Datenschutz & IT-Sicherheit Anforderungen, Konzepte, Umsetzung ARGE DATEN Wien, Hilton GardenInn Vienna South, 7. November 2017 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: +43 1 / 53 20 944 Fax.: +43 1 / 53 20 974 Mail Verein: info@argedaten.at Mail persönlich: hans.zeger@argedaten.at WWW-Verein: http://www.argedaten.at Zertifizierung: http://www.globaltrust.eu WWW-DSG2000: http://www.argedaten.at/dsg2000 DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf EU DS-GVO-Volltext: ftp://ftp.freenet.at/privacy/ds-eu/eu-DSGVO-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: http://www.argedaten.at/muster/ elektronische Kopie der Veranstaltungsunterlagen: http://www2.argedaten.at/static/ds-mod03-sicher-2017-herbst-komplett.pdf ARGE DATEN ARGE DATEN

Aktivitäten der ARGE DATEN Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: +80.000 Besucher/Monat - Newsletter: rund 5.200 Abonnenten Mitgliederbetreuung Datenschutzfragen - 2016: ca. 500 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2016: in ca. 80 Fällen Mitglieder in Verfahren vertreten Studien- und Beratungsprojekte - Sichere Tickets - Onlinebanking - Smartmeter - Onlineapotheken Diese Datenschutzthemen bewegen die Österreicher: - Gesundheit und Soziales: 20%  - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 17%  - Beruf / Ausbildung: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 8%  - Konsumentendaten/Adressenverlage: 8%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 4%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 500 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2016)‏ ARGE DATEN

Ausbildungsreihe der ARGE DATEN Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I: Datenschutz Grundlagen 10. April 2018 Modul II: Datenverwendung im Unternehmen 11. April 2018 Modul III: Datenschutz und IT-Sicherheit Modul IV: Datenschutz EU-Grundverordnung / Praxis 12. April 2018 Modul V: Datenschutzfragen identifizieren 8. November 2017 / 25. April 2018 Warum ein "betrieblicher Datenschutzbeauftragter"? Die DSGVO verlangt für alle Behörden und zahlreiche Unternehmen (zB wenn vorrangig "besondere Datenkategorien" verarbeitet werden) verpflichtend einen Datenschutzbeauftragten. Auf Grund der umfangreichen neuen Dokumentations- und Informationspflichten der DSGVO empfiehlt es sich jedoch für alle anderen Unternehmen, insbesondere ab einer Größe von 50 Mitarbeitern, die Position eines "betrieblichen Datenschutzbeauftragten" zu schaffen. Dies hat sowohl ablauf- als auch aufbauorganisatorische Vorteile. Durch die Schaffung dieser Position ergibt sich für alle Mitarbeiter eine klar dokumentierte Zuständigkeit für Datenschutzfragen, die meist komplexer rechtlicher, technischer oder organisatorischer Art sind und nicht unmittelbar einzelnen Abteilungen, wie der IT- oder der Rechts-Abteilung zugeordnet werden können. Damit können Koordination und Durchsetzung der notwendigen Datenschutzmaßnahmen erleichtert werden. Für Mitarbeiter, Kunden und Lieferanten ergibt sich eine eindeutige Kompetenzstelle für alle Datenschutzprobleme, unabhängig davon welche Geschäftsbereiche diese betreffen. Gerade Datenschutzfragen enthalten potentiellen Konfliktstoff, der durch eine rasche und effiziente Klärung offener Fragen professionell beseitigt werden kann. Die Reihe wird mit einem Zertifikat abgeschlossen ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN ARGE DATEN

Geplanter Seminarablauf ISO27001-Zertifizierung in der Praxis Das IT-Grundschutz-Konzept Mittagspause IT-Sicherheit gemäß DSGVO / DSG 2000 Aktuelle IT-Sicherheitsrisken - ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Sicherheit Grundlagen Bestimmungen IT-Sicherheit gemäß DSGVO / DSG2000 Sicherheit Grundlagen Bestimmungen Entscheidungen Sonderbestimmungen - ARGE DATEN ARGE DATEN

technische Sicht ("safety"): IT-Sicherheit Was ist IT-Sicherheit? technische Sicht ("safety"): - Sicherung der Herkunft (Authentizität, Integrität) - Sicherung der Vertraulichkeit - Sicherung der Verfügbarkeit - allgemeine Betriebssicherheit (OS, Applikationen, Geräte, Netzwerk, Operating, Prozesse, ...) - Katastrophenschutz Delikt-Sicht ("security"): betrifft alle Sicherheitsbereiche - Delikte sind nur ein Auslöser unter vielen - andere sind: etwa Fahrlässigkeiten, Unwissenheit der Mitarbeiter, Fehleinschätzungen der Geschäftsführung, ... Sicherheitsstandards - Common Criteria - ITSEC - ISO 27001:2011 [vormals: BS 7799 / ISO 17799] (IT-Sicherheitsmanagement-System) Information technology - Security techniques - Information security management systems – Requirements" Sicherheitsstellen - Zertifizierungs-/Auditstellen (BSI, DFN-CERT, A-SIT, CERT.AT, ...) - Europäische Agentur für Netz- und Informationssicherheit (ENISA) (seit 14.3.2004, 2007 erfolgt Evaluation, derzeit Weiterführung) Österreichisches Mitglied: Posch/BKA Gütesiegel - Deutschland: www.datenschutzzentrum.de/guetesiegel/index.htm mit Schwerpunkt Datenschutz - EU-Projekt EUROPRISE: Datenschutz-Gütesiegel für ganz Europa - GoodPriv@cy Standard (Schweiz) - Österreich: http://www.guetesiegel.gv.at versuchte ein freiwilliges Akkreditierungsverfahren für e-government-Anwendungen einzuführen: Schwerpunkt e-GovG-Konformität, Sicherheitskonform, Datenschutz spielt keine Rolle (seit 10/2013 nicht mehr Online) BSI-Sicherheitskategorien - BSI unterscheidet nur Sicherung der Integrität, Vertraulichkeit und Verfügbarkeit ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Eurobarometerumfrage 2011 Was wird überhaupt als schützenswerte Personeninformation angesehen? (EU27 / AT / max / min) - Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL - Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL - Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT - Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO - mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG - private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE / 8% CY - besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Großbritannien, Österreich Link zur Eurobarometer-Umfrage: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf Was wird als personenbezogene Information gesehen? Originalformulierung: QB2 Which of the following types of information and data that are related to you do you consider as personal? EU27 European Union – 27 Member States (Zeitpunkt der Umfrage) BE Belgium LU Luxembourg BG Bulgaria HU Hungary CZ Czech Republic MT Malta DK Denmark NL The Netherlands DE Germany AT Austria EE Estonia PL Poland EL Greece PT Portugal ES Spain RO Romania FR France SI Slovenia IE Ireland SK Slovakia IT Italy FI Finland CY Republic of Cyprus SE Sweden LT Lithuania UK United Kingdom LV Latvia ARGE DATEN ARGE DATEN

Safety+Security Privacy ARGE DATEN ARGE DATEN IT-Sicherheit Verhältnis von Datensicherheit (Safety+Security) und Datenschutz (Privacy) Safety+Security Privacy Zugriffsschutz, Protokollierung, Rechteverwaltung, Ausspähen von Daten, Datenbeschädigung, Passwörter Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz Grundrechtliche Fragen ohne direkten IT-Bezug: Zweckbindung, Melde- und Offenlegungspflichten, infomationelle Selbstbestimmung - Datensicherheit behandelt vorrangig technische Fragen Welche Bedrohung? Was ist möglich? Im Zentrum stehen Abwehrszenarien Datenschutz behandelt vorrangig (grund)rechtliche Fragen Was ist erwünscht? Im Zentrum stehen Gestaltungsszenarien ARGE DATEN ARGE DATEN

DSGVO Art. 32 "Sicherheit" ARGE DATEN DSGVO - Sicherheit Grundsatz der Verhältnismäßigkeit (Abs 1): - Stand der Technik - Implementierungskosten - Zwecke der Verarbeitung - unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen individuelle Vertragsklauseln zwischen Verantwortlichen oder dem Auftragsverarbeiter und Empfänger (Art. 46 Abs. 3 lit a) zu setzende Maßnahmen - Pseudonymisierung und Verschlüsselung personenbezogener Daten (Abs 1 lit a) - Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste müssen auf Dauer sichergestellt sein (Abs 1 lit b) - Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen muss nach einem Zwischenfall rasch wieder hergestellt werden (Abs 1 lit c) DSGVO Art. 32 Sicherheit der Verarbeitung (1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. ARGE DATEN

DSGVO Art. 32 "Sicherheit" II DSGVO - Sicherheit DSGVO Art. 32 "Sicherheit" II zu setzende Maßnahmen (Fortsetzung) - Implementierung von Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Abs. 1 lit d) - Sicherung, dass Mitarbeiter Daten nur gemäß Anweisungen verwenden (Abs. 4) Beurteilung der gesetzten Maßnahmen - bei Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind (Abs. 2) - der Nachweis der Einhaltung genehmigter Verhaltensregeln (Art. 40) oder genehmigter Zertifizierungen (Art. 42) kann als Nachweis der Erfüllung der Anforderungen dienen (Abs. 3) DSGVO Art. 32 Sicherheit der Verarbeitung (Fortsetzung) (4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. ARGE DATEN

Sicherheitsbestimmungen (§ 14) DSG 2000 - Sicherheitsbestimmungen Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der technischen Möglichkeiten entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 10/2014 gilt Version 4.0 des Informations-Sicherheitshandbuch Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften! MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ Sicherheitsvorschriften müssen für die Mitarbeiter jederzeit einschaubar sein (Abs. 6) Umsetzung sollte nach anerkannten Verfahren oder Leitlinien erfolgen Technische Maßnahmen ohne security policy sind ineffektiv! Wesentlicher Bestandteil jeder "security policy" sind die tatsächlich erteilten Verarbeitungs- und Verwendungsanweisungen Beispiele: BSI-Grundschutz, Sicherheitshandbücher, ... Informationen zum österreichischen IT-Sicherheitshandbuch: https://www.sicherheitshandbuch.gv.at/2013/index.php Verwendung von Sicherheitskonzepten entlasten in der individuellen Haftung, können aber zu unerwünschter Delegation von Verantwortung führen WKO hat Sicherheitshandbuch mit eher volksbildnerischen Charakter herausgebracht: http://www.it-safe.at/pdf/handbuch.pdf ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN DSG 2000 - Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Die Maßnahmen können als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinie oder ISO 27001 Informationssicherheitsleitlinie Beachtung technischer Maßnahmen laufende Beobachtung diverser Mailinglisten (CERT), Publikationen der Art. 29 Datenschutzgruppe der EU, Anlehnung an bestehende Konzepte und Empfehlungen BSI-Handbuch, IT-Sicherheitshandbücher, Datenschutzgütesiegel Befassung externer Berater (Wirtschaftstreuhänder, Sicherheitsberater, ...), Outsourcing einzelner IT-Sicherheitsaspekte an ISP, Dienstleister SPAM- und Viren/Wurm-Kontrolle, Firewall, ... Arbeitspapiere der Art. 29 Gruppe http://ec.europa.eu/justice/data-protection/article-29/ Auswahl: - verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter (Binding Corporate Rules) - Arbeitspapier über genetische Daten - unerbetenen Werbenachrichten - Verarbeitung personenbezogener Daten aus der Videoüberwachung - vertrauenswürdige Rechnerplattformen Bestimmungen können zu Unvereinbarkeitsregeln führen, z.B. Verbot der Personenidentität von IT-Admin und IT-Sicherheitsbeauftragten ARGE DATEN ARGE DATEN

Protokollierungsanforderungen I (§ 14) DSG 2000 - Sicherheitsbestimmungen Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren § 14 DSG 2000 Datensicherheitsmaßnahmen (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind. (2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen, 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern, 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können, ARGE DATEN ARGE DATEN

Protokollierungsanforderungen II (§ 14) DSG 2000 - Sicherheitsbestimmungen Protokollierungsanforderungen II (§ 14) - Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) - unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Zugriffen!!) - zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind - Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen - Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist § 14 DSG 2000 (Fortsetzung) 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung. (4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt. (5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. (6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.  Protokolldaten sind manipulationssicher "revisionssicher"aufzubewahren (z.B elektronisch signiert) ARGE DATEN ARGE DATEN

