Datenschutz CheckUp. Durchführungsschema. Version 1.0. Für Interessenten und Verantwortliche zur Qualitätssicherung im Datenschutz

Größe: px
Ab Seite anzeigen:

Download "Datenschutz CheckUp. Durchführungsschema. Version 1.0. Für Interessenten und Verantwortliche zur Qualitätssicherung im Datenschutz"

Transkript

1 Datenschutz CheckUp Durchführungsschema Für Interessenten und Verantwortliche zur Qualitätssicherung im Datenschutz Version 1.0

2 Inhaltsverzeichnis Vorwort Einleitung Versionshistorie Zielsetzung Adressatenkreis Anwendungsweise CheckUp-Prinzipien Ablauf des CheckUp-Prozesses Überblick über den CheckUp-Prozess Zielsetzung und Umfang des Datenschutz-CheckUp Rollen und Zuständigkeiten im CheckUp-Prozess Erforderliche Referenzdokumente Phasen des Datenschutz-CheckUp Erstellung des CheckUp-Berichtes Datenschutz-Bescheinigung Prüfbescheinigung zum Datenschutz Re-CheckUp Praktische Hilfen CheckUp-Bericht Formale Aspekte des CheckUp-Berichts und der Arbeitspapiere Allgemeines Vorgehensweise...14 Seite 2

3 Vorwort Der Datenschutz CheckUp bietet Kreditgenossenschaften die Möglichkeit auf Grundlage einer standardisierten Vorgehensweise die erfolgreiche Umsetzung datenschutzrelevanter Bestimmungen nach innen und außen zu dokumentieren. Rechtliche Grundlagen des CheckUp-Verfahrens bilden das Bundesdatenschutzgesetz (BDSG) und die Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die im Abschnitt 7.2 die Beachtung gängiger Standards verlangen. Kriterienwerke sind der IT-Grundschutz-Baustein "Datenschutz", der vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit gemeinsam mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder sowie den Datenschutzaufsichtsbehörden der Länder erstellt wurde sowie der BSI-Standard und die Normen ISO Information technology - Security techniques - Information security management systems Requirements und ISO Information technology - Security techniques - Code of Practice for Information Security Management Um eine hohe Arbeitsqualität sicherzustellen hat sich die GenoTec GmbH grundsätzlich den Anforderungen zur Qualitätssicherung in der Wirtschaftsprüferpraxis, die in der gemeinsamen Stellungnahme VO 1/2006 von der Wirtschaftsprüferkammer und dem Institut der Wirtschaftsprüfer in Deutschland e.v. verabschiedet wurden, unterworfen. Diese Qualitätssicherungsmaßnahmen entsprechen dem International Standard on Quality Control 1 Quality Control for Firms that Perform Audits and Reviews of Historical Financial Information, and other Assurance and Related Services Engagements (ISQC 1) sowie dem International Standard on Auditing 220 Control for Audits of Historical Financial Information (ISA 220). Nach dieser Stellungnahme hat die GenoTec Regelungen geschaffen, die die Einhaltung der Berufspflichten auf dem Gebiet der Revision hinreichend sicherstellen. Damit wird den Prüfungsverbänden und Wirtschaftsprüfungsgesellschaften eine Verwertung unsers Datenschutz CheckUp- Berichts nach den einschlägigen Berufsregeln ermöglicht. Durch umfangreiche interne Qualitätssicherungsmaßnahmen stellt die GenoTec GmbH sicher, dass die Anforderungen analog der IDW VO 1/2006 und den Mindestanforderungen an das Risikomanagement (MaRisk) an die Organisation, die Abwicklung von Aufträgen und die Nachschau von Maßnahmen umgesetzt sind. Seite 3

4 1. Einleitung 1.1. Versionshistorie Datum Version Verfasser Bemerkungen GenoTec: KF Audit & Einführung Security 1.2. Zielsetzung Das vorliegende Schema zum Datenschutz-CheckUp der GenoTec beschreibt die verbindliche Vorgehensweise, wie Kreditgenossenschaften und IT-Berater die für Erlangung einer Datenschutzbescheinigung erforderlichen CheckUp-Tätigkeiten durchführen können. Das Schema dient gleichzeitig als Checkliste und Hilfsmittel für die Qualitätssicherung der GenoTec. Die CheckUp-Inhalte erstrecken sich grundsätzlich auf folgende Aspekte des Datenschutzprozesses: Überprüfung Konzeption Betrieb Umsetzung Abbildung 1: Datenschutzprozess 1.3. Adressatenkreis Dieses Dokument richtet sich vor allem an verantwortliche Projektleiter und IT-Berater der GenoTec, die einen unabhängigen Datenschutz CheckUp durchführen, um die Beachtung der Datenschutzbestimmungen durch den Auftraggeber zu bestätigen. Auch Datenschutzverantwortliche können sich einen Überblick darüber verschaffen, welche Anforderungen bei einem Datenschutz-CheckUp gestellt werden und welche Referenzdokumente zur Verfügung gestellt werden sollten. Seite 4

