Datenschutz und Datensicherheit zwei Seiten einer Medaille
Ein Atemzug und doch ein Unterschied Datenschutz gem. BDSG Datensicherheit (Grundschutz gem. GSHB) © rb, 08/2005
Datenschutz gem. Bundesdatenschutzgesetz (§ 1) Zweck des Gesetzes ist der Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts durch öffentliche Stellen des Bundes/der Länder oder durch nicht-öffentliche Stellen. © rb, 08/2005
Personenbezogene Daten – was ist das? (§ 3) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. © rb, 08/2005
Automatisierte Verarbeitung ist gem. § 3 jede… Erhebung ist jede Verwendung Speichern Verändern Übermitteln Sperren ist das jedwede Beschaffen personenbezogener Daten Verarbeitung Nutzung personenbezogener Daten. © rb, 08/2005
Grundsatz der Datensparsamkeit (§ 3a) Bei der Gestaltung und Auswahl von Datenverarbeitungssystemen ist darauf zu achten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, verarbeiten oder zu nutzen. © rb, 08/2005
Verbot der Datenverarbeitung unter Erlaubnisvorbehalt (§ 4) Die Erhebung, Verarbeitung und Nutzung ist nur zulässig, soweit dies das BDSG oder eine andere Rechtsnorm zulässt oder anordnet oder – oder Betroffene eingewilligt hat. aber: © rb, 08/2005
Verbot der Datenverarbeitung unter Erlaubnisvorbehalt (§ 4) Ohne seine Mitwirkung dürfen sie erhoben werden, wenn… die Kenntnis der Daten zur Aufgabenerfüllung notwendig ist, dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist, es sich um offenkundige Daten handelt oder dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit notwendig ist. © rb, 08/2005
Meldepflicht (§ 4d) Verfahren automatisierter Verarbeitung sind vor Inbetriebnahme dem Datenschutzbeauftragten zu melden. © rb, 08/2005
Datengeheimnis (§ 5) Den bei der Datenverarbeitung Beschäftigten ist untersagt, unbefugt Daten zu erheben, zu verarbeiten oder zu nutzen. Sie sind auf das Datengeheimnis zu verpflichten © rb, 08/2005
Wann müssen die Daten gelöscht werden? (§ 35) ihre Speicherung unzulässig war sobald die Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist wenn der Betroffene ihrer Speicherung widerspricht und rechtlich keine Grundlage zur Speicherung besteht. © rb, 08/2005
Datenschutzbeauftragte bei Bundesverwaltungen Bundesdatenschutzbeauftragter behördlicher Datenschutzbeauftragter beim BMF örtlicher Datenschutzbeauftragter bei HZA/OFD © rb, 08/2005
Technische und organisatorische Maßnahmen (§9 u. Anlage) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle getrennte Verarbeitung © rb, 08/2005
Kontrolle der Einhaltung des Datenschutzes Bundesdatenschutzbeauftragter erwähnt Tätigkeits- bericht berichtet bemängelt behördlicher Datenschutzbeauftragter prüft Dienststelle © rb, 08/2005
Die drei Grundwerte: Datensicherheit Vertraulichkeit Integrität Verfügbarkeit © rb, 04/2013
Datensicherheit um jeden Preis? einen hundertprozentigen Schutz gibt es nicht, weil der Aufwand dafür unendlich groß wäre man mit einem vollkommen sicheren System nicht arbeiten könnte. und © rb, 08/2005
Datensicherheit um jeden Preis? Schutz ist also relativ, aber wovon macht man den Aufwand abhängig? vom Schutzbedarf. © rb, 08/2005
Schutzbedarfsfeststellung als Ausgangspunkt Schutzbedarfsfestellung für jedes einzelne IT-System, aber Gruppierung möglich. Es wurden drei Schutzbedarfskategorien durch das BSI definiert: niedrig/mittel hoch sehr hoch © rb, 08/2005
Schutzbedarf niedrig bis mittel Schadensauswirkungen sind begrenzt und überschaubar. © rb, 08/2005
Schutzbedarf hoch Schadensauswirkungen können beträchtlich sein, aber noch tolerabel © rb, 08/2005
Schutzbedarf sehr hoch Schadenauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß annehmen © rb, 08/2005
Schadensszenarien Verstoß gegen Vorschriften/Gesetze/Verträge Beeinträchtigung des informellen Selbstbestimmungsrechtes Beeinträchtigung der persönlichen Unversehrtheit Beeinträchtigung der Aufgabenerfüllung negative Außenwirkung finanzielle Auswirkungen © rb, 08/2005
Grundschutzhandbuch des BSI Vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben enthält Empfehlungen, deren Einhaltung einen Grundschutz darstellt. Mit diesem Grundschutz wird niedriger bis mittlerer Schutzbedarf befriedigt. Für höheren Schutzbedarf wird eine Risikoanalyse benötigt. © rb, 08/2005