Jeder Mensch soll grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen. Der Umgang mit personenbezogenen Daten wird durch das Datenschutzrecht geregelt.Es kommt zur Anwendung, wenn Sie Daten bearbeiten, die einem Menschen zugeordnet werden können.
4. Exkurs Marketing
In Wahrheit werden wir durch Emotionen geleitet:
70 bis 80 % der Entscheidungen sind unbewusst
Denken kostet Kraft:
2% des Gesamtgewichtes, aber 25% des gesamten Energieverbrauchs!
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 4
24.04.2012 ll 4
5. Exkurs Marketing
Ein richtig gutes Schnäppchen kann bei manchen Menschen wirklich riesige
Freude auslösen!
Rund 70% aller Kaufentscheidungen fallen nicht beim Schreiben des Einkaufszettels!
neben teuer noch teurer…
Bäckerei am Eingang….
5% Umsatz der Quengelzone
Männer und Frauen trennen…
Emotionaler Stempel: Gehirn liebt Vertrautes und belohnt deshalb gern
Entscheidungen, die schon einmal zum Ziel geführt haben!
Je mehr Daten desto mehr Manipulationsmöglichkeiten!!!
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 5
24.04.2012 ll 5
8. Grundlagen Datenschutz
Jeder Mensch soll grundsätzlich
selbst über die Preisgabe und
Verwendung seiner persönlichen
Daten bestimmen.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 8
24.04.2012 ll 8
9. Grundlagen Datenschutz
Bundesdatenschutzgesetz (BDSG)
Regelt den Umgang mit personenbezogenen Daten, die nichts mit
Kommunikation über Netzwerke zu tun haben, wie z.B.
Passwortänderungen oder Dateizugriffe.
Telekommunikationsgesetz (TKG)
Regelt den Umgang mit Daten, die Auskunft über die Nutzung der
Kommunikationswege geben: Wer hat wann mit wem eine
Netzwerkverbindung aufgebaut?
Telemediengesetz (TMG)
Regelt den Umgang mit Daten bei der Nutzung von
Tele- und Mediendiensten: Wer hat welche Webseite oder andere
Datendienste abgerufen?
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 9
24.04.2012 ll 9
10. Grundlagen Datenschutz
Der Umgang mit personenbezogenen
Daten wird durch das Datenschutzrecht
geregelt.
Es kommt zur Anwendung, wenn Sie Daten
bearbeiten, die einem Menschen zugeordnet
werden können.
Daten von juristischen Personen, Vereinen,
Verbänden etc. sind durch das BDSG nicht
geschützt.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 10
24.04.2012 ll 10
11. Grundlagen Datenschutz
Personenbezogene Daten sind alle Angaben, die sich auf eine
bestimmte oder aber auch nur bestimmbare Person beziehen:
Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartennummer, Telefon-Nummer
Bestimmt ist eine Person, wenn
sich ihre Identität direkt aus dem
Datum selbst ergibt.
Schulung Datenschutz
IP-Adresse
Bestimmbar wird eine Person, wenn ihre
Identität durch die Kombination des Datums mit
einer anderen Information feststellbar wird.
Abgleich mit
Providerdaten
Präsentation Opt-Secure Düsseldorf
2013 11
24.04.2012 ll 11
12. Grundlagen Datenschutz
Weitaus strengere Regeln gibt es für den Umgang mit sogenannten besonderen Arten
personenbezogener Daten, da diese besonders schützenswert sind.
Gewerkschaftszugehörigkeit
Politische
Meinung
Schulung Datenschutz
Ethnische
Herkunft
Religiöse
Überzeugung
Sexualleben
Gesundheit
Präsentation Opt-Secure Düsseldorf
2013 12
24.04.2012 ll 12
13. Grundlagen Datenschutz
Pflichten bei der Datenverarbeitung:
Den bei der Datenverarbeitung beschäftigten Personen ist
untersagt, personenbezogene Daten unbefugt zu erheben, zu
verarbeiten oder zu nutzen.
Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen
beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das
Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch
nach Beendigung ihrer Tätigkeit fort.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 13
24.04.2012 ll 13
14. Grundlagen Datenschutz
Pflichten bei der Datenverarbeitung:
Geben Sie unbefugt keine Informationen an Dritte weiter.
Bleiben Sie verschwiegen bezüglich der Informationen
und Angelegenheiten des Unternehmens, die Ihnen im
Rahmen Ihrer Tätigkeit zur Kenntnis gelangen.
