglichkeit von IT-Systemen? Integrität: Wie sind die IT-Verfahren eingerichtet um zu gewährleisten, dass Daten und Strukturen in Organisationen nicht unkontrollierbar verändert werden können? Vertraulichkeit: Wie ist das Zuordnungsmanagement gelöst, dass nur berechtigte Mitarbeiter personenbezogene Daten einsehen und bearbeiten dürfen? Authentisierungen: Wie werden Logins/Passworte, Chipkarten und biometrische Eigenschaften verwaltet (vermessen, ausgegeben, gelöscht)? Authorisierung: Wie werden die Zugriffsrechte auf Programme und Daten auf den relevanten Personenkreis verwaltet (festgelegt, umgesetzt, eingeschränkt, kontrolliert)? Wie werden Sicherheits- und Datenschutzvorfälle erkannt und verwaltet? Wie ist der Einbezug des Sicherheits- und Datenschutzmanagements in die Revision? Gibt es ein Management-Paradigma für IT-Betrieb, Sicherheit, Datenschutz?

21 Prozesse eines gemanagten IT-Betriebs (Beispiel ITIL)

22 Reifegradmodell für Prozesse Ebene 1: Ausgangszustand (Initial) –Chaotisch, eher Projekte als Prozesse; Input und Ergebnis sind nicht definiert, Abläufe wiederholen sich nur selten. Ebene 2: Reproduzierbar (Managed) –Auf Ebene der kleinsten Organisationseinheiten sind Prozesse organisiert; Input und Ergebnis sind weitgehend definiert. Ebene 3: Standardisiert (Standardised) –Arbeitsschritte und Teilprozesse laufen wiederholbar ab, Prozesse sind dokumentiert. Ebene 4: Vorhersehbar (Predictable) –Es existieren für Arbeitsschritte und Teilprozesse Qualitätskriterien, so genannte Key Performance Indikatoren (KPI). Ebene 5: Optimiert (Optimised) –Der Prozess wird unter Auswertung der KPI beständig optimiert.

23 Aufbau des Prozess Reifegradmodells

24 ISMS (Information-Security-Managementsystem, an BSI- bzw. ISO orientiert) Kernprozess: –Erstellung und Pflege von Sicherheitskonzepten in Bezug auf Gewährleistung von Sicherheitszielen (Kriterien: Integrität, Vertraulichkeit, Verfügbarkeit, zyklischer Prozess: Plan Do Check Act (nach Deming)) –Schutzbedarfsfeststellung / Modellierung von Prozessen Unterstützungsprozesse –IT-Sicherheitsvorfallmanagement (Strukturelement: IT-Sicherheitsvorfallmanagement-Team) –Notfall-Vorsorge und Notfall-Management Entwicklung/ Pflege Notfall-Managementhandbuch –IT-Revision: Interne und externe Auditierung des ISMS –…

25 Datenschutzmanagementsystems (DSMS) Installieren und Identifizieren von Prüfpunkten, um die Rechtmäßigkeit der Datenverarbeitung gemäß LDSG und DSVO kontrollieren zu können. Ein Kontrollkonzept enthält typischerweise Regeln zur… –Durchführen von regelmäßigen Kontrollen –Durchführen von anlaßbezogenen Kontrollen –Kontrolle des Berichtwesens –Beauftragung von (externen) Prüfungen und Audits Beteiligung an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung und Fortschreibung von Sicherheitskonzepten. Für Datenschutz-Awareness durch Schulungen von Mitarbeitern sorgen. In Kommunikation mit der Aufsichtsbehörde stehen.

26 Befunde nach Beratungen, Prüfungen und einem laufenden Audit an Hochschulen in S-H

27 Befunde in Bezug auf Technik-Know-how, Datenschutz-Sensibilität, Rechtskenntnisse Vor Ort sind überwiegend technisch-funktional fähige Systemadministratoren anzutreffen. Durchgängig findet man ein durchaus glaubwürdiges Bekunden von Sensibilität für Sicherheit und Datenschutz auf der Hochschul- als auch der IT- bzw. RZ-Leitungs-Ebene. Durchgängig weitgehende Unkenntnisse geltender Rechtsvorschriften sowie von IT-Sicherheit und Datenschutz-Knowhow auf der Ebene von Fakultäts-, Instituts- oder Fachbereichs-VertreterInnen. –Unter dem Label Freiheit für Forschung und Lehre segelnd lässt sich regelrecht ein Bemühen um die Ausbildung unbeobachtbarer Räume an Hochschulen feststellen, selbst wenn Mechanismen des Finanzcontrollings etabliert sind. Fazit: Hochschulleitungen haben ein Governance-Problem!

28 Datenschutzbeauftragte Die Datenschutzbeauftragten waren in der Regel… –mit geringem Zeitkontingent ausgestattet (5-50%) und –selbst nach frisch genossenen Fortbildungen mit nur geringen technischen Kenntnissen gesegnet, –verfügten über keine nachhaltigen operativ umsetzbaren Strategien mit Gestaltungsanspruch, somit –verbleibt ihnen nur eine anlaßbezogene Aktivitätsentfaltung im Modus akuter Brandbekämpfung.