5 1.4. Anwendungsweise In diesem Dokument werden die Voraussetzungen und die Vorgehensweise für eine Datenschutz-Bescheinigung im Rahmen eines Datenschutz CheckUp beschrieben. Auf der Grundlage eines elektronischen echeck-dokuments bereitet sich der Projektleiter/IT- Berater auf den Vor-Ort-Einsatz vor, ehe er die konkrete Umsetzung der geforderten Anforderungen überprüft. Stellt der IT-Berater hier Defizite fest, wird die Bank darauf hingewiesen und erhält die Gelegenheit, im Rahmen des Vor-Ort-Einsatzes Nachbesserung durchführen. Dabei werden bereits etablierte Prozesse durch den IT-Berater optimiert. Werden alle Anforderungen im Rahmen des CheckUp durch den Auftraggeber erfüllt erhält er eine qualifizierte Datenschutz-Bescheinigung. Können die Nachforderungen im Vor-Ort-CheckUp nicht realisiert werden, hat der Auftraggeber die Möglichkeit, eine Nachschauprüfung zu beauftragen. Bei einem CheckUp-Ergebnis, das keine vollständige Beachtung der Datenschutzvorschriften bestätigen kann, erhält der Auftraggeber eine Bescheinigung Prüfbescheinigung zum Datenschutz die auf den CheckUp-Bericht hinweist. Initialisierung 1. Beauftragung 2. echeck-dokument übersenden 3. Liste Referenzunterlagen übersenden 4. Vor-Ort-Termin vereinbaren Durchführung 1. Auswertung echeck-dokument 2. Vorbereitung des Vor-Ort-CheckUp 3. Ermittlung Realisierungsstatus 4. Soll-Ist-Abgleich und Schwachstellen-Analyse Optimierung 1. Unmittelbare Hinweise zur Optmierung 2. Lösungsvorschläge und Muster 3. Ggf. Möglichkeiten zur Nachbesserung 4. Ggf. Nachprüfung Re-CheckUp (nach 2 Jahren eingeschränkter CheckUp möglich) Bericht und Bescheinigung 1. Ergebnispräsentation und Schlussbesprechung 2. Berichterstattung 3. Ausfertigung einer Bescheinigung 4. Interne Qualitätssicherung Abbildung 2: Datenschutz CheckUp-Prozess Die im Rahmen des Datenschutz-CheckUp erteilte Bescheinigung ist zwei Jahre gültig, nach denen die Bank ein Re-CheckUp veranlassen muss, um die kontinuierliche Umsetzung der Anforderungen weiterhin nachweisen zu können. Seite 5

6 2. CheckUp-Prinzipien Die CheckUp-Prinzipien fassen die grundlegenden Punkte des CheckUp-Prozesses zusammen. Ihre Einhaltung ist für den erfolgreichen Verlauf eines Datenschutz-CheckUp erforderlich. Die Einhaltung der CheckUp-Prinzipien ist eine Voraussetzung für nachvollziehbare, wiederholbare und vergleichbare Ergebnisse, um eine nachfolgende Datenschutzbescheinigung zu erstellen. Die folgenden Prinzipien müssen erfüllt werden: Ethisches Verhalten: Da im Datenschutzumfeld oft sensible Geschäftsprozesse und Daten zu finden sind, sind die Vertraulichkeit der Informationen und der diskrete Umgang mit den Ergebnissen des CheckUp eine wichtige Arbeitsgrundlage. Sowohl das der Auftraggeber als auch die GenoTec müssen dem IT-Berater und seinem Vorgehen vertrauen können. Sachliche Darstellung: Ein IT-Berater hat die Pflicht, seinem Auftraggeber wahrheitsgemäß und genau über die Untersuchungsergebnisse zu berichten. Dazu gehört die wahrheitsgemäße und nachvollziehbare Darstellung des Sachverhalts in den CheckUp-Feststellungen, Schlussfolgerungen und dem Datenschutz CheckUp-Bericht. Die Prüfungsergebnisse des CheckUp müssen (bei unverändertem Sachstand) wiederholbar sein. Angemessene Sorgfalt: IT-Berater der GenoTec muss bei der Durchführung des Audits mit Sorgfalt vorgehen. Sein Urteilsvermögen ist unerlässliche Voraussetzung für ein sachgerechtes und fundiertes Datenschutz-CheckUp. Hierzu gehört auch der jeweils aktuelle Kenntnisstand des Informations- und Datenschutzes beim Berater. Unabhängigkeit und Objektivität: Jeder IT-Berater der GenoTec muss regelmäßig Erklärungen zu seiner Unabhängigkeitserklärung abgeben. Wenn der IT-Berater in einer Beziehung zu der zu überprüfenden Institution oder Teilen davon steht, die einen Interessenskonflikt hervorrufen, ist anzunehmen, dass diese Unabhängigkeit nicht gegeben ist. Nachvollziehbarkeit: Alle CheckUp-Schlussfolgerungen müssen objektiv nachvollzogen werden können. Hierzu gehört eine dokumentierte und nachvollziehbare Methodik, mit der der IT-Berater zu seinen Schlussfolgerungen kommt. Nachweise: Die rationale Grundlage, um zu zuverlässigen und nachvollziehbaren CheckUp- Schlussfolgerungen in einem systematischen CheckUp-Prozess zu kommen, ist die eindeutige und folgerichtige Dokumentation der Ergebnisse. Die Nachweise müssen verifizierbar sein. Hierbei können die Ergebnisse auf Stichproben der verfügbaren Informationen beruhen, da ein CheckUp während eines begrenzten Zeitraumes und mit begrenzten Ressourcen vorgenommen wird. Die Auswahl der Stichproben muss für die Umsetzung des Datenschutzes relevant sein und in einem sinnvollen Umfang vorgenommen werden. Seite 6

