Alkemade IT-Security e.K. - Datenschutz & IT-Sicherheit
Vertraulichkeit des Gesprächs Datensicherungskonzepte Netzwerksicherheit PC-Sicherheit Gesetzeskonforme Videoüberwachung Briefgeheimnis Lösch- und Aufbewahrungspflichten Authentizität & Integrität
Gesellschaft für Datenschutz und Datensicherheit e.V.
Berufsverband der Datenschutzbeauftragten Deutschlands e.V.

Datenschutz

Durch das im Grundgesetz normierte Recht auf informationelle Selbstbestimmung, die Forderungen der Datenschutz-Grundverordnung (DS-GVO), des Bundesdatenschutzgesetzes (BDSG) und weiterer einschlägiger Gesetze, Vorschriften und Empfehlungen und nicht zuletzt durch die immer weiter zunehmende Möglichkeit der massenhaften Speicherung und Weitergabe von Daten gewinnt der Schutz personenbezogener Daten einen immer höher werdenden Stellenwert. Datenschutz und IT-Sicherheit sind damit wichtige Grundpfeiler unserer, zunehmend von Technik geprägten, modernen Gesellschaft.

Mit Austausch von Bilddaten über telemedizinische Anwendungen oder der Einführung Cloud-basierter Dienste müssen im Gesundheitswesen zunehmend nachvollziehbare und dokumentierte technische und organisatorische Datenschutzmaßnahmen umgesetzt werden, die den ausschließlich berechtigten Zugriff auf die verarbeiteten Gesundheitsdaten gewährleisten.

Artikel 37 DS-GVO in Verbindung mit § 38 BDSG verpflichtet Unternehmen, die ständig personenbezogene Daten EDV-gestützt verarbeiten, eine oder einen Datenschutzbeauftragten zu benennen, wenn damit mindestens zehn Personen beschäftigt sind.

Soweit nicht-öffentliche Stellen Verarbeitungen vornehmen, die mit besonderen Risiken für die Betroffenen verbunden sind (die Verarbeitung unterliegt der Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet), haben sie unabhängig von der Anzahl der Beschäftigten eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Benennung zur oder zum Datenschutzbeauftragten erfordert neben der gebotenen Zuverlässigkeit die zur Erfüllung seiner Aufgaben notwendige Fachkunde, die sich insbesondere an dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten auszurichten hat. Mit dieser Aufgabe kann auch eine externe Person außerhalb des Unternehmens betraut werden.


Aufgaben des Beauftragten für den Datenschutz
Die Aufgaben der oder des Datenschutzbeauftragten ergeben sich aus Artikel 39 DS-GVO:
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach sonstigen Datenschutzvorschriften;

  • Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

  • Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DS-GVO;

  • Zusammenarbeit mit der Aufsichtsbehörde;

  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DS-GVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.


Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Vernichtung von Datenträgern
Jeder, der selbst oder im Auftrag personenbezogene oder sensible Daten verarbeitet, hat eine datenschutzgerechte Vernichtung von Datenträgern mit schutzbedürftigen Informationen sicherzustellen. Dahingehend wird im BDSG-alt "Löschen" als das Unkenntlich machen gespeicherter personenbezogener Daten definiert, während im Sinne der EU-DSGVO der Ausdruck "Verarbeitung" jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erfassen, das Löschen oder die Vernichtung bezeichnet.

Die Einhaltung von Lösch- und Aufbewahrungsfristen wird durch die DS-GVO, das BDSG sowie durch weiterführende Gesetze geregelt. Insbesondere im Gesundheitswesen gelten Dokumentationspflichten von Patientendaten nach den Vorschriften des Patientenrechtegesetzes (insbesondere gemäß § 630f Bürgerliches Gesetzbuch), den Berufsordnungen für Ärztinnen und Ärzte der jeweiligen LandesÄrztekammern und weiterer Gesetze wie z.B. der Abgabenordnung, dem Transfusionsgesetz, dem Medizinproduktegesetz oder der Röntgenverordnung.

Gemäß Artikel 17 EU-DSGVO in Verbindung mit § 35 BDSG sowie im sind personenbezogene Daten u.a. zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Damit ist die Datenträgervernichtung auch eine technisch-organisatorische Maßnahme zur Sicherstellung personenbezogener Daten durch Unbefugte (Sicherung der Vertraulichkeit).