Umsetzung Protokollierungsanforderungen DSG 2000 - Sicherheitsbestimmungen Umsetzung Protokollierungsanforderungen Empfehlung für den öffentlichen Bereich: Common Audit Trail v1.0 - regelt: Inhalt, Übermittlung und Auswertung der Protokolle - Aufbewahrungsdauer generell: 3 Jahre, bei Übermittlung zu Revisionszwecke: Löschung nach Abschluss der Revision - Inhalt: UTF-8 kodiert, lokale Uhrzeit (M=muss, K=kann) Anfragedatum & -zeit (M), Benutzerkennung (M) + Anwendername (K), Organisationseinheit (M), Applikationskennung (M), Verarbeitungsart (M), Bearbeitungsgrund (K), Transaktionskennzeichen (K), Abfrage/Ergebnis (K) Empfehlung für den öffentlichen Bereich siehe http://www.ref.gv.at/AG-RS-CommonAuditTrail-1-0-0.2702.0.html 1.1 Zweck Damit Anwendungsverantwortliche, Stammportalbetreiber und zugriffsberechtigte Stellen ihre Rechte und Pflichten nach dem Datenschutzgesetz 2000 und der Portalverbundvereinbarung erfüllen können, ist für Anwendungen eine Protokollierung von Informationen, die der Nachvollziehbarkeit der tatsächlichen Verwendung der Daten dienen, unverzichtbar. Die Protokollierungspflicht trifft in erster Linie den Anwendungsverantwortlichen (Auftraggeber nach DSG 20001 Da Anwendungsverantwortliche Anwendungen der unterschiedlichsten Zwecke und Ausprägungen betreiben können, lässt sich naturgemäß kaum ein einheitliches Format für alle Protokolle festlegen. Für die Durchführung einer Revision bzw. der Überprüfung der Zulässigkeit von Zugriffen auf eine Anwendung im Einzelfall sind jedoch Mindestanforderungen für ein zu übermittelndes Protokoll für die Prüfzwecke erforderlich. Nur diese werden in der gegenständlichen Spezifikation definiert.  jedoch: Empfehlung enthält keine Regelung zur revisionssicheren Aufbewahrung ARGE DATEN ARGE DATEN

ARGE DATEN DSG 2000 - Verschwiegenheit DSG 2000 § 15 "Verpflichtung zum Datengeheimnis" Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheitsmaßnahmen für Mitarbeiter (§ 14 Abs. 6) - ARGE DATEN

DSAG § 6 "Datengeheimnis"  ähnlich zu DSG2000 ARGE DATEN DSAG 2018 - Bestimmungen DSAG § 6 "Datengeheimnis" Mitarbeiter sind zum Datengeheimnis zu verpflichten Mitarbeiter sind über Folgen der Verletzung des Datengeheimnisses zu belehren Daten dürfen nur auf Grund ausdrücklicher Anordnung verwendet werden Mitarbeiter darf aus der Weigerung einer rechtswidrigen Übermittlung kein Nachteil erwachsen bestehende gesetzliche Aussageverweigerungsrechte dürfen nicht durch inanspruchnahme eines für den Verantwortlichen tätigen Auftragsverarbeiters umgangen werden  ähnlich zu DSG2000 Datengeheimnis DSAG 2018 § 6. (1) Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten. (3) Der Verantwortliche und der Auftragsverarbeiter haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen. (5) Ein zugunsten eines Verantwortlichen bestehendes gesetzliches Aussageverweigerungsrecht darf nicht durch die Inanspruchnahme eines für diesen tätigen Auftragsverarbeiters, insbesondere nicht durch die Sicherstellung oder Beschlagnahme von automationsunterstützt verarbeiteten Dokumenten, umgangen werden. ARGE DATEN

DSGVO Art. 35 "Datenschutz-Folgenabschätzung" DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" allgemeine Voraussetzungen zum Führen einer Folgenabschätzung: jede Form der Verarbeitung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen  Verwendung neuer Technologien [Anm.: heuristische Verfahren, CRM-Analysen, "Big-Data"-Analysen, statistische Verfahren, Verfahren mit "hohen" FAR/FRR-Ergebnissen]  besonders umfangreiche Datenverarbeitungen [Anm.: "alle" Personen einer Gruppe]  besondere Umstände der Datenverarbeitung [Anm.: mangelnde Freiwilligkeit, besonders exponierte Personengruppe, etwa im Sozialbereich, unscharf abgegrenzte Betroffenengruppe]  besondere Zwecke der Datenverarbeitung [Anm.: Verarbeitungsergebnis hat weitreichende Konsequenzen, zB Job-Verlust, Verlust einer Berechtigung, Terminverlust, ...] NEU! DSGVO DSGVO Art. 35 Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. ARGE DATEN

DSGVO Art. 35 "Datenschutz-Folgenabschätzung" II DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" II in Verordnung genannte Beispiele: - systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet - umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten [Anm: Arzt NEIN, Spital JA] - umfangreiche Verarbeitung strafrechtlicher Verurteilungen und Straftaten - systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche [Anm: Videoüberwachung?] Aufsichtsbehörde MUSS Liste von "riskanten" Verarbeitungen erstellen Aufsichtsbehörde KANN Liste von "unbedenklichen" Verarbeitungen erstellen Regelung fehlt! DSGVO Art. 35 Datenschutz-Folgenabschätzung (Fortsetzung) (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz- Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. (6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. (7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Regelung fehlt! vergleichbar StMV? ARGE DATEN

DSGVO Art. 35 "Datenschutz-Folgenabschätzung" III DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" III Listen müssen im "Kohärenzverfahren" mit den anderen EU-Staaten abgestimmt werden Inhalt der Folgenabschätzung (soweit zutreffend): - systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen - Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck - Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen - Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird DSGVO Art. 35 Datenschutz-Folgenabschätzung (Fortsetzung) (8)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen. (9)Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. (10)Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen. (11)Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. ARGE DATEN

DSGVO Art. 35 "Datenschutz-Folgenabschätzung" IV DSGVO - Datenschutzorganisation DSGVO Art. 35 "Datenschutz-Folgenabschätzung" IV Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 ist zu berücksichtigen (Abs. 8) Datenschutzbeauftragter (falls vorhanden) MUSS konsultiert werden Verantwortlicher holt Standpunkt der Betroffenen oder deren Vertreter ein (Abs. 9 " Mitwirkungs- und Mitspracherechte ") [Anm: wird bei Mitarbeiterverarbeitungen Bedeutung erlangen] Keine verpflichtende Folgenabschätzung (Abs. 10) bei gesetzlich angeordneten Verarbeitungen, sofern + Verarbeitung gemäß Art. 6 Abs. 1 lit c [zur Erfüllung einer rechtlichen Verpflichtung erforderlich] oder e [Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen] + konkreter Verarbeitungsvorgang oder konkrete Verarbeitungsvorgänge geregelt sind + Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte - ARGE DATEN

Datenschutz-Folgenabschätzung - Erforderlichkeit DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Erforderlichkeit Liegt eine Verpflichtung zur Folgenabschätzung vor?  neue Technologien heuristische Verfahren, statistische Verfahren (zB biometrische Analysen, biometrische Identitätsfeststellung) Beobachten von Surf- oder Kaufverhalten automatisiertes Generieren von Empfehlungen  besonderer Umfang der Daten  besondere Zwecke  systematischer Einsatz von Profiling  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten  umfangreiche Verarbeitung strafrechtlicher Verurteilungen und Straftaten - ARGE DATEN

Datenschutz-Folgenabschätzung - Erforderlichkeit II DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Erforderlichkeit II  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche Videoüberwachung Kundentracking Mitarbeitertracking (etwa bei Fuhrpark, ...)  sonstige Risiken - ARGE DATEN

Datenschutz-Folgenabschätzung - Schäden DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Schäden Welche potentiellen Schäden können identifiziert werden? Hinweise gibt EW 75 der DSGVO fehlerhafte Datenverarbeitungen führen zu: - physischem, materiellem oder imateriellem Schaden - Diskriminierung - Identitätsdiebstahl oder -betrug - finanziellem Verlust - Rufschädigung - Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegende Daten - wirtschaftlichem oder gesellschaftlichem Nachteil - Verlust von Rechten und Freiheiten - Kontrollverlust über die eigenen Daten - falscher Bewertung der Person (zB im Zusammenhang mit Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben oder Interessen, Zuverlässigkeit, sonstigem Verhalten, ...) DSGVO EW75 (75) Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. ARGE DATEN

Datenschutz-Folgenabschätzung - Schadensklassen DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Schadensklassen Schäden werden in Schadensklassen gegliedert Empfohlen wird gerade Zahl von Schadensklassen und wenige Klassen (4-6)  Finanzielle Schadensklassen: [SA] < 100,- EUR [SB] 100 bis 1.000,- EUR [SC] 1.000 bis 100.000 EUR [SD] > 100.000 EUR (absolute Höhen werden vom Betroffenenkreis abhängen)  Schadensklassen Reputation: [SA] geringe Personenanzahl, Person wird nicht eindeutig identifiziert [SB] unmittelbares Umfeld (zB engerer Familienkreis, Abteilungskollegen, <20 Personen) [SC] beschränktes Umfeld (zB Hausgemeinschaft, Unternehmen, Kunden, Lieferanten, 20-200 Personen) [SD] unbeschränktes Umfeld (zB Medien, Online, ...) - ARGE DATEN

Datenschutz-Folgenabschätzung - Schadensklassen II DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Schadensklassen II  Schadensklassen Fehltherapie [SA] überflüssige Behandlungsmaßnahmen sind faktisch ausgeschlossen [SB] geringfügige zusätzliche überflüssige Behandlungsmaßnahmen (zB Medikamentation die grundsätzlich geeignet ist) [SC] belastende zusätzliche überflüssige Behandlungsmaßnahmen (zB Medikamentation die nicht geeignet ist mit geringen Nebenwirkungen) [SD] erhebliche Belastung durch überflüssige Maßnahmen (zB Medikation die zusätzliche Therapien auslöst)  Schadensklassen medizinische Behandlungsfehler [SA] Maßnahmen die auch Nichtmediziner erkennen und korrigieren kann (zB fehlerhafter Verband) [SB] leicht korrigierbare Maßnahmen (zB geringfügig fehlerhafte Dosierung) [SC] korrigierbare Maßnahmen (zB falsche Implantate) [SD] nicht korrigierbare Maßnahmen (zB Amputationen) - ARGE DATEN

Datenschutz-Folgenabschätzung - Schadensklassen III DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Schadensklassen III  Schadensklassen Beratungs- und Betreuungfehler [SA] Fehlende Vertragsunterlagen, die nachgereicht werden können [SB] Abschluss eines nicht erwünschten, aber grundsätzlich geeigneten Vertrages [SC] Abschluss eines ungeeigneten Vertrages [SD] Abschluss eines falschen Vertrages  Schadensklassen Zeitverlust [SA] < 1 Stunde [SB] 1 bis 10 Stunden [SC] 1 bis 120 Stunden [SD] > 120 Stunden - ARGE DATEN

Datenschutz-Folgenabschätzung - Eintrittshäufigkeit DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Eintrittshäufigkeit  Wahrscheinlichkeit des Eintritts [H1] < 1 mal pro Jahr [H2] < 1 mal pro Monat [H3] < 1 mal pro Woche [H4] > 1 mal pro Woche - ARGE DATEN

Datenschutz-Folgenabschätzung - Risikomatrix DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Risikomatrix Häufigkeit H4: > 1 mal pro Woche SA / H4 SB / H4 SC / H4 SD / H4 H3: < 1 mal pro Woche SA / H3 SB / H3 SC / H3 SD / H3 H2: 1 - 12 mal jährlich SA / H2 SB / H2 SC / H2 SD / H2 H1: < 1 mal pro Jahr SA / H1 SB / H1 SC / H1 SD / H1 SA: < 100 Euro SB: 100 bis 1.000,- Euro SC: 1.000 - 100.000,- Euro SC: > 100.000 Euro bzw. nicht bezifferbar Finanzieller Schaden für Betroffenen Maßnahmen MÜSSEN VOR Beginn der Verarbeitung gesetzt werden Maßnahmen SOLLTEN ergriffen werden, KANN im laufenden Betrieb erfolgen - ARGE DATEN

