UND Einhaltung gesetzlicher. gemeinsamen Grundlagen

Größe: px
Ab Seite anzeigen:

Download "UND Einhaltung gesetzlicher. gemeinsamen Grundlagen"

Transkript

1 Informationssicherheit UND Einhaltung gesetzlicher Vorschriften: Auf der Suche nach gemeinsamen Grundlagen Ein Whitepaper zu den Gemeinsamkeiten von Gesetzen und Vorschriften zur Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Von Michael R. Overly Esq., CISA, CISSP, CIPP, ISSMP, CRISC With Kaspersky, now you can. kaspersky.com/business Be Ready for What s Next

2 Inhalt 1.0 Einleitung Welche Daten sind schützenswert? Darum sind Schutzmechanismen wichtig Verbreitete Irrtümer über die Einhaltung von Informationssicherheitsstandards Gemeinsame Prinzipien von Gesetzen und Auflagen der Informationssicherheit Umgang mit Informationssicherheit bei Beziehungen zu Lieferanten und Geschäftspartnern BYOD-Initiativen (Bring Your Own Device) Fazit 19 2

3 Einleitung 1.0 Die rechtlichen Auflagen miteinander in Einklang zu bringen, ist bestenfalls eine Vollzeitbeschäftigung und zieht im schlimmsten Fall Geldbußen, Strafen und Gerichtsverfahren nach sich. Unternehmen sehen sich heutzutage der schier unlösbaren Aufgabe gegenüber, einem unüberschaubaren Wirrwarr aus Gesetzen und Vorschriften zur Vertraulichkeit und Sicherheit von Daten gerecht werden zu müssen. Die Urheber dieser Gesetze könnten nicht unterschiedlicher sein: lokale, regionale, nationale und sogar internationale Gesetzgeber. Dieses Problem betrifft nicht nur Großunternehmen. Selbst kleine Unternehmen mit eingeschränkter geografischer Präsenz können der Rechtsprechung anderer Staaten unterliegen, ganz einfach weil sie im Internet vertreten sind. Oft sind diese Gesetze und Vorschriften vage und schwammig und geben nur wenig praktische Anleitung hinsichtlich ihrer Einhaltung. Schlimmer noch, in vielen Fällen stehen die Gesetze unterschiedlicher Rechtsprechungen zueinander in Widerspruch. So können sich die erforderlichen Sicherheitsmaßnahmen von Staat zu Staat oder von Land zu Land grundlegend voneinander unterscheiden. Die rechtlichen Auflagen miteinander in Einklang zu bringen, ist bestenfalls eine Vollzeitbeschäftigung und zieht im schlimmsten Fall Geldbußen, Strafen und Gerichtsverfahren nach sich. Als Reaktion auf die steigende Bedrohung der Datensicherheit wurden oder werden weltweit Gesetze und Vorschriften erlassen, die Unternehmen zur Gewährleistung von Datensicherheit und -vertraulichkeit verpflichten. Selbst innerhalb eines Rechtsgebiets können unterschiedliche Behörden dafür zuständig sein, gegen Unternehmen vorzugehen, die gegen die geltenden Vorschriften verstoßen. Eine einzige Sicherheitsverletzung in einem Unternehmen kann also eine Vielzahl unterschiedlicher Behörden auf den Plan rufen, ganz zu schweigen von möglichen Schadensersatzforderungen durch Kunden, Partner, Aktionäre usw. In den USA kommt zum Schutz persönlicher Daten ein branchenorientiertes Modell zum Einsatz, z. B. gibt es unterschiedliche Bundesgesetze für den Gesundheits-, Finanz- und Kreditsektor sowie für die persönlichen Daten von Schülern/Studenten und Kindern. Andere Modelle, z. B. das der Europäischen Union, basieren auf einem einheitlichen Standard mit verstärktem Schutz für bestimmte, besonders vertrauliche Daten (z. B. Gesundheitsdaten, Mitgliedschaft in Gewerkschaften usw.). Die tatsächliche Umsetzung der Normen in Gesetze bleibt Angelegenheit der einzelnen Mitgliedstaaten. Auch Kanada verfolgt mit seinem Personal Information Protection and Electronic Documents Act (PIPEDA) einen ähnlichen Ansatz. Geldbußen und Schadensersatzforderungen können leicht in die Millionen gehen. Auch wenn die Haftung relativ eingeschränkt ist, kann das Ansehen eines Unternehmens durch negative öffentliche Berichterstattung und den Vertrauensverlust auf Seiten von Kunden und Geschäftspartnern dauerhaft Schaden nehmen. 3

4 65 % der Unternehmen weltweit glauben, dass BYOD-Richtlinien die Sicherheit ihres Geschäfts gefährden. 1 Gesetze und Auflagen sollen Unternehmen dazu bringen, vernünftig und angemessen zu handeln; sie verlangen nichts Undurchführbares oder Unzumutbares. Die Datensicherheit war noch nie zuvor derartigen Risiken ausgesetzt. Selten vergeht eine Woche, ohne dass in den Medien über ein Unternehmen berichtet wird, bei dem eine Sicherheitsverletzung aufgetreten ist. Auch wenn die Bedrohung durch Hacker beträchtlich ist, hat die widerrechtliche Aneignung bzw. Gefährdung von vertraulichen Daten durch Insider laut FBI einen neuen Höchststand erreicht. Zu den Insidern zählen nicht nur die Belegschaft eines Unternehmens, sondern auch seine Auftragnehmer und Geschäftspartner. Deshalb konzentriert sich dieses Whitepaper auf die zwei wichtigsten Bedrohungen durch Insider: Situationen, in denen Geschäftspartnern und Auftragnehmern eines Unternehmens vertrauliche Geschäftsdaten anvertraut werden, und BYOD-Initiativen, bei denen Geschäftsdaten auf Geräten zur Verfügung stehen, über die das Unternehmen nur wenig Kontrolle hat. Im ersten Fall entsteht das zu mindernde Risiko durch Insider, die eigentlich Außenstehende (d. h. Lieferanten und Geschäftspartner) sind. Im zweiten entsteht das Risiko durch die eigenen Mitarbeiter. Obwohl es keine einfachen Lösungen gibt, sollen mit diesem Whitepaper gleich mehrere Ziele erreicht werden: Klarzustellen, dass der Schutz persönlicher Daten nur ein Aspekt von Compliance ist. Unternehmen sind darüber hinaus für die Sicherheit weiterer Datenarten verantwortlich (z. B. Betriebsgeheimnisse, Daten und Informationen von Geschäftspartnern, nicht-öffentliche Finanzinformationen usw.). Herausarbeiten von drei Grundprinzipien, die in vielen Gesetzen und Vorschriften zu Datenschutz und -sicherheit vorkommen: 1. Vertraulichkeit, Integrität und Verfügbarkeit 2. Angemessen vorgehen bzw. angemessene oder notwendige Maßnahmen ergreifen 3. Anpassen der Sicherheitsmaßnahmen an die Vertraulichkeit der Daten und das Ausmaß der Bedrohung Diese allgemeinen, abstrakten Begriffe einordnen zu können, erleichtert es Unternehmen, ihre Compliance-Verpflichtungen zu verstehen. Eines muss hier jedoch betont werden: Informationssicherheits- und Datenschutzgesetze verlangen nicht das Unmögliche. Die perfekte Sicherheit wird zwar angestrebt, ist aber keine Forderung. Stattdessen wie noch des Öfteren zu betonen sein wird sollen die Gesetze und Auflagen in diesem Bereich Unternehmen dazu anhalten, vernünftig und angemessen zu handeln, und verlangen nichts Undurchführbares oder Unzumutbares. Wenn ein Unternehmen die Auflagen einhält, aber dennoch eine Sicherheitsverletzung auftritt, hat es im Allgemeinen noch kein Compliance- Problem. Aufzeigen der potenziellen Risiken mangelnder Compliance (z. B. Gerichtsverfahren, Geldbußen, Sanktionen usw.) und Erläuterung verbreiteter Irrtümer zu Informationssicherheitsund Datenschutzgesetzen. Vorstellung von zwei Praxisbeispielen, wie diese Prinzipien umgesetzt werden können, inklusive spezifischer Maßnahmen zur Risikominderung und Einhaltung gesetzlicher Verpflichtungen: 1. Anhand des ersten Beispiels wird erläutert, wie Informationssicherheit effektiver in die Beziehungen zu Lieferanten und Geschäftspartnern integriert werden kann. 2. Im zweiten Beispiel geht es darum, das Risiko bei der Umsetzung von BYOD-Initiativen zu kontrollieren. 1 Kaspersky Lab Bericht zu globalen IT-Risiken