7 3. Ablauf des CheckUp-Prozesses 3.1 Überblick über den CheckUp-Prozess Nachdem eine Kreditgenossenschaft Interesse an einer Überprüfung Ihrer Datenschutz- Situation bekundet hat, kann Sie die GenoTec GmbH beauftragen, auf Grundlage des vorliegenden CheckUp-Schemas die Realisierung des Datenschutzes zu überprüfen. Der IT-Berater der GenoTec dokumentiert seine Prüfergebnisse in einem Datenschutz CheckUp-Bericht, der zusammen mit den Arbeitspapieren als Grundlage für die Datenschutz-Bescheinigung der GenoTec dient. Bericht und Bescheinigung Auftrag Optimierung echeck- Datei Dokumentation Status Analyse Abbildung 3: Datenschutz CheckUp-Vorgehensweise 3.2 Zielsetzung und Umfang des Datenschutz-CheckUp Ziel des CheckUp ist die unabhängige Überprüfung der Umsetzung der Datenschutzvorgaben mit Hilfe einer standardisierten CheckUp-Methodik. Aus diesem Grund muss der IT-Berater sowohl auf die aktuelle Fassung des BDSG als auch auf die BSI-Standards zu IT-Grundschutz und den Baustein Datenschutzmanagement im IT-Grundschutz-Katalog Zugriff haben. Die Prüfung wird durch einen oder mehrere IT-Berater durchgeführt, die über eine hinreichende berufliche Qualifikation verfügen. Jedes CheckUp im Sinne dieses Dokumentes umfasst mindestens zwei Phasen: Eine Dokumenten-/eCheck-Prüfung und eine Umsetzungsprüfung vor Ort. Die Ergebnisse des CheckUp werden anschließend einer unternehmensinternen Qualitätssicherung unterzogen und bewertet. Bei im Rahmen dieses geregelten Datenschutz-CheckUp nachgewiesener Eignung der Organisation erteilt die GenoTec GmbH eine Datenschutz-Bescheinigung, die grundsätzlich zwei Jahre Seite 7

8 gültig ist. Nach zwei Jahren kann die Datenschutz-Bescheinigung nach einem Re-CheckUp um weitere 2 Jahre verlängert werden. 3.3 Rollen und Zuständigkeiten im CheckUp-Prozess Im CheckUp-Prozess gibt es drei unterschiedliche Rollen: Auftraggeber, IT-Berater; Projektleiter als befugter Vertreter des Beratungsteams Qualitätssicherung der GenoTec. Auftraggeber CheckUp Rollen GenoTec Qualitätssicherung IT-Berater/ Projektleiter Abbildung 4: Datenschutz CheckUp Rollen Der Auftraggeber setzt generell die Anforderungen des Datenschutzes um und stellt die erforderlichen Dokumente und Nachweise der Umsetzung zur Verfügung und unterstützt die IT-Berater bei der Vor-Ort-Prüfung. Er ist Initiator des CheckUp-Prozesses. Er beauftragt die GenoTec GmbH mit der Durchführung des Datenschutz-CheckUp. IT-Berater dürfen nur Themengebiete prüfen, für die sie das notwendige Fachwissen und ausreichend Erfahrung mitbringen. Im Rahmen des internen Qualitätssicherungskonzepts setzt die GenoTec nur solche Mitarbeiter ein, die fachlich und persönlich geeignet sind, ein Datenschutz- CheckUp durchzuführen. Falls weder der Projektleiter, noch die anderen IT-Berater des Teams im Einzelfall über das nötige Spezialwissen verfügen, muss der Projektleiter zur Unterstützung der Prüftätigkeiten und zur Absicherung der Prüfaussagen einen oder mehrere Fachexperten (Erfüllungsgehilfen) hinzuziehen. Zwei oder mehr IT-Berater können sich zu einem Beratungsteam zusammenschließen, um ein gemeinsames CheckUp durchzuführen. In einem solchen Fall wird ein Projektleiter von der Geschäftsführung der GenoTec bestimmt. Die Rollen und Zuständigkeiten der Teammitglieder sind zu Beginn des CheckUp-Prozesses festzulegen. Auch ein Beratungsteam kann noch Erfüllungsgehilfen zur Unterstützung hinzuziehen. Erfüllungsgehilfen müssen ebenso wie die IT-Berater Fachwissen sowie Erfahrung im Bereich Informationssicherheit und Datenschutz besitzen. Alle Mitglieder des Beratungsteams müssen im CheckUp- Bericht aufgeführt sein. Die Stelle Qualitätssicherung der GenoTec ist eine dritte Instanz, die die Qualität des Datenschutz-CheckUp und des CheckUp-Berichts gewährleistet. Sie veröffentlicht die Schemata und Interpretationen. Seite 8

