1
Datenschutz in der Praxis
für
Referenten: Dipl.-Verw. Wiss. Daniel VoigtländerDipl.-Wi. Ing. Thomas Schmischke
22.07.2010
2
Inhalt
1. Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit
2. Umsetzung der gesetzlichen Forderungen mit Praxisbeispielen
3. Das Datenschutzprojekt - Kosten Nutzen Betrachtungen (mit Beispielen aus der Praxis)
4. Technisch-organisatorische Aspekte des Datenschutzes
5. Datenschutz und Informationssicherheit in ERP-Umgebungen (am Beispiel SAP)
4
Begriffe
Datenschutz
IT-Sicherheit
Informationsschutz
IT-Compliance
InformationssicherheitDatensicherheit
Datenqualität
5
Begriffe
Datenschutz64 Mio
IT-Sicherheit
6,3 Mio
Informationsschutz26.000
IT-Compliance276.000
Informationssicherheit161.000
Datensicherheit
1,8 Mio
Datenqualität242.000
6
Informationssicherheit(nach DIN und Wikipedia)
• Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen
• Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken.
• In der Praxis orientiert sich die Informationssicherheit heute unter anderem an der ISO/IEC Standard-Reihe 2700x aber auch zunehmend an ISO/IEC 15408 bzw. Gemeinsame Kriterien zur Evaluierung von IT-Sicherheit (bzw. Common Criteria).
• Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
• Ein DV-System ist entweder sicher oder nicht sicher. Sicher heißt, dass auf bekannten Wegen kein Angriff möglich ist.
7
Abgrenzung Datenschutz zu Datensicherheit
Datenschutz Datensicherheit
Schutznatürlicher Personen
vor
Verletzung des Rechtsauf informationelleSelbstbestimmung
§ 9 BDSGundAnlage
Schutz von Daten jeder Art sowie von Hard- und
Software
vor
Verlust, Zerstörung,Missbrauch durch
Unbefugte
8
Abgrenzung Datenschutz zu IT-Sicherheit
IT-Sicherheit in Ihrem eigenen Interesse• Das Unternehmen für sich selbst• Der Mitarbeiter für sich selbst
Datenschutz im Interesse der Betroffenen• Das Unternehmen für die Mitarbeiter
Aber:Ohne IT-Sicherheit kein Datenschutz!
9
„morphologischer Sicherheitskasten“
Wer wird geschützt
Wer wird bestraft
Wer bezahlt
Ökono-mischesRisiko
Zeitlicher Handlungsdruck
Daten-schutz
Personen-bez. Daten
direkt: verantwortl.
Stelleindirekt:
Betroffener
verant-wortliche
Stelle
mittel hoch
Info.-schutz
Unter-nehmensdat
enUnter-
führung
verant-wortliche
Stelle
hoch hoch
IT-Com-pliance
gesetzl. und interne
Regelungen
abh. von verletzten
Regelungen
verant-wortliche
Stelle
niedrig-hoch mittel
10
Das BDSG ist die gesetzliche Grundlage und regelt den Umgang mit personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland.
Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personen-bezogenen Daten durch Dritte in seinem Persönlichkeitsrecht beeinträchtigt wird.
Das Bundesdatenschutzgesetz (BDSG)
11
a) Öffentliche Stellen (hier nicht weiter betrachtet)b) Nicht-öffentliche Stellen, wie Unternehmen (juristische
Personen aller Rechtsformen), Vereine, Verbände.
Konkret gilt:1) Jede Firma, egal welcher Größe, muß sich an das BDSG halten.2) Jede Firma mit mehr als 9 MA, die sich mit der automatisierten
Verarbeitung personenbezogener Daten beschäftigen, muß einen DSB bestellen.
Wen betrifft das Gesetz?
12
sind Einzelangaben über persönliche und sachliche Verhältnisse einerbestimmten oder einer bestimmbaren Person.Personenbezogen • sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten
oder bestimmbaren natürlichen Person, gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner (Betroffener).
• sind alle Angaben, die zu einer identifizierbaren Person gehören, z.B. Adresse, Telefonnummer, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Foto, Arbeitgeber, Gehalt, Einkommen, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Zeugnisnoten, Beurteilungen, Krankheiten, Vorstrafen, Steuern, Versicherungen, Vertragskonditionen.
