Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gesetzliche Regelung für DASI und Datenverschlüsselung

Frage Sicherheit

Mitglied: Woody74

Woody74 (Level 1) - Jetzt verbinden

22.07.2010 um 16:09 Uhr, 6352 Aufrufe, 11 Kommentare

Hallo Gemeinde,

Sicher, jeder sollte eine DASI durchführen und sensible Daten verschlüsseln. Aber sind diese Maßnahmen gesetzlich verankert?



1. Welcher § regelt z.B. die gesetzliche Pflicht, das jeder Unternehmer seine Unternehmensdaten auf dafür geeignete Medien sichert? (DASI)


1. Sind öffentliche Einrichtungen, z.B. Kindergärten, Schulen, oder auch Nichtöffentliche Betriebe wie Rechtsanwälte, die jeweils mit sensiblen persönlichen Daten hantieren, gesetzlich verpflichtet, ihre Daten auf Mobilen und/oder Nichtmobilen Geräten, digital zu verschlüsseln?
Mitglied: it-frosch
22.07.2010 um 17:10 Uhr
Hallo Woody,

zu 1.
es gibt meines Wissens keine Gesetz was dich zur DaSi verpflichtet aber es gibt gesetzliche Aufbewahrungsfristen.
§ 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
http://www.gesetze-im-internet.de/ao_1977/__147.html

Diese kannst du natürlich nur mit Dasi erfüllen.


zu. 2.
Keine Ahnung.


Grüße vom IT-Frosch
Bitte warten ..
Mitglied: 2hard4you
22.07.2010 um 20:41 Uhr
Moin,

Du hast sicherzustellen, daß das Finanzamt in Deine Firmenunterlagen auch nach 10 Jahren rankommt, ob Du Deine Daten per Band oder wie auch immer sicherst, oder Deinen Fileserverinhalt periodisch ausdruckst, interessiert keinen, wichtig ist es, das es da ist.

Berufsgeheimnisträger sollten schon wissen, wie sie die Vertraulichkeit Ihrer Kunden sichern, auch da bleibt denen die Wahl, ob sie sich in Fort Knox ein Büro mieten oder ggf. Daten verschlüsseln...

Gruß

24
Bitte warten ..
Mitglied: Woody74
22.07.2010 um 21:03 Uhr
Ich glaube, ich hab´ da was gefunden.

Auszug aus dem BDSG:

§ 9 Technische und organisatorische Maßnahmen
[Gesetzestext]
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.



[Kommentar]
Kontrollbereiche
In der Kommentierung der Anlage zu § 9 BDSG befinden sich Überlegungen zur Auswahl geeigneter Sicherungsmaßnahmen sowie ein Beispiel für einen Maßnahmenkatalog.

Kontrollbereiche
Das Praxishandbuch Datenschutz geht ausführlich auf die im § 9 BDSG geforderten Sicherheitsmaßnahmen ein. In vielen Kapiteln sind außerdem sehr hilfreiche Checklisten und Orientierungshilfen zu finden.

Im Einzelnen handelt es sich um Maßnahmen

der Zutrittskontrolle (bauliche, technische oder organisatorische Maßnahmen)

der Zugangskontrolle (dazu gehören die Art und Stärke der Zugangsmedien, die Aufbewahrung, und die Vernichtung von Informationen und Informationsträgern)

der Zugriffskontrolle (die Art und Qualität der Autorisierung, Identifizierung und Verschlüsselung der Informationen)

der Weitergabekontrolle (alle Sicherheitsvorkehrungen bei der Datenübertragung und beim -transport)

der Eingabekontrolle (Maßnahmen für eine ordnungsgemäße Anwendung der DV-Programme, Bearbeitungsvermerke oder die Einführung der digitalen Signatur als eindeutige Zuordenbarkeit)

der Auftragskontrolle (Maßnahmen bei der Auftragsdatenverarbeitung oder beim Outsourcing von Aufgabenbereichen)

der Verfügbarkeitskontrolle (dazu gehören die Datenträgerpflege, der Brandschutz, das regelmäßige Backup und ein Notfallkonzept sowie alle Fragen der Wartung der IT-Systeme und das Qualitätsmanagement)



QUELLE: Praxiskommentar BDSG


Das bedeutet doch, wenn Personenbezogene Daten erhoben, verarbeitet und gespeichert werden, die in der Sensibilität als "beträchtlich" einzustufen sind, müssen diese verschlüsselt werden. Oder??
Bitte warten ..
Mitglied: it-frosch
22.07.2010 um 23:44 Uhr
Hallo Woody,

ich glaube du suchst einen Grund warum du Daten verschlüsselt ablegen solltest oder ein Kunde von dir dies tun sollte.
Da ist das sicherlich geeignet.

Bei der Beantwortung einer Frage ist es immer wichtig zu wissen wo der Fragende eigentlich hin will. Mitunter hat das Ziel mit der Frage gar nichts zu tun.
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 09:45 Uhr
Hallo it-frosch,

ich möchte wissen, ob eine DASI oder eine Verschlüsselung von bestimmten Daten wirklich gesetzlich vorgeschrieben ist.
Aus dem zitierten Gesetzestext und dem Kommentar des Buchautors entnehme ich, dass es zur Pflicht gehört, wenn bestimmte Parameter zutreffen.

Oder verstehe ich da was falsch?