9 3.4 Erforderliche Referenzdokumente Die folgenden Referenzdokumente bilden die Grundlage für den CheckUp und sind nach Möglichkeit vom Auftraggeber zur Verfügung zu stellen: 1. IT-Sicherheitsleitlinie 2. Datenschutzrichtlinie 3. Datenschutzkonzept 4. Soll-Ist-Abgleich (Datenschutz-Check) 5. Tätigkeitsberichte des Datenschutzbeauftragten 6. Tätigkeitsberichte des IT-Sicherheitsbeauftragten 7. Bestellungsurkunde Datenschutzbeauftragter 8. Stellenbeschreibung Datenschutzbeauftragter 9. Fachkundenachweis Datenschutzbeauftragter 10. Organigramm der Bank 11. Veröffentlichte Datenschutzinformationen für Mitarbeiter 12. Aktuell geplante IT-Vorhaben und Projekte 13. Öffentliches Verfahrensverzeichnis (für Jedermann) 14. Interne Verarbeitungsübersicht 15. Hard- und Softwareaufstellung 16. Übersicht und Dokumentation eigenentwickelter Anwendungen 17. Übersicht Outsourcing-Dienstleister/Auftragsdatenverarbeiter 18. Datenschutzrelevante Arbeitsanweisungen und Richtlinien, insbesondere Konzept zur IT-Nutzung Richtlinie für Benutzer Richtlinie/Anweisungen für Administratoren Berechtigungskonzept Richtlinie zur Datensicherung Richtlinien zu Internet und Archivierungsrichtlinie Notfallkonzept Virenschutzkonzept Outsourcingrichtlinie 19. Betroffenenanfragen bzw. Auskunfts-, Berichtigungs-, Sperrungs- oder Löschungsverlangen 20. Anfragen von Aufsichtsbehörden und Prüfungsinstitutionen (Verband, Bundesbank, BaFin, etc.) 21. Aufstellung regelmäßig auszuwertender Protokolldateien 22. Verpflichtungserklärungen zum Datenschutz 23. Nachweis der Unterrichtungen zum Datenschutz 24. Meldungen an Registerstellen 25. Übersicht zur Freigabe der Verfahren 26. Aufstellung durchgeführter Vorabkontrollen 27. Aufstellung eingeleiteter technisch-organisatorische Maßnahmen (gem. 9 BDSG) 28. Test- und Freigabeverfahren für Hard-/Software 29. Netzwerk-Topologie bzw. Netzwerk-Übersicht 30. Regelungen zur datenschutzgerechten Löschung/Vernichtung 31. Vernichtungs-/Löschprotokolle Seite 9

