Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienste. Datenschutz-Gütesiegel
|
|
- Maria Waltz
- vor 8 Jahren
- Abrufe
Transkript
1 Zertifizierungsverfahren für IT-Produkte und IT-basierte Dienste Datenschutz-Gütesiegel
2 Inhalt 1 Einleitung Vertraulichkeit personenbezogener Daten IT-Sicherheit und Datenschutz Ziele Zertifizierungsschema für das Datenschutz- Gütesiegel des ULD Zertifizierungsschema für das Datenschutz- Gütesiegel EuroPriSe Das Datenschutz-Gütesiegel ULD Das Datenschutz-Gütesiegel EuroPriSe 7 2 Bewertungsaspekte Bewertungsaspekte Datenschutz-Gütesiegel ULD Fundamentale Gesichtspunkte Rechtmäßigkeit der Datenverarbeitung Technisch-organisatorische Maßnahmen Betroffenenrechte Bewertungsaspekte Datenschutz-Gütesiegel EuroPriSe Fundamentale Gesichtspunkte Rechtmäßigkeit der Datenverarbeitung Technisch-organisatorische Maßnahmen Betroffenenrechte 13 3 Bewertungskriterien für den Datenschutz 14 4 Zertifizierung 16 5 Über TÜViT 18 6 Ansprechpartner 21
3 1 Einleitung 1.1 Vertraulichkeit personenbezogener Daten Das Erheben, Verarbeiten, Übermitteln und Nutzen von Daten ist in der Informationsgesellschaft zu einem alltäglichen und allgegenwärtigen Vorgang geworden. Werden für Kommunikations- oder Transaktionsvorgänge elektronische Dienste oder Netze genutzt, fallen dabei automatisch auch Daten über die Nutzung und über die Nutzer an. Diese personenbezogenen Daten lassen mitunter weitreichende Rückschlüsse auf die betroffenen Benutzer zu, von der einfachen Identifizierung der Person bis hin zur Kenntnis von streng vertraulich kommunizierten Daten. Dabei wird der Schutz dieser Informationen längst nicht mehr nur als ein individuelles Schutzrecht zur Wahrung der Persönlichkeitsrechte begriffen im Sinne des Rechts auf informationelle Selbstbestimmung. Unternehmen und Organisationen stellen zunehmend fest, dass ungenügender Schutz der ihnen anvertrauten Daten das Image schädigt, was existenzielle Folgen haben kann. Aber auch die Endverbraucher sind betroffen durch die mittlerweile breite Nutzung des Internets beispielsweise für Banktransaktionen, elektronische Bestellungen, Teilnahme an sozialen Netzwerken oder ganz allgemein durch das Surfen im Internet. Die Notwendigkeit, personenbezogene Daten zu schützen, wird in der Öffentlichkeit von Niemandem bestritten, auch wenn die Sensibilität für den Datenschutz noch nicht ausgeprägt bei Endverbrauchern und Organisationen vorhanden ist. Oft wird der Datenschutz dabei nur als Ergänzung von IT-Sicherheitskonzepten angesehen. Datenschutz und IT- Sicherheit sind aber eigenständige Schutzziele, die eng miteinander verzahnt sind. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 1 21
4 Der Einsatz von IT-Produkten oder IT-basierten Diensten, die für den Datenschutz geeignet sind oder die den Datenschutz fördern, kann den Schutz personenbezogener Daten unterstützen. Allerdings wird der Datenschutz nicht a priori durch den Einsatz von IT-Produkten oder IT-basierten Diensten eingehalten, die mit einem Datenschutz-Zertifikat ausgezeichnet sind. Sondern die zertifizierten IT-Produkte und IT-basierten Dienste müssen zusätzlich auch in eine entsprechende Einsatzumgebung eingebettet sein. 1.2 IT-Sicherheit und Datenschutz Die Ergebnisse von Produktprüfungen zur IT-Sicherheit, wie Evaluierungen von Sicherheitsprodukten nach ITSEC 1 bzw. CC 2 sind unzureichend für die Belange des Datenschutzes. Sie können nur für die Bewertung des Datenschutzes herangezogen werden, wenn im Rahmen dieser Prüfungen (Spezialfälle) die Erfüllung aller relevanten Datenschutz-Anforderungen nachgewiesen wird. Um den besonderen Anforderungen des Datenschutzes auf nationaler und europäischer Ebene gerecht zu werden, wurde in Deutschland vor einigen Jahren das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) eingeführt. Des Weiteren wurde im Rahmen des eten-programms der Europäischen Union das Europäische Datenschutz-Gütesiegel EuroPriSe 3 entwickelt. Beide Prüf- und Zertifizierungsschemata zielen auf die Prüfung und Zertifizierung von IT-Produkten und IT-basierten Diensten. 1 Information Technology Security Evaluation Criteria 2 Common Criteria 3 European Privacy Seal Datenschutz-Gütesiegel ULD / EuroPriSe Seite 2 21