Datenschutz-Folgenabschätzung - Risikomatrix DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Risikomatrix Häufigkeit H4: > 1 mal pro Woche SA / H4 SB / H4 SC / H4 SD / H4 H3: < 1 mal pro Woche SA / H3 SB / H3 SC / H3 SD / H3 H2: 1 - 12 mal jährlich SA / H2 SB / H2 SC / H2 SD / H2 H1: < 1 mal pro Jahr SA / H1 SB / H1 SC / H1 SD / H1 SA: Maßnah-men die Nicht-mediziner korrigieren kann SB: leicht korrigierbare Maßnahmen SC: korrigierbare Maßnahmen SC: nicht korrigierbare Maßnahmen medizinische Behandlungs-fehler Maßnahmen MÜSSEN VOR Beginn der Verarbeitung gesetzt werden Maßnahmen SOLLTEN ergriffen werden, KANN im laufenden Betrieb erfolgen - ARGE DATEN

Datenschutz-Folgenabschätzung - Verarbeitungsschritte (Detailprozess) DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Verarbeitungsschritte (Detailprozess)  Datenerfassung (Online-Formular, Papier-Formular, interne Eingabemaske, ...)  Datenkorrektur (Antrag schriftlich, mündlich, telefonisch, interne Korrektur)  Berechnungsverfahren (Scoringwert, Profiling, Vergleichs- oder Grenzwerte)  Auswertung (fehlerhafte Datenzuordnung, ...)  Veröffentlichung (Freigabe von Daten, ...)  Fehlerhafte Ausdrucke (zB Etikettierung bei Medizinprodukten)  Backup- und Restore (Backup funktioniert nicht, Medium defekt, falsche/veraltete Daten werden restored, ..)  Löschen von Daten (unbeabsichtigtes Löschen, Löschen falsche Daten, ...)  Datenzugriff (erwünscht/unerwünscht intern, durch Dritte, Malware, Hacking, ...)  ??? - ARGE DATEN

Datenschutz-Folgenabschätzung - Fallbeispiel DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Fallbeispiel  Verarbeitung: Kreditvergabe  Verarbeitungsschritt: Online-Kreditantrag  Bedrohung iS Art. 35 Abs. 1: Profiling (hier: Geoscoring)  Schwachstelle: Fehlerhafte/unvollständige Datenerfassung  Schadensklasse: Mehrkosten Kredit / Kreditablehnung Potentielle Bedrohung Basis Eintrittshäufigkeit und Schadenshöhe je Ereignis getroffene Maßnahmen Behandlung Restrisiko Mögliche Schwachstelle Bewertung Basisrisiko Bewertung Restrisiko Es erfolgt auf Basis der Onlineangaben des Betroffenen im Hintergrund ein Geoscoring mehr als einmal pro Woche, kann zu Kreditablehnung führen und dem Betroffenen Mehrkosten > 1.000,- Euro verursachen Genaue Aufklärung, dass geoscoring gemacht wird und daher Kreditkonditionen nur mit korrekter Adresse richtig berechnet werden können   Vor Berechnung der Kreditkonditionen wird das vorliegende Scoringergebnis auch inhaltlich geprüft. Antragsteller gibt jedoch unvollständige Adressdaten bekannt SC / H4 SA / H2 - ARGE DATEN

Datenschutz-Folgenabschätzung - Fallbeispiel II DSGVO - Datenschutzorganisation Datenschutz-Folgenabschätzung - Fallbeispiel II  Verarbeitung: Patientenverwaltung  Verarbeitungsschritt: Datenerfassung (Erst-Anamnese Spital)  Bedrohung iS Art. 35 Abs. 1: unvollständige Gesundheitsdaten  Schwachstelle(n): unübersichtliches / fehlerhaftes Formular, hektischer Betrieb, ungeeignetes Personal, unklare Vorgaben,  Schadensklasse: Fehltherapie Potentielle Bedrohung Basis Eintrittshäufigkeit und Schadenshöhe je Ereignis getroffene Maßnahmen Behandlung Restrisiko Mögliche Schwachstelle Bewertung Basisrisiko Bewertung Restrisiko Es werden in der Erhebung Allergien und Medikamentenunverträglich-keiten übersehen Jederzeit, maximales Risiko bis letalem Ausgang einer Behandlung Nur Fachpersonal macht Anamnese, es existiert eine Checkliste, zumindest einmal jährlich Schulung, Patient muss Erhebung nach Aufklärung abzeichnen  Vor Verwendung der Anamnesedaten erfolgt Plausibilitätscheck der Daten, kritische Daten werden ein zweites Mal gecheckt, stichprobenhafte anlassunabhängige Prüfung der Erhebungsdaten Unübersichtliches Formular, Zeitnot in der Erhebung, mangelnde Erfahrung des Erhebungspersonals SD / H4 SA / H2 - ARGE DATEN

DSGVO Art. 36 "Vorabkonsultation" DSGVO - Datenschutzorganisation DSGVO Art. 36 "Vorabkonsultation" Konsultationsfälle: - Verantwortlicher hat Aufsichtsbehörde zu konsultieren, wenn Verarbeitung "hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft" [Anm: theoretische Bestimmung?] - nationale Bestimmungen verpflichten Konsultation bei bestimmten Verarbeitungen Regelung nicht vorhanden unklar ob vorgesehen! DSGVO Art. 36 Vorherige Konsultation (1)Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. (2)Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat. (3)Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung: a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; b) die Zwecke und die Mittel der beabsichtigten Verarbeitung; c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien; d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. (4)Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen. (5)Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen. ARGE DATEN

erhebliche Ausweitung zu DSG 2000 DSGVO - Informationspflicht DSGVO Art. 33 (Aufsichtsbehörde) & 34 (Betroffene) "Informationspflicht Datenschutzverletzung" - Information an Aufsichtsbehörde ("möglichst binnen 72 Stunden", mit Begründung später) - unverzügliche persönliche Information an Betroffenen (bei "hohem Risiko für die persönlichen Rechte und Freiheiten") Informationsinhalt an Aufsichtsbehörde und Betroffenen (soweit möglich) - Beschreibung der Art der Verletzung [beide] - Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze [Aufsicht] - Name und Kontaktstelle (Datenschutzbeauftragter oder sonstige Anlaufstelle) [beide] - Beschreibung der wahrscheinlichen Folgen für Betroffene [beide] - Beschreibung der ergriffenen Maßnahmen [beide] erhebliche Ausweitung zu DSG 2000 DSGVO Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (1)Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. (2)Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (3)Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4)Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. (5)Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. ARGE DATEN

DSGVO Art. 33 & 34 "Informationspflicht Datenschutzverletzung" II DSGVO - Informationspflicht DSGVO Art. 33 & 34 "Informationspflicht Datenschutzverletzung" II - Information kann an Aufsichtsbehörde schrittweise erfolgen - interne Dokumentationspflicht des Vorfalls Entfall der Informationspflicht an Betroffenen: - technische und/oder organisatorische Sicherheitsmaßnahmen verhindern den Zugriff auf die betroffenen Daten - nachfolgende Maßnahmen verhindern ein Risko für die persönlichen Rechte und Freiheiten - im Falle eines unverhältnismäßig hohen Aufwands kann auch eine "öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden" Alternativ ist die Aufsichtsbehörde zur Information der Betroffenen berechtigt DSGVO Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1)Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2)Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. (3)Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4)Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. ARGE DATEN

DSGVO Art. 28 "Auftragsverarbeiter" DSGVO - Datenschutzorganisation DSGVO Art. 28 "Auftragsverarbeiter" - Eignung muss gegeben sein - keine weiteren Auftragsverarbeiter "ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen" - rechtliche Vereinbarung erforderlich, die "Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen" enthält notwendiger Vertragsinhalt: - Verarbeitung erfolgt nur auf dokumentierte Weise - verarbeitende Personen wurden zur Vertraulichkeit verpflichtet - geeignete Sicherheitsmaßnahmen wurden ergriffen (Art. 32) - Sub-Auftragsverarbeiter werden zur Einhaltung der Vereinbarungen verpflichtet DSGVO Art. 28 Auftragsverarbeiter (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; ARGE DATEN

DSGVO Art. 28 "Auftragsverarbeiter" II DSGVO - Datenschutzorganisation DSGVO Art. 28 "Auftragsverarbeiter" II notwendiger Vertragsinhalt (Fortsetzung): - Unterstützung des Verantwortlichen zur Einhaltung der Betroffenenrechte und sonstiger Verpflichtungen gemäß DSGVO - nach Abschluss der Verarbeitung löscht Auftragsverarbeiter alle Daten oder gibt sie zurück (sofern dem nicht gesetzliche Regelungen entgegen stehen) - stellt dem Verantwortlichen alle notwendigen Informationen zur Einhaltung seiner Verpflichtungen bereit und ermöglicht gegebenenfalls auch Inspektionen Vertragsgestaltung: - kann ein Standardvertrag der EU-Kommission verwendet werden - Vertrag ist schriftlich abzufassen (elektronische Form ist zulässig) DSGVO Art. 28 Auftragsverarbeiter (Fortsetzung) b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d)die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e)angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht; h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. ARGE DATEN

Was ist Cloud-Computing? IT-Sicherheit, DSG 2000 und Cloud-Computing Was ist Cloud-Computing? - technisch: Nutzung fremder IT-Infrastruktur in verschiedenen Ausformungen: IaaS, PaaS, SaaS, public, private oder hybride Cloud - im Lichte des DSGVO: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Auftragsverarbeitung im Sinne DSGVO Art. 28 mit Verpflichtung Sicherheitsmaßnahmen iS DSGVO Art. 32 einzuhalten - im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten Auftraggeber bleibt verantwortlich, egal wie die Cloud-Lösung organisiert ist, auch bei Heranziehung von Sub- und Sub-Sub-Dienstleistern - PaaS: Platform as a Service - SaaS: Software as a Service - IaaS: Infrastructure as a Service ARGE DATEN ARGE DATEN

Basisfragen, die bei Cloudeinsatz gelöst sein müssen IT-Sicherheit, DSGVO und Cloud-Computing Basisfragen, die bei Cloudeinsatz gelöst sein müssen - verantwortlich für den Einsatz von Daten ist der Verantwortliche (Art. 4 Z 7 DSGVO) - den Verantwortlicher trifft Verpflichtung geeigneten Auftragsverarbeiter auszuwählen inkl. aller Sub-Dienstleister (Art. 28 Abs. 1 DSGVO) - der Verantwortlicher hat schriftlich geeignete Vereinbarungen abzuschließen (Art. 28 Abs. 3 DSGVO) - der Verantwortlicher hat die Tätigkeit der Auftrags-verarbeiter zu überwachen (Art. 28 Abs. 3 lit h DSGVO) - der Verantwortlicher kann die Beiziehung von Sub-Auftragsverarbeitern verbieten (Art. 28 Abs. 2 DSGVO)  ähnlich zu DSG2000 - ARGE DATEN ARGE DATEN

Basisfragen, die bei Cloudeinsatz gelöst sein müssen II IT-Sicherheit, DSGVO und Cloud-Computing Basisfragen, die bei Cloudeinsatz gelöst sein müssen II - der Verantwortlicher hat für Umsetzung der richtigen sicherheitstechnischen Maßnahmen gemäß DSGVO Art. 32 zu sorgen (Art. 28 Abs. 3 lit c DSGVO) - bei Nachweis der Einhaltung genehmigter Verhaltensregeln gemäß DSGVO Art. 40 oder genehmigter Zertifizierungsverfahren gemäß DSGVO Art. 42 durch Auftragsverarbeiter gilt die Vermutung der Erfüllung der Sicherheitsmaßnahmen (Art. 32 Abs. 3 DSGVO) ! neu zu DSG 2000 Die Cloudfragen sind durch eine geeignete Kombination technischer und organisatorischer (vertraglicher) Maßnahmen zu lösen! - ARGE DATEN ARGE DATEN

Haftung bei fehlenden Weisungen zur Datensicherheit Sicherheitsmaßnahmen - Haftung Haftung bei fehlenden Weisungen zur Datensicherheit OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Weitere Informationen im ARGE DATEN - Archiv: http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=DIR1005 Unter 9 Ob A 182/90 entschied am 29.08.1990 der OGH, dass bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis 28.9.1988 bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S 114.222,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S 200.000.- , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. ARGE DATEN ARGE DATEN