• können auch Daten ohne direkten Personenbezug (z.B. ohne Namensangabe) sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.B. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem infrage kommenden Benutzer).
Personenbezogene Daten
13
Diese Daten gehören nicht dazu
• Technologiedaten
• Betriebswirtschaftliche Daten
• Strategische Daten
• Qualitätsdaten
Personenbezogene Daten
14
Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.B. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.
Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen.
Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann („Ansehen“), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.
Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann („Existenz“), z.B. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse.
Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.B. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. (Identität eines verdeckten Ermittlers)
Schutzstufen personenbezogener DatenQuelle: Landesdatenschutzbeauftragter Niedersachsen
Im Kern geht es um „techn.-organisatorischen“Datenschutz gem. §9 BDSG (Anlage)
1. Zutrittskontrolle2. Zugangskontrolle3. Zugriffskontrolle4. Weitergabekontrolle5. Eingabekontrolle6. Auftragskontrolle7. Verfügbarkeitskontrolle8. Trennungsgebot (getrennte Verarbeitung /
Zweckbindung)
Technisch-organisatorischer Datenschutz
Fabrikplan mit Gebäuden
Werk
Halle Büro
BüroBüro
RZ
1
2
Zutrittskontrolle
Zugangskontrolle
Beispiel für Zugangskontrolle (per Authentifizierung über Token)
Remote-Zugang per VPN
1. Sicherheitszertifikat installieren
2. Login mit Token-Code
Technisch-organisatorischer Datenschutz
Keine Berechtigung!!!
3 Zugriffskontrolle
Weitergabekontrolle4
Eingabekontrolle
5
- -- -
- -- -
- -- Mittelstands
RZAG
6Auftragskontrolle
Beispiel für Zugriffskontrolle in SAP
Benutzer-Stammsatz
Rolle
Berechtigungs-objekt
Berechtigungs-felder
Technisch-organisatorischer Datenschutz
Datentrennung (Trennungsgebot, Zweckbindung)Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten (technisch) getrennt verarbeitet werden (Beispiel bei SAP-Applikationen: Trennung in Test-, Schulungs- und Produktivsystem; Mandantenkonzept)
7 Verfügbarkeitskontrolle:
gewährleistet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Beispiel: Datensicherung (ggf. doppelt an getrennten Orten)
8
27
Datenschutz-Projekt
Ökonomischer Ansatz:
Projekt zur Einführung eines Datenschutz-Managements …… zur Umsetzung des BDSG wg. gesetzlichem Zwang seit 1990
-> Focus personenbezogene Daten
… und dabei „Mitnahme“ von Aktivitäten zum Informationsschutz
-> Focus Unternehmensdaten
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1
Phasenmodell Einführung Datenschutzmanagement
2 3
Phase 1:Datenschutz-
Bestandsaufnahme („Inventur“)
Phase 2: Umsetzung des
Bundesdatenschutzgesetzes (+ Aktivitäten zur Verbesserung
des Informationsschutzes)
Phase 3: Laufender Betrieb
29
Phase 1: Datenschutz-Bestandsaufnahme (Inventur)
• Datenschutzaudit (Prüfung Status des technisch organisatorischen Datenschutzes)
• Aufnahme der Organisation (Wie ist das Unternehmen aufgestellt, Verantwortlichkeiten, Organigramm)
• Aufnahme der Sicherheitskonzepte, falls vorhanden (Virenschutz, Berechtigung Datensicherung…)
• Aufnahme der Infrastruktur• Aufnahme der installierten Software• Erstellung Maßnahmenkatalog
30
Phase 2: Umsetzung des Bundesdatenschutzgesetzes
• Erarbeitung der Verfahrensverzeichnisse (Einbeziehung der Abteilungen die personenbezogene Daten verarbeiten)
• Umsetzung des festgestellten HandIungsbedarfes -> Maßnahmen
• Schulung der Mitarbeiter, die Umgang mit personenbezogenen Daten haben
• Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes
• Bestellung Datenschutzbeauftragter
31
Beispiel: Ansätze Maßnahmenkatalog
• Letter Shop Dienstleister führen Auftragsdatenverarbeitung durch, aber kein Vertrag zur Auftragsdatenverarbeitung vorhanden
• Paßwörter müssen nicht regelmäßig geändert werden
• Kein Rauchmelder im Rechenzentrum
• Daten werden auf USB-Stick gespeichert. Bei Verlassen des Arbeitsplatzes verbleibt der Stick in PC
• Kein Notfallkonzept für den Rechenzentrumsbetrieb
• Wartungspersonal noch nicht auf das Datengeheimnis verpflichtet
32
Phase 3: Laufender Betrieb
• Führen und Pflegen von Verfahrensverzeichnissen• Prüfung der datenschutzrechtlichen Relevanz bei neu einzuführenden IT-
Systemen (Vorabkontrolle)• Überwachung der ordnungsgemäßen Anwendung von DV-Programme• Durchführung von Schulungen von neuen Mitarbeitern• Beratung der Fachbereiche und Mitarbeiter in datenschutzrelevanten Fragen • Pflege der in der Einführungsphase erstellten Dokumentation und installierten
Werkzeugen• Benachrichtigung und Auskunft an Betroffene• Überwachung des Prozesses der Berichtigung, Löschung und Sperrung von
Daten • Mitwirkung an Projekten mit datenschutzrechtlichen Auswirkungen• Unterstützung im Kontakt nach Außen: Kommunikation mit der Aufsichtsbehörde• Unterstützung bei Kontrollbesuchen, Datenschutzgespräche mit Betroffenen• Durchführung regelmäßiger Datenschutzbegehungen • Erstellung des jährlichen Datenschutzberichtes
33
Beispiel: Einladung Mitarbeiterschulung
Namen aus Datenschutzgründen ausgeblendet
Namen aus Datenschutzgründen ausgeblendet
Namen aus Datenschutzgründen ausgeblendet
Namen aus Datenschutzgründen ausgeblendet
34
Kosten-/Nutzen-Relation Datenschutz
• Automatisiertes Verfahren nicht gemeldet und kein DSB bestellt• Datenschutzbeauftragter nicht oder zu spät bestellt
-> Bußgeldniveau 50.000.-€ je Einzelfall!
• Unbefugte Verarbeitung personenbezogener Daten (Schutzstufe C oder höher)
• Unbefugte Beschaffung personenbezogener Daten, die nicht allgemein zugänglich sind
• Datenpannen nicht, nicht richtig, -rechtzeitig oder –vollständig veröffentlicht
-> Bußgeldniveau 300.000.-€ je Einzelfall
35
Qualitative Nutzenfaktoren
Ein guter Datenschutz-Standard erzeugt bzw. unterstützt
• Mitarbeiterzufriedenheit / Sicherheitsgefühl• Gutes Unternehmens-Image • Macht Datenpannen sehr unwahrscheinlich• Besseren Status IT-Compliance• Bessere Prozesssicherheit• Gute Vorbereitung auf DIN ISO/IEC 27001
36
Praxisbeispiele für den externen Aufwand bei Einführung und laufendem Betrieb
Bestands-aufnahme
Umsetzung BDSG
Laufender Betrieb
Aufwand / Jahr
Mittelständischer Industriebetrieb (100 MA)
3 PT 3 PT 2-3 PT
Mittelständischer Konzern mit mehreren Gesellschaften (In-und Ausland, 2000 MA)
10 PT 10 PT 8 PT
Gemeinnütziger Verein Behindertenhilfe (450 MA)
6 PT 5 PT 4 PT
Praktizierter Datenschutz im Büroalltag
Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Nur sichere Passwörter auswählen
Quelle: Imperva
39
Praktizierter Datenschutz im Büroalltag
Beispiel gutes Passwort• Grundsatz: Nicht das Passwort merken, sondern die
Methode, wie es gebildet wird!• Akronym-Methode
– Bildung eines Passwortsatzes– Verwendung der Anfangs- oder auch der Endbuchstaben der
einzelnen Wörter als Passwort– Zusätzlich mindestens zwei Ziffern oder Sonderzeichen
einfügen
Passortsatz: Maus & Elefant gehen zusammen 1 Pizza essenPasswort: M&Egz1Pe
40
Praktizierter Datenschutz im Büroalltag
Schützen Sie die Daten auf Ihrem PC bzw. Server-Laufwerk• Passwörter regelmäßig wechseln• Bildschirme und PCs bei Abwesenheit vom Arbeitsplatz
sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht)
• unerlaubte Einsichtnahme auf PC-Bildschirme vermeiden• Problembereich USB-Anschlüsse und Laufwerke• Laptops sorgfältig sichern, anbinden
z.B. Kensington-Schloss
42
Weitere Felder für praktizierten Datenschutz
• Fax bzw. E-Mail ist nicht automatisch vertraulich
• „Plaudertasche“ Mobiltelefon
• Büro und Schreibtisch
• Der Papierkorb ist das gefährlichste Möbelstück!
• Microsoft-Office-Dokumente verraten mehr, als Sie
glauben!
43
Neben allen Sach-Investitionen muß auch die Aufklärung der Mitarbeiter Raum bekommen. Informationssicherheits-Risiken werden u.a. vermieden durch
• Keine vertraulichen Gespräche im Zug führen• Geschäftspapiere zu Hause/auf Reisen nicht herumliegen lassen
(z.B. beim Gang zur Toilette) • Laptop/Handy stets mit Zugangsschutz• Etc.
Ziel: Mitarbeiter müssen Ihr Verhalten hinterfragen!
Technisch-organisatorische Aspekte des Datenschutzes außerhalb Büro
44
Faustregel:
Sorgen Sie für eine Behandlung von personenbezogenen Daten in der selben Weise wie Sie auch Ihre persönlichen Daten behandelt wissen möchten
Technisch-organisatorische Aspekte des Datenschutzes
Zugriffskontrolle in SAP am Beispiel der„SAP Business Suite 7“
• Grundkonzept: Rollenbasiertes Identity Management • komplexes System aus vielen Einzelberechtigungen, die wiederum
Einheiten bilden und somit sowohl eine schnelle Einrichtung, als auch eine feine Abstimmung erlauben
• Benutzern werden auf der Grundlage der von ihnen durchzuführenden Aufgabe (Rolle) Berechtigungen zugewiesen.
• Werkzeuge• Benutzerpflege (Transaktion SU01)• Rollen- und Berechtigungspflege (Transaktion PFCG)
46
47
Zugriffskontrolle in SAP
Vorteil: Prinzipiell kann Datenzugriff unterschieden werden nach lesen/schreiben/ändern/löschen und sehr fein, z.T auf Feld-Ebene, festgelegt werden.
Nachteil: sehr aufwendig zu konzipieren, einzurichten und zu pflegen; Probleme im Vertretungsfall; Probleme, falls Berechtigungen nicht gut an Geschäftsvorgänge angepasst oder sich diese schnell ändern
Lösung: „Rollen“ - Schaffung von festgelegten Kombinationen aus (dutzenden) Einzelberechtigungen z.B. für den „typischen“ Einkäufer, Vertriebsinnendienstler oder QM-Manager
! Jedes Unternehmen muß seinen Detaillierungslevel selbst bewußt erarbeiten, umsetzen und aktuell halten
Zugriffskontrolle in SAP: Berechtigungsfeld
Benutzer-Stammsatz
Rolle
Berechtigungs-objekt
Berechtigungs-felder
48
49
Zugriffskontrolle in SAP: Berechtigungsfeld
• Berechtigung: Ermächtigung zum Durchführen einer bestimmten Aktion im SAP-System auf Grundlage eines Satzes von Werten für die einzelnen Felder eines Berechtigungsobjekts.
Berechtigungsfeld
Zugriffskontrolle in SAP: Berechtigungsobjekt
Benutzer-Stammsatz
Rolle
Berechtigungs-objekt
Berechtigungs-felder
50
51
Zugriffskontrolle in SAP: Berechtigungsobjekt
• ...besteht aus:• Bezeichnung• Feldern (max. 10) mit möglichen Werten (= Aktionen)
Berechtigungsobjekt
52
Zugriffskontrolle in SAP: Berechtigungsobjekt
• Beispiel
Inhalt des Berechtigungsobjekts
Erklärung der Berechtigungswerte
Zugriffskontrolle in SAP: Rolle
Benutzer-Stammsatz
Rolle
Berechtigungs-objekt
Berechtigungs-felder
53
54
Zugriffskontrolle in SAP: Rolle
• Berechtigungen werden für Benutzer in Form von Berechtigungsprofilen (Rollen) im Benutzerstammsatz zugeordnet
• Die ausgewählten Funktionen entsprechen dem Tätigkeitsfeld eines Anwenders bzw. einer Gruppe von Anwendern
• Mit dem SAP-Standard wird eine große Zahl von Rollen ausgeliefert
Beispiel:Rolle in Modul SD (Vertrieb)
Zugriffskontrolle in SAP: Benutzer-Stammsatz
Benutzer-Stammsatz
Rolle
Berechtigungs-objekt
Berechtigungs-felder
55
57
Zusammenfassung Berechtigungskonzept
Nach Verarbeitung: lesen/schreiben/ändern/löschenNach Organsisationseinheit: Nur Holding und Tochter A, nicht
Tochter B; Nur Vertriebssparte A, nicht B, etc.
Nach Datenobjekt: nur Transaktion A, B, C und Report A, BInnerhalb Datenobjekt: Transaktion „Bestellung anzeigen“, aber
nicht das Datenfeld „Preis“Nach Kontierung: Nur Daten für Kostenstelle 120, Auftrag
„Stihl“ oder Projekt „7B“Temporär: Nur für den Zeitraum 1. Jun – 31. Okt
2010
Und fast alle Kombinationen daraus.
58
Weitere Elemente der Zugriffskontrolle in SAP
Neben den beschriebenen Möglichkeiten im SAP-SystemBerechtigungen einzurichten, wird der Schutz von personenbe-zogenen Daten durch weitere Maßnahmen gewährleistet
• Sichere Kommunikation im Netzwerk (SNC, Secure Network Communication)
• Sichere Datenformate (SSF, Secure Store and Forward) • System-Kennwörter • Eigenständige Berechtigung für Datenbankzugriffe • Bei SAP AG zu beantragende Entwicklerkennung für neue
Datenauswertungen• Transportsystem zwischen Mandanten
59
Zugriffskontrolle in SAP: Es gibt einen Leitfaden
„Leitfaden Datenschutz SAP ERP 6.0“(Herausgeber: DSAG, letzte Aktualisierung vom 20.09.2009)
• ... beschreibt die Aufgaben des Datenschutzbeauftragten (DSB) im Zusammenhang mit Einführung und Betrieb von SAP ERP• Begleitung der SAP-Einführung (DSB als Teil des Projektteams)• Anwenderschulung / Belehrung• Standardrollen (z.B. Rolle SAP_AUDITOR_DS)
• ... und bietet Überblick und Hinweise zu• rechtlichen Grundlagen (BDSG)• Risiken, zu ergreifenden Maßnahmen und Auditierung• relevanten SAP-Tabellen• Datenaustausch intern / extern
60
Vereine / VerbändeDeutsche Vereinigung für Datenschutz e.V: http://www.datenschutzverein.de/Gesellschaft für Datenschutz und Datensicherung e.V.: http://www.gdd.de/Berufsverband der Datenschutzbeauftragten Deutschlands - http://www.bvdnet.deÖsterreichische Gesellschaft für Datenschutz - http://www.argedaten.atZeitschriftenDuD - Datenschutz und Datensicherheit - http://www.dud.deDatenschutz Berater - http://www.vhb.de/datenschutz-beraterKES - http://www.kes.info/Verlage:Secumedia Verlag: http://www.secumedia.de/Datakontext: http://www.datakontext.deBeck Verlag: http://www.beck.deSonstige Seiten: IT-Revision und IT-Sicherheit - http://www.it-audit.de/Bundesamt für Sicherheit in der Informationstechnik - http://www.bsi.de/Virtuelles Datenschutzbüro - http://www.datenschutz.de/Unabhängiges Landeszentrum für Datenschutz SH - http://www.datenschutzzentrum.deBundesbeauftragten für den Datenschutz - http://www.bundesdatenschutzbeauftragter.deVerschiedene Artikel: http://www.btq.de/artikel.html
Nützliche Links
61
Daniel Voigtländer
MSO ConsultingZeisigweg 1171397 NellmersbachFon: 07195/9772959Mobil: 0172/7160997Fax: 07195/[email protected]
Schwerpunkte:Externer DatenschutzbeauftragterQualitätsmanagementDokumentenmanagement
Ihre Ansprechpartner bei Fragen
Thomas Schmischke
Return on Concept GmbH & Co. KGManfred-von-Ardenne-Allee 1971522 Backnang Fon: 07191/3529-60Mobil: 0172/4033233Fax: 07191/[email protected]
Schwerpunkte:Consulting SAP / Unternehmens SWInterims- und ProjektmanagementExterner Datenschutzbeauftragter