stephan thul referat 4 – technisch, organisatorischer datenschutz
Post on 12-Jan-2016
25 Views
Preview:
DESCRIPTION
TRANSCRIPT
Stephan ThulReferat 4 – technisch, organisatorischer Datenschutz
Landesbeauftragter für Datenschutzund Informationsfreiheit
Datenschutzim
IT-Grundschutz
1.Rechtliche Grundlagen
2.Fragestellungen
3.Lösungsmöglichkeiten
4.IT-Grundschutzhandbuch
5.Datenschutzbaustein im IT-GSHB
Agenda
§ 11 SDSGAutomatisierte Verfahren dürfen nur eingesetzt werden, wenn sichergestellt ist, dass keine Gefahren für das informationelle Selbstbestimmungsrecht bestehen.
Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind … zu gewährleisten:
ZutrittskontrolleZugangskontrolle
ZugriffskontrolleWeitergabekontrolle
EingabekontrolleAuftragskontrolle
VerfügbarkeitskontrolleZweckbestimmung
Rechtliche Grundlagen
Weitere gesetzliche Anforderungen für Datenschutz:
Meldegesetz
Sozialgesetzbuch
Schulordnungsgesetz
Polizeigesetz
steuerliche Abgabenordnung
Rechtliche Grundlagen
offene Fragestellungen
Welche Maßnahmen sind für Datenschutz erforderlich?
Wie hoch ist der Schutzbedarf der Daten/Datenkategorien (Sensibiliät)?
Wie sieht eine Risikoanalyse aus?
Was folgt daraus für das Sicherheitskonzept?
Welche Maßnahme gehört zu welcher Anforderung des Datenschutzgesetzes?
Welche Maßnahmen speziell (z. B. Passwort, Verschlüsselung)?
Wie wird der Stand der Technik berücksichtigt?
Wie bildet man das Datenschutzrecht auf die Technik ab?
Lösungsansätze
Lösung 1:
Kommentare zu den Gesetzen
Diese enthalten aber nur Beispiele, keine Hilfe bei Sensibilitätsbetrachtungen
Lösung 2:
IT-Grundschutzhandbuch
IT-Sicherheitsrichtlinie des Saarlandes und Schutzstufenkonzept
IT-Grundschutzhandbuch
BSI-Standard 100-1
„Beschreibung von Managementsystemen für Informationssicherheit“
BSI-Standard 100-2
„IT-Grundschutz-Vorgehensweise“
BSI-Standard 100-3
„Risikoanalyse-Methode auf der Basis von IT-Grundschutz“
IT-Grundschutzkataloge
„Baustein-, Gefährdungs- und Maßnahmenkataloge“
Beschreibung
Gefährdungen
Maßnahmen
Kreuzreferenztabelle
Aufbau
Datenschutzbaustein
- Rechtliche Rahmenbedingungen bei der Verarbeitung personenbezogener Daten
- Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, landesspezifische Besonderheiten
- Datengeheimnis, Verpflichtung auf den Datenschutz, Unterrichtung
- Technische und organisatorische Maßnahmen
- Besondere Datenarten, Vorabkontrolle, automatisierte Einzelentscheidungen oder Abrufverfahren
- Rechte der Betroffenen
- Ansprechpartner und Kontrollen: betrieblicher/behördlicher Datenschutzbeauftragter, BfDI, LfDI´s, Aufsichtbehörden für nicht-öffentliche Stellen
Beschreibung
Datenschutzbaustein
G 6.1 Fehlende ZulässigkeitG 6.2 Nichteinhaltung der ZweckbindungG 6.3 Überschreitung des ErforderlichkeitsgrundsatzesG 6.4 Fehlende/unzureichende Datenvermeidung/-sparsamkeitG 6.5 Verletzung des DatengeheimnissesG 6.6 Fehlende oder nicht ausreichende VorabkontrolleG 6.7 Gefährdung der Rechte BetroffenerG 6.8 Fehlende/unzureichende Absicherung der Auftrags-DVG 6.9 Fehlende Transparenz für den Betroffenen und die DatenschutzkontrollinstanzenG 6.10 Gefährdung vorgegebener KontrollzieleG 6.11 Fehlende/unzureichende Absicherung der DV im AuslandG 6.12 Unzulässige automatisierten Einzelfallentscheidungen oder AbrufeG 6.13 Fehlende oder unzureichende Datenschutzkontrolle
GefährdungenDatenschutzbaustein
„Lebenszyklus“-Modell
Maßnahmen für die Bereiche:
• Planung und Konzeption
• Umsetzung
• Betrieb
Maßnahmen
Datenschutzbaustein
Planung und Konzeption
M 7.1 Datenschutzmanagement
M 7.2 Regelung der Verantwortlichkeiten im Bereich Datenschutz, behördlicher DSB
M 7.3 Aspekte eines Datenschutzkonzeptes
M 7.4 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle
M 7.5 Festlegung von technisch-organisatorischen Maßnahmen
Maßnahmen
Datenschutzbaustein
Umsetzung
M 7.6 Verpflichtung / Unterrichtung der Mitarbeiter
M 7.7 Organisatorische Verfahren zur Sicherstellung der Rechte der
Betroffenen
M 7.8 Führung von Verfahrensverzeichnissen und Erfüllung derMeldepflichten
M 7.9 Datenschutzrechtliche Freigabe
M 7.10 Meldung und Regelung von Abrufverfahren
M 7.11 Regelungen zur Auftragsdatenverarbeitung
M 7.12 Regelungen zur Verknüpfung und Verwendung von Daten
Maßnahmen
Datenschutzbaustein
Betrieb
M 7.13 Dokumentation der datenschutzrechtlichen Zulässigkeit
M 7.14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb
M 2.110 Datenschutzaspekte bei der Protokollierung
M 7.15 Datenschutzgerechte Löschung/Vernichtung
Maßnahmen
Datenschutzbaustein
Zuordnungstabelle
Datenschutzbaustein
Stephan Thul
Referat 4 – technisch und organisatorischer Datenschutz
Landesbeauftragter für Datenschutz und Informationsfreiheit
Tel: 0681 / 94781-28
Email: thul@lfdi.saarland.de
www www.lfdi.saarland.de
Kontakt
top related