UND Einhaltung gesetzlicher. gemeinsamen Grundlagen

Größe: px
Ab Seite anzeigen:

Download "UND Einhaltung gesetzlicher. gemeinsamen Grundlagen"

Transkript

1 Informationssicherheit UND Einhaltung gesetzlicher Vorschriften: Auf der Suche nach gemeinsamen Grundlagen Ein Whitepaper zu den Gemeinsamkeiten von Gesetzen und Vorschriften zur Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Von Michael R. Overly Esq., CISA, CISSP, CIPP, ISSMP, CRISC With Kaspersky, now you can. kaspersky.com/business Be Ready for What s Next

2 Inhalt 1.0 Einleitung Welche Daten sind schützenswert? Darum sind Schutzmechanismen wichtig Verbreitete Irrtümer über die Einhaltung von Informationssicherheitsstandards Gemeinsame Prinzipien von Gesetzen und Auflagen der Informationssicherheit Umgang mit Informationssicherheit bei Beziehungen zu Lieferanten und Geschäftspartnern BYOD-Initiativen (Bring Your Own Device) Fazit 19 2

3 Einleitung 1.0 Die rechtlichen Auflagen miteinander in Einklang zu bringen, ist bestenfalls eine Vollzeitbeschäftigung und zieht im schlimmsten Fall Geldbußen, Strafen und Gerichtsverfahren nach sich. Unternehmen sehen sich heutzutage der schier unlösbaren Aufgabe gegenüber, einem unüberschaubaren Wirrwarr aus Gesetzen und Vorschriften zur Vertraulichkeit und Sicherheit von Daten gerecht werden zu müssen. Die Urheber dieser Gesetze könnten nicht unterschiedlicher sein: lokale, regionale, nationale und sogar internationale Gesetzgeber. Dieses Problem betrifft nicht nur Großunternehmen. Selbst kleine Unternehmen mit eingeschränkter geografischer Präsenz können der Rechtsprechung anderer Staaten unterliegen, ganz einfach weil sie im Internet vertreten sind. Oft sind diese Gesetze und Vorschriften vage und schwammig und geben nur wenig praktische Anleitung hinsichtlich ihrer Einhaltung. Schlimmer noch, in vielen Fällen stehen die Gesetze unterschiedlicher Rechtsprechungen zueinander in Widerspruch. So können sich die erforderlichen Sicherheitsmaßnahmen von Staat zu Staat oder von Land zu Land grundlegend voneinander unterscheiden. Die rechtlichen Auflagen miteinander in Einklang zu bringen, ist bestenfalls eine Vollzeitbeschäftigung und zieht im schlimmsten Fall Geldbußen, Strafen und Gerichtsverfahren nach sich. Als Reaktion auf die steigende Bedrohung der Datensicherheit wurden oder werden weltweit Gesetze und Vorschriften erlassen, die Unternehmen zur Gewährleistung von Datensicherheit und -vertraulichkeit verpflichten. Selbst innerhalb eines Rechtsgebiets können unterschiedliche Behörden dafür zuständig sein, gegen Unternehmen vorzugehen, die gegen die geltenden Vorschriften verstoßen. Eine einzige Sicherheitsverletzung in einem Unternehmen kann also eine Vielzahl unterschiedlicher Behörden auf den Plan rufen, ganz zu schweigen von möglichen Schadensersatzforderungen durch Kunden, Partner, Aktionäre usw. In den USA kommt zum Schutz persönlicher Daten ein branchenorientiertes Modell zum Einsatz, z. B. gibt es unterschiedliche Bundesgesetze für den Gesundheits-, Finanz- und Kreditsektor sowie für die persönlichen Daten von Schülern/Studenten und Kindern. Andere Modelle, z. B. das der Europäischen Union, basieren auf einem einheitlichen Standard mit verstärktem Schutz für bestimmte, besonders vertrauliche Daten (z. B. Gesundheitsdaten, Mitgliedschaft in Gewerkschaften usw.). Die tatsächliche Umsetzung der Normen in Gesetze bleibt Angelegenheit der einzelnen Mitgliedstaaten. Auch Kanada verfolgt mit seinem Personal Information Protection and Electronic Documents Act (PIPEDA) einen ähnlichen Ansatz. Geldbußen und Schadensersatzforderungen können leicht in die Millionen gehen. Auch wenn die Haftung relativ eingeschränkt ist, kann das Ansehen eines Unternehmens durch negative öffentliche Berichterstattung und den Vertrauensverlust auf Seiten von Kunden und Geschäftspartnern dauerhaft Schaden nehmen. 3

4 65 % der Unternehmen weltweit glauben, dass BYOD-Richtlinien die Sicherheit ihres Geschäfts gefährden. 1 Gesetze und Auflagen sollen Unternehmen dazu bringen, vernünftig und angemessen zu handeln; sie verlangen nichts Undurchführbares oder Unzumutbares. Die Datensicherheit war noch nie zuvor derartigen Risiken ausgesetzt. Selten vergeht eine Woche, ohne dass in den Medien über ein Unternehmen berichtet wird, bei dem eine Sicherheitsverletzung aufgetreten ist. Auch wenn die Bedrohung durch Hacker beträchtlich ist, hat die widerrechtliche Aneignung bzw. Gefährdung von vertraulichen Daten durch Insider laut FBI einen neuen Höchststand erreicht. Zu den Insidern zählen nicht nur die Belegschaft eines Unternehmens, sondern auch seine Auftragnehmer und Geschäftspartner. Deshalb konzentriert sich dieses Whitepaper auf die zwei wichtigsten Bedrohungen durch Insider: Situationen, in denen Geschäftspartnern und Auftragnehmern eines Unternehmens vertrauliche Geschäftsdaten anvertraut werden, und BYOD-Initiativen, bei denen Geschäftsdaten auf Geräten zur Verfügung stehen, über die das Unternehmen nur wenig Kontrolle hat. Im ersten Fall entsteht das zu mindernde Risiko durch Insider, die eigentlich Außenstehende (d. h. Lieferanten und Geschäftspartner) sind. Im zweiten entsteht das Risiko durch die eigenen Mitarbeiter. Obwohl es keine einfachen Lösungen gibt, sollen mit diesem Whitepaper gleich mehrere Ziele erreicht werden: Klarzustellen, dass der Schutz persönlicher Daten nur ein Aspekt von Compliance ist. Unternehmen sind darüber hinaus für die Sicherheit weiterer Datenarten verantwortlich (z. B. Betriebsgeheimnisse, Daten und Informationen von Geschäftspartnern, nicht-öffentliche Finanzinformationen usw.). Herausarbeiten von drei Grundprinzipien, die in vielen Gesetzen und Vorschriften zu Datenschutz und -sicherheit vorkommen: 1. Vertraulichkeit, Integrität und Verfügbarkeit 2. Angemessen vorgehen bzw. angemessene oder notwendige Maßnahmen ergreifen 3. Anpassen der Sicherheitsmaßnahmen an die Vertraulichkeit der Daten und das Ausmaß der Bedrohung Diese allgemeinen, abstrakten Begriffe einordnen zu können, erleichtert es Unternehmen, ihre Compliance-Verpflichtungen zu verstehen. Eines muss hier jedoch betont werden: Informationssicherheits- und Datenschutzgesetze verlangen nicht das Unmögliche. Die perfekte Sicherheit wird zwar angestrebt, ist aber keine Forderung. Stattdessen wie noch des Öfteren zu betonen sein wird sollen die Gesetze und Auflagen in diesem Bereich Unternehmen dazu anhalten, vernünftig und angemessen zu handeln, und verlangen nichts Undurchführbares oder Unzumutbares. Wenn ein Unternehmen die Auflagen einhält, aber dennoch eine Sicherheitsverletzung auftritt, hat es im Allgemeinen noch kein Compliance- Problem. Aufzeigen der potenziellen Risiken mangelnder Compliance (z. B. Gerichtsverfahren, Geldbußen, Sanktionen usw.) und Erläuterung verbreiteter Irrtümer zu Informationssicherheitsund Datenschutzgesetzen. Vorstellung von zwei Praxisbeispielen, wie diese Prinzipien umgesetzt werden können, inklusive spezifischer Maßnahmen zur Risikominderung und Einhaltung gesetzlicher Verpflichtungen: 1. Anhand des ersten Beispiels wird erläutert, wie Informationssicherheit effektiver in die Beziehungen zu Lieferanten und Geschäftspartnern integriert werden kann. 2. Im zweiten Beispiel geht es darum, das Risiko bei der Umsetzung von BYOD-Initiativen zu kontrollieren. 1 Kaspersky Lab Bericht zu globalen IT-Risiken

