woody74
Goto Top

Gesetzliche Regelung für DASI und Datenverschlüsselung

Hallo Gemeinde,

Sicher, jeder sollte eine DASI durchführen und sensible Daten verschlüsseln. Aber sind diese Maßnahmen gesetzlich verankert?


1. Welcher § regelt z.B. die gesetzliche Pflicht, das jeder Unternehmer seine Unternehmensdaten auf dafür geeignete Medien sichert? (DASI)


1. Sind öffentliche Einrichtungen, z.B. Kindergärten, Schulen, oder auch Nichtöffentliche Betriebe wie Rechtsanwälte, die jeweils mit sensiblen persönlichen Daten hantieren, gesetzlich verpflichtet, ihre Daten auf Mobilen und/oder Nichtmobilen Geräten, digital zu verschlüsseln?

Content-ID: 147467

Url: https://administrator.de/forum/gesetzliche-regelung-fuer-dasi-und-datenverschluesselung-147467.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

it-frosch
it-frosch 22.07.2010 um 17:10:20 Uhr
Goto Top
Hallo Woody,

zu 1.
es gibt meines Wissens keine Gesetz was dich zur DaSi verpflichtet aber es gibt gesetzliche Aufbewahrungsfristen.
§ 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen
http://www.gesetze-im-internet.de/ao_1977/__147.html

Diese kannst du natürlich nur mit Dasi erfüllen.


zu. 2.
Keine Ahnung.


Grüße vom IT-Frosch
2hard4you
2hard4you 22.07.2010 um 20:41:48 Uhr
Goto Top
Moin,

Du hast sicherzustellen, daß das Finanzamt in Deine Firmenunterlagen auch nach 10 Jahren rankommt, ob Du Deine Daten per Band oder wie auch immer sicherst, oder Deinen Fileserverinhalt periodisch ausdruckst, interessiert keinen, wichtig ist es, das es da ist.

Berufsgeheimnisträger sollten schon wissen, wie sie die Vertraulichkeit Ihrer Kunden sichern, auch da bleibt denen die Wahl, ob sie sich in Fort Knox ein Büro mieten oder ggf. Daten verschlüsseln...

Gruß

24
Woody74
Woody74 22.07.2010 um 21:03:43 Uhr
Goto Top
Ich glaube, ich hab´ da was gefunden.

Auszug aus dem BDSG:

§ 9 Technische und organisatorische Maßnahmen
[Gesetzestext]
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.


[Kommentar]
Kontrollbereiche
In der Kommentierung der Anlage zu § 9 BDSG befinden sich Überlegungen zur Auswahl geeigneter Sicherungsmaßnahmen sowie ein Beispiel für einen Maßnahmenkatalog.

Kontrollbereiche
Das Praxishandbuch Datenschutz geht ausführlich auf die im § 9 BDSG geforderten Sicherheitsmaßnahmen ein. In vielen Kapiteln sind außerdem sehr hilfreiche Checklisten und Orientierungshilfen zu finden.

Im Einzelnen handelt es sich um Maßnahmen

der Zutrittskontrolle (bauliche, technische oder organisatorische Maßnahmen)

der Zugangskontrolle (dazu gehören die Art und Stärke der Zugangsmedien, die Aufbewahrung, und die Vernichtung von Informationen und Informationsträgern)

der Zugriffskontrolle (die Art und Qualität der Autorisierung, Identifizierung und Verschlüsselung der Informationen)

der Weitergabekontrolle (alle Sicherheitsvorkehrungen bei der Datenübertragung und beim -transport)

der Eingabekontrolle (Maßnahmen für eine ordnungsgemäße Anwendung der DV-Programme, Bearbeitungsvermerke oder die Einführung der digitalen Signatur als eindeutige Zuordenbarkeit)

der Auftragskontrolle (Maßnahmen bei der Auftragsdatenverarbeitung oder beim Outsourcing von Aufgabenbereichen)

der Verfügbarkeitskontrolle (dazu gehören die Datenträgerpflege, der Brandschutz, das regelmäßige Backup und ein Notfallkonzept sowie alle Fragen der Wartung der IT-Systeme und das Qualitätsmanagement)


QUELLE: Praxiskommentar BDSG


Das bedeutet doch, wenn Personenbezogene Daten erhoben, verarbeitet und gespeichert werden, die in der Sensibilität als "beträchtlich" einzustufen sind, müssen diese verschlüsselt werden. Oder??
it-frosch
it-frosch 22.07.2010 um 23:44:07 Uhr
Goto Top
Hallo Woody,

ich glaube du suchst einen Grund warum du Daten verschlüsselt ablegen solltest oder ein Kunde von dir dies tun sollte.
Da ist das sicherlich geeignet.

Bei der Beantwortung einer Frage ist es immer wichtig zu wissen wo der Fragende eigentlich hin will. Mitunter hat das Ziel mit der Frage gar nichts zu tun. face-wink
Woody74
Woody74 23.07.2010 um 09:45:36 Uhr
Goto Top
Hallo it-frosch,

ich möchte wissen, ob eine DASI oder eine Verschlüsselung von bestimmten Daten wirklich gesetzlich vorgeschrieben ist.
Aus dem zitierten Gesetzestext und dem Kommentar des Buchautors entnehme ich, dass es zur Pflicht gehört, wenn bestimmte Parameter zutreffen.

Oder verstehe ich da was falsch?

Natürlich gehört die entsprechende Empfehlung meinen Kunden gegenüber zur Pflicht. Aber ich weiss nicht mit bestimmtheit, ob z.B. ein Rechtsanwalt auf Mobilen Geräten seine vertraulichen Mandantendaten verschlüsseln muss.
krella
krella 23.07.2010 um 12:25:57 Uhr
Goto Top
Hallo Woody,

die Verschlüsselung von Daten wird im Gesetz wahrscheinlich nicht so explizit gefordert sein. Die Technik entwickelt sich ja auch weiter und wenn Verschlüsselung nicht mehr ausreicht , müsste das Gesetzt ja auch wieder geändert werden. Ausserdem: welche Verschlüsselungsmethode soll es denn sein?

Gesetze, die ein IT-Sicherheitsmanagement von Unternehmen verlangen sind daher m. E. allgemein gehalten und - wie es bei Gesetzen so ist - interpretierbar.

Beispiele:

Gesetz zur Kontrolle und Transparenz -KontraGIT-Sicherheitsmanagement ist Teil der Anforderungen an ordentliche Unternehmensführung gemäß §91 Abs.2 AktG„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

§9 BDSG„Öffentliche und nicht-öffentliche Stellen, die (…) personenbezogenen Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Gesetzliche AnforderungenDem Jahresabschluss ist gemäß §336 HGB ein Lagebericht beizufügen, der Information über die Risiken der künftigen Entwicklung des Unternehmens enthält. bei prüfungspflichtigen Unternehmen kann ein fehlendes oder unzureichendes Risikomanagement zur Folge haben, dass die Wirtschaftsprüfer den Bestätigungsvermerk versagen.Keine GewinnausschüttungProbleme bei Kreditaufnahmen und mit BankenAuswirkungen auf AktienkursePersönliche Haftung des Vorstands

Basel IIVorschriften zum Eigenkapital von Banken.Kreditrisiko wird an Hand von Ratings bestimmt. Dabei wird das operationelle Risiko berücksichtigt. Dies umfasst auch interne Prozesse, wie ein Risikomanagement.Höheres Risiko = höhere ZinsenIndirekter Zwang, ein ausreichendes Risikomanagement einzuführen und umzusetzen.

D.h.: Anforderungen an IT-SicherheitskonzepteGesetze legen sich nicht auf konkrete Konzepte festAnforderungen an Sicherheitskonzepte variieren je nach Unternehmenstyp, Risiko und BedrohungGesetzlich erforderlich ist eine Analyse des bestehenden Risikos sowie angemessene Maßnahmen zur Vermeidungdabei können anerkannte Standards als Maßstab herangezogen werden
Woody74
Woody74 23.07.2010 um 13:08:04 Uhr
Goto Top
Hallo krella,

vielen Dank für deinen Beitrag.
Nach soeben geführter Rücksprache mit der Aufsichtsbehörde für Datenschutz in Düsseldorf, sind Unternehmen oder Stellen, gesetzl. verpflichtet für Datensicherheit zu sorgen, sofern diese Personenbezogen als "beträchtlich sensibel" einzuordnen sind.

Explizite Nachfrage bei folgendem Beispiel:
D.h. Ein Anwalt oder Arzt als Beispiel, MUSS seine Mandanten- Patientendaten sogar im Büro auf lokalen Rechnern und Speichermedien verschlüsseln. Art der Verschlüsselung ist nicht vorgeschrieben. Das autorisierte zugreifen auf sensiblen persönlichen Daten ist sicherzustellen.
krella
krella 23.07.2010 um 13:12:57 Uhr
Goto Top
Hallo Woody,

das kann ich mir nicht vorstellen.

Du meinst, der Datenschutzbeauftragte hat Dir gesagt, diese sensiblen Daten sind zu verschlüsseln auch im internen Netzwerk?

Dann, so will ich meinen, erfüllen 99% aller Unternehmen diese Anforderung nicht.

M. E. hat er Dir Mist erzählt.

Oder habe ich das falsch verstanden?

Die Daten sind angemessen abzusichern, aber nicht zu verschlüsseln. Diesen Paragraphen, hat er ihn Dir genannt?
Woody74
Woody74 23.07.2010 um 13:30:12 Uhr
Goto Top
Hallo krella,

Jetzt bin ich verwirrt.

Nein, von Verschlüsselung im internen Netzwerk war nicht die Rede. Es ging um Verschlüsselung auf lokalen und mobilen Rechnern, die entsprechende Dokumente beherbergen. Dazu zählen auch Speichermedien.
Er hat dabei den §9 herangezogen.

Er sagte wörtlich: Es muss verschlüsselt werden. Sogar im Büro.


Vielleicht sollte das nochmal bei einem IT-RA nachgefragt werden.
Ich will nicht ausschließen, dass ich ihn völlig mißverstanden habe, oder er mich.

Dennoch, ist sein Satz so ausgefallen.
krella
krella 23.07.2010 um 13:51:35 Uhr
Goto Top
Hier die Anlage zu § 9 BDSG

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

-> Satz 2 § 9 BDSG: Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Wenn ich also Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle ordentlich ohne Verschlüsselung geregelt habe, brauche ich m. E. keine zusätzliche Verschlüsselung von lokalen Datenträgern oder Speichermedien. Die Verschlüsselung ist lediglich eine wichtige Maßnahme.

Man kann es aber tatsächlich auch anders herum lesen und die Verschlüsselung als ein Must-have interpretieren.

Ich liebe Gesetzestexte...
Woody74
Woody74 23.07.2010 um 14:35:44 Uhr
Goto Top
Interessant wäre die Frage, ob eine einfache Benutzeranmeldung im Betriebssystem mit Kennwort ausreicht, um "Zugriffskontrolle, Zugangskontrolle und Weitergabekontrolle" dem $9 zu entsprechen.

Denn, beim Anhängen der Festplatte an einem anderem System, greift keine Benutzerautentifizierung.


Insbesonders bei Weitergabe der Daten auf Wechselspeichermedien oder CD/DVD´s, wenn es sich z.B. um Textdokumente handelt.


Ich finde dieses Thema mehr als interessant. Jeder von uns möchte doch seinen Kunden / Betrieb gut beraten und auf Fragen antworten können.