herausforderungen vertraulicher kommunikation cebit 17.3.2015 matthias lachenmann, rechtsanwalt
TRANSCRIPT
HERAUSFORDERUNGEN VERTRAULICHER KOMMUNIKATION
CEBIT17.3.2015MATTHIAS LACHENMANN, RECHTSANWALT
INHALT• Warum vertrauliche Kommunikation?• Stellung der IT-Compliance im Unternehmen• Datenschutzrechtliche Verpflichtungen bei der
Kommunikation und deren Umsetzung• Datensicherheitsrechtliche Verpflichtungen bei der
Kommunikation und deren Umsetzung• Rechtliche Absicherung internationaler
Datenübermittlungen
WARUM VERTRAULICHE KOMMUNIKATION?
WARUM VERTRAULICHE KOMMUNIKATION?
WARUM VERTRAULICHE KOMMUNIKATION?
WARUM VERTRAULICHE KOMMUNIKATION?
WARUM VERTRAULICHE KOMMUNIKATION?
WARUM VERTRAULICHE KOMMUNIKATION?
ZWISCHENFAZIT
WARUM VERTRAULICHE KOMMUNIKATION?Bekannt auch ohne Snowden:• Sec. 215 Patriot Act: Behördlicher Zugriff auf Geschäftsunterlagen,
wenn diese „relevant für eine autorisierte Untersuchung“ sind; vormals nötig: „hinreichender Verdacht“
• Sec. 702 FISA Act 2008: Für Erfassen von Anrufen/E-Mails von Nicht-US-Personen ist keine personenbezogene Genehmigung nötig. Ausreichend Vorlage von allgemeinen Richtlinien für die anvisierten Ziele „Blankovollmacht“
• Sec. 505 US Patriot Act: „National Security Letters“: Zugriff auf Metadaten
• 18 USC § 2703 (a) (ECPA): Zugriff auf gespeicherte Inhaltsdaten• US District Court Southern District of New York, Entsch. v. 25.4.2014-
13 Mag. 2814: Herausgabe von Daten, die US-Unternehmen auf europäischen Cloud-Servern speichern (search warrant, subpoena).
WARUM VERTRAULICHE KOMMUNIKATION?Deutsche Regelungen:• § 88 TKG mit TK-ÜberwachungsVO v. 22.1.2002• §§ 100a ff. StPO: Überwachung des Fernmeldeverkehrs• § 39 AWG: Verhütung von Straftaten nach
Außenwirtschaftsgesetz und Kriegswaffenkontrollgesetz• § 7 BKAG: Auskunftsverlangen des BKA gegenüber
Privatunternehmen• § 3 G10, § 8a BVerfSchG, § 2a BNDG, § 4 MADG: Gezielte
Erhebung von TK-Daten durch Verfassungsschutzämter, BND, MAD
• § 5 G10: „Strategische Beschränkungen“ des TK-Verkehrs
IT-COMPLIANCE
IT-COMPLIANCE
IT-COMPLIANCE
Kategorie geringe Auswirkung/ Schaden
mittlere Auswirkung/ Schaden
große Auswirkung/ Schaden
katastrophale Auswirkung/
Schaden
Diebstahl von Kundendaten 2 2 1 1
Verletzung des Datenschutzes 3 2 1 1
Verstoß gegen Gesetze 4 2 1 1
Hackerangriff
4 3 1 1
DATENSCHUTZ Daten erhebende Personen/Firmen: Verantwortliche Stellen Datenverarbeitung ist verboten, außer sie ist erlaubt Übermittlung von Daten ist Teil der Datenverarbeitung Weitgehende Erlaubnistatbestände als Generalklauseln Grundsatz der Direkterhebung Zweckbindung
Betroffener
Mitteilung von Daten
Übermittlung
Verantwortliche Stelle
Auftragsdaten-verarbeiter
DATENSCHUTZ „Verbotsprinzip“, § 4 Abs. 1 BDSG
„Privacy by default“ = Datenvermeidung „Privacy by design“ = Datensparsamkeit
Anonymisierung Pseudonymisierung
Entnetzung Information der Betroffenen
(Homomorphe) Verschlüsselung?
IT-Sicherheitsgesetz
DATENSCHUTZ Auftragsdatenverarbeitung - Gesetzlich vorgeschriebene Festlegungen:
1. der Gegenstand und die Dauer des Auftrags,2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder
Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,4. die Berichtigung, Löschung und Sperrung von Daten,5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm
vorzunehmenden Kontrollen,6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und
Mitwirkungspflichten des Auftragnehmers,8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
DATENSICHERHEIT Notwendigkeit technischer und organisatorischer Maßnahmen, § 9 BDSG:
Datenschutzmanagementsystem Informationssicherheits-Managementsystem, ISO 27000-Normenreihe BSI-Grundschutz ISO 9001
Anlage zu § 9 BDSG gibt zu ergreifende Sicherungsmaßnahmen vor: Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle
DATENSICHERHEIT
INTERNATIONALE DATENÜBERMITTLUNG• Safe Harbor
• Selbstzertifizierung• Regelmäßige Überprüfung der Einhaltung• Aufkündigung des Abkommens?
• EU-Standardvertragsklauseln• Vorgegebene Vertragsmuster• Individuelle Vereinbarungen als Anhang
• Binding Corporate Rules (BCR)• Aufwändiges Genehmigungsverfahren
Matthias LachenmannRechtsanwalt
Klingenderstraße 5
33100 Paderborn
Tel.: 05251 / 142 87 42
Fax: 05251 / 142 87 44
Mail: Matthias@
kanzlei-lachenmann.de
FRAGEN?www.kanzlei-lachenmann.dewww.Twitter.com/LAWchenmannwww.Facebook.com/Kanzlei-Lachenmannwww.Xing.de/MatthiasLachenmannhttps://itunes.apple.com/de/app/kanzlei-lachenmann/id532175018