Post on 29-Nov-2014
description
transcript
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 1
10.11.2012 l 1
Exkurs FOM – Mai 2013
Wozu Datenschutz, wenn wir doch im
Zeitalter von post pricacy leben!
Einführung in das Bundesdatenschutzgesetz
Exkursion Fachhochschule für Ökonomie und Management
DATATREE AG
Heubesstraße 10
40597 Düsseldorf
Samstag, 04. Mai 2013
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 2
10.11.2012 l 2
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Über DATATREE AG
5. Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 3
10.11.2012 l 3
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Über DATATREE AG
5. Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 4
10.11.2012 l 4
Exkurs FOM – Mai 2013
Über DATATREE AG
Informatiker
Betriebswirte
Marketingexperten
Datenschutzauditoren
interdisziplinäres
Team
Stellung externer Datenschutzbeauftragter (TÜV cert. / GDD cert.), Penetrationtest, Code-Check, Code Review
Begleitung von Unternehmen bei der Durchführung von Zertifizierungen
Schulung für Mitarbeiter, Geschäftsleitung und Aufsichtsräte
Aufbau und Prüfung von Compliance-Strukturen in Unternehmensorganisationen
Compliance-Produkte: Treuhand-Datenbank zur Qualitätssicherung z. B. im Wettbewerbsrecht
Leistungsportfolio: ein Auszug Expertise
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 5
10.11.2012 l 5
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Über DATATREE AG
5. Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 6
10.11.2012 l 6
Exkurs FOM – Mai 2013
Exkurs Marketing
1 Milliarde Downloads
in nur 9 Monaten!
Social Media und andere neue Formen der Medien erreichen in immer kürzeren Intervallen
mehr User und erhöhen somit die personenbezogenen Datenmengen exponentiell:
Radio TV Internet iPod Social Media
4 Jahre
um 50 Milionen User zu
erreichen
Apple
38 Jahre
um 50
Millionen
User zu erreichen
13 Jahre
um 50
Millionen
User zu erreichen
4 Jahre
um 50 Milionen User zu
erreichen
3 Jahre
um 50 Millionen User zu
erreichen.
100 Millionen
User in weniger als 9 Monaten!
*Zeitraum um 50 Millionen User zu erreichen!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 7
10.11.2012 l 7
Exkurs FOM – Mai 2013
Exkurs Marketing
Der Zugang zur virtuellen Welt ist dank einfacher Anwendungen fast jedem so leicht wie
nie!
„Maschinelle Intelligenz“ soll uns Menschen dabei helfen, bessere und sinnvollere
Entscheidungen zu fällen! Sie hilft uns bei der intensiven Vernetzung mit Freunden und die
Informationsflut besser zu organisieren und zu bewältigen (System for Life Management)!
„you can´t compete with free“ - personenbezogene Daten werden immer mehr zu einer
akzeptierten Währung! Bezahldienste haben es nach wie vor schwer!
Die verwendete E-Mail über Free-Mail Dienste (web.de;gmx.de etc.) oder die SMS beim
Mobilfunkanbieter ist durch viele mit den facebookeigenen Mail- und Chat-Funktionen oder
What´s App ersetzt worden!
Im digitalen Zeitalter heißt es oft: „If it´s not on google, it doesn´t exist“!
5 Aussagen zur digitalen Welt von heute!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 8
10.11.2012 l 8
Exkurs FOM – Mai 2013
Exkurs Marketing
Trifft der Mensch rationale Entscheidungen?
Denken kosten Energie!
Fast 80 % der Entscheidungen treffen Menschen unbewusst!
Lymbisches System:
Negative oder positive Erfahrungen mit Gefühlen verknüpft!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 9
10.11.2012 l 9
Exkurs FOM – Mai 2013
Exkurs Marketing
Trifft der Mensch rationale Entscheidungen?
Ein Auto wird immer für den Extremfall gekauft!
Der Kunde will: Dominanz / Balance / Neues!
Mobil sein ist ein Gefühl! Argumentation verliert!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 10
10.11.2012 l 10
Exkurs FOM – Mai 2013
Exkurs Marketing
Die Macht der Werbung entsteht durch die Emotionalisierung von Produkten!
Rohstoff Produkt Emotionalisierung
0,007 € pro Liter 4,58 € pro Liter 0,64 € pro Liter
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 11
10.11.2012 l 11
Exkurs FOM – Mai 2013
Exkurs Marketing: Wer profitiert vom Urheberrecht?
Grundsatzidee:
Wer etwas erfindet, etwas komplett neues erschafft, soll entscheiden können, was damit passiert!
Frage: Wo fängt Schöpfung an und wo hört Kreativität auf?
