Archiv der Kategorie: Datenschutzerklärung

BfDI Pressemitteilung : Europäische Arbeitsgruppe zum Datenschutz verabschiedet Entschließung zu Smart Borders

Newsletter des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Veröffentlicht am 10.06.2013

Nach Abschluss der 91. Sitzung der Artikel-29-Gruppe, einer europäischen Arbeitsgruppe zum Datenschutz, vom 5. bis 6. Juni 2013 in Brüssel informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit über die Ergebnisse. Die europäische Arbeitsgruppe hat eine Entschließung zum Smart-Border-Programm verabschiedet. Darin äußert sie schwerwiegende Bedenken gegen das von der EU-Kommission vorgeschlagene Ein- und Ausreiseregister (Entry-Exit-System). Schon die Machbarkeit dieses Vorhabens ist zweifelhaft, der ebenfalls höchst zweifelhafte Nutzen eines solchen Registers rechtfertigt keine weitere Großdatenbank auf EU-Ebene.Peter Schaar, der als deutscher Vertreter Mitglied der Arbeitsgruppe ist, sagt hierzu: Die EU-Kommission und die Regierungen der Mitgliedstaaten sollten die Warnungen der europäischen Datenschutzbehörden ernst nehmen. Die Europäische Union sollte das Projekt, das eine Vielzahl persönlicher Daten erfassen soll und dessen Kosten in keinem Verhältnis zum zu erwartenden Nutzen stehen, nicht weiter verfolgen.Am 28. Februar 2013 hatte die Europäische Kommission verschiedene Gesetzesvorschläge zur Erfassung von Reisenden vorgestellt. In dessen Zentrum steht eine neue Datenbank, in der alle Einreisen in den und Ausreisen aus dem Schengenraum von Drittstaatsangehörigen erfasst werden sollen, um so die illegale Migration zu bekämpfen.Die Entschließung sowie weitere Sitzungsergebnisse der Arbeitsgruppe finden Sie unter http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htmDie Artikel-29-Gruppe ist eine europäische Arbeitsgruppe zum Datenschutz. Sie ist eine unabhängige und beratende Instanz, deren Arbeit auf den Artikel 29 und 30 der Datenschutzrichtlinie (95/46/EG) sowie Artikel 15 der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) basiert. Primäre Aufgabe der Arbeitsgruppe ist es, die einheitliche Durchsetzung des Grundrechts auf Datenschutz (Artikel 8 Grundrechtecharta) und anderer Vorschriften des europäischen Datenschutzrechts und deren Weiterentwicklung zu fördern. Hierzu berät die Arbeitsgruppe die Europäische Kommission und die am europäischen Gesetzgebungsverfahren beteiligten Organe und veröffentlicht Entschließungen, Stellungnahmen und Arbeitspapiere.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
E-Mail: poststelle@bfdi.bund.de
Telefon: +49 (0) 228-997799-0
Internet: http://www.datenschutz.bund.de

Advertisements

Datenträgervernichtung nach DIN 66399

Aktenordner tragenHäufige Ursache für Datenmissbrauch ist der unbedachte Umgang mit Daten und Datenträgern bei deren Entsorgung. Beauftragt ein Unternehmen dafür ein Entsorgungsunternehmen, so ist dies nach BDSG (Bundesdatenschutzgesetz) eine Datenverarbeitung im Auftrag. Somit bleibt es auch beim Prozess der Entsorgung bei der datenschutzrechtlichen Verantwortlichkeit des Unternehmens und damit der Pflicht zur sorgfältigen Auswahl und Überwachung des Dienstleisters. Der Datenschutzbeauftragte hat dies zu prüfen und sollte frühzeitig bereits in die Auswahl des Dienstleisters einbezogen werden.

Für die Beurteilung steht nun den Datenschutzbeauftragten eine wesentlich verbesserte und detailliertere DIN-Norm zur Verfügung. Die neue Norm ersetzt die alte DIN 32757 und ist ein Hilfsmittel zur Wahrung des Datenschutzes und der Datensicherheit im Unternehmen. Sie besteht aus der DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Vorteil der neuen Bestimmung ist insbesondere die Integration der unterschiedlichen Löschprozesse und von verschiedenen Datenträgern (Papier, Festplatten, CD, Mikrofilm, USB etc).

DIN-66399-1

definiert dabei die Begriffe und die relevanten Faktoren, insbesondere die Schutzklassen 1-3 und die Sicherheitsstufen 1-7. Unternehmen und Datenschutzbeauftragte müssen bei der Anwendung der Norm daher die zu behandelnden Daten und Datenträger vorab in Schutzklassen einteilen, bevor sie vertraglich die konkret zu erreichenden Sicherheitsstufen durch das Entsorgungsunternehmen beauftragen.

Wesentliche Neuerungen sind:

Drei Schutzklassen

Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dient der Klassifizierung der anfallenden Daten.