Haftung bei versuchtem Datenmissbrauch Sicherheitsmaßnahmen - Haftung Haftung bei versuchtem Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort im Zuge der BUWOG-Causa in das interne System des Unternehmens P zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. Unternehmen P verlangt Unterlassungserklärung Unternehmen P verlangt weiters von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. OGH verschärft Haftung der Betriebe bei Datenmissbrauch 6 Ob 126/12s siehe http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=63123otg OGH: Abhilfemöglichkeit des Arbeitgebers reicht für Verantwortung aus Handle der unmittelbare Störer im Interesse oder im Verantwortungsbereich eines Dritten, so wäre dem Gestörten mit einem Anspruch bloß gegen den jederzeit austauschbaren unmittelbaren Störer wenig geholfen. Diese Überlegungen ließen sich auf den vorliegenden Fall übertragen. Die Beklagte habe den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt. Damit habe die Beklagte aber schon aufgrund dieses Umstands Einfluss auf Art und Weise der Benutzung dieses Anschlusses. Im Übrigen habe die Beklagte nach ihrem eigenen Vorbringen offenbar sogar direkte Durchgriffsrechte, hätte doch der Geschäftsführer der Beklagten den betreffenden Redakteur direkt suspendieren können. Resumee - Haftung der Unternehmen auch ohne Schaden Was auf den ersten Blick eher als skurriles Detail im Streit zwischen zwei Boulevardzeitungen anmutet, ist im Endeffekt ein wegweisendes Urteil. Die Haftung von Arbeitgebern für „Eigenaktionen“ einzelner Mitarbeiter wird damit wesentlich ausgeweitet. Fehlende interne Sicherheits- und Kontrollmaßnahmen können bei Betrieben rasch zu hohen zivil- und strafrechtlichen Verpflichtungen führen. Schon der Umstand, dass der Arbeitgeber sich seine Mitarbeiter aussuchen kann, ihnen die Arbeitsressourcen übergibt, ein Weisungs- und Kontrollrecht hat und die Mitarbeiter letztlich in seinem Interesse tätig werden, führt zu dessen Verantwortlichkeit für rechtswidrige Eingriffe. Dies ist auch zu begrüßen - ein Unterlassungsanspruch nur gegen den unmittelbaren Täter wäre hier so gut wie wirkungslos. Abhilfe schafft in solchen Fällen nur ein wirksames internes Sicherheitssystem, dass derartige Fälle verhindert. ARGE DATEN ARGE DATEN

Haftung bei versuchtem Datenmissbrauch II Sicherheitsmaßnahmen - Haftung Haftung bei versuchtem Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A - Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten ARGE DATEN ARGE DATEN

Haftung bei fehlendem Zugriffsschutz Sicherheitsmaßnahmen - Haftung Haftung bei fehlendem Zugriffsschutz EGMR Entscheidung I. gegen Finnland (20511/03) Sachverhalt: Eine finnische Krankenschwester lässt sich im Spital in dem sie arbeitet wegen einer HIV-Infektion behandeln. Kurz darauf wird sie "gemobbt". Der Beweis, dass Personalführung rechtswidrig auf die Patientendaten zugegriffen hat misslingt. Entscheidung des EGMR: Es liegt trotzdem eine Verletzung des Grundrechts auf Privatsphäre vor (Art. 8 EMRK), da unzureichendes Sicherheitsmaßnahmen gesetzt waren. Konsequenz: Aus der Schutzverpflichtung erwächst die positive Pflicht, Personendaten effektiv und praktisch vor der Möglichkeit eines unautorisierten Zugriffs zu schützen; es reicht nicht aus, wenn dem Betroffenen eine Beschwerdemöglichkeit bei Datenmissbrauch gewährt wird CASE OF I v. FINLAND (Application no. 20511/03): JUDGMENT STRASBOURG 17 July 2008 ... 37. The Court observes that it has not been contended before it that there was any deliberate unauthorised disclosure of the applicant’s medical data such as to constitute an interference with her right to respect for her private life. Nor has the applicant challenged the fact of compilation and storage of her medical data. She complains rather that there was a failure on the part of the hospital to guarantee the security of her data against unauthorised access, or, in Convention terms, a breach of the State’s positive obligation to secure respect for her private life by means of a system of data protection rules and safeguards. The Court will examine the case on that basis, having regard in particular to the fact that in the domestic proceedings the onus was on the applicant to prove the truth of her assertion. 38. The protection of personal data, in particular medical data, is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life as guaranteed by Article 8 of the Convention. Respecting the confidentiality of health data is a vital principle in the legal systems of all the Contracting Parties to the Convention. It is crucial not only to respect the sense of privacy of a patient but also to preserve his or her confidence in the medical profession and in the health services in general. The above considerations are especially valid as regards protection of the confidentiality of information about a person’s HIV infection, given the sensitive issues surrounding this disease. The domestic law must afford appropriate safeguards to prevent any such communication or disclosure of personal health data as may be inconsistent with the guarantees in Article 8 of the Convention (see Z v. Finland, judgment of 25 February 1997, Reports of Judgments and Decisions 1997‑I, §§ 95-96). ARGE DATEN ARGE DATEN

OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung) Sicherheitsmaßnahmen - Haftung Haftung bei fehlendem Zugriffsschutz II OGH Entscheidung 6 Ob 25/13i Sachverhalt: Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen. Entscheidung: Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat. OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung) RS zu OGH 2013-02-27 6 Ob 25/13i : Passivlegitimation des Beklagten, der einer anderen Person das Einsehen von Daten ermöglichte, indem er in deren Anwesenheit den Zugang zu einem EDV-System durch Eingabe des Passworts am PC öffnete und sodann das Zimmer verließ, bejaht. aus der OGH-Entscheidung: ... Im vorliegenden Fall ging die Handlung der Ehegattin des Klägers insofern auf den Beklagten zurück, als dieser seinen PC einschaltete, den Password-gesicherten Zugang zu den Krankenakten öffnete und dann das Zimmer verließ, in welchem sich noch die Ehegattin des Klägers aufhielt, die der Beklagte dort allein ließ. Der Beklagte hätte somit die Handlung der Ehegattin des Klägers verhindern können, weshalb an seiner Passivlegitimation kein Zweifel besteht. ... ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Sicherheit Grundlagen Bestimmungen IT-Sicherheit gemäß DSGVO / DSG2000 Sicherheit Grundlagen Bestimmungen Entscheidungen Sonderbestimmungen - ARGE DATEN ARGE DATEN

Bestehende Sicherheitsanforderungen in Ö spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö - Signatur von Barrechnungen Grundlage: Registrierkassensicherheitsverordnung (RKSV) - Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG - Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG (inklusive ELGA-Gesetz) + GTelVO - Sicherheit in der elektronischen Rechnungslegung Grundlage: EU-RL 2010/45/EU, BMF-Verordnung BGBl 516/2012 - Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV - ARGE DATEN ARGE DATEN

Bestehende Sicherheitsanforderungen in Ö II spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II - Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG - Medikamentenabrechnung der Apotheken, Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes - Webapplikationen der Behörden Grundlage: Portalverbundprotokoll pvp 2.0, eine privatrechtliche Vereinbarung - Bankomatkassen Grundlage: privatrechtliche Vorgaben des Betreibers - e-card/GINA-Box + Peering-Point der Ärzte Grundlage: privatrechtliche Vereinbarungen - ARGE DATEN ARGE DATEN

ARGE DATEN spezifische Sicherheitsbestimmungen Registrierkassensicherheitsverordnung (RKSV) Detaillierte technische Vorgaben für eine "sichere" Barrechnung erfordet sichere Signaturerstellungseinheit iS § 2 Z 5 SigG (§ 3 Z 23 der RKSV ist dazu wortident) + vorgegebenes Signaturformat (Z 4,5 Anlage der RKSV) + vorgegebener Signatur-Hash-Algorithmus ES256 (auch secp256, Z 2 Anlage der RKSV) + Zertifikat enthält eine OID (1.2.40.0.10.1.11.1) die den Inhaber als "Registrierkasseninhaber" ausweist (Z 16 Anlage der RKSV) + Zertifikat enthält Ordnungsbegriff des Unternehmens (§ 15 Abs. 3 Z 1 RKSV) - ARGE DATEN

ARGE DATEN spezifische Sicherheitsbestimmungen Registrierkassensicherheitsverordnung (RKSV) II Weitere Vorgaben (Auszug): - jede Kasse muss bei Finanzbehörde gemeldet werden - signierte Rechnungsdaten müssen als QR-Code (Alternativ: OCR, Web-Link) zur leichteren Prüfbarkeit bereit gestellt werden - Rechnungsbelege müssen lückenlos verkettet werden - Ausfall der Kassen muss Finanzbehörde gemeldet werden - monatliche Journale müssen signiert und revisionssicher aufbewahrt werden - ARGE DATEN

ARGE DATEN ARGE DATEN Online - Sicherheit Datenverschlüsselung von Webapplikationen Keine ausdrückliche Anordnung, jedoch gilt: Stand der Technik, Wirtschaftlichkeit, Angemessenheit (siehe 2002/58/EG Kommunikations-Datenschutz-RL, EG 20, Art. 4) Einsatz der 128bit-SSL/TLS-Verschlüsselung kann heute als defacto-Standard / Stand der Technik angesehen werden, die DSK schreibt ihn in mehreren Fällen vor Verwendung von verschlüsselter Datenübertragung bei Webformularen (Analyse 03/2009) - Webseiten österreichische Anbieter: 6%(!!) [ausgewertet: 944 Server] - Webseiten internationale Anbieter: 15% [ausgewertet:120 Server] Server in ausgewählten Bereichen: - Finanzdienstleister (73): verschlüsselt 11 (15%), unverschlüsselt kritisch 13 (18%), unverschlüsselt sonstige 49 (67%) - Gesundheit (46): V 4 (9%), uV kritisch 7 (15%), uV sonstige 35 (76%) - Telekom/IT-Dienstleister (729): V 51 (6%), uV kritisch 159 (19%), uV sonstige 591 (75%) EU-Studie (April 2004 veröffentlicht) prüfte 500 Top-Unternehmen in fünf EU-Ländern (Deutschland, Spanien, Frankreich, Italien, Großbritannien) bezüglich der Verwendung von sicherer Datenübertragung: Nur 9% der Unternehmen nutzten 2003 SSL bzw. TLS (Transport Layer Security) ARGE DATEN ARGE DATEN

Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten spezifische Sicherheitsbestimmungen Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten - Regelung im GTelG-Gesetz (Gesundheitstelematikgesetz, neu seit 2012 inkl. "ELGA-Gesetz") - Umfasst Gesundheitsdaten inkl. Abrechnungsdaten und soziale Daten - Datenaustausch durch Serverzertifikate abgesichert - Identitätsnachweis durch Zertifikate oder Zugangsberechtigung - Datenübertragung im Internet muss verschlüsselt erfolgen - Dateien sind zu signieren (Integritätsnachweis) - ARGE DATEN ARGE DATEN

Sicherheit in der elektronischen Rechnungslegung spezifische Sicherheitsbestimmungen Sicherheit in der elektronischen Rechnungslegung - 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie) - 2003: 1. Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung  elektronische Rechnungen sind fortgeschritten zu signieren oder  falls mittels EDI-Verfahren übermittelt, ist Sammelrechnung ebenfalls zu signieren oder ausgedruckt zu übermiteln - ab 2005: Erlass des BMF zur Verordnung  regelt u.a. Gültigkeit von Massensignatur, automatisierte Signatur, Signatur durch Dienstleister, ... - 2012: 2. Verordnung 516/2012 des BMF: Ende spezifischer Sicherheitsanforderungen in der Rechnungslegung Signaturgesetz im RIS: http://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10003685 ARGE DATEN ARGE DATEN

Digitale Signatur ARGE DATEN ARGE DATEN spezifische Sicherheitsbestimmungen Digitale Signatur Rechtsgrundlagen: EG-RL 1999/93/EG "Rahmenbedingungen für elektronische Signaturen" SigG BGBl. I Nr. 190/1999 + SigVO BGBl. II Nr. 3/2008 E-GovG BGBl. I Nr. 10/2004 "Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen" Zielsetzung: Regelt Rechtswirksamkeit digitaler Signaturen: grundsätzliche Zulässigkeit aller technischer Verfahren, besondere Rechtswirkung bestimmter Verfahren (§ 3) Inhalt: Genehmigungspflicht und Aufsicht durch Behörde bei bestimmten Verfahren ("qualifiziertes Zertifikat"), Verordnung schreibt bestimmte Techniken vor (Hashfunktionen, Signaturalgorithmen, Erzeugung von Zufallszahlen) Seit 1. 7 2016: ersetzt durch eIDAS-Verordnung der EU Umsetzung in Österreich: Signatur- und Vertrauensdienstegesetz (SVG) + Verordnung derzeit in Begutachtung VERORDNUNG (EU) 910/2014 elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt ("eIDAS-Verordnung") Abl L 257/73 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910 Begutachtung Signatur- und Vertrauensdienstegesetz (SVG) https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00191/index.shtml ARGE DATEN ARGE DATEN

