FOM Vortrag Bernd Fuhlert April 2013

Präsentation Opt-Secure Düsseldorf

24.04.2012 l 1

10.11.2012 l 1

Exkurs FOM – Mai 2013

Wozu Datenschutz, wenn wir doch im

Zeitalter von post pricacy leben!

Einführung in das Bundesdatenschutzgesetz

Exkursion Fachhochschule für Ökonomie und Management

DATATREE AG

Heubesstraße 10

40597 Düsseldorf

Samstag, 04. Mai 2013


24.04.2012 l 2

10.11.2012 l 2


2. Exkurs Marketing

3. Grundlagen Datenschutz

4. Aus der Praxis: Beispiele

1. Über DATATREE AG

5. Handlungshilfen


24.04.2012 l 3

10.11.2012 l 3


2. Exkurs Marketing




5. Handlungshilfen


24.04.2012 l 4

10.11.2012 l 4


Über DATATREE AG

Informatiker

Betriebswirte

Marketingexperten

Datenschutzauditoren

interdisziplinäres

Team

Stellung externer Datenschutzbeauftragter (TÜV cert. / GDD cert.), Penetrationtest, Code-Check, Code Review

Begleitung von Unternehmen bei der Durchführung von Zertifizierungen

Schulung für Mitarbeiter, Geschäftsleitung und Aufsichtsräte

Aufbau und Prüfung von Compliance-Strukturen in Unternehmensorganisationen

Compliance-Produkte: Treuhand-Datenbank zur Qualitätssicherung z. B. im Wettbewerbsrecht

Leistungsportfolio: ein Auszug Expertise


24.04.2012 l 5

10.11.2012 l 5


2. Exkurs Marketing




5. Handlungshilfen


24.04.2012 l 6

10.11.2012 l 6


Exkurs Marketing

1 Milliarde Downloads

in nur 9 Monaten!

Social Media und andere neue Formen der Medien erreichen in immer kürzeren Intervallen

mehr User und erhöhen somit die personenbezogenen Datenmengen exponentiell:

Radio TV Internet iPod Social Media

4 Jahre

um 50 Milionen User zu

erreichen

Apple

38 Jahre

um 50

Millionen

User zu erreichen

13 Jahre

um 50

Millionen

User zu erreichen

4 Jahre

um 50 Milionen User zu

erreichen

3 Jahre

um 50 Millionen User zu

erreichen.

100 Millionen

User in weniger als 9 Monaten!

*Zeitraum um 50 Millionen User zu erreichen!


24.04.2012 l 7

10.11.2012 l 7


Exkurs Marketing

Der Zugang zur virtuellen Welt ist dank einfacher Anwendungen fast jedem so leicht wie

nie!

„Maschinelle Intelligenz“ soll uns Menschen dabei helfen, bessere und sinnvollere

Entscheidungen zu fällen! Sie hilft uns bei der intensiven Vernetzung mit Freunden und die

Informationsflut besser zu organisieren und zu bewältigen (System for Life Management)!

„you can´t compete with free“ - personenbezogene Daten werden immer mehr zu einer

akzeptierten Währung! Bezahldienste haben es nach wie vor schwer!

Die verwendete E-Mail über Free-Mail Dienste (web.de;gmx.de etc.) oder die SMS beim

Mobilfunkanbieter ist durch viele mit den facebookeigenen Mail- und Chat-Funktionen oder

What´s App ersetzt worden!

Im digitalen Zeitalter heißt es oft: „If it´s not on google, it doesn´t exist“!

5 Aussagen zur digitalen Welt von heute!


24.04.2012 l 8

10.11.2012 l 8


Exkurs Marketing

Trifft der Mensch rationale Entscheidungen?

Denken kosten Energie!

Fast 80 % der Entscheidungen treffen Menschen unbewusst!

Lymbisches System:

Negative oder positive Erfahrungen mit Gefühlen verknüpft!


24.04.2012 l 9

10.11.2012 l 9


Exkurs Marketing

Trifft der Mensch rationale Entscheidungen?

Ein Auto wird immer für den Extremfall gekauft!

Der Kunde will: Dominanz / Balance / Neues!

Mobil sein ist ein Gefühl! Argumentation verliert!


24.04.2012 l 10

10.11.2012 l 10


Exkurs Marketing

Die Macht der Werbung entsteht durch die Emotionalisierung von Produkten!

Rohstoff Produkt Emotionalisierung

0,007 € pro Liter 4,58 € pro Liter 0,64 € pro Liter


24.04.2012 l 11

10.11.2012 l 11


Exkurs Marketing: Wer profitiert vom Urheberrecht?

Grundsatzidee:

Wer etwas erfindet, etwas komplett neues erschafft, soll entscheiden können, was damit passiert!

Frage: Wo fängt Schöpfung an und wo hört Kreativität auf?

1998 beschließt das Repräsentantenhaus den sog. Sony-Bono-Copyright-Term-Extension Act zum Zweck des Schutzes und Verlängerung des Urheberrechts!

Forciert wurde dies vor allem von Unternehmen, die ein Imperium, das auf Basis von Comics entstanden war, schützen wollten!

Walter Elias Disney starb im Dezember 1966. Somit wäre nach damaligem Recht im Jahre 2017 die weltbekannte Mickey Maus zu Allgemeingut geworden!


24.04.2012 l 12

10.11.2012 l 12


Exkurs Marketing: Wer profitiert vom Urheberrecht?

Problem der Contentanbieter:

Der Einmaleffekt durch Wechsel des Trägermediums ist für die Zukunft so gut wie ausgeschlossen!

Vereinfachte Darstellung zur Entwicklung der Trägermedien

?


24.04.2012 l 13

10.11.2012 l 13


2. Exkurs Marketing




5. Handlungshilfen


24.04.2012 l 14

10.11.2012 l 14


Grundlagen Datenschutz

„Internetrecht“

Wettbe-

werbs-

recht

Urheber-

recht

Marken-

recht

Daten-

schutz-

recht

Nutzung eines Facebook-

Profils

Einbezug fremder Filme

Nutzung von Logos

Direct-Messages

Nutzung von

Kundenprofilen

Insbesondere im Web 2.0 treffen viele Disziplinen aufeinander!


24.04.2012 l 15

10.11.2012 l 15


Wer profitiert vom Urheberrecht?

Datenerhebung ist zulässig, wenn Sie …

erlaubt wird.

Der Umgang mit personenbezogenen Daten wird durch das

Datenschutzrecht geregelt:


24.04.2012 l 16

10.11.2012 l 16




24.04.2012 l 17

10.11.2012 l 17



Personenbezogene Daten sind alle Angaben, die sich auf eine

bestimmte oder aber auch nur bestimmbare Person beziehen:

Beispiele: Name, Gehalt, Geburtsjahr, Kreditkartennummer, Telefon-Nummer

IP-Adresse

Abgleich mit

Providerdaten

Bestimmbar wird eine Person, wenn ihre

Identität durch die Kombination des Datums mit

einer anderen Information feststellbar wird.

Bestimmt ist eine Person, wenn

sich ihre Identität direkt aus dem

Datum selbst ergibt.


24.04.2012 l 18

10.11.2012 l 18



Für alle gilt: Transparenz, Widerruf und Nachweisbarkeit!

enthalten Vorgaben zur Nutzung personenbezogener Daten

Verschiedene Rechtvorschriften

§ 4 a BDSG § 93 TKG § 13 TMG

Regelt generell den Umgang mit personenbezogenen Daten („lex generalis“)

Regelt den Umgang mit Daten, die Auskunft über die Nutzung der Kommunikationswege geben: Wer hat wann mit wem eine Netzwerkverbindung aufgebaut?

Regelt den Umgang mit Daten bei der Nutzung von Tele- und Mediendiensten: Wer hat welche Webseite oder Datendienste abgerufen?


24.04.2012 l 19

10.11.2012 l 19



1. Vorlage technisch-organisatorischer

Maßnahmen durch potentiellen AN

2. Auswahl des AN unter Berücksichtigung d. technisch-organisatorischen

Maßnahmen (§ 11 Abs. 2 S. 1 BDSG)

3. Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen

(§ 11 Abs. 2 S. 2 BDSG)

4. Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen bei AN

(§ 11 Abs. 2 S. 4 BDSG)

5. Dokumentation des Ergebnisses der Überprüfung

(§ 11 Abs. 2 S. 5 BDSG)

6. Beginn bzw. Durchführung der

Auftragsdatenverarbeitung

7. Durchführung und Dokumentation regelmäßiger Kontrollen

(§ 11 Abs. 2 S. 4 u. 5 BDSG)

Prozessablauf einer Auftragsdatenverarbeitung:


24.04.2012 l 20

10.11.2012 l 20



Die Aufgaben eines Systemadministrators sind vielfältig:

Analyse und Bewertung des

Soft- und Hardwarebedarfs

Installation und Konfiguration von

Software, Systemen und Komponenten

Planung und Überprüfung von

Sicherheitsmaßnahmen gegen

Angriffe von außen und innen

Benutzersupport

Administration von

Servern und Anwendungen

Einrichtung und Verwaltung von Nutzerkonten,

Zugriffsrechten, Verzeichnisdiensten

Dabei genießt er weitgehende technische Möglichkeiten

Was darf der Admin wissen?

Was darf das Unternehmen?


24.04.2012 l 21

10.11.2012 l 21



Mögliche Konsequenzen bei Verstößen gegen den Datenschutz:

Ordnungsgeld / Strafrecht

Für den Betrieb: Stillegung der EDV

Erschwernisse durch Prüfungen / Presse im Tagesgeschäft

Bußgeld von € 50.000 bis € 250.000 (auch mehr möglich)

Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe

§ 43 GmbHG; § 91 AKtienG (persönliche Haftung)

…das könnte passieren …. das wird passieren


24.04.2012 l 22

10.11.2012 l 22



Fernmeldegeheimnis

Einsicht in den Inhalt der Kommunikation ist nicht zulässig! Auch nicht dann,

wenn es für die ordnungsgemäße Erledigung der Dienstleistung

erforderlich erscheint, z.B. zur

Störungsbeseitigung (Viren etc.)

Sicherstellung eines reibungslosen Kommunikationsablaufs

Grundrechtlicher Schutz aus Art. 10 GG

Ausdrückliches Ziel des TKG (§ 88)

Verpflichtet sind alle Personen, die geschäftsmäßig

Telekommunikationsdienste erbringen oder daran mitwirken.

Geschützt sind alle natürlichen und juristischen Personen.


24.04.2012 l 23

10.11.2012 l 23


► Das Fernmeldegeheimnis „infiziert“ damit das Mailpostfach und die Internetlogfiles!

Bei Duldung oder Erlaubnis der privaten Nutzung ohne spezifische rechtliche Regelung

ergeben sich technische, rechtliche und betriebliche Probleme:

Aufgrund § 88 TKG und § 206 StGB generell:

Spamfilterung unzulässig

Logfilespeicherung und Auswertung unzulässig beides sind unabdingbare technische Sicherheitsmaßnahmen zum Schutz der IT-Systeme eines Unternehmens

Kontrolle der Nutzungsvorgaben unzulässig! hierzu ist ein AG aber aufgrund gesetzlicher Vorgaben verpflichtet

Bei Abwesenheit des AN:

Einsichtnahme in Maileingang durch AG stets unzulässig!

Wichtige Geschäftsmails nicht einsehbar


E-Mail- und Internetzugang sind Betriebsmittel zur Erbringung der

Arbeitsleistung. Mit Bereitstellung privater Nutzung wird der Arbeitgeber zum

geschäftsmäßigen TK-Anbieter (E-Mail - § 3 Nr. 10 TKG); Telemedienanbieter

(Internet - § 2 (1) TMG)


24.04.2012 l 24

10.11.2012 l 24


Bei erlaubter privater Nutzung steht die gesamte Kommunikation unter

dem Schutzbereich des § 206 StGB


§ 206 StGB Verletzung des Post- oder Fernmeldegeheimnisses

Zusätzlich: Persönliche Haftung des Täters (Admin)

Berufung auf Anweisungen kommt nicht in Betracht!


24.04.2012 l 25

10.11.2012 l 25


Eine der häufigsten Fragen im Social Web: „Wo bist Du gerade?“

Foursquare bietet seinen Usern die Möglichkeit „major“ eines Clubs oder Restaurants zu

werden. Imbissbudenbesitzer, Clubs oder Restaurants können dann Rabatte oder

Bonusversprechen an den Status auf Foursquare knüpfen

Foursquare ist mit Facebook und Twitter verbunden. Das Check-In-Prinzip ist sehr lukrativ,

da andere Geokoordinaten nicht exakt genug sind

Negative Folge: „Check-In-Stalkers“

Werden Sie doch virtueller Bürgermeister

Exkurs in die digitale Welt


24.04.2012 l 26

10.11.2012 l 26



Was kann ich mit geklauten Daten verdienen?


24.04.2012 l 27

10.11.2012 l 27



Was kann ich mit geklauten Daten verdienen?


24.04.2012 l 28

10.11.2012 l 28



Datenschutz weltweit – Übersicht forrester heatmap


24.04.2012 l 29

10.11.2012 l 29



Keine Immunität für Administratoren

Aufgabe von Administratoren ist es zwar, Vertraulichkeit, Integrität und

Verfügbarkeit von Informationen sicherzustellen. Allerdings zählt dazu nicht,

die verschiedenen Inhalte einzusehen oder gar auszuwerten.

Beschäftigt ein Unternehmen mehr als einen Administrator, sollten die

Admin Rollen in unterschiedliche Bereiche aufgeteilt werden.

Alle Rollen sollten aber im Notfall auf jeden Admin übertragbar sein.

Administratoren sollten nur die Passwörter kennen, die sie für die Erfüllung

Ihrer routinemäßigen Aufgaben benötigen.

Fazit: So viel Einsichtsrechte wie nötig, so wenig wie möglich!

(Need to Know-Prinzip)


24.04.2012 l 30

10.11.2012 l 30



Auswertung von Logfiles und Protokollen

Remotezugriff auf einen PC, insbesondere Spiegelung einer

Benutzersitzung ohne vorherige Information des Anwenders

Einspielen, Kopieren, Einsehen oder Löschen von Daten mittels

der Standard-Adminfreigaben des Betriebssystems oder anderer

Funktionen ohne vorherige Information des Anwenders

Zugriff oder Einrichtung von Zugriffsrechten auf das

E-Mail-Postfach eines Anwenders

Zugriff oder Einrichtung von Zugriffsrechten auf das Home-

Verzeichnis eines Anwenders ohne vorherige Information des

Anwenders

Nutzung jeder Funktionalität gleich welcher Art, die einen

unbemerkten Zugriff auf einen PC ermöglicht


24.04.2012 l 31

10.11.2012 l 31


IT-Projektmanagement

Exkurs ins Projektmanagement

Schritt 1

Begeisterung

Schritt 3

Ernüchterung

Schritt 6

Auszeichnung

des

Nichtbeteiligten

Schritt 5

Bestrafung des

Unschuldigen

Schritt 2

Verwirrung

Ziel Start Die 6 typischen Steps im Projektmanagement

Schritt 4

Suche des

Schuldigen


24.04.2012 l 32

10.11.2012 l 32


IT-Projektmanagement

Exkurs ins Projektmanagement

Bei einem IT-Projekt gibt es

personelle Risiken (beteiligte Personen)

fachliche Risiken

methodische Risiken (Vorgehensweise/Planung).

Zur Info:

ca. 25% aller IT-Projekte scheitern vollständig, ca. 50% werden unter Überschreitung der

geplanten Kosten und/oder der geplanten Termine leidlich erfolgreich beendet, nur ca.

25% „gelingen“ im engeren Sinne.


24.04.2012 l 33

10.11.2012 l 33



Die Top-6-Liste verbotener Aktivitäten von IT Mitarbeitern

Quelle: Studie BalaBit IT Security

54

48

29 25

16 15

0

10

20

30

40

50

60

Herunterladen illegalerInhalte am Arbeitsplatz

Das Umgehen vonSicherheitsrichtlinien

(Firewall etc.)

Die Mitnahme vonUnternehmensdaten

Durchsuchen vertraulicherDokumente

Lesen von E-Mails derMitarbeiter untereinander

Veränderung vonProtokollen zum eigenen

Schutz

Anzahl in %


24.04.2012 l 34

10.11.2012 l 34


2. Exkurs Marketing




5. Handlungshilfen


24.04.2012 l 35

10.11.2012 l 35


Gibt es eine Möglichkeit digital seine Daten zu verschleiern oder sogar

Selbstmord zu begehen?

Aus der Praxis: Beispiele

Die Mobilfunknummer ist heute einer der ersten Zugänge zum Kunden. Sie wird für

Webeanrufe, SMS oder aber auch zum Verkauf an Dritte verwendet. Was tun, wenn der

Anbieter nicht so vertrauensvoll wirkt?

Nutzen Sie Frank geht ran: http://frank-geht-ran.de/

Neben der Löschung seiner accounts im Web gibt es auch Foren oder Dienste die

genutzt werden können:

How to permanently delete your facebook account:

http://www.facebook.com/help/contact.php?show_form=delete_account

http://frank-geht-ran.de/









http://www.facebook.com/help/contact.php?show_form=delete_account


24.04.2012 l 36

10.11.2012 l 36


Mögliche Add-Ons zum Schutz der Privatsphäre sind unter www.ghostery.com oder

www.adblockplus.de abrufbar!

Bin ich anonym im Netz!

Aus der Praxis: Beispiele

http://www.ghostery.com/

http://www.adblockplus.de/


24.04.2012 l 37

10.11.2012 l 37


2. Exkurs Marketing


4. Ende der Schonfrist

1. Vorstellung DATATREE AG

5. Fragen und Handlungshilfen

2. Exkurs Marketing



1. Vorstellung DATATREE AG

5. Fragen und Handlungshilfen


24.04.2012 l 38

10.11.2012 l 38


Handlungshilfen

Was ist zu tun, wenn..

…der Bauch sich meldet?

Klären Sie folgende Fragen:

Grundsätzlich erste Frage: Auf welcher Grundlage?

Schriftliche Anweisung

Erklären Sie sich mit keiner Maßnahmen einverstanden!

Protokollieren Sie den Vorgang!!

3 Dinge schaffen: Fakten, Fakten, Fakten!


24.04.2012 l 39

10.11.2012 l 39


Offene Diskussion

und Fragen


24.04.2012 l 40

10.11.2012 l 40


DATATREE AG

Bernd Fuhlert

Heubesstraße 10

40597 Düsseldorf

Telefon +49 (211) 598947 -50

Fax +49 (211) 598947 - 80

Vielen Dank

für Ihre Aufmerksamkeit!

Business

FOM Vortrag Bernd Fuhlert April 2013