Alkemade IT-Security e.K. - Datenschutz & IT-Sicherheit
Vertraulichkeit des Gesprächs Datensicherungskonzepte Netzwerksicherheit PC-Sicherheit Gesetzeskonforme Videoüberwachung Briefgeheimnis Lösch- und Aufbewahrungspflichten Authentizität & Integrität
Gesellschaft für Datenschutz und Datensicherheit e.V.
Berufsverband der Datenschutzbeauftragten Deutschlands e.V.

Datenschutz

Durch das im Grundgesetz normierte Recht auf informationelle Selbstbestimmung, die Forderungen des Bundesdatenschutzgesetzes (BDSG) und weiterer einschlägiger Gesetze, Vorschriften und Empfehlungen und nicht zuletzt durch die immer weiter zunehmende Möglichkeit der massenhaften Speicherung und Weitergabe von Daten gewinnt der Schutz personenbezogener Daten einen immer höher werdenden Stellenwert. Datenschutz und IT-Sicherheit sind damit wichtige Grundpfeiler unserer, zunehmend von Technik geprägten, modernen Gesellschaft.
Mit Einführung der elektronischen Gesundheitskarte müssen im Gesundheitsbereich weitere technische und organisatorische Datenschutzmaßnahmen umgesetzt werden, um den ausschließlich berechtigten Zugriff auf die gespeicherten Gesundheitsdaten gewährleisten zu können.

§ 4f BDSG verpflichtet Unternehmen, die personenbezogene Daten EDV-gestützt verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn damit mindestens zehn Personen beschäftigt sind.

Dies gilt gleichermaßen für die anderweitige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, wenn damit in der Regel mindestens 20 Personen beschäftigt sind.

Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die mit besonderen Risiken für die Betroffenen verbunden sind, haben sie unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten zu bestellen.

Die Bestellung zum Datenschutzbeauftragten erfordert neben der gebotenen Zuverlässigkeit die zur Erfüllung seiner Aufgaben notwendige Fachkunde, die sich insbesondere an dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten auszurichten hat. Mit dieser Aufgabe kann auch eine externe Person außerhalb des Unternehmens betraut werden.


Aufgaben des Beauftragten für den Datenschutz
Die Aufgaben des Beauftragten für den Datenschutz ergeben sich aus § 4g des Bundesdatenschutzgesetzes (BDSG):
  • Hinwirken auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden

  • Durchführung von geeigneten Maßnahmen, um die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Vorschriften des BDSG und anderer datenschutzrelevanter Gesetze und Verordnungen vertraut zu machen

  • Führen einer Liste über die zugriffsberechtigten Personen


Gemäß § 9 BDSG sind erforderliche technische und organisatorische Maßnahmen zu treffen, um die Ausführung der Vorschriften des BDSG zu gewährleisten. Hierzu gehört insbesondere der Maßnahmenkatalog der Anlage zu § 9 BDSG:
  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).

  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle).

  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).

  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist (Weitergabekontrolle).

  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).

  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).

  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.



Löschen von Datenträgern
Jeder, der selbst oder im Auftrag personenbezogene oder sensible Daten verarbeitet, hat eine datenschutzgerechte Vernichtung von Datenträgern mit schutzbedürftigen Informationen sicherzustellen. Dahingehend wird im BDSG "Löschen" als das Unkenntlich machen gespeicherter personenbezogener Daten definiert, während im Sinne der EU-DSGVO der Ausdruck "Verarbeitung" jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erfassen, das Löschen oder die Vernichtung bezeichnet.

Die Einhaltung von Lösch- und Aufbewahrungsfristen wird durch das BDSG sowie durch weiterführende Gesetze geregelt. Insbesondere im Gesundheitswesen gelten Dokumentationspflichten von Patientendaten gemäß den Berufsordnungen für Ärztinnen und Ärzte der jeweiligen LandesÄrztekammern und weiterer Gesetze wie z.B. der Abgabenordnung, dem Transfusionsgesetz, dem Medizinproduktegesetz oder der Röntgenverordnung.

Gemäß § 35 BDSG sowie im Artikel 17 EU-DSGVO sind personenbezogene Daten u.a. zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Damit ist die Datenträgervernichtung auch eine technisch-organisatorische Maßnahme zur Sicherstellung personenbezogener Daten durch Unbefugte (Sicherung der Vertraulichkeit).