Einsatz der Bürgerkarte spezifische Sicherheitsbestimmungen Einsatz der Bürgerkarte Rechtsgrundlagen: E-GovG BGBl. I Nr. 10/2004 "Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen" Zielsetzung: Regelt Form der "rechtserheblichen" elektronischen Kommunikation (vorrangig mit Behörden) Inhalt: Bürgerkarte als "digitaler Ausweis": verknüpft Identitätsdaten, Sicherheitsdaten und "qualifizierte" digitale Signatur mit besonderen Bestimmungen der Prüfung des Antragstellers ("Stammregisterbehörde", "Personenbindung") jedoch: kein integriertes Sicherheitskonzept bei Anwendung! Einsatz der Bürgerkarte nicht geregelt! letzter Stand: veraltete Technologie führt zur Ablehnung bei Browsern, Bundeskanzleramt sucht Wege zur Aufgabe des Konzepts - ARGE DATEN ARGE DATEN

spezifische Sicherheitsbestimmungen Medikamentenabrechnung der Apotheken / Videoüberwachung - Verschlüsselung Rechtsgrundlagen: StMV 2004 des Bundeskanzleramts (BGBl. II Nr. 312/2004 idgF) Zielsetzung: Einhaltung der Sicherheitsbestimmungen gem. § 14 DSG 2000 Inhalt: SA026 "Verrechnung ärztlicher Verschreibungen für Rechnung begünstigter Bezieher durch Apotheken": Übermittlung der Datensätze an den Empfänger in sicherer, verschlüsselter Form SA032 "Videoüberwachung": Verschlüsselte Videoüberwachung [gemeint wohl: verschlüsselte Aufbewahrung] - ARGE DATEN ARGE DATEN

Sonderfall Web Applikation spezifische Sicherheitsbestimmungen Sonderfall Web Applikation ÖNORM A 7700 ("Sicherheitstechnische Anforderungen an Webapplikationen") Regelt unter anderem - Architektur der Web-Applikation - Authentisierung und Sitzungsmanagement - Formulare und andere Benutzereingaben - Ausführung externer Programme - Datenbanken - System-/Fehlermeldungen - Kryptographie ÖNORM A 7700 ist Nachfolge der ONR 17700 Es kann auch ein staatlich anerkanntes Zertifikat erlangt werden derzeit sind vier Anwendungen nach ÖNORM A 7700 zertifiziert (Stand 4/2013) Liste der zertifizierten Applikationen http://www.on-norm.at/zert_dyn/zert_dyn_norm.jsp?SYSCODE=W&caller=%2Fzert_dyn%2Fzert_dyn_main.jsp - Finanzmarktaufsicht (FMA)/Incoming Plattform + Offenlegungsplattform, Microsoft/Digitasles Österreich, Semotec GmbH/E-Tresor (ÖNORM A 7700, Stand 2.5.2012) - IngDiba, OeNB und SKANDIA Austria (Vorläuferregelung ONR 17700, Endstand 31.12.2008) Beispiele was bei Zertifizierung geprüft wird: Authentisierungsmethoden Zulässige Authentisierungsmethoden sind: - Benutzername und Passwort - Challenge-Response - Einmal-Passwort - biometrische Verfahren - zertifikatsbasierte Verfahren Diese müssen von der Webapplikation selbst oder durch Schnittstellen zu einem externen Berechtigungssystem sichergestellt werden. Die Webapplikation muss in Abhängigkeit von den vom Betreiber zu definierenden Sicherheitsanforderungen geeignete Authentifizierungsmethoden umsetzen können. Benutzername und Passwort Unabhängig von der Wahl des Verbindungsprotokolls gelten folgende Anforderungen für die Wahl sowie die Speicherung von Passwörtern: 1. Die Übertragung und Ablage von Passwörtern muss verschlüsselt erfolgen, 2. Passwörter müssen in der Datenschicht hinterlegt werden, 3. das Erraten von Passwörten mittels Brute-Force-Methoden muss durch geeignete Verfahren unterbunden werden (z.B. Sperre nach 3 Versuchen, Teer-Grube). Die Webapplikation muss in der Lage sein, die Umsetzung einer vorgegebenen Passwort-Policy zu erzwingen. ARGE DATEN ARGE DATEN

Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend? verpflichtende Sicherheitsbestimmungen Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend? - Zertifizierung einer Website? Verwendung von SSL-Verschlüsselung für Online-Formulare? - regelmäßiges Backup? - Verschlüsselung des Mail-/Daten-Verkehrs? - Absicherung des eigenen WLANs? - Installation einer (zertifizierten) Firewall? - Verwendung von Virtual Private Network (VPN) - Lösungen? - Einsatz von Virenfilter, Spamfilter, Webfilter? Keine Maßnahme ist im DSG 2000 gesetzlich ausdrücklich vorgesehen, aber Geschäftsführung haftet für ausreichende Maßnahmen im Sinne des § 14 DSG 2000 Fachspezifische Regelungen aus anderen Bereichen oder branchenübliches Verhalten können zur Beurteilung angemessener Sicherheit herangezogen werden Sicherheit & Internet Beispiele kritischer Datenverwendungen - Lohnabrechnung beim Steuerberater - Filialvernetzung über offene Systeme - Übertragung von Labordaten zum Arzt - Internetbanking - Onlinebestellung im Fernabsatz [DSG2000/TKG/ECG] - Online-Datenbankservice (etwa Meldedatenabfrage) - Veröffentlichen von Kontakt-Daten der Mitarbeiter (e-mail-Adresse, Bild, persönliche Angaben) Internetübliche Sicherheitsmaßnahmen sind verpflichtend! - Haftungsfolgen ARGE DATEN ARGE DATEN

Welche Vorteile hat eine Zertifizierung? Umsetzung Sicherheitsanforderungen Welche Vorteile hat eine Zertifizierung? - Wettbewerbs- und Imagevorteil: Vereinfachungen in Ausschreibungsverfahren, Erbringung von Sicherheitsnachweisen, besonders vertauenswürdig - Verfahrensvorteil: geringe Gefahr bei der Umsetzung von Sicherheitsvorgaben "etwas zu vergessen" - Prüf- und Haftungsvorteil: DSGVO geht bei Einhaltung anerkannter Verfahren von der Vermutung der korrekten Verarbeitung aus (gilt für Verantwortliche und Auftrags- verarbeiter gleichermaßen, DSGVO Art. 32 Abs. 3) Wer nutzt den BSI-Grundschutz? - in Deutschland: Schwergewicht Behörden - aber auch Anwender in Österreich, Schweiz - ca. 1200 registrierte Anwender, 300 Behörden, etwa 800 Unternehmen, 100 sonstige - u.a.: ÖBB, Verbund, Statistik Austria, Innenministerium, ÖH Salzburg, BFI Wien, Stadt Wien, TU Graz, ... Liste der registrierten BSI-Grundschutzanwender: http://www.bsi.de/gshb/deutsch/etc/gshb_reg.htm Beispiel ungewöhnliche ISO 27001-Zertifizierung: Bäcker der von McDonalds Rezept für Brötchen erhält ARGE DATEN ARGE DATEN

Konsequenzen aus mangelhaften Datenschutz Umsetzung Sicherheitsanforderungen Konsequenzen aus mangelhaften Datenschutz - Verwaltungsstrafe: nach DSGVO Art. 83 Strafe bis 20 Mio Euro, bei Verletzung IT-Sicherheit (Art. 83 Abs. 4): bis 10 Mio Euro - Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung - UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen - immaterieller Schadenersatz: bei jeder Form der Datenschutzverletzung (DSGVO Art. 82) - Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 63 DSAG 2018, §§ 302/310 StGB, §§ 119, 119a StGB - Imageschaden: Verpflichtung zur Bekanntgabe von Sicherheitsverletzungen an Betroffene gemäß DSGVO Art. 34 Vertrauensverlust von Kunden und Öffentlichkeit Die wichtigsten rechtlichen Bestimmungen (Auswahl) Spezifische Datenschutzbestimmung - DSGVO Art. 83 Sanktionen - DSAG 2018 § 63 Verwaltungsübertretung Immaterielle Schadenersatzbestimmungen - Medienrecht bloßstellende Veröffentlichung - ABGB § 1328a Eingriffe in Privatsphäre -DSGVO Art. 82 Schadenersatz / immaterieller Schadenersatz Wirtschaftsrechtliche Bestimmungen - ABGB zivilrechtliche Haftung - § 84 AktG: Haftung des Vorstand - § 25 GmbHG: Geschäftsführerhaftung - UWG Erringung eines unlauteren Wettbewerbsvorteils - Dienstnehmerhaftpflichtgesetz - Verbandverantwortlichkeitsgesetz Strafbestimmungen - DSAG 2018 § 63 Strafrecht / Datenschutzverletzung - StGB § 302 Missbrauch der Amtsgewalt - StGB § 310 Verletzung des Amtsgeheimnisses - StGB §§ 119/119a Verletzung des Telekommunikationsgeheimnisses - StGB § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses ARGE DATEN ARGE DATEN

weitere Onlineinformation http://www.cert.org/ http://www.bsi.bund.de/ http://www.it-safe.at/ http://www.a-sit.at/de/sicherheitsbegleitung/sicherheitshandbuch/index.php Technische Informationen - DFN Cert http://www.cert.dfn.de/ - http://www.antiphishing.org/ Europäische Einrichtungen - European Network and Information Security Agency(ENISA) http://enisa.europa.eu/ - European Telecommunications Standards Institute (ETSI) http://www.etsi.org/ ARGE DATEN ARGE DATEN

Ich danke für Ihre Aufmerksamkeit - ARGE DATEN ARGE DATEN

Sonstige Seiten - ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Umsetzung Sicherheitsanforderungen Zertifizierungen ISO 27001 weltweit (Stand 2013) Länder mit überdurchschnittlich vielen Zertifikaten ISO 27001-zertifizierte Unternehmen in Österreich: u.a. Telekom Austria, Bundesrechenzentrum, Kommunalkredit Austria, Kapsch, ATOS Gmbh (vormals Siemens IT Solutions), Raiffeisen Informatik, MAGNA STEYR Fahrzeugtechnik AG & Co KG Hinweis! Eine ISO 27001-Zertifizierung ist keine vollständige Datenschutz-Zertifizierung, sondern deckt nur die Sicherheitsaspekte ab. Sie bestätigt auch nicht die Sicherheit eines IT-betriebes, sondern "nur" dass sich der Betreiber zur Sicherheit strukturiert Gedanken gemacht hat. Informationen - http://www.iso27001security.com/ - Verbreitung http://www.iso.org/iso/home/standards/certification/home/standards/certification/home/standards/certification/iso-survey.htm ARGE DATEN ARGE DATEN

DSG 2000 - Sicherheitsbestimmungen Betriebe haben Ausgleich zwischen Privatsphäreschutz und Kontrollpflicht zu finden - Schutzmaßnahmen für Daten - Grundrechtsinteressen der Mitarbeiter, Kunden Kombination von technischen und organisatorischen Maßnahmen erforderlich - geeignete Anweisungen zur Datenverwendung - Betriebsvereinbarung bei Aufzeichnung von MA-Daten alternativ Einzelvereinbarung gemäß § 10 AVRAG - Verschlüsselung von Protokoll-/Audit-Daten - Vier-Augen-Prinzip bei Verwendung von Protokoll-/Audit-Daten - geeignetes innerbetriebliches Kontrollsystem schaffen - Die Haftung bei Datenmissbrauch bleibt jedoch in allen Fällen bei Geschäftsführung des Unternehmens! ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Eurobarometerumfrage 2008 (2003) Kenntnis von Sicherheitstechniken zum Schutz persönlicher Daten im Internet - Nie von Datensicherheit gehört: 56% EU-weit (72%), 58% Österreich (63%) geringstes Unwissen: PT 33%, DK 37% (S 58%, NL 59%) - Sicherheitstechniken genutzt: 24% EU-weit, 19% in Österreich, häufigste Nutzung: DK 49%, NL 44% Warum werden Datenschutztools nicht genutzt? (Basis: Personen, die Tools nicht nutzen) - Unkenntnis der Anwendung: 19% EU-weit (30%) - Zweifel an Funktion: 19% EU-weit (18%) - Unkenntnis wie zu installieren: 17% EU-weit (-) - zu teuer: 6% EU-weit (6%) - andere Gründe: 17% EU-weit (17%) Link zur Eurobarometer-Umfrage: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/592&format=HTML&aged=0&language=de&guiLanguage=de ARGE DATEN ARGE DATEN

