| 23. Tätigkeitsbericht (2001) |
|
Stichworte kurz erklärt
Im Wortlaut: § 10 Abs. 4 LDSG
Die oder der behördliche Datenschutzbeauftragte überwacht und unterstützt die Einhaltung der datenschutzrechtlichen Vorschriften bei der Daten verarbeitenden Stelle. Sie oder er hat insbesondere
- auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Datenverarbeitungsmaßnahmen hinzuwirken,
- die Beschäftigten der Daten verarbeitenden Stelle mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
- die Daten verarbeitende Stelle bei der Gestaltung und Auswahl von Verfahren zur Verarbeitung personenbezogener Daten zu beraten und bei der Einführung neuer Verfahren oder der Änderung bestehender Verfahren auf die Einhaltung der einschlägigen Vorschriften hinzuwirken,
- das Verzeichnis nach § 7 Abs. 1 zu führen und zur Einsicht bereitzuhalten,
- die Vorabkontrolle nach § 9 Abs. 1 durchzuführen.
In Zweifelsfällen hat sie oder er das Unabhängige Landeszentrum für Datenschutz zu hören.
Spiegel-Online 20/2000:
Das wahre Gefahrenpotenzial liegt nicht in Viren, sondern in unserem Umgang mit E-Mail-Attachments. Word-Dokumente (".doc.") können Makro-Viren enthalten. Man sollte grundsätzlich keine Dokumente öffnen, die man nicht angefordert hat. Für Word-Formatvorlagen (".dot") gilt dasselbe. Rich-Text-Dokumente (".rtf") gelten als sicher, sind es aber nicht, wenn sie Grafiken, Bilder und andere Zusätze enthalten. Man sollte die Annahme solcher Dokumente im Zweifelsfall verweigern. Visual-Basic Scripts (".vbs") sind gefährlich. Nie öffnen: Eine "vbs"-Datei hat nichts in einer E-Mail zu suchen. Ausführbare Programmdateien (".com" und ".exe" sind potenzielle Killer. Nie öffnen, außer man hat die betreffende Datei bestellt. Ganz primitiv, aber hoch effektiv: Stapelverarbeitungsdateien (".bat") sind die einfachste Form, einen Rechner zu attackieren. Das Anklicken der batch-Datei setzt eine Befehlsfolge in Gang. Immer mehr User verschicken per E-Mail "htm"- und "html"-Dateien. Sie gelten als harmlos, sind aber potenziell gefährlich. Html-Dateien können Java-Scripte enthalten, die eine Menge Schaden anrichten können. Ist der User beim Öffnen der Mail Online, könnte sich die Html-Datei ActiveX oder Java-Inhalte von Servern im Internet abholen oder "Trojaner" installieren. Wer "nur" E-Mails empfängt und keine Attachments öffnet, ist sicher.
Die Welt 31.10.2000
Was ist zu tun? Die Antwort mag in einer Zeit der Online-Euphorie ketzerisch klingen, aber sie kann nicht anders lauten als: Gehen Sie offline! Trennen Sie Ihr Intranet vom Internet! Web-Surfing und E-Mail-Versand vom Arbeitsplatzrechner aus sind zwar bequem, aus sicherheitstechnischer Sicht aber unverantwortlich. Firewalls und Content-Scanner für den ankommenden und abgehenden Internet-Verkehr?" Vergessen Sie's. Ein hinreichend geschickt programmiertes Trojanisches Pferd ist kaum zu entdecken und kann seine Kommunikation mit der Außenwelt auch über die komplizierteste Firewall abwickeln.
KES Dezember 2000
Management verschläft Sicherheit ... 22.000 DM pro Jahr und Mitarbeiter werden derzeit in den Unternehmen im Schnitt für die IT investiert. Nur rund ein Dreißigstel davon, 800 DM, wird für die IT-Sicherheit ausgegeben.
§ 189 Abs. 2 Satz 3 LVwG
Entfällt der dem Ermittlungsverfahren zugrunde liegende Verdacht, sind die Daten zu löschen.
Im Wortlaut: Kps-Richtlinie
Im Falle eines rechtskräftigen Freispruchs sind die Unterlagen [...] auszusondern, sofern nicht anhand des Urteils festgestellt wird, dass die Voraussetzungen gem. § 189 Abs. 1 LVwG weiterhin gegeben sind.
Im Wortlaut: § 77 Abs. 1 Betriebsverfassungsgesetz 1952
Bei Gesellschaften mit beschränkter Haftung ... mit mehr als fünfhundert Arbeitnehmern ist ein Aufsichtsrat zu bilden. Seine Zusammensetzung sowie seine Rechte und Pflichten bestimmen sich nach,... §§ 95 bis 114, ... § 171, ... des Aktiengesetzes...
§ 111 Abs. 1 Aktiengesetz
Der Aufsichtsrat hat die Geschäftsführung zu überwachen.
§ 171 Abs. 1 Satz 1 Aktiengesetz
Der Aufsichtsrat hat den Jahresabschluss, den Lagebericht und den Vorschlag für die Verwendung des Bilanzgewinns zu prüfen...
Im Wortlaut: § 44 LDSG
Ordnungswidrig handelt, wer entgegen den Vorschriften dieses Gesetzes personenbezogene Daten, die nicht offenkundig sind, erhebt, speichert, zweckwidrig verarbeitet, verändert, übermittelt, zum Abruf bereit hält oder löscht ..... Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro geahndet werden.
Im Wortlaut:
§ 5 LDSG
.... Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen durch die Leiterin oder den Leiter der Daten verarbeitenden Stelle oder eine befugte Person freizugeben.
§ 6 LDSG
Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein, die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren.
... Die Daten verarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen.
§ 17 LDSG
(1) Lässt eine Daten verarbeitende Stelle personenbezogene Daten in ihrem Auftrag verarbeiten, bleibt sie für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.
(2) Die Daten verarbeitende Stelle hat dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden.
(3) Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle gelten die Abs. 1 bis 3 entsprechend.
Im Wortlaut: Sicherheitshinweise des Innenministeriums für Landesnetz-Teilnehmer
"Es wird hiermit ausdrücklich darauf hingewiesen, dass der Betreiber des Landesnetzes keinerlei Verantwortung für die Datensicherheit im Bereich der angeschlossenen Organisationen übernehmen kann. Die im Landesnetz getroffenen Sicherheitsmaßnahmen für das Netz und die zu transportierenden Daten wirken im Landesnetz bis zu den Übergabeschnittstellen und stellen natürlich auch einen bewertbaren Schutzfaktor für die hinter der Übergabeschnittstelle befindlichen Netze und Systeme dar. Gleichwohl sind die Bereiche der Organisation eigenverantwortlich zu schützen. Dies trifft insbesondere auf dortige Zugänge in oder aus anderen Netzen zu. Bei unsachgemäßer Behandlung solcher Zugänge besteht die Gefahr, dass sich Fremde vorhandene gültige IP-Adressen aneignen können, welche vom Landesnetz nicht als "falsch oder ungültig" erkannt, sondern wie gültige Adresse behandelt werden. Es wird daher empfohlen, bei der Notwendigkeit derartiger Zugänge einen strengen Maßstab anzulegen und die Herstellung mit hohem Sicherheitsniveau zu versehen."
Im Wortlaut: § 197 Landesverwaltungsgesetz
(1) Die Errichtung von Dateien und anderer Datensammlungen ist auf das erforderliche Maß zu beschränken. In angemessenen Abständen ist die Notwendigkeit ihrer Weiterführung oder Änderung zu prüfen. (2) Für jede Datei und andere Datensammlungen sind in einer Errichtungsanordnung mindestens festzulegen: 1. Bezeichnung, 2. Rechtsgrundlage und Zweck, 3. Personenkreis, über den Daten gespeichert werden, 4. Arten der zu speichernden Daten, 5. Arten der Daten, die der Erschließung des Datenbestandes dienen, 6. Anlieferung oder Eingabe der Daten, 7. Voraussetzungen (Anlass und Zweck), unter denen in der Datei gespeicherte Daten an welche Empfänger und in welchen Verfahren übermittelt werden, 8. Prüffristen nach Absatz 1 Satz 2 und § 196 Abs. 3 und 9. technische und organisatorische Maßnahmen nach dem Landesdatenschutzgesetz.
RegTP
Die Regulierungsbehörde hat u. a. die Aufgabe, die Telekommunikationsunternehmen zuzulassen (zu lizensieren) und deren Tätigkeit zu überwachen. Aus diesem Grund kommen offenbar viele Unternehmen den Hinweisen der Behörde nach, auch wenn diese nicht als formaler Bescheid erlassen, sondern lediglich informell ausgesprochen werden.
Im Wortlaut: § 90 TKG
(1) Wer geschäftsmäßig Telekommunikationsdienste anbietet, ist verpflichtet, Kundendateien zu führen, in die unverzüglich die Rufnummern und Rufnummernkontingente, die zur weiteren Vermarktung oder sonstigen Nutzung an andere vergeben werden, sowie Name und Anschrift der Inhaber von Rufnummern und Rufnummernkontingenten aufzunehmen sind, auch soweit diese nicht in öffentliche Verzeichnisse eingetragen sind.
