Agenda - Project Consult

Сomentários

Transcrição

Agenda - Project Consult
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
PROJECT
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
CONSULT
Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
1
Agenda
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
• Was heißt Compliance?
• Datenschutz & Dokumentenmanagement
• E-Mail-Management zwischen
Schutzanforderungen und langzeitiger
Aufbewahrung
• Speicherung von schutzwürdigen Daten in
elektronischen Archiven
• Ausblick
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
2
© PROJECT CONSULT 2006
1
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Was heißt Compliance?
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
3
Sarbanes-Oxley-Act
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
,,. . . whoever knowingly alters, destroys, mutilates,
conceals, covers up, falsifies or makes a false entry in
any record, document or tangible object with intent to
impede, obstruct or influence the investigation or
proper administration of any matter within the
jurisdiction of any department or agency of the United
States or any case filed under title 11 or in relation to,
or contemplation of any such matter of case, shall be
fined under this title, imprisoned not more than 20
years, or both."
(Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519)
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
4
© PROJECT CONSULT 2006
2
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Sarbanes-Oxley-Act
,,. . . whoever knowingly alters, destroys, mutilates,
conceals, covers up, falsifies or makes a false entry in
any record, document or tangible object with intent to
impede, obstruct or influence the investigation or
proper administration of any matter within the
jurisdiction of any department or agency of the United
States or any case filed under title 11 or in relation to,
or contemplation of any such matter of case, shall be
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
fined under this title, imprisoned not
20 years, or both."
more than
(Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519)
© PROJECT CONSULT 2006
5
Was ist Compliance?
Übereinstimmung mit und Erfüllung von
rechtlichen und regulativen Vorgaben
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
6
© PROJECT CONSULT 2006
3
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Grundsätzlich
• Alle rechtlichen und gesetzlichen Vorgaben
gelten auch in der elektronischen Welt!
• Die Anforderungen der DV-Welt sind jedoch
häufig noch nicht oder nicht direkt enthalten
und müssen daher adäquat abgeleitet
werden
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
7
„Übereinstimmung“
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
• Es wird vorausgesetzt, dass es nachlesbare,
definierte, offizielle Vorgaben gibt, die die Regeln
enthalten, was zu tun ist
• Hier ist „Übereinstimmung“ gefordert, ohne das die
Regeln meistens eine technische Vorgabe
enthalten, wie die Anforderung umzusetzen ist
• Es ist sinnvoll, da sich solche Vorgaben nicht an
einer Technologie festmachen sollten, die in ein
paar Jahren schon wieder obsolet ist
• „Übereinstimmung“ ist statisch bezogen auf die
Vorgabe
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
8
© PROJECT CONSULT 2006
4
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
„Erfüllung“
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
• Der Begriff „Erfüllung“ impliziert zweierlei:
Einmal, das die Anforderungen in einer Lösung
umgesetzt werden müssen, und zum Zweiten, dass
dies ein Prozess ist, keine einmalige Aktion
• Das Unternehmen oder die Organisation muss
kontinuierlich für die Einhaltung der Vorgaben
Sorge tragen
• „Erfüllung“ geht dabei meistens über eine rein
technische Lösung hinaus und beinhaltet auch
organisatorische und Management-Aspekte
• „Erfüllung“ ist dynamisch, ein ständig laufender,
kontrollierter Prozess
© PROJECT CONSULT 2006
9
„Rechtliche Vorgaben“
• Gesetze oder behördliche Verordnungen, die
bestimmte Unternehmen, Organisationen oder
Personen verpflichten, die jeweils aufgeführten
Regelungen einzuhalten
• Man kann sich nicht um die Erfüllung „drücken“,
lediglich in Hinblick auf Auslegung, Umfang und
Umsetzungsweise besteht Handlungsspielraum
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
10
© PROJECT CONSULT 2006
5
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
„Regulative Vorgaben“
Warum unterscheidet man zwischen „rechtlich“ und
„regulativ“?
