Agenda - Project Consult
Transcrição
Agenda - Project Consult
Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 PROJECT Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 1 Agenda Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • Was heißt Compliance? • Datenschutz & Dokumentenmanagement • E-Mail-Management zwischen Schutzanforderungen und langzeitiger Aufbewahrung • Speicherung von schutzwürdigen Daten in elektronischen Archiven • Ausblick PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 2 © PROJECT CONSULT 2006 1 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Was heißt Compliance? Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 3 Sarbanes-Oxley-Act Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung ,,. . . whoever knowingly alters, destroys, mutilates, conceals, covers up, falsifies or makes a false entry in any record, document or tangible object with intent to impede, obstruct or influence the investigation or proper administration of any matter within the jurisdiction of any department or agency of the United States or any case filed under title 11 or in relation to, or contemplation of any such matter of case, shall be fined under this title, imprisoned not more than 20 years, or both." (Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519) Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 4 © PROJECT CONSULT 2006 2 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Sarbanes-Oxley-Act ,,. . . whoever knowingly alters, destroys, mutilates, conceals, covers up, falsifies or makes a false entry in any record, document or tangible object with intent to impede, obstruct or influence the investigation or proper administration of any matter within the jurisdiction of any department or agency of the United States or any case filed under title 11 or in relation to, or contemplation of any such matter of case, shall be Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com fined under this title, imprisoned not 20 years, or both." more than (Quelle: ‘‘Sarbanes-Oxley Act of 2002“, Sec. 802, §1519) © PROJECT CONSULT 2006 5 Was ist Compliance? Übereinstimmung mit und Erfüllung von rechtlichen und regulativen Vorgaben Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 6 © PROJECT CONSULT 2006 3 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Grundsätzlich • Alle rechtlichen und gesetzlichen Vorgaben gelten auch in der elektronischen Welt! • Die Anforderungen der DV-Welt sind jedoch häufig noch nicht oder nicht direkt enthalten und müssen daher adäquat abgeleitet werden Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 7 „Übereinstimmung“ Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung • Es wird vorausgesetzt, dass es nachlesbare, definierte, offizielle Vorgaben gibt, die die Regeln enthalten, was zu tun ist • Hier ist „Übereinstimmung“ gefordert, ohne das die Regeln meistens eine technische Vorgabe enthalten, wie die Anforderung umzusetzen ist • Es ist sinnvoll, da sich solche Vorgaben nicht an einer Technologie festmachen sollten, die in ein paar Jahren schon wieder obsolet ist • „Übereinstimmung“ ist statisch bezogen auf die Vorgabe Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 8 © PROJECT CONSULT 2006 4 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 „Erfüllung“ Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • Der Begriff „Erfüllung“ impliziert zweierlei: Einmal, das die Anforderungen in einer Lösung umgesetzt werden müssen, und zum Zweiten, dass dies ein Prozess ist, keine einmalige Aktion • Das Unternehmen oder die Organisation muss kontinuierlich für die Einhaltung der Vorgaben Sorge tragen • „Erfüllung“ geht dabei meistens über eine rein technische Lösung hinaus und beinhaltet auch organisatorische und Management-Aspekte • „Erfüllung“ ist dynamisch, ein ständig laufender, kontrollierter Prozess © PROJECT CONSULT 2006 9 „Rechtliche Vorgaben“ • Gesetze oder behördliche Verordnungen, die bestimmte Unternehmen, Organisationen oder Personen verpflichten, die jeweils aufgeführten Regelungen einzuhalten • Man kann sich nicht um die Erfüllung „drücken“, lediglich in Hinblick auf Auslegung, Umfang und Umsetzungsweise besteht Handlungsspielraum Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 10 © PROJECT CONSULT 2006 5 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 „Regulative Vorgaben“ Warum unterscheidet man zwischen „rechtlich“ und „regulativ“? Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung • Es gibt eine Reihe von Vorgaben, die sich nicht auf Gesetze berufen wie z.B. Normen, Standards, Codes of Best Practice von Branchen oder andere, z.B.unternehmensinterne Vorgaben • Vielfach ergeben sich aus gesetzlichen Vorgaben für einen Anwendungsfall auch Auswirkungen und implizite oder indirekte Anforderungen für andere Fälle Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 11 Unterschiede Direkte Auswirkungen • HGB • AO / GDPdU / GOBS • Verrechnungspreisdokumentation Indirekte Auswirkungen • Basel II (für „Nicht-Banken“) • BDSG Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 12 © PROJECT CONSULT 2006 6 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Grundsätzliche Kriterien für Compliance Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • • • • • • • • • • • • • Authentizität Vollständigkeit Nachvollziehbarkeit Zugriffssicherheit Geordnetheit Integrität Auffindbarkeit Reproduzierbarkeit Unverändertheit Richtigkeit Prüfbarkeit Portabilität Vertrauenswürdigkeit © PROJECT CONSULT 2006 13 Compliance • Compliance ist getrieben von den Aufbewahrungspflichten aus handelsrechtlicher und steuerrechtlicher Sicht Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • Compliance muss aber auch die Anforderungen des Datenschutzes erfüllen PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 14 © PROJECT CONSULT 2006 7 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Gesetzesgrundlagen in Deutschland Überblick (1) Gesetze • HGB/AO – Handelsgesetzbuch/Abgabenordnung • BGB – Bürgerliches Gesetzbuch • SigG – Signaturgesetz • EGG – Elektronischer Geschäftsverkehrgesetz • ZPO – Zivilprozessordnung Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Verordnungen und Verwaltungsanweisungen • GoBS – Grundsätze ordnungsgemäßer DVgestützter Buchführungssysteme • GDPdU – Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen © PROJECT CONSULT 2006 15 © PROJECT CONSULT 2002 Gesetzesgrundlagen in Deutschland Überblick (2) • TDDSG – Teledienstedatenschutzgesetz • BDSG – Bundesdatenschutzgesetz • Landesdatenschutzgesetze • BetrVG – Betriebsverfassungsgesetz Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 16 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 8 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Information Management Compliance Policy Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 17 Information Management Compliance (IMC) Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 18 © PROJECT CONSULT 2006 • IMC hat nicht nur mit Technik zu tun, sie muss sich im gesamten Unternehmen, im Umgang mit Information und in den Prozessen einer Organisation widerspiegeln • Sie hat mit Verantwortung von Personen und deren Tätigkeit, Nachvollziehbarkeit und Qualitätsstandards zu tun • Information Management Compliance ist eine Abbildung all dieser Komponenten in elektronischen Systemen • Diese beinhalten nicht nur Komponenten wie Records Management und Archivierung, sondern Datensicherung und Datensicherheit, Zugriffsschutz, Kontrollsysteme und andere Komponenten 9 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Vier Komponenten für Information Management Compliance (1) 1. Information Management Policy Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Grundregeln und Verwaltensweisen für den Umgang mit Prozessen und Informationen, die sich in der „Corporate Governance“ niederschlagen. Dies schließt die das Bewusstmachen, die Zuordnung der Verantwortung, und die Verankerung der Policy im Management der Organisation ein. Das Management trägt hier nicht nur die eigene Verantwortung für die Einhaltung der Regularien, sondern auch für Umsetzung im Unternehmen mit Vorbildfunktion © PROJECT CONSULT 2006 19 Vier Komponenten für Information Management Compliance (2) 2. Delegation Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Zuordnung von Verantwortlichkeiten und entsprechende Ausbildung auf den nachgeordneten Ebenen, die allen Betroffenen die Bedeutung von Compliance-Regeln deutlich macht. Dies schlägt sich auch in den Arbeitsprozessen, Arbeitsplatzbeschreibungen, Verträgen und Arbeitsanweisungen nieder. Auf den verschiedenen Ebenen einer Organisation muss abhängig von Aufgaben und Zuständigkeiten der Mitarbeiter eine Durchgängigkeit erzeugt werden © PROJECT CONSULT 2006 20 © PROJECT CONSULT 2006 10 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Vier Komponenten für Information Management Compliance (3) 3. Nachhaltung Die Einhaltung der Regeln muss regelmäßig überprüft werden. Hierzu gehören z.B. Qualitätssicherungsprogramme ebenso wie Audits. Dabei ist auf eine ständige Verbesserung der Prozesse und auf die Nachführung der Dokumentation zu den durchgeführten Maßnahmen Wert zu legen Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 21 Vier Komponenten für Information Management Compliance (4) 4. Sichere Systeme Die IT-Systeme müssen den Anforderungen mit ihrer Funktionalität, Sicherheit und Verfügbarkeit genügen und die Nachvollziehbarkeit