5 Welche Daten sind schützenswert? 2.0 führen zu einer Beeinträchtigung der betrieblichen Abläufe eines Unternehmens. 2 Im Zusammenhang mit Informationssicherheit denken wir meist sofort an personenbezogene bzw. persönliche Daten. Obwohl sich sicherlich die meisten Gesetze und Verordnungen auf persönliche Daten beziehen, ist dies nur eine Art von Daten, für die Unternehmen gesetzliche Verantwortung tragen. So gut wie jedes Unternehmen besitzt eine Vielzahl unterschiedlicher, besonders vertraulicher Daten, die es zu schützen gilt. Hier einige Beispiele: Allgemeine vertrauliche Geschäftsdaten Hierzu gehören finanzielle Daten, Marketingpläne, mögliche Werbeaktivitäten, geschäftliche Kontaktdaten, Informationen über Investoren, Pläne für neue Produkte, Kundenlisten usw. Geistiges Eigentum Geistiges Eigentum ist in der Regel ein wichtiges, wenn nicht sogar das bedeutendste Kapital eines Unternehmens. Eine Sicherheitsverletzung könnte bedeuten, dass ein Unternehmen die Fähigkeit zur Durchsetzung seiner Urheberrechte verliert. So gelten Geschäftsgeheimnisse beispielsweise als wertvolle vertrauliche Daten eines Unternehmens, die innerhalb der Branche nicht bekannt sind, ). Gelangt ein Geschäftsgeheimnis an die Öffentlichkeit, verliert es seinen Status und Wert als Betriebsgeheimnis. So gut wie jedes Unternehmen besitzt irgendeine Art von Betriebsgeheimnis. Kundenlisten, Softwarequellcodes, Formeln, Geschäftsmethoden usw. können Betriebsgeheimnisse sein. Sie müssen geschützt werden, um ihren Status als Geheimnis zu wahren. Gesundheitsinformationen Gesundheitsinformationen gehören zu den am stärksten reglementierten und vertraulichsten Daten überhaupt. In den USA werden Vertraulichkeit und Sicherheit von persönlichen Gesundheitsinformationen beispielsweise durch den Health Insurance Portability and Accountability Act (HIPAA) geregelt. In einigen Rechtsprechungen genießen sie im Vergleich zu anderen Arten von persönlichen Daten besonderen Schutz. In der EU werden Gesundheitsinformationen im Rahmen der Datenschutzrichtlinie der Europäischen Union und in deren Umsetzung besonders geschützt. Siehe auch Australian Privacy Act von 1988 und der vor kurzem verabschiedete Privacy Amendment Act (Enhancing Privacy Protection). Unternehmen aus der Gesundheitsbranche sind manchmal im Besitz von Patientenakten, aber auch Unternehmen aus anderen Branchen bewahren Gesundheitsdaten von Mitarbeitern Persönliche finanzielle Daten Auch der Umgang mit persönlichen finanziellen Informationen ist stark reglementiert und streng vertraulich. In den USA regelt der Gramm-Leach-Bliley Act (GLBA) den vertraulichen Umgang und die Sicherheit persönlicher finanzieller Daten. In anderen Ländern werden persönliche Daten recht allgemein in übergeordneten Gesetzen definiert, um alles abzudecken, was persönlichen Daten zugeordnet werden kann, darunter auch finanzielle Informationen. Ein Beispiel ist Japans Gesetz zum Schutz personenbezogener Daten. Ähnlich wie bei Gesundheitsinformationen muss ein Unternehmen nicht dem Finanzsektor angehören, um im Besitz dieser Art von Informationen zu sein. Jeder Arbeitgeber besitzt vertrauliche finanzielle Informationen seiner Mitarbeiter Sicherheitsinformationen Auch die Sicherheitsinformationen selbst sind vertraulich und deshalb zu schützen. Sicherheitsrichtlinien, Sicherheitsüberwachungsberichte, Geschäftskontinuitätspläne und ähnliche Informationen sind streng vertraulich. Außenstehende könnten mit ihnen Schwachstellen in einem Unternehmen auszunutzen. 5

6 Darum sind Schutzmechanismen wichtig 3.0 Durchschnittlich beläuft sich der Schaden einer Datensicherheitsverletzung bei mittelständischen Unternehmen auf , bei Konzernen auf $. 3 Die Einhaltung gesetzlicher Auflagen ist sicherlich einer der wichtigsten Gründe für die Umsetzung von Informationssicherheitsmaßnahmen zum Schutz vertraulicher Daten. Für Unternehmen gibt es jedoch weitere maßgebliche Gründe, sich mit diesem Risiko auseinanderzusetzen. Schutz von Unternehmensressourcen Wie bereits angemerkt, besitzt jedes Unternehmen neben personenbezogenen Daten noch weitere, hochgradig schützenswerte Informationen (z. B. geistiges Eigentum, Marketingpläne, Pläne für neue Produkte, Investorinformationen, Finanzdaten usw.). Dies sind allesamt wertvolle Unternehmensressourcen, die es zu schützen gilt. Erforderliche Sorgfalt In vielen Gesetzen ist von der erforderlichen Sorgfalt die Rede, mit der Unternehmen zum Schutz vertraulicher Daten vorgehen sollten. Allgemeiner existiert diese Vorstellung bereits in der Verpflichtung der Geschäftsleitung, ein Unternehmen nach billigem Ermessen zu führen, wozu u. a. die erforderliche Sorgfalt beim Umgang mit geschäftlichen Informationsressourcen gehört. Weder das geltende Gesetz, noch diese generelle Leitlinie der Unternehmensführung verlangen jedoch eine perfekte Umsetzung. Es muss vielmehr nachgewiesen werden, dass zum Schutz der unternehmerischen Informationsressourcen angemessen und mit der erforderlichen Sorgfalt vorgegangen wurde. Wurde ein nachvollziehbarer Ansatz zur Risikominderung umgesetzt und dokumentiert, haben Unternehmen und Führungskräfte genau hierfür einen Beleg. Schutz des unternehmerischen Ansehens Das Auftreten einer Sicherheitsverletzung kann das Ansehen eines Unternehmens schwer beschädigen. Negative Schlagzeilen dieser Art können einem Unternehmen ernsthaft schaden. Kunden und Geschäftspartner könnten das Vertrauen in die Fähigkeit des Unternehmens verlieren, seine Informationen und Systeme zu schützen. Einschränkung der Haftung Der offensichtlichste Grund für eine nachvollziehbare Informationssicherheitsstrategie liegt letzten Endes in der Beschränkung einer möglichen Haftung. Hierbei kann es sich um unterschiedliche Arten von Geldbußen, strafrechtliche Konsequenzen, Aktionärsklagen und von Geschäftspartnern und Kunden angestrengte Zivilprozesse (inklusive kostspieliger Sammelklagen) gegen ein Unternehmen oder seine Führungskräfte handeln. 3 Kaspersky Lab Bericht zu globalen IT-Risiken

