Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Tagungsband AK Technik-Workshop 2015 „Das Standard-Datenschutzmodell – der Weg vom Recht zur Technik"

Im April 2015 hatte der AK Technik eingeladen, um den Stand der Entwicklung des Standard-Datenschutzmodells (SDM) zu erläutern und zur Diskussion zu stellen. Die Datenschutzkonferenz hat den AK Technik beauftragt, das SDM zu entwickeln. Ziel des SDM ist es, die rechtlichen Anforderungen der Datenschutzgesetzgebung von Bund und Ländern in die Gewährleistungsziele Datensparsamkeit, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit zu überführen und daraus einen Katalog mit standardisierten Datenschutzmaßnahmen abzuleiten. Auf diese Weise lassen sich aus den rechtlichen Anforderungen insbesondere Maßnahmen zur Gewährleistung eines angemessenen Datenschutzes ableiten. Da sich das SDM methodisch an den IT‐Grundschutz anlehnt, können auch Maßnahmen zur Gewährleistung der erforderlichen Informationssicherheit ausgewählt und auf ihre Datenschutzkonformität und Ordnungsmäßigkeit hin bewertet werden. Im Ergebnis soll das SDM auch bewirken, dass die datenschutzrechtlichen Anforderungen möglichst bundesweit einheitlich und für die verantwortlichen Stellen leicht nachvollziehbar sind. 

Das SDM soll auch dazu beitragen, dass die deutschen Datenschutzaufsichtsbehörden auf europäischer Ebene mit einer Stimme sprechen. Das SDM soll mit Blick auf die Entwürfe der europäischen Datenschutz‐Grundverordnung einen Weg aufzeigen, wie auch künftig ein an Grundrechten orientierter Datenschutz durchgesetzt werden kann. Auch vor diesem Hintergrund wird das SDM ins Englische übersetzt. Eine Kurzversion der Übersetzung ist diesem Tagungsband beigefügt.

2-11/2011

Rezertifiziert am 13.11.2015
Befristet bis 13.11.2015

Erstzertifizierung am 01.11.2011

Lagerverwaltungssoftware, die Prozesse der Aktenarchivierung in strukturierten Lagern unterstützt

4-11/2015

Zertifiziert am 03.11.2015
Befristet bis 03.11.2017

Patienenerfassungs- und Protokollsoftware zur Erstdokumentation und Protokollierung von Rettungsdiensteinsätzen

06-11/2012

Rezertifiziert am 03.11.2015
Befristet bis: 03.11.2017
Erstzertifizierung: 29.11.2012

Technische Realisierung des Abrechnungs- und Verwaltungsverfahrens von Nachbaugebühren

04-06/2013

Rezertifiziert am 06.10.2015
Befristet bis 06.10.2017

Erstzertifizierung: 05.06.2013

Analyse der Kassendaten zur Aufdeckung von Manipulationen im Kassierprozess

Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf „Safe Harbor“ („Sicherer Hafen“) berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen. 

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.

Mit der Bestellung von Barbara Körffer als Stellvertreterin der Landesbeauftragten für Datenschutz Marit Hansen ist die neue Leitung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) nun komplett.

Die parteilose Juristin Barbara Körffer bringt eine langjährige berufliche Erfahrung im Datenschutz mit und ist sowohl mit dem ULD als auch mit der öffentlichen Verwaltung und der Wirtschaft in Schleswig-Holstein bestens vertraut. Nach Jurastudium in Hamburg und Rechtsreferendariat in Schleswig-Holstein hat sie ihre berufliche Laufbahn vor 13 Jahren im ULD begonnen und seitdem Erfahrungen im Datenschutzbereich auf Landes- und Bundesebene gesammelt. Unterbrochen von einer zweijährigen Tätigkeit im Datenschutzreferat des Bundesministeriums der Justiz hat sie im ULD als Referatsleiterin vor allem den Bereich Polizei, Justiz und Verfassungsschutz bearbeitet.

Die abgelaufene Amtszeit von Dr. Thilo Weichert als Landesbeauftragter für Datenschutz Schleswig-Holstein wurde heute im Schleswig-Holstein-Saal des Landtags gewürdigt. Gleichzeitig wurde Marit Hansen als seine Nachfolgerin im Amt begrüßt. Nachfolgend einige Fotos der Veranstaltung:

Angriffe auf informationstechnische (IT) Systeme gehören zur Tagesordnung. Wer seinen Rechner nicht schützt, kann schnell Probleme mit Viren und Trojanern bekommen. Dass PCs und Smartphones nicht besonders sicher sind, haben die meisten schon einmal gehört. Aber wie sieht es mit den IT-Infrastrukturen aus, also den Systemen und Verfahren, die als Rückgrat der digitalen Welt und als Fundament für vielfältige Anwendung dienen? Wie vertrauenswürdig sind diese Infrastrukturen, beispielsweise für E-Mail, E-Commerce oder elektronische Angebote der Verwaltung angesichts der Bedrohungen durch Cyber-Kriminelle und der Ausspähung und Manipulation durch Geheimdienste? Und wie lässt sich mehr Vertrauenswürdigkeit erreichen?

Wenn Sie vertrauliche Informationen per E-Mail an das ULD versenden möchten, tun Sie dies bitte ausschließlich verschlüsselt.

Wir setzen auf Verschlüsselung nach dem Standard OpenPGP und nutzen zu diesem Zweck das Programm GnuPG.  Die notwendige Software können Sie kostenlos herunterladen. Die GnuPG-Webseite_[Extern] empfiehlt zur Installation die folgenden beiden Programmpakete. Sie enthalten neben dem eigentlichen Verschlüsselungsprogramm auch die notwendige Integration in Betriebssystem und Mailprogramm:

• Windows: GPG4Win_[Extern]
• Mac: GPG Suite_[Extern]

Wenn Sie einen Webmail-Dienst über Ihren Browser verwenden, können Sie die Browser-Erweiterung Mailvelope nutzen:

• Mailvelope für Firefox und Chrome_[Extern]

Zur Kommunikation mit dem ULD benötigen Sie schließlich unseren öffentlichen OpenPGP-Schlüssel:

• Öffentlicher Schlüssel des ULD

• Den Fingerprint zur Überprüfung unseres Schlüssels finden Sie im Impressum.
• Bitte denken Sie daran, uns Ihren öffentlichen Schlüssel mitzuteilen,
  wenn Sie verschlüsselt mit uns kommunizieren möchten!

Hinweis: Am 14. Mai 2018 wurde eine Sicherheitslücke im Zusammenspiel von Mailprogrammen und Verschlüsselungs-Plugins bekannt. Die "EFAIL" getaufte Lücke nutzt Schwächen sowohl des OpenPGP- als auch des S/MIME-Protokolls aus.

Grundsätzlich sollten Sie die Darstellung von HTML-Mails sowie das Nachladen externer Inhalte in Nachrichten in Ihrem Mailprogramm deaktivieren und auf aktuelle Versionen von Mailprogramm und Verschlüsselungsplugins achten. Bei Beachtung dieser Maßnahmen besteht aktuell kein Grund, auf GPG-verschlüsselte Kommunikation zu verzichten.