10 Dabei sind nicht in jedem Institut alle genannten Referenzdokumente vorzuhalten. Vielmehr kommt es auf die Organisationsstruktur und Betriebsgröße der einzelnen Bank an. Ersatzweise können auch andere Dokumente als die genannten für den Datenschutz CheckUp herangezogen werden. Auch ist es nicht immer erforderlich, dass eine Kreditgenossenschaft über alle Referenzdokumente verfügen muss um eine datenschutzkonforme Geschäftstätigkeit auszuführen. Der IT-Berater muss zur Ermittlung des Umsetzungs-Status darüber hinaus während des Vor- Ort-Einsatzes weitere Dokumente und Aufzeichnungen einsehen. Falls der CheckUp im Rahmen einer Re-CheckUp-Verfahrens erfolgt, muss für jedes Referenzdokument kurz herausgestellt werden, welche Veränderungen sich gegenüber dem vorhergehenden CheckUp ergeben haben. Der IT-Berater ist durch vertragliche Vereinbarung verpflichtet, im Rahmen des CheckUp- Verfahrens gewonnene Informationen streng vertraulich zu behandeln sowie Beschäftigten und Dritten Informationen nur zu geben, soweit ihre Kenntnis unbedingt notwendig und mit den vertraglichen Vereinbarungen mit dem Auftraggeber vereinbar ist. 3.5 Phasen des Datenschutz-CheckUp Jedes CheckUp setzt sich grundsätzlich aus drei getrennten, aufeinander aufbauenden Phasen zusammen. Phase 1 umfasst zunächst die Auswertung des echeck-up-dokuments, d.h. die Ermittlung von Risiken, CheckUp-Schwerpunkten und die Zusammenstellung der Referenzdokumente. Anschließend erfolgt die Ermittlung des Realisierungs-Status und dessen Analyse hinsichtlich Schwachstellen und Optimierungspotential. In Phase 2 schließt sich vor Ort eine Optimierungsberatung an, in der konkrete Maßnahmen zur Umsetzung empfohlen werden. Neben Hinweisen und Optimierungsempfehlungen werden auch Mängel (wesentliche und unwesentliche) aufgezeigt und hierfür mit den Mitarbeitern des Auftraggebers konkrete Lösungsvorschläge erarbeitet. Zeichnet sich ab, dass der Auftraggeber nicht mehr in der Lage ist, die ermittelten Schwachstellen (auch mit Unterstützung des IT-Beraters) im Verlauf des CheckUp zu beseitigen, wird mit dem Auftraggeber die weitere Vorgehensweise besprochen. Ggf. kann zu einem späteren Zeitpunkt eine (optionale) Nachschauprüfung durch die GenoTec erfolgen, die dann auch die Umsetzung mit der Aushändigung der Datenschutz-Bescheinigung bestätigen wird. Ansonsten erhält der Auftraggeber in jedem Fall eine Bescheinigung zur Durchführung des Datenschutz-CheckUp mit einem entsprechenden Hinweis auf das Ergebnis im CheckUp-Bericht. In der dritten Phase geht es um die Berichterstattung und die Präsentation des CheckUp- Ergebnisses. Neben der Darstellung der CheckUp-Feststellungen und deren Bewertung erfolgt im Rahmen einer Schlussbesprechung die Behandlung des vorläufigen CheckUp-Ergebisses. Abgeschlossen wird das CheckUp-Verfahren durch die abschließende Qualitätssicherung im Rahmen einer nachgelagerten Berichtskritik und der abschließenden Zusendung des CheckUp- Berichts mit der entsprechenden Bescheinigung. Seite 10

11 3.6 Erstellung des CheckUp-Berichtes Für jedes Datenschutz CheckUp ist vom Projektleiter ein CheckUp-Bericht zu erstellen, der alle Prüfergebnisse enthält. In Anlehnung an die Aufteilung des CheckUp-Verfahrens ist der CheckUp-Bericht in zwei Schritten zu erstellen: Im ersten Schritt dokumentiert der Bericht die Ergebnisse des Umsetzungs-Status. Im zweiten Schritt werden die vorgeschlagenen Optimierungsvorschläge dargestellt und vor der Schlussbesprechung deren Umsetzung bewertet. Das Format und die Inhalte eines CheckUp-Berichtes sind vordefiniert und werden den IT-Beratern elektronisch zur Verfügung gestellt. Die Berichts-Vorlagen unterliegen einer Versionsverwaltung und werden von der Qualitätssicherung der GenoTec freigegeben. Der CheckUp-Bericht richtet sich ausschließlich an den Auftraggeber und an sachkundige Dritte zu Revisions- und Prüfungszwecken. Die Ergebnisse des CheckUp-Berichts werden vom Beraterteam und der GenoTec vertraulich behandelt und nicht an Dritte weitergegeben. Anhand des CheckUp-Berichtes kann der Auftraggeber Abweichungen oder Verbesserungsmöglichkeiten in seinem Datenschutzprozess erkennen. Im Falle eines Erst- oder Re-CheckUp-Verfahrens dient der CheckUp-Bericht der GenoTec-Qualitätssicherung als Grundlage für die Erteilung der Datenschutzbescheinigung. Der CheckUp-Bericht wird dem Auftraggeber in Papierform ohne Unterschriften zu Verfügung gestellt. Die Datenschutz-Bescheinigung wird im Rahmen der bestehenden Vertretungsregelungen von der GenoTec unterschrieben. Auf Wunsch des Auftraggebers kann der CheckUp-Bericht auch in elektronischer Form als PDF-Dokument (ohne qualifizierter elektronischer Signatur) zur Verfügung gestellt werden. 3.7 Datenschutz-Bescheinigung Sobald der Bericht zu einem Datenschutz-CheckUp in vollständiger Fassung bei der qualitätssischernden Stelle der GenoTec vorliegt prüft der zuständige Mitarbeiter den Bericht und die Arbeitspapiere auf Einhaltung aller Vorgaben des vorliegenden CheckUp-Schemas. Diese Qualitätssicherungsmaßnahmen erfolgt mit der Zielsetzung, ein einheitliches Niveau aller CheckUp- Verfahren zu gewährleisten. Der Bericht darf sich nur auf Prüfungshandlungen des IT-Beraters stützen, die zum Zeitpunkt der Übergabe des CheckUp-Berichts nicht älter als drei Monate sind. Nachforderungen des IT- Beraters müssen innerhalb von sechs Monaten durch den Auftraggeber erfüllt werden, um dafür die Datenschutz-Bescheinigung zu erhalten. Die Nachschauprüfung darf maximal eine Nachbesserung durch den Auftraggeber nach sich ziehen. Eine Datenschutz-Bescheinigung wird nur erteilt, wenn der finale CheckUp-Bericht ein positives Gesamtvotum aufweist und durch die Qualitätssicherung der GenoTec akzeptiert wurde. Die Qualitätssicherung der GenoTec erteilt die Datenschutz-Bescheinigung und fertigt die entsprechende Urkunde mit zusätzlichen Informationen zum CheckUp-Verfahren an sowie falls gewünscht einen Bescheinigungs-Button zu Werbezwecken. Sofern der Auftraggeber einer Veröffentlichung seiner Bescheinigung zugestimmt hat, wird die Tatsache der Datenschutz- Bescheinigung auf den Internetseiten der GenoTec veröffentlicht. Eine erteilte Datenschutz-Bescheinigung ist zur dauerhaften Aufrechterhaltung mit zweijährlichen Re-CheckUp-Verfahren verbunden. Seite 11