7 Verbreitete Irrtümer über die Einhaltung von Informationssicherheitsstandards 4.0 Die Gesetze und Vorschriften aus diesem Bereich verlangen keine Perfektion sie sollen Unternehmen dazu anhalten, vernünftig und angemessen zu handeln. Das Thema Informationssicherheit ist mit einer Reihe von Missverständnissen behaftet. Zwei verbreitete Irrtümer lauten, dass es nur um die Daten und nur um deren Vertraulichkeit gehe. Obwohl Daten und Vertraulichkeit sicherlich von entscheidender Bedeutung sind, ist doch eine umfassendere Betrachtungsweise erforderlich. Ein Unternehmen muss sich mit der Sicherheit seiner Daten befassen, jedoch auch mit den Systemen, die diese vorhalten. Hinzu kommt, dass Vertraulichkeit nur eines der drei Grundprinzipien echter Sicherheit darstellt. Jeder, der sich mit Informationssicherheit beschäftigt, sollte die Bedeutung des Akronyms CIA (Confidentiality, Integrity, Availability; Vertraulichkeit, Integrität, Verfügbarkeit) kennen. Damit Daten wirklich sicher sind, müssen alle drei Aspekte berücksichtigt werden. Vertraulichkeit bedeutet, dass Daten vor unbefugtem Zugriff und Weitergabe geschützt sind. Integrität garantiert die Richtigkeit von Daten, d. h. den Schutz vor nicht autorisierten Änderungen. Verfügbarkeit bedeutet, dass Daten bei Bedarf für Zugriff und Nutzung zur Verfügung stehen. Es ist wenig hilfreich, wenn die Vertraulichkeit und Integrität von Daten gewährleistet ist, diese aber nicht zur Verfügung stehen, wenn sie gebraucht werden. Um dies zu erreichen, müssen die Speichersysteme für die Daten entsprechende Service-Level hinsichtlich Verfügbarkeit, Reaktionszeit usw. erfüllen, besonders dann, wenn ein externer Anbieter mit dem Hosten der Daten beauftragt wurde. Die Bedeutung von CIA kann nicht hoch genug eingeschätzt werden. CIA ist nicht irgendein abstraktes Konzept aus dem Bereich Informationssicherheit. Es wurde teils wörtlich in Gesetzestexte aus dem Bereich Informationssicherheit übernommen. Unternehmen, welche die CIA-Forderungen nicht einhalten, verstoßen somit möglicherweise gegen das Gesetz. Ein weiteres Missverständnis besteht darin, dass der Gesetzgeber eine perfekte Umsetzung verlangt, d. h. dass Unternehmen ungeachtet der von ihnen aufgebrachten Sorgfalt für jeden Verstoß haftbar gemacht werden können. Dies ist nicht der Fall. Die Gesetze und Auflagen in diesem Bereich sollen Unternehmen dazu anhalten, vernünftig und angemessen zu handeln. Wenn ein Unternehmen die Auflagen einhält, aber dennoch eine Sicherheitsverletzung auftritt, hat es generell noch kein Compliance-Problem. 7

8 Gemeinsame Prinzipien von Gesetzen und Auflagen der Informationssicherheit 5.0 Allein die Vielfalt der bestehenden Gesetze und Auflagen, die selbst für Kleinunternehmen gelten, die mit vertraulichen Daten umgehen, kann eine erhebliche, wenn nicht unlösbare Herausforderung darstellen. Manchmal ist es selbst für ein hochgradig organisiertes Unternehmen unmöglich, alle einschlägigen Bestimmungen zu kennen, Widersprüche aufzulösen und dann eine Compliance-Strategie umzusetzen. In diesem Abschnitt geht es nicht darum, auf Gesetze und Auflagen einzeln einzugehen, sondern drei Grundprinzipien herauszuarbeiten, die vielen gemein sind. Die Kenntnis dieser Gemeinsamkeiten hilft Unternehmen dabei, ihre grundlegenden gesetzlichen Verpflichtungen zu verstehen. Die Grundprinzipien sind nicht nur Teil von Gesetzen und Auflagen, sondern finden sich auch in Vertragsstandards, z. B. dem Datensicherungsstandard für Kreditkartentransaktionen (PCI-DSS) und sogar in gemeinsamen Branchenstandards für Informationssicherheit, die von Unternehmen wie CERT bei Carnegie Mellon und der International Standards Organization (ISO) veröffentlicht wurden. Durch Einbeziehung dieser Gemeinsamkeiten bei Entwurf und Umsetzung von Informationssicherheitsprogrammen wird Unternehmen die Einhaltung von Gesetzen und Auflagen sowie anderer Anforderungen (z. B. PCI-DSS, Branchenstandards usw.) erheblich vereinfacht. Vertraulichkeit, Integrität und Verfügbarkeit (CIA) Wie bereits in Abschnitt 4 erwähnt, wurde das altbekannte CIA-Konzept, das in jeder Abhandlung zur Informationssicherheit zu finden ist, in vielen Gesetzen und Auflagen festgeschrieben. Die drei Eckpfeiler des Konzepts sind an den Hauptzielen der Informationssicherheit ausgerichtet: Daten/Informationen müssen vertraulich bleiben, gegen unbefugte Modifikation geschützt werden und bei Bedarf verfügbar sein. Eine Nichterfüllung eines dieser Kriterien stellt eine erhebliche Beeinträchtigung der Compliance sowie des Werts der Informationsressource selbst dar. Angemessen vorgehen bzw. angemessene oder notwendige Maßnahmen ergreifen Der Begriff des angemessenen Handelns ist in der Rechtssprache der USA, von Australien und vielen anderen Ländern weit verbreitet. In der Europäischen Union und vielen anderen Regionen wird in diesem Zusammenhang oft von angemessenen oder erforderlichen Maßnahmen gesprochen. Zusammen bilden diese Begriffe den Kern fast aller Gesetze zu Informationssicherheit und Datenschutz. Ein Unternehmen ist verpflichtet, zum Schutz seiner Daten angemessen vorzugehen bzw. die erforderlichen Maßnahmen zu ergreifen. Hierbei wird jedoch keine perfekte Umsetzung verlangt. Ein Unternehmen sollte sich vielmehr der bestehenden Risiken bewusst sein und die angemessenen bzw. erforderlichen Maßnahmen zu ihrer Minderung ergreifen. Sollte dennoch eine Sicherheitsverletzung auftreten, obwohl diese grundlegenden Anforderungen jedoch erfüllt wurden, hat das Unternehmen dadurch an sich noch nicht gegen geltende Gesetze verstoßen. 8