Sechs Materialklassifizierungen

Erstmals definiert die Norm unterschiedliche Materialklassifizierungen, die auch die Größe der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).

Sicherheitsstufen

Anstatt wie bisher fünf Sicherheitsstufen definiert die neue DIN 66399 nun sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 mit einer Teilchenfläche von max. 160 mm².

(Die bisherige Stufe 4 wird zur Stufe P-5, aus Stufe 5 wird P-6 und der bisher nicht in der Norm berücksichtigte „Level 6“ wird zur Stufe P-7).

Schutzbedarf und Zuordnung zu Schutzklassen

Um bei der Datenträgervernichtung dem Wirtschaftlichkeitsprinzip bzw. Verhältnismäßigkeitsprinzip Rechnung zu tragen, sind die Daten in Schutzklassen eingeteilt. Ausschlaggebend für die Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger ist dabei der Grad der Schutzbedürftigkeit.

Schutzklasse 1:
Normaler Schutzbedarf für interne Daten.

Diese Informationen sind für größere Gruppen bestimmt und zugänglich. Unberechtigte Offenlegung hätte begrenzte negative Auswirkungen auf das Unternehmen. Der Schutz personenbezogener Daten muss gewährleistet sein.

Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen …

Schutzklasse 2:
Hoher Schutzbedarf für vertrauliche Daten, die auf einen kleinen Personenkreis beschränkt sind.

Die ungerechtfertigte Weitergabe hätte erhebliche Auswirkungen auf Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen.

Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten …

Schutzklasse 3:
Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten mit Beschränkung auf einen kleinen, namentlich bekannten Kreis von Zugriffsberechtigten.

Eine unberechtigte Weitergabe hätte ernsthafte, existenzbedrohende Auswirkungen für Unternehmen und würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen. Der Schutz personenbezogener Daten muss uneingeschränkt gewährleistet sein.

Beispiele: Unterlagen der Geschäftsleitung, F&E-Dokumente, Finanzdaten, Verschluss-Sachen …

Die Zuordnung der drei Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden:

Schutzklassen DIN 66399

Für Arztpraxen ist demnach die Schutzklasse 3 mit der Sicherheitsstufe 4 anzusetzen.

Keinesfalls dürfen Papierdokumente einer Arztpraxis in den normalen Papiermüll gelangen.

Materialklassifizierung der neuen Norm DIN 66399

In der modernen Kommunikation gibt es zahlreiche neue Datenträger, die in der DIN 66399 nun ebenfalls berücksichtigt wurden. Deshalb nachstehend ein kurzer Überblick:

Sicherheitsstufen Informationsdarstellung
P-1 bis P-7 in Originalgröße,z.B. Papier, Filme, Druckplatten.  Grafik Sicherheitsstufe P-1
F-1 bis F-7 verkleinert,z.B. Mikrofilme, Folie.  Grafik Sicherheitsstufe F-1
O-1 bis O-7 optische Datenträgerz.B. CDs/DVDs.  Grafik Sicherheitsstufe O-1
T-1 bis T-7 magnetische Datenträgerz.B. ID-Karten, Disketten.  Grafik Sicherheitsstufe T-1
H-1 bis H-7 Festplatten mit magnetischen Datenträgern.  Grafik Sicherheitsstufe H-1
E-1 bis E-7 elektronischen Datenträgernz.B. USB-Sticks, Chipkarten.  Grafik Sicherheitsstufe E-1

Papierdokumente  P-1 bis P-7

(Sicherheitsstufen der DIN 66399 für Informationsdarstellung in Originalgrösse)

Die vorangegangen Seiten haben die Materialklassen in der Übersicht erläutert. Da hauptsächlich Papierdokumente (= Informationsdarstellung in Originalgröße) fachgerecht entsorgt werden müssen, nachfolgend die Materialklassen P-1 bis P-7 noch etwas näher spezifiziert:

Papierdokumente

Bei der gewerblichen Entsorgung von Unterlagen mit personenbezogenen Daten handelt es sich nach BDSG (Bundesdatenschutzgesetz) um eine Datenverarbeitung im Auftrag. Es muss zwingend ein entsprechender Vertrag mit dem Entsorgungsunternehmen abgeschlossen werden, denn letztlich bleibt in jedem Fall die Arztpraxis verantwortlicher Besitzer der übergebenen Daten.

Bitte sprechen Sie uns an, wenn Sie nähere Erläuterungen zu dem Thema wünschen oder wenn Sie beabsichtigen ein Aktenvernichtungs- oder Entsorgungsunternehmen zu beauftragen.

