Datenschutz und Datensicherheit
Gliederung Begriffe (Datenschutz, personenbezogene Daten, Erhebung von Daten, Verarbeitung von Daten, Nutzung von Daten) Bedeutung von Datenschutz Wer hat Interesse an personenbezogenen Daten? Gesetzliche Regelungen Datensicherheit Gefährdung von Datensicherheit Remote-Host-Programme Maßnahmen
Begriffe Datenschutz: Schutz vor dem Missbrauch personenbezogener Daten und Gewährung des Rechtes auf informationelle Selbstbestimmung (GG: jeder darf selbst entscheiden, wie mit seinen persönlichen Daten umgegangen wird)
Personenbezogene Daten: Angaben über persönliche (Kinder, Familie, Interessen etc.) oder sachliche Details (Kontodaten, Einkommen etc.) einer Person Erhebung von Daten: Beschaffen von personenbezogenen Daten Verarbeitung von Daten: Speichern, Sperren und Löschen personenbezogener Daten Nutzung von Daten: alles, was nicht unter Verarbeitung fällt, z.B. Auswertung von Daten für Werbeaktion
Bedeutung von Datenschutz Bedeutung mit technischer Entwicklung gestiegen, da Datenerfassung/weitergabe/verarbeitung immer einfacher neue Wege zur Datenerfassung durch Internet, E-Mail, Telefonie, Videoüberwachung, Online Banking etc.
Wer hat z.B. Interesse an personenbezogenen Daten? Sicherheitsbehörden: Rasterfahndung, Telekommunikationsüberwachung etc. sollen Aufklärung von Verbrechen erleichtern Finanzbehörden: Aufdeckung von Steuerdelikten durch Überwachung von Banktransaktionen Unternehmen: Mitarbeiterüberwachung steigert Arbeitseffizienz, Kundeninformationen hilft gezieltem Marketing
Gesetzliche Regelungen International: festgelegt von OECD (Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data) EU: Standard für Mitgliedsstaaten, Schutz personenbezogener Daten in EU Grundrecht Deutschland: Recht auf informelle Selbstbestimmung als Grundrecht; BDSG (Bundesdatenschutzgesetz) gillt deutschlandweit; öffentliche Stellen unter Aufsicht Bundesbeauftragter Kirche: eigene verleichbare Datenschutzregeln (z.B. Beichtgeheimnis) zusätzlich zum allgemeinen Datenschutzrecht
Datensicherheit Maßnahmen zur Gewährleistung des Datenschutzes Schutz vor Verfälschung, Zerstörung und unzulässiger Weitergabe von Daten Voraussetzung für effektiven Datenschutz Unterschied zu Datenschutz: Datenschutz schützt Missbrauch personenbezogener Daten und Datensicherheit bietet Maßnahmen für diesen Schutz
Gefährdung von Datensicherheit Selber: wählen einfacher Passwörter, unvorsichtiges Handeln im Netz Durch Andere: Hacken, gezielter Einsatz von Viren, Dialer-Programme, Remote-Host-Programme (ähnlich Trojanisches Pferd)
Remote-Host-Programme bestehend aus Server und Client Server installiert sich (z.B. versteckt hinter einer Bilddatei oder .exe-Datei) auf ZielPC und sendet offene Ports (offene Eindringsstellen) an Client Client kann auf ZielPC unbemerkt Dateien verarbeiten, Tastaturaktivitäten überwachen (um PW herauszufinden), Viren auf PC installieren kann etc.
Maßnahmen BDSG verpflichtet alle Stellen, die personenbezogene Daten verarbeiten zu Maßnahmen zur Erhaltung der Datensicherheit (z.B. Krankenhäuser, Bankinstitute) Abhängig von Unternehmen und genutzen Medien zur Datenverarbeitung
Zutrittskontrolle: verwehrt Unbefugten Zutritt zu Datenverarbeitungsanlagen z.B. durch Berechtigungsausweisen, Überwachungskameras, Alarmsystemen etc. Zugangskontrolle: verwehrt Unbefugten Nutzung datenverarbeitender Systeme (z.B. PC) z.B. durch effektive PWgebung etc. Zugriffskontrolle: Zugriffsberechtigte können nur auf die für ihre Zwecke benötigten Daten zugreifen, z.B. durch PW für jeweilige Bereiche Weitergabekontrolle: Daten sollen während Transport oder Speicherung auf Datenträger nicht unbefugt verarbeitet werden, z.B. durch Verschlüsselungsverfahren
Eingabekontrolle: Überprüfung, welche Daten wann verarbeitet worden z Eingabekontrolle: Überprüfung, welche Daten wann verarbeitet worden z.B. durch Protokollierung Auftragskontrolle: Auftragnehmer hat Daten gemäß des Auftraggebers zu verarbeiten z.B. durch konkrete Anweisungen bzw. Kontrolle des Auftragnehmers ob diese befolgt wurden Verfügbarkeitskontrolle: Daten gegen zufällige Zerstörung oder Verlust geschützt (z.B. Stromausfall, Feuer/Wasserschäden) durch unterbrechungsfreie Stromversorgung, Notstromaggregate, Backups etc. Trennungsgebot: getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten z.B. durch Zugriffsberechtigungen
Quellen https://www.datenschutzbeauftragter-info.de/haben-ist-besser-als-kriegen-das-problem-mit-den-berechtigungskonzepten/ https://www.datenschutzbeauftragter-info.de/fachbeitraege/informationssicherheit-und-datenschutz/ http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/Themen/datenschutz-und-datensicherung.html