Beachten Sie das Datengeheimnis.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 14
24.04.2012 ll 14
15. Grundlagen Datenschutz
Der Umgang mit personenbezogenen Daten wird durch das
Datenschutzrecht geregelt:
Datenerhebung ist zulässig, wenn Sie …
erlaubt wird.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 15
24.04.2012 ll 15
16. Grundlagen Datenschutz
Die Aufgaben in der IT sind vielfältig
Installation und Konfiguration von
Software, Systemen und Komponenten
Analyse und Bewertung des
Soft- und Hardwarebedarfs
Benutzersupport
Planung und Überprüfung von
Sicherheitsmaßnahmen gegen
Angriffe von außen und innen
Administration von
Servern und Anwendungen
Einrichtung und Verwaltung von Nutzerkonten,
Zugriffsrechten, Verzeichnisdiensten
Dabei genießt der IT-Experte weitgehende technische Möglichkeiten
Was darf der Admin/Programmierer?
Was darf das Unternehmen/Auftragdatenverarbeiter?
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 16
24.04.2012 ll 16
17. Grundlagen Datenschutz
Kritische Tätigkeiten
Remotezugriff auf einen PC, insbesondere Spiegelung einer
Benutzersitzung ohne vorherige Information des Anwenders
Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels
der Standard-Adminfreigaben des Betriebssystems oder anderer
Funktionen ohne vorherige Information des Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das
E-Mail-Postfach eines Anwenders
Zugriff oder Einrichtung von Zugriffsrechten auf das HomeVerzeichnis eines Anwenders ohne vorherige Information des
Anwenders
Nutzung jeder Funktionalität gleich welcher Art, die einen
unbemerkten Zugriff auf einen PC ermöglicht
Auswertung von Logfiles und Protokollen
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 17
24.04.2012 ll 17
21. Grundlagen Datenschutz
Zutrittskontrolle: Unbefugten ist der "körperliche"
Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet werden, zu
verwehren.
Maßnahmen: Einteilung in Sicherheitszonen/
Sperrbereiche
Closed-Shop-Betrieb
Automatische Zutrittskontrolle
Chipkarten/Transponderkarten
Berechtigungsausweis
Schlüsselregelung
Schulung Datenschutz
Personenkontrolle
durch Pförtner
Alarmanlage
Gebäudeüberwachung
Videotechnik
Vereinzelungsanlage
Präsentation Opt-Secure Düsseldorf
2013 21
24.04.2012 ll 21
22. Grundlagen Datenschutz
Zugangskontrolle: Verhinderung der unbefugten
Nutzung von Datenverarbeitungsanlagen, also dem
Eindringen in das EDV-System seitens unbefugter
(externer) Personen, sowie der geregelte Zugang
grundsätzlich berechtigter Personen "need-to-know".
Maßnahmen: Protokollierung des Zugangs
Identifikation und Authentisierung (z.B. durch Kennung
und Passwort oder Chipkarte)
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 22
24.04.2012 ll 22
23. Grundlagen Datenschutz
Zugriffskontrolle: Gewährleistung, dass die zur
Benutzung Berechtigten nur auf die ihrer jeweiligen
Berechtigung unterliegenden Daten zugreifen können.
Maßnahmen:
Schulung Datenschutz
Berechtigungskonzept
Benennung eines Verantwortlichen für die Datenträger
Bestandskontrolle
Mehraugenprinzip
Kontrollierte Vernichtung (z.B. von Fehldrucken)
Funktionelle Zuordnung einzelner Endgeräte
Automatische Prüfung der Zugriffsberechtigung
Protokollierung und Auswertung der Systemnutzung
Ausschließliche Menüsteuerung
Präsentation Opt-Secure Düsseldorf
2013 23
24.04.2012 ll 23
24. Grundlagen Datenschutz
Durch die Weitergabekontrolle soll verhindert werden,
dass Daten unbefugt gelesen, kopiert, verändert oder
gelöscht werden können und gewährleistet werden, dass
überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen
zur Datenübertragung vorgesehen ist.
Maßnahmen:
Schulung Datenschutz
Standleitung
Wählleitung mit automatischem Rückruf
Datenverschlüsselung
Botentransport durch Auftragnehmer oder Auftraggeber
Postversand, verschlossen in Transportbehältern
Transportbegleitung
Vollständigkeits- und Richtigkeitsprüfung
Regelung zur Datenträgervernichtung
Präsentation Opt-Secure Düsseldorf
2013 24
24.04.2012 ll 24
25. Grundlagen Datenschutz
Eingabekontrolle: Gewährleistung der nachträglichen
Überprüfbarkeit, welche personenbezogenen Daten
durch wen zu welcher Zeit in Datenvereinbarungssysteme eingegeben bzw. dort verändert, gelöscht oder
entfernt worden sind.
Maßnahmen: Erfassungsbelege (manuell oder automatisiert)
Protokollierung eingegebener Daten
Verarbeitungsprotokolle
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 25
24.04.2012 ll 25
26. Grundlagen Datenschutz
Auftragskontrolle: Der Auftragnehmer hat zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden.