unterstützen. Compliance beschränkt sich hier nicht nur auf die Anwendungsfunktionalität und das Management elektronischer Dokumente, sondern schließt den gesamten Betrieb der Lösung ein Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 22 © PROJECT CONSULT 2006 11 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Compliance treibt den Markt für elektronisches Dokumentenmanagement Unterstützung der Compliance Anforderungen: Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • • • • • • DM EMM BPM ECM RM REA • • ILM CRT • usw. Dokumentenmanagement E-Mail-Management Business Process Management Enterprise Content Management Records Management Revisionssichere elektronische Archivierung Information Lifecycle Management Compliant Transaction Recording © PROJECT CONSULT 2006 23 Datenschutz & Dokumentenmanagement Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 24 © PROJECT CONSULT 2006 12 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Das elektronische Dokument • Der Begriff Dokument wird für elektronische Dokumente aus unterschiedlichsten Quellen, die in einem DV-System als Datei, Bestandteil einer Datei oder Objekt vorliegen, verwendet • Der „Dokument“ entspricht im angloamerikanischen Sprachraum dem Begriff „Record“ Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 25 Das elektronische Dokument Gleichstellung • Das Original ist immer häufiger elektronisch • Dokumente werden vermehrt elektronisch erstellt und sind nicht mehr für eine Präsentation in Papierform ausgelegt • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Dynamische Dokumente Elektronisch signierte Dokumente Automatisch erzeugte Massendrucke Datensätze, die durch beschreibende Meta-Daten und Formatinformationen erst zum Dokument werden © PROJECT CONSULT 2002 Urheberrechte Dr. Ul rich Kampffmeyer • Die rechtliche Gleichstellung von Papier- und elektronischen Dokumenten ist eine der wichtigsten Voraussetzungen für das Informationszeitalter © PROJECT CONSULT 2006 26 © PROJECT CONSULT 2006 13 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Dokumentenmanagement • Dokumentenmanagement dient zur datenbankgestützten Verwaltung elektronischer Dokumente • Dokumentenmanagement im engeren Sinn Unter den „klassischen“ Dokumentenmanagementsystemen im engeren Sinn sind solche Lösungen zu verstehen, die ursprünglich aus der Notwendigkeit entstanden sind, Verwaltungs- und Kontrollfunktionen für die wachsenden Dateibestände zur Verfügung zu stellen • Dokumentenmanagement im weiteren Sinn Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Unter einem Dokumentenmanagementsystem im weiteren Sinn werden verschiedene Systemkategorien und deren Zusammenspiel verstanden wie Dokumentenmanagement im engeren Sinn, Imaging, Scannen, Collaboration, COLD, Workflow, Groupware, elektronische Archivierung und andere. PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 27 Dokumentenmanagement & Datenschutz (1) Sicherheit: • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • Dokumentenmanagementsysteme werden durch Berechtigungssysteme in ihrer Nutzung kontrolliert Dokumente und Dokumentenklassen können mit Schutzmerkmalen gegen unberechtigte Nutzung ausgestattet werden Dokumentenmanagementsysteme verfügen über Protokollierungsfunktionen, die die Nachvollziehbarkeit der Nutzung ermöglichen Spezifische Dokumentenmanagementfunktionen erlauben auch den Schutz von Teilen von Dokumenten Dokumentenmanagementsysteme verfügen über Funktionalität zur gezielten Aussonderung von Informationen © PROJECT CONSULT 2006 28 © PROJECT CONSULT 2006 14 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Dokumentenmanagement & Datenschutz (2) Risiken: • • • Der datenbankgestützte Zugriff kann unzureichend geschützte Dokumente auffindbar machen Mangelnde Separierung von schutzwürdigen Dokumenten von anderen Dokumenten kann den Datenschutz aushebeln Eine mitarbeiterbezogene Protokollierung aller Aktionen im Dokumentenmanagementsystem kann dem Datenschutz zuwiderlaufen Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 29 Dokumentenmanagement & Datenschutz (3) Beispiel: Elektronische Personalakte • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Der Mitarbeiter kann verlangen, Zugriff auf ihn betreffende Dokumente und einen Nachweis zu erhalten, wer die Dokumente schreiben und lesen konnte „Schlecht aufbereitete“ Personalakten können auch Dokumente und Daten erhalten, auf die Dritte keinen Zugriff haben dürfen Bestimmte Dokumente haben auch zukünftig nur in Papierform rechtlichen Bestand. Sie stellen in elektronischer Form nur eine Kopie dar PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 30 © PROJECT CONSULT 2006 15 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 