12 Abbildung 5: Muster Datenschutz-Bescheinigung 3.8 Prüfbescheinigung zum Datenschutz Sollte das Unternehmen des Auftraggebers die Voraussetzungen für die Erteilung einer Datenschutz-Bescheinigung nicht erfüllen, wird hinsichtlich der Durchführung des Datenschutz- CheckUp eine so genannte Prüfbescheinigung zum Datenschutz ausgestellt. Dies ist allerdings nur möglich, wenn nach Auffassung des IT-Beraters und der Qualitätssicherungsstelle der GenoTec vom Auftraggeber alle wesentlichen Aspekte des betrieblichen Datenschutzes beachtet werden. Ist dies nicht der Fall verbleibt dem Auftraggeber der CheckUp- Bericht zur weiteren Umsetzung der noch fehlenden Datenschutzmaßnahmen. Abbildung 6: Muster Prüfbescheinigung zum Datenschutz Seite 12

13 3.9 Re-CheckUp Eine Datenschutz-Bescheinigung ist zwei Jahre gültig. Vor Ablauf der Gültigkeit der Bescheinigung kann ein Re-CheckUp-Verfahren durchgeführt werden. Das Re-CheckUp-Verfahren, sein Ablauf und seine Rahmenbedingungen sind einem Erst- CheckUp vergleichbar und sind sinngemäß zu übertragen, wobei Änderungen zum vorhergehenden CheckUp deutlich gemacht werden müssen. Ein im Rahmen eines Re-CheckUp erteilten Datenschutz-Bescheinigung ist wie eine Erst- Bescheinigung für zwei Jahre gültig. Seite 13

14 4. Praktische Hilfen 4.1 CheckUp-Bericht Der CheckUp-Bericht dokumentiert die Grundlagen, die Durchführung und die Ergebnisse des CheckUp-Verfahrens. Das vorläufige Ergebnis mit Feststellungen und Umsetzungsempfehlungen ist vom Projekteiter im Rahmen der Schlussbesprechung an den Auftraggeber auszuhändigen. Auf die Vorläufigkeit und die abschließende Qualitätssicherung wird ausdrücklich hingewiesen. Auf der Grundlage des CheckUp-Berichts wird über die Vergabe einer Datenschutz- Bescheinigung bzw. einer Prüfbescheinigung entschieden. Der CheckUp-Bericht und die übrigen CheckUp-Unterlagen müssen zumindest für die Gültigkeit der Bescheinigung vom Auftragnehmer aufbewahrt werden. Verantwortlich für die Aufbewahrung ist die Stelle Qualitätssicherung bei der GenoTec GmbH. Es kann jedoch vereinbart werden, dass die Unterlagen stattdessen beim Auftraggeber verwahrt werden. 4.2 Formale Aspekte des CheckUp-Berichts und der Arbeitspapiere Grundlage für den IT-Berater ist das vorliegende Dokument Schema für das Datenschutz CheckUp, die berufsüblichen Normen und Standards sowie die internen Regelungen der Geno- Tec. Die durchgeführten Prüfungen, CheckUp-Ergebnisse und -Bewertungen des IT-Beraters müssen im CheckUp-Bericht darstellt und in den gesonderten Arbeitspapieren reproduzierbar und nachvollziehbar dokumentiert werden Allgemeines Das Inhaltsverzeichnis umfasst den gesamten Bericht so dass jeder einzelne Abschnitt identifizierbar ist und so die Vollständigkeit des CheckUp-Berichtes überprüft werden kann. Alle vom IT-Berater eingesehenen Dokumente, insbesondere die Referenzdokumente sind Bestandteil der Arbeitspapiere und sind dort aufzuführen. Die Seitennummerierung ist entsprechend der eingesetzten Vorlagen so gestaltet, dass jede Seite eindeutig identifiziert werden kann. Verwendete Fachbegriffe oder Abkürzungen, die nicht allgemein gebräuchlich sind, werden je nach Verwendungsort im Bericht oder in den Arbeitspapieren erläutert Vorgehensweise Für die Dokumentation des CheckUp und der damit verbundenen Bewertung sind für alle Einzelanforderungen folgende Teilschritte notwendig: Seite 14