Für die gesicherte Vernichtung verschiedenartiger Datenträger bildet die Norm DIN 66399 den Stand der Technik in der Datenträgervernichtung und löste im Oktober 2012 die veraltete DIN 32757 ab. Während sich letztere vorwiegend mit der Informationsdarstellung in Originalgröße (Papierdokumente) befasste, werden nun in der neunen DIN erstmalig unterschiedliche Materialklassifizierungen wie optische, magnetische oder elektronische Datenträger und Festplatten mitberücksichtigt. Sie trägt damit dem modernen Kommunikationszeitalter mit vielfältigen Datenträgerlösungen Rechnung. Zudem definiert DIN 66399 statt bisher fünf nun sieben Sicherheitsstufen.

Sie enthält damit nicht nur notwendige Prozesse und Anforderungen an Maschinen zur Vernichtung von Datenträgern, sondern trifft sowohl detaillierte Aussagen über die Einstufung verschiedener Datenträger in Sicherheitsstufen als auch eine Klassifizierung des Schutzbedarfs der Daten in drei Schutzklassen.

Ziel ist die Form oder den Zustand von Datenträgern durch Zerkleinern, Auflösen, Schmelzen, Erhitzen oder Verbrennen so zu verändern, dass eine Wiederherstellung von Informationen erschwert wird.

Datenträger diverser Materialklassen in Gruppen:
  • P => Informationen in Originalgröße (z.B. Papier)
  • O => Optische Datenträger (DVD, Blu-ray)
  • T => Magnetische Datenträger (ID-Karten mit Magnetstreifen)
  • E => Elektronische Datenträger (USB-Sticks, Flash-Speicher)
  • F => Informationen in verkleinerter Form (Film, Folie, Negative)
  • H => Festplatten mit magnetischem Datenträger
Einstufung in Schutzklassen:
  • Schutzklasse 1 (Normaler Schutzbedarf): interne Daten
  • Schutzklasse 2 (Hoher Schutzbedarf): vertrauliche Daten
  • Schutzklasse 3 (Sehr hoher Schutzbedarf): besonders vertrauliche und geheime Daten
Für die Vernichtung von Datenträgern gelten die Sicherheitsstufen mit folgender Materialteilchengrößen (am Beispiel Informationsdarstellungen in Originalgröße):
  • P1 Allgemeine Daten: Fläche der Materialteilchen max. 2000 mm˛/Breite des Streifens max.12 mm
  • P2 Interne Daten: Fläche der Materialteilchen max. 800 mm˛/Breite des Streifens max. 6 mm
  • P3 Sensible Daten: Fläche der Materialteilchen max. 320 mm˛/Breite des Streifens max. 2 mm
  • P4 Besonders sensible Daten: Fläche der Materialteilchen max. 160 mm˛/Breite des Streifens max. 6 mm
  • P5 Geheim zu haltende Daten: Fläche der Materialteilchen max. 30 mm˛/Breite des Streifens max. 2 mm
  • P6 Geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 10 mm˛/Breite des Streifens max. 1 mm
  • P7 Streng geheime Hochsicherheits-Daten: Fläche der Materialteilchen max. 5 mm˛/Breite des Streifens max. 1 mm
Mit einer höheren Sicherheitsstufe nehmen der Grad sowie der Aufwand an Datenzerstörung zu. Bei der zu treffenden Wahl der geeigneten Sicherheitsstufe sind die Speicherdichte sowie die Größe der Informationsdarstellung auf dem Datenträger zu berücksichtigen. Ist eine Trennung sich vermischender Datenträger unterschiedlicher Sicherheitsstufen nicht möglich, muss eine Datenvernichtung grundsätzlich gemäß der höheren Sicherheitsstufe erfolgen, um das Risiko einer unzureichenden Vernichtung sensibler Daten zu minimieren.

Für die datenschutzgerechte Vernichtung von Datenträgern anderer Materialklassen gelten wiederum andere Materialteilchengrößen.

Bei der Entsorgung von Datenträgern personenbezogener Daten ist der Auftraggeber für die datenschutzgerechte Entsorgung verantwortlich. Insbesondere hat er dafür Sorge zu tragen, dass die Daten nicht unbefugt eingesehen, verändert, kopiert oder entfernt werden. Zudem muss er sich von der ordnungsgemäßen Verarbeitung der Daten und der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen gemäß gesetzlicher Verpflichtung überzeugen.

Die Entsorgung von Datenträgern mit personenbezogenen Daten durch externe Unternehmen stellt gemäß § 11 BDSG eine Datenverarbeitung im Auftrag dar und bedarf entsprechender - nicht nur datenschutzvertraglicher - Absicherungen mit dem Auftragnehmer.