Sonderfall eGovernment - Modell Portalverbund Portalverbund bei eGovernment Sonderfall eGovernment - Modell Portalverbund e-Government-Gesetz (eGovG) - In Kraft seit 1.3.2004 - erste Novelle 1.1.2005 - Novelle in Planung, soll 1.1.2008 in Kraft treten - Regelungsbereiche - Personenkennzeichen (Stammzahl, bPK) - Bürgerkarte - Bereichsabgrenzung - Amtssignatur - Fristen - Verwaltungssignaturen bis 31.12.2012 mit Bürgerkarten gleichgestellt (derzeit in Begutachtung) Kritisch anzumerken ist, dass eGovernment-Praxis wohl eher trotz, statt durch Gesetz funktioniert Entwicklung geht in Richtung privatrechtlicher Vereinbarungen, statt gesetzlicher Regelungen. Quelle Graphik: Portalverbund Whitepaper Viele Anwendungen können über eine einheitliche Schnittstelle benutzt werden. ARGE DATEN ARGE DATEN

Was ist der Portalverbund? Portalverbund bei eGovernment Was ist der Portalverbund? - Zusammenschluss verschiedenster eGovernmentanwendungen - Betreiber: Länder, Ministerien, Körperschaften, ... - Vorteile: - Single Point of Administration: zentrale Verwaltung der Benutzerrechte - Single Sign On (SSO): ein Benutzerkennzeichen für alle Anwendungen - einheitliches technisches Konzept und einheitliche Betreuung, vereinfachter Betrieb - angebotene Dienste (Beispiele): - BMI/ZMR, EKIS, BRZ/Führerscheinregister, Firmenbuch, BMWA/Gewerberegister Anwendungen finden sicht unter: http://reference.e-government.gv.at/Portalverbund.577.0.html -> Anwendungen-PV- Kundmachung_2007_0927.pdf Weitere Beispiele: - HVB/Datenaustausch Personenstandbehörden ARGE DATEN ARGE DATEN

Was ist der Portalverbund? II Portalverbund bei eGovernment Was ist der Portalverbund? II konzeptionell: "Web of Trust" technisch: ein Extranet, Umsetzung durch das Portalverbundsprotokoll (derzeit pvp 1.8.9) datenschutzrechtlich: - Datenübermittlung im Sinne des §4 Z12 - Informationsverbundsystem gem. § 50 DSG 2000 Rechtsgrundlage: privatrechtliche Vereinbarung Vereinbarung pvv 1.0 sieht im §9 Sicherheitsbestimmungen vor, insbeondere Konzept der Sicherheitsklassen Portalverbundvereinbarung 1.0: http://reference.e-government.gv.at/uploads/media/pvv1.0-21112002.pdf Umsetzung durch Portalverbundsprotokoll: derzeitige Version pvp 1.8.9 (31.7.2004) Standardsoftware vom LFRZ entwickelt (für Bund und Länder), weitere Entwicklung von Gemeinde Wien (steht für Behörden frei zur Verfügung). ARGE DATEN ARGE DATEN

SPAM-Problem ARGE DATEN TKG2003 - Datenschutzbestimmungen Was ist Spam? - unerbetene elektronische Nachricht: unerwünschte Werbung (EU, RL Art. 13), in Österreich zusätzlich Massennachricht Umfang von Spam - heute: 70-80% aller Mails Spam (2010: 90+%, 2004: 75%, 2001: 7%) - Relation 2001: auf 14 erwünschte Mails kam ein Spam-Mail heute: auf ein erwünschtes Mail kommen 3 Spam-Mails - Response von 1:1,000.000 reicht für "erfolgreiche" Aussendung 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam Gefährdungspotentiale - Belästigung mit unerwünschen Inhalten - Fehler bei Annahme/Ablehnung von Mails - Beschränkung der Kommunikation aus Angst vor Spam - Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust) MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN über unerbetene Werbenachrichten (Spam) (KOM(2004) 28, 22.01.2004) ARGE DATEN

SPAM-Problem - Ausmaß ARGE DATEN TKG2003 - Datenschutzbestimmungen Quelle: Symantec ARGE DATEN

Sorgen sicherheitsbewußter IT-Manager IT-Sicherheit Sorgen sicherheitsbewußter IT-Manager 2007 2006 aus CapGemini, Studie IT-Trends 2007, IT ermöglicht neue Freiheitsgrade (Februar 2007) http://www.de.capgemini.com/m/de/tl/IT-Trends_2007.pdf Umfrage erfolgte bei IT-Verantwortlichen im deutschsprachigen Raum Fragestellung: Als wie bedrohlich schätzen Sie die folgenden Aspekte im Bezug auf die Sicherheit Ihres Unternehmen ein? Befragt wurden 50 IT-Verantwortliche, bei denen Sicherheit eines der drei wichtigsten IT-Themen war. Bedrohung: 1 = hoch, 6 = nicht gegeben (CapGemini 2007) ARGE DATEN

ARGE DATEN ARGE DATEN IT-Sicherheit Sorgen mittelständischer deutscher Unternehmen Befragung 5134 mittelständischer deutscher Unternehmen im Frühjahr 2009 durch Corporate Trust "Mobile Geräte und Datenträger bilden nicht nur bei Remote-Anbindung eine Gefahrenquelle. Auch intern besteht für Mitarbeiter in den meisten Unternehmen die Möglichkeit, über eigene Geräte auf Unternehmensdaten zuzugreifen. Je leichter Mitarbeiter die Daten auf die sie ungehindert Zugriff haben, auf eine CD, DVD oder einen USB-Stick kopieren oder über den freien Zugang ins Internet nach außen transferieren können, desto höher ist das Risiko." (aus Computer Zeitung Nr. 30-31, 27. Juli 2009) Analyse der WLAN-Situation in Wien 2008: ca. 200.000 WLANs, etwa 70% privat, ca. 10% verwenden keine Verschlüsselung, 30% WEP Studie zeigte, dass WEP-gesicherte WLANs innerhalb von 45 min "genackt" werden konnten (Quelle: Graphik: Corporate Trust; Foto: Symantec 2009) ARGE DATEN ARGE DATEN

Sicherheit & Internet - Ist-Zustand Internet-Sicherheit Sicherheit & Internet - Ist-Zustand Mit 3.Q.2008 wurde die Veröffentlichung von Statistiken eingestellt. Zahl der Zwischenfälle wird seit 2004 nicht mehr publiziert Sicherheitsstatistik CERT.ORG (http://www.cert.org/stats/) Zwischenfälle Schwachstellen / Lücken 1988 6 1989 132 1990 252 1991 406 1992 773 1993 1334 1994 2340 1995 2412 171 1996 2573 345 1997 2134 311 1998 3734 262 1999 9859 417 2000 21756 1090 2001 52658 2437 2002 82094 4129 2003 137529 3784 2004 3780 2005 5990 2006 8064 2007 7236 2008 8000 (Hochrechnung auf Basis der Daten 1.-3.Quartal 2008) Seit 4.Q 2008 veröffentlicht cert.org keine Statistiken mehr! bei cert.org berichtete Zwischenfälle und Sicherheitslücken ARGE DATEN ARGE DATEN

2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4) EU-Kommunikations-Datenschutzrichtlinie 2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4) - grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie: angemessen, Stand der Technik, wirtschaftlich vertretbar zusätzlich: - Ausdehnung (auf gesamte Kommunikation) - Informationspflicht des Nutzers/Teilnehmers über besondere Sicherheitsrisken und deren Vermeidung - Information hat kostenfrei zu erfolgen (abgesehen von Empfangskosten) Stand der Technik - im Zusammenhang mit Internet sind SSL128 (TSL) und VPN "Stand der Technik" - Hochgradige Standardisierung im Internet erleichtert sowohl Angriffe und als auch Behebung der Lücken Die Verpflichtungen des TKG gelten zwar grundsätzlich nur für TK-Anbieter (inkl. ISP's), nicht jedoch für Betreiber von auf dem Internet aufbauenden Content- und e-business-Diensten oder im bloß firmeninternen Datenverkehr. Diese Einschränkung auf ISP's und Telekombetreiber gilt jedoch nicht für die EU-Richtlinie TK-Datenschutz. Eine direkte Umsetzung der EU TK-Datenschutzrichtlinie für diese Anwendungsfälle ist in Östereich nicht gegeben! Mittelfristig dürfte sich die Rechtssprechung - angesichts ähnlicher Sicherheitsbestimmungen im DSG 2000 - an entsprechenden Telekom-Entscheidungen orientieren. ARGE DATEN ARGE DATEN

Sicherheitsanforderungen Portalverbund Portalverbund bei eGovernment Sicherheitsanforderungen Portalverbund - durch vier Komponenten definiert - Authentifizierung - Identifizierung - IT-Grundschutz/Sicherheitskonzept - Personelle Maßnahmen (Schulung/Verpflichtung) - Art der Authentifizierung des Anwenders geheimes Wissen (Passwort), Besitz, Biometrie - Art der Identifizierung des Anwenders Identifizierung mit Ausweis, ZMR-Abfrage des Anwenders, ... - IT-Grundschutz/Sicherheitskonzept Schutz der IT-Infrastruktur, Aufstellung Geräte - Personelle Maßnahmen Grundschulung + Spezialschulung, Verpflichtung - ARGE DATEN ARGE DATEN

Grundzüge Sicherheitskonzept Portalverbund Portalverbund bei eGovernment Grundzüge Sicherheitskonzept Portalverbund - Rollenkonzept - strukturierte Anwenderverwaltung im Stammportal - zusätzliche Benutzerverwaltung in der Anwendung - limitierter Zugang mittels Client-Zertifikate (TLS-Verbindung) - Nutzung mittels Sicherheitsklassen - technische Umsetzung liegt in der Veranwortung des jeweiligen Auftraggebers! - nicht geregelt: Verwendung technischer Komponenten Beispiel Rollenverwaltung ZMR/LMR CLM-Administrator (Gemeindeadministrator): berechtigt weitere Gemeindeuser und Betreuer (delegierbare LMRRollen), Rechte: Benutzerrechte, Gültigkeitsbereiche CLM-Meldebehoerde (Anwender): führt Meldevorgänge durch, für die er vom GemeindeAdmin berechtigt worden ist, Rechte: CU-LMR Rechte (Auswertungen, Wahl, etc.) CLM-SdaBetreuer (LMR Betreuer / Gemeinde): erstellt Gemeindevorlagen, Wahlkalender, Rechte: Vorlagen, Dokumente, Wahlkalender CLM-SdlBetreuer (LMR Betreuer / Bundesland): erstellt Bundesländervorlagen, Dokumente, Benutzerliste, Wahl, Rechte: Vorlagen, Dokumente, Wahlkalender LMR-Meldebehoerde (Anwender): führt Meldevorgänge durch, für die er vom GemeindeAdmin berechtigt worden ist, Rechte: CU-LMR Rechte (Auswertungen, Wahl, etc.) Details siehe: http://reference.e-government.gv.at/Portalverbund.577.0.html -> Anwendungen-PV-Kundmachung_2007_0927.pdf (web_archiv.64481utz) ARGE DATEN ARGE DATEN

Themenkreis Privatsphäre & Internet Datenschutz und Sicherheit Themenkreis Privatsphäre & Internet - Grundsätzlich gelten dieselben DSG-Bestimmungen (+ TKG-Regeln) Spezifische Internetprobleme Identifikationsproblem (Authentisierung) - die Gegenseite kennen (Anbieter/Nutzer) - Identifikation von Benutzern (und Anbietern) Auftraggeberproblem, Zweckbindung - Wer verwendet welche Daten zu welchen Zweck? - Umfang der zulässig verwendeten Daten Rechtsdurchsetzungsproblem - Datenfluss in Nicht-EU-Staaten Identifikationsproblem (Authentisierung) - Benutzer müssen darauf vertrauen können zu wissen, wer Daten über sie registriert - gilt umgekehrt für Betreiber: muss wissen wer sein Gegenüber ist Auftraggeberproblem - Benutzer muss wissen welche Daten gesammelt werden, wie sie verwendet werden und an wen sie weiter gegeben werden (Informationspflicht / Transparenzgebot) Rechtsdurchsetzungsproblem - Datenfluss geht in vielen Fällen in nicht-EU-Staaten (USA) Datenschutzprobleme bei der Verwendung von Personendaten - Nutzung von Advertising-Dienstleistern - Identifizierung durch gemeinsame Dienstleister (SingleSignOn) - Gemeinsamer Vertrieb von e-commerce-Angeboten (z.B. Shopping-Plattformen), z.B. aus dem Bereich sensibler Daten (Gesundheit, Sex, ...) - grenzüberschreitender Datenverkehr (wohin?) - Feststellung der Haftung bei unzureichenden Sicherheitsmaßnahmen ARGE DATEN ARGE DATEN