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
• Es gibt eine Reihe von Vorgaben, die sich nicht auf
Gesetze berufen wie z.B. Normen, Standards,
Codes of Best Practice von Branchen oder andere,
z.B.unternehmensinterne Vorgaben
• Vielfach ergeben sich aus gesetzlichen Vorgaben
für einen Anwendungsfall auch Auswirkungen und
implizite oder indirekte Anforderungen für andere
Fälle
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
11
Unterschiede
Direkte Auswirkungen
• HGB
• AO / GDPdU / GOBS
• Verrechnungspreisdokumentation
Indirekte Auswirkungen
• Basel II (für „Nicht-Banken“)
• BDSG
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
12
© PROJECT CONSULT 2006
6
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Grundsätzliche Kriterien für Compliance
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
•
•
•
•
•
•
•
•
•
•
•
•
•
Authentizität
Vollständigkeit
Nachvollziehbarkeit
Zugriffssicherheit
Geordnetheit
Integrität
Auffindbarkeit
Reproduzierbarkeit
Unverändertheit
Richtigkeit
Prüfbarkeit
Portabilität
Vertrauenswürdigkeit
© PROJECT CONSULT 2006
13
Compliance
• Compliance ist getrieben von den
Aufbewahrungspflichten aus
handelsrechtlicher und steuerrechtlicher
Sicht
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
• Compliance muss aber auch die
Anforderungen des Datenschutzes erfüllen
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
14
© PROJECT CONSULT 2006
7
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Gesetzesgrundlagen in Deutschland
Überblick (1)
Gesetze
• HGB/AO – Handelsgesetzbuch/Abgabenordnung
• BGB – Bürgerliches Gesetzbuch
• SigG – Signaturgesetz
• EGG – Elektronischer Geschäftsverkehrgesetz
• ZPO – Zivilprozessordnung
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Verordnungen und Verwaltungsanweisungen
• GoBS – Grundsätze ordnungsgemäßer DVgestützter Buchführungssysteme
• GDPdU – Grundsätze zum Datenzugriff und zur
Prüfbarkeit digitaler Unterlagen
© PROJECT CONSULT 2006
15
© PROJECT CONSULT 2002
Gesetzesgrundlagen in Deutschland
Überblick (2)
• TDDSG – Teledienstedatenschutzgesetz
• BDSG – Bundesdatenschutzgesetz
• Landesdatenschutzgesetze
• BetrVG – Betriebsverfassungsgesetz
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
16
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
8
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Information Management Compliance Policy
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
17
Information Management Compliance
(IMC)
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
18
© PROJECT CONSULT 2006
• IMC hat nicht nur mit Technik zu tun, sie muss sich im
gesamten Unternehmen, im Umgang mit Information
und in den Prozessen einer Organisation
widerspiegeln
• Sie hat mit Verantwortung von Personen und deren
Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards
zu tun
• Information Management Compliance ist eine
Abbildung all dieser Komponenten in elektronischen
Systemen
• Diese beinhalten nicht nur Komponenten wie Records
Management und Archivierung, sondern
Datensicherung und Datensicherheit, Zugriffsschutz,
Kontrollsysteme und andere Komponenten
9
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Vier Komponenten für Information
Management Compliance (1)
1. Information Management Policy
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Grundregeln und Verwaltensweisen für den
Umgang mit Prozessen und Informationen, die sich
in der „Corporate Governance“ niederschlagen.
Dies schließt die das Bewusstmachen, die
Zuordnung der Verantwortung, und die
Verankerung der Policy im Management der
Organisation ein.
Das Management trägt hier nicht nur die eigene
Verantwortung für die Einhaltung der Regularien,
sondern auch für Umsetzung im Unternehmen mit
Vorbildfunktion
© PROJECT CONSULT 2006
19
Vier Komponenten für Information
Management Compliance (2)
2. Delegation
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Zuordnung von Verantwortlichkeiten und
entsprechende Ausbildung auf den
nachgeordneten Ebenen, die allen Betroffenen die
Bedeutung von Compliance-Regeln deutlich
macht. Dies schlägt sich auch in den
Arbeitsprozessen, Arbeitsplatzbeschreibungen,
Verträgen und Arbeitsanweisungen nieder.
Auf den verschiedenen Ebenen einer Organisation
muss abhängig von Aufgaben und Zuständigkeiten
der Mitarbeiter eine Durchgängigkeit erzeugt
werden
© PROJECT CONSULT 2006
20
© PROJECT CONSULT 2006
10
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Vier Komponenten für Information
Management Compliance (3)
3. Nachhaltung
Die Einhaltung der Regeln muss regelmäßig
überprüft werden. Hierzu gehören z.B.
Qualitätssicherungsprogramme ebenso wie Audits.
Dabei ist auf eine ständige Verbesserung der
Prozesse und auf die Nachführung der
Dokumentation zu den durchgeführten
Maßnahmen Wert zu legen
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
21
Vier Komponenten für Information
Management Compliance (4)
4. Sichere Systeme
Die IT-Systeme müssen den Anforderungen mit
ihrer Funktionalität, Sicherheit und Verfügbarkeit
genügen und die Nachvollziehbarkeit unterstützen.