Für die gesicherte Vernichtung verschiedenartiger Datenträger bildet die Norm DIN 66399 den Stand der Technik in der Datenträgervernichtung und löste im Oktober 2012 die veraltete DIN 32757 ab. Während sich letztere vorwiegend mit der Informationsdarstellung in Originalgröße (Papierdokumente) befasste, werden nun in der neunen DIN erstmalig unterschiedliche Materialklassifizierungen wie optische, magnetische oder elektronische Datenträger und Festplatten mitberücksichtigt. Sie trägt damit dem modernen Kommunikationszeitalter mit vielfältigen Datenträgerlösungen Rechnung. Zudem definiert DIN 66399 statt bisher fünf nun sieben Sicherheitsstufen.

Sie enthält damit nicht nur notwendige Prozesse und Anforderungen an Maschinen zur Vernichtung von Datenträgern, sondern trifft sowohl detaillierte Aussagen über die Einstufung verschiedener Datenträger in Sicherheitsstufen als auch eine Klassifizierung des Schutzbedarfs der Daten in drei Schutzklassen.

Ziel ist die Form oder den Zustand von Datenträgern durch Zerkleinern, Auflösen, Schmelzen, Erhitzen oder Verbrennen so zu verändern, dass eine Wiederherstellung von Informationen erschwert wird.

Datenträger diverser Materialklassen in Gruppen:
  • P => Informationen in Originalgröße (z.B. Papier)
  • F => Informationen in verkleinerter Form (Film, Folie, Negative)
  • O => Optische Datenträger (DVD, Blu-ray)
  • T => Magnetische Datenträger (ID-Karten mit Magnetstreifen)
  • H => Festplatten mit magnetischem Datenträger
  • E => Elektronische Datenträger (USB-Sticks, Flash-Speicher)
Einstufung in Schutzklassen:
  • Schutzklasse 1 (Normaler Schutzbedarf): interne Daten
  • Schutzklasse 2 (Hoher Schutzbedarf): vertrauliche Daten
  • Schutzklasse 3 (Sehr hoher Schutzbedarf): besonders vertrauliche und geheime Daten
Für die Vernichtung von Datenträgern gelten die Sicherheitsstufen mit folgender Materialteilchengrößen (am Beispiel Informationsdarstellungen in Originalgröße):
  • P1 Allgemeine Daten: Fläche der Materialteilchen max. 2000 mm˛/Breite des Streifens max.12 mm
  • P2 Interne Daten: Fläche der Materialteilchen max. 800 mm˛/Breite des Streifens max. 6 mm
  • P3 Sensible Daten: Fläche der Materialteilchen max. 320 mm˛/Breite des Streifens max. 2 mm
  • P4 Besonders sensible Daten: Fläche der Materialteilchen max. 160 mm˛/Breite des Streifens max. 6 mm
  • P5 Geheim zu haltende Daten: Fläche der Materialteilchen max. 30 mm˛/Breite des Streifens max. 2 mm
  • P6 Geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 10 mm˛/Breite des Streifens max. 1 mm
  • P7 Streng geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 5 mm˛/Breite des Streifens max. 1 mm
Mit einer höheren Sicherheitsstufe nehmen der Grad sowie der Aufwand an Datenzerstörung zu. Bei der zu treffenden Wahl der geeigneten Sicherheitsstufe sind die Speicherdichte sowie die Größe der Informationsdarstellung auf dem Datenträger zu berücksichtigen. Ist eine Trennung sich vermischender Datenträger unterschiedlicher Sicherheitsstufen nicht möglich, muss eine Datenvernichtung grundsätzlich gemäß der höheren Sicherheitsstufe erfolgen, um das Risiko einer unzureichenden Vernichtung sensibler Daten zu minimieren.

Für die datenschutzgerechte Vernichtung von Datenträgern anderer Materialklassen gelten wiederum andere Materialteilchengrößen.

Bei der Entsorgung von Datenträgern personenbezogener Daten ist der Auftraggeber für die datenschutzgerechte Entsorgung verantwortlich. Insbesondere hat er dafür Sorge zu tragen, dass die Daten nicht unbefugt eingesehen, verändert, kopiert oder entfernt werden. Zudem muss er sich von der ordnungsgemäßen Verarbeitung der Daten und der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen gemäß gesetzlicher Verpflichtung überzeugen.

Die Entsorgung von Datenträgern mit personenbezogenen Daten durch externe Unternehmen stellt gemäß Artikel 28 DS-GVO eine Datenverarbeitung im Auftrag dar und bedarf entsprechender - nicht nur datenschutzvertraglicher - Vereinbarungen mit dem Auftragsverarbeiter und entsprechende Absicherung der Verarbeitung.