29 Befunde bzgl. Dokumentation von Organisation und Verfahren Keine aktuellen gültigen Organigramme von der HS-Struktur Keine aktuellen gültigen Geschäftsverteilungspläne Keine zutreffenden Tätigkeitsbeschreibungen insbesondere für die Systemadministration Rudimentäre Verfahrensverzeichnisse Keine System- und Verfahrensbeschreibungen im Rahmen eines übergreifenden, allgemeinen IT-Konzepts Rudimentäre Netzwerkpläne, wenn vorhanden dann methodisch unreflektiert. Keine quantitativ oder qualitativ ausreichenden Sicherheitskonzept-Dokumentationen von Verfahren Zwar waren Testsysteme vorhanden, aber keine Dokumentation von Tests

30 Mit Bezug zur EDV-Nutzung gibt es in der Regel Nutzungs- anweisungen für Studierende, aber nur ausnahmsweise und unsystematisch Dienstanweisungen für SachbearbeiterInnen oder SystemadministratorInnen. Wie Zugriffsrechte der Uni-Leitung, des akademischen und Verwaltungs-Personals, der Studierenden und der Systemadministratoren verwaltet werden (Einrichtung, Unterweisung, Löschung), konnte nicht prüffähig dargestellt werden Keine dokumentiert geregelte Verfahren, wie Änderungen von Prüfungsordnungen in der IT tatsächlich umgesetzt und getestet werden. Keine beweissichere oder revisionsfeste (automatisierte) Protokollierung der Tätigkeiten der Systemadministration. Verträge mit externen IT-Dienstleistern (Hardware) oder Software (insbesondere der HIS) konnten nur rudimentär vorgelegt werden und waren dann von fragwürdiger Qualität. Befunde bzgl. Dokumentation von Organisation und Verfahren

31 Befund Prozessmanagement Keinerlei Kenntnisse - weder bei Administratoren noch bei Leitung, Verwaltung geschweige denn dem akademischen Personal - in Bezug auf methodischen Managementleitlinien für IT-Betrieb (a la ITIL, COBIT, ISO27001 oder BS, Datenschutzverordnung).

32 Grundsätzliche Mindest-Anforderungen an ein Datenschutzmanagementsystem einer Hochschule Ausweis von Prüfpunkten zur Nachweisbarkeit bzw. zur Kontrolle der Rechtmäßigkeit der Datenverarbeitung, Durchführung von Kontrollen des Berichtwesens durch DSB, Beauftragung von Prüfungen und Durchführen von anlaß- oder regelmäßigen Kontrollen sowie interner Audits durch DSB, Beteiligung des DSB an der Berichterstattung bzw. der Bearbeitung relevanter Sicherheitsvorfälle sowie an der Erstellung/ Fortschreibung von Sicherheitskonzepten, Erreichen von Datenschutz-Awareness in der Organisation durch Schulungen. (Besondere Aufmerksamkeit sollte der Schulung von Lehrstuhlinhabern gelten, um mit diesen gemeinsam die rechtlichen Grenzen der Freiheit von Forschung und Lehre besser bestimmbar zu machen.) Kommunikation mit der Aufsichtsbehörde.

33 Wie anfangen? Der Leitung darlegen: Datenschutz ist zu einem konstruktiven Aspekt des Risk-Managements einer Organisation geworden! Datenschutz heute heisst: Konstruktive Beteiligung am Kommunikationsmanagement nach Innen und Außen. Mehr Ressourcen für Datenschutz einfordern Die gibt es aber nur, wenn die Datenschützerin oder der Datenschützer etwas sichtbar Funktionales zu bieten hat. Zumindest sollte sie/er tatsächlich ein wesentlicher Compliance- Wächter für eine Hochschule sein.

34 Wie anfangen? Bündnispartner mit Interessensschnittmenge suchen –Personalrat: Mitarbeiterdatenschutz –Mit Studierendenvertretern sprechen –Kontakt zum RZ-Sicherheitsbeauftragten aufbauen BSI-Grundschutz ist Minimum für RZ-Sicherheits-Design, das bietet Strukturierung, an die man anknüpfen kann. Mit der IT eine Dokumentationstrategie vereinbaren, Verzeichnisse anlegen und dann pragmatisch ANFANGEN! Win-Win-Situationen herstellen und z.B. die Protokollierung von Prozessen thematisieren: Wie erzeugt unsere Organisation eigentlich Transparenz in der IT? Das interessiert Alle. –Konkret: Auf die IT (auch: HIS) zugehen und sich darlegen lassen, was wie wo protokolliert wird, unter welchen Umständen wer warum und wie diese Daten auswertet und wie grundsätzlich mit möglicherweise festgestellten Sicherheitsvorfällen dann umgegangen wird. Dazu bedarf es keines eigenen Technik-Know-hows. Selber als Projektmanager agieren und sich mit einer Projektmanagementmethode vertraut machen (z.B. PRINCE2)

35 Fazit Die wesentlichen Prozesse gemäß ITIL sind im Bereich der Verwaltungs-IT an den Hochschulen noch nicht als solche gegeneinander separiert und hochauflösend konzipiert. Der Reifegrad dieser Prozesse bzw. des IT-Managements an den Hochschulen befindet sich bestenfalls auf Stufe 2. Das heisst: Es gibt irgendwie laufende Prozesse, die wenig bis gar nicht dokumentiert und somit, aus der Perspektive der Organisations- steuerung, intransparent sind. –Intransparenz wiederum bedeutet: Es ist kein hinreichend revisionssicherer oder beweisfester Nachweis der Rechtmäßigkeit des Verwaltungshandelns möglich (obwohl dieser operativ besser denn je möglich wäre). Keine prüffähe Transparenz der technisch-funktionalen Prozesse derzeit. (Und das bedeutet abgeleitet auch: Keine hinreichend präzisen Wirtschaftlichkeits- Berechnungen von Prozessen oder Verfahren möglich.)

36 ULD - Martin Rost Telefon: ULD: Holstenstr. 98, Kiel


Herunterladen ppt "Datenschutz an Hochschulen in S-H: Aktuelle Erfahrungen nach Beratungen, Prüfungen und Auditierung Berlin, 14. September 2007 Martin Rost Unabhängiges."

Ähnliche Präsentationen


Google-Anzeigen