5 Welche Daten sind schützenswert? 2.0 führen zu einer Beeinträchtigung der betrieblichen Abläufe eines Unternehmens. 2 Im Zusammenhang mit Informationssicherheit denken wir meist sofort an personenbezogene bzw. persönliche Daten. Obwohl sich sicherlich die meisten Gesetze und Verordnungen auf persönliche Daten beziehen, ist dies nur eine Art von Daten, für die Unternehmen gesetzliche Verantwortung tragen. So gut wie jedes Unternehmen besitzt eine Vielzahl unterschiedlicher, besonders vertraulicher Daten, die es zu schützen gilt. Hier einige Beispiele: Allgemeine vertrauliche Geschäftsdaten Hierzu gehören finanzielle Daten, Marketingpläne, mögliche Werbeaktivitäten, geschäftliche Kontaktdaten, Informationen über Investoren, Pläne für neue Produkte, Kundenlisten usw. Geistiges Eigentum Geistiges Eigentum ist in der Regel ein wichtiges, wenn nicht sogar das bedeutendste Kapital eines Unternehmens. Eine Sicherheitsverletzung könnte bedeuten, dass ein Unternehmen die Fähigkeit zur Durchsetzung seiner Urheberrechte verliert. So gelten Geschäftsgeheimnisse beispielsweise als wertvolle vertrauliche Daten eines Unternehmens, die innerhalb der Branche nicht bekannt sind, ). Gelangt ein Geschäftsgeheimnis an die Öffentlichkeit, verliert es seinen Status und Wert als Betriebsgeheimnis. So gut wie jedes Unternehmen besitzt irgendeine Art von Betriebsgeheimnis. Kundenlisten, Softwarequellcodes, Formeln, Geschäftsmethoden usw. können Betriebsgeheimnisse sein. Sie müssen geschützt werden, um ihren Status als Geheimnis zu wahren. Gesundheitsinformationen Gesundheitsinformationen gehören zu den am stärksten reglementierten und vertraulichsten Daten überhaupt. In den USA werden Vertraulichkeit und Sicherheit von persönlichen Gesundheitsinformationen beispielsweise durch den Health Insurance Portability and Accountability Act (HIPAA) geregelt. In einigen Rechtsprechungen genießen sie im Vergleich zu anderen Arten von persönlichen Daten besonderen Schutz. In der EU werden Gesundheitsinformationen im Rahmen der Datenschutzrichtlinie der Europäischen Union und in deren Umsetzung besonders geschützt. Siehe auch Australian Privacy Act von 1988 und der vor kurzem verabschiedete Privacy Amendment Act (Enhancing Privacy Protection). Unternehmen aus der Gesundheitsbranche sind manchmal im Besitz von Patientenakten, aber auch Unternehmen aus anderen Branchen bewahren Gesundheitsdaten von Mitarbeitern Persönliche finanzielle Daten Auch der Umgang mit persönlichen finanziellen Informationen ist stark reglementiert und streng vertraulich. In den USA regelt der Gramm-Leach-Bliley Act (GLBA) den vertraulichen Umgang und die Sicherheit persönlicher finanzieller Daten. In anderen Ländern werden persönliche Daten recht allgemein in übergeordneten Gesetzen definiert, um alles abzudecken, was persönlichen Daten zugeordnet werden kann, darunter auch finanzielle Informationen. Ein Beispiel ist Japans Gesetz zum Schutz personenbezogener Daten. Ähnlich wie bei Gesundheitsinformationen muss ein Unternehmen nicht dem Finanzsektor angehören, um im Besitz dieser Art von Informationen zu sein. Jeder Arbeitgeber besitzt vertrauliche finanzielle Informationen seiner Mitarbeiter Sicherheitsinformationen Auch die Sicherheitsinformationen selbst sind vertraulich und deshalb zu schützen. Sicherheitsrichtlinien, Sicherheitsüberwachungsberichte, Geschäftskontinuitätspläne und ähnliche Informationen sind streng vertraulich. Außenstehende könnten mit ihnen Schwachstellen in einem Unternehmen auszunutzen. 5

6 Darum sind Schutzmechanismen wichtig 3.0 Durchschnittlich beläuft sich der Schaden einer Datensicherheitsverletzung bei mittelständischen Unternehmen auf , bei Konzernen auf $. 3 Die Einhaltung gesetzlicher Auflagen ist sicherlich einer der wichtigsten Gründe für die Umsetzung von Informationssicherheitsmaßnahmen zum Schutz vertraulicher Daten. Für Unternehmen gibt es jedoch weitere maßgebliche Gründe, sich mit diesem Risiko auseinanderzusetzen. Schutz von Unternehmensressourcen Wie bereits angemerkt, besitzt jedes Unternehmen neben personenbezogenen Daten noch weitere, hochgradig schützenswerte Informationen (z. B. geistiges Eigentum, Marketingpläne, Pläne für neue Produkte, Investorinformationen, Finanzdaten usw.). Dies sind allesamt wertvolle Unternehmensressourcen, die es zu schützen gilt. Erforderliche Sorgfalt In vielen Gesetzen ist von der erforderlichen Sorgfalt die Rede, mit der Unternehmen zum Schutz vertraulicher Daten vorgehen sollten. Allgemeiner existiert diese Vorstellung bereits in der Verpflichtung der Geschäftsleitung, ein Unternehmen nach billigem Ermessen zu führen, wozu u. a. die erforderliche Sorgfalt beim Umgang mit geschäftlichen Informationsressourcen gehört. Weder das geltende Gesetz, noch diese generelle Leitlinie der Unternehmensführung verlangen jedoch eine perfekte Umsetzung. Es muss vielmehr nachgewiesen werden, dass zum Schutz der unternehmerischen Informationsressourcen angemessen und mit der erforderlichen Sorgfalt vorgegangen wurde. Wurde ein nachvollziehbarer Ansatz zur Risikominderung umgesetzt und dokumentiert, haben Unternehmen und Führungskräfte genau hierfür einen Beleg. Schutz des unternehmerischen Ansehens Das Auftreten einer Sicherheitsverletzung kann das Ansehen eines Unternehmens schwer beschädigen. Negative Schlagzeilen dieser Art können einem Unternehmen ernsthaft schaden. Kunden und Geschäftspartner könnten das Vertrauen in die Fähigkeit des Unternehmens verlieren, seine Informationen und Systeme zu schützen. Einschränkung der Haftung Der offensichtlichste Grund für eine nachvollziehbare Informationssicherheitsstrategie liegt letzten Endes in der Beschränkung einer möglichen Haftung. Hierbei kann es sich um unterschiedliche Arten von Geldbußen, strafrechtliche Konsequenzen, Aktionärsklagen und von Geschäftspartnern und Kunden angestrengte Zivilprozesse (inklusive kostspieliger Sammelklagen) gegen ein Unternehmen oder seine Führungskräfte handeln. 3 Kaspersky Lab Bericht zu globalen IT-Risiken

7 Verbreitete Irrtümer über die Einhaltung von Informationssicherheitsstandards 4.0 Die Gesetze und Vorschriften aus diesem Bereich verlangen keine Perfektion sie sollen Unternehmen dazu anhalten, vernünftig und angemessen zu handeln. Das Thema Informationssicherheit ist mit einer Reihe von Missverständnissen behaftet. Zwei verbreitete Irrtümer lauten, dass es nur um die Daten und nur um deren Vertraulichkeit gehe. Obwohl Daten und Vertraulichkeit sicherlich von entscheidender Bedeutung sind, ist doch eine umfassendere Betrachtungsweise erforderlich. Ein Unternehmen muss sich mit der Sicherheit seiner Daten befassen, jedoch auch mit den Systemen, die diese vorhalten. Hinzu kommt, dass Vertraulichkeit nur eines der drei Grundprinzipien echter Sicherheit darstellt. Jeder, der sich mit Informationssicherheit beschäftigt, sollte die Bedeutung des Akronyms CIA (Confidentiality, Integrity, Availability; Vertraulichkeit, Integrität, Verfügbarkeit) kennen. Damit Daten wirklich sicher sind, müssen alle drei Aspekte berücksichtigt werden. Vertraulichkeit bedeutet, dass Daten vor unbefugtem Zugriff und Weitergabe geschützt sind. Integrität garantiert die Richtigkeit von Daten, d. h. den Schutz vor nicht autorisierten Änderungen. Verfügbarkeit bedeutet, dass Daten bei Bedarf für Zugriff und Nutzung zur Verfügung stehen. Es ist wenig hilfreich, wenn die Vertraulichkeit und Integrität von Daten gewährleistet ist, diese aber nicht zur Verfügung stehen, wenn sie gebraucht werden. Um dies zu erreichen, müssen die Speichersysteme für die Daten entsprechende Service-Level hinsichtlich Verfügbarkeit, Reaktionszeit usw. erfüllen, besonders dann, wenn ein externer Anbieter mit dem Hosten der Daten beauftragt wurde. Die Bedeutung von CIA kann nicht hoch genug eingeschätzt werden. CIA ist nicht irgendein abstraktes Konzept aus dem Bereich Informationssicherheit. Es wurde teils wörtlich in Gesetzestexte aus dem Bereich Informationssicherheit übernommen. Unternehmen, welche die CIA-Forderungen nicht einhalten, verstoßen somit möglicherweise gegen das Gesetz. Ein weiteres Missverständnis besteht darin, dass der Gesetzgeber eine perfekte Umsetzung verlangt, d. h. dass Unternehmen ungeachtet der von ihnen aufgebrachten Sorgfalt für jeden Verstoß haftbar gemacht werden können. Dies ist nicht der Fall. Die Gesetze und Auflagen in diesem Bereich sollen Unternehmen dazu anhalten, vernünftig und angemessen zu handeln. Wenn ein Unternehmen die Auflagen einhält, aber dennoch eine Sicherheitsverletzung auftritt, hat es generell noch kein Compliance-Problem. 7

8 Gemeinsame Prinzipien von Gesetzen und Auflagen der Informationssicherheit 5.0 Allein die Vielfalt der bestehenden Gesetze und Auflagen, die selbst für Kleinunternehmen gelten, die mit vertraulichen Daten umgehen, kann eine erhebliche, wenn nicht unlösbare Herausforderung darstellen. Manchmal ist es selbst für ein hochgradig organisiertes Unternehmen unmöglich, alle einschlägigen Bestimmungen zu kennen, Widersprüche aufzulösen und dann eine Compliance-Strategie umzusetzen. In diesem Abschnitt geht es nicht darum, auf Gesetze und Auflagen einzeln einzugehen, sondern drei Grundprinzipien herauszuarbeiten, die vielen gemein sind. Die Kenntnis dieser Gemeinsamkeiten hilft Unternehmen dabei, ihre grundlegenden gesetzlichen Verpflichtungen zu verstehen. Die Grundprinzipien sind nicht nur Teil von Gesetzen und Auflagen, sondern finden sich auch in Vertragsstandards, z. B. dem Datensicherungsstandard für Kreditkartentransaktionen (PCI-DSS) und sogar in gemeinsamen Branchenstandards für Informationssicherheit, die von Unternehmen wie CERT bei Carnegie Mellon und der International Standards Organization (ISO) veröffentlicht wurden. Durch Einbeziehung dieser Gemeinsamkeiten bei Entwurf und Umsetzung von Informationssicherheitsprogrammen wird Unternehmen die Einhaltung von Gesetzen und Auflagen sowie anderer Anforderungen (z. B. PCI-DSS, Branchenstandards usw.) erheblich vereinfacht. Vertraulichkeit, Integrität und Verfügbarkeit (CIA) Wie bereits in Abschnitt 4 erwähnt, wurde das altbekannte CIA-Konzept, das in jeder Abhandlung zur Informationssicherheit zu finden ist, in vielen Gesetzen und Auflagen festgeschrieben. Die drei Eckpfeiler des Konzepts sind an den Hauptzielen der Informationssicherheit ausgerichtet: Daten/Informationen müssen vertraulich bleiben, gegen unbefugte Modifikation geschützt werden und bei Bedarf verfügbar sein. Eine Nichterfüllung eines dieser Kriterien stellt eine erhebliche Beeinträchtigung der Compliance sowie des Werts der Informationsressource selbst dar. Angemessen vorgehen bzw. angemessene oder notwendige Maßnahmen ergreifen Der Begriff des angemessenen Handelns ist in der Rechtssprache der USA, von Australien und vielen anderen Ländern weit verbreitet. In der Europäischen Union und vielen anderen Regionen wird in diesem Zusammenhang oft von angemessenen oder erforderlichen Maßnahmen gesprochen. Zusammen bilden diese Begriffe den Kern fast aller Gesetze zu Informationssicherheit und Datenschutz. Ein Unternehmen ist verpflichtet, zum Schutz seiner Daten angemessen vorzugehen bzw. die erforderlichen Maßnahmen zu ergreifen. Hierbei wird jedoch keine perfekte Umsetzung verlangt. Ein Unternehmen sollte sich vielmehr der bestehenden Risiken bewusst sein und die angemessenen bzw. erforderlichen Maßnahmen zu ihrer Minderung ergreifen. Sollte dennoch eine Sicherheitsverletzung auftreten, obwohl diese grundlegenden Anforderungen jedoch erfüllt wurden, hat das Unternehmen dadurch an sich noch nicht gegen geltende Gesetze verstoßen. 8

