Fachforum Datenschutz 2014

Transkript

1 Fachforum Datenschutz 2014 Datensicherheit und Datenschutz - Risiken und Empfehlungen -

2 Zur Person Dipl.-Kfm. Wolf-Dietrich Richter Steuerberater CRISC (Certified in Risk and Information Systems Control) Netzwerkbetreuung / Programmierung Administration und IT-Leitung Einführung und Leitung der Abteilung IT Audit Aufbau und Leitung der Consulting-Abteilung Externer Datenschutzbeauftragter Fachforum Datenschutz 2014 I 2

3 BDO AWT / BDO AG / BDO weltweit BDO AWT GmbH München Chemnitz Mönchengladbach mittelständische Wirtschaftsprüfungsgesellschaft ca. 150 Mitarbeiter / ca. 50 Berufsträger BDO AG über Mitarbeiter, 25 Standorte in Deutschland BDO weltweit: 144 Länder, Mitarbeiter Wirtschaftsprüfung und prüfungsnahe Dienstleistungen Steuer- und wirtschaftsrechtliche Beratung Advisory Services Fachforum Datenschutz 2014 I 3

4 Agenda 1. Risiken und Sicherheitslage 2. Betrieblicher Datenschutz 3. Compliance-Maßnahmen zur IT-Sicherheit 4. Business Process Outsourcing Fachforum Datenschutz 2014 I 4

5 Risiken Systemausfälle / mangelnde Verfügbarkeit Datenverlust Datenverfälschung Unberechtigte Kenntnisnahme Wirtschaftsspionage Fachforum Datenschutz 2014 I 5

6 Sicherheitslage Finanzieller Schaden durch Industriespionage in Deutschland jährlich 11,8 Mrd. Euro in Österreich 1,6 Mrd. Euro. Fachforum Datenschutz 2014 I 6

7 Sicherheitslage Fachforum Datenschutz 2014 I 7

8 Wer kümmert sich um die IT-Sicherheit? Warum nicht auch der Datenschutzbeauftragte? Fachforum Datenschutz 2014 I 8

9 Agenda 1. Risiken und Sicherheitslage 2. Betrieblicher Datenschutz 3. Compliance-Maßnahmen zur IT-Sicherheit 4. Business Process Outsourcing Fachforum Datenschutz 2014 I 9

10 Was ist Datenschutz? Datensicherheit ist der Schutz von Daten Datenschutz ist der Schutz von Menschen... vor unberechtigter Speicherung, Kenntnisnahme und Verwendung oder sonstigem Umgang mit deren Daten. Fachforum Datenschutz 2014 I 10

11 Was ist Datenschutz? 1 Abs.1 BDSG lautet: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Fachforum Datenschutz 2014 I 11

12 Wo ist der Datenschutz geregelt? Interne Regeln, z. B. Betriebs- vereinbarung Einzel- vereinbarung Multimedia- gesetze Dienst-/Arbeits- recht Spezialgesetze, z. B. Sozial- gesetze Landes-DS - Gesetze Kirchl. DS- Ordnungen Abgaben- ordnung BDSG Allg. Gleich- stellungsgesetz StGB Melderecht EU-Datenschutz-Richtlinie bzw. EU-Datenschutz-Grundverordnung Fachforum Datenschutz 2014 I 12

13 Wann gilt das BDSG? Das Bundesdatenschutzgesetz gilt immer dann, wenn 1. personenbezogene Daten einer bestimmten oder bestimmbaren natürlichen Person 2. erhoben, verarbeitet oder genutzt werden. (unabhängig, ob dies mit EDV oder auf Papier erfolgt). Achtung! Erhöhtes Schutzniveau für besondere personenbezogene Daten (Krankheiten, Sexualleben, politische Überzeugung, Gewerkschaftszugehörigkeit etc.) Fachforum Datenschutz 2014 I 13

14 Wann dürfen personenbezogene Daten erhoben, verarbeitet oder genutzt werden? Grundsatz: Personenbezogene Daten dürfen gar nicht erhoben, verarbeitet oder genutzt werden. Ausnahmen: 1. Spezielle Regelungen, z. B.: Tarifvertrag, Betriebsvereinbarung, andere Gesetze (TMG, SGB, GewO, StGB,...) 2. Bundesdatenschutzgesetz (BDSG) z. B. bei Daten, die zur Vertragserfüllung benötigt werden oder die allgemein zugänglich sind 3. Einwilligung Einwilligung muss auf freier Entscheidung beruhen und in der Regel schriftlich erklärt werden Fachforum Datenschutz 2014 I 14

15 Technische und organisatorische Maßnahmen Die 8 Gebote des 9 BDSG: Zutrittskontrolle Zugriffskontrolle Eingabekontrolle Verfügbarkeitskontrolle Zugangskontrolle Weitergabekontrolle Auftragskontrolle Trennungsgebot Fachforum Datenschutz 2014 I 15

16 Technische und organisatorische Maßnahmen Zutrittskontrolle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, auf denen sich personenbezogene Daten befinden, zu verwehren! Zutrittskontrolle Maßnahmen: Schlüssel Key-Karten Zwischentüren Alarmanlage Besucherüberwachung Fachforum Datenschutz 2014 I 16