Compliance beschränkt sich hier nicht nur auf die
Anwendungsfunktionalität und das Management
elektronischer Dokumente, sondern schließt den
gesamten Betrieb der Lösung ein
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
22
© PROJECT CONSULT 2006
11
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Compliance treibt den Markt für
elektronisches Dokumentenmanagement
Unterstützung der Compliance Anforderungen:
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
•
•
•
•
•
•
DM
EMM
BPM
ECM
RM
REA
•
•
ILM
CRT
•
usw.
Dokumentenmanagement
E-Mail-Management
Business Process Management
Enterprise Content Management
Records Management
Revisionssichere elektronische
Archivierung
Information Lifecycle Management
Compliant Transaction Recording
© PROJECT CONSULT 2006
23
Datenschutz &
Dokumentenmanagement
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
24
© PROJECT CONSULT 2006
12
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Das elektronische Dokument
• Der Begriff Dokument wird für elektronische
Dokumente aus unterschiedlichsten Quellen, die in
einem DV-System als Datei, Bestandteil einer Datei
oder Objekt vorliegen, verwendet
• Der „Dokument“ entspricht im angloamerikanischen
Sprachraum dem Begriff „Record“
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
25
Das elektronische Dokument
Gleichstellung
• Das Original ist immer häufiger elektronisch
• Dokumente werden vermehrt elektronisch erstellt
und sind nicht mehr für eine Präsentation in
Papierform ausgelegt
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Dynamische Dokumente
Elektronisch signierte Dokumente
Automatisch erzeugte Massendrucke
Datensätze, die durch beschreibende Meta-Daten und
Formatinformationen erst zum Dokument werden
© PROJECT CONSULT 2002 Urheberrechte Dr. Ul rich Kampffmeyer
• Die rechtliche Gleichstellung von Papier- und
elektronischen Dokumenten ist eine der wichtigsten
Voraussetzungen für das Informationszeitalter
© PROJECT CONSULT 2006
26
© PROJECT CONSULT 2006
13
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Dokumentenmanagement
• Dokumentenmanagement dient zur
datenbankgestützten Verwaltung elektronischer
Dokumente
• Dokumentenmanagement im engeren Sinn
Unter den „klassischen“ Dokumentenmanagementsystemen im
engeren Sinn sind solche Lösungen zu verstehen, die ursprünglich
aus der Notwendigkeit entstanden sind, Verwaltungs- und
Kontrollfunktionen für die wachsenden Dateibestände zur Verfügung
zu stellen
• Dokumentenmanagement im weiteren Sinn
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Unter einem Dokumentenmanagementsystem im weiteren Sinn
werden verschiedene Systemkategorien und deren Zusammenspiel
verstanden wie Dokumentenmanagement im engeren Sinn, Imaging,
Scannen, Collaboration, COLD, Workflow, Groupware,
elektronische Archivierung und andere.
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
27
Dokumentenmanagement &
Datenschutz (1)
Sicherheit:
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
•
Dokumentenmanagementsysteme werden durch
Berechtigungssysteme in ihrer Nutzung kontrolliert
Dokumente und Dokumentenklassen können mit
Schutzmerkmalen gegen unberechtigte Nutzung
ausgestattet werden
Dokumentenmanagementsysteme verfügen über
Protokollierungsfunktionen, die die Nachvollziehbarkeit
der Nutzung ermöglichen
Spezifische Dokumentenmanagementfunktionen
erlauben auch den Schutz von Teilen von Dokumenten
Dokumentenmanagementsysteme verfügen über
Funktionalität zur gezielten Aussonderung von
Informationen
© PROJECT CONSULT 2006
28
© PROJECT CONSULT 2006
14
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Dokumentenmanagement &
Datenschutz (2)
Risiken:
•
•
•
Der datenbankgestützte Zugriff kann unzureichend
geschützte Dokumente auffindbar machen
Mangelnde Separierung von schutzwürdigen
Dokumenten von anderen Dokumenten kann den
Datenschutz aushebeln
Eine mitarbeiterbezogene Protokollierung aller Aktionen
im Dokumentenmanagementsystem kann dem
Datenschutz zuwiderlaufen
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
29
Dokumentenmanagement &
Datenschutz (3)
Beispiel: Elektronische Personalakte
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Der Mitarbeiter kann verlangen, Zugriff auf ihn
betreffende Dokumente und einen Nachweis zu
erhalten, wer die Dokumente schreiben und lesen
konnte
„Schlecht aufbereitete“ Personalakten können auch
Dokumente und Daten erhalten, auf die Dritte keinen
Zugriff haben dürfen
Bestimmte Dokumente haben auch zukünftig nur in
Papierform rechtlichen Bestand. Sie stellen in
elektronischer Form nur eine Kopie dar
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
30
© PROJECT CONSULT 2006
15
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
E-Mail-Management zwischen
Schutzanforderungen und langzeitiger
Aufbewahrung
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
31
Weltweit verfügbare Informationsmenge wächst
2006
2005
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
2003
2004
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Quellen: Forrester Research, Media Asset Management
© PROJECT CONSULT 2006
32
© PROJECT CONSULT 2006
16
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Gründe zur Archivierung von E-Mails
Wirtschaftliche Gründe
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
•
Direkter Zugriff auf alle Informationen unabhängig vom
Empfänger
Entlastung der Kommunikationssysteme
Reduzierung von Suchzeiten aufgrund der integrierten
Suchfunktionalitäten im Archivsystem
Sicherung und Bereitstellung von in E-Mails
vorhandenen geschäftskritischen Informationen in
nachgelagerten Systemen
usw.
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
33
Gründe zur Archivierung von E-Mails
Rechtliche Gründe
•
•
•
•
Anforderungen, basierend auf den Aufbewahrungspflichten für geschäftsrelevante Informationen
Spezielle Gesetze zur Aufbewahrungspflicht von
E-Mails
Allgemeine länderspezifische rechtliche Vorschriften
Branchenspezifische Regelungen
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
34
© PROJECT CONSULT 2006
17
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
E-Mail-Probleme
•
•
•
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Inhaltliche Bewertung
Absender-/Empfängerkennung
Zusammenhang
Zuordnung
Signaturen
Original und Kopie
Rechtlicher Charakter
• PRIVAT ?!
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
35
E-Mail-Probleme
• Wird private E-Mail-Kommunikation im
Unternehmen zugelassen, wird das Unternehmen
zum Teledienstekommunikationsanbieter
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
• Postgeheimnis und Telekommunikationsgeheimnis
sind einzuhalten
• Datenschutz greift voll
• Mitlesen und automatisches Indizieren für Zugriff und
Speicherung nicht erlaubt
• (im Prinzip) kein Ausfiltern von Spam erlaubt
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
36
© PROJECT CONSULT 2006
18
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Beispiel: Filterung von Spam
SPAM-Mail, adressiert an Mitarbeiter, ausfiltern:
• Strafrechtliche Aspekte
Verletzung des Fernmeldegeheimnisses
§ 206 Abs. 2 NR. 2 StGB
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenunterdrückung
§ 303a StGB
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
37
Kontrolle von E-Mail
• Wird nur ausschließlich dienstliche Nutzung der
E-Mail-Kommunikation erlaubt:
• Persönlichkeitsschutz des Arbeitnehmers
• Begleitumstände kontrollierbar
• Zugriff auf Inhalte ausnahmsweise, wie bei Verdacht
von Straftaten und Verrat von Betriebsgeheimnissen
• Private Nutzung lässt sich - analog zum
Telefonieren – jedoch nicht gänzlich verbieten
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
38
© PROJECT CONSULT 2006
19
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Kontrolle von E-Mail
• Private Nutzung der E-Mail-Kommunikation
erlaubt:
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
• Arbeitgeber als Anbieter von TK-Diensten. Es gilt
Fernmeldegeheimnis nach TKG
• Der Schutz ist auch innerhalb der E-Mail-Umgebung in
Bezug auf andere E-Mail-Teilnehmer im Unternehmen zu
gewährleisten (Probleme: Gruppenpostkörbe,
Vertretungen, Leserechte von Vorgesetzten …)
• Kenntnis vom Inhalt und angewählter Adresse nur für die
Organisation der TK-Dienste erlaubt
• Virengefahr
• Gefahr der unkontrollierbaren Offenlegung von
Firmengeheimnissen an Dritte
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
39
Behandlung von E-Mail: Konsequenz
Private Nutzung erlaubt:
• Gegebenenfalls Verletzung des
Fernmeldegeheimnisses und Datenunterdrückung
Private Nutzung nicht erlaubt:
• Gegebenenfalls Datenunterdrückung und
Einschränkung der Kommunikationsmöglichkeiten
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Notstand?!
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
40
© PROJECT CONSULT 2006
20
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Behandlung von E-Mail: Konsequenz
Private Nutzung erlaubt:
• Gegebenenfalls Verletzung des
Fernmeldegeheimnisses und Datenunterdrückung
Private Nutzung nicht erlaubt:
• Gegebenenfalls Datenunterdrückung und
Einschränkung der Kommunikationsmöglichkeiten
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Notstand?! Drohende Funktionsunfähigkeit!