15 a) Referenzen und Verweise müssen eindeutig sein. Es reicht nicht aus, auf das globale Dokument - zum Beispiel. A.1 - zu verweisen, es sind die konkreten Textpassagen anzugeben bzw. zu referenzieren. b) Erläuterung der Prüfung/Aktion mit Begründung. Die einzelnen Aktionen des IT-Beraters müssen nachvollziehbar und wiederholbar dokumentiert werden. Der Berater muss die Vorgehensweise seiner Prüfung erläutern, so dass die Ergebnisse reproduzierbar sind. Die Darlegungen müssen verständlich und übersichtlich dargestellt werden. c) Votum des Projektleiters. Nach Abarbeitung der Einzelanforderungen muss ein Urteil des Projektleiters erfolgen. Das Votum muss anhand der CheckUp-Ergebnisse nachvollzogen werden können. Seite 15

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

DGR- ZN: 01 202 H/Q 02 3011 AD 2000-W0 ZN: Bericht zur jährlichen (1.) Überwachung für das Unternehmen. TORUS Acéltermékgyártó Kft.

DGR- ZN: 01 202 H/Q 02 3011 AD 2000-W0 ZN: Bericht zur jährlichen (1.) Überwachung für das Unternehmen. TORUS Acéltermékgyártó Kft. DGR- ZN: 0 202 H/Q 02 30 AD 2000-W0 ZN: Bericht zur jährlichen (.) Überwachung für das Unternehmen TORUS Acéltermékgyártó Kft. ZN: 0 202 H/Q 02 30 Seite 2 von 7. Kurzbewertung... 3 2. Zielsetzung, Auditgrundlagen

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Stand: 1. Februar 2006 Herausgeber Bundesamt für Sicherheit in der Informationstechnik Redaktion: mailto:

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz. Prüfschema für ISO 27001-Audits Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 228 99 9582-111

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de DDV-SIEGEL Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen www.ddv.de Setzen Sie auf Nummer Sicher Die Adressdienstleister in den beiden DDV-Councils

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q052 MO (2. Modul) Termin: 10.11. 12.11.2015 (2. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

FAQ-Katalog zur Musterverfahrensdokumentation

FAQ-Katalog zur Musterverfahrensdokumentation FAQ-Katalog zur Musterverfahrensdokumentation Nr. Frage Antwort 1 Befasst sich die Musterverfahrensdokumentation (MVD) auch mit der Behandlung elektronischer Dokumente (E-Rechnung, elektronische Kontoauszüge,

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Die Qualitätssicherung der Abschlussprüfung

Die Qualitätssicherung der Abschlussprüfung PEER REVIEW in Österreich als Teil der QUALITÄTSSICHERUNG der Abschlussprüfung 16.06.2004 kpmg 1 Die Qualitätssicherung der Abschlussprüfung Maßnahmen des Prüfungsbetriebes Unabhängigkeit Aus- und Weiterbildung

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG)

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG) Datenschutzrechtliche Anforderungen an Kommunen Die Bestimmungen des ThürDSG gelten für die Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 9. 13. März 2015, Berlin 14. 18. September 2015, Köln Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

amtliche bekanntmachung

amtliche bekanntmachung Nr. 908 13. März 2012 amtliche bekanntmachung Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität Bochum (RUBiKS) vom 16. Januar 2012 Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität

Mehr

Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000

Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000 VdS SCHADENVERHÜTUNG Herausgeber: Verlag: VdS Schadenverhütung VdS Schadenverhütung VdS-Merkblatt für die Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000 VdS 2522 : 2002-03

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein?

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Worauf sollten Sie achten, wenn Sie eine Inspektion benötigen? 3 Wie gewinnen Sie Vertrauen in eine 4 Wie kann das Vertrauen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

1. Qualitätssicherung bei der Organisation der Unternehmensberatung. 1.1. Unabhängigkeit, Unparteilichkeit und Besorgnis der Befangenheit Grundsatz:

1. Qualitätssicherung bei der Organisation der Unternehmensberatung. 1.1. Unabhängigkeit, Unparteilichkeit und Besorgnis der Befangenheit Grundsatz: Qualitätssicherung in der Unternehmensberatung Bei der Qualitätssicherung der Unternehmensberatung ist zwischen der Organisation der Unternehmensberatung allgemein (Ziffer 1) und der Abwicklung einzelner

Mehr

AGBs. Werbung Beschriftung Internet

AGBs. Werbung Beschriftung Internet AGBs Werbung Beschriftung Internet Allgemeine Geschäftsbedingungen (AGB) der DesignFactory AG 1. Geltung der AGB Für alle Aufträge an uns, gelten ausschliesslich die Allgemeinen Geschäftsbedingungen der