9 Anpassen von Sicherheitsmaßnahmen an Daten und Risiko Eng verwandt mit dem Konzept des angemessenen Handelns ist die Vorstellung, die Sicherheitsmaßnahmen im Umfang an den Bedrohungscharakter und die Vertraulichkeit der Daten anzupassen. Dies bedeutet, dass ein Unternehmen nicht sein gesamtes Sicherheitsbudget für eine eher harmlose Bedrohung auszugeben braucht. Ist das Risiko jedoch beträchtlich, insbesondere angesichts von Volumen und/oder Vertraulichkeit der Datenbestände, müssen auch die Bemühungen und die Ausgaben zur Eindämmung des Risikos entsprechend erhöht werden. Eine Datenbank, die nur Namen und physische Adressen enthält, muss nicht so aufwändig gesichert werden wie eine Datenbank mit Namen, Adressen und Sozialversicherungsnummern. Um dieses Konzept zu verdeutlichen, hier Auszüge aus zwei Gesetzen, die eine Anpassung des Umfangs beinhalten: Erstes Beispiel Ein Unternehmen hat Vorkehrungen zu treffen, die (a) der Größe, dem Geltungsbereich und der Art des Geschäfts desjenigen gerecht werden, der zum Schutz von persönlichen Informationen im Rahmen eines umfassenden Informationssicherheitsprogramms verpflichtet ist; (b) den Mitteln einer solchen Person angemessen sind; (c) dem Volumen der gespeicherten Daten angemessen sind; und (d) die Anforderungen hinsichtlich Sicherheit und Vertraulichkeit von Kunden- und Mitarbeiterdaten erfüllen. Zweites Beispiel Sicherheitsmaßnahmen haben Folgendes zu berücksichtigen: (i) Die Größe, Komplexität und Leistungsfähigkeit eines Unternehmens (ii) Die Sicherheitsfunktionen des Unternehmens für technische Infrastruktur, Hardware und Software (iii) Die Kosten der Sicherheitsmaßnahmen (iv) Die Wahrscheinlichkeit und Auswirkungen potenzieller Risiken für die Daten In den nächsten beiden Abschnitten werden diese Konzepte im Kontext zweier Praxisbeispiele erläutert, die sich unabhängig von Größe und Typ auf fast alle Unternehmen übertragen lassen. Anhand des ersten Beispiels wird erläutert, wie Informationssicherheit effektiver in die Beziehungen zu Lieferanten und Geschäftspartnern integriert werden kann. Konkret geht es darum, was ein Unternehmen tun kann, um seine Informationen zu schützen, wenn einer seiner Lieferanten Zugriff auf vertrauliche Daten hat. Im zweiten Beispiel geht es darum, das Risiko bei der Umsetzung von BYOD-Initiativen für Mitarbeiter eines Unternehmens zu kontrollieren. 9

10 Umgang mit Informationssicherheit bei Beziehungen zu Lieferanten und Geschäftspartnern 6.0 Fast wöchentlich kommt es zu Vorfällen, bei denen Unternehmen ihre vertraulichsten Geschäftsdaten einem Lieferanten oder Geschäftspartner anvertrauen, um dann zu erfahren, dass diese kompromittiert wurden, weil der Lieferant keine angemessenen Vorkehrungen zur Wahrung der Informationssicherheit getroffen hatte. Schlimmer noch, oft haben die Unternehmen ihre Sorgfaltspflicht in Bezug auf ihre Lieferanten verletzt und das Thema Informationssicherheit in ihren Lieferantenverträgen nicht ausreichend dokumentiert. In vielen Fällen bleibt ihnen dann auch kein Rechtsbehelf zum Ausgleich der erheblichen, durch den Datenverlust entstandenen Schäden. Angesichts der aktuellen behördlichen Rahmenbedingungen sollten Unternehmen bei der Aufnahme geschäftlicher Beziehungen, bei denen vertrauliche Daten Risiken ausgesetzt werden, weitaus gründlicher vorgehen. In diesem Abschnitt werden drei Instrumente vorgestellt, die Unternehmen umgehend einsetzen können, um die durch Lieferanten und Geschäftspartner entstehenden Risiken für die Informationssicherheit substanziell zu reduzieren, die Einhaltung und Dokumentation der Sorgfaltspflicht zu garantieren und bei einem Vorfall Abhilfe zu leisten. Es handelt sich um folgende Instrumente: Lieferantenfragebogen zur Sorgfaltspflicht Wichtige vertragliche Absicherungen Unter gegebenen Umständen, Einsatz einer Leistungsbeschreibung von Informationssicherheitsanforderungen. Wann immer ein Lieferant oder Geschäftspartner Zugriff auf das Netzwerk, die Anlagen oder Daten eines Unternehmens erhält, empfiehlt es sich, eines oder mehrere dieser Instrumente einzusetzen. Hierdurch lassen sich gleich mehrere Ziele erreichen: Einhaltung der CIA-Forderungen in Bezug auf Geschäftsdaten, Nachweis von angemessenem Verhalten beim Umgang mit Risiken und Anpassung der Sicherheitsmaßnahmen an das Risiko (z. B. solide vertragliche Absicherungen und strengere Einhaltung der Sorgfaltspflicht, falls der Lieferant in Besitz beträchtlicher Mengen streng vertraulicher Daten ist, im Vergleich zu einer weniger strikten Absicherung und Sorgfaltspflicht, wenn der Lieferant nur gelegentlich in Kontakt mit vertraulichen Daten kommt. 10

11 Angesichts des heutigen geschäftlichen und behördlichen Umfelds ist diese Ad-hoc- Prüfungsmethode weder sinnvoll noch angemessen. Das erste Instrument: Sorgfältige Prüfung Obwohl die meisten Unternehmen eine Art von Prüfung ausführen, bevor sie Lieferanten vertrauliche Daten anvertrauen oder Zugriff auf ihre Systeme gewähren, ist diese meist zwanglos, uneinheitlich und nicht eindeutig dokumentiert. Nur ganz selten findet das Ergebnis der Prüfung Eingang in die von den Parteien geschlossene vertragliche Vereinbarung. Angesichts des heutigen geschäftlichen und behördlichen Umfelds ist diese Ad-hoc-Prüfungsmethode weder sinnvoll noch angemessen. Um einen angemessen dokumentierten und einheitlichen Prüfungsprozess zu gewährleisten, sollten Unternehmen einen standardisierten Prüfungsfragebogen entwerfen, den jeder potenzielle Lieferant oder Geschäftspartner mit Zugang zu vertraulichen Geschäftsdaten oder persönlichen Informationen ausfüllen muss. Zu den behandelten Themenfeldern gehören die unternehmerische Verantwortung, Versicherungsschutz, finanzielle Lage, Personalpraktiken, Informationssicherheitsrichtlinien, physische Sicherheit, logische Sicherheit, Systemwiederherstellung nach einem Ausfall und Geschäftskontinuität sowie andere relevante Bereiche. Der Einsatz eines standardisierten Fragebogens hat eine Reihe bedeutender Vorteile: Einheitliche Vorlage für sorgfältige Prüfungen Direkte Vergleichbarkeit der Antworten von Lieferanten Garantierte Abdeckung aller wichtigen Prüfbereiche Einfache Integration der Prüfungsergebnisse in den Lieferantenvertrag. Der ausgefüllte Fragebogen wird in der Regel als Anhang in den Vertrag aufgenommen. Dem Lieferanten muss von Anfang an bewusst sein, dass die von ihm im Rahmen des Prüfungsvorgangs und insbesondere bei der Bearbeitung des Fragebogens gemachten Angaben (i) als Grundlage für die Entscheidung für einen Lieferanten dienen werden; und (ii) in den letztendlichen Vertrag einbezogen und als Teil in diesen aufgenommen werden. Der Fragebogen sollte einem potenziellen Lieferanten am besten so früh wie möglich vorgelegt werden. Er sollte Teil aller relevanten Ausschreibungen sein oder, falls keine Ausschreibung erfolgt, dem Interessenten als eigenständiges Dokument bei den Vorgesprächen vorgelegt werden. 11