9 Anpassen von Sicherheitsmaßnahmen an Daten und Risiko Eng verwandt mit dem Konzept des angemessenen Handelns ist die Vorstellung, die Sicherheitsmaßnahmen im Umfang an den Bedrohungscharakter und die Vertraulichkeit der Daten anzupassen. Dies bedeutet, dass ein Unternehmen nicht sein gesamtes Sicherheitsbudget für eine eher harmlose Bedrohung auszugeben braucht. Ist das Risiko jedoch beträchtlich, insbesondere angesichts von Volumen und/oder Vertraulichkeit der Datenbestände, müssen auch die Bemühungen und die Ausgaben zur Eindämmung des Risikos entsprechend erhöht werden. Eine Datenbank, die nur Namen und physische Adressen enthält, muss nicht so aufwändig gesichert werden wie eine Datenbank mit Namen, Adressen und Sozialversicherungsnummern. Um dieses Konzept zu verdeutlichen, hier Auszüge aus zwei Gesetzen, die eine Anpassung des Umfangs beinhalten: Erstes Beispiel Ein Unternehmen hat Vorkehrungen zu treffen, die (a) der Größe, dem Geltungsbereich und der Art des Geschäfts desjenigen gerecht werden, der zum Schutz von persönlichen Informationen im Rahmen eines umfassenden Informationssicherheitsprogramms verpflichtet ist; (b) den Mitteln einer solchen Person angemessen sind; (c) dem Volumen der gespeicherten Daten angemessen sind; und (d) die Anforderungen hinsichtlich Sicherheit und Vertraulichkeit von Kunden- und Mitarbeiterdaten erfüllen. Zweites Beispiel Sicherheitsmaßnahmen haben Folgendes zu berücksichtigen: (i) Die Größe, Komplexität und Leistungsfähigkeit eines Unternehmens (ii) Die Sicherheitsfunktionen des Unternehmens für technische Infrastruktur, Hardware und Software (iii) Die Kosten der Sicherheitsmaßnahmen (iv) Die Wahrscheinlichkeit und Auswirkungen potenzieller Risiken für die Daten In den nächsten beiden Abschnitten werden diese Konzepte im Kontext zweier Praxisbeispiele erläutert, die sich unabhängig von Größe und Typ auf fast alle Unternehmen übertragen lassen. Anhand des ersten Beispiels wird erläutert, wie Informationssicherheit effektiver in die Beziehungen zu Lieferanten und Geschäftspartnern integriert werden kann. Konkret geht es darum, was ein Unternehmen tun kann, um seine Informationen zu schützen, wenn einer seiner Lieferanten Zugriff auf vertrauliche Daten hat. Im zweiten Beispiel geht es darum, das Risiko bei der Umsetzung von BYOD-Initiativen für Mitarbeiter eines Unternehmens zu kontrollieren. 9

10 Umgang mit Informationssicherheit bei Beziehungen zu Lieferanten und Geschäftspartnern 6.0 Fast wöchentlich kommt es zu Vorfällen, bei denen Unternehmen ihre vertraulichsten Geschäftsdaten einem Lieferanten oder Geschäftspartner anvertrauen, um dann zu erfahren, dass diese kompromittiert wurden, weil der Lieferant keine angemessenen Vorkehrungen zur Wahrung der Informationssicherheit getroffen hatte. Schlimmer noch, oft haben die Unternehmen ihre Sorgfaltspflicht in Bezug auf ihre Lieferanten verletzt und das Thema Informationssicherheit in ihren Lieferantenverträgen nicht ausreichend dokumentiert. In vielen Fällen bleibt ihnen dann auch kein Rechtsbehelf zum Ausgleich der erheblichen, durch den Datenverlust entstandenen Schäden. Angesichts der aktuellen behördlichen Rahmenbedingungen sollten Unternehmen bei der Aufnahme geschäftlicher Beziehungen, bei denen vertrauliche Daten Risiken ausgesetzt werden, weitaus gründlicher vorgehen. In diesem Abschnitt werden drei Instrumente vorgestellt, die Unternehmen umgehend einsetzen können, um die durch Lieferanten und Geschäftspartner entstehenden Risiken für die Informationssicherheit substanziell zu reduzieren, die Einhaltung und Dokumentation der Sorgfaltspflicht zu garantieren und bei einem Vorfall Abhilfe zu leisten. Es handelt sich um folgende Instrumente: Lieferantenfragebogen zur Sorgfaltspflicht Wichtige vertragliche Absicherungen Unter gegebenen Umständen, Einsatz einer Leistungsbeschreibung von Informationssicherheitsanforderungen. Wann immer ein Lieferant oder Geschäftspartner Zugriff auf das Netzwerk, die Anlagen oder Daten eines Unternehmens erhält, empfiehlt es sich, eines oder mehrere dieser Instrumente einzusetzen. Hierdurch lassen sich gleich mehrere Ziele erreichen: Einhaltung der CIA-Forderungen in Bezug auf Geschäftsdaten, Nachweis von angemessenem Verhalten beim Umgang mit Risiken und Anpassung der Sicherheitsmaßnahmen an das Risiko (z. B. solide vertragliche Absicherungen und strengere Einhaltung der Sorgfaltspflicht, falls der Lieferant in Besitz beträchtlicher Mengen streng vertraulicher Daten ist, im Vergleich zu einer weniger strikten Absicherung und Sorgfaltspflicht, wenn der Lieferant nur gelegentlich in Kontakt mit vertraulichen Daten kommt. 10

11 Angesichts des heutigen geschäftlichen und behördlichen Umfelds ist diese Ad-hoc- Prüfungsmethode weder sinnvoll noch angemessen. Das erste Instrument: Sorgfältige Prüfung Obwohl die meisten Unternehmen eine Art von Prüfung ausführen, bevor sie Lieferanten vertrauliche Daten anvertrauen oder Zugriff auf ihre Systeme gewähren, ist diese meist zwanglos, uneinheitlich und nicht eindeutig dokumentiert. Nur ganz selten findet das Ergebnis der Prüfung Eingang in die von den Parteien geschlossene vertragliche Vereinbarung. Angesichts des heutigen geschäftlichen und behördlichen Umfelds ist diese Ad-hoc-Prüfungsmethode weder sinnvoll noch angemessen. Um einen angemessen dokumentierten und einheitlichen Prüfungsprozess zu gewährleisten, sollten Unternehmen einen standardisierten Prüfungsfragebogen entwerfen, den jeder potenzielle Lieferant oder Geschäftspartner mit Zugang zu vertraulichen Geschäftsdaten oder persönlichen Informationen ausfüllen muss. Zu den behandelten Themenfeldern gehören die unternehmerische Verantwortung, Versicherungsschutz, finanzielle Lage, Personalpraktiken, Informationssicherheitsrichtlinien, physische Sicherheit, logische Sicherheit, Systemwiederherstellung nach einem Ausfall und Geschäftskontinuität sowie andere relevante Bereiche. Der Einsatz eines standardisierten Fragebogens hat eine Reihe bedeutender Vorteile: Einheitliche Vorlage für sorgfältige Prüfungen Direkte Vergleichbarkeit der Antworten von Lieferanten Garantierte Abdeckung aller wichtigen Prüfbereiche Einfache Integration der Prüfungsergebnisse in den Lieferantenvertrag. Der ausgefüllte Fragebogen wird in der Regel als Anhang in den Vertrag aufgenommen. Dem Lieferanten muss von Anfang an bewusst sein, dass die von ihm im Rahmen des Prüfungsvorgangs und insbesondere bei der Bearbeitung des Fragebogens gemachten Angaben (i) als Grundlage für die Entscheidung für einen Lieferanten dienen werden; und (ii) in den letztendlichen Vertrag einbezogen und als Teil in diesen aufgenommen werden. Der Fragebogen sollte einem potenziellen Lieferanten am besten so früh wie möglich vorgelegt werden. Er sollte Teil aller relevanten Ausschreibungen sein oder, falls keine Ausschreibung erfolgt, dem Interessenten als eigenständiges Dokument bei den Vorgesprächen vorgelegt werden. 11