17 Technische und organisatorische Maßnahmen Zugangskontrolle Unbefugten ist das Nutzen der Datenverarbeitungsanlagen zu verwehren. Zugangskontrolle Maßnahmen: Zentrale Benutzerverwaltung Passwörter (IT-Richtlinien) Festplattenverschlüsselung bei mobilen Geräten Bildschirm-Pausenschaltung Fachforum Datenschutz 2014 I 17

18 Technische und organisatorische Maßnahmen Zugriffskontrolle Datenzugriff nur für zugriffsberechtigte Benutzer Maßnahmen: Benutzer- und Rechteverwaltung Regeln für Remote- und Admin- Zugriffe Firewall, Verschlüsselung Zugriffskontrolle Fachforum Datenschutz 2014 I 18

19 Technische und organisatorische Maßnahmen Verfügbarkeitskontrolle = gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Maßnahmen: Sicherheitskonzept / Business Continuity Management (Gesamtkonzept, Kontrollen, Notfallplan, Abwehrmaßnahmen) Risikoanalyse Überprüfung der technischen Einrichtungen Back-up und Archivierung Fachforum Datenschutz 2014 I 19

20 Der betriebliche Datenschutzbeauftragte Aufgaben: Ansprechpartner der Geschäftsleitung für Datenschutzfragen ( 4g Abs. 1 S. 1 BDSG) à Funktion eines Inhouse-Beraters Ansprechpartner für Beschäftigte für Datenschutzfragen ( 4f Abs. 4 BDSG) Führen der Verfahrensübersicht ( 4g Abs. 2 BDSG) Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen ( 4g Abs. 1 Nr. 1 BDSG) Durchführung von Vorabkontrollen ( 4d Abs. 6 BDSG) Schulungen des Personals ( 4g Abs. 1 Nr. 2 BDSG) Unterstützung der Geschäftsleitung beim Aufbau eines Datenschutzmanagements/einer Datenschutzorganisation Durchführung von DS-Audits, Beteiligung an Quality-Audits Fachforum Datenschutz 2014 I 20

21 Der betriebliche Datenschutzbeauftragte Anforderungen: Kenntnisse in IT und EDV Betriebswirtschaftliches Verständnis Rechtskenntnisse (BDSG, TMG, TKG, SGB, Grundrechte ) Durchsetzungsfähigkeit und Autorität Verhältnismäßigkeit / angemessene Umsetzung (Augenmaß) Kommunikations- und Mediationsfähigkeiten Didaktische Fähigkeiten Prüfungs- und Audit-Methodik und nicht zuletzt: Persönliche Integrität und Verschwiegenheit Fachforum Datenschutz 2014 I 21

22 Agenda 1. Risiken und Sicherheitslage 2. Betrieblicher Datenschutz 3. Compliance-Maßnahmen zur IT-Sicherheit 4. Business Process Outsourcing Fachforum Datenschutz 2014 I 22

23 Compliance Maßnahmen: IT-Sicherheitskonzept Erstellung eines IT-Sicherheitskonzepts auf Grundlage der relevanten IT-Risiken (Risikolandkarte) und unter Berücksichtigung der gesetzlichen Rahmenbedingungen. Einzelmaßnahmen: - Schutzbedarfsanalyse - IT-Richtlinienkonzept - aktueller Virenscanner - Notfallkonzept (Tests?) - Patch-Management - Systemüberwachung - Identity- & Accessmanagement - Prüfungen / Audits Fachforum Datenschutz 2014 I 23

24 Compliance Maßnahmen: IT-Sicherheitskonzept Basis sollte ein Rahmenkonzept sein: COBIT (vorzugsweise zum Start in Version 3) ITIL BSI Grundschutzkatalog (ca Seiten ) BSI Grundschutz Standards bis ISO 2700x Fachforum Datenschutz 2014 I 24

25 Compliance Maßnahmen: Schutzbedarfsanalyse Fachforum Datenschutz 2014 I 25

26 Compliance Maßnahmen: Schutzbedarfsanalyse typischer Klassenkatalog Klare Strukturmerkmale Fachforum Datenschutz 2014 I 26

27 Compliance Maßnahmen: Schutzbedarfsanalyse Ausgefüllter Unternehmens-Schutzbedarfskatalog Fachforum Datenschutz 2014 I 27

28 Compliance Maßnahmen: Schutzbedarfsanalyse Prozessorientierte Beurteilung zum Schutzbedarf Bsp.: C4: Client-PC: Standardbeurteilung = Schutzklasse 1 Prozessbeurteilung = Schutzklasse 3 Fachforum Datenschutz 2014 I 28

29 Compliance Maßnahmen: Identity & Access Management Am Anfang war das Wort. Berechtigungs- und Berechtigungsvergabekonzept Konzeptionierung anhand Schutzbedarf und Prozessanforderungen (Sammlung der Einflussgrößen) Minimalprinzip (need to know) Funktionstrennungprinzipien (workflowabhängig) Ausführliche Dokumentation mit Vorgaben und Strukturkriterien Freigabe des Konzeptes durch Daten-, Prozess-, IT- und Unternehmensverantwortliche Protokollierung und Aufbewahrung (Stammdaten) Übersichtlichkeit und Auditierbarkeit Fachforum Datenschutz 2014 I 29

30 Compliance Maßnahmen: Identity & Access Management Technische und organisatorische Umsetzung des Konzeptes Basis in Betriebssystemen (clients/server und Windows vs Unix) Berücksichtigung in Anwendungssystemen (Programmentwicklung) Berücksichtigung bei der Auswahl von Software Umsetzung bei der Einführung der Software Vermeidung zu tiefer Gliederung (Übersicht) Sammelrollentechnik (Ausnahme Einzelrolle) Regelmäßige eigene und externe Prüfung Fachforum Datenschutz 2014 I 30

31 Compliance Maßnahmen: Identity & Access Management Prozessorientierte Funktionstrennung der Benutzeradministration: Antragsverantwortung der Fachabteilungen (Formularbasiert) Änderungs- und Löschungsverantwortung ggf. bei HR Umsetzung durch IT-Abteilung (ggf. mit Protokollierung) Operative Rollenkonzeption auf Basis der Geschäftsprozesse Trennung von: Rollendefinition / -erstellung (Betriebs- und Anwendungssysteme) Freigabe und Produktivsetzung Rollenänderungen Initiale Benutzeranlage im Gesamtsystem (Freigaben) Lfd. Benutzerpflege Betriebssysteme Initiale Benutzeranlage Anwendungssysteme Rollenzuodnung / lfd. Benutzerpflege in Anwendungssystemen Fachforum Datenschutz 2014 I 31

32 Compliance Maßnahmen: IT-Richtlinienkonzept Fachforum Datenschutz 2014 I 32

33 Agenda 1. Risiken und Sicherheitslage 2. Betrieblicher Datenschutz 3. Compliance-Maßnahmen zur IT-Sicherheit 4. Business Process Outsourcing Fachforum Datenschutz 2014 I 33

34 Business Process Outsourcing (BPO) Auslagerung von Geschäftsprozessen Dauerprozesse / Projekte Offshore / Nearshore / Inland Stichwort: cloud: public cloud private cloud commercial oder business clouds Auslagerung der Ablauforganisation (Prozesse) ggf. auch Auslagerung der Aufbauorganisation (Abteilung) Fachforum Datenschutz 2014 I 34

35 Business Process Outsourcing (BPO) Voraussetzungen: Klärung Aufbau- und Ablauforganisation Herstellen von Prozesstransparenz / Prozessdesign Prozess- bzw. Verfahrensdokumentation! Profunde Kenntnis der eigenen Prozesse als notwendige Voraussetzung für eine erfolgreiche Auslagerung Schwachstellenanalyse zur Optimierung Digitalisierung von Geschäftsprozessen (ERP, workflows, etc.) - Standardisierung Vergleich internes / externes Optimierungspotential Fachforum Datenschutz 2014 I 35

36 Business Process Outsourcing (BPO) Chancen: Konzentration auf die eigene Kernkompetenz Beschaffung von Spezialwissen zu ausgelagerten Prozessen (extern statt intern) best practice Kompetenz der Dienstleister Höhere Qualität beim Dienstleister durch Vervielfachung gleichartiger Prozesse Skaleneffekte beim Dienstleister (Kosteneffekte) Fachforum Datenschutz 2014 I 36

37 Business Process Outsourcing (BPO) Risiken: Kompetenzverlust / Wissensübertragung Gefährdung der Unternehmensentwicklung bei Fehlern in ausgelagerten Prozessen (Prozesshoheit, Warnfunktionen, Alternativen) Wichtig! Aktives Changemanagement Partnerschaft! Fachforum Datenschutz 2014 I 37

38 Business Process Outsourcing (BPO) Beispiel: Externe Archivierung für steuerliche Zwecke Betreuung der Betriebsprüfungen durch den steuerlichen Berater Konzepterstellung zusammen mit BPO-IT-Dienstleister, Fachabteilung(en) und IT-Abteilung + Datenschutzbeauftragter! Informationen auswählen und Auswertungsmöglichkeiten ermitteln (Vor- und Nebensysteme beachten!) Zugriffsmöglichkeiten festlegen (Z1, Z2, Z3 sowie Dokumente!) Archivierung, Zugriff und Löschung sicherstellen BPO-Prozess monitoren, ggf. anpassen und evtl. überprüfen BDO AWT Leitfaden zum BPO verwenden Fachforum Datenschutz 2014 I 38

39 Vielen Dank für Ihre Aufmerksamkeit! Für Rückfragen stehen wir Ihnen gerne zur Verfügung: Tel Im Internet finden Sie uns unter: datenschutz@bdo-awt.de oder persönlich BDO AWT GmbH Wirtschaftsprüfungsgesellschaft Höchstleistungen entstehen aus dem Zusammenspiel von Kompetenz und Begeisterung für die Sache Fachforum Datenschutz 2014 I 39