12 Finanzielle Situation des Lieferanten: Ist der Lieferant ein privat geführtes oder börsennotiertes Unternehmen? Sind Kopien der jüngsten Geschäftsberichte verfügbar? Die finanzielle Situation mag auf den ersten Blick nicht ausschlaggebend für die Informationssicherheit sein, die Möglichkeit eines Bankrotts oder der Einstellung des Geschäftsbetriebs, während der Lieferant im Besitz vertraulicher Geschäftsdaten ist, stellt jedoch ein erhebliches Risiko dar. In solchen Fällen kann es schwierig, wenn nicht unmöglich sein, die Daten wiederzuerlangen und sicherzustellen, dass sie rückstandslos von den Systemen des Lieferanten entfernt wurden. Ähnlich wird die Möglichkeit, einen schlechten Lieferanten auf Schadensersatz zu verklagen, bereits im Keim erstickt, wenn dessen finanzielle Situation dies nicht erlaubt. Versicherungsschutz: Welche Art von Versicherungsschutz besitzt der Lieferant? Wie sehen die Deckungsgrenzen und andere Bestimmungen aus? Basiert der Schutz auf Inanspruchnahme oder Schadensereignis? Da allgemeine Betriebshaftpflichtversicherungen normalerweise keine Abdeckung für Informationssicherheitsverletzungen bieten, empfiehlt es sich, vom Lieferanten eine Cyberrisiko- oder Netzwerksicherheitsversicherung zu verlangen. Diese Art von Policen findet immer weitere Verbreitung. Unternehmerische Verantwortung: Sind strafrechtliche Verurteilungen oder aktuelle nennenswerte Rechtstreitigkeiten, Vorfälle, bei denen beim Lieferanten eine erhebliche Sicherheitslücke entstanden ist, Datenschutzverstöße, negative Betriebsprüfungsergebnisse usw. bekannt? Auftragsuntervergabe: Bedient sich der Lieferant zur Erbringung seiner Leistung eines Subunternehmers oder einer Tochtergesellschaft? Beauftragt der Lieferant ausländische Subunternehmer oder Tochtergesellschaften? In welchen Ländern sind diese ansässig? Welche Art von Leistung sollen sie erbringen? Welche Art von Informationen des Unternehmens wird an diese Rechtsträger weitergegeben? Organisatorische Sicherheitsmaßnahmen: Besitzt der Lieferant eine umfassende und gut dokumentierte Informationssicherheitsstrategie? Wie sehen seine Richtlinien für den Umgang mit Informationen aus? Besitzt der Lieferant ein spezielles Informationssicherheitsteam? Gibt es ein Vorfallreaktionsteam? Wie sehen die Informationssicherheitspraktiken des Lieferanten Vertraulichkeitsvereinbarung, spezielle vertragliche Vereinbarungen in Bezug auf Informationssicherheit usw.)? Physische Sicherheit; logische Kontrollen: Welche physischen Sicherheitsmaßnahmen und -verfahren setzt der Lieferant ein? Nutzt der Lieferant Zugriffskontrollen für seine Systeme, damit nur autorisierte Mitarbeiter Zugriff auf Informationen haben? Softwareentwicklungskontrollen: Wenn der Lieferant ein Softwarehersteller ist, wie sehen seine Entwicklungs- und Wartungsprozesse aus? Welche Sicherheitskontrollen kommen im Entwicklungszyklus zum Einsatz? Führt der Lieferant Sicherheitstests für seine Software aus? Besitzt der Lieferant neben der Produktions- eine separate Testumgebung? Lizenziert der Lieferant Codes von Drittanbietern, um diesen in seine Produkte zu integrieren? Wenn ja, welche Art von Codes? Datenschutzaspekte: Besitzt der Lieferant eine Datenschutzrichtlinie, um Risiken für Informationen von Kunden, Konsumenten und anderen Personen zu begegnen? Wie sieht der Revisionsverlauf dieser Richtlinie aus? Gibt es Sicherheitsverletzungen, über die der Lieferant seine Kunden informieren musste? Gibt es beim Lieferanten Mitarbeiterschulungen zum Umgang mit persönlichen Informationen? Wenn ja, wie oft? Notfallwiederherstellung und Geschäftskontinuität: Wie sehen die Geschäftskontinuitätsund Notfallwiederherstellungspläne des Lieferanten aus? Wann wurden sie zuletzt getestet? Wann wurden sie zuletzt überprüft? Gab es bei der Prüfung negative Ergebnisse? Wurden Mängel behoben? Wie sieht der Revisionsverlauf der Pläne aus? Welche Sicherheitsprozeduren gelten für den Wiederherstellungsstandort? 12