5 1.3 Ziele Mit der Prüfung und Zertifizierung von IT-Produkten und IT-basierten Diensten gegen die nationalen und europäischen Datenschutzanforderungen soll den Endverbrauchern und den Behörden sowie den Wirtschaftsunternehmen die Möglichkeit gegeben werden, die Anforderungen des Datenschutzes im Alltag leichter zu erfüllen. Da der Einsatz oder die Nutzung eines zertifizierten IT-Produktes bzw. eines ITbasierten Dienstes nicht a priori die Erfüllung der Anforderungen des Datenschutzes darstellt, müssen begleitende technische sowie organisatorische Maßnahmen getroffen werden. 1.4 Zertifizierungsschema für das Datenschutz-Gütesiegel des ULD Ein Datenschutz-Gütesiegel kann für IT-Produkte vergeben werden, die zum Einsatz bei schleswig-holsteinischen Behörden geeignet sind. Als Produkte kommen Hardware, Soft-ware oder automatisierte Verfahren in Betracht. Letzteres sind Verfahrensabläufe, die durch Hardware, Software oder automatisierte Dateien unterstützt werden. Das Produkt muss Behörden in Schleswig-Holstein zum Kauf oder als Dienstleistung zur Verfügung stehen, da das ULD nach der gesetzlichen Konzeption das Zertifikat als Empfehlung für die schleswig-holsteinische Verwaltung ausspricht. Erforderlich ist aber nicht, dass das Produkt tatsächlich bei einer Behörde eingesetzt wird oder werden soll. Es genügt, dass ein Einsatz bei einer Behörde aufgrund der Beschaffenheit und Einsatzmöglichkeit des Produkts nicht von vornherein ausgeschlossen ist. Hersteller, die für ihr Produkt ein Gütesiegel beim ULD beantragen wollen, lassen das Produkt zunächst von einem unabhängigen Sachverständigen oder einer Prüfstelle begutachten. Der Sachverständige oder die Prüfstelle muss beim ULD anerkannt sein. Das ULD führt ein Register über die anerkannten Sachverständigen, dessen aktueller Stand auf der Homepage einsehbar ist. Durch die Anerkennung ist gewährleistet, dass die Begutachtung mit der erforderlichen Sachkunde und Unabhängigkeit durchgeführt wird. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 3 21
6 Der Sachverständige bzw. die Prüfstelle begutachtet das Produkt unter rechtlichen und technischen Gesichtspunkten. Eine Anerkennung beim ULD ist sowohl für beide Bereiche als auch nur für einen der Bereiche Recht und Technik möglich. Bei der Auswahl des Sachverständigen bzw. der Prüfstelle hat der Hersteller sicherzustellen, dass die Begutachtung in beiden Bereichen von einem anerkannten Sachverständigen erfolgt. Er wählt dafür entweder einen Gutachter aus, der für beide Bereiche Recht und Technik anerkannt ist, oder er wählt zwei verschiedene Sachverständige für jeweils einen der Bereiche, die bei der Erstellung des Gutachtens zusammen arbeiten. Die Begutachtung durch den Sachverständigen bzw. die Prüfstelle erfolgt auf Grundlage eines privaten Begutachtungsvertrags zwischen Hersteller und Gutachter. Das ULD ist an der Begutachtung nicht beteiligt. Das Ergebnis der Begutachtung fassen der oder die Gutachter in einem Gutachten zusammen. (Quelle: ULD 4 ) 1.5 Zertifizierungsschema für das Datenschutz-Gütesiegel EuroPriSe Auf europäischer Ebene wird eine Informationstechnik angestrebt, die Datenschutz durch einen integrierten Ansatz von datenschutzfreundlichen Technologien versteht, erweitert und sicherstellt. Das Zertifizierungsschema ist derart gestaltet, dass die Transparenz von IT-Produkten und IT-basierten Diensten hergestellt wird, die datenschutzkonform und - förderlich sind. Durch die Einführung eines transparenten und überprüfbaren Verfahrens, das von unabhängigen Autoritäten (Zertifizierungsstellen) überwacht wird, wird einerseits Wettbewerb initiiert und anderseits dem Verbraucher und den Unternehmen eine Orientierungshilfe gegeben. Statt Verstöße gegen Datenschutz lediglich durch die Aufsichtsbehörden zu bestrafen, bietet das Gütesiegel positive Anreize zur Implementierung und Einhaltung von Datenschutz. 4 Datenschutz-Gütesiegel ULD / EuroPriSe Seite 4 21