12 Finanzielle Situation des Lieferanten: Ist der Lieferant ein privat geführtes oder börsennotiertes Unternehmen? Sind Kopien der jüngsten Geschäftsberichte verfügbar? Die finanzielle Situation mag auf den ersten Blick nicht ausschlaggebend für die Informationssicherheit sein, die Möglichkeit eines Bankrotts oder der Einstellung des Geschäftsbetriebs, während der Lieferant im Besitz vertraulicher Geschäftsdaten ist, stellt jedoch ein erhebliches Risiko dar. In solchen Fällen kann es schwierig, wenn nicht unmöglich sein, die Daten wiederzuerlangen und sicherzustellen, dass sie rückstandslos von den Systemen des Lieferanten entfernt wurden. Ähnlich wird die Möglichkeit, einen schlechten Lieferanten auf Schadensersatz zu verklagen, bereits im Keim erstickt, wenn dessen finanzielle Situation dies nicht erlaubt. Versicherungsschutz: Welche Art von Versicherungsschutz besitzt der Lieferant? Wie sehen die Deckungsgrenzen und andere Bestimmungen aus? Basiert der Schutz auf Inanspruchnahme oder Schadensereignis? Da allgemeine Betriebshaftpflichtversicherungen normalerweise keine Abdeckung für Informationssicherheitsverletzungen bieten, empfiehlt es sich, vom Lieferanten eine Cyberrisiko- oder Netzwerksicherheitsversicherung zu verlangen. Diese Art von Policen findet immer weitere Verbreitung. Unternehmerische Verantwortung: Sind strafrechtliche Verurteilungen oder aktuelle nennenswerte Rechtstreitigkeiten, Vorfälle, bei denen beim Lieferanten eine erhebliche Sicherheitslücke entstanden ist, Datenschutzverstöße, negative Betriebsprüfungsergebnisse usw. bekannt? Auftragsuntervergabe: Bedient sich der Lieferant zur Erbringung seiner Leistung eines Subunternehmers oder einer Tochtergesellschaft? Beauftragt der Lieferant ausländische Subunternehmer oder Tochtergesellschaften? In welchen Ländern sind diese ansässig? Welche Art von Leistung sollen sie erbringen? Welche Art von Informationen des Unternehmens wird an diese Rechtsträger weitergegeben? Organisatorische Sicherheitsmaßnahmen: Besitzt der Lieferant eine umfassende und gut dokumentierte Informationssicherheitsstrategie? Wie sehen seine Richtlinien für den Umgang mit Informationen aus? Besitzt der Lieferant ein spezielles Informationssicherheitsteam? Gibt es ein Vorfallreaktionsteam? Wie sehen die Informationssicherheitspraktiken des Lieferanten Vertraulichkeitsvereinbarung, spezielle vertragliche Vereinbarungen in Bezug auf Informationssicherheit usw.)? Physische Sicherheit; logische Kontrollen: Welche physischen Sicherheitsmaßnahmen und -verfahren setzt der Lieferant ein? Nutzt der Lieferant Zugriffskontrollen für seine Systeme, damit nur autorisierte Mitarbeiter Zugriff auf Informationen haben? Softwareentwicklungskontrollen: Wenn der Lieferant ein Softwarehersteller ist, wie sehen seine Entwicklungs- und Wartungsprozesse aus? Welche Sicherheitskontrollen kommen im Entwicklungszyklus zum Einsatz? Führt der Lieferant Sicherheitstests für seine Software aus? Besitzt der Lieferant neben der Produktions- eine separate Testumgebung? Lizenziert der Lieferant Codes von Drittanbietern, um diesen in seine Produkte zu integrieren? Wenn ja, welche Art von Codes? Datenschutzaspekte: Besitzt der Lieferant eine Datenschutzrichtlinie, um Risiken für Informationen von Kunden, Konsumenten und anderen Personen zu begegnen? Wie sieht der Revisionsverlauf dieser Richtlinie aus? Gibt es Sicherheitsverletzungen, über die der Lieferant seine Kunden informieren musste? Gibt es beim Lieferanten Mitarbeiterschulungen zum Umgang mit persönlichen Informationen? Wenn ja, wie oft? Notfallwiederherstellung und Geschäftskontinuität: Wie sehen die Geschäftskontinuitätsund Notfallwiederherstellungspläne des Lieferanten aus? Wann wurden sie zuletzt getestet? Wann wurden sie zuletzt überprüft? Gab es bei der Prüfung negative Ergebnisse? Wurden Mängel behoben? Wie sieht der Revisionsverlauf der Pläne aus? Welche Sicherheitsprozeduren gelten für den Wiederherstellungsstandort? 12

13 Das zweite Instrument: Wichtige vertragliche Absicherungen Bei der überwältigenden Mehrheit der zwischen Unternehmen und Lieferanten geschlossenen Verträge wird die Informationssicherheit entweder gar nicht oder nur sehr unspezifisch erwähnt. Bestenfalls enthalten die Verträge unzureichend definierte Sicherheitsanforderungen und eine einfache Vertraulichkeitsklausel. In aktuellen Branchenstandards (z. B. CERT und ISO) und Informationssicherheitsgesetzen wird jedoch eine weitaus spezifischere Sprachregelung für Lieferantenbeziehungen gefordert. Gegebenenfalls sollten die folgenden Absicherungen in einschlägige Lieferantenverträge aufgenommen werden: Vertraulichkeit: Eine vollständig ausgearbeitete Vertraulichkeitsklausel sollte die Grundlage für Informationssicherheitsvorkehrungen in allen Verträgen bilden. Die Vertraulichkeitsklausel sollte so allgemein gefasst sein, dass alle vom Unternehmen als vertraulich angesehenen Informationen durch sie abgedeckt werden. Außerdem sollten spezifische Beispiele geschützter Informationen genannt werden (z. B. Quellcode, Marketingpläne, Informationen über Produktneuheiten, Geschäftsgeheimnisse, finanzielle Daten, persönliche Informationen usw.). Während für den Vertraulichkeitsschutz eine Frist festgelegt werden kann, z. B. fünf Jahre, sollte für persönliche Informationen und Geschäftsgeheimnisse ausdrücklich ein zeitlich unbegrenzter Schutz spezifiziert werden. Klauseln, die eine Kennzeichnung relevanter Informationen als vertraulich oder proprietär durch das Unternehmen verlangen, sind zu vermeiden. Diese Art von Auflagen ist angesichts der herrschenden Praxis bei den Lieferantenbeziehungen als unrealistisch zu bewerten. Sie werden von den Vertragsparteien nur selten eingehalten, wodurch ein Risiko für proprietäre und vertrauliche Informationen entsteht. Gewährleistungen: Abgesehen von den üblichen Gewährleistungen hinsichtlich der Art und Weise der Leistungserbringung und der Befugnis zum Vertragsabschluss sollten die folgenden, für die Informationssicherheit relevanten Gewährleistungen in Betracht gezogen werden: Eine Gewährleistung, die den Lieferanten zur Einhaltung aktueller Branchenstandards zur Informationssicherheit verpflichtet. Einhaltung aller einschlägigen Gesetze und Auflagen zu Informationssicherheit, Datenschutz, Verbraucherschutz usw. Einhaltung der Datenschutzrichtlinie des Unternehmens bei Umgang und Verwendung persönlicher Informationen. Eine Gewährleistung der Nichtweitergabe vertraulicher Geschäftsdaten an im Ausland ansässige Subunternehmen oder Tochtergesellschaften, sofern kein ausdrückliches schriftliches Einverständnis des Unternehmens vorliegt. Eine Gewährleistung, dass die im Prüfungsfragebogen für Lieferanten (dieser sollte dem Vertrag als Anlage beiliegen) gemachten Angaben für den gesamten Zeitraum der Vertragsfrist zutreffend und wahrheitsgemäß sind und auf Ersuchen des Unternehmens auf den neuesten Stand gebracht werden. Allgemeine Sicherheitsverpflichtungen: Erwägen Sie die Aufnahme allgemeiner Klauseln, die den Lieferanten zur Ergreifung angemessener Maßnahmen verpflichten, um seine Systeme und Anlagen vor unbefugtem Zugriff und Eindringen zu schützen und diese regelmäßig auf Schwachstellen zu testen, sämtliche Sicherheitsverletzungen (auch potenzielle) umgehend dem Unternehmen zu melden, an gemeinsamen Sicherheitsüberprüfungen teilzunehmen und mit den für das Unternehmen zuständigen Aufsichtsbehörden bei der Prüfung seiner Informationssicherheitspraktiken zu kooperieren usw. 13

14 Der Lieferant sollte das Unternehmen vor Rechtsstreitigkeiten und anderen Forderungen schützen, die sich aus der mangelhaften Sicherheit seiner Systeme ergeben. Entschädigungserklärung: Für Fälle, in denen das Unternehmen durch eine Sicherheitsverletzung beim Lieferanten mit Schadensersatzansprüchen von Dritten zu rechnen hat, (z. B. Forderung durch Unternehmenskunden bei Verletzung der Vertraulichkeitsklausel für persönliche Informationen), sollte die Vereinbarung eine Entschädigungserklärung vorsehen, die den Lieferanten verpflichtet, das Unternehmen von Forderungen, Schadensersatz und den durch die Sicherheitsverletzung entstandenen Kosten schadlos zu halten. Der Lieferant sollte das Unternehmen also vor Rechtsstreitigkeiten und anderen Forderungen schützen, die sich aus der mangelhaften Sicherheit seiner Systeme ergeben. Haftungsbeschränkung: In fast allen Vereinbarungen findet sich eine Art von Haftungsbeschränkung, welche die Forderungen, mit denen die Vertragsparteien konfrontiert werden könnten, in Art und Umfang beschränken soll. Oft schließen diese Klauseln die Haftung des Lieferanten für alle Folgeschäden (z. B. entgangene Gewinne, Rufschädigung usw.) aus und beschränken jegliche weitere Haftung auf einen Bruchteil der gezahlten Strafen. Es gelingt nur selten, diese Art von Klauseln aus Verträgen auszuschließen, aber es ist möglich, den Lieferanten zu verpflichten, die Haftung für Schäden, die sich aus einem Bruch der Vertraulichkeit ergeben, sowie seine Entschädigungsverpflichtung für Forderungen, die der Lieferant aufgrund mangelnder Systemsicherheit selbst verursacht hat, aus dieser Beschränkung auszuschließen bzw. eine erhöhte Haftung anzubieten. Ohne diese Ausnahmen sind die beschriebenen vertraglichen Absicherungen im Grunde Makulatur. Wenn ein Lieferant für einen Bruch der Vertraulichkeit nicht haftbar gemacht werden kann, weil die vom Lieferanten zu zahlende Entschädigung durch die Haftungsbeschränkung auf zu vernachlässigende Summen reduziert wird, ist die Vertraulichkeitsklausel bedeutungslos. Das dritte Instrument: Leistungsbeschreibung der Informationssicherheitsanforderungen Das dritte Instrument, mit dem sich Informationssicherheitsrisiken auf Seiten des Lieferanten minimieren lassen, besteht im Einsatz einer Leistungsbeschreibung, in der die spezifischen Sicherheitsanforderungen für eine bestimmte Transaktion definiert werden. In einer solchen Leistungsbeschreibung könnte beispielsweise die Übertragung von Geschäftsdaten des Unternehmens über WLAN-Verbindungen (z. B a/b/g) bzw. deren Transport auf Wechseldatenträgern, die leicht abhanden kommen können, untersagt werden. Denkbar sind ebenfalls spezifische Auflagen für die Verschlüsselung oder die Außerbetriebnahme von Hardware und Speichermedien, auf denen Geschäftsdaten des Unternehmens gespeichert waren, damit ein ordnungsgemäßes Löschen der Daten garantiert werden kann. Alle weiteren, für diese Transaktion relevanten physischen und logischen Sicherheitsmaßnahmen sollten ebenfalls benannt werden. Unternehmen gehen besondere Risiken ein, wenn sie ihre proprietären und vertraulichen Informationen Lieferanten, Geschäftspartnern und anderen Außenstehenden anvertrauen. Diese Risiken lassen sich mithilfe der vorgestellten Instrumente verringern: eine angemessene und einheitliche Prüfung, spezifische vertragliche Absicherung in Bezug auf Informationssicherheit sowie die Möglichkeit, Leistungsbeschreibungen, die spezifische Sicherheitsauflagen für den Lieferanten festlegen, und andere Zusätze in die Vereinbarung aufzunehmen. 14

