1. 4. Die Datenschutzgesetze Geltungsbereiche. BDSG - Inhalt. Wichtige Begriffe des Datenschutzrechts. Zulssigkeit der Datenverarbeitung. Strafgesetzbuch. Bundesstatistikgesetz, Sozialgesetzbuch, Verwaltungsverfahrensgesetz. Schweigepflicht und Datenschutz. 1. 5. Die rechtliche Situation der Kryptographie Situation. Mgliche Modelle. Technische und organisatorische Maßnahmen – Datenschutz-Wiki. Technische Machbarkeit eines Kryptoverbots? Schlsselhinterlegung beim Staat? Argumente gegen jede Kryptographiereglementierung. 1. 6. Offene Systeme und Verlsslichkeit Offene und geschlossene Systeme. Verteilte Systeme. Sicherheitsanforderungen in offenen und verteilten Systemen. Die Bedeutung der Kryptologie. 1. 7. Ausgewhlte Sicherheitsprobleme Gefhrdungen der PC-Sicherheit Gefahren in Windows-Systemen Gefahren in Unix-Systemen Passwrter und Social Engineering Gefhrdungen der Netz-Sicherheit JavaScript und Man-in-the-Middle-Attacken Die Sicherheit von Java Die Sicherheit von ActiveX Funknetze (Wireless LANs) Sicherheit in Standard-Software. Grnde fr die Mngel.
Denn eine solche Kombination der Merkmale Besitz und Wissen gewährleistet meist einen erhöhten Schutz für Zugänge. Hierbei sollten Sie beachten, dass die Ausgabe und der Entzug von Logins sowie Token dokumentiert und Regelungen zum Umgang mit Passwörtern und Zugangsmitteln (Chipkarte, Token) getroffen werden müssen. Daneben sind soweit umsetzbar technische Passwortvorgaben einzuführen. Hierzu zählen Passwortmindestlänge, Passwortkomplexität, Zwangswechsel für Passwörter nach beispielsweise 90 Tagen sowie eine Passworthistorie. Acht Gebote des Genießens Archive - Angela Mecking. Nähere Informationen hierzu liefert Punkt M 2. 11 in den BSI IT-Grundschutz-Katalogen [1].
Hier hilft das Gesetz weiter: Da nach § 9 BDSG nur die technischen und organisatorischen Maßnahmen getroffen werden müssen, die angesichts der Bedeutung der Daten angemessen sind, kann man auch bei den Maßnahmen zur Kontrolle der Eingabe nach der Sensibilität der Daten unterscheiden: Frei zugängliche Daten: Etwa konzernweite Adressbücher, Ansprechpartner im CRM-System. Acht gebote des datenschutzes 3. Unmittelbare Personaldaten: private Adressen, Familienverhältnisse, Einkommen, Unterhaltspflichten. Besonders sensible Daten: Krankheit, Vorstrafen, Abmahnungen, Lohnpfändung, Kontodaten, Auswertungslisten. Umfang der Protokollierung Bei frei zugänglichen Daten ist regelmäßig keine Protokollierung erforderlich. In allen anderen Fällen sind zu protokollieren: Log-In / Log-Out - Änderung von Passwörtern Änderung der Zugriffsrechte Schreibende Zugriffe auf Dateien und Datenbanken Identität des Eingebenden Datum der Eingabe Ordnungsnummer des Datensatzes und Software Bei Änderung von Datensätzen sollte grundsätzlich auch der Inhalt des geänderten Datensatzes protokolliert werden.