7 Eines der Hauptprobleme für die Informationsgesellschaft ist ein Mangel an Vertrauen in IT-Produkte und -Dienstleistungen, das durch die Möglichkeiten der elektronischen Überwachung verursacht wird. Bürger und Wirtschaftsunternehmen benötigen oftmals eine signifikante Portion Gutgläubigkeit beim Einsatz von IT-Produkten und IT-basierten Diensten mit Datenschutzrelevanz. Mit einer EuroPriSe-Zertifizierung ist eine klassische Win-win-Situation für alle Beteiligten gegeben. Der Kunde profitiert von zertifizierten Produkten und Diensten. Der Hersteller profitiert von Marktvorteilen und die Datenschutzüberwachungsbehörden profitieren von einer Entlastung bei ihren Überwachungsaufgaben. Die IT-Industrie gewinnt Vertrauen und Akzeptanz und die Gesellschaft profitiert von einem verbesserten Schutz der Grundrechte. Mit EuroPriSe existiert nicht nur ein transparentes Verfahren, sondern auch vertrauenswürdige Kriterien, nach denen IT-Produkte oder ITbasierte Dienste geprüft und bewertet werden können. Gleichzeitig unterstützt das Datenschutz-Gütesiegel den Verbraucherschutz und das Vertrauen der Verbraucher, und es liefert einen Marketing-Anreiz für Hersteller und Verkäufer von datenschutzrelevanten Gütern und Diensten. Die EuroPriSe-Zertifizierung ist durch die folgenden Merkmale gekennzeichnet: freiwillige Datenschutz-Zertifizierung, die in Europa gültig ist transparentes, nicht-bürokratisches Verfahren und vertrauenswürdige Kriterien Überwachung durch unabhängige Dritte Parteien (Zertifizierungsstellen) Datenschutz-Gütesiegel ULD / EuroPriSe Seite 5 21
8 Sichtbarkeit der Erfüllung des Datenschutzes, die für Marketing- Zwecke verfügbar ist Transparenz durch Vergleichbarkeit von Produkten mit Hilfe der öffentlichen Kurzgutachten. Auf europäischer Ebene sind technische und juristische Datenschutz- Experten durch EuroPriSe zugelassen, die ihre Fachkompetenz und ihre Zuverlässigkeit gegenüber EuroPriSe unter Beweis gestellt haben. (Quelle: EuroPriSe 5 ) 1.6 Das Datenschutz-Gütesiegel ULD Kommt das ULD auf der Grundlage des Gutachtens zu dem Ergebnis, dass das Produkt mit den Vorschriften über Datenschutz und Datensicherheit vereinbar ist, verleiht es das Datenschutz-Gütesiegel (siehe Abbildung 1). Die Entscheidung über die Verleihung ergeht durch einen Verwaltungsakt. In der Regel wird das Datenschutz-Gütesiegel befristet für die Dauer von zwei Jahren verliehen. Das Zertifizierungsverfahren beim ULD ist gebührenpflichtig. Das ULD veröffentlicht alle zertifizierten Produkte gemeinsam mit dem Kurzgutachten in einem Register auf seiner Homepage. Auf diese Weise werden die herausragenden datenschutzbezogenen Eigenschaften des Produkts sowie die wesentlichen Gründe für die Verleihung des Gütesiegels transparent gemacht. Interessierte Kunden können sich durch das Register über zertifizierte Produkte und deren Bewertungen informieren. Durch die Kurzgutachten wird ein Vergleich ähnlicher Produkte sowie ein Vergleich der unterschiedlichen datenschut z- rechtlichen Anforderungen an ein Produkt in verschiedenen Bundesländern oder Einsatzbereichen ermöglicht. 5 Datenschutz-Gütesiegel ULD / EuroPriSe Seite 6 21
9 Abbildung 1: Musterzertifikat des ULD 1.7 Das Datenschutz-Gütesiegel EuroPriSe EuroPriSe bietet Herstellern und Verkäufern von IT-Produkten und ITbasierten Diensten eine europäisches Zertifikat (siehe Abbildung 2) an, mit dem bestätigt wird, dass ein IT-Produkt oder ein IT-basierter Dienst gemäß den Europäischen Richtlinien und Regularien zum Thema Datenschutz 6 in den an EuroPriSe beteiligten europäischen Staaten konform ist. Die beteiligten Staaten sind zurzeit: Deutschland, Großbritannien, Frankreich, Spanien, Niederlande, Slowakei, Schweden und Österreich. 6 Europäische Datenschutzrichtlinie 95/46/EG und Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG Datenschutz-Gütesiegel ULD / EuroPriSe Seite 7 21
10 Das Verfahren besteht aus einer Evaluierung des IT-Produktes bzw. des IT-basierten Dienstes durch akkreditierte juristische und technische Datenschutz-Experten und eine Validierung des Prüfberichtes durch zurzeit eine unabhängige Zertifizierungsstelle beim Unabhängigen Zentrum für Datenschutz Schleswig Holstein. Schritte auf dem Weg zur Zertifizierung: Auswahl der juristischen und technischen Experten aus dem Pool, der bei EuroPriSe zugelassenen Experten Durchführung eines Workshops zur Klärung des Prüfgegenstandes und Diskussion der Evaluierung zwischen Experten und Hersteller Abklärung des Prüfgegenstandes mit der Zertifizierungsstelle Durchführung der Evaluierung durch die Experten Definition des Target of Evaluation (ToE) Erstellung des juristischen Gutachtens/Prüfberichtes Erstellung des technischen Gutachtens/Prüfberichtes Einreichung der folgenden Unterlagen durch den Hersteller / Antragsteller: die von der Zertifizierungsstelle zur Verfügung gestellte Stellungnahme zur Zertifizierung das/den von den juristischen und technischen Experten erstellten und vom Hersteller freigegebene(n) Gutachten / Prüfbericht das/den von den juristischen und technischen Experten erstellten und vom Hersteller freigegebene(n) öffentliche(n) Kurzgutachten / Kurzbericht. Die Entgelte für Evaluierung durch die Experten werden zwischen den Beteiligten individuell ausgehandelt. Zertifizierungsaufwände sind ebenfalls an die Zertifizierungsstelle zu vergüten. Die Zertifizierungsgebühren von EuroPriSe sind auf Anfrage erhältlich. Weitere Einzelheiten sind auf der EuroPriSe-Website unter verfügbar. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 8 21
11 Abbildung 2: Musterzertifikat EuroPriSe Datenschutz-Gütesiegel ULD / EuroPriSe Seite 9 21
12 2 Bewertungsaspekte In einem förmlichen Verfahren wird die Konformität eines IT-Produktes bzw. eines IT-basierten Dienstes mit dem Datenschutzrecht und den Erfordernissen der Datensicherheit geprüft. Dabei wird besonderer Wert auf die Gesichtspunkte der Datenvermeidung und Datensparsamkeit, der Datensicherheit und Revisionsfähigkeit sowie auf die Gewährleistung der Rechte der Betroffenen gelegt. Die Kriterienkataloge des ULD 7 und von EuroPriSe 8 sind in vier verschiedene Komplexe/Sets unterteilt und umfassen folgende Bewertungsaspekte: Komplex 1: Anforderungen an die Technikgestaltung, insbesondere: Datenvermeidung Transparenz Komplex 2: Zulässigkeit der Datenverarbeitung Rechtsgrundlagen Rechtmäßigkeit einzelner Phasen der Datenverarbeitung Rechtsmäßigkeit spezieller Verfahren Verpflichtungen Komplex 3: Technisch-organisatorische Maßnahmen Generelle Pflichten Technik- und produktspezifische Anforderungen Komplex 4: Betroffenenrechte Benachrichtigung, Auskunft, Transparenzgebote 7 Anforderungskatalog v 1.2 für die Begutachtung von IT-Produkten im Rahmen des Gütesiegelverfahrens beim ULD SH 8 EuroPriSe Criteria (Version November 2011) Datenschutz-Gütesiegel ULD / EuroPriSe Seite 10 21
13 2.1 Bewertungsaspekte Datenschutz-Gütesiegel ULD Fundamentale Gesichtspunkte Auf der Grundlage des festgelegten Untersuchungsobjekts (ToE) ist zu identifizieren, welche Rechtsnormen bei der Verarbeitung personenbezogener Daten zur Anwendung kommen (z.b.: BDSG, Arbeitsrecht, Medizinrecht, Telekommunikationsrecht). Diese ergeben sich unmittelbar aus dem Anwendungszusammenhang des Untersuchungsobjektes. Dabei muss der Datenschutz auch dort genügen, wo Gesetze, Verordnungen und die Rechtsprechung Lücken und Gestaltungsspielräume lassen. In einem weiteren Schritt wird geprüft, ob die festgestellten rechtlichen Anforderungen erfüllt sind Rechtmäßigkeit der Datenverarbeitung Im Datenschutzrecht gilt, dass ohne eine gesetzliche Erlaubnis oder ohne gültige Einwilligung des Betroffenen personenbezogene Daten nicht verarbeitet werden dürfen. Nach Identifikation der prüfungsrelevanten Datentypen wird für jeden Datentyp untersucht, ob die Verarbeitung im Hinblick auf den Zweck der Datenverarbeitung zulässig ist. Dabei werden auch die Anforderungen an die Datensparsamkeit im Hinblick auf den Stand der Technik berücksichtigt Technisch-organisatorische Maßnahmen Hier wird die Berücksichtigung der schutzwürdigen Belange der Personen, deren Daten verarbeitet werden, überprüft. Die Kunden eines Unternehmens haben ein Recht darauf zu erfahren, was mit ihren personenbezogenen Daten geschieht, wie sie weiterverarbeitet werden und ob es eine Möglichkeit zum Selbstdatenschutz, d.h. eine Einflussnahme auf die Verarbeitung der Daten, gibt Betroffenenrechte Die Betroffenen, dies können auch die Mitarbeiter eines Unternehmens sein, müssen darüber informiert werden, welche ihrer Daten mit welchen Prozessen verarbeitet werden. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 11 21