Maßnahmen: Eindeutige vertragliche Abreden nebst Kontrollabreden
Zeitpunkt, Ort und Berechtigung/Verpflichtung zur
Anlieferung bzw. Abholung der Daten
Transport-/Versendeform
Leistungsumfang
Aufbewahrung von Datenträgern
Beiderseitige Verfügungsberechtigungen
Beiderseits durchzuführende Kontrollmaßnahmen
Maßnahmen bei Verlust von Datenträgern
Zulässigkeit der Heranziehung von Subunternehmern
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 26
24.04.2012 ll 26
27. Grundlagen Datenschutz
Die Verfügbarkeitskontrolle zielt auf den Schutz
der zufälligen Zerstörung ab, bspw. Wasserschäden,
Brand, Blitzschlag, Stromausfall usw.
Maßnahmen:
Schulung Datenschutz
Auslagerung von Sicherungskopien
Notstromaggregate
Unterbrechungsfreie Stromversorgung
Katastrophenplan
Präsentation Opt-Secure Düsseldorf
2013 27
24.04.2012 ll 27
28. Grundlagen Datenschutz
Trennungsgebot: Technische Sicherstellung der
zweckbestimmten Verarbeitung. Gemeint ist damit
zumindest die logische Trennung.
Maßnahmen:
Schulung Datenschutz
Mandantentrennung (softwareseitiger Ausschluss)
Dateiseparierung bei Datenbanken
Trennung über Zugriffsregelung
Trennung von Test- und Routineprogrammen
Präsentation Opt-Secure Düsseldorf
2013 28
24.04.2012 ll 28
29. Grundlagen Datenschutz
Vorabkontrolle zur datenschutzkonformen Nutzung neuer Anwendungen
Entwicklung einer
Anwendung
Prüfung des Verfahrens
durch den Datenschutzbeauftragten
Konsultation der
Aufsichtsbehörde
Freigabe/Einsatz
im Unternehmen
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 29
24.04.2012 ll 29
30. Grundlagen Datenschutz
Fernmeldegeheimnis
Einsicht in den Inhalt der Kommunikation ist nicht
zulässig! Auch nicht dann, wenn es für die
ordnungsgemäße Erledigung der
Dienstleistung erforderlich erscheint, z.B. zur
Störungsbeseitigung (Viren etc.)
Sicherstellung eines reibungslosen
Kommunikationsablaufs
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 30
24.04.2012 ll 30
31. Grundlagen Datenschutz
Bei erlaubter privater Nutzung steht die gesamte Kommunikation
unter dem Schutzbereich des § 206 StGB:
§ 206 StGB
Verletzung des Post- oder Fernmeldegeheimnisses
Zusätzlich:
Persönliche Haftung des Täters (Admin)
Berufung auf Anweisungen kommt nicht in Betracht
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 31
24.04.2012 ll 31
32. Grundlagen Datenschutz
Bei missbräuchlichem Umgang mit Daten des Unternehmens
oder dessen Vertragspartnern können jedoch auch weitere
strafrechtliche Normen verletzt werden, wie z.B.
§ 202a Ausspähen von Daten
§ 202b Abfangen von Daten
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
§ 263a Computerbetrug
§ 270
Täuschung im Rechtsverkehr
§ 274
Urkundenunterdrückung
§ 303a Datenveränderung
§ 303b Computersabotage
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 32
24.04.2012 ll 32
33. Grundlagen Datenschutz (UWG)
Was muss ich über ein Opt-In (Einwilligungserklärung) wissen:
Es gibt kein “Standard” Opt-In.
Was ein Opt-In umfasst bestimmt
sich allein nach der Erklärung, die
der Betroffene abegeben hat
Ein Opt-In kann auf jedem Weg
erteilt werden:
Vertrag, Fax, E-Mail, mündlich,
Brief, Postkarte, Coupon, SMS
Aber Vorsicht:
Die Beweisbarkeit spielt die
entscheidende Rolle!