Im Wortlaut: § 22 Kunsturheberrechtsgesetz
Recht am eigenen Bilde
Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zu Schau gestellt werden. Die Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete dafür, daß er sich abbilden ließ, eine Entlohnung erhielt. Nach dem Tode des Abgebildeten bedarf es bis zum Ablaufe von 10 Jahren der Einwilligung der Angehörigen des Abgebildeten. Angehörige im Sinne dieses Gesetzes sind der überlebende Ehegatte und die Kinder des Abgebildeten, und wenn weder ein Ehegatte noch Kinder vorhanden sind, die Eltern des Abgebildeten.
Verbindungsdaten
Verbindungsdaten sind die Informationen über die näheren Umstände der Telekommunikation. Dazu gehörden die Beteiligung bestimmter Personen, die anrufende und angerufene Nummer, Zeit und Dauer der Verbindung, bei der Mobiltelefonie auch die Funkzelle bzw. der Ort, vond em aus kommuniziert wurde. Auc Daten über erfolglose Verbindungsversuche sind Verbindungsdaten.
P3P
P3P steht für "Platform for Privacy Preferences Project". Damit können Web-Sites auf einfache Weise ihre Privacy Policy nach einem einheitlichen Schema ausdrücken, sodass sie von dem Nutzerrechner ausgewertet werden kann. Die Nutzerin oder der Nutzer entscheidet dann, ob sie oder er die Web-Site unter den gegebenen Bedingungen besuchen möchte oder nicht.
Open Source
Open Source bedeutet "offene Quelle". In Open-Source-Projekten werden im Gegensatz zur Closed-Source-Software-Entwicklung, bei der der Programmquellcode als zu verbergendes Geschäftsgeheimnis verstanden wird, die Programminterna frühzeitig allen Interessierten offen gelegt. Deise sind gleichzeitig zur Mitarbeit an der Entwicklung aufgerufen. In einigen Bereichen, gerade im Internet, haben die kostenlosen Open-Source-Produkte schon weite Verbreitung gefunden und sich zu De-facto-Standards entwickelt.
Virtuelles Datenschutzbüro
Das virtuelle Datenschutzbüro ist ein gemeinsamer Service von Datenschutzinstitutionen aus aller Welt. Auf der Website findet man alle möglichen Informationen rund um den Datenschutz und kann sich an Diskussionsforen beteiligen http://www.datenschutz.de
Anonymisierung durch Mixe
Mixe sind Netzknoten, die bei der Kommunikation zwischengeschaltet werden. Sie sammeln eingehende Nachrichten, kodieren sie um und leiten diese anschließend verschlüsselt weiter. Sofern mindestens ein Mix in einer Kette aus mehreren Mixen vertrauenswürdig arbeitet, sind die darüber versandten Nachrichten anonym.
Biometrie
Durch biometrische Geräte können ganz unterschiedliche Merkmale von Menschen wie Gesicht, Fingerabdruck, Sprachprofil oder Muster der Iris, aber auch die Dynamik der Unterschrift oder des Tastaturanschlags erfasst werden, um eine automatisierte Erkennung vorzunehmen. Zur Erhöhung der (Ausfall-)Sicherheit können auch verschiedene Merkmale kombiniert werden.
SSL
SSL (Secure Socket Layer) ist ein Verschlüsselungsprotokoll, das in gängigen Internet-Browsern eingebaut ist. Damit können die übertragenen Daten auf dem Weg nicht von Unbefugten im Klartext mitgelesen werden. OpenSSL ist eine frei verfügbare Implementierung von SSL und weiteren kryptographischen Routinen. Als Spezifikation wird OpenSSL von einer unabhängigen Gruppe weiterentwickelt.
VNC
Mit dem Prinzip des VNC - Virtual Network Computing kann ein Server ferngesteuert werden: Die Tastatur- und Mauseingaben von angeschlossenen Rechnern werden an den VNC-Server übertragen, wo die eigentlichen Programme ablaufen. Die Grafikausgabe wird dabei auf diejenigen Rechner umgelenkt, von denen die Anfragen gestartet wurden. Das VNC-Programm wurde von AT&T entwickelt und liegt als Open-Source-Software vor.
Im Wortlaut: Art. 25 Absätze 2 und 6 EU- Datenschutzrichtlinie
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Staatsregeln und Sicherheitsmaßnahmen berücksichtigt.
(6) Die Kommission kann ... feststellen, dass ein Drittland auf Grund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ... hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