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
41
Nutzung und Speicherung von E-Mail
Lösung:
Betriebsvereinbarung
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
42
© PROJECT CONSULT 2006
21
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Nutzung und Speicherung von E-Mail
Lösung:
Betriebsvereinbarung
Alternativen und Ergänzungen:
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Bestandteil des Arbeitsvertrages
Problem: „Um den neuen Job zu bekommen wird alles
unterschrieben“
Separate Vereinbarung zu bestehenden Verträgen
Problem: „Mögliche Widerstände, individuelle Regelungen“
Generell:
Individuelle Regelungen weichen einheitliche
Firmenregelungen auf
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
43
Vorteile des E-Mail-Managements
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
•
•
•
•
•
•
•
•
•
Eingangskontrolle und Nachweis
Filterung und Prüfung
Verteilung
Teilautomatisierte Auswertung
Unterstützung bei der Beantwortung
Zuordnung zu Geschäftsvorfällen
Vertretung
Übersichtlichkeit und Ordnung
etc.
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
… erst am Ende steht die Archivierung
© PROJECT CONSULT 2006
44
© PROJECT CONSULT 2006
22
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Konzepte
Vollständige Archivierung
Vorteile:
Nachteile:
•
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Konformität mit den
rechtlichen
Erfordernissen
Möglichkeit der
Prozessintegration
Kaum Einfluss auf die
Arbeitsweise der Nutzer
Volle Integration in das
bestehende IT
Management des
Unternehmers
•
•
Umfangreichster und
aufwendigster
Lösungsansatz
Meist speicher- und
kostenintensivste
Lösung
Oft komplizierte
Verhandlungen mit
Betriebsrat und
Datenschutzbeauftragten der Unternehmen
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
45
Konzepte
Vollständige Archivierung mit
Separierung der Attachments
Vorteile:
Nachteile:
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Wesentliche
Reduzierung der
Mailboxgrößen
Daraus resultierender
Performancegewinn
Reduzierung der
Hardwareanforderungen
•
•
Rechtliche
Anforderungen werden
nicht erfüllt
Nach „Crash“ des
Mailsystems ist eine
Zuordnung der
archivierten Anhänge zu
Mails schwierig
Offline-Retrieval der
Anhänge nicht möglich
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
46
© PROJECT CONSULT 2006
23
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Konzepte
Selektive Archivierung
Vorteile:
Nachteile:
•
•
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Filterung unerwünschter
E-Mails
Reduzierung des
Speicherplatzbedarfs
Daraus resultierender
Performancegewinn
Reduzierung der
Hardwareanforderungen
•
Sehr aufwändig
Filterkriterien extrem
schwierig zu definieren
Bei ungenauer
Festlegung der
Selektionskriterien
werden rechtliche
Anforderungen nicht
erfüllt
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
47
Speicherung von schutzwürdigen Daten in
elektronischen Archiven
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
48
© PROJECT CONSULT 2006
24
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Elektronische Archivierung
Der Begriff „Elektronische Archivierung“ steht
für die unveränderbare, langzeitige
Aufbewahrung elektronischer Information mit
datenbankgestützter Erschließung
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
49
Elektronische Archivierung
Begriffe
•
Records Management
• Der Begriff „elektronische Archivierung“ entspricht „Records
Management“ mit „Preservation“ der Informationen im
englischen Sprachgebrauch
•
Langzeitarchivierung
• Unter „elektronischer Langzeitarchivierung“ versteht man die
Bereitstellung von Daten und Dokumenten über einen Zeitraum
von mindestens 10 Jahren
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Revisionssichere Archivierung
© PROJECT CONSULT 2002 Urheberrec hte Dr. Ulrich Kampffmeyer
• Unter „revisionssicherer Archivierung“ versteht man
Archivsysteme, die nach den Vorgaben der Allgemeinen
Abgabenordnung (HGB AO) und der GoBS Daten und
Dokumente sicher, unverändert, vollständig, ordnungsgemäß,
verlustfrei reproduzierbar und datenbankgestützt recherchierbar
verwalten
© PROJECT CONSULT 2006
50
© PROJECT CONSULT 2006
25
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Was ist Revisionssicherheit?
Ableitung der Anforderungen aus dem HGB
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
•
•
•
•
•
•
•
•
•
•
•
Ordnungsmäßigkeit
Vollständigkeit
Sicherheit des Gesamtverfahrens
Schutz vor Veränderung und Verfälschung
Sicherung vor Verlust
Nutzung nur durch Berechtigte
Einhaltung der Aufbewahrungsfristen
Dokumentation des Verfahrens
Nachvollziehbarkeit
Prüfbarkeit
Verlustfreie Migration
© PROJECT CONSULT 2006
51
© PROJECT CONSULT 2002
Architektur
Index
Archivsystem Datenbank
Management
Archivsystem
Speicher
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
52
© PROJECT CONSULT 2006
26
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Standards von Speichermedien
Digitale optische Speichermedien:
• WORM Optical Disk (Write Once Read
Many)
• CD (Compact Disk)yer
• DVD (Digital Versatile Disk)
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
53
© PROJECT CONSULT 2002
Standards von Speichermedien
Digitale optische Speichermedien:
•
•
•
WORM Optical Disk (Write Once Read Many)
CD (Compact Disk) ampffmeyer
DVD (Digital Versatile Disk)
Werden physikalische WORM-Medien
überhaupt noch gebraucht?