Ist die Erklärung vom
Werbetreibenden vorgeben, muss
Sie für den Betroffenen erkennen
lassen, worauf er sich einlässt
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 33
24.04.2012 ll 33
34. Grundlagen Datenschutz
Information bei Erhebung
oder Benachrichtigung bei
erstmaliger Speicherung
Betroffener
Auskunftsrecht
Berichtigungsanspruch
Löschungsanspruch
Sperrungsanspruch
Schulung Datenschutz
Unternehmen
Auskunftsrecht
über die zu seiner Person gespeicherten Daten
über die Herkunft der gespeicherten Daten
über die Empfänger, an die Daten weitergegeben werden
Präsentation Opt-Secure Düsseldorf
2013 34
24.04.2012 ll 34
35. Grundlagen Datenschutz
Mögliche Konsequenzen bei Verstößen gegen den Datenschutz:
Ordnungsgeld / Strafrecht
Für den Betrieb: Stillegung der EDV
Erschwernisse durch Prüfungen / Presse im Tagesgeschäft
Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)
Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe
§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)
…. das wird passieren
Schulung Datenschutz
…das könnte passieren
Präsentation Opt-Secure Düsseldorf
2013 35
24.04.2012 ll 35
36. Grundlagen Datenschutz
Ordnungswidrigkeiten
sind bestimmte vorsätzliche oder fahrlässige Datenschutzverstöße. Dabei handelt es sich im Wesentlichen um Verstöße gegen Melde-, Dokumentationsoder Informationspflichten sowie um unbefugte
Datenerhebungs- oder Verarbeitungsschritte.
§ 43 BDSG
Unbefugte Datenerhebungen und -verarbeitungen können mit einem Bußgeld bis zu
250.000 € sanktioniert werden.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 36
24.04.2012 ll 36
37. Grundlagen Datenschutz
Straftaten
sind vorsätzliche unzulässige Datenverarbeitungen, die
gegen Entgelt oder in Schädigungs- oder
Bereicherungsabsicht begangen werden.
Antragsberechtigt ist nicht nur der Betroffene, sondern
auch die Datenschutzaufsichtsbehörde und das
Unternehmen.
§ 44 BDSG
Strafrechtlich relevante Verstöße gegen den
Datenschutz werden mit Freiheitsstrafe bis
zu zwei Jahren oder mit Geldstrafe bestraft.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 37
24.04.2012 ll 37
38. Grundlagen Datenschutz
Schadensersatzpflichten
für das Unternehmen entstehen, wenn ein Betroffener durch
unzulässige oder unrichtige Datenerhebung, Verarbeitung
oder Nutzung einen nachweisbaren Schaden erleidet. Die
Firma kann sich durch den Nachweis der gebotenen Sorgfalt
davon befreien. Daneben kann unter Umständen auch der
verantwortliche Mitarbeiter haftbar gemacht werden.
Arbeitsrechtliche Konsequenzen
Verstöße gegen den Datenschutz können für die
Mitarbeiter auch arbeitsrechtliche Konsequenzen
von der Abmahnung bis zur Kündigung haben.
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 38
24.04.2012 ll 38
40. Exkurs Gerichtsurteile
Vor Gericht und auf hoher See….
LG Stuttgart Az.: 8 O 357/07: Ersteigern lässt sich alles!
LG Bonn Az.: 1 O 207/10 Auskunftsanspruch gegenüber
Einem TK-Unternehmen zur Feststellung der Vaterschaft
LARG München Az.: 11 Sa 54/09 Beweissicherung eines
Systemadministrators
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 40
24.04.2012 ll 40
42. Handlungshilfen
Was ist zu tun, wenn..
…der Bauch sich meldet?
Klären Sie folgende Fragen:
Grundsätzlich erste Frage: Auf welcher Grundlage?
Protokollieren Sie den Vorgang!!
3 Dinge schaffen: Fakten, Fakten, Fakten!
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 42
24.04.2012 ll 42
43. Handlungshilfen
Was ist zu tun, wenn..
…die Aufsichtsbehörde kontrollieren will?
Mitarbeiter sollen sofort Ihren Vorgesetzten einschalten!
Sie erklären sich mit der Maßnahmen nicht einverstanden!
Klären Sie, ob der Datenschutzbeauftragte Ihres
Unternehmens informiert ist.
Auf keinen Fall direkt alleine die Fragen beantworten!!!!
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 43
24.04.2012 ll 43
44. Grundlagen Datenschutz
Während Ihrer täglichen Arbeit können
Sie viel für den Datenschutz tun:
Geben Sie niemals Ihre Benutzerkennungen weiter!
Schließen Sie Räume, die länger unbesetzt sind, ab!
Sperren Sie Ihren Arbeitsplatzrechner durch "Strg-Alt-Entf"!
Verwenden Sie sichere Passwörter!
Verwahren Sie Daten, Datenträger und Ausdrucke stets sicher!
Shreddern Sie nicht mehr benötigte Dokumente!
Verwehren Sie Unbefugten Einsicht in vertrauliche Unterlagen!
Beachten Sie auch die Policy Ihres Unternehmens!
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 44
24.04.2012 ll 44
45. Vielen Dank
für Ihre Aufmerksamkeit!
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
Telefon +49 (211) 598947 -50
Fax +49 (211) 598947 - 80
Schulung Datenschutz
Präsentation Opt-Secure Düsseldorf
2013 45
24.04.2012 ll 45