13 Das zweite Instrument: Wichtige vertragliche Absicherungen Bei der überwältigenden Mehrheit der zwischen Unternehmen und Lieferanten geschlossenen Verträge wird die Informationssicherheit entweder gar nicht oder nur sehr unspezifisch erwähnt. Bestenfalls enthalten die Verträge unzureichend definierte Sicherheitsanforderungen und eine einfache Vertraulichkeitsklausel. In aktuellen Branchenstandards (z. B. CERT und ISO) und Informationssicherheitsgesetzen wird jedoch eine weitaus spezifischere Sprachregelung für Lieferantenbeziehungen gefordert. Gegebenenfalls sollten die folgenden Absicherungen in einschlägige Lieferantenverträge aufgenommen werden: Vertraulichkeit: Eine vollständig ausgearbeitete Vertraulichkeitsklausel sollte die Grundlage für Informationssicherheitsvorkehrungen in allen Verträgen bilden. Die Vertraulichkeitsklausel sollte so allgemein gefasst sein, dass alle vom Unternehmen als vertraulich angesehenen Informationen durch sie abgedeckt werden. Außerdem sollten spezifische Beispiele geschützter Informationen genannt werden (z. B. Quellcode, Marketingpläne, Informationen über Produktneuheiten, Geschäftsgeheimnisse, finanzielle Daten, persönliche Informationen usw.). Während für den Vertraulichkeitsschutz eine Frist festgelegt werden kann, z. B. fünf Jahre, sollte für persönliche Informationen und Geschäftsgeheimnisse ausdrücklich ein zeitlich unbegrenzter Schutz spezifiziert werden. Klauseln, die eine Kennzeichnung relevanter Informationen als vertraulich oder proprietär durch das Unternehmen verlangen, sind zu vermeiden. Diese Art von Auflagen ist angesichts der herrschenden Praxis bei den Lieferantenbeziehungen als unrealistisch zu bewerten. Sie werden von den Vertragsparteien nur selten eingehalten, wodurch ein Risiko für proprietäre und vertrauliche Informationen entsteht. Gewährleistungen: Abgesehen von den üblichen Gewährleistungen hinsichtlich der Art und Weise der Leistungserbringung und der Befugnis zum Vertragsabschluss sollten die folgenden, für die Informationssicherheit relevanten Gewährleistungen in Betracht gezogen werden: Eine Gewährleistung, die den Lieferanten zur Einhaltung aktueller Branchenstandards zur Informationssicherheit verpflichtet. Einhaltung aller einschlägigen Gesetze und Auflagen zu Informationssicherheit, Datenschutz, Verbraucherschutz usw. Einhaltung der Datenschutzrichtlinie des Unternehmens bei Umgang und Verwendung persönlicher Informationen. Eine Gewährleistung der Nichtweitergabe vertraulicher Geschäftsdaten an im Ausland ansässige Subunternehmen oder Tochtergesellschaften, sofern kein ausdrückliches schriftliches Einverständnis des Unternehmens vorliegt. Eine Gewährleistung, dass die im Prüfungsfragebogen für Lieferanten (dieser sollte dem Vertrag als Anlage beiliegen) gemachten Angaben für den gesamten Zeitraum der Vertragsfrist zutreffend und wahrheitsgemäß sind und auf Ersuchen des Unternehmens auf den neuesten Stand gebracht werden. Allgemeine Sicherheitsverpflichtungen: Erwägen Sie die Aufnahme allgemeiner Klauseln, die den Lieferanten zur Ergreifung angemessener Maßnahmen verpflichten, um seine Systeme und Anlagen vor unbefugtem Zugriff und Eindringen zu schützen und diese regelmäßig auf Schwachstellen zu testen, sämtliche Sicherheitsverletzungen (auch potenzielle) umgehend dem Unternehmen zu melden, an gemeinsamen Sicherheitsüberprüfungen teilzunehmen und mit den für das Unternehmen zuständigen Aufsichtsbehörden bei der Prüfung seiner Informationssicherheitspraktiken zu kooperieren usw. 13

14 Der Lieferant sollte das Unternehmen vor Rechtsstreitigkeiten und anderen Forderungen schützen, die sich aus der mangelhaften Sicherheit seiner Systeme ergeben. Entschädigungserklärung: Für Fälle, in denen das Unternehmen durch eine Sicherheitsverletzung beim Lieferanten mit Schadensersatzansprüchen von Dritten zu rechnen hat, (z. B. Forderung durch Unternehmenskunden bei Verletzung der Vertraulichkeitsklausel für persönliche Informationen), sollte die Vereinbarung eine Entschädigungserklärung vorsehen, die den Lieferanten verpflichtet, das Unternehmen von Forderungen, Schadensersatz und den durch die Sicherheitsverletzung entstandenen Kosten schadlos zu halten. Der Lieferant sollte das Unternehmen also vor Rechtsstreitigkeiten und anderen Forderungen schützen, die sich aus der mangelhaften Sicherheit seiner Systeme ergeben. Haftungsbeschränkung: In fast allen Vereinbarungen findet sich eine Art von Haftungsbeschränkung, welche die Forderungen, mit denen die Vertragsparteien konfrontiert werden könnten, in Art und Umfang beschränken soll. Oft schließen diese Klauseln die Haftung des Lieferanten für alle Folgeschäden (z. B. entgangene Gewinne, Rufschädigung usw.) aus und beschränken jegliche weitere Haftung auf einen Bruchteil der gezahlten Strafen. Es gelingt nur selten, diese Art von Klauseln aus Verträgen auszuschließen, aber es ist möglich, den Lieferanten zu verpflichten, die Haftung für Schäden, die sich aus einem Bruch der Vertraulichkeit ergeben, sowie seine Entschädigungsverpflichtung für Forderungen, die der Lieferant aufgrund mangelnder Systemsicherheit selbst verursacht hat, aus dieser Beschränkung auszuschließen bzw. eine erhöhte Haftung anzubieten. Ohne diese Ausnahmen sind die beschriebenen vertraglichen Absicherungen im Grunde Makulatur. Wenn ein Lieferant für einen Bruch der Vertraulichkeit nicht haftbar gemacht werden kann, weil die vom Lieferanten zu zahlende Entschädigung durch die Haftungsbeschränkung auf zu vernachlässigende Summen reduziert wird, ist die Vertraulichkeitsklausel bedeutungslos. Das dritte Instrument: Leistungsbeschreibung der Informationssicherheitsanforderungen Das dritte Instrument, mit dem sich Informationssicherheitsrisiken auf Seiten des Lieferanten minimieren lassen, besteht im Einsatz einer Leistungsbeschreibung, in der die spezifischen Sicherheitsanforderungen für eine bestimmte Transaktion definiert werden. In einer solchen Leistungsbeschreibung könnte beispielsweise die Übertragung von Geschäftsdaten des Unternehmens über WLAN-Verbindungen (z. B a/b/g) bzw. deren Transport auf Wechseldatenträgern, die leicht abhanden kommen können, untersagt werden. Denkbar sind ebenfalls spezifische Auflagen für die Verschlüsselung oder die Außerbetriebnahme von Hardware und Speichermedien, auf denen Geschäftsdaten des Unternehmens gespeichert waren, damit ein ordnungsgemäßes Löschen der Daten garantiert werden kann. Alle weiteren, für diese Transaktion relevanten physischen und logischen Sicherheitsmaßnahmen sollten ebenfalls benannt werden. Unternehmen gehen besondere Risiken ein, wenn sie ihre proprietären und vertraulichen Informationen Lieferanten, Geschäftspartnern und anderen Außenstehenden anvertrauen. Diese Risiken lassen sich mithilfe der vorgestellten Instrumente verringern: eine angemessene und einheitliche Prüfung, spezifische vertragliche Absicherung in Bezug auf Informationssicherheit sowie die Möglichkeit, Leistungsbeschreibungen, die spezifische Sicherheitsauflagen für den Lieferanten festlegen, und andere Zusätze in die Vereinbarung aufzunehmen. 14