Weitere Hinweise können Leistungsangeboten ganzheitlicher Dokumenten- und Informationslogistiker wie GAUER Daten- & Aktenvernichtungs GmbH, Rhenus SE & Co. KG Unternehmensprofil, Dokumentus Documentus Aktenvernichtung oder der Krug & Priester GmbH & Co. KG Merkblatt zur Aktenvernichtung entnommen werden.


Verarbeitung personenbezogener Daten im Auftrag
Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag durch externe Unternehmen werden in § 11 des Bundesdatenschutzgesetzes (BDSG) geregelt. Demnach
  • trägt der Auftraggeber für die Einhaltung der Datenschutzvorschriften die Verantwortung.

  • ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

  • ist der Auftrag schriftlich zu erteilen unter Festlegung der Art der Datenverarbeitung und der zu treffenden technischen und organisatorischen Maßnahmen.

  • hat sich der der Auftraggeber von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

  • darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten.


News
22.11.2017: Heise-News: Fahrdienst-Vermittler Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden

08.11.2017: BGBl: "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen", tritt in Kraft, insbesondere mit Änderung der §§ 203 StGB, 53 StPO und § 53a StPO.

27.10.2017: Planet Interview: Interview Peter Schaar, Trügersiche Sicherheit

11.10.2017: Heise-News: Vertrauliche Daten von Accenture auf ungeschützten Webservern

30.06.2017: Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU– DSAnpUG-EU (BDSG neu)

16.11.2016: Kaspersky Security Bulletin, Jahresanalyse für 2016/2017, Kaspersky Lab Global Research and Analysis Team

27.04.2016: Europäische Union: EU-Verordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutz-Grundverordnung, EU-DSGVO)

10/2015: LfD Baden-Württemberg: Datenschutzeinstellungen bei Windows 10

25.7.2015: BGBl: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) tritt in Kraft

03/2014: Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Orientierungshilfe Krankenhausinformationssysteme (OH KIS), Stand März 2014

01/2014: LfD und KV Rheinland-Pfalz starten Initiative „Mit Sicherheit gut behandelt“ zur Unterstützung von Ärzten und Psychotherapeuten bei der Umsetzung von IT-Sicherheit und Datenschutz im Zeitalter des Web 2.0

10.6.2013: European Data Protection Supervisor following the NSA story

22.4.2013: Zeit Online, Mehr Kameras = viel Unsicherheit

14.1.2013: Kritik des BfDI Peter Schaar am aktuellen Gesetzesentwurf zum Beschäftigtendatenschutz

30.6.2011: Arbeitskreis Medizin des BvD nimmt zur Orientierungshilfe Krankenhausinformationssysteme Stellung

20.5.2011: Zum 01.07.2011 übernimmt der Hessische Datenschutzbeauftragte die Datenschutzaufsicht für den nichtöffentlichen Bereich in Hessen

17.3.2011: 81. Konferenz der Datenschutzbeauftragten des Bundes und der Länder: Entschließungen zum Beschäftigtendatenschutz, zur Gestaltung von Krankenhausinformationssystemen und zur Anbindung von Praxis-EDV-Systemen an medizinische Netze ...

15.3.2011: ULD: Datenschutzzentrum gibt Empfehlungen zum Einsatz von Webanalyse-Werkzeugen

1.12.2010: Gesellschaft für Informatik e.V.: Zehn Thesen zu Datenschutz und IT-Sicherheit in Cloud Computing

25.8.2010: Bundeskabinett beschließt Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes

29.4.2010: Düsseldorfer Kreis: Prüfpflichten bei Safe Harbor-zertifizierten US-Unternehmen

2.3.2010: BVerfG: Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß

9.2.2010: klicksafe.de: Safer Internet Day 2010

15.12.2009: Heise-News: Mündliche Verhandlung zur Vorratsdatenspeicherung beim Bundesverfassungsgericht

2.11.2009: Internet-ABC e.V.: Datenschutz in sozialen Netzwerken

19.8.2009: BGBl: Gesetz zur Änderung datenschutzrechtlicher Vorschriften veröffentlicht

29.4.2009: Heise-News: Bundesverfassungsgericht verlängert Schranken bei Vorratsdatenspeicherung

4.2.2009: BVerfG: Untersuchung im Intimbereich nur bei konkretem Verdacht verfassungsgemäß

14.11.2008: NAV-Virchow-Bund, Sabine Leutheusser- Schnarrenberger (MdB): Referat zum Arzt- Patienten- Verhältnis im IT-Zeitalter