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
54
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
27
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Standards von Speichermedien
Digitale optische Speichermedien:
•
•
•
WORM Optical Disk (Write Once Read Many)
CD (Compact Disk)
DVD (Digital Versatile Disk)
Werden physikalische WORM-Medien überhaupt noch
gebraucht?
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
• WORM Tape (Magnetband)
• WORM Hard Disk (Festplatte)
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
55
© PROJECT CONSULT 2002
Standards von Speichermedien
WORM (Write Once Read Many)
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
• Soft WORM sind im Prinzip wiederbeschreibbare
Medien
• True WORM sind physisch nur einmal
beschreibbare Medien
• Lesbarkeit der Daten bis 40 Jahre „garantiert“
• Aufnahmekapazität bis zu 9,1 GB je Medium
• Zugriff i.d.R. über SCSI (1,2 - 2,3 MByte/s), relativ
gering
• Teure Medien (ca. 40 €)
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
56
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
28
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Standards von Speichermedien
CD (Compact Disk)
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
• CD-ROM (ist nur lesbar, nicht beschreibbar)
• CD-R (einmal beschreibbar, dann nur noch lesbar)
• CD-RW (ca. 1000-fach beschreibbar, dann nur
noch lesbar)
• CD-I (Interaktive Spiele etc.)
• Photo-CD
• CD-Extra (Audio -und Datenspur nebeneinander)
• Lesbarkeit der Daten 10-15 Jahre
• Aufnahmekapazität bis zu 800 MB je Medium
• Zugriff über SCSI oder IDE (bis zu 10,8 MB/sek.)
• Günstige Medien (ca. 0,10 €)
© PROJECT CONSULT 2006
57
© PROJECT CONSULT 2002
Standards von Speichermedien
DVD (Digital Versatile Disk)
•
•
•
•
•
•
•
Gleiche Abmessung wie eine CD
Zwei Schichten pro Seite (beidseitig)
Verschiedene Formate, weitere zu erwarten
Aufnahmekapazität bis zu 17 GB je Medium
Zugriff über SCSI oder IDE (20,8 MB/sek.)
Teurere Medien (ca. 3 €)
Noch keine abschließende Standardisierung
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
58
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
29
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Standards von Speichermedien
WORM-Tapes
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
• z.B. von Sony (AIT) oder StorageTek (VolSafe)
• Auch für die allgemeine Bandsicherung nutzbar
• Hohe Sicherheit bei ordnungsgemäßem
Rechenzentrumsbetrieb und der regelmäßigen
Migration
• Aufnahmekapazität bis zu 512 GB je Medium
(komprimiert)
• Zugriffsgeschwindigkeiten mit denen von
herkömmlichen WORMs vergleichbar oder
schneller
• Medien durch große Kapazität relativ günstig
(100 €)
© PROJECT CONSULT 2006
59
© PROJECT CONSULT 2002
Standards von Speichermedien
Festplattenspeicher
•
•
•
•
z.B. Produkte von EMC, IBM, HDS Hitachi u.a.
Einfaches Management
Sehr schnell Datenzugriffe
Unveränderbarkeit und Wahrung der Authentizität
der Daten
• Wahrung der Integrität
• Replikation
• Ein 19inch Rack fasst bis zu 9,6 TB (gespiegelt)
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
60
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
30
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Datensicherheit und Datenschutz
Hardwarekomponenten
SoftwareSoftwarekomponenten
komponenten
BenutzerBenutzerprofile
profile
organisatorische
organisatorische
Planungen
Planungen
Migration
Migration
datenschutzdatenschutzrechtliche
rechtliche
Vorschriften
Vorschriften
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
61
Sicherheit
•
Ein Medium allein ist nie sicher genug
• Mehrere Kopien
• Regelmäßiges Testen der Kopien auf Lesbarkeit
• Regelmäßiges Migrieren
•
Sichere Auslegung
• Auslagerung Medien
• Sicherheitsrechenzentrum oder doppelte Auslegung in
getrennten Gebäuden
• Fallback Konzept
• Testen der Sicherheit
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
•
• Verzeichnis zur Lösung des Problems divergenter aber z.T.
redundanter Inhalte unterschiedlicher Aktualität auf
verschiedenen Medien
• Konfigurationsmanagement
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
62
© PROJECT CONSULT 2006
Identifizierbarkeit der Sicherungen
© PROJECT CONSULT 2002
31
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Restart - Wiederanlauf
•
•
•
•
•
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Wiederanlauf nach Betriebsstörungen
Verlust der Netzwerkverbindung
Störungen der Indexdatenbank
Störungen des Informationsadressierungssystems
Störungen der optischen Speichereinheit
Störungen (z.B. Überlauf) der temporären Speicher
Der Wiederanlauf stellt sicher, dass die Systeme
kurzfristig mit herkömmlichen DV-Mitteln ohne
Dokumentenverlust weiterarbeiten können
• Gegebenenfalls ist ein Teil-Recovery notwendig,
um die Konsistenz im System wieder herzustellen.
Bereits gelöschte Information kann wiederkommen
© PROJECT CONSULT 2006
63
Verfahren zum Wiederanlauf
Redundante Systeme
• z.B. gespiegelter Server, RAID, Dual Homing etc.
innerhalb eines Systems
• z.B. Sicherheitsrechenzentren
• Problem:
hohe Kosten, aufwendiger Betrieb
Einspielen von Sicherungen
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
• z.B. Bandsicherungen
Problem:
Teile der aktuellen Daten- und
Dokumentenbestände fehlen, Teil-Recovery und
Konsistenzabgleich erforderlich
© PROJECT CONSULT 2006
64
© PROJECT CONSULT 2006
32
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Teil-Recovery
Problemsituation:
Definierte Teile des digitalen Archivs sind nicht
mehr verfügbar
Teil-Recovery, z.B.
• Recovery über einen bestimmten Zeitraum
• Recovery eines Mediums
• Recovery einer bestimmten Dokumentengruppe
oder eines bestimmten Speicherortes
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
Durch das Zusammenwirken von Teil-Recovery und
Wiederanlauf wird das System nach Störungen
konsistent wieder bereitgestellt
Bereits gelöschte Information kann wiederkommen
© PROJECT CONSULT 2006
65
Voll-Recovery
Problemsituation:
Komplettes Archiv oder Archiv-Subsystem ist
ausgefallen
Voll-Recovery
• Recovery meint in der Regel den Wiederaufbau
des gesamten Systems von den Speichermedien
selbst
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Durch das Zusammenwirken von Voll-Recovery mit
Wiederanlauf wird das System nach Störungen
konsistent wieder bereitgestellt
Bereits gelöschte Information kann wiederkommen
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
66
© PROJECT CONSULT 2006
33
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Verfahren der Absicherung
für den Recovery-Fall
Herkömmlich
•
•
Datenbank, Netzwerk etc. werden über Bänder gesichert
Im Archiv liegen nur die Dokumente selbst
(in Zukunft für revisionssichere Archivierung nicht mehr
ausreichend)
Zusätzliche Sicherung über WORM Speicher
•
•
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
•
Zugriffs- und Indexinformationen werden als String nahe beim
Dokument gespeichert
Teile der Datenbank werden mit auf die gleiche Seite der
digital-optischen Platte geschrieben
Es werden “Self contained”-Informationsobjekte archiviert, die
im Header alle notwendigen Informationen mit sich tragen
(sicherste Methode; auch für den Austausch von Dokumenten
geeignet)
© PROJECT CONSULT 2006
67
Datenschutz und Datensicherheit
Hardwarekomponenten
SoftwareSoftwarekomponenten
komponenten
BenutzerBenutzerprofile
profile
organisatorische
organisatorische
Planungen
Planungen
Migration
Migration
datenschutzdatenschutzrechtliche
rechtliche
Vorschriften
Vorschriften
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
68
© PROJECT CONSULT 2006
34
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Problem der unterschiedlichen
Zielrichtungen des Datenschutzes
Datenschutz von
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
• persönlichen und privaten Daten
• betrieblicher Geheimnisse und betrieblichen
Wissens
• Kundeninformationen aus der geschäftlichen
Tätigkeit
• Information verbundener Dritter und Partner
• Interessenteninfomationen aus der
Akquisitionstätigkeit
Abwägung konkurrierender Interessen?
© PROJECT CONSULT 2006
69
Problem WORM Speicher in Archiven
Nichtlöschbarkeit
versus
Löschpflicht
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
70
© PROJECT CONSULT 2006
35
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Problem WORM
Löschbarkeit bei Datenschutzanforderungen
• Physisches Löschen
Der Eintrag auf dem Speichermedium und die
Zugriffsinformation in der Verwaltungsdatenbank
werden physisch gelöscht
• geht bei echten „true“ WORM-Medien nicht, sondern
kann nur durch Umkopieren mit Weglassung der zu
löschenden Information erreicht werden
• Probleme:
wie steht es um den Originalitätscharakter der
umkopierten Informationen?
gelöschte Informationen können sich noch imme rin
Caches und auf Sicherungen befinden
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
71
© PROJECT CONSULT 2002
Problem WORM
Löschbarkeit bei Datenschutzanforderungen
• Logisches Löschen
Es wird nur die Zugriffsinformation in der
Verwaltungsdatenbank physisch gelöscht. Die Daten
bleiben auf dem Medium, sind aber mit „normalen
Mitteln“ nicht mehr findbar
• Umkopieren entfällt
• Nachweismöglichkeit, was wann von wem gelöscht wurde
• Probleme:
Administratoren könnten die Information auf den Medien
wieder sichtbar machen und
im Recovery-Fall muss sichergestellt sein, dass auch die
Löschungen nachvollzogen werden
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
72
© PROJECT CONSULT 2006
© PROJECT CONSULT 2002
36
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Konsequenzen
Die Archivierung von Informationen, die dem
Datenschutz unterliegen, erfordern eine sorgfältige
Planung:
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
• Gezielte Qualifizierung der Informationen
• Segmentierung der Speicherbereiche
• Schutzmechanismen in der Indexdatenbank und im
Berechtigungssystem
• Gezielte Aussonderung
• Nachweisführung der Löschung
• Wahl geeigneter Speichermedien
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
73
Ausblick
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
74
© PROJECT CONSULT 2006
37
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Information Overflow
Wir leiden an einer Informationsüberflutung und müssen die werthaltige,
wichtige Information mühsam suchen
Der systematischen Erschließung der
exponentiell wachsenden Information
kommt eine immer größere Bedeutung zu
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
75
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Information Overflow
Wir leiden an einer Informationsüberflutung und müssen die werthaltige,
wichtige Information mühsam suchen
Der systematischen Erschließung der
exponentiell wachsenden Information
kommt eine immer größere Bedeutung zu
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
These:
Falsch verstandener Datenschutz darf die
Erschließung und Verwaltung nicht verhindern
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
76
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2006
38
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Die Abhängigkeit von Information
Die Abhängigkeit von der Verfügbarkeit
und der Richtigkeit von elektronischer
Information wächst ständig
Unternehmen, Behörden und Gesellschaft
sind von der Verfügbarkeit von Information
inzwischen existentiell abhängig geworden
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
77
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Die Abhängigkeit von Information
Die Abhängigkeit von der Verfügbarkeit
und der Richtigkeit von elektronischer
Information wächst ständig
Unternehmen, Behörden und Gesellschaft
sind von der Verfügbarkeit von Information
inzwischen existentiell abhängig geworden
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
78
These:
Falsch verstandener Datenschutz darf nicht zu
zusätzlichen Risiken bei der Sicherstellung der
Arbeitsfähigkeit führen
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2006
39
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Information Gap
Die ersten Lücken in der elektronischen
Überlieferung treten auf: Elektronisches
Wissen ist bereits unwiederbringlich
verloren gegangen
Die geordnete und nutzbare Bewahrung
wertvoller Information wird zunehmend
wichtiger
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
79
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Information Gap
Die ersten Lücken in der elektronischen
Überlieferung treten auf: Elektronisches
Wissen ist bereits unwiederbringlich
verloren gegangen
Die geordnete und nutzbare Bewahrung
wertvoller Information wird zunehmend
wichtiger
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
These:
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Falsch verstandener Datenschutz darf nicht zu
Verlusten wichtiger Information führen
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
80
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2006
40
Datenschutz, Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Datenschutzkongress 2006
Berlin, 10.05.2006
Die gesellschaftliche Bedeutung von
Information und Archiven
„Elektronische Archive sind das Gedächtnis
der Informationsgesellschaft.“
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
Erkki Liikanen, EU-Kommissar, 1999
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
81
© Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002
© PROJECT CONSULT 2002
© PROJECT CONSULT 2002
Vielen Dank für Ihre Aufmerksamkeit !
Dr. Ulrich Kampffmeyer
E-Mail: [email protected]CONSULT.com
Die Folien dieses Vortrags, Newsletter, weiterführende Informationen ...
Datenschutzkongress 2006
Datenschutz; Datensicherheit & Compliance
Dr. Ulrich Kampffmeyer
www.PROJECT-CONSULT.com
PROJECT CONSULT
Unternehmensberatung
Dr. Ulrich Kampffmeyer GmbH
Breitenfelder Straße 17
20251 Hamburg
www.project-consult.com
© PROJECT CONSULT 2006
82
© PROJECT CONSULT 2006
41

Documentos relacionados