Haftung bei Phishing-Attacken? Datenschutzfragen Internettechniken Haftung bei Phishing-Attacken? Was ist Phishing? - Diebstahl der Benutzeridentität unter Vorspiegelung einer falschen Anbieteridentität Verantwortung des Benutzers - Prüf- und Sorgfaltspflichten bei der Benutzung einer Website oder der Bekanntgabe von persönlichen (identifizierenden) Merkmalen Verantwortung des Anbieters - Durchschaubare Präsentation seines Dienstangebots, insbesondere was URL-name, Seitendesign (keine Frames!), Mailversand, SSL-Zertifikat betrifft Abhilfe - Digitale Client-Zertifikate Phishing-Attacken In der Regel wird per Mail (aber auch Telefon) der Benutzer aufgefordert auf einer Wartungsseite (oder neuen Dienstseite) die Richtigkeit seiner Zugangskennungen zu probieren. Auch TAN-Lösungen bieten keinen Schutz, da unbenutzte TANs als abgelaufen bezeichnet werden und der Benutzer zur neuerlichen Eingabe aufgefordert wird. Der erfasste, noch gültige TAN kann dann missbraucht werden Webseiten sind leicht nachzuahmen, auch URL's können nachgebaut werden (einige Browser enthalten fehler die das unterstützten www.bank.at@188.188.188.188 wird dann als www.bank.at dargestellt Viele Benutzer haben die URL-Anzeige überhaupt ausgeschalten Mailprogramme mit html-Unterstützung erlauben vortäuschen von Links Empfehlungen für Anbieter (z.B. Telebanking) - Seiten ohne Frames verwenden - Zertifikat und URl für kritische aktion laufend publizieren - Keine Mails an Kunden - Keine überraschenden Designänderungen des Webportals - Protokollanzeige der letzten Zugriffsversuche Empfehlungen für Benutzer - Keine Datenweitergabe in Form von Mails oder bei Telefonanrufen - Zertifikate genau prüfen - URL-Adressanzeige nicht ausschalten - Dubiose (nicht verstandene) Vorgänge sofort melden In der Regel wird keine Haftung, in Einzelfällen jedoch Mitverantwortung bestehen ARGE DATEN ARGE DATEN

Einsatz von Tracking-Techniken Datenschutzfragen Internettechniken Einsatz von Tracking-Techniken - Tracking: Instrumente um Benutzer(verhalten) zu identifizieren, zu verfolgen und zu analysieren - verschiedenste Namen/Techniken: Web-Bugs, Cookies, Web-Beacons, Hidden Identifiers, Spyware, ... Typische Tracking-Informationen - Wie lang wurde welche Seite, in welcher Reihenfolge angesehen ("Surfverhalten")? - Welche Artikel wurden in welcher Kombination bestellt? Probleme - Umfang - Durchschaubarkeit (wird sich auch an Kenntnis des Zielpublikums orientieren müssen) - Zustimmung (ausdrückliche / konkludente Zustimmung) - unternehmensübergreifendes Tracking - Vermeidung der nachträglichen Benutzerzuordnung Technik: - Web-Beacons: unsichtbare Elemente (meist 1x1-Pixel-Images) zum User-Tracking - Web-Bugs: unsichtbare Elemente zum Dokumenten-Tracking (analog Web-Beacons) Tracking von Benutzern: Auch Tracking ist eine Datenanwendung und an den Verwendungszweck der Daten gebunden. Ob dieser Zweck im Einzelfall zulässig ist, muss geprüft werden. Meist handelt es sich um den Zweck "Marketing/Marktanalyse". Es besteht jedenfalls Informationspflicht. Im Zusammenhang mit einem unternehmensübergreifenden Tracking (etwa Bannerwerbung, gemeinsame Advertising-Aktivitäten) handelt es sich um Datenübermittlungen (allenfalls um ein Informationsverbundsystem) und es wird eine spezifische Zustimmung erforderlich sein. Beispiel: Advertising-Server, wie www.hitslink.com Bestellvorschlagswesen bei Amazon Liste von Tracking-Servern: http://www.e-rating.at/php/cms_monitor.php?q=SPY-WARE ARGE DATEN ARGE DATEN

Tracking II ARGE DATEN ARGE DATEN Datenschutzfragen Internettechniken 2002/58/EG (TK-Datenschutzrichtlinie, EG24/25) - gem. EU-Richtlinie grundsätzlich zulässig - "klare und genaue Information über den Zweck" - Ablehnung muss möglich sein (Einstellbarkeit einmalig im Browser genügt) - in Verbindung mit Verpflichtung zu Sicherheitsmaßnahmen: defacto-Verbot der Speicherung vertraulicher Daten im Klartext nicht konfigurierbare Browser in Cybercafes können Richtlinie widersprechen! - ARGE DATEN ARGE DATEN

Cookie-Verwendung ARGE DATEN ARGE DATEN Datenschutzfragen Internettechniken Cookie-Verwendung Privacy-Gefährdungspotentiale - bei gemeinsamer Nutzung des Computers durch mehrere Personen könnten persönliche Informationen von Dritten verwendet werden - Ausspähen von Interessensprofilen - Einsatz von Cookie-Servern / Cookies in Werbebannern erlauben User-Traking 2002/58/EG (TK-Datenschutzrichtlinie) - dürfen nicht überrumpelnd eingesetzt werden - Bei Übergang auf Seiten mit Cookies ist das (browserunabhängig) anzuzeigen - Aus unserer Sicht ist die Verwendung von Cookies schon auf der "Homepage" unzulässig Allgemeine Sicherheitsinfos zu Browsern: http://www.heise.de/security/dienste/browsercheck/ Die Seite erlaubt es die jeweils aktuellen Sicherheitslücken gängier Browser am eigenen Gerät zu testen. ARGE DATEN ARGE DATEN

eMail im Blickwinkel der Privatsphäre Datenschutzfragen Internettechniken eMail im Blickwinkel der Privatsphäre - TKG-SPAM-Regelung §107, Abwehrrechte - Filtersoftware oft problematisch und schlecht zu konfigurieren - Blocking- ("Blacklist"-) Server können zu Haftungsproblemen führen - SPAM & Würmer als "siamesische Zwillinge" - Mail als unerwünschte Nachricht ist nicht immer SPAM Ausblick und Entwicklung von Mail - professionelle Filter-Dienstleister - Verstärkte Nutzung von Formularen - Einsatz sicherer (TLS-basierter) und zertifizierter Mailserver - Verstärkter Einsatz von Clientenzertifikaten - Verstärkte Nutzung von "einmal"-Mailadressen - datenbankbasierter Mailverkehr und P2P-Kommunikation Probleme in der Filterkonfiguration - Gefahr der Beschränkung der Kommunikation - Herausfiltern von erwünschten, aber ungewöhnlichen Nachrichten (Aussendungen zum Stichwort e-card oder Mailadressen mit der Endung ad.or werden als Werbezusendungen klassifiziert, ...) - Filter gehen auf Reply-Adresse und begünstigen die Weiterverbreitung - Aktualität und Aufwand Interessante "ANTI-SPAM"-Sites - CERT® Coordination Center www.cert.org - Kaspersky www.kaspersky.com/de - NAI www.nai.com/us/index.asp - TREND-MICRO de.trendmicro-europe.com - SYMANTEC www.symantec.com/region/de - ClamAV www.clamav.net BLACKLISTS - http://directory.google.com/ Top/Computers/Internet/Abuse/Spam/Blacklists/ - ISPA verwendet Kobination von BLACK & WHITE - LISTS ARGE DATEN ARGE DATEN

Themen aus der betrieblichen Praxis Intranet/Extranet Themen aus der betrieblichen Praxis - Muss innerbetrieblich verschlüsselt werden (VPN-Pflicht)? - Muss bei Datenzugriffen von Außen (Vertriebsmitarbeiter, ...) verschlüsselt werden? - Dürfen Daten der Mitarbeiter zu persönlichen Ereignissen im Intranet veröffentlicht werden (Hochzeit, Geburtstag, ...) - Dürfen Fotos der Mitarbeiter im Intranet / Internet veröffentlicht werden? - Ist der Einsatz von Filtersoftware zustimmungspflichtig? - Hat die Betriebsführung Anspruch auf Bekanntgabe von Passwörtern? Muss innerbetrieblich verschlüsselt werden (VPN-Pflicht)? Nein, es kann auch durch andere (organisatorische Maßnahmen Sicherheit gewährleistet werden) Muss bei Datenzugriffen von Außen (Vertriebsmitarbeiter, ...) verschlüsselt werden? Eher ja, sofern ein Zugang über das Internet erfolgt. Verschlüsselung, SSL und Virtual Private Networks (VPN) können als Stand der Technik angesehen werden Dürfen Daten der Mitarbeiter zu persönlichen Ereignissen im Intranet veröffentlicht werden (Hochzeit, Geburtstag, ...) Nur mit ausdrücklicher Zustimmung, wobei diese jederzeit widerrufen werdne kann Dürfen Fotos und Kontaktdaten der Mitarbeiter im Intranet / Internet veröffentlicht werden? Wird vom Arbeitsvertrag, der tatsächlichen Tätigkeit und der Firmen"philosohpie" abhängen ("überwiegende Interesen Dritter oder des Auftraggebers") Ist der Einsatz von Filtersoftware zustimmungspflichtig? Nur dann, wenn Arbeitstätigkeit kontrolliert oder eingeschränkt wird, bei Viren- und WUrmfilter eher nicht, bei Contentfilter von Webseiten oder Mail wird es vom Filterumfang ahängen Hat die Betriebsführung Anspruch auf Bekanntgabe von Passwörtern? Die Organisaiton von vertraulichen IT-Informationen sollte in einem für alle Mitarbeiter einsehbaren Sicherheitskonzept festgehalten sein, an das auch die Geschäftsführung gebunden ist. ARGE DATEN ARGE DATEN

ARGE DATEN ARGE DATEN Digitale Signatur Ziele Technik Signaturarten Gesetzliche Bestimmungen - Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.) StF: BGBl. I Nr. 190/1999 (Gültigkeit der Stammfassung seit 1.1.2000) - Verordnung des Bundeskanzlers über elektronische Signaturen (Signaturverordnung - SigV) StF: BGBl. II Nr. 30/2000 - Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen - Bundesgesetz, mit dem ein E-Government-Gesetz erlassen wird sowie das Allgemeine Verwaltungsverfahrensgesetz 1991, das Zustellgesetz, das Gebührengesetz 1957, das Meldegesetz 1991 und das Vereinsgesetz 2002 geändert werden ARGE DATEN ARGE DATEN

Ziel(e) digitaler Signatur Problemstellung digitale Signatur Signatur: technisches Verfahren zur Kennzeichnung von Dateien Zertifikat: Zuordnung eines bestimmten technischen verfahrens zu einem Inhaber Ziel(e) digitaler Signatur - Nicht Bestreitbarkeit eines Rechtsvorgangs - Vermeidung von Medienbrüchen - weitestgehend automatisierte Abwicklung (Bestellungen, Sachbearbeitung, ...) - Nachweisbarkeit der Durchführung einer Transaktion / Zustellung / Hinterlegung Digitales Zertifikat ist ein Ausweis, der den Signator für ein bestimmtes Signaturverfahren als nutzungsberechtigt ausweist Die digitale Signatur ist ein technisches Verfahren, dass an sich noch nicht personenbezogen ist, erst durch ein zugeordnetes Zertifikat wird der Personenbezug hergestellt. ARGE DATEN ARGE DATEN

Signaturgesetz 2000 ARGE DATEN ARGE DATEN Grundlagen SigG - jeder kann Signaturverfahren nach eigenem Ermessen einsetzen - Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig - Verschiedene Signaturformen - gewöhnliche Signatur - "fortgeschrittene" Signatur - Verwaltungssignatur - Amtssignatur - "sichere" (qualifizierte) Signatur - Gültigkeit der Signatur richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung - ARGE DATEN ARGE DATEN