24.10.2008: GDD: Innenministerium legt neuen Entwurf zur BDSG-Änderung vor

11.9.2008: Datenschutz- Aufsichtsbehörde verhängt hohe Bußgelder gegen Lidl

2.8.2008: Heise-News: Versand der bundesweit einheitlichen Steuer-ID hat begonnen

14.7.2008: Heise-News: Suchmaschine ixquick.com erhält erstes Europäisches Datenschutzgütesiegel

9.5.2008: Rede des BfDI: The invasion of privacy by the state

18.4.2008: Düsseldorfer Kreis: Datenschutzkonforme Gestaltung sozialer Netzwerke

11.3.2008: BVerfG: Automatisierte Erfassung von KFZ-Kennzeichen ist verfassungswidrig

27.2.2008: BVerfG: Vorschriften zur Online-Durchsuchung in NRW nichtig - Neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

21.1.2008: BVerfG: Verfassungswidrige Durchsuchung einer Arztpraxis

9.11.2007: Heise-News: Scharfe Reaktionen auf Absegnung der Vorratsdatenspeicherung

10/2007: EICAR e.V.: IT-Sicherheit und § 202c StGB - Strafbarkeit beim Umgang mit IT-Sicherheitstools

09/2007: Zeitschrift DuD: Zur Technik der heimlichen Online-Durchsuchung

24.8.2007: c't-Hintergrund: Innenministerium gibt neue Details zu Online-Durchsuchungen bekannt

10.7.2007: Heise-News: EU-Parlament kritisiert Übermittlung von Fluggastdaten (PNR)

27.6.2007: Tagesschau-Video: Einigung zur Weitergabe von Fluggastdaten an USA

4.4.2007: Heise-News: WLAN-Verschlüsselung in einer Minute geknackt

29.03.2007: Tagesschau: Video-Dossier Alltag Überwachung

8.-9.3.2007: 73. Konferenz der DSB des Bundes und der Länder

28.2.2007: c't-Hintergrund: Antiterrordatei des BKA geht in Betrieb

19.2.2007: Änderung des Telekommunikationsgesetzes in Kraft

5.2.2007: Pressestelle BGH: Verdeckte Online- Durchsuchung mit Hilfe von Trojanern unzulässig

15.1.2007: Telepolis: RA Vetter klagt gegen Überprüfung von 22 Millionen Kreditkarten

10.11.2006: BVerfG: Keine pauschale Entbindung von der Schweigepflicht bei Versicherungen

7.11.2006: Heise-News: Zahlreiche Bedenken gegen geplantes Anti-Terrorpaket

27.10.2006: Datenschutzkonferenz kritisiert den Entwurf des Antiterrordatei-Gesetzes

13.10.2006: BVerfG: Ermittlung von Mobilfunkdaten durch IMSI-Catcher verstößt nicht gegen Grundrechte

10.10.2006: Ass. Jur. Alexander Schultz: Kommentar zur geplanten Änderung des Strafgesetzes

29.8.2006: Heise-News: Neuer Stand zur SWIFT-Banken-Affäre

24.8.2006: Zeit online: Interview mit A. Alsbih zur von Bundesinnenminister Schäuble geforderten verschärften Internetkontrolle

13.6.2006: pressetext.de: Mehr als 90 % der Festplatten nicht korrekt gelöscht

13.6.2006: Heise-News: Festplatte mit geheimen Daten aus Österreichs Verkehrsministerium versteigert

6.6.2006: BVerfG: Gerichtliche Weisung zur Entbindung von der ärztlichen Schweigepflicht für ist verfassungswidrig

17.5.2006: Heise-News: Jedes fünfte Unternehmen mit Keyloggern infiziert

4.4.2006 Urteil des BV-Gerichtes - BV-Gericht schränkt Rasterfahndung ein

2.3.2006: Urteil des BV-Gerichtes zur Beschlagnahme gespeicherter Verbindungsdaten

27.2.2006: Studie des ULD zum Scoring in der Kreditwirtschaft

17.2.2006: Pressemitteilung des BfDI Peter Schaar zur Vorratsspeicherung von TK-Daten

17.2.2006: Heise-News: Proteste gegen Bundestagsbeschluss zur Datenspeicherung auf Vorrat

14.12.2005: Heise-News: EU-Parlament beschließt massive Überwachung der Telekommunikation

28.11.2005: ULD fordert strikte Zweckbindung für Mautdaten

8.7.2005: Landgericht Verden zum Urteil im Sasser-Wurm-Prozess