Datenschutz und Datenschutz und DatensicherheitDatensicherheit
zwei Seiten einer Medaillezwei Seiten einer Medaille
© rb, 08/2005© rb, 08/2005
Datenschutzgem. BDSG
Datenschutzgem. BDSG
Datensicherheit(Grundschutzgem. GSHB)
Datensicherheit(Grundschutzgem. GSHB)
Ein Atemzug und doch ein UnterschiedEin Atemzug und doch ein Unterschied
© rb, 08/2005© rb, 08/2005
Datenschutz gem. Datenschutz gem. Bundesdatenschutzgesetz (§ 1)Bundesdatenschutzgesetz (§ 1)
Zweck des Gesetzes ist der Schutz des Zweck des Gesetzes ist der Schutz des Einzelnen vor Beeinträchtigung seines Einzelnen vor Beeinträchtigung seines PersönlichkeitsrechtsPersönlichkeitsrechts
durch öffentliche Stellen des Bundes/der durch öffentliche Stellen des Bundes/der LänderLänder
oder durch nicht-öffentliche Stellen.oder durch nicht-öffentliche Stellen.
© rb, 08/2005© rb, 08/2005
Personenbezogene Daten – Personenbezogene Daten – was ist das? (§ 3)was ist das? (§ 3)
Einzelangaben überEinzelangaben über persönliche oder sachliche Verhältnissepersönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbareneiner bestimmten oder bestimmbaren natürlichennatürlichen Person. Person.
© rb, 08/2005© rb, 08/2005
Grundsatz der Datensparsamkeit Grundsatz der Datensparsamkeit (§ 3a)(§ 3a)
Bei der Gestaltung und Auswahl von Bei der Gestaltung und Auswahl von Datenverarbeitungssystemen Datenverarbeitungssystemen
ist darauf zu achten,ist darauf zu achten, keine oder so wenig personenbezogene keine oder so wenig personenbezogene
Daten wie möglich Daten wie möglich zu erheben, verarbeiten oder zu nutzen.zu erheben, verarbeiten oder zu nutzen.
© rb, 08/2005© rb, 08/2005
Verbot der DatenverarbeitungVerbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4)unter Erlaubnisvorbehalt (§ 4)
Die Erhebung, Verarbeitung und Die Erhebung, Verarbeitung und Nutzung ist nur zulässig, Nutzung ist nur zulässig,
soweit dies das BDSG oder eine soweit dies das BDSG oder eine andereandereRechtsnorm zulässt oder anordnet Rechtsnorm zulässt oder anordnet oder –oder –
oder Betroffene eingewilligt hat.oder Betroffene eingewilligt hat.
aberaber::
© rb, 08/2005© rb, 08/2005
Verbot der DatenverarbeitungVerbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4)unter Erlaubnisvorbehalt (§ 4)
Ohne seine Mitwirkung dürfen sie erhoben Ohne seine Mitwirkung dürfen sie erhoben werden, wenn…werden, wenn…
die Kenntnis der Daten zur Aufgabenerfüllung die Kenntnis der Daten zur Aufgabenerfüllung notwendig ist,notwendig ist,
dies zum Schutz lebenswichtiger Interessen des dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist,Betroffenen oder eines Dritten notwendig ist,
es sich um offenkundige Daten handelt oderes sich um offenkundige Daten handelt oder dies zur Abwehr einer erheblichen Gefahr für dies zur Abwehr einer erheblichen Gefahr für
die öffentliche Sicherheit notwendig ist.die öffentliche Sicherheit notwendig ist.
© rb, 08/2005© rb, 08/2005
Meldepflicht (§ 4d)Meldepflicht (§ 4d)
Verfahren automatisierter Verarbeitung Verfahren automatisierter Verarbeitung sind sind vorvor Inbetriebnahme dem Inbetriebnahme dem Datenschutzbeauftragten zu melden.Datenschutzbeauftragten zu melden.
© rb, 08/2005© rb, 08/2005
Datengeheimnis (§ 5)Datengeheimnis (§ 5)
Den bei der Datenverarbeitung Den bei der Datenverarbeitung Beschäftigten ist untersagt, unbefugt Beschäftigten ist untersagt, unbefugt Daten zu erheben, zu verarbeiten oder zu Daten zu erheben, zu verarbeiten oder zu nutzen.nutzen.
Sie sind auf das Datengeheimnis zu Sie sind auf das Datengeheimnis zu verpflichten verpflichten
© rb, 08/2005© rb, 08/2005
Wann müssen die Daten Wann müssen die Daten gelöscht werden? (§ 35)gelöscht werden? (§ 35)
ihre Speicherung unzulässig warihre Speicherung unzulässig war sobald die Kenntnis für die sobald die Kenntnis für die
Aufgabenerfüllung nicht mehr erforderlich Aufgabenerfüllung nicht mehr erforderlich istist
wenn der Betroffene ihrer Speicherung wenn der Betroffene ihrer Speicherung widerspricht und rechtlich keine Grundlage widerspricht und rechtlich keine Grundlage zur Speicherung besteht.zur Speicherung besteht.