"fortgeschrittene" Signatur Arten der digitalen Signatur "gewöhnliche" Signatur - jede Form der elektronischen Kennzeichnung zum Verfasser eines Dokuments "fortgeschrittene" Signatur - bestimmte, sichere Hash- und Signaturverfahren zwingend vorgeschrieben - bestimmte Form der Identiätsbestimmung des Signators und Vergabeform des Zertifikats durch Aufsichtsbehörde vorgeschrieben - keine besonderen Hardwareverwendungen vorgesehen "qualifizierte" Signatur - wie "fortgeschrittene" Signatur, jedoch bestimmte Hardware zwingend vorgesehen EU-weit dürfte "fortgeschrittene" Signatur zum gemeinsamen Rechtsstand werden - ARGE DATEN ARGE DATEN

Rechtsgrundlage fortgeschrittene Signatur - SigG §2 Z3 lit. a bis d definiert "fortgeschrittene" Signatur - RTR/TKK-Positionspapier vom 13.4.2004 Anerkennung durch EU-Richtlinie 2001/115/EG - Umsetzung durch BMF-Verordnung Dezember 2003 (BGBl. II Nr. 583/2003) Merkmale - ausschließliche Zuordnung zum Signator - Identifizierung des Signators möglich - alleinige Kontrolle durch Signator - keine nachträgliche Änderung der Signatur möglich einziger Unterschied zur "sicheren" Signatur: Verzicht auf bestimmte Hardware (Chipkarte) "fortgeschrittene" Signatur = "sichere" Signatur SigG §2 Z3 lit. a bis d: § 2. Im Sinne dieses Bundesgesetzes bedeuten ........ 3. sichere elektronische Signatur: eine elektronische Signatur, die a) ausschließlich dem Signator zugeordnet ist, b) die Identifizierung des Signators ermöglicht, c) mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, d) mit den Daten, auf die sie sich bezieht, so verknüpft ist, daß jede nachträgliche Veränderung der Daten festgestellt werden kann, ...." ARGE DATEN ARGE DATEN

Grundsätzliche Unterschiede digitaler/natürlicher Signatur digitale Signatur - Grenzen Grundsätzliche Unterschiede digitaler/natürlicher Signatur - keine unmittelbare Einsichtigkeit des Vorgangs (technische Vermittlung) - Ablaufdatum der Gültigkeit - Abhängigkeit von technicher Infrastruktur Dritter - Internet ist ein asynchrones Medium - keine Synchronität zwischen Ausweisleistung und Willenserklärung digitale Unterschriften werden niemals persönlichen Unterschriften gleichzusetzen sein Auf Grund der grundsätzlichen Unterschiede wird es niemals zu einer Gleichsetzung kommen. Es sind jedoch Szenarien vorstellbar, in denen einer digitalen Unterschrift höhere Bedeutung zukommt, als einer persönlichen. Etwa dann, wenn die Ermittlung eines exakten Zeitpunkts einer verteilt abgegebenen Willenserklärung notwendig ist. ARGE DATEN ARGE DATEN

Einsatz nicht notwendigerweise personenbezogen! Technik digitale Signatur technischer Ablauf - Schritt I Asynchrones und asymetrisches Verfahren - Signiervorgang und Bestätigungsvorgang erfolgen mit unterschiedlichen Verfahren (Privat und Public Key) - dadurch können sie asynchron stattfinden Einsatzgebiete - Sicherung der Authentizität eines Dokuments - Änderungskontrolle (Änderungen werden erkannt, nicht notwendigerweise verhindert) Einsatz nicht notwendigerweise personenbezogen! Hashverfahren Aus einem digitalen String (z.B. Vertragstext) wird ein Hashcode "Fingerprint" generiert - Typische Techniken: SHA1, RIPEMD-160, MD5, ....) - Typische Länge: 40 Byte und mehr - kleine Änderungen im Text sollen starke Änderungen im Hashcode bewirken Beispiel Hashanwendung: (Auszug aus dem internen ARGEDATEN - Dokumentenarchiv) 11497vdd (2003/04/26 / 192.168.10.67 Size: 0.3 MB) Original-Site: http://www.w3c.org/Consortium Archiv: About the World Wide Web Consortium (W3C).pdf public legal/m - Hash SHA1: fa880f5e4eaf9e90756679bece43127f2a4eb8e0 [application/pdf/707125hjhdnc651473] Text: W3C Recommendations include: (X)HTML: Several versions of HTML have stabilized the explosion in functionalities of the Web's primary markup language. HTML 3.2 was published in January 1997, followed by HTML 4 (first published December 1997, revised April 1998, and revised again as HTML 4.01 in December 1999). XHTML 1.0, which features the semantics of HTML 4.01 using the syntax of XML, became a ........ ARGE DATEN ARGE DATEN

Beispiel ARGE DATEN ARGE DATEN Technik digitale Signatur Dokumente können mit beliebigen Programmen (sofern sie dieselben Hash-Techniken verwenden) analysiert und der Hashcode verglichen werden (der eventuell über einen anderen Übertragungsweg übermittelt und verifiziert wird). ARGE DATEN ARGE DATEN

technischer Ablauf - Schritt II Personenbindung Technik digitale Signatur technischer Ablauf - Schritt II Personenbindung Hashcode wird mit persönlichem Code ("privater Schlüssel") verknüpft - Methode: asymetrische Verschlüsselung - Typische Techniken: RSA (eingesetzt in Programmen wie PGP, S/MIME, ...), DSA - ARGE DATEN ARGE DATEN

technischer Ablauf - Schritt III Verifikation (Übermittlung / Prüfung) Technik digitale Signatur technischer Ablauf - Schritt III Verifikation (Übermittlung / Prüfung) Originaltext und Anhang werden gemeinsam (oder auch getrennt) übermittelt - öffentliche Schlüssel zur Prüfung notwendig - öffentliche (sekundenaktuell) geführte Verzeichnisse notwendig - vertrauenswürdige Bestätigungsstellen notwendig - einheitlicher Zeitstandard notwendig - ARGE DATEN ARGE DATEN

gegenwärtig werden fast nur zentrale Authentiserungsmodelle diskutiert Datenschutz und Authentisierung Datenschutz bei Authentisierungsmechanismen (Stellungnahme WP 68 29.1.2003) Online-Authentifizierungssysteme - lokal (PC-orientiert) - dezentrale (Proxy-orientiert) - zentrale Authentisierungen (Microsoft) - vernetzte (Web-of-Trust) gegenwärtig werden fast nur zentrale Authentiserungsmodelle diskutiert Stellungnahme der Art. 29 Datenschutzgruppe der EU, WP 68 29.1.2003) ARGE DATEN ARGE DATEN

Identifikation von Benutzern - Vorfragen Datenschutz und Identifikation Identifikation von Benutzern - Vorfragen - Wann ist eine Identifikation zulässig? - Welche Identifikationsdaten dürfen verwendet werden? - Wie sind diese Daten einzuordnen? Identifikationsmechanismen im Internet - PIN / TAN - Verfahren - Digitale Signatur und Zertifikate Nachweis- und Willenserklärungsproblem Neue Herausforderungen an Begriff "personenbezogene Daten" ("Identität einer Person") - Problem der Alias-Identitäten - Problem des Identitätsdiebstahls (Phishing) Identifikation von Benutzern: - ist grundsätzlich nur im Rahmen des für die Anwendung notwendigen zulässig - die meisten Identifikationsdaten sind indirekt personenbezogene Daten, fallen daher unter die Geheimhaltung, sind aber weder registrierungspflichtig, noch auskunftsfähig Es besteht keine durchgängige Entscheidungspraxis, wann derartige Daten überhaupt als personenbezogene Daten im engeren Sinn anzusehen sind. Alias-Identitäten - sind grundsätzlich zulässig, sofern keine Rechte vorgetäuscht werden, die man ansonsten nicht hat (z.B. Gewerbeberechtigung um bestimmte Einkaufsplattformen zu nutzen, "Privatmann" um private Auktionsverkäufe durchzuführen, Alter (Minderjährig), ... - Beispiel für Aliasidentitäten: Buchhaltung #xxx statt Name des Buchhalters bei Rechnungslegung Identitätsdiebstahl - Vorspiegelung falscher Websites und Mailabsender (http://www.antiphishing.org) - mögliche Haftung bei unzureichenden Sicherheitsmaßnahmen Typische Onlinedaten - IP-Adresse, Zugriffszeitpunkt - Browserinformationen, abgerufene Seiten, Cookies - Mailadresse - Angaben, die in Formularen eingetragen werden ARGE DATEN ARGE DATEN

Sicherheit & Internet Benutzersicht Internet-Sicherheit Sicherheit & Internet Benutzersicht Problembereiche - Benutzung von Passwörtern - Benutzung von Suchmaschinen - Benutzung von Online-Formularen - Aufzeichnung des Surfverhalten Hilfsmaßnahmen - Verwendung von Proxy-Servern - Verwendung verschiedener Rollen (Alias-Identitäten) - Verwendung diverse Filter- und Scanersoftware - Nutzung von Black- und White-Lists - Lokale Sicherheitseinstellungen optimieren Zur Diskussion: Klage nach Erhalt eines Mails mit Wurm? Welche Vorkehrungen kann/muss ein Benutzer treffen? Zur Diskussion Ein Unternehmen drohte mit Klage, weil ein Benutzer irrtümlich ein Mail mit Wurm verschickt hatte Die Beachtung aller Endbenutzerempfehlungen kann extrem Zeitaufwändig werden und die tatsächlichen Nutzungsmöglichkeiten des Internets extrem einschränken. ARGE DATEN ARGE DATEN

Verwendung von WHOIS-Informationen Datenschutzfragen Internet Verwendung von WHOIS-Informationen Beispiel WHOIS (Stellungnahme WP76 13.6.2003) - mangelhafte Definition des Zweckes - Zweck des Kontakts bei Fehlern auch mit anderen Mitteln erreichbar - auch veröffentlichte Daten genießen Datenschutz - zwangsweises Eintragen im WHOIS-Verzeichnis verstößt gegen Selbstbestimmungsrecht - Selbstkontrollmaßnahmen auf WHOIS-Basis problematisch (NOWAK-Aktion) - Direktmarketingaktionen jedenfalls unzulässig Inverse Suchfunktionen Werden von der Arbeitsgruppe als besonders problematisch angesehen - sind als zusätzliche Datenverwendung (Datenanwendung) anzusehen - Erfordern zusätzliche Zustimmung des Betroffenen (WP76p4) ARGE DATEN ARGE DATEN

Verwendung von Internet-Zugriffsprotokolle Datenschutzfragen Internet Verwendung von Internet-Zugriffsprotokolle Was sind Internet-Zugriffsprotokolle-Daten? - grundsätzlich bestimmbare personenbezogene Daten - abhängig vom Dienstangebot auch [direkt] personenbezogene Daten, in vielen Fällen verknüpft mit sensiblen Daten (e-health, Sex-Seiten, Infoseiten weltanschaulich orientierter Gruppen) Mögliche Zwecke (Datenanwendungen) von Internet-Zugriffsaufzeichnungen (1) Analyse des Ressourcenverbrauchs (Auslastung, Systemplanung, DSG 2000 § 48 "Statistik", Ergebnis ist nicht personenbezogen) (2) Erkennen missbräuchlicher Verwendungen (DSG 2000 § 14 [gilt nur bei Web-Zugriffen von Datenanwendungen bei denen man selbst datenschutzrechtlicher Auftraggeber ist], TKG 2003, StGB § 119a) (3) Analyse der Nutzung des eigenen Angebots (Marketingplanung, wie (1)) - ARGE DATEN ARGE DATEN

Verwendung von Internet-Zugriffsprotokollen II Datenschutzfragen Internet Verwendung von Internet-Zugriffsprotokollen II Mögliche Zwecke (Datenanwendungen) von Internet-Zugriffsaufzeichnungen (Fortsetzung) (4) Analyse der Interessen der externen Nutzer (Interessenten, Kunden, Mitglieder, Lieferanten) (wie (1), TK-Anbieter haben zusätzlich TKG § 93ff zu beachten) (5) Analyse der Tätigkeiten der Mitarbeiter (ArbVG §§ 96,96a, BV-pflichtig oder § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) Zustimmung der Mitarbeiter) einzelne Verwendungen können Datenschutzprobleme verursachen - Auflösen IP-Adressen durch WHOIS-Abfragen und veröffentlichen der Ergebnisse - Veröffentlichen Protokolldaten/Auswertungen im Internet - Übermitteln/Überlassen Protokolldaten an Drittfirmen ohne Dienstleistervereinbarung gemäß DSG 2000 (z.B. Google Analytics) - ARGE DATEN ARGE DATEN