1998 beschließt das Repräsentantenhaus den sog. Sony-Bono-Copyright-Term-Extension Act zum Zweck des Schutzes und Verlängerung des Urheberrechts!
Forciert wurde dies vor allem von Unternehmen, die ein Imperium, das auf Basis von Comics entstanden war, schützen wollten!
Walter Elias Disney starb im Dezember 1966. Somit wäre nach damaligem Recht im Jahre 2017 die weltbekannte Mickey Maus zu Allgemeingut geworden!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 12
10.11.2012 l 12
Exkurs FOM – Mai 2013
Exkurs Marketing: Wer profitiert vom Urheberrecht?
Problem der Contentanbieter:
Der Einmaleffekt durch Wechsel des Trägermediums ist für die Zukunft so gut wie ausgeschlossen!
Vereinfachte Darstellung zur Entwicklung der Trägermedien
?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 13
10.11.2012 l 13
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Über DATATREE AG
5. Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 14
10.11.2012 l 14
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
„Internetrecht“
Wettbe-
werbs-
recht
Urheber-
recht
Marken-
recht
Daten-
schutz-
recht
Nutzung eines Facebook-
Profils
Einbezug fremder Filme
Nutzung von Logos
Direct-Messages
Nutzung von
Kundenprofilen
Insbesondere im Web 2.0 treffen viele Disziplinen aufeinander!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 15
10.11.2012 l 15
Exkurs FOM – Mai 2013
Wer profitiert vom Urheberrecht?
Datenerhebung ist zulässig, wenn Sie …
erlaubt wird.
Der Umgang mit personenbezogenen Daten wird durch das
Datenschutzrecht geregelt:
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 16
10.11.2012 l 16
Exkurs FOM – Mai 2013
Wer profitiert vom Urheberrecht?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 17
10.11.2012 l 17
Exkurs FOM – Mai 2013
Wer profitiert vom Urheberrecht?
Personenbezogene Daten sind alle Angaben, die sich auf eine
bestimmte oder aber auch nur bestimmbare Person beziehen:
Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartennummer, Telefon-Nummer
IP-Adresse
Abgleich mit
Providerdaten
Bestimmbar wird eine Person, wenn ihre
Identität durch die Kombination des Datums mit
einer anderen Information feststellbar wird.
Bestimmt ist eine Person, wenn
sich ihre Identität direkt aus dem
Datum selbst ergibt.
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 18
10.11.2012 l 18
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Für alle gilt: Transparenz, Widerruf und Nachweisbarkeit!
enthalten Vorgaben zur Nutzung personenbezogener Daten
Verschiedene Rechtvorschriften
§ 4 a BDSG § 93 TKG § 13 TMG
Regelt generell den Umgang mit personenbezogenen Daten („lex generalis“)
Regelt den Umgang mit Daten, die Auskunft über die Nutzung der Kommunikationswege geben: Wer hat wann mit wem eine Netzwerkverbindung aufgebaut?
Regelt den Umgang mit Daten bei der Nutzung von Tele- und Mediendiensten: Wer hat welche Webseite oder Datendienste abgerufen?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 19
10.11.2012 l 19
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
1. Vorlage technisch-organisatorischer
Maßnahmen durch potentiellen AN
2. Auswahl des AN unter Berücksichtigung d. technisch-organisatorischen
Maßnahmen (§ 11 Abs. 2 S. 1 BDSG)
3. Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen
(§ 11 Abs. 2 S. 2 BDSG)
4. Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen bei AN
(§ 11 Abs. 2 S. 4 BDSG)
5. Dokumentation des Ergebnisses der Überprüfung
(§ 11 Abs. 2 S. 5 BDSG)
6. Beginn bzw. Durchführung der
Auftragsdatenverarbeitung
7. Durchführung und Dokumentation regelmäßiger Kontrollen
(§ 11 Abs. 2 S. 4 u. 5 BDSG)
Prozessablauf einer Auftragsdatenverarbeitung:
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 20
10.11.2012 l 20
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Die Aufgaben eines Systemadministrators sind vielfältig:
Analyse und Bewertung des
Soft- und Hardwarebedarfs
Installation und Konfiguration von
Software, Systemen und Komponenten
Planung und Überprüfung von
Sicherheitsmaßnahmen gegen
Angriffe von außen und innen
Benutzersupport
Administration von
Servern und Anwendungen
Einrichtung und Verwaltung von Nutzerkonten,
Zugriffsrechten, Verzeichnisdiensten
Dabei genießt er weitgehende technische Möglichkeiten
Was darf der Admin wissen?