E-Mail-Management zwischen Schutzanforderungen und langzeitiger Aufbewahrung Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 31 Weltweit verfügbare Informationsmenge wächst 2006 2005 Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer 2003 2004 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Quellen: Forrester Research, Media Asset Management © PROJECT CONSULT 2006 32 © PROJECT CONSULT 2006 16 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Gründe zur Archivierung von E-Mails Wirtschaftliche Gründe • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • Direkter Zugriff auf alle Informationen unabhängig vom Empfänger Entlastung der Kommunikationssysteme Reduzierung von Suchzeiten aufgrund der integrierten Suchfunktionalitäten im Archivsystem Sicherung und Bereitstellung von in E-Mails vorhandenen geschäftskritischen Informationen in nachgelagerten Systemen usw. PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 33 Gründe zur Archivierung von E-Mails Rechtliche Gründe • • • • Anforderungen, basierend auf den Aufbewahrungspflichten für geschäftsrelevante Informationen Spezielle Gesetze zur Aufbewahrungspflicht von E-Mails Allgemeine länderspezifische rechtliche Vorschriften Branchenspezifische Regelungen Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 34 © PROJECT CONSULT 2006 17 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 E-Mail-Probleme • • • • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Inhaltliche Bewertung Absender-/Empfängerkennung Zusammenhang Zuordnung Signaturen Original und Kopie Rechtlicher Charakter • PRIVAT ?! PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 35 E-Mail-Probleme • Wird private E-Mail-Kommunikation im Unternehmen zugelassen, wird das Unternehmen zum Teledienstekommunikationsanbieter Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • Postgeheimnis und Telekommunikationsgeheimnis sind einzuhalten • Datenschutz greift voll • Mitlesen und automatisches Indizieren für Zugriff und Speicherung nicht erlaubt • (im Prinzip) kein Ausfiltern von Spam erlaubt PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 36 © PROJECT CONSULT 2006 18 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Beispiel: Filterung von Spam SPAM-Mail, adressiert an Mitarbeiter, ausfiltern: • Strafrechtliche Aspekte Verletzung des Fernmeldegeheimnisses § 206 Abs. 2 NR. 2 StGB Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenunterdrückung § 303a StGB PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 37 Kontrolle von E-Mail • Wird nur ausschließlich dienstliche Nutzung der E-Mail-Kommunikation erlaubt: • Persönlichkeitsschutz des Arbeitnehmers • Begleitumstände kontrollierbar • Zugriff auf Inhalte ausnahmsweise, wie bei Verdacht von Straftaten und Verrat von Betriebsgeheimnissen • Private Nutzung lässt sich - analog zum Telefonieren – jedoch nicht gänzlich verbieten Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 38 © PROJECT CONSULT 2006 19 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Kontrolle von E-Mail • Private Nutzung der E-Mail-Kommunikation erlaubt: Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung • Arbeitgeber als Anbieter von TK-Diensten. Es gilt Fernmeldegeheimnis nach TKG • Der Schutz ist auch innerhalb der E-Mail-Umgebung in Bezug auf andere E-Mail-Teilnehmer im Unternehmen zu gewährleisten (Probleme: Gruppenpostkörbe, Vertretungen, Leserechte von Vorgesetzten …) • Kenntnis vom Inhalt und angewählter Adresse nur für die Organisation der TK-Dienste erlaubt • Virengefahr • Gefahr der unkontrollierbaren Offenlegung von Firmengeheimnissen an Dritte Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 39 Behandlung von E-Mail: Konsequenz Private Nutzung erlaubt: • Gegebenenfalls Verletzung des Fernmeldegeheimnisses und Datenunterdrückung Private Nutzung nicht erlaubt: • Gegebenenfalls Datenunterdrückung und Einschränkung der Kommunikationsmöglichkeiten Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Notstand?! PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 40 © PROJECT CONSULT 2006 20 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Behandlung von E-Mail: Konsequenz Private Nutzung erlaubt: • Gegebenenfalls Verletzung des Fernmeldegeheimnisses und Datenunterdrückung Private Nutzung nicht erlaubt: • Gegebenenfalls Datenunterdrückung und Einschränkung der Kommunikationsmöglichkeiten Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Notstand?! Drohende Funktionsunfähigkeit! PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 41 Nutzung und Speicherung von E-Mail Lösung: Betriebsvereinbarung Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 42 © PROJECT CONSULT 2006 21 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Nutzung und Speicherung von E-Mail Lösung: Betriebsvereinbarung Alternativen und Ergänzungen: • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Bestandteil des Arbeitsvertrages Problem: „Um den neuen Job zu bekommen wird alles unterschrieben“ Separate Vereinbarung zu bestehenden Verträgen Problem: „Mögliche Widerstände, individuelle Regelungen“ Generell: Individuelle Regelungen weichen einheitliche Firmenregelungen auf PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 43 Vorteile des E-Mail-Managements Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • • • • • • • • • Eingangskontrolle und Nachweis Filterung und Prüfung Verteilung Teilautomatisierte Auswertung Unterstützung bei der Beantwortung Zuordnung zu Geschäftsvorfällen Vertretung Übersichtlichkeit und Ordnung etc. PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com … erst am Ende steht die Archivierung © PROJECT CONSULT 2006 44 © PROJECT CONSULT 2006 22 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Konzepte Vollständige Archivierung Vorteile: Nachteile: • • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Konformität mit den rechtlichen Erfordernissen Möglichkeit der Prozessintegration Kaum Einfluss auf die Arbeitsweise der Nutzer Volle Integration in das bestehende IT Management des Unternehmers • • Umfangreichster und aufwendigster Lösungsansatz Meist speicher- und kostenintensivste Lösung Oft komplizierte Verhandlungen mit Betriebsrat und Datenschutzbeauftragten der Unternehmen Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 45 Konzepte Vollständige Archivierung mit Separierung der Attachments Vorteile: Nachteile: • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Wesentliche Reduzierung der Mailboxgrößen Daraus resultierender Performancegewinn Reduzierung der Hardwareanforderungen • • Rechtliche Anforderungen werden nicht erfüllt Nach „Crash“ des Mailsystems ist eine Zuordnung der archivierten Anhänge zu Mails schwierig Offline-Retrieval der Anhänge nicht möglich PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 46 © PROJECT CONSULT 2006 23 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Konzepte Selektive Archivierung Vorteile: Nachteile: • • • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Filterung unerwünschter E-Mails Reduzierung des Speicherplatzbedarfs Daraus resultierender Performancegewinn Reduzierung der Hardwareanforderungen • Sehr aufwändig Filterkriterien extrem schwierig zu definieren Bei ungenauer Festlegung der Selektionskriterien werden rechtliche Anforderungen nicht erfüllt PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 47 Speicherung von schutzwürdigen Daten in elektronischen Archiven Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 48 © PROJECT CONSULT 2006 24 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Elektronische Archivierung Der Begriff „Elektronische Archivierung“ steht für die unveränderbare, langzeitige Aufbewahrung elektronischer Information mit datenbankgestützter Erschließung Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 49 Elektronische Archivierung Begriffe • Records Management • Der Begriff „elektronische Archivierung“ entspricht „Records Management“ mit „Preservation“ der Informationen im englischen Sprachgebrauch • Langzeitarchivierung • Unter „elektronischer Langzeitarchivierung“ versteht man die Bereitstellung von Daten und Dokumenten über einen Zeitraum von mindestens 10 Jahren • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Revisionssichere Archivierung © PROJECT CONSULT 2002 Urheberrec hte Dr. Ulrich Kampffmeyer • Unter „revisionssicherer Archivierung“ versteht man Archivsysteme, die nach den Vorgaben der Allgemeinen Abgabenordnung (HGB AO) und der GoBS Daten und Dokumente sicher, unverändert, vollständig, ordnungsgemäß, verlustfrei reproduzierbar und datenbankgestützt recherchierbar verwalten © PROJECT CONSULT 2006 50 © PROJECT CONSULT 2006 25 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Was ist Revisionssicherheit? Ableitung der Anforderungen aus dem HGB Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • • • • • • • • • • • Ordnungsmäßigkeit Vollständigkeit Sicherheit des Gesamtverfahrens Schutz vor Veränderung und Verfälschung Sicherung vor Verlust Nutzung nur durch Berechtigte Einhaltung der Aufbewahrungsfristen Dokumentation des Verfahrens Nachvollziehbarkeit Prüfbarkeit Verlustfreie Migration © PROJECT CONSULT 2006 51 © PROJECT CONSULT 2002 Architektur Index Archivsystem Datenbank Management Archivsystem Speicher Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 52 © PROJECT CONSULT 2006 26 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Standards von Speichermedien Digitale optische Speichermedien: • WORM Optical Disk (Write Once Read Many) • CD (Compact Disk)yer • DVD (Digital Versatile Disk) Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 53 © PROJECT CONSULT 2002 Standards von Speichermedien Digitale optische Speichermedien: • • • WORM Optical Disk (Write Once Read Many) CD (Compact Disk) ampffmeyer DVD (Digital Versatile Disk) Werden physikalische WORM-Medien überhaupt noch gebraucht? Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 54 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 27 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Standards von Speichermedien Digitale optische Speichermedien: • • • WORM Optical Disk (Write Once Read Many) CD (Compact Disk) DVD (Digital Versatile Disk) Werden physikalische WORM-Medien überhaupt noch gebraucht? Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • WORM Tape (Magnetband) • WORM Hard Disk (Festplatte) PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 55 © PROJECT CONSULT 2002 Standards von Speichermedien WORM (Write Once Read Many) Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • Soft WORM sind im Prinzip wiederbeschreibbare Medien • True WORM sind physisch nur einmal beschreibbare Medien • Lesbarkeit der Daten bis 40 Jahre „garantiert“ • Aufnahmekapazität bis zu 9,1 GB je Medium • Zugriff i.d.R. über SCSI (1,2 - 2,3 MByte/s), relativ gering • Teure Medien (ca. 40 €) PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 56 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 28 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Standards von Speichermedien CD (Compact Disk) Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • CD-ROM (ist nur lesbar, nicht beschreibbar) • CD-R (einmal beschreibbar, dann nur noch lesbar) • CD-RW (ca. 1000-fach beschreibbar, dann nur noch lesbar) • CD-I (Interaktive Spiele etc.) • Photo-CD • CD-Extra (Audio -und Datenspur nebeneinander) • Lesbarkeit der Daten 10-15 Jahre • Aufnahmekapazität bis zu 800 MB je Medium • Zugriff über SCSI oder IDE (bis zu 10,8 MB/sek.) • Günstige Medien (ca. 0,10 €) © PROJECT CONSULT 2006 57 © PROJECT CONSULT 2002 Standards von Speichermedien DVD (Digital Versatile Disk) • • • • • • • Gleiche Abmessung wie eine CD Zwei Schichten pro Seite (beidseitig) Verschiedene Formate, weitere zu erwarten Aufnahmekapazität bis zu 17 GB je Medium Zugriff über SCSI oder IDE (20,8 MB/sek.) Teurere Medien (ca. 3 €) Noch keine abschließende Standardisierung Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 58 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 29 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Standards von Speichermedien WORM-Tapes Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • z.B. von Sony (AIT) oder StorageTek (VolSafe) • Auch für die allgemeine Bandsicherung nutzbar • Hohe Sicherheit bei ordnungsgemäßem Rechenzentrumsbetrieb und der regelmäßigen Migration • Aufnahmekapazität bis zu 512 GB je Medium (komprimiert) • Zugriffsgeschwindigkeiten mit denen von herkömmlichen WORMs vergleichbar oder schneller • Medien durch große Kapazität relativ günstig (100 €) © PROJECT CONSULT 2006 59 © PROJECT CONSULT 2002 Standards von Speichermedien Festplattenspeicher • • • • z.B. Produkte von EMC, IBM, HDS Hitachi u.a. Einfaches Management Sehr schnell Datenzugriffe Unveränderbarkeit und Wahrung der Authentizität der Daten • Wahrung der Integrität • Replikation • Ein 19inch Rack fasst bis zu 9,6 TB (gespiegelt) Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 60 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 30 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Datensicherheit und Datenschutz Hardwarekomponenten SoftwareSoftwarekomponenten komponenten BenutzerBenutzerprofile profile organisatorische organisatorische Planungen Planungen Migration Migration datenschutzdatenschutzrechtliche rechtliche Vorschriften Vorschriften Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 61 Sicherheit • Ein Medium allein ist nie sicher genug • Mehrere Kopien • Regelmäßiges Testen der Kopien auf Lesbarkeit • Regelmäßiges Migrieren • Sichere Auslegung • Auslagerung Medien • Sicherheitsrechenzentrum oder doppelte Auslegung in getrennten Gebäuden • Fallback Konzept • Testen der Sicherheit Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer • • Verzeichnis zur Lösung des Problems divergenter aber z.T. redundanter Inhalte unterschiedlicher Aktualität auf verschiedenen Medien • Konfigurationsmanagement PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 62 © PROJECT CONSULT 2006 Identifizierbarkeit der Sicherungen © PROJECT CONSULT 2002 31 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Restart - Wiederanlauf • • • • • • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Wiederanlauf nach Betriebsstörungen Verlust der Netzwerkverbindung Störungen der Indexdatenbank Störungen des Informationsadressierungssystems Störungen der optischen Speichereinheit Störungen (z.B. Überlauf) der temporären Speicher Der Wiederanlauf stellt sicher, dass die Systeme kurzfristig mit herkömmlichen DV-Mitteln ohne Dokumentenverlust weiterarbeiten können • Gegebenenfalls ist ein Teil-Recovery notwendig, um die Konsistenz im System wieder herzustellen. Bereits gelöschte Information kann wiederkommen © PROJECT CONSULT 2006 63 Verfahren zum Wiederanlauf Redundante Systeme • z.B. gespiegelter Server, RAID, Dual Homing etc. innerhalb eines Systems • z.B. Sicherheitsrechenzentren • Problem: hohe Kosten, aufwendiger Betrieb Einspielen von Sicherungen Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • z.B. Bandsicherungen Problem: Teile der aktuellen Daten- und Dokumentenbestände fehlen, Teil-Recovery und Konsistenzabgleich erforderlich © PROJECT CONSULT 2006 64 © PROJECT CONSULT 2006 32 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Teil-Recovery Problemsituation: Definierte Teile des digitalen Archivs sind nicht mehr verfügbar Teil-Recovery, z.B. • Recovery über einen bestimmten Zeitraum • Recovery eines Mediums • Recovery einer bestimmten Dokumentengruppe oder eines bestimmten Speicherortes Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com Durch das Zusammenwirken von Teil-Recovery und Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt Bereits gelöschte Information kann wiederkommen © PROJECT CONSULT 2006 65 Voll-Recovery Problemsituation: Komplettes Archiv oder Archiv-Subsystem ist ausgefallen Voll-Recovery • Recovery meint in der Regel den Wiederaufbau des gesamten Systems von den Speichermedien selbst Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Durch das Zusammenwirken von Voll-Recovery mit Wiederanlauf wird das System nach Störungen konsistent wieder bereitgestellt Bereits gelöschte Information kann wiederkommen Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 66 © PROJECT CONSULT 2006 33 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Verfahren der Absicherung für den Recovery-Fall Herkömmlich • • Datenbank, Netzwerk etc. werden über Bänder gesichert Im Archiv liegen nur die Dokumente selbst (in Zukunft für revisionssichere Archivierung nicht mehr ausreichend) Zusätzliche Sicherung über WORM Speicher • • Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • Zugriffs- und Indexinformationen werden als String nahe beim Dokument gespeichert Teile der Datenbank werden mit auf die gleiche Seite der digital-optischen Platte geschrieben Es werden “Self contained”-Informationsobjekte archiviert, die im Header alle notwendigen Informationen mit sich tragen (sicherste Methode; auch für den Austausch von Dokumenten geeignet) © PROJECT CONSULT 2006 67 Datenschutz und Datensicherheit Hardwarekomponenten SoftwareSoftwarekomponenten komponenten BenutzerBenutzerprofile profile organisatorische organisatorische Planungen Planungen Migration Migration datenschutzdatenschutzrechtliche rechtliche Vorschriften Vorschriften Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 68 © PROJECT CONSULT 2006 34 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Problem der unterschiedlichen Zielrichtungen des Datenschutzes Datenschutz von Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com • persönlichen und privaten Daten • betrieblicher Geheimnisse und betrieblichen Wissens • Kundeninformationen aus der geschäftlichen Tätigkeit • Information verbundener Dritter und Partner • Interessenteninfomationen aus der Akquisitionstätigkeit Abwägung konkurrierender Interessen? © PROJECT CONSULT 2006 69 Problem WORM Speicher in Archiven Nichtlöschbarkeit versus Löschpflicht Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 70 © PROJECT CONSULT 2006 35 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Problem WORM Löschbarkeit bei Datenschutzanforderungen • Physisches Löschen Der Eintrag auf dem Speichermedium und die Zugriffsinformation in der Verwaltungsdatenbank werden physisch gelöscht • geht bei echten „true“ WORM-Medien nicht, sondern kann nur durch Umkopieren mit Weglassung der zu löschenden Information erreicht werden • Probleme: wie steht es um den Originalitätscharakter der umkopierten Informationen? gelöschte Informationen können sich noch imme rin Caches und auf Sicherungen befinden Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 71 © PROJECT CONSULT 2002 Problem WORM Löschbarkeit bei Datenschutzanforderungen • Logisches Löschen Es wird nur die Zugriffsinformation in der Verwaltungsdatenbank physisch gelöscht. Die Daten bleiben auf dem Medium, sind aber mit „normalen Mitteln“ nicht mehr findbar • Umkopieren entfällt • Nachweismöglichkeit, was wann von wem gelöscht wurde • Probleme: Administratoren könnten die Information auf den Medien wieder sichtbar machen und im Recovery-Fall muss sichergestellt sein, dass auch die Löschungen nachvollzogen werden Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 72 © PROJECT CONSULT 2006 © PROJECT CONSULT 2002 36 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Konsequenzen Die Archivierung von Informationen, die dem Datenschutz unterliegen, erfordern eine sorgfältige Planung: Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung • Gezielte Qualifizierung der Informationen • Segmentierung der Speicherbereiche • Schutzmechanismen in der Indexdatenbank und im Berechtigungssystem • Gezielte Aussonderung • Nachweisführung der Löschung • Wahl geeigneter Speichermedien Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 73 Ausblick Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 74 © PROJECT CONSULT 2006 37 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Information Overflow Wir leiden an einer Informationsüberflutung und müssen die werthaltige, wichtige Information mühsam suchen Der systematischen Erschließung der exponentiell wachsenden Information kommt eine immer größere Bedeutung zu Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 75 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 Information Overflow Wir leiden an einer Informationsüberflutung und müssen die werthaltige, wichtige Information mühsam suchen Der systematischen Erschließung der exponentiell wachsenden Information kommt eine immer größere Bedeutung zu Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer These: Falsch verstandener Datenschutz darf die Erschließung und Verwaltung nicht verhindern PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 76 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2006 38 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Die Abhängigkeit von Information Die Abhängigkeit von der Verfügbarkeit und der Richtigkeit von elektronischer Information wächst ständig Unternehmen, Behörden und Gesellschaft sind von der Verfügbarkeit von Information inzwischen existentiell abhängig geworden Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 77 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 Die Abhängigkeit von Information Die Abhängigkeit von der Verfügbarkeit und der Richtigkeit von elektronischer Information wächst ständig Unternehmen, Behörden und Gesellschaft sind von der Verfügbarkeit von Information inzwischen existentiell abhängig geworden Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 78 These: Falsch verstandener Datenschutz darf nicht zu zusätzlichen Risiken bei der Sicherstellung der Arbeitsfähigkeit führen © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2006 39 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Information Gap Die ersten Lücken in der elektronischen Überlieferung treten auf: Elektronisches Wissen ist bereits unwiederbringlich verloren gegangen Die geordnete und nutzbare Bewahrung wertvoller Information wird zunehmend wichtiger Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 79 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 Information Gap Die ersten Lücken in der elektronischen Überlieferung treten auf: Elektronisches Wissen ist bereits unwiederbringlich verloren gegangen Die geordnete und nutzbare Bewahrung wertvoller Information wird zunehmend wichtiger Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer These: PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Falsch verstandener Datenschutz darf nicht zu Verlusten wichtiger Information führen Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 80 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2006 40 Datenschutz, Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Datenschutzkongress 2006 Berlin, 10.05.2006 Die gesellschaftliche Bedeutung von Information und Archiven „Elektronische Archive sind das Gedächtnis der Informationsgesellschaft.“ Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer Erkki Liikanen, EU-Kommissar, 1999 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 81 © Copyright PROJECT CONSULT GmbH 2002 / Autorenrecht Dr- Ulrich Kampffmeyer 2001-2002 © PROJECT CONSULT 2002 © PROJECT CONSULT 2002 Vielen Dank für Ihre Aufmerksamkeit ! Dr. Ulrich Kampffmeyer E-Mail: [email protected] Die Folien dieses Vortrags, Newsletter, weiterführende Informationen ... Datenschutzkongress 2006 Datenschutz; Datensicherheit & Compliance Dr. Ulrich Kampffmeyer www.PROJECT-CONSULT.com PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg www.project-consult.com © PROJECT CONSULT 2006 82 © PROJECT CONSULT 2006 41