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

HINWEIS: Sehr geehrte Damen und Herren,

HINWEIS: Sehr geehrte Damen und Herren, HINWEIS: Sehr geehrte Damen und Herren, Die Darstellung des Vorgabedokumentes für die Potenzialanalyse wurde nach Drucklegung des Rotbandes durch den Arbeitskreis VDA 6.3 vereinfacht. VDA 6 Teil 3_Download_Kapitel

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Petitionsausschus s Die Vorsitzend e

Petitionsausschus s Die Vorsitzend e DEUTSCHER BUNDESTA G Petitionsausschus s Die Vorsitzend e Herrn 11011 Berlin, 21.06.201 1 Jürgen Thorwart Platz der Republik 1 Johann-Sebastian-Bach-Weg 9 Fernruf (030) 227-3525 7 Telefax (030) 227-3602

Mehr

Datenschutz Datenschutzberatung und externer DSB

Datenschutz Datenschutzberatung und externer DSB beratung und externer DSB Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Unser Konzept Informationssicherheit und als Managementaufgabe Die ganzheitliche Betrachtung der

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs.

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 09/2010 Antrag auf Anerkennung als Sachverständige(r) durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 1 DSAVO 1. Angaben zur Person 1.1 Persönliche Daten Titel/akademischer

Mehr

Datenschutzrichtlinie der SCALTEL AG

Datenschutzrichtlinie der SCALTEL AG Datenschutzrichtlinie der SCALTEL AG SCALTEL AG Buchenberger Str. 18 87448 Waltenhofen Telefon: 0831 540 54-0 Telefax: 0831 540 54-109 datenschutz@scaltel.de - nachfolgend SCALTEL AG genannt - Vertretungsberechtigter

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Allgemeine Regelungen 0-1

Allgemeine Regelungen 0-1 AR 0-1 Allgemeine Regelungen 0-1 Richtlinien für die Interne Revision der Deutschen Bundesbank (Revisionsrichtlinien) Inhaltsübersicht 1 Grundlagen 2 Verantwortung und Ziele 3 Stellung 4 Befugnisse 5 Grundsätze

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen CrediMaxx, Inhaber Mario Sparenberg CrediMaxx, Fritz-Haber-Straße 9, 06217 Merseburg 1 Allgemeines und Geltungsbereich (1) 1 Diese Geschäftsbedingungen gelten für alle gegenwärtigen

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang

Mehr

Interne Revision. Bericht gemäß 386 SGB III. Projekt eakte SGB III. Revision SGB III

Interne Revision. Bericht gemäß 386 SGB III. Projekt eakte SGB III. Revision SGB III Interne Revision Revision SGB III Bericht gemäß 386 SGB III Projekt eakte SGB III Inhaltsverzeichnis 1. Revisionsauftrag. 1 2. Zusammenfassung. 1 3. Revisionsergebnisse.. 1 3.1 Projektkostenrahmen 1 3.2

Mehr

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance

Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance Das interne Verfahrensverzeichnis Ein wichtiger Baustein der Datenschutz-Compliance SSW Schneider Schiffer Weihermüller Rechtsanwältin Tanja Senftner it-sa 2013, Nürnberg, Lawyer meets IT, 08.10.2013 22.2.2013

Mehr

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den 16.09.2015

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den 16.09.2015 DATENSCHUTZMANAGEMENT MIT VERINICE Berlin, den 16.09.2015 Ulrich Heun Geschäftsführender Gesellschafter CARMAO GmbH Agenda 1. Vorstellung CARMAO GmbH 2. Grundlagen und Aufgaben im Datenschutzmanagement

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

18.03.2011. G.Riekewolt 1. Meine Daten gehören mir! Datenschutz - ein Managementthema. Übersicht

18.03.2011. G.Riekewolt 1. Meine Daten gehören mir! Datenschutz - ein Managementthema. Übersicht - ein Managementthema beauftragte in Werkstätten für Menschen mit Behinderung Werkstätten:Messe 2011 Nürnberg, 18.03.2011 datenschutzbeaufragter (gepr.udis) datenschutzauditor (pers.cert.tüv) höfle 2 73087

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die Telekom Deutschland GmbH D-53262 Bonn Sachverständige Prüfstelle (Recht und Technik): intersoft

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

SCC DOKUMENT 023 SCP-CHECKLISTE (SICHERHEITS CERTIFIKAT PERSONALDIENSTLEISTER)

SCC DOKUMENT 023 SCP-CHECKLISTE (SICHERHEITS CERTIFIKAT PERSONALDIENSTLEISTER) SCC DOKUMENT 023 SCP-CHECKLISTE (SICHERHEITS CERTIFIKAT PERSONALDIENSTLEISTER) CHECKLISTE ZUR BEURTEILUNG DES SGU- MANAGEMENTSYSTEMS VON PERSONALDIENSTLEISTERN KOMMENTARE UND INTERPRETATIONSHILFEN AUF

Mehr