15 BYOD-Initiativen (Bring Your Own Device) % der Befragten sind der Meinung, BYOD steigere die Arbeitsmoral. Der Begriff BYOD (Bring Your Own Device) bezieht sich auf Unternehmensinitiativen, die den Einsatz privat genutzter Geräte (z. B. Smartphone, Tablet-PC, Laptop, Netbook) zu beruflichen Zwecken ermöglichen sollen. In der Regel erhält der Mitarbeiter dabei auch die Erlaubnis, sich über sein persönliches Endgerät mit dem Unternehmensnetzwerk zu verbinden. BYOD-Programme bringen eine Reihe von wichtigen Vorteilen mit sich: Senkung der IT- Gesamtkosten des Unternehmens, Förderung der Mitarbeitermobilität und einer ständigen Einsatzbereitschaft, wie sie mittlerweile bei vielen Unternehmen üblich ist, verbesserte Zusammenarbeit und gesteigerte Mitarbeitermoral. Eine aktuelle Studie von Unisys zeigt einige dieser Vorteile auf: 71 % der Befragten sind der Meinung, BYOD steigere die Arbeitsmoral. 60 % glauben, BYOD führt zu mehr Produktivität. 44 % finden einen Job attraktiver, wenn das Unternehmen den Einsatz von ipads unterstützt. Die mit BYOD-Initiativen verbundenen Risiken liegen in der Natur der Sache, weil geschäftliche und private Daten auf ein und demselben Gerät gespeichert werden einem Gerät, über das Unternehmen so gut wie keine Kontrolle hat. Dieses Risiko wird anhand der Ergebnisse von zwei aktuellen Studien deutlich: Dell KACE-Studie: 87 % der Unternehmen sehen sich aufgrund von Mitarbeitern, die private Geräte (Laptops, Smartphones und Tablet-PCs) beruflich nutzen, nicht in der Lage, Unternehmensdaten und geistiges Eigentum wirksam zu schützen. eweek-studie: 62 % der IT-Administratoren geben an, nicht die richtigen Tools zur Verwaltung privater Geräte zu haben. Durch Konzentration auf die weiter oben vorgestellten Grundprinzipien der Compliance lassen sich die Risiken verringern. Hauptrisiken von BYOD-Initiativen Bevor ein Unternehmen sich für eine BYOD-Initiative entscheidet, sollten die folgenden bedeutenden Risiken gegen die potenziellen Vorteile Kostenersparnisse, gesteigerte Mitarbeitermoral usw. abgewogen werden. Vermischung von geschäftlichen und persönlichen Daten: Dies ist eindeutig eines der größten Probleme. Derzeit existieren zwar Lösungen, z. B. das mobile Sicherheitsprodukt von Kaspersky Lab, die geschäftliche und persönliche Daten in getrennten Containern speichern, nur wenige bieten aber auch eine getrennte Durchsetzung der Sicherheitsrichtlinien an, d. h. wird ein Gerät gestohlen oder kommt es abhanden, gehen bei einer Löschung per Fernzugriff alle geschäftlichen, aber auch alle privaten Daten verloren. Unternehmen und Mitarbeiter sollten diesen Aspekt berücksichtigen. 15

16 Hier einige Praxisbeispiele, was alles schieflaufen kann: Das Hochzeitsfoto: In einem Fall war ein Angestellter eines Unternehmens überzeugt, er hätte sein Smartphone verloren. Um zu verhindern, dass vertrauliche Geschäftsdaten in die falschen Hände geraten, löschte das Unternehmen sämtliche Daten auf dem Smartphone per Fernzugriff. Wie sich herausstellte, hatte der Mitarbeiter sein Smartphone gar nicht verloren, sondern nur verlegt. Die Ehefrau forderte Schadensersatz von dem Unternehmen, weil die einzige Kopie ihrer wertvollsten Familienfotos zerstört wurde. Abgesehen davon, dass der Angestellte und seine Frau Sicherungskopien der Bilder hätten erstellen sollen, geriet das Unternehmen in eine schwierige Lage, weil es vertraglich nicht gegen die Forderungen der Ehefrau abgesichert war. Weitere Informationen finden Sie im Abschnitt Freunde und Familie weiter unten. Der nächste große Roman: In einem anderen Fall gestattete ein Arbeitgeber seinen Mitarbeitern die Nutzung ihrer eigenen Laptops. Während der Unternehmer eine neuartige Sicherheitssoftware auf jedem der Laptops installieren ließ, behauptete einer der Mitarbeiter, sein Arbeitgeber sei für einen Datenverlust verantwortlich, bei dem auch die einzige Kopie eines Romans verloren gegangen sei, an dem er bereits einige Jahre gearbeitet hatte. Der Unternehmer konnte nicht auf eine entsprechende Richtlinie zurückgreifen, die ihn gegen eine solche Forderung des Angestellten abgesichert hätte. Letztendlich führte das Unternehmen eine Einigung mit dem Mitarbeiter herbei. It s in the Cloud: Online-Speicherdienste gehören mittlerweile zum Alltag. Viele dieser Dienste arbeiten mit Smartphone-Betriebssystemen zusammen oder sind darin integriert. In einer Reihe von Fällen haben Mitarbeiter mit diesen privaten Cloud-Diensten nicht nur persönliche Daten, sondern aus Versehen auch vertrauliche Geschäftsdaten in der Cloud gespeichert, d. h. Geschäftsdaten wurden auf externe Server von Drittanbietern kopiert, über die das Unternehmen keine Kontrolle hatte und deren Sicherheitsstandards möglicherweise unzureichend waren. Softwarelizenzprobleme: Unternehmen müssen darauf achten, dass die auf den BYOD-Geräten ihrer Mitarbeiter eingesetzte Drittanbietersoftware über ausreichende Lizenzen verfügt: So kann ein Mitarbeiter nicht die Home -Version einer Textverarbeitung nutzen, um damit täglich auf seinem BYOD-Laptop für seinen Arbeitgeber tätig zu sein. Dies würde höchstwahrscheinlich gegen die Drittanbieter-Lizenzvereinbarung der Software verstoßen. Ein weiteres Beispiel wäre ein BYOD-Gerät, mit dem über eine VPN-Verbindung (Virtual Private Network) auf eine bestimmte, auf einem Unternehmenssystem ausgeführte Drittanbietersoftware (z. B. ein Buchhaltungsprogramm, eine CRM-Software oder eine Auftragserfassungssoftware usw.) zugegriffen wird. Die zugehörige Drittanbieter-Lizenzvereinbarung sollte dahingehend geprüft werden, ob ein solcher Fernzugriff im Lizenzumfang enthalten ist. In einigen Fällen könnten zusätzliche Lizenzgebühren anfallen. 16