Weitere Hinweise können Unternehmen zur Datenträgervernichtung wie GAUER Daten- & Aktenvernichtungs GmbH, Rhenus Data Office GmbH, der documentus GmbH Berlin & Co. Betriebs KG oder der Broschüre zur Aktenvernichtung des Anbieters von Aktenvernichtern Krug & Priester GmbH & Co. KG entnommen werden.


Verarbeitung personenbezogener Daten im Auftrag
Die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch externe Dienstleister werden in Artikel 28 DS-GVO geregelt. Demnach ist insbesondere vertraglich zu regeln, dass der Auftragsverarbeiter
  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet;

  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

  3. alle zur Sicherheit der Verarbeitung erforderlichen Maßnahmen gemäß Artikel 32 DS-GVO ergreift;

  4. angemessene Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält (Informationspflichten gegenüber dem Verantwortlichen, Garantien für das Ergreifen geeigneter technischer und organisatorischer Maßnahmen etc.);

  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen;

  6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten unterstützt;

  7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;

  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.


News
22.11.2017: Heise-News: Fahrdienst-Vermittler Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden

08.11.2017: BGBl: "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen", tritt in Kraft, insbesondere mit Änderung der §§ 203 StGB, 53 StPO und 53a StPO.

27.10.2017: Planet Interview: Interview Peter Schaar, Trügersiche Sicherheit

11.10.2017: Heise-News: Vertrauliche Daten von Accenture auf ungeschützten Webservern

30.06.2017: Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU– DSAnpUG-EU (BDSG neu)

16.11.2016: Kaspersky Security Bulletin, Jahresanalyse für 2016/2017, Kaspersky Lab Global Research and Analysis Team

27.04.2016: Europäische Union: EU-Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutz-Grundverordnung, EU-DSGVO)

10/2015: LfD Baden-Württemberg: Datenschutzeinstellungen bei Windows 10

25.7.2015: BGBl: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) tritt in Kraft

03/2014: Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe Krankenhausinformationssysteme (OH KIS), Stand März 2014

01/2014: LfD und KV Rheinland-Pfalz starten Initiative „Mit Sicherheit gut behandelt“ zur Unterstützung von Ärzten und Psychotherapeuten bei der Umsetzung von IT-Sicherheit und Datenschutz im Zeitalter des Web 2.0

10.6.2013: European Data Protection Supervisor following the NSA story

22.4.2013: Zeit Online, Mehr Kameras = viel Unsicherheit

14.1.2013: Kritik des BfDI Peter Schaar am aktuellen Gesetzesentwurf zum Beschäftigtendatenschutz

30.6.2011: Arbeitskreis Medizin des BvD nimmt zur Orientierungshilfe Krankenhausinformationssysteme Stellung

20.5.2011: Zum 01.07.2011 übernimmt der Hessische Datenschutzbeauftragte die Datenschutzaufsicht für den nichtöffentlichen Bereich in Hessen

17.3.2011: 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Entschließungen zum Beschäftigtendatenschutz, zur Gestaltung von Krankenhausinformationssystemen und zur Anbindung von Praxis-EDV-Systemen an medizinische Netze ...

15.3.2011: ULD: Datenschutzzentrum gibt Empfehlungen zum Einsatz von Webanalyse-Werkzeugen

1.12.2010: Gesellschaft für Informatik e.V.: Zehn Thesen zu Datenschutz und IT-Sicherheit in Cloud Computing

25.8.2010: Bundeskabinett beschließt Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes

29.4.2010: Düsseldorfer Kreis: Prüfpflichten bei Safe Harbor-zertifizierten US-Unternehmen

2.3.2010: BVerfG: Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß

9.2.2010: klicksafe.de: Safer Internet Day 2010

15.12.2009: Heise-News: Mündliche Verhandlung zur Vorratsdatenspeicherung beim Bundesverfassungsgericht

2.11.2009: Internet-ABC e.V.: Datenschutz in sozialen Netzwerken

19.8.2009: BGBl: Gesetz zur Änderung datenschutzrechtlicher Vorschriften veröffentlicht

29.4.2009: Heise-News: Bundesverfassungsgericht verlängert Schranken bei Vorratsdatenspeicherung

4.2.2009: BVerfG: Untersuchung im Intimbereich nur bei konkretem Verdacht verfassungsgemäß

14.11.2008: NAV-Virchow-Bund, Sabine Leutheusser- Schnarrenberger (MdB): Referat zum Arzt- Patienten- Verhältnis im IT-Zeitalter