Was darf das Unternehmen?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 21
10.11.2012 l 21
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Mögliche Konsequenzen bei Verstößen gegen den Datenschutz:
Ordnungsgeld / Strafrecht
Für den Betrieb: Stillegung der EDV
Erschwernisse durch Prüfungen / Presse im Tagesgeschäft
Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)
Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe
§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)
…das könnte passieren …. das wird passieren
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 22
10.11.2012 l 22
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Fernmeldegeheimnis
Einsicht in den Inhalt der Kommunikation ist nicht zulässig! Auch nicht dann,
wenn es für die ordnungsgemäße Erledigung der Dienstleistung
erforderlich erscheint, z.B. zur
Störungsbeseitigung (Viren etc.)
Sicherstellung eines reibungslosen Kommunikationsablaufs
Grundrechtlicher Schutz aus Art. 10 GG
Ausdrückliches Ziel des TKG (§ 88)
Verpflichtet sind alle Personen, die geschäftsmäßig
Telekommunikationsdienste erbringen oder daran mitwirken.
Geschützt sind alle natürlichen und juristischen Personen.
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 23
10.11.2012 l 23
Exkurs FOM – Mai 2013
► Das Fernmeldegeheimnis „infiziert“ damit das Mailpostfach und die Internetlogfiles!
Bei Duldung oder Erlaubnis der privaten Nutzung ohne spezifische rechtliche Regelung
ergeben sich technische, rechtliche und betriebliche Probleme:
Aufgrund § 88 TKG und § 206 StGB generell:
Spamfilterung unzulässig
Logfilespeicherung und Auswertung unzulässig beides sind unabdingbare technische Sicherheitsmaßnahmen zum Schutz der IT-Systeme eines Unternehmens
Kontrolle der Nutzungsvorgaben unzulässig! hierzu ist ein AG aber aufgrund gesetzlicher Vorgaben verpflichtet
Bei Abwesenheit des AN:
Einsichtnahme in Maileingang durch AG stets unzulässig!
Wichtige Geschäftsmails nicht einsehbar
Grundlagen Datenschutz
E-Mail- und Internetzugang sind Betriebsmittel zur Erbringung der
Arbeitsleistung. Mit Bereitstellung privater Nutzung wird der Arbeitgeber zum
geschäftsmäßigen TK-Anbieter (E-Mail - § 3 Nr. 10 TKG); Telemedienanbieter
(Internet - § 2 (1) TMG)
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 24
10.11.2012 l 24
Exkurs FOM – Mai 2013
Bei erlaubter privater Nutzung steht die gesamte Kommunikation unter
dem Schutzbereich des § 206 StGB
Grundlagen Datenschutz
§ 206 StGB Verletzung des Post- oder Fernmeldegeheimnisses
Zusätzlich: Persönliche Haftung des Täters (Admin)
Berufung auf Anweisungen kommt nicht in Betracht!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 25
10.11.2012 l 25
Exkurs FOM – Mai 2013
Eine der häufigsten Fragen im Social Web: „Wo bist Du gerade?“
Foursquare bietet seinen Usern die Möglichkeit „major“ eines Clubs oder Restaurants zu
werden. Imbissbudenbesitzer, Clubs oder Restaurants können dann Rabatte oder
Bonusversprechen an den Status auf Foursquare knüpfen
Foursquare ist mit Facebook und Twitter verbunden. Das Check-In-Prinzip ist sehr lukrativ,
da andere Geokoordinaten nicht exakt genug sind
Negative Folge: „Check-In-Stalkers“
Werden Sie doch virtueller Bürgermeister
Exkurs in die digitale Welt
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 26
10.11.2012 l 26
Exkurs FOM – Mai 2013
Exkurs in die digitale Welt
Was kann ich mit geklauten Daten verdienen?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 27
10.11.2012 l 27
Exkurs FOM – Mai 2013
Exkurs in die digitale Welt
Was kann ich mit geklauten Daten verdienen?
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 28
10.11.2012 l 28
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Datenschutz weltweit – Übersicht forrester heatmap
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 29
10.11.2012 l 29
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Keine Immunität für Administratoren
Aufgabe von Administratoren ist es zwar, Vertraulichkeit, Integrität und
Verfügbarkeit von Informationen sicherzustellen. Allerdings zählt dazu nicht,
die verschiedenen Inhalte einzusehen oder gar auszuwerten.
Beschäftigt ein Unternehmen mehr als einen Administrator, sollten die
Admin Rollen in unterschiedliche Bereiche aufgeteilt werden.
Alle Rollen sollten aber im Notfall auf jeden Admin übertragbar sein.
Administratoren sollten nur die Passwörter kennen, die sie für die Erfüllung
Ihrer routinemäßigen Aufgaben benötigen.
Fazit: So viel Einsichtsrechte wie nötig, so wenig wie möglich!
