220 likes | 451 Views
Datenschutz und Datensicherheit. zwei Seiten einer Medaille. Ein Atemzug und doch ein Unterschied. Datenschutz gem. BDSG. Datensicherheit (Grundschutz gem. GSHB). Datenschutz gem. Bundesdatenschutzgesetz (§ 1).
E N D
Datenschutz und Datensicherheit zwei Seiten einer Medaille
Ein Atemzug und doch ein Unterschied Datenschutzgem. BDSG Datensicherheit(Grundschutzgem. GSHB)
Datenschutz gem. Bundesdatenschutzgesetz (§ 1) • Zweck des Gesetzes ist der Schutz des Einzelnen vor Beeinträchtigung seines Persönlichkeitsrechts • durch öffentliche Stellen des Bundes/der Länder • oder durch nicht-öffentliche Stellen.
Personenbezogene Daten – was ist das? (§ 3) • Einzelangaben über • persönliche oder sachliche Verhältnisse • einer bestimmten oder bestimmbaren • natürlichen Person.
Grundsatz der Datensparsamkeit (§ 3a) • Bei der Gestaltung und Auswahl von Datenverarbeitungssystemen • ist darauf zu achten, • keine oder so wenig personenbezogene Daten wie möglich • zu erheben, verarbeiten oder zu nutzen.
Verbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4) • Die Erhebung, Verarbeitung und Nutzung ist nur zulässig, • soweit dies das BDSG oder eine andereRechtsnorm zulässt oder anordnet oder – • oder Betroffene eingewilligt hat. aber:
Verbot der Datenverarbeitungunter Erlaubnisvorbehalt (§ 4) • Ohne seine Mitwirkung dürfen sie erhoben werden, wenn… • die Kenntnis der Daten zur Aufgabenerfüllung notwendig ist, • dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist, • es sich um offenkundige Daten handelt oder • dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit notwendig ist.
Meldepflicht (§ 4d) • Verfahren automatisierter Verarbeitung sind vor Inbetriebnahme dem Datenschutzbeauftragten zu melden.
Datengeheimnis (§ 5) • Den bei der Datenverarbeitung Beschäftigten ist untersagt, unbefugt Daten zu erheben, zu verarbeiten oder zu nutzen. • Sie sind auf das Datengeheimnis zu verpflichten
Wann müssen die Daten gelöscht werden? (§ 35) • ihre Speicherung unzulässig war • sobald die Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist • wenn der Betroffene ihrer Speicherung widerspricht und rechtlich keine Grundlage zur Speicherung besteht.
Datenschutzbeauftragte bei Bundesverwaltungen Bundesdatenschutzbeauftragter behördlicher Datenschutzbeauftragter beim BMF örtlicher Datenschutzbeauftragter bei HZA/OFD
bemängelt berichtet prüft Kontrolle der Einhaltung des Datenschutzes Bundesdatenschutzbeauftragter Tätigkeits-bericht erwähnt behördlicher Datenschutzbeauftragter Dienststelle
Die drei Grundwerte: Vertraulichkeit Integrität Datensicherheit Verfügbarkeit
Datensicherheit um jeden Preis? • einen hundertprozentigen Schutzgibt es nicht, • weil der Aufwand dafür unendlich groß wäre • man mit einem vollkommen sicherenSystem nicht arbeiten könnte. und
Datensicherheit um jeden Preis? • Schutz ist also relativ, aber wovon macht man den Aufwand abhängig? vom Schutzbedarf.
Schutzbedarfsfeststellung als Ausgangspunkt • Schutzbedarfsfestellung für jedes einzelne IT-System, aber Gruppierung möglich. • Es wurden drei Schutzbedarfskategoriendurch das BSI definiert: niedrig/mittel hoch sehr hoch
Schutzbedarf niedrig bis mittel • Schadensauswirkungen sind begrenztund überschaubar.
Schutzbedarf hoch • Schadensauswirkungen können beträchtlich sein, aber noch tolerabel
Schutzbedarf sehr hoch • Schadenauswirkungen können ein existenziell bedrohliches, katastrophalesAusmaß annehmen
Schadensszenarien • Verstoß gegen Vorschriften/Gesetze/Verträge • Beeinträchtigung des informellen Selbstbestimmungsrechtes • Beeinträchtigung der persönlichen Unversehrtheit • Beeinträchtigung der Aufgabenerfüllung • negative Außenwirkung • finanzielle Auswirkungen
Grundschutzhandbuch des BSI • Vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben • enthält Empfehlungen, deren Einhaltungeinen Grundschutz darstellt. • Mit diesem Grundschutz wird niedriger bis mittlerer Schutzbedarf befriedigt. • Für höheren Schutzbedarf wird eine Risikoanalyse benötigt.