24.10.2008: GDD: Innenministerium legt neuen Entwurf zur BDSG-Änderung vor

11.9.2008: Datenschutz- Aufsichtsbehörde verhängt hohe Bußgelder gegen Lidl

2.8.2008: Heise-News: Versand der bundesweit einheitlichen Steuer-ID hat begonnen

14.7.2008: Heise-News: Suchmaschine ixquick.com erhält erstes Europäisches Datenschutzgütesiegel

9.5.2008: Rede des BfDI: The invasion of privacy by the state

18.4.2008: Düsseldorfer Kreis: Datenschutzkonforme Gestaltung sozialer Netzwerke

11.3.2008: BVerfG: Automatisierte Erfassung von KFZ-Kennzeichen ist verfassungswidrig

27.2.2008: BVerfG: Vorschriften zur Online-Durchsuchung in NRW nichtig - Neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

21.1.2008: BVerfG: Verfassungswidrige Durchsuchung einer Arztpraxis

9.11.2007: Heise-News: Scharfe Reaktionen auf Absegnung der Vorratsdatenspeicherung

10/2007: EICAR e.V.: IT-Sicherheit und § 202c StGB - Strafbarkeit beim Umgang mit IT-Sicherheitstools

09/2007: Zeitschrift DuD: Zur Technik der heimlichen Online-Durchsuchung

24.8.2007: c't-Hintergrund: Innenministerium gibt neue Details zu Online-Durchsuchungen bekannt

10.7.2007: Heise-News: EU-Parlament kritisiert Übermittlung von Fluggastdaten (PNR)

27.6.2007: Tagesschau-Video: Einigung zur Weitergabe von Fluggastdaten an USA

4.4.2007: Heise-News: WLAN-Verschlüsselung in einer Minute geknackt

29.03.2007: Tagesschau: Video-Dossier Alltag Überwachung

8.-9.3.2007: 73. Konferenz der DSB des Bundes und der Länder

28.2.2007: c't-Hintergrund: Antiterrordatei des BKA geht in Betrieb

19.2.2007: Änderung des Telekommunikationsgesetzes in Kraft

5.2.2007: Pressestelle BGH: Verdeckte Online- Durchsuchung mit Hilfe von Trojanern unzulässig

15.1.2007: Telepolis: RA Vetter klagt gegen Überprüfung von 22 Millionen Kreditkarten

10.11.2006: BVerfG: Keine pauschale Entbindung von der Schweigepflicht bei Versicherungen

7.11.2006: Heise-News: Zahlreiche Bedenken gegen geplantes Anti-Terrorpaket

27.10.2006: Datenschutzkonferenz kritisiert den Entwurf des Antiterrordatei-Gesetzes

13.10.2006: BVerfG: Ermittlung von Mobilfunkdaten durch IMSI-Catcher verstößt nicht gegen Grundrechte

10.10.2006: Ass. Jur. Alexander Schultz: Kommentar zur geplanten Änderung des Strafgesetzes

29.8.2006: Heise-News: Neuer Stand zur SWIFT-Banken-Affäre

24.8.2006: Zeit online: Interview mit A. Alsbih zur von Bundesinnenminister Schäuble geforderten verschärften Internetkontrolle

13.6.2006: pressetext.de: Mehr als 90 % der Festplatten nicht korrekt gelöscht

13.6.2006: Heise-News: Festplatte mit geheimen Daten aus Österreichs Verkehrsministerium versteigert

6.6.2006: BVerfG: Gerichtliche Weisung zur Entbindung von der ärztlichen Schweigepflicht für ist verfassungswidrig

17.5.2006: Heise-News: Jedes fünfte Unternehmen mit Keyloggern infiziert

4.4.2006 Urteil des BV-Gerichtes - BV-Gericht schränkt Rasterfahndung ein

2.3.2006: Urteil des BV-Gerichtes zur Beschlagnahme gespeicherter Verbindungsdaten

27.2.2006: Studie des ULD zum Scoring in der Kreditwirtschaft

17.2.2006: Pressemitteilung des BfDI Peter Schaar zur Vorratsspeicherung von TK-Daten

17.2.2006: Heise-News: Proteste gegen Bundestagsbeschluss zur Datenspeicherung auf Vorrat

14.12.2005: Heise-News: EU-Parlament beschließt massive Überwachung der Telekommunikation

28.11.2005: ULD fordert strikte Zweckbindung für Mautdaten

8.7.2005: Landgericht Verden zum Urteil im Sasser-Wurm-Prozess