17 Bei der Nutzung eigener Geräte sollten Mitarbeiter nicht nur die damit verbundenen Vorteile berücksichtigen, sondern auch bedenken, was sie dadurch aufgeben. Offenlegung/Gerichtsverfahren: Bei der Entscheidung, sein eigenes privates Gerät beruflich zu nutzen, sollten Mitarbeiter nicht nur die damit verbundenen Vorteile berücksichtigen, sondern auch bedenken, was sie dadurch möglicherweise aufgeben. Bei einem Rechtsstreit kann es nämlich erforderlich sein, dass der Arbeitgeber oder Dritte das fragliche Gerät und dessen Inhalte inspizieren. Hiervon betroffen sind dann s, Fotos, GPS-Standortdaten usw. Unter gewissen Umständen können außerdem wichtige Gründe für den Arbeitgeber vorliegen, sämtliche Daten auf dem Gerät per Fernzugriff zu löschen. Sofern die Daten auf dem Gerät zuvor nicht gesichert wurden, könnten so alle persönlichen Daten des Mitarbeiters verloren gehen. Dies sind wichtige Aspekte, die es vor der Teilnahme an einer BYOD-Initiative zu bedenken gilt. RSI-Syndrom und andere arbeitsbedingte Erkrankungen: BlackBerry -Daumen und andere Krankheitsbilder, die durch regelmäßige, gleichbleibende Belastung bei der Verwendung von Laptops, Smartphones, Tablet-PCs usw. entstehen können, sollten bei der Erstellung einer effektiven BYOD-Richtlinie berücksichtigt werden. So sollten teilnehmende Mitarbeiter sich unbedingt mit den Informationen zur Ergonomie ihrer Geräte vertraut machen und anerkennen, dass der Arbeitgeber für Krankheiten, die durch Nutzung der Geräte entstehen, nicht verantwortlich gemacht werden kann. Das Unternehmen sollte auch prüfen, ob berufsbedingte Krankheiten, die durch Nutzung privater Geräte entstehen, durch die Arbeiterunfallversicherung oder andere Versicherungen abgedeckt werden. Gemeinsame Nutzung von Geräten mit Außenstehenden: Das Freunde und Familie - Dilemma. Mitarbeiter gestatten Freunden und Angehörigen eigentlich immer, ihre BYOD-Geräte zu nutzen. Diese nahestehenden Außenstehenden haben damit potenziell Zugriff auf alle geschäftlichen Daten, die auf dem Gerät gespeichert sind. Dies lässt sich nicht verhindern. Schlimmer noch, das Risiko lässt sich auch mithilfe moderner Technologie nicht entschärfen. Das Unternehmen hat nämlich weder irgendeine Art von Vertraulichkeitsvereinbarung mit besagten Dritten abgeschlossen, noch haben diese eine Unternehmensrichtlinie in Bezug auf die Nutzung von BYOD-Geräten unterzeichnet. Es besteht also keinerlei vertragliche Absicherung gegenüber firmenexternen Benutzern. Wenn ein Außenstehender beispielsweise s über das Gerät sendet und empfängt und das Unternehmen in Zusammenhang mit einem Rechtsstreit gezwungen ist, die Geräteinhalte zu prüfen, wird möglicherweise das Recht auf Privatsphäre verletzt, wenn das Unternehmen, vielleicht sogar ungewollt, private Korrespondenz öffnet und liest. Ähnlich besteht die Möglichkeit, dass ein Unternehmen aus berechtigtem Anlass den gesamten Geräteinhalt per Fernzugriff löscht. In diesem Fall hat der Mitarbeiter selbst keinen Haftungsanspruch gegenüber dem Unternehmen, weil er eine Richtlinie unterschrieben hat, welche diese Möglichkeit einräumt, Freunde und Angehörige haben dieser Richtlinie jedoch nicht zugestimmt. Gehen bei einem solchen Vorgang wertvolle Daten von Dritten verloren, können sich diese berechtigte Hoffnung auf Schadensersatzanspruch machen. Entsorgung von Geräten durch den Mitarbeiter: Das Unternehmen sollte ein Verfahren einführen, das Mitarbeitern die Möglichkeit gibt, die vollständige Löschung aller vertraulichen Geschäftsdaten vor der Entsorgung des Geräts nachzuweisen. Die Unternehmensleitung sollte sich bewusst machen, dass das Interesse an dem neuesten Smartphone-, Tablet- oder Laptop- Modell groß ist und Mitarbeiter ihre Geräte gegen andere eintauschen, bei ebay verkaufen oder anderweitig veräußern, möglicherweise ohne den Arbeitgeber zu informieren. Eine Überprüfung des Geräts gestaltet sich besonders schwierig, wenn das Beschäftigungsverhältnis im Streit beendet wurde. Möglicherweise weigert sich der Mitarbeiter dann, das Gerät zur Überprüfung vorzulegen. In einem solchen Fall bleibt dem Arbeitgeber oft nur die Möglichkeit, sämtliche Daten auf dem Gerät per Fernzugriff zu löschen. 17

18 Wichtige Bestandteile einer BYOD-Strategie Um die oben vorgestellten Grundprinzipien der Compliance (CIA, Zumutbarkeit/Angemessenheit und Anpassung) zu berücksichtigen, muss eine BYOD-Initiative sich auf die folgenden drei Eckpfeiler stützen: Richtlinie, Schulung sowie Technologie/Durchsetzung. Richtlinie: Die maßgebliche Grundlage für BYOD-Initiativen ist eine klar verständliche Richtlinie. Die Richtlinie definiert Rechte und Pflichten des Mitarbeiters in Bezug auf die Initiative. Hierzu gehört auch, den Mitarbeiter darüber zu informieren, dass er oder sie durch Teilnahme an der Initiative bestimmte Rechte aufgibt. So besteht beispielsweise die Möglichkeit, dass Daten auf Mobilgeräten bei einem Rechtsstreit als Teil der Offenlegung von Dokumenten überprüft werden müssen oder persönliche Daten unwiederbringlich verloren gehen, wenn bei einem Geräteverlust der komplette Geräteinhalt per Fernzugriff gelöscht wird, um geschäftliche Daten zu schützen. Es ist gängige Praxis, die Richtlinie erst vom Mitarbeiter unterzeichnen zu lassen, bevor er oder sie an der BYOD-Initiative teilnehmen kann. Die Richtlinie sollte klar zum Ausdruck bringen, dass die Teilnahme an der Initiative jederzeit vom Unternehmen widerrufen werden kann. So könnte sich das Unternehmen beispielsweise zur Einstellung der Initiative entscheiden oder die Art und Weise, wie ein bestimmter Mitarbeiter sein Gerät nutzt, als zu risikoreich einstufen. In solchen Fällen muss die Unternehmensleitung das uneingeschränkte Recht haben, die Initiative zu beenden oder einen bestimmten Mitarbeiter von der Teilnahme auszuschließen. Viele Unternehmen geben von Zeit zu Zeit Anschlussmitteilungen an ihre Mitarbeiter aus, die bestimmte Aspekte der Richtlinie erläutern, beispielsweise die besonderen Risiken, die entstehen, wenn Mitarbeiter Sicherungskopien von Geschäftsdaten mithilfe privat genutzter Online-Speicherdienste (z. B. DropBox, icloud usw.) erstellen. Schulung: Mitarbeiterschulungen sind ein weiterer wichtiger Bestandteil von effektiven BYOD- Initiativen. Es reicht in der Regel nicht aus, Mitarbeitern einfach nur eine Richtlinie an die Hand zu geben, die eventuell gar nicht gelesen wird. Stattdessen hat es sich bewährt, eine oder mehrere Schulungen abzuhalten, in denen speziell auf die Rechte und Verpflichtungen hingewiesen wird, die sich aus einer Teilnahme an dem Programm ergeben. Je nachdem, wie vertraulich die Daten sind, auf die Mitarbeiter Zugriff haben, empfiehlt es sich, die Schulungen in regelmäßigen Abständen zu wiederholen. Technologie/Durchsetzung: Der letzte Baustein besteht im Einsatz von Technologien und anderen Maßnahmen zur Durchsetzung der Richtlinie. Hierzu reicht u. U. die Auflage, dass nur Geräte eingesetzt werden dürfen, bei denen bestimmte Sicherheitsfunktionen (erforderliche Passwörter, Timeout, Fernlöschung) per Fernzugriff ausgeführt werden können. Mittlerweile stehen auch andere, hochentwickelte Technologien zur Verfügung, die z. B. die Möglichkeit bieten, persönliche und geschäftliche Daten voneinander zu trennen. Ähnlich wie bei den drei Grundprinzipien der Compliance ist für den Aufwand, den ein Unternehmen für die Bereitstellung dieser Bestandteile betreiben muss, die Frage ausschlaggebend, um welche Art von Informationen es sich handelt, die durch ein BYOD- Programm zusätzlichen Risiken ausgesetzt werden. 18

19 Fazit 8.0 Obwohl Anzahl und Komplexität der Gesetze und Vorschriften zur Informationssicherheit ständig steigen, gibt es doch bestimmte Prinzipien, die den meisten gemein sind. In diesem Whