Title | Datenschutz und Datensicherheit - Zusammenfassung |
---|---|
Author | Alexia Laroutte |
Course | Datenschutz und Datensicherheit |
Institution | Technische Hochschule Mittelhessen |
Pages | 3 |
File Size | 122.5 KB |
File Type | |
Total Downloads | 91 |
Total Views | 158 |
Datenschutz und Datensicherheit - Zusammenfassung...
Datenschutz und Datensicherheit Chronologische Übersicht BDSG – Bundesdatenschutzgesetz Verwaltungsrecht -1970: erstes Datenschutzgesetz in Hessen (öffentliche Verwaltung) -1977: ursprüngliche Fassung erstes BDSG BDSG kommt dann zum Tragen, wenn es für Sachverhalt kein Spezialgesetz gibt/ dieses Lücken aufweist -1983: Volkszählungsurteil macht Novellierung notwendig, da BDSG Lücken hat informationelle Selbstbestimmung -1990: Zweites BDSG/ Begründung: Verfassungsrechtliche Anforderungen reichen nicht aus -1995: EU-Richtlinien verabschiedet -2001: Umsetzung durch drittes BDSG Reformen 2003, 2006 und vor allem 2009 -2009: weitreichende Reformen zu: Auftragsdatenverarbeitung, Äderungen beim Adresshandel, neue Befugnisse für Aufsichtsbehörden, erweiterte Bußgeldtatbestände, Beschäftigtendatenschutz, Informationspflichten bei Datenschutzverstößen, Kündigungsschutz für Datenschutzbeauftragte -2012: erste Vorlage – „Datenschutzgrundverordnung“ Vorschlag zur Überarbeitung der EU-Datenschutzrichtlinien durch Europäische Kommission -2013:Snowdens Enthüllungen -2015: Verabschiedung der EU-Datenschutzverordnung -2017: Übergangsfrist (Inkrafttreten) Datenschutzgesetz kommt als Spezialgesetz dort zum Einsatz, wo Datenschutz nicht explizit innerhalb vorhandener Gesetze geregelt wird: Telemediengesetz(TMG), Telekommunikationsgesetz(TKG), Betriebsverfassungsgesetz(BetrVG), Mutterschutzgesetz(MuschG) Wichtige Begriffe -Datensparsamkeit (nur wirklich notwendige Daten) Datenvermeidung(§3 BDSG) -Pseudonymisieren: Namen werden ausgetauscht (= Synonym/ z.B. Matrikelnummer) -Anonymisieren: Namen werden entfernt (= kein Rückbezug auf Person möglich) -Zulässigkeit der Datenerhebung(§4 BDSG): Zulässig wenn Gesetz bzw. Rechtsvorschrift oder persönliche Einwilligung gegeben ist -Beauftragter für Datenschutz(§4f. BDSG): verpflichtend, wenn Unternehmen (z.B. Praxis) mehr als 9 Beschäftigte hat, die „sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ oder ab 20 Beschäftigte, wenn „personenbezogene Daten auf andere Weise erhoben werden “. Wenn kein DSB notwendig, muss Arzt (bzw. Leiter) Aufgaben d. DSB sicherstellen Aufgaben d. DSB(§4g BDSG): zur Verfügung stellen des öffentlichen Verfahrensverzeichnisses, ordnungsgemäße Anwendung der DV-Programme, Schulung der Mitarbeiter DSB sollte erforderliche Fachkunde und Zuverlässigkeit besitzen: Rechtliche, organisatorische, betriebswirtschaftliche Grundkenntnisse, Kenntnisse d. Technik d. autom. Datenverarbeitung „Aktuelles“ zur Datenschutzverordnung -Unternehmen in- und außerhalb Europas befürchten „Mehraufwand“ Lobbyarbeit gegen DSGV durch Unternehmen, die ihr Geshäftsodell edroht sehe Google, Faeook, … -Neuer Aufschwung durch PRISM, Tempora & Co. Und nach NSAAffäre bzw. Veröffentlichungen durch E. Snowden -Standardisierte Datenschutzerklärung mit Ampel-Prinzip (Betroffene sehen, wo welch Daten verarbeitet werden) -Recht auf Löschung kein Recht auf „Vergessen-werden“
-Privacy by design: bereits bei Entwicklung werden Datenschutzbeauftragte in Gesamtkonzeption einbezogen -Privacy bydefault: Datenschutzfreundliche Grundeinstellungen -Recht auf Klage für Verbraucherschutzverbände, Bußgelderhöhungen Ärztliche Schweigepflicht (§9 Schweigepflicht SGB 5) -gilt grundsätzlich gegenüber anderen Ärzten und Angehörigen -ärztl. Schweigepflicht nicht mehr gegeben, wenn gesetzl. Vorschriften ihn verpflichten/berechtigen Daten weiterzugeben: Zweck d. Abrechnung + Abrechnungsprüfung, Qualitätssicherung, Wirtschaftlichkeitsprüfung, Übermittlung v. AU (Arbeitsunfähigkeitsbescheinigung), zur Übermittlung an MDK (Medizinischer Dienst d. KK) -bei Einverständniserklärung zur Weitergabe durch Pat. Schweigepflicht nicht verletzt Verfahrensverzeichnisse = Dokumentation vom Umgang mit personenbezogenen Daten Aufgabe d. Unternehmensleitung (Arzt, GF im MVZ/Klinikum) internes Verfahrensverzeichnis Basis für Datenschutzbeauftragte öffentliches Verfahrensverzeichnis Muss jedem auf Anfrage zur Verfügung stehen Meldepflicht Inhalt: Name/ Firma d. verantwortlichen Stelle, Inhaber/Vorstände/Geschäftsführer oder sonstige gesetzliche Leiter d. Datenverarbeitung, Anschrift d. verantwortlichen Stelle, Regelfristen für Löschung der Daten Elektronische Gesundheitskarte (eGK) “Libobay-Skandal“ (2001) als Auslöser -Politische Ziele zur Einführung der eGK: Verbesserung der medizinischen Versorgungsqualität + Arzneimittelsicherheit, Stärkung der Eigenverantwortung + Mitwirkungsbereitschaft und –initiative d. Patienten, Steigerung d. Leistungstransparenz +Wirtschaftlichkeit, Optimierung von Arbeitsprozessen + Bereitstellung v. aktuellen gesundheitsstatistischen Informationen Umsetzung: -2002: Entscheidung d. Spitzenverbände im Gesundheitswesen zur Einführung einer Gesundheitskarte (Libobay-Sakndal) -2004: Rechtliche Grundl. für Gesundheitskarte ist Gesetz zur Modernisierung d. gesetzlichen KV (GKV-Modernisierungsgesetz (GMG) §291 SGB 5) Ablösung der alten Krankenversicherungskarte (KVK) – Unterschied: Chip mit kleinem Speicherinhalt Verantwortlich für Koordination: GEMATIK (Gesellschaft für Telematikanwendungen, Gründung 2005, Sitz in Berlin) Beteiligte, Aufgaben und Grundlagen: -Gesellschafter: Leistungserbringer (Ärzte) -Gematik: spezifizierte Teilaufgaben in Einführung und Betrieb, sektorübergreifende Komponenten, stellt Interoperabilität aller Telematik-Komponenten sicher, stellt Wahrung d. Patientenrechte sicher -Industrie:fertigt Komponenten (nach Vorgaben durch gematik) -Testregionen: Umsetzung d. Telematik -Bundesministerium für Gesundheit (BMGS): Rechtsaufsicht und Anweisungen im Rahmen d. Ersatzvornahmen Unterschied KVK und eGK (bzgl. Dateninhalte) -KVK: nur Stammdaten (256 Byte) Angaben zur KK, Kassennummer, Kartennummer -eGK:Pflichtanwendungen (65 KByte) Versichertendaten, eRezept, EHIC (europäische Krankenversicherungskarte) eGK Größtes IT-Projekt der Welt eGK als „Spielball“ der Politik -eGKMaßnahme der SPD -In Hessen Kritik innerhalb d. Ärzteschaft ausgeprägt -2009: durch Bestandaufnahme überprüft sich gematik selbst
-eHealth-Gesetz: Referentenentwurf Anfang 2015 -Änderung der geforderten Anwendungen: Abgleich d. Versichertenstammdaten, Arztbriefe mit elektronischer Unterschrift, Medikationsplan Elektronischer Arztausweis -Ärztekammer = 34.000 alle anderen Ärzte (in Krankenhäusern, Pension, usw.) -KV = 10000 Vereinigung von allen niedergelassenen Kassenärzten Hessische Ärzte für Telematik: 2007: Projekt cimecs elektronische Patientenakte, Zugriff durch Ärzte mittels Signatur 2008: Landesärztekammer Hessen beschließt neuen hess. Arztausweis (Scheckkarte ohne Chip/Scheckkarte mit Chip (auf Signaturbasis)) 2009: Einrichtung eines Telematikausschusses der Landesärztekammer Hessen 2010: Landesärztekammer Hessen beginnt Projekte mit Telematik Umfeld 2012: Landesärztekammer Hessen wird IT-Dienstleiter für Bundesärztekammer 2014: KV Hessen setzt auf KV Safenet und den hess. Arztausweis für die Online-Abrechnung Elektronische Kommunikations-Standardkomponenten Karte-Kartenlesegerät-Software Signaturkarte: qualifiziertes Signaturzertifikat (ersetzt nach dt. Signaturgesetz die Schriftform (§126 BGB)), Verschlüsselungszertifikat (Verschlüsselung von e-Mails), Authentisierungszertifikat (Anmeldung an Portalen macht Userpasswort überflüssig), Attributs-Zertifikat (Arzt/ Notare/ Rechtsanwälte oder Apotheker könnten sich diese Attribute ihrer Körperschaft bestätigen lassen Verschlüsselungsverfahren Trustcenter – bieten Signaturen an 1. symmetrische Verschlüsselung: -Facharzt (key-Chiffretext) verschlüsselt mit symmetrischem Schlüssel -Hausarzt (key-Klartext) entschlüsselt mit demselben symmetrischen Schlüssel Nachteil: riesiger Aufwand in der Verwaltung, da für jeden Kommunikationspartner ein eigener Schlüssel erstellt werden muss 2. asymmetrische Verschlüsselung: -Facharzt:Klartext – mit dem publickey vom Empfänger verschlüsselt = verschlüsselter Text -Hausarzt: verschlüsselter Text – mit dem private key vom Empfänger entschlüsselt = Klartext Vorteil: deutlich weniger Verwaltungsaufwand – weniger Schlüssel Nachteil: Performance Verschlüsselung großer Daten zeitaufwendig
Besonderheiten in dem Projekt -Fortgeschrittenes „Soft-Zertifikat“: In E-Mail-Kommunikation eingebunden dient der Abbildung d. Abläufe in Arztpraxen herkömmliche Briefe mit Unterschrift weiterhin möglich „Workflow“: 1.Arzt diktiert Arztbrief 2.Praxisteam schreibt Arztbrief im EDV-System 3.Arzt unterschreibt Brief elektronisch mit qualifizierter Signatur 4.Praxisteam hängt signierten Brief im jeweiligen E-Mail-Client an E-Mail an 5.Praxisteam verschlüsselt E-Mail mit Praxiszertifikat (Softzertifikat) der Partnerpraxis oder mit öffentlichem Zertifikat d. Arztes
Die qualifizierte digitale Unterschrift Facharzt (Arztbrief mit eigenem privatem key signieren) Hausarzt (mit öffentlichem key d. Facharztes kann Unterschrift geprüft werden) Bei Kommunikation wird öffentlicher key vom Empfänger zur Verschlüsselung genutzt. Bei Unterschrift wird mit eigenem privaten key signiert und mit dem öffentlichen geprüft SSL-Verschlüsselung -SSL(Secure Socket Layer) = Gewährleistung sicherer Datenübertragung im Internet -Voraussetzung: Bereitstellung von privatem und öffentlichem key(Trust Center) mit privatem key wird Zertifikat für Server unterschrieben elektronischer Ausweis(bestätigt Identität eines PC/Person) damit fälschungssicher Vertrauen der Zertifikate bearbeiten; Importieren/ Exportieren der Personenzertifikate (Kommunikationspartner) Serverzertifikate (Zwischenzertifikate) importieren Zertifikate beantragen Aufbau einer SSL-Verbindung: Am Anfang Datenaustausch unverschlüsselt, Rechner schickt „Client Hello“ zum Server teilt Kommunikationswunsch mit | Rechner überzeugt sich von Identität d. Servers, indem Zertifikat d. öffentlichen keys (des Trustcenters) überprüft wird, welches im eigenen Browser integriert ist Server erzeugt „Session key“ und verschlüsselt diesen mit öffentlichem key des Servers Server kann mit privatem key den chiffrierten, symmetrischen sessionkey( „Master key“) entschlüsseln mit sessionkey können Server + Client verschlüsselte Nachrichten generieren. Vorabkontrolle Automatisierte Verarbeitung bestimmter Arten personenbezogener Daten §3 Abs.9 BDSG -Verarbeitung personenbezogener Daten, die dazu bestimmt sind, Persönlichkeit des Betroffenen zu bewerten Beurteilung obliegt DSB. Gesetzgeber keine Verbindlichen Regelungen Spielraum bDSB begrenzt durch Pflicht zur Ordnungsgemäßen OrganisationSchriftliche Dokumentation der Prüfungsergebnisse -DSB verpflichtet, Vorabkontrolle vorzunehmen Dritte hinzuziehen:Bei kompletter EDV- gestützten Verfahren Mitarbeiter IT Mitarbeiter mitpraktischer Erfahrungen mitVerarbeitungsprozessen verfügen Vorteil mit IT-lern: Arbeiten an Datenbanken und geben Rechte frei. Verfahrensverzeichnisse -Tätigkeitsschwerpunkt d. internen Datenschutzbeauftragten Aufgaben (§4e BDSG) - Verzeichnisse müssen auf Antrag verfügbar gemacht werden (Veröffentlichung im Internet reduziert Nachfragen) -DSB ist verpflichtet, Verzeichnisse zu führen Erstellung obliegt Fachabteilungen -regelmäßige Überprüfung der Aktualität ist erforderlich ggf. aktualisieren Einführung + Nachhaltigkeit im Unternehmen Datenschutzhandbuch: nicht gesetzlich vorgeschrieben Einweisung neuer Mitarbeiter, Schulung und Beratung von ITBenutzern Datenschutzhandbuch 1/5: Einweisung neuer Mitarbeiter, Schulung und Beratung von ITBenutzern Datenschutzhandbuch 2/5: verbindliche Verfahren auch für Ausscheiden von Mitarbeitern rechtzeitige Einweisung neuer Mitarbeiter über Schlüsselabgabe, Änderung v. Passwörtern und anderen Zugangsberechtigungen
(bis zu Rückgabe Personaldaten + Herausnahme v. Bildern aus Intern Datenschutzhandbuch 3/5: Standard-Software für PC-Arbeitsplätze ausdrückliches Verbot für Installation eigener Software Datenschutzhandbuch 4/5: Private E-Mail-Nutzung untersagt White-List und Black-List: erlaubte und nicht-erlaubte Internetseiten im Unternehmen Aufsichtsbehörden 2/4: Aufsichtsbeh. berechtigt, Abberufung d. DSB zu verlangen wenn dieser unzuverlässig oder ihm die erforderliche Fachkunde fehlt, §38 Abs. 5 BDSG Abberufung lediglich schriftlich durch Geschäftsleitung Durch Schaffung des iDSB hat Gesetzgeber staatliche Aufgabe(Überwachung der gesetzlichen Bestimmungen) auf private Institution übertragen erfordert Kontrollbefugnis (Aufsichtsbehörde)beschränkt auf automatisierte Verfahren Aufsichtsbehörden 3/4: Behörde berechtigt, Kontrolle vor Ort vorzunehmen + Erteilung von Auskünften Geschäftsführung bestimmt, wer Auskunft erteilt + im Regelfall erteilen Geschäftsleitung + iDSB Auskunft Werden geforderten Auskünfte verweigert = Tatbestand einer Ordnungswidrigkeit Bestrafung durch Bußgeld Backup und Recovery BSI (Bundesinstitut für Sicherheit in der Informationstechnik) Herausforderung: ungebremstes Datenwachstum (trotz Wachstum bei unstrukturierten Daten liegt erheblicher Teil aller Daten in Datenbanken vor) Schutz vor menschlichen Fehlern Technologiemigration + Datenformatmigration häufigste Ursachen für Datenverlust + mobilen Endgeräten: Wasserschäden, Akku leer, etc. häufigste Ursachen für Datenverlust in Systemen: Bedienfehler, Probleme bei Software-Updates, Kompatibilitätsprobleme, Viren, etc. -Backup: befasst sich mit Schutz v. Daten, Daten werden auf Backup-Medien kopiert, um sie im Falle v. Datenverlust oder – korruption wieder herstellen zu können -Archivierung: befasst sich mit Erhaltung v. Daten, dabei wird auf Langzeit-Archive kopiert, um sie für zukünftige Zugriffe verfügbar zu halten, Archive müssen effizient durchsucht werden können DMS -Restore: von Backup-Medien bedeutet Datenverlust (da alle nach einem Backup erfolgten Datenänderungen verloren sind), Wiederherstellung v. Volumes (LUNs oder Filesystemen mittels Backups (unabhängig vom Medium) auf Zeitpunkt d. Backups Ergebnis liefert ein physikalisch intaktes Volumen/Filesystem – Recovery: Restartfähige Wiederherstellung von Daten, Vor-Rollen auf möglichst aktuellen Stand mit Hilfe von Redo-Logos (Datenbanken), Zurücksetzen auf letztmöglichen Konsistenzpunkt TrueCrypt -Mount: einbinden als Partition (entschlüsseln)| Dismount: verschlüsselt und als Datei wieder ablegen Warum deutsche Cloud? In Deutschland sicherster Datenschutz...