(Need to Know-Prinzip)
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 30
10.11.2012 l 30
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Auswertung von Logfiles und Protokollen
Remotezugriff auf einen PC, insbesondere Spiegelung einer
Benutzersitzung ohne vorherige Information des Anwenders
Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels
der Standard-Adminfreigaben des Betriebssystems oder anderer
Funktionen ohne vorherige Information des Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das
E-Mail-Postfach eines Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das Home-
Verzeichnis eines Anwenders ohne vorherige Information des
Anwenders
Nutzung jeder Funktionalität gleich welcher Art, die einen
unbemerkten Zugriff auf einen PC ermöglicht
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 31
10.11.2012 l 31
Exkurs FOM – Mai 2013
IT-Projektmanagement
Exkurs ins Projektmanagement
Schritt 1
Begeisterung
Schritt 3
Ernüchterung
Schritt 6
Auszeichnung
des
Nichtbeteiligten
Schritt 5
Bestrafung des
Unschuldigen
Schritt 2
Verwirrung
Ziel Start Die 6 typischen Steps im Projektmanagement
Schritt 4
Suche des
Schuldigen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 32
10.11.2012 l 32
Exkurs FOM – Mai 2013
IT-Projektmanagement
Exkurs ins Projektmanagement
Bei einem IT-Projekt gibt es
personelle Risiken (beteiligte Personen)
fachliche Risiken
methodische Risiken (Vorgehensweise/Planung).
Zur Info:
ca. 25% aller IT-Projekte scheitern vollständig, ca. 50% werden unter Überschreitung der
geplanten Kosten und/oder der geplanten Termine leidlich erfolgreich beendet, nur ca.
25% „gelingen“ im engeren Sinne.
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 33
10.11.2012 l 33
Exkurs FOM – Mai 2013
Grundlagen Datenschutz
Die Top-6-Liste verbotener Aktivitäten von IT Mitarbeitern
Quelle: Studie BalaBit IT Security
54
48
29 25
16 15
0
10
20
30
40
50
60
Herunterladen illegalerInhalte am Arbeitsplatz
Das Umgehen vonSicherheitsrichtlinien
(Firewall etc.)
Die Mitnahme vonUnternehmensdaten
Durchsuchen vertraulicherDokumente
Lesen von E-Mails derMitarbeiter untereinander
Veränderung vonProtokollen zum eigenen
Schutz
Anzahl in %
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 34
10.11.2012 l 34
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Über DATATREE AG
5. Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 35
10.11.2012 l 35
Exkurs FOM – Mai 2013
Gibt es eine Möglichkeit digital seine Daten zu verschleiern oder sogar
Selbstmord zu begehen?
Aus der Praxis: Beispiele
Die Mobilfunknummer ist heute einer der ersten Zugänge zum Kunden. Sie wird für
Webeanrufe, SMS oder aber auch zum Verkauf an Dritte verwendet. Was tun, wenn der
Anbieter nicht so vertrauensvoll wirkt?
Nutzen Sie Frank geht ran: http://frank-geht-ran.de/
Neben der Löschung seiner accounts im Web gibt es auch Foren oder Dienste die
genutzt werden können:
How to permanently delete your facebook account:
http://www.facebook.com/help/contact.php?show_form=delete_account
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 36
10.11.2012 l 36
Exkurs FOM – Mai 2013
Mögliche Add-Ons zum Schutz der Privatsphäre sind unter www.ghostery.com oder
www.adblockplus.de abrufbar!
Bin ich anonym im Netz!
Aus der Praxis: Beispiele
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 37
10.11.2012 l 37
Exkurs FOM – Mai 2013
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Ende der Schonfrist
1. Vorstellung DATATREE AG
5. Fragen und Handlungshilfen
2. Exkurs Marketing
3. Grundlagen Datenschutz
4. Aus der Praxis: Beispiele
1. Vorstellung DATATREE AG
5. Fragen und Handlungshilfen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 38
10.11.2012 l 38
Exkurs FOM – Mai 2013
Handlungshilfen
Was ist zu tun, wenn..
…der Bauch sich meldet?
Klären Sie folgende Fragen:
Grundsätzlich erste Frage: Auf welcher Grundlage?
Schriftliche Anweisung
Erklären Sie sich mit keiner Maßnahmen einverstanden!
Protokollieren Sie den Vorgang!!
3 Dinge schaffen: Fakten, Fakten, Fakten!
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 39
10.11.2012 l 39
Exkurs FOM – Mai 2013
Offene Diskussion
und Fragen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 40
10.11.2012 l 40
Exkurs FOM – Mai 2013
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
Telefon +49 (211) 598947 -50
Fax +49 (211) 598947 - 80
Vielen Dank
für Ihre Aufmerksamkeit!