Dabei geht es nicht nur um den Schutz vor "zufälligen" Ereignissen, sondern vielmehr um die Absicherung gegen sämtliche nicht außerhalb jeder Wahrscheinlichkeit liegenden Störungen und Schäden. Notfallplan ausarbeiten Im Rahmen des Betriebskontinuitätsmanagements sollten Konzepte zur Schadensvermeidung sowie ein Notfallplan entwickelt werden, der Ausfallszenarien der IT-Systeme vorwegnimmt und Möglichkeiten aufzeigt, wie wesentliche Prozesse wieder aufgenommen werden können. Als Standard bietet sich dazu der BSI-Standard 100-4 an, der zum Ziel hat "Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. Acht gebote des datenschutzes. " Die schwierige Aufgabe des IT-Managements ist es, hier das angemessene Maß zwischen dem technisch Möglichen, rechtlich Erforderlichen und finanziell Machbaren zu finden. Denn nach § 9 BDSG sind nur die Maßnahmen erforderlich, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Der Beginn des Datenschutzes: Das Volkszählungsurteil Das Bundesverfassungsgesetz hat 1983 erstmals aus den Artikeln 1 und 2 Abs. 1 des Grundgesetzes ein Recht eines jeden auf informationelle Selbstbestimmung abgeleitet. Das Recht auf informationelle Selbstbestimmung ist die Befugnis des Einzelnen, grundsätzlich selbst über Preisgabe und Verwendung persönlicher Angaben zu entscheiden. In keinem anderen Lebensbereich fallen so viele personenbezogene Daten an wie im Arbeitsalltag. Kann der Einzelne Mitarbeiterkontrolle verhindern? Im Arbeitsverhältnis besteht die besondere Schwierigkeit, dass es ein Abhängigkeitsverhältnis zwischen Arbeitnehmer und Arbeitgeber gibt. Der Arbeitnehmer ist sowohl persönlich als auch wirtschaftlich vom Arbeitgeber abhängig. Acht gebote des datenschutzes video. Auch hat der einzelne Arbeitnehmer häufig nicht die genaue Kenntnis darüber, welche technischen Einrichtungen im Betrieb vorhanden sind, welche personenbezogenen Daten damit erfasst werden und wie diese Daten verarbeitet und genutzt werden.
Anders bei besonders sensiblen Daten: Hier sollten Sie nur die Feldbezeichnung erfassen. Zudem gilt bei dieser Datenkategorie, dass immer auch der Nur-Lese- Zugriff zu protokollieren ist. 8 Gebote des Datenschutzes - YouTube. Differenzieren zwischen Admin und Nutzer Es ist zu unterscheiden zwischen fachlichen und administrativen Zugriffen auf ein Informations- und Kommunikationssystem. Während der gewöhnliche Nutzer aufgrund des Berechtigungskonzepts ohnehin nur Zugriff auf die jeweils erforderlichen Daten haben darf, sind die Zugriffsrechte der IT-Administration naturgemäß nahezu unbegrenzt.
Revisions- und Beweisfunktion Bei der Eingabekontrolle geht es weniger um die Verhinderung unberechtigten Zugriffs als vielmehr darum, nachträglich erkennen zu können, ob und wie es zu Fehlern gekommen ist und dies auch nachweisen zu können. Da die Daten letztlich zu Revisions- und Beweiszwecken verwendet werden, müssen die Daten vollständig sein, dürfen nur den berechtigten Personen zugänglich sein und nicht nachträglich verändert werden können. Diese Kontrollpflicht bezieht sich allerdings nur auf personenbezogene Daten. Rein sachliche Protokolldaten werden hiervon nicht erfasst. Zudem betrifft die Protokollierung nur Programme und Verfahren, die auch personenbezogene Daten verarbeiten. Zu erfassende Daten Im Unternehmen werden in den verschiedensten Systemen und Programmen personenbezogene Daten erhoben und verarbeitet: von Personalsoftware und CRM-Systemen, ERP und individuellen Datenbanken bis hin zur Zeiterfassung, Zutrittskontrolle und Videoüberwachung. Obwohl das Gesetz bei der Eingabekontrolle keine Unterscheidung nach Art und Umfang der Daten macht, ist es kaum praktikabel, sämtliche Ereignisse zu erfassen.