© rb, 08/2005© rb, 08/2005
Datenschutzbeauftragte bei Datenschutzbeauftragte bei BundesverwaltungenBundesverwaltungen
örtlicher Datenschutzbeauftragter bei HZA/OFD
örtlicher Datenschutzbeauftragter bei HZA/OFD
behördlicher Datenschutzbeauftragter beim BMF
behördlicher Datenschutzbeauftragter beim BMF
BundesdatenschutzbeauftragterBundesdatenschutzbeauftragter
© rb, 08/2005© rb, 08/2005
Kontrolle der Einhaltung des Kontrolle der Einhaltung des DatenschutzesDatenschutzes
DienststelleDienststelle
behördlicher Datenschutzbeauftragter
behördlicher Datenschutzbeauftragter
BundesdatenschutzbeauftragterBundesdatenschutzbeauftragter
prüft
berichtet bemängelt
Tätigkeits-bericht
Tätigkeits-bericht
erwähnt
© rb, 04/2013© rb, 04/2013
Die drei Grundwerte:Die drei Grundwerte:
DatensicherheitDatensicherheit
VertraulichkeitVertraulichkeit IntegritätIntegrität
VerfügbarkeitVerfügbarkeit
© rb, 08/2005© rb, 08/2005
Datensicherheit um jeden Preis?Datensicherheit um jeden Preis?
einen hundertprozentigen Schutzeinen hundertprozentigen Schutzgibt es nicht, gibt es nicht,
weil der Aufwand dafür unendlich weil der Aufwand dafür unendlich groß wäre groß wäre
man mit einem vollkommen sicherenman mit einem vollkommen sicherenSystem nicht arbeiten könnte.System nicht arbeiten könnte.
undund
© rb, 08/2005© rb, 08/2005
Datensicherheit um jeden Preis?Datensicherheit um jeden Preis?
Schutz ist also relativ,Schutz ist also relativ,
vom Schutzbedarf.
aber wovon machtaber wovon macht
man den Aufwand abhängig?man den Aufwand abhängig?
© rb, 08/2005© rb, 08/2005
Schutzbedarfsfeststellung Schutzbedarfsfeststellung als Ausgangspunktals Ausgangspunkt
Schutzbedarfsfestellung für jedes einzelne Schutzbedarfsfestellung für jedes einzelne IT-System, aber Gruppierung möglich.IT-System, aber Gruppierung möglich.
Es wurden drei SchutzbedarfskategorienEs wurden drei Schutzbedarfskategoriendurch das BSI definiert:durch das BSI definiert:
niedrig/mittel hoch sehr hoch
© rb, 08/2005© rb, 08/2005
Schutzbedarf niedrig bis mittelSchutzbedarf niedrig bis mittel
Schadensauswirkungen sind Schadensauswirkungen sind begrenztbegrenztund überschaubar.und überschaubar.
© rb, 08/2005© rb, 08/2005
Schutzbedarf hochSchutzbedarf hoch
Schadensauswirkungen können Schadensauswirkungen können beträchtlich sein, aber noch tolerabelbeträchtlich sein, aber noch tolerabel
© rb, 08/2005© rb, 08/2005
Schutzbedarf sehr hochSchutzbedarf sehr hoch
Schadenauswirkungen können ein Schadenauswirkungen können ein existenziell bedrohliches, existenziell bedrohliches, katastrophaleskatastrophalesAusmaß annehmenAusmaß annehmen
© rb, 08/2005© rb, 08/2005
SchadensszenarienSchadensszenarien
Verstoß gegen Verstoß gegen Vorschriften/Gesetze/VerträgeVorschriften/Gesetze/Verträge
Beeinträchtigung des informellen Beeinträchtigung des informellen SelbstbestimmungsrechtesSelbstbestimmungsrechtes
Beeinträchtigung der persönlichen Beeinträchtigung der persönlichen UnversehrtheitUnversehrtheit
Beeinträchtigung der AufgabenerfüllungBeeinträchtigung der Aufgabenerfüllung negative Außenwirkungnegative Außenwirkung finanzielle Auswirkungenfinanzielle Auswirkungen
© rb, 08/2005© rb, 08/2005
Grundschutzhandbuch des BSIGrundschutzhandbuch des BSI
Vom Bundesamt für Sicherheit in der Vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben Informationstechnik herausgegeben
enthält Empfehlungen, deren Einhaltungenthält Empfehlungen, deren Einhaltungeinen Grundschutz darstellt.einen Grundschutz darstellt.
Mit diesem Grundschutz wird Mit diesem Grundschutz wird niedrigerniedriger bis bis mittlerermittlerer Schutzbedarf befriedigt. Schutzbedarf befriedigt.
Für höheren Schutzbedarf wird eine Für höheren Schutzbedarf wird eine Risikoanalyse benötigt.Risikoanalyse benötigt.