Natürlich gehört die entsprechende Empfehlung meinen Kunden gegenüber zur Pflicht. Aber ich weiss nicht mit bestimmtheit, ob z.B. ein Rechtsanwalt auf Mobilen Geräten seine vertraulichen Mandantendaten verschlüsseln muss.
Bitte warten ..
Mitglied: krella
23.07.2010 um 12:25 Uhr
Hallo Woody,

die Verschlüsselung von Daten wird im Gesetz wahrscheinlich nicht so explizit gefordert sein. Die Technik entwickelt sich ja auch weiter und wenn Verschlüsselung nicht mehr ausreicht , müsste das Gesetzt ja auch wieder geändert werden. Ausserdem: welche Verschlüsselungsmethode soll es denn sein?

Gesetze, die ein IT-Sicherheitsmanagement von Unternehmen verlangen sind daher m. E. allgemein gehalten und - wie es bei Gesetzen so ist - interpretierbar.

Beispiele:

Gesetz zur Kontrolle und Transparenz -KontraGIT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß §91 Abs.2 AktG„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

§9 BDSG„Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogenen Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Gesetzliche AnforderungenDem Jahresabschluss ist gemäß §336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. bei prüfungspflichtigen Unternehmen kann ein fehlendes oder unzureichendes Risikomanagement zur Folge haben, dass die Wirtschaftsprüfer den Bestätigungsvermerk versagen.Keine GewinnausschüttungProbleme bei Kreditaufnahmen und mit BankenAuswirkungen auf AktienkursePersönliche Haftung des Vorstands

Basel IIVorschriften zum Eigenkapital von Banken.Kreditrisiko wird an Hand von Ratings bestimmt. Dabei wird das operationelle Risiko berücksichtigt. Dies umfasst auch interne Prozesse, wie ein Risikomanagement.Höheres Risiko = höhere ZinsenIndirekter Zwang, ein ausreichendes Risikomanagement einzuführen und umzusetzen.

D.h.: Anforderungen an IT-SicherheitskonzepteGesetze legen sich nicht auf konkrete Konzepte festAnforderungen an Sicherheitskonzepte variieren je nach Unternehmenstyp, Risiko und BedrohungGesetzlich erforderlich ist eine Analyse des bestehenden Risikos sowie angemessene Maßnahmen zur Vermeidungdabei können anerkannte Standards als Maßstab herangezogen werden
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 13:08 Uhr
Hallo krella,

vielen Dank für deinen Beitrag.
Nach soeben geführter Rücksprache mit der Aufsichtsbehörde für Datenschutz in Düsseldorf, sind Unternehmen oder Stellen, gesetzl. verpflichtet für Datensicherheit zu sorgen, sofern diese Personenbezogen als "beträchtlich sensibel" einzuordnen sind.

Explizite Nachfrage bei folgendem Beispiel:
D.h. Ein Anwalt oder Arzt als Beispiel, MUSS seine Mandanten- Patientendaten sogar im Büro auf lokalen Rechnern und Speichermedien verschlüsseln. Art der Verschlüsselung ist nicht vorgeschrieben. Das autorisierte zugreifen auf sensiblen persönlichen Daten ist sicherzustellen.
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:12 Uhr
Hallo Woody,

das kann ich mir nicht vorstellen.

Du meinst, der Datenschutzbeauftragte hat Dir gesagt, diese sensiblen Daten sind zu verschlüsseln auch im internen Netzwerk?

Dann, so will ich meinen, erfüllen 99% aller Unternehmen diese Anforderung nicht.

M. E. hat er Dir Mist erzählt.

Oder habe ich das falsch verstanden?

Die Daten sind angemessen abzusichern, aber nicht zu verschlüsseln. Diesen Paragraphen, hat er ihn Dir genannt?
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 13:30 Uhr
Hallo krella,

Jetzt bin ich verwirrt.

Nein, von Verschlüsselung im internen Netzwerk war nicht die Rede. Es ging um Verschlüsselung auf lokalen und mobilen Rechnern, die entsprechende Dokumente beherbergen. Dazu zählen auch Speichermedien.
Er hat dabei den §9 herangezogen.

Er sagte wörtlich: Es muss verschlüsselt werden. Sogar im Büro.


Vielleicht sollte das nochmal bei einem IT-RA nachgefragt werden.
Ich will nicht ausschließen, dass ich ihn völlig mißverstanden habe, oder er mich.

Dennoch, ist sein Satz so ausgefallen.
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:51 Uhr
Hier die Anlage zu § 9 BDSG

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

-> Satz 2 § 9 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Wenn ich also Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle ordentlich ohne Verschlüsselung geregelt habe, brauche ich m. E. keine zusätzliche Verschlüsselung von lokalen Datenträgern oder Speichermedien. Die Verschlüsselung ist lediglich eine wichtige Maßnahme.

Man kann es aber tatsächlich auch anders herum lesen und die Verschlüsselung als ein Must-have interpretieren.

Ich liebe Gesetzestexte...
Bitte warten ..
Mitglied: Woody74
23.07.2010 um 14:35 Uhr
Interessant wäre die Frage, ob eine einfache Benutzeranmeldung im Betriebssystem mit Kennwort ausreicht, um "Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle" dem $9 zu entsprechen.

Denn, beim Anhängen der Festplatte an einem anderem System, greift keine Benutzerautentifizierung.


Insbesonders bei Weitergabe der Daten auf Wechselspeichermedien oder CD/DVD´s, wenn es sich z.B. um Textdokumente handelt.


Ich finde dieses Thema mehr als interessant. Jeder von uns möchte doch seinen Kunden / Betrieb gut beraten und auf Fragen antworten können.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...