15 BYOD-Initiativen (Bring Your Own Device) % der Befragten sind der Meinung, BYOD steigere die Arbeitsmoral. Der Begriff BYOD (Bring Your Own Device) bezieht sich auf Unternehmensinitiativen, die den Einsatz privat genutzter Geräte (z. B. Smartphone, Tablet-PC, Laptop, Netbook) zu beruflichen Zwecken ermöglichen sollen. In der Regel erhält der Mitarbeiter dabei auch die Erlaubnis, sich über sein persönliches Endgerät mit dem Unternehmensnetzwerk zu verbinden. BYOD-Programme bringen eine Reihe von wichtigen Vorteilen mit sich: Senkung der IT- Gesamtkosten des Unternehmens, Förderung der Mitarbeitermobilität und einer ständigen Einsatzbereitschaft, wie sie mittlerweile bei vielen Unternehmen üblich ist, verbesserte Zusammenarbeit und gesteigerte Mitarbeitermoral. Eine aktuelle Studie von Unisys zeigt einige dieser Vorteile auf: 71 % der Befragten sind der Meinung, BYOD steigere die Arbeitsmoral. 60 % glauben, BYOD führt zu mehr Produktivität. 44 % finden einen Job attraktiver, wenn das Unternehmen den Einsatz von ipads unterstützt. Die mit BYOD-Initiativen verbundenen Risiken liegen in der Natur der Sache, weil geschäftliche und private Daten auf ein und demselben Gerät gespeichert werden einem Gerät, über das Unternehmen so gut wie keine Kontrolle hat. Dieses Risiko wird anhand der Ergebnisse von zwei aktuellen Studien deutlich: Dell KACE-Studie: 87 % der Unternehmen sehen sich aufgrund von Mitarbeitern, die private Geräte (Laptops, Smartphones und Tablet-PCs) beruflich nutzen, nicht in der Lage, Unternehmensdaten und geistiges Eigentum wirksam zu schützen. eweek-studie: 62 % der IT-Administratoren geben an, nicht die richtigen Tools zur Verwaltung privater Geräte zu haben. Durch Konzentration auf die weiter oben vorgestellten Grundprinzipien der Compliance lassen sich die Risiken verringern. Hauptrisiken von BYOD-Initiativen Bevor ein Unternehmen sich für eine BYOD-Initiative entscheidet, sollten die folgenden bedeutenden Risiken gegen die potenziellen Vorteile Kostenersparnisse, gesteigerte Mitarbeitermoral usw. abgewogen werden. Vermischung von geschäftlichen und persönlichen Daten: Dies ist eindeutig eines der größten Probleme. Derzeit existieren zwar Lösungen, z. B. das mobile Sicherheitsprodukt von Kaspersky Lab, die geschäftliche und persönliche Daten in getrennten Containern speichern, nur wenige bieten aber auch eine getrennte Durchsetzung der Sicherheitsrichtlinien an, d. h. wird ein Gerät gestohlen oder kommt es abhanden, gehen bei einer Löschung per Fernzugriff alle geschäftlichen, aber auch alle privaten Daten verloren. Unternehmen und Mitarbeiter sollten diesen Aspekt berücksichtigen. 15

16 Hier einige Praxisbeispiele, was alles schieflaufen kann: Das Hochzeitsfoto: In einem Fall war ein Angestellter eines Unternehmens überzeugt, er hätte sein Smartphone verloren. Um zu verhindern, dass vertrauliche Geschäftsdaten in die falschen Hände geraten, löschte das Unternehmen sämtliche Daten auf dem Smartphone per Fernzugriff. Wie sich herausstellte, hatte der Mitarbeiter sein Smartphone gar nicht verloren, sondern nur verlegt. Die Ehefrau forderte Schadensersatz von dem Unternehmen, weil die einzige Kopie ihrer wertvollsten Familienfotos zerstört wurde. Abgesehen davon, dass der Angestellte und seine Frau Sicherungskopien der Bilder hätten erstellen sollen, geriet das Unternehmen in eine schwierige Lage, weil es vertraglich nicht gegen die Forderungen der Ehefrau abgesichert war. Weitere Informationen finden Sie im Abschnitt Freunde und Familie weiter unten. Der nächste große Roman: In einem anderen Fall gestattete ein Arbeitgeber seinen Mitarbeitern die Nutzung ihrer eigenen Laptops. Während der Unternehmer eine neuartige Sicherheitssoftware auf jedem der Laptops installieren ließ, behauptete einer der Mitarbeiter, sein Arbeitgeber sei für einen Datenverlust verantwortlich, bei dem auch die einzige Kopie eines Romans verloren gegangen sei, an dem er bereits einige Jahre gearbeitet hatte. Der Unternehmer konnte nicht auf eine entsprechende Richtlinie zurückgreifen, die ihn gegen eine solche Forderung des Angestellten abgesichert hätte. Letztendlich führte das Unternehmen eine Einigung mit dem Mitarbeiter herbei. It s in the Cloud: Online-Speicherdienste gehören mittlerweile zum Alltag. Viele dieser Dienste arbeiten mit Smartphone-Betriebssystemen zusammen oder sind darin integriert. In einer Reihe von Fällen haben Mitarbeiter mit diesen privaten Cloud-Diensten nicht nur persönliche Daten, sondern aus Versehen auch vertrauliche Geschäftsdaten in der Cloud gespeichert, d. h. Geschäftsdaten wurden auf externe Server von Drittanbietern kopiert, über die das Unternehmen keine Kontrolle hatte und deren Sicherheitsstandards möglicherweise unzureichend waren. Softwarelizenzprobleme: Unternehmen müssen darauf achten, dass die auf den BYOD-Geräten ihrer Mitarbeiter eingesetzte Drittanbietersoftware über ausreichende Lizenzen verfügt: So kann ein Mitarbeiter nicht die Home -Version einer Textverarbeitung nutzen, um damit täglich auf seinem BYOD-Laptop für seinen Arbeitgeber tätig zu sein. Dies würde höchstwahrscheinlich gegen die Drittanbieter-Lizenzvereinbarung der Software verstoßen. Ein weiteres Beispiel wäre ein BYOD-Gerät, mit dem über eine VPN-Verbindung (Virtual Private Network) auf eine bestimmte, auf einem Unternehmenssystem ausgeführte Drittanbietersoftware (z. B. ein Buchhaltungsprogramm, eine CRM-Software oder eine Auftragserfassungssoftware usw.) zugegriffen wird. Die zugehörige Drittanbieter-Lizenzvereinbarung sollte dahingehend geprüft werden, ob ein solcher Fernzugriff im Lizenzumfang enthalten ist. In einigen Fällen könnten zusätzliche Lizenzgebühren anfallen. 16

17 Bei der Nutzung eigener Geräte sollten Mitarbeiter nicht nur die damit verbundenen Vorteile berücksichtigen, sondern auch bedenken, was sie dadurch aufgeben. Offenlegung/Gerichtsverfahren: Bei der Entscheidung, sein eigenes privates Gerät beruflich zu nutzen, sollten Mitarbeiter nicht nur die damit verbundenen Vorteile berücksichtigen, sondern auch bedenken, was sie dadurch möglicherweise aufgeben. Bei einem Rechtsstreit kann es nämlich erforderlich sein, dass der Arbeitgeber oder Dritte das fragliche Gerät und dessen Inhalte inspizieren. Hiervon betroffen sind dann s, Fotos, GPS-Standortdaten usw. Unter gewissen Umständen können außerdem wichtige Gründe für den Arbeitgeber vorliegen, sämtliche Daten auf dem Gerät per Fernzugriff zu löschen. Sofern die Daten auf dem Gerät zuvor nicht gesichert wurden, könnten so alle persönlichen Daten des Mitarbeiters verloren gehen. Dies sind wichtige Aspekte, die es vor der Teilnahme an einer BYOD-Initiative zu bedenken gilt. RSI-Syndrom und andere arbeitsbedingte Erkrankungen: BlackBerry -Daumen und andere Krankheitsbilder, die durch regelmäßige, gleichbleibende Belastung bei der Verwendung von Laptops, Smartphones, Tablet-PCs usw. entstehen können, sollten bei der Erstellung einer effektiven BYOD-Richtlinie berücksichtigt werden. So sollten teilnehmende Mitarbeiter sich unbedingt mit den Informationen zur Ergonomie ihrer Geräte vertraut machen und anerkennen, dass der Arbeitgeber für Krankheiten, die durch Nutzung der Geräte entstehen, nicht verantwortlich gemacht werden kann. Das Unternehmen sollte auch prüfen, ob berufsbedingte Krankheiten, die durch Nutzung privater Geräte entstehen, durch die Arbeiterunfallversicherung oder andere Versicherungen abgedeckt werden. Gemeinsame Nutzung von Geräten mit Außenstehenden: Das Freunde und Familie - Dilemma. Mitarbeiter gestatten Freunden und Angehörigen eigentlich immer, ihre BYOD-Geräte zu nutzen. Diese nahestehenden Außenstehenden haben damit potenziell Zugriff auf alle geschäftlichen Daten, die auf dem Gerät gespeichert sind. Dies lässt sich nicht verhindern. Schlimmer noch, das Risiko lässt sich auch mithilfe moderner Technologie nicht entschärfen. Das Unternehmen hat nämlich weder irgendeine Art von Vertraulichkeitsvereinbarung mit besagten Dritten abgeschlossen, noch haben diese eine Unternehmensrichtlinie in Bezug auf die Nutzung von BYOD-Geräten unterzeichnet. Es besteht also keinerlei vertragliche Absicherung gegenüber firmenexternen Benutzern. Wenn ein Außenstehender beispielsweise s über das Gerät sendet und empfängt und das Unternehmen in Zusammenhang mit einem Rechtsstreit gezwungen ist, die Geräteinhalte zu prüfen, wird möglicherweise das Recht auf Privatsphäre verletzt, wenn das Unternehmen, vielleicht sogar ungewollt, private Korrespondenz öffnet und liest. Ähnlich besteht die Möglichkeit, dass ein Unternehmen aus berechtigtem Anlass den gesamten Geräteinhalt per Fernzugriff löscht. In diesem Fall hat der Mitarbeiter selbst keinen Haftungsanspruch gegenüber dem Unternehmen, weil er eine Richtlinie unterschrieben hat, welche diese Möglichkeit einräumt, Freunde und Angehörige haben dieser Richtlinie jedoch nicht zugestimmt. Gehen bei einem solchen Vorgang wertvolle Daten von Dritten verloren, können sich diese berechtigte Hoffnung auf Schadensersatzanspruch machen. Entsorgung von Geräten durch den Mitarbeiter: Das Unternehmen sollte ein Verfahren einführen, das Mitarbeitern die Möglichkeit gibt, die vollständige Löschung aller vertraulichen Geschäftsdaten vor der Entsorgung des Geräts nachzuweisen. Die Unternehmensleitung sollte sich bewusst machen, dass das Interesse an dem neuesten Smartphone-, Tablet- oder Laptop- Modell groß ist und Mitarbeiter ihre Geräte gegen andere eintauschen, bei ebay verkaufen oder anderweitig veräußern, möglicherweise ohne den Arbeitgeber zu informieren. Eine Überprüfung des Geräts gestaltet sich besonders schwierig, wenn das Beschäftigungsverhältnis im Streit beendet wurde. Möglicherweise weigert sich der Mitarbeiter dann, das Gerät zur Überprüfung vorzulegen. In einem solchen Fall bleibt dem Arbeitgeber oft nur die Möglichkeit, sämtliche Daten auf dem Gerät per Fernzugriff zu löschen. 17