14 Ihnen muss transparent gemacht werden, welche Rechte und welche Auskunftsmöglichkeiten sie haben und wie ihre personenbezogenen Daten gesichert werden. Dabei muss der Datenschutz auch schon bei der Vertragsgestaltung und Arbeitsplatzbeschreibung eine wichtige Rolle spielen. 2.2 Bewertungsaspekte Datenschutz-Gütesiegel EuroPriSe Fundamentale Gesichtspunkte Der erste Komplex beschäftigt sich mit der Funktionsweise und dem technischen Design des Zertifizierungsgegenstandes. Untersucht werden dabei zunächst alle grundsätzlichen Aspekte bei der Verwendung des ToE mit dem Ziel, einen Überblick über die Verarbeitung der Daten zu gewinnen. Danach wird u. a. geprüft, ob das ToE auch so ausgelegt ist, dass so wenig personenbezogene Daten wie möglich verarbeitet werden (Datensparsamkeit), und ob die vorhandenen Möglichkeiten zur Anonymisierung und Pseudonymisierung genutzt werden. Ebenfalls zum ersten Prüfpunkt gehören Fragen zur Dokumentation und zur Transparenz der Datenverarbeitung Rechtmäßigkeit der Datenverarbeitung Im Mittelpunkt des zweiten Komplexes steht die Rechtmäßigkeit der Datenverarbeitung. Für alle verarbeiteten personenbezogenen Daten wird nach der Existenz einer Rechtsgrundlage gefragt. Gelten für das ToE die Voraussetzungen aus der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), so werden außerdem Fragen zur Rechtmäßigkeit der Verarbeitung von Verkehrs- und Standortdaten und zur vorherigen Einwilligung der Kunden im Falle von Direktwerbung ( unerbetene Nachrichten ) gestellt. Geprüft wird die Rechtmäßigkeit bei der Erhebung von Daten, bei der Übermittlung an Dritte und bei der Speicherung von Daten. Fragen zu Zweckbindung, Verhältnismäßigkeit und Richtigkeit gehören ebenso zum Bewertungskatalog wie solche zur Auftragsdatenverarbeitung und zur Übermittlung personenbezogener Daten in Drittländer. Abschließend werden Verpflichtungen zur Meldung an die zuständige Datenschutzaufsichtsbehörde und zur Vorabkontrolle bewertet. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 12 21
15 2.2.3 Technisch-organisatorische Maßnahmen Die zur Gewährleistung der Datensicherheit zu treffenden technischorganisatorischen Maßnahmen sind Prüfungsgegenstand des dritten Komplexes. Hierzu gehören allgemeine Pflichten angefangen von der Kontrolle des Zutritts zum Datenverarbeitungssystem bis zur Verhinderung eines zufälligen Datenverlustes, aber auch technische Aspekte der Löschung von Daten oder einer kundenorientierten Dokumentation. Spezielle Anforderungen zur Verschlüsselung, Anonymisierung und Pseudonymisierung werden ebenfalls thematisiert Betroffenenrechte Aus der allgemeinen Datenschutzrichtlinie (Richtlinie 95/46/EG) abgeleitet sind Fragen zum Recht auf Information und zum Recht auf Auskunft. Für den Fall, dass Daten unvollständig oder unrichtig sind, werden die Möglichkeiten zur Berichtigung, zur Löschung und zur Sperrung von Daten überprüft. Außerdem gehören Fragen zum Recht, einer Daten-verarbeitung in bestimmten Fällen zu widersprechen, zu diesem vierten Komplex. Aus der Datenschutzrichtlinie für elektronische Kommunikation sind Fragen zum Recht auf Vertraulichkeit der Kommunikation, zum Recht, über Sicherheitsrisiken informiert zu wer-den, sowie zum Recht auf Information über gespeicherte Cookies abgeleitet. Schließlich werden auch die Möglichkeiten, eine Rechnung ohne Einzelgebührennachweis zu erhalten, oder zur Rufnummernunterdrückung bewertet. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 13 21
16 3 Bewertungskriterien für den Datenschutz Für jeden Bewertungsaspekt gibt es jeweils eine Reihe von Bewertungskriterien, die im Folgenden stichwortartig zusammengefasst sind. Bewertungsaspekte Fundamentale Gesichtspunkte Rechtmäßigkeit der Datenverarbeitung Bewertungskriterien Funktionsweise Datenverarbeitungsschritte Zweckbestimmung Art der personenbezogenen Daten Verantwortlichkeiten Technisches Design Datenvermeidung Datensparsamkeit Transparenz Rechtsgrundlage für die Verarbeitung normaler personenbezogener Daten für die Verarbeitung sensitiver Daten für die Verarbeitung von Verkehrs- Standortdaten im Fall von Direktwerbung Rechtmäßigkeit spezieller Phasen Datenerhebung Datenübermittlung Datenlöschung Vereinbarkeit Zweckbindung Verhältnismäßigkeit Richtigkeit Rechtmäßigkeit spezieller Varianten Auftragsdatenverarbeitung Übermittlung in Drittländer Verpflichtungen Meldepflichten Vorabkontrolle Datenschutz-Gütesiegel ULD / EuroPriSe Seite 14 21