Ihr

Datenschutzberater

Weitere Blätter unsere Arzt-Info-Reihe:

 

Info 40    Datenübermittlung an Hausarztverband

Info 42    Datenschutzrisiken in einer Praxis

Info 43    Datenschutz und KV

Info 44    Der Datenschutzbeauftragte in der Arztpraxis

Info 47    Videoüberwachung in Patiententoiletten

Info 51    Datenschutz und Schweigepflicht

Info 53    Praxissicherheit

Info 54    Auskunftsbereitschaft

Info 56    Pro + Contra Datenschutz durch internen MitarbeiterIn

Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

Datenschutz muss frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt
Datenmissbrauch: Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

 

(06.09.12) – Für viele Beschäftigte ist Datenschutz kein wichtiges Thema. Für viele Unternehmen anscheinend auch nicht. So werden allein auf dem Frankfurter Flughafen wöchentlich rund 300 Laptops als verloren gemeldet. Das Dramatische daran: Auf der der Hälfte von ihnen befinden sich sensible Firmendaten, zumeist ohne wirksamen Zugriffsschutz vor Unberechtigten.

„Der Schutz vertraulicher Daten ist wesentlicher Bestandteil der Sicherung von Unternehmenswerten und damit des Unternehmensbestands“, erklärt Dr. Grischa Kehr, Rechtsanwalt der Anwaltssozietät Eimer Heuschmid Mehle in Bonn. Das Gefährliche: Werden vertraulichen Daten „offenkundig“, gehen neben den tatsächlichen Schutzmöglichkeiten auch rechtliche Schutzmechanismen verloren. „Wichtige Schutztatbestände setzen voraus, dass die Daten geheim sind. Und das sind sie nicht mehr, wenn sie erst einmal an die Öffentlichkeit gelangt und damit offenkundig sind“, warnt Kehr, „dabei ist es völlig belanglos, auf welchem Wege die Daten offenkundig geworden sind.“ Ein verlorener Laptop reicht aus.

Datenschutz muss daher frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt. Längst gibt es gesetzliche Vorgaben, die den Umgang mit vertraulichen Daten regeln. „Viele Verstöße können sogar empfindlich strafrechtlich geahndet werden, von den wirtschaftlichen Folgen eines Verrats von Geschäftsgeheimnissen sowie dem Reputationsverlust durch gebrochene Vertraulichkeit ganz zu schweigen“, stellt Kehr klar

Zum Schutz vertraulicher Daten auf verlustgefährdeten Laptops helfen bereits technische Vorkehrungen. Außerdem lassen sich im gesamten Unternehmen im Rahmen eines technischen IT-Grundschutzes auch Zugriffsberechtigungen einführen, die vor einer unbefugten Weitergabe sensibler Daten schützen. „Allerdings ist gerade für Mittelständler ein systematischer IT-Grundschutz oft Neuland. Hier kann das entsprechende Handbuch des Bundesamtes für Sicherheit und Informationstechnik eine nützliche Orientierung bieten“, informiert Anwalt Kehr.

Um empfohlene Schutzmaßnahmen umzusetzen, ist eine interne IT-Organisation notwendig, die den Datenumgang und den Datenzugriff im Unternehmen reguliert. Dies setzt voraus, dass schützenswerte Daten überhaupt erst einmal für die Beteiligten als solche kenntlich gemacht werden. Kehr warnt: „Jede Organisation und jede technische Vorkehrung läuft ins Leere, wenn die Mitarbeiter nicht vom Unternehmen im Datenumgang geschult werden.“

Zusätzlich lassen sich zur Bewahrung von Geschäftsgeheimnissen, arbeitsvertraglich oder durch Betriebsvereinbarung verbindlich begründet, Sorgfaltspflichten im Datenumgang festschreiben. Hierzu gehören zum Beispiel Einschränkungen bei der Verwendung externer Datenträger oder beim Zugriff auf potenziell sicherheitsgefährdende Websites. Doch selbst wenn arbeitsvertraglich Sanktionen gegen Datenmissbrauch vorgesehen sind, lassen sich Nachlässigkeit und vorsätzliche Schädigung nie vollständig vermeiden.

So soll laut einer Studie das größte Gefährdungspotenzial beim gewollten Datenmissbrauch in Deutschland von verheirateten, gebildeten, männlichen Mitarbeitern Mitte 40 ausgehen. Sie haben typischerweise die deutsche Staatsangehörigkeit und sind in der Führungsebene eines Unternehmens tätig. Ihr Motiv soll Unzufriedenheit mit dem Unternehmen sein, insbesondere wenn die eigene Karriere stockt. Kehr kommentiert: „Der zufriedene Mitarbeiter ist natürlich das beste Mittel gegen Illoyalität. Ansonsten bleibt einem Unternehmen nur noch die Möglichkeit, unzufriedenen Mitarbeitern durch technische und organisatorische Maßnahmen keine Gelegenheit zum unternehmensschädigenden Datenmissbrauch zu geben.“

Vollständiger Artikel über: http://www.compliancemagazin.de/markt/hintergrund/eimer-heuschmid-mehle060912.html

(Eimer Heuschmid Mehle: ra)