18 Wichtige Bestandteile einer BYOD-Strategie Um die oben vorgestellten Grundprinzipien der Compliance (CIA, Zumutbarkeit/Angemessenheit und Anpassung) zu berücksichtigen, muss eine BYOD-Initiative sich auf die folgenden drei Eckpfeiler stützen: Richtlinie, Schulung sowie Technologie/Durchsetzung. Richtlinie: Die maßgebliche Grundlage für BYOD-Initiativen ist eine klar verständliche Richtlinie. Die Richtlinie definiert Rechte und Pflichten des Mitarbeiters in Bezug auf die Initiative. Hierzu gehört auch, den Mitarbeiter darüber zu informieren, dass er oder sie durch Teilnahme an der Initiative bestimmte Rechte aufgibt. So besteht beispielsweise die Möglichkeit, dass Daten auf Mobilgeräten bei einem Rechtsstreit als Teil der Offenlegung von Dokumenten überprüft werden müssen oder persönliche Daten unwiederbringlich verloren gehen, wenn bei einem Geräteverlust der komplette Geräteinhalt per Fernzugriff gelöscht wird, um geschäftliche Daten zu schützen. Es ist gängige Praxis, die Richtlinie erst vom Mitarbeiter unterzeichnen zu lassen, bevor er oder sie an der BYOD-Initiative teilnehmen kann. Die Richtlinie sollte klar zum Ausdruck bringen, dass die Teilnahme an der Initiative jederzeit vom Unternehmen widerrufen werden kann. So könnte sich das Unternehmen beispielsweise zur Einstellung der Initiative entscheiden oder die Art und Weise, wie ein bestimmter Mitarbeiter sein Gerät nutzt, als zu risikoreich einstufen. In solchen Fällen muss die Unternehmensleitung das uneingeschränkte Recht haben, die Initiative zu beenden oder einen bestimmten Mitarbeiter von der Teilnahme auszuschließen. Viele Unternehmen geben von Zeit zu Zeit Anschlussmitteilungen an ihre Mitarbeiter aus, die bestimmte Aspekte der Richtlinie erläutern, beispielsweise die besonderen Risiken, die entstehen, wenn Mitarbeiter Sicherungskopien von Geschäftsdaten mithilfe privat genutzter Online-Speicherdienste (z. B. DropBox, icloud usw.) erstellen. Schulung: Mitarbeiterschulungen sind ein weiterer wichtiger Bestandteil von effektiven BYOD- Initiativen. Es reicht in der Regel nicht aus, Mitarbeitern einfach nur eine Richtlinie an die Hand zu geben, die eventuell gar nicht gelesen wird. Stattdessen hat es sich bewährt, eine oder mehrere Schulungen abzuhalten, in denen speziell auf die Rechte und Verpflichtungen hingewiesen wird, die sich aus einer Teilnahme an dem Programm ergeben. Je nachdem, wie vertraulich die Daten sind, auf die Mitarbeiter Zugriff haben, empfiehlt es sich, die Schulungen in regelmäßigen Abständen zu wiederholen. Technologie/Durchsetzung: Der letzte Baustein besteht im Einsatz von Technologien und anderen Maßnahmen zur Durchsetzung der Richtlinie. Hierzu reicht u. U. die Auflage, dass nur Geräte eingesetzt werden dürfen, bei denen bestimmte Sicherheitsfunktionen (erforderliche Passwörter, Timeout, Fernlöschung) per Fernzugriff ausgeführt werden können. Mittlerweile stehen auch andere, hochentwickelte Technologien zur Verfügung, die z. B. die Möglichkeit bieten, persönliche und geschäftliche Daten voneinander zu trennen. Ähnlich wie bei den drei Grundprinzipien der Compliance ist für den Aufwand, den ein Unternehmen für die Bereitstellung dieser Bestandteile betreiben muss, die Frage ausschlaggebend, um welche Art von Informationen es sich handelt, die durch ein BYOD- Programm zusätzlichen Risiken ausgesetzt werden. 18

19 Fazit 8.0 Obwohl Anzahl und Komplexität der Gesetze und Vorschriften zur Informationssicherheit ständig steigen, gibt es doch bestimmte Prinzipien, die den meisten gemein sind. In diesem Whitepaper wurden die drei wichtigsten und geläufigsten Prinzipien vorgestellt. Mit der Erkenntnis, dass die aktuelle Gesetzeslage keine perfekte Umsetzung vorschreibt, sondern nur die erforderliche Sorgfalt, ein angemessenes Verhalten und eine Anpassung der Sicherheitsmaßnahmen an den Charakter der exponierten Daten verlangt, ist bereits ein großer Schritt auf dem Weg zur Erreichung von Compliance getan. Aus den Erläuterungen zur Informationssicherheit im Umgang mit Lieferanten und Entwicklung von effektiven BYOD-Programmen ist deutlich geworden, wie sich diese gemeinsamen Prinzipien in der Praxis anwenden lassen. Durch den klugen Einsatz von Schulungen, Richtlinien und Technologien lässt sich das Compliance-Risiko insgesamt beträchtlich verringern. Über den Autor Michael R. Overly ist Partner in der Information Technology and Outsourcing Group in der Niederlassung von Foley & Lardner LLP in Los Angeles. Overly beschäftigt sich beruflich hauptsächlich mit der Ausarbeitung und Aushandlung von Technologievereinbarungen und den rechtlichen Aspekten von Technologie am Arbeitsplatz, und elektronischen Beweisen. Er hat eine Vielzahl von Artikeln und Büchern zu diesen Themen veröffentlicht und ist mit seinen Kommentaren häufig in der US-amerikanischen Presse vertreten (New York Times, Chicago Tribune, Los Angeles Times, Wall Street Journal, ABCNEWS.com, CNN und MSNBC). Overly hat Schulungsseminare in den USA, Norwegen, Japan und Malaysia abgehalten und wurde vor dem US-Kongress zu Online-Aspekten befragt. Er ist u. a. Autor der folgenden Werke: A Guide to IT Contracting: Checklists, Tools and Techniques (CRC Press 2012), e-policy: How to Develop Computer, , and Internet Guidelines to Protect Your Company and Its Assets (AMACOM 1998), Overly on Electronic Evidence (West Publishing 2002), The Open Source Handbook (Pike & Fischer 2003), Document Retention in The Electronic Workplace (Pike & Fischer 2001) und Licensing Line-by-Line (Aspatore Press 2004). Haftungsausschluss: Gesetze ändern sich häufig. Sie unterliegen außerdem unterschiedlichen Auslegungen. Es obliegt dem Leser, den aktuellen Gesetzesstand von einem kundigen Juristen oder einem anderen Experten prüfen zu lassen, bevor er sich auf die in diesem Whitepaper getroffenen Aussagen verlässt. Weder der Autor noch der Verleger übernimmt irgendeine Gewährleistung hinsichtlich der Folgen, die durch die Nutzung dieses Whitepaper entstehen. Weder der Autor noch der Verleger hat die Absicht, dem Leser mit diesem Whitepaper eine rechtliche Beratung oder eine andere Art von Dienstleistung zur Verfügung zu stellen. 19