17 Bewertungsaspekte Technisch-organisatorische Maßnahmen Betroffenenrechte Bewertungskriterien Generelle Pflichten Zutrittskontrolle Zugangskontrolle Protokollierung Netzwerk- und Transportsicherheit Vorsorgemaßnahmen gegen Datenverlust Löschung von temporären Daten Dokumentation von Produkten und Dienstleistungen aus Kundensicht Technik- und dienstleistungsspezifische Anforderungen Verschlüsselung Anonymisierung und Pseudonymisierung Transparenz automatisierter Einzelentscheidungen Subjektive Rechte gemäß allgemeiner Datenschutzrichtlinie Recht auf Benachrichtigung Recht auf Auskunft Recht auf Berichtigung Recht auf Löschung Recht auf Sperrung Recht auf Widerspruch Subjektive Rechte gemäß Datenschutzrichtlinie für elektronische Kommunikation Recht auf Vertraulichkeit der Kommunikation Recht auf Information über Sicherheitsrisiken Recht auf Information über Cookies Datenschutz-Gütesiegel ULD / EuroPriSe Seite 15 21
18 4 Zertifizierung Abbildung 3: Zertifizierungsschema Die Bewertung der Datenschutzqualität oder -eignung erfolgt durch sachkundige Experten oder Gutachtern, die von der Zertifizierungsstelle zugelassen sind. Das Expertenteam wird in der Vorbereitungsphase aussagekräftige Unterlagen bzgl. des Zertifizierungsgegenstandes (Datenschutz-Policy, Datenschutzrichtlinien, Datenschutzerklärungen, Datentypen, Datenflüsse, Handbücher, Risikoanalysen usw.) bewerten und die Prüfungen vorbereiten. Aus diesen Unterlagen wird unter Berücksichtigung der gesetzlichen Vorgaben das ToE abgeleitet und mit dem Hersteller abgestimmt. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 16 21
19 Unter Würdigung der gesetzlichen Regularien wird dann das juristische Gutachten erstellt, was seinerseits wiederum Anforderungen an die technische Umsetzung enthält. Unter Beachtung dieser technischen Anforderungen wird das ToE von den technischen Gutachtern hinterfragt. Es werden die technischen Test und Prüfungen festgelegt. Vor Ort wird von den technischen Gutachtern die Datenerhebung, -verarbeitung und - übertragung analysiert und in Interviews und Stichproben zum technischorganisatorischen Umfeld des Untersuchungsgegenstands verifiziert. In der ergänzenden, tiefer gehenden Sicherheits-technischen Untersuchung wird die Realisierung der technischen Datenschutzanforderungen überprüft. Abschließend wird das technische Gutachten verfasst, das die Erfüllung der Anforderungen dokumentiert und ggf. auch Verbesserungspotenzial in Bezug auf den Datenschutz herausarbeitet. Nach Vorlage und Validierung des technischen sowie des juristischen Gutachtens, die die Erfüllung der relevanten Datenschutzanforderungen bestätigt, wird von der Zertifizierungsstelle das Datenschutz-Gütesiegel ausgestellt, das zur Verwendung in der Öffentlichkeitsarbeit und im Marketing berechtigt. Die Gültigkeitsdauer des Zertifikats beträgt zwei Jahre. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 17 21
20 5 Über TÜViT Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT- Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Mobile Security, Industrial Security, Penetrationstests, Bewertung von Informationssicherheits-Managementsystemen nach ISO/IEC sowie Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR , BSI-TR , BSI-TR 03132, BSI TR und BSI TR Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC Lizenzierte Auditoren für D Datenschutz-Gütesiegel ULD / EuroPriSe Seite 18 21
21 Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO , DIN EN ISO , DIN ISO/IEC 25051, DIN EN ISO und ISO Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und Sicherheitstechnik nach DIN EN ISO/IEC 17065:2013 Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) Datenschutz-Gütesiegel ULD / EuroPriSe Seite 19 21
22 National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: ) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. Datenschutz-Gütesiegel ULD / EuroPriSe Seite 20 21
23 6 Ansprechpartner Mgr. iur. Monika Wojtowicz, LL.M. IT Security - Prüfstelle für Datenschutz TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße Essen Tel.: Fax: m.wojtowicz@tuvit.de Version: 1.8 Datenschutz-Gütesiegel ULD / EuroPriSe Seite 21 21
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrDas KMU Quick-Assessment. IT-Sicherheit für den Mittelstand
Das KMU Quick-Assessment IT-Sicherheit für den Mittelstand Inhalt 1 Einleitung... 1 2 Ablauf des KMU Quick-Assessments... 2 2.2 Vorbereitungsphase... 3 2.3 Vor-Ort-Phase... 3 2.3.2 Eröffnung... 4 2.3.3
MehrPersonal- und Kundendaten Datenschutz in Werbeagenturen
Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von
MehrBeraten statt prüfen Betrieblicher Datenschutzbeauftragter
Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrBeraten statt prüfen Behördlicher Datenschutzbeauftragter
Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrAnlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7
Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems
MehrVerordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen
Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation
MehrPersonal- und Kundendaten Datenschutz bei Energieversorgern
Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,
MehrPersonal- und Kundendaten Datenschutz im Einzelhandel
Personal- und Kundendaten Datenschutz im Einzelhandel Datenschutz im Einzelhandel Im Einzelhandel stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung von
MehrDatenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits
Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren
MehrErfahrungen mit dem Datenschutzaudit in Schleswig-Holstein
Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein Barbara Körffer Dr. Thomas Probst Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel www.datenschutzzentrum.de Einführung von
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrPersonal- und Patientendaten Datenschutz in Krankenhäusern
Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für
MehrVertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de
Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung
MehrWAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
Mehr«Zertifizierter» Datenschutz
«Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrEinführung in die Datenerfassung und in den Datenschutz
Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrDatenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrDatenschutz der große Bruder der IT-Sicherheit
Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrDie Zukunft des Melderegisters in Sozialen Medien oder als Open Data?
Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data? Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 12. Mai 2012 Anzusprechende Themen: Open Data vs. Meldegeheimnis Datenschutzrechtlich
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrHUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik
HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik Vortrag im Seminar Designing for Privacy (Theorie und Praxis datenschutzfördernder Technik) Benjamin Kees
MehrDatenschutz-Management
Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb
MehrDatenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing
Datenschutzkonforme digitale Patientenakten im Outsourcing AuthentiDate International AG Referent: Alfonso Concellón Copyright 2000-2010, AuthentiDate International AG Datenschutzkonforme digitale Patientenakten
MehrBefragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher
Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist vom Bundesamt für Ernährung und Landwirtschaft beauftragt worden,
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrMehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.
Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen. Immer schon ein gutes Zeichen. Das TÜV Rheinland Prüfzeichen. Es steht für Sicherheit und Qualität. Bei Herstellern, Handel
MehrSoftware-Entwicklungsprozesse zertifizieren
VDE-MedTech Tutorial Software-Entwicklungsprozesse zertifizieren Dipl.-Ing. Michael Bothe, MBA VDE Prüf- und Zertifizierungsinstitut GmbH BMT 2013 im Grazer Kongress 19.09.2013, 10:00-10:30 Uhr, Konferenzraum
MehrII 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team
Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des
MehrVorteile für Unternehmen durch Datenschutz-Zertifizierung
Vorteile für Unternehmen durch Datenschutz-Zertifizierung Dr. Thilo Weichert Leiter des ULD Schleswig-Holstein eco/mmr-kongress Moderner Datenschutz Berlin, Dienstag 31. März 2009 Inhalt Datenschutz schadet
MehrKursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten
Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten In dieser fünftägigen Ausbildungsreihe werden vertiefte Kenntnisse zum Datenschutzrecht vermittelt. Es werden alle Kenntnisse
MehrDatenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht
Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrAkzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Datenschutz Schleswig-Holstein Übersicht Wer oder Was ist das Unabhängige Landeszentrum für? Was bedeutet Datenschutz Compliance grundsätzlich?
MehrInhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6
Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrDatenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?
Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? 1 Herzlich willkommen! Die Themen heute: Datenschutz ein aktuelles Thema Gründe für einen guten Datenschutz Welche Grundregeln sind zu beachten?
MehrGutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH
Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023 im Auftrag der 4U GmbH datenschutz cert GmbH Februar 2011 Inhaltsverzeichnis Gutachten
MehrDatenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
MehrEinführung in den Datenschutz
Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der
MehrDatenschutz im Projekt- und Qualitätsmanagement Umfeld
Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrVerband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung
Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und
MehrDatenschutz und Datensicherung (BDSG) Inhaltsübersicht
Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit
MehrDatenschutz-Unterweisung
Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie
MehrEUROCERT. Rahmenvereinbarung
Rahmenvereinbarung Zertifizierung von Qualitätsfachpersonal, Trainer in der Aus- und Weiterbildung nach DVWO-Qualitätsmodell und nach PAS 1052 Personalzertifizierung vom Tag/Monat 2006 zwischen DVWO Dachverband
MehrPRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag
1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten
MehrRisk Management und Compliance. Datenschutz als Wettbewerbsfaktor
Risk Management und Compliance Datenschutz als Wettbewerbsfaktor Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) 3. Februar 2005 Erwartungen 2 Was bedeutet Datenschutz? Informationelle
MehrDE-MAIL DATENSCHUTZ-NACHWEIS
KURZGUTACHTEN ZUM DE-MAIL DATENSCHUTZ-NACHWEIS Version: 2.0 Prüfgegenstand: Verantwortliche Stelle: Datenschutzkonzept und dessen Umsetzung für den De-Mail- Dienst der 1 & 1 De-Mail GmbH 1 & 1 De-Mail
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrBetriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung
MehrVielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.
Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931
MehrDatenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?
Berliner Energietage 2012 Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen? Diplom-Informatiker Hanns-Wilhelm Heibey Leiter des Bereichs Informatik beim und Stellvertreter
MehrErstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016
Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz Seminar am 13.01.2016 Prof. Dr. Stephan König, Robin Ziert, Anke Hirte, 13.01.2016 Die Datenschutzbeauftragten der
MehrZentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen
Anlage 1 Zur Vereinbarung zur Übertragung der Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens Koordination Personaldienste Kommunal (KoPers-Kommunal) Stand: November
MehrZertifizierungsprogramm
Zertifizierungsprogramm Software-Qualität (Stand: Oktober 2004) DIN CERTCO Burggrafenstraße 6 10787 Berlin Tel: +49 30 2601-2108 Fax: +49 30 2601-1610 E-Mail: zentrale@dincertco.de www.dincertco.de Zertifizierungsprogramm
MehrBrands Consulting D A T E N S C H U T Z & B E R A T U N G
Datenschutzauditor (Datenschutzaudit) Autor & Herausgeber: Brands Consulting Bernhard Brands Brückenstr. 3 D- 56412 Niedererbach Telefon: + (0) 6485-6 92 90 70 Telefax: +49 (0) 6485-6 92 91 12 E- Mail:
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
MehrIMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.
IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner
MehrDatenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)
Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre
MehrGesetzliche Grundlagen des Datenschutzes
Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrDatenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &
Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrKriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2
Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO
Mehrnach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).
Information zum Verfahren zur Anerkennung von rehabilitationsspezifischen Qualitätsmanagement- Verfahren auf Ebene der BAR (gemäß 4 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB
MehrWann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?
DGSV-Kongress 2009 Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt? Sybille Andrée Betriebswirtin für und Sozialmanagement (FH-SRH) Prokuristin HSD Händschke Software
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen
und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre
MehrDer betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte
MehrDiese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung
Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße
MehrRezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt
Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße
MehrDatenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013
Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing
MehrDatenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück
Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrDatenschutz und Datensicherheit im Handwerksbetrieb
N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist
Mehr4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin
4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des
MehrPflegende Angehörige Online Ihre Plattform im Internet
Pflegende Angehörige Online Ihre Plattform im Internet Wissen Wichtiges Wissen rund um Pflege Unterstützung Professionelle Beratung Austausch und Kontakt Erfahrungen & Rat mit anderen Angehörigen austauschen
MehrBSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH
zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen
MehrIMI datenschutzgerecht nutzen!
Berliner Beauftragter für Datenschutz und Informationsfreiheit IMI datenschutzgerecht nutzen! Schulung zum Binnenmarktinformationssystem IMI, IT Dienstleistungszentrum Berlin, 6./11. Juni 2012 1 Warum
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrDatenschutzbeauftragte
MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist
Mehr