20 Kaspersky Endpoint Security for Business Kaspersky Lab bietet eine umfassende Sicherheitsplattform zum Schutz Ihres Unternehmens an, mit der Sie alle Ihre Endpoints (physisch, virtualisiert oder mobil) verwalten, sichern und kontrollieren, Server und Gateways absichern oder Ihre gesamte Sicherheitsumgebung per Fernzugriff verwalten können. Kaspersky Endpoint Security for Business kann mit einer umfangreichen Palette von Technologien aufwarten, angefangen bei Malware-Schutz, Endpoint-Steuerung, Verschlüsselung und Mobile Device Management (MDM) über Systems Management, Patch Management bis hin zur Inventarisierung von Lizenzen. Und da immer mehr Unternehmen die Vorteile von BYOD- Initiativen (Bring Your Own Device), die es Mitarbeitern ermöglichen, die eigenen privaten Geräte auch zu beruflichen Zwecken zu nutzen, erkennen, können Sie BYOD durch mobile Sicherheit und MDM aufwerten. Bei Kaspersky-Produkten kann der Administrator die gesamte Sicherheitsumgebung über eine einzige, zentrale Konsole überwachen und steuern. Alle Komponenten sind nahtlos integriert und werden durch das Cloud-basierte Kaspersky Security Network unterstützt, um Unternehmen den erstklassigen Schutz zu bieten, den sie zur Abwehr immer ausgeklügelterer Cyberbedrohungen benötigen. Unsere Sicherheitsplattform wurde von Grund auf neu erstellt, damit IT-Experten ihre Infrastruktur erkennen, kontrollieren und schützen können. Unsere Sicherheitsmodule, Tools und Verwaltungskonsolen werden komplett von unseren eigenen Experten entwickelt. Das Resultat sind Stabilität, integrierte Richtlinien, sinnvolles Reporting und intuitiv zugängliche Tools. Kaspersky Endpoint Security for Business ist branchenweit die einzige wirklich integrierte Sicherheitsplattform. Über Kaspersky Lab Kaspersky Lab ist der weltweit größte Privatanbieter von Lösungen für den Schutz von Endpoints. Das Unternehmen gehört weltweit zu den führenden vier Anbietern von Sicherheitslösungen für Endpoint-Benutzer. In seiner 15-jährigen Firmengeschichte hat Kaspersky Lab stets eine Vorreiterrolle bei der IT-Sicherheit gespielt und bietet Einzelverbrauchern ebenso wie Unternehmen jeder Größenordnung wirksame Lösungen für die Datensicherheit. Derzeit ist das Unternehmen weltweit in fast 200 Ländern und Territorien tätig und sorgt bei über 300 Millionen Benutzern für den Schutz des Datenbestands. Weitere Informationen erhalten Sie unter: pm0qa/stand: Juli

SaaS. Geschäftspartnervereinbarung

SaaS. Geschäftspartnervereinbarung SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN Ergänzende interne Bestimmungen zur Durchführung der Verordnung über den Datenschutzbeauftragten ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

BlackBerry Social Networking Application Proxy für IBM Lotus Connections Version: 2.3.0. Versionshinweise

BlackBerry Social Networking Application Proxy für IBM Lotus Connections Version: 2.3.0. Versionshinweise BlackBerry Social Networking Application Proxy für IBM Lotus Connections Version: 2.3.0 Versionshinweise SWD-994524-0115033938-003 Inhaltsverzeichnis 1 Bekannte Probleme... 2 2 Rechtliche Hinweise... 3

Mehr

Bring your own Device

Bring your own Device Bring your own Device Name, Vorname: Rogler, Dominic Geburtstag: 18.04.1988 Studiengang: Angewandte Informatik 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 15.01.2015 Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

BayerONE. Allgemeine Nutzungsbedingungen

BayerONE. Allgemeine Nutzungsbedingungen BayerONE Allgemeine Nutzungsbedingungen INFORMATIONEN ZU IHREN RECHTEN UND PFLICHTEN UND DEN RECHTEN UND PFLICHTEN IHRES UNTERNEHMENS SOWIE GELTENDE EINSCHRÄNKUNGEN UND AUSSCHLUSSKLAUSELN. Dieses Dokument

Mehr

Allgemeine Software-Lizenzbedingungen der Axivion GmbH

Allgemeine Software-Lizenzbedingungen der Axivion GmbH Allgemeine Software-Lizenzbedingungen der Axivion GmbH Stand Juni 2008 1. Gegenstand der Lizenz 1.1 Gegenstand der Lizenz ist die dem Kunden auf der Grundlage der Allgemeinen Geschäftsbedingungen für Lieferungen

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Zusätzliche Einkaufsbedingungen der Stadtwerke München - nachstehend Auftraggeber genannt - für Hardware und Software ZEB-IT Stand 03/2006

Zusätzliche Einkaufsbedingungen der Stadtwerke München - nachstehend Auftraggeber genannt - für Hardware und Software ZEB-IT Stand 03/2006 Zusätzliche Einkaufsbedingungen der Stadtwerke München - nachstehend Auftraggeber genannt - für Hardware und Software ZEB-IT Stand 03/2006 1. Art und Umfang der auszuführenden Leistungen 1.1 Für Art und

Mehr

Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH

Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH Allgemeine Geschäftsbedingungen der VDD - Vorsorgedienst Deutschland GmbH Stand der Allgemeinen Geschäftsbedingungen ( AGB ) März 2012 1. Geltungs- und Anwendungsbereich 1.1 Diese AGB gelten für die von

Mehr

Bring your own device (BYOD) aus rechtlicher Sicht. IT- Forum Innsbruck, 22.11.2012

Bring your own device (BYOD) aus rechtlicher Sicht. IT- Forum Innsbruck, 22.11.2012 Bring your own device (BYOD) aus rechtlicher Sicht IT- Forum Innsbruck, 22.11.2012 Zur Person - geboren in Salzburg - seit 2006 Rechtsanwalt in Wien - seit 2012 Partner der pfletschinger. Renzl Rechtsanwalts-

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig

Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 54/14 Luxemburg, den 8. April 2014 Presse und Information Urteil in den verbundenen Rechtssachen C-293/12 und C-594/12 Digital Rights Ireland und

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Due-Diligence-Prüfung für Vertriebspartner. Auf einen Blick

Due-Diligence-Prüfung für Vertriebspartner. Auf einen Blick Due-Diligence-Prüfung für Vertriebspartner Auf einen Blick Inhaltsverzeichnis Willkommen beim Due-Diligence-Prüfprozess von Coloplast 3 Warum ist Due Diligence so wichtig? 4 Worin liegen die Vorteile einer

Mehr

Nutzungsbedingungen. Übersetzung aus der englischen Sprache

Nutzungsbedingungen. Übersetzung aus der englischen Sprache Übersetzung aus der englischen Sprache Nutzungsbedingungen Willkommen auf der Website von Eli Lilly and Company ( Lilly ). Durch Nutzung der Website erklären Sie, an die folgenden Bedingungen sowie an

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Diese Privacy Policy gilt nur für in der Schweiz wohnhafte Personen. Wie wir Ihre persönlichen Daten verarbeiten und schützen

Diese Privacy Policy gilt nur für in der Schweiz wohnhafte Personen. Wie wir Ihre persönlichen Daten verarbeiten und schützen Datenschutz Bei Genworth Financial geniesst der Schutz Ihrer Privatsphäre einen hohen Stellenwert. Wir schätzen das Vertrauen, das Sie uns entgegenbringen. Mit diesen Informationen möchten wir Ihnen aufzeigen,

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

3. In dieser Richtlinie bezeichnet der Ausdruck "Mitgliedstaat" die Mitgliedstaaten mit Ausnahme Dänemarks.

3. In dieser Richtlinie bezeichnet der Ausdruck Mitgliedstaat die Mitgliedstaaten mit Ausnahme Dänemarks. EU-Richtlinie zur Mediation vom 28.02.2008 Artikel 1 Ziel und Anwendungsbereich 1. Ziel dieser Richtlinie ist es, den Zugang zur alternativen Streitbeilegung zu erleichtern und die gütliche Beilegung von

Mehr

Bring Your Own Device (BYOD) - Rechtliche Aspekte

Bring Your Own Device (BYOD) - Rechtliche Aspekte Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Lizenzvereinbarung zur Nutzung von Testversionen der elead-software

Lizenzvereinbarung zur Nutzung von Testversionen der elead-software Lizenzvereinbarung zur Nutzung von Testversionen der elead-software zwischen der elead GmbH, Mierendorffstr. 4, 64625 Bensheim, vertreten durch den Geschäftsführer Benjamin Heigert (nachfolgend ELEAD genannt)

Mehr

Geschäftsbedingungen für Kunden Fairphone B.V.

Geschäftsbedingungen für Kunden Fairphone B.V. Sehr geehrte Kundin, sehr geehrter Kunde, aufgrund der Erfahrung mit dem Verkauf unserer Fairphones der ersten Generation haben wir die Geschäftsbedingungen geändert, um für einen klareren und reibungsloseren

Mehr

FAX NR.040/35018-199

FAX NR.040/35018-199 FAXBESTELLFORMULAR FAX NR.040/35018-199 An CorinaDunkel AgenturfürAudiovisueleKommunikation Warburgstrasse50 20354Hamburg Kaufpreis:Euro5.740,00 (zzgl.19% MwST) NachEingangIhrerBestelungsowiederrechtsverbindlichunterzeichneten

Mehr

BEST-PRACTICE-LEITFADEN: VERWALTUNG MOBILER GERÄTE UND MOBILE SECURITY

BEST-PRACTICE-LEITFADEN: VERWALTUNG MOBILER GERÄTE UND MOBILE SECURITY BEST-PRACTICE-LEITFADEN: VERWALTUNG MOBILER GERÄTE UND MOBILE SECURITY With Kaspersky, now you can. kaspersky.de/business-security Be Ready for What s Next INHALT 1. BETRIEB RUND UM DIE UHR...2 Page 2.

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Arbeitsgruppe IT-Recht

Arbeitsgruppe IT-Recht Arbeitsgruppe IT-Recht Rechtsfragen bei Enterprise Mobility Eine Einführung in wichtige rechtliche Themen bei der Nutzung von mobilen Endgeräten im Unternehmen. Einleitung Die betriebliche Nutzung von

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG

Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG Stand Dezember 2011 1. Gegenstand der Lizenz 1.1 Gegenstand der Lizenz ist die dem Kunden auf der Grundlage der Allgemeinen Geschäftsbedingungen

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Bedingungen für die Nutzung der bruno banani Cloud

Bedingungen für die Nutzung der bruno banani Cloud Bedingungen für die Nutzung der bruno banani Cloud 1 Anwendungsbereich Die nachstehenden Bedingungen gelten ausschließlich für die Nutzung der bruno banani Cloud durch registrierte Nutzer. Für die Nutzung

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Leitlinien und Empfehlungen

Leitlinien und Empfehlungen Leitlinien und Empfehlungen Leitlinien und Empfehlungen zum Geltungsbereich der CRA-Verordnung 17. Juni 2013 ESMA/2013/720. Datum: 17. Juni 2013 ESMA/2013/720 Inhalt I. Geltungsbereich 4 II. Zweck 4 III.

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Broker HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon: +41 44 265 47

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

»Bring Your Own Device«(BYOD)

»Bring Your Own Device«(BYOD) »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den 26.11.2013 Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover AGENDA

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

DEPOTABKOMMEN. 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, der Bank,. mit Sitz in, nachfolgend die Bank. 2.

DEPOTABKOMMEN. 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, der Bank,. mit Sitz in, nachfolgend die Bank. 2. DEPOTABKOMMEN Das vorliegende Depotabkommen wird abgeschlossen zwischen: 1. dem Versicherungsunternehmen,... mit Sitz in..., nachfolgend die Gesellschaft, und der Bank,. mit Sitz in, nachfolgend die Bank.

Mehr

Mobilgeräte an der WWU

Mobilgeräte an der WWU Mobilgeräte an der WWU Denkanstöße & Probleme Brauchen wir eine Richtlinie? Z I V T. Küfer IV - Sicherheitsteam Mobilgeräte Was ist daran neu? Laptops gibt es schon lange Smartphones/Tablets Geräte werden

Mehr

Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT

Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT Folgen von Datensicherheits- und Datenschutzverstößen für den Geschäftsführer sowie strafrechtliche Verantwortung im IP & IT Fachtagung Datensicherheit für den Mittelstand 23. Januar 2014 IHK zu Dortmund

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

International Working Group on Data Protection in Telecommunications

International Working Group on Data Protection in Telecommunications International Working Group on Data Protection in Telecommunications 675.49.11 Anwendungsbereich Arbeitspapier zu Datenschutz- und Datensicherheitsrisiken bei der Nutzung von privaten Endgeräten in Unternehmensnetzwerken

Mehr

EBL CONSULTING GROUP

EBL CONSULTING GROUP EBL CONSULTING GROUP Vertraulichkeitserklärung gegenüber Bewerbern EBL Business Services GmbH Von-Werth-Str. 15 D - 50670 Köln Diese Vertraulichkeitserklärung der EBL Business Services GmbH im Folgenden

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

(IT - Dienstleistungsvertrag)

(IT - Dienstleistungsvertrag) (IT - Dienstleistungsvertrag) Seite 1 von 5 Auftraggeber (nachfolgend Kunde genannt) Auftragnehmer (nachfolgend Provider genannt) Transoffice GmbH Industriestrasse 27 61381 Friedrichsdorf 1. Präambel Das

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice Leitfaden Mobile Device Management Stand: Dezember 2012 www.baymevbm.de/mobiledevice Inhalt X Inhalt 1 Einleitung... 1 2 Datenschutzrechtliche Aspekte... 3 2.1 Anwendbarkeit des Datenschutzrechts... 3

Mehr

1.2 Dem Lizenznehmer ist bekannt, dass eine Nutzung der Lizenzsoftware technisch nur in Verbindung mit der Hardware von TEGRIS möglich ist.

1.2 Dem Lizenznehmer ist bekannt, dass eine Nutzung der Lizenzsoftware technisch nur in Verbindung mit der Hardware von TEGRIS möglich ist. LIZENZBEDINGUNGEN STREAMING / TELEMEDICINE SYSTEM Vorbemerkung Der Lizenznehmer plant den Einsatz des von der Maquet GmbH (im Folgenden: Maquet) entwickelten OP-Integrations-Systems TEGRIS in seinen Operationsräumen

Mehr

Babelprojekt.com Datenschutzhinweise

Babelprojekt.com Datenschutzhinweise Babelprojekt.com Datenschutzhinweise Datenschutzrichtlinie runterladen Letzte Aktualisierung: 24. Apr. 2015 Willkommen zur Webseite des Babelprojekt Kft. Babelprojekt bittet Sie darum, vor der Nutzung

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte... 2 Verarbeitungsübersicht Meldepflicht... 2 Auftragsdatenverarbeitung... 2 Kontrollen

Mehr

Compliance Richtlinie der Viessmann Gruppe

Compliance Richtlinie der Viessmann Gruppe Compliance Richtlinie der Viessmann Gruppe Inhaltsverzeichnis Vorwort Übersicht 5 6 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Definition und Anwendungsbereich Informationspflicht Grundsätzliche

Mehr

Antrag auf Unterstützung & Spenden (Grants & Donations)

Antrag auf Unterstützung & Spenden (Grants & Donations) Antrag auf Unterstützung & Spenden (Grants & Donations) Sehr geehrte Frau/Herr Dr., Anfragen um eine finanzielle oder materielle Unterstützung (Spende) - so genannte Grants & Donations - werden bei GSK

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken Versicherbare rechtliche Cyber-Risiken RA Dr. Lukas Feiler, SSCP, CIPP/E Security Forum 2015 23. April 2015 Topics I. Zentrale rechtliche Cybersecurity-Risiken a. Persönliche Haftung der Geschäftsleitung

Mehr

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen:

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen: success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo- Präambel Die jeweiligen Vertragspartner haben die Absicht, auf

Mehr

EUROPÄISCHE WEBSITE RICHTLINIE FÜR AMWAY GESCHÄFTSPARTNER

EUROPÄISCHE WEBSITE RICHTLINIE FÜR AMWAY GESCHÄFTSPARTNER EUROPÄISCHE WEBSITE RICHTLINIE FÜR AMWAY GESCHÄFTSPARTNER 1 EUROPÄISCHE WEBSITE RICHTLINIE FÜR AMWAY GESCHÄFTSPARTNER Um ein Bewusstsein für Amway, Amway Produkte sowie die Amway Geschäftsmöglichkeit zu

Mehr

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können,

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können, Beschluss Nr. 110 des UNHCR-Exekutivkomitees über Flüchtlinge mit Behinderungen und andere Personen mit Behinderungen, die Schutz und Unterstützung von UNHCR erhalten verabschiedet auf seiner 61. Sitzung

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen Mit dem Abschluss des Buchungsvorganges bestätigen Sie, dass Sie die unten angeführten Geschäftsbedingungen gelesen und verstanden haben, sowie dass Sie diese annehmen und

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde.

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde. Datenschutzerklärung Engelbrecht Medizin- und Labortechnik GmbH respektiert das Recht auf Privatsphäre Ihrer Online-Besucher und ist verpflichtet, die von Ihnen erhobenen Daten zu schützen. In dieser Datenschutzerklärung

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Nutzungsbedingungen. Urheberschutz

Nutzungsbedingungen. Urheberschutz Nutzungsbedingungen Urheberschutz Die in der genutzten Event-App veröffentlichten Inhalte und Werke sind urheberrechtlich geschützt. Jede vom deutschen Urheberrecht nicht zugelassene Verwertung bedarf

Mehr

Supportbedingungen icas Software

Supportbedingungen icas Software Supportbedingungen icas Software flexible archiving iternity GmbH Bötzinger Straße 60 79111 Freiburg Germany fon +49 761-590 34-810 fax +49 761-590 34-859 sales@iternity.com www.iternity.com Support-Hotline:

Mehr

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Impressum Angaben gemäß 5 TMG: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Vertreten durch: Jens Müller Kontakt: Telefon: 004915168497847 E-Mail: info@mcdrent.de Registereintrag: Eintragung

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Sicherheit mit System: CryptShare Ein System für die sichere Dateiübertragung.

Sicherheit mit System: CryptShare Ein System für die sichere Dateiübertragung. Stadtsparkasse Düsseldorf Berliner Allee 33 40212 Düsseldorf Telefon: 0211 878-2211 Fax: 0211 878-1748 E-Mail: service@sskduesseldorf.de s Stadtsparkasse Düsseldorf Sicherheit mit System: CryptShare Ein

Mehr

Beratungsvertrag. Zwischen. und. PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch

Beratungsvertrag. Zwischen. und. PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch Beratungsvertrag Zwischen..... im Folgenden zu Beratende/r und PRO BONO Mannheim - Studentische Rechtsberatung, vertreten durch.... Namen der Berater einfügen; im Folgenden Beratende wird folgender Beratungsvertrag

Mehr

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und Kontrollvereinbarung datiert [Datum] zwischen [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und SIX SIS AG, Baslerstrasse 100, 4601 Olten (UID:

Mehr

Aufgaben und Pflichten eines Direktors

Aufgaben und Pflichten eines Direktors Aufgaben und Pflichten eines Direktors In Deutschland besteht eine Kapitalgesellschaft grundsätzlich aus mehreren Organen, wie dem Vorstand, Aufsichtsrat, bzw. einem Beirat. Die jeweiligen Pflichten und

Mehr

1. Nutzungsbedingungen für gehostete Webdienste und FTP Zugänge

1. Nutzungsbedingungen für gehostete Webdienste und FTP Zugänge CUS IT GmbH & Co KG Bergerskamp 45 49080 Osnabrück 1. Nutzungsbedingungen für gehostete Webdienste und FTP Zugänge Der Zugriff auf und die Nutzung von gehosteten Websites, FTP Zugänge und Services (die

Mehr

BBS-INTERNATIONAL-SOFTWARE-LIZENZBEDINGUNGEN

BBS-INTERNATIONAL-SOFTWARE-LIZENZBEDINGUNGEN BBS-INTERNATIONAL-SOFTWARE-LIZENZBEDINGUNGEN LEC Computer Program for Energy Efficiency and Certification of the Building Envelope für LEC für LEC-Demoversion für LEC-Sever Edition Diese Lizenzbedingungen

Mehr

Teilnahmebedingungen zum Gewinnspiel rt1.radiocheck

Teilnahmebedingungen zum Gewinnspiel rt1.radiocheck Teilnahmebedingungen zum Gewinnspiel rt1.radiocheck 1. Veranstalter Veranstalter des Gewinnspiels rt1.radiocheck ist hitradio.rt1, Curt-Frenzel- Straße 4 in 86167 Augsburg. 2. Geltungsbereich Dies sind

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

MINDJET-ENDNUTZERLIZENZVERTRAG FÜR DAS MINDMANAGER IMAGE PACK

MINDJET-ENDNUTZERLIZENZVERTRAG FÜR DAS MINDMANAGER IMAGE PACK Stand: September 2011 MINDJET-ENDNUTZERLIZENZVERTRAG FÜR DAS MINDMANAGER IMAGE PACK Diese Lizenzbedingungen sind ein Vertrag zwischen Ihnen und dem für Sie zuständigen Mindjet- Unternehmen. Bitte lesen

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb 2.1 Bestellung des betrieblichen Datenschutzbeauftragten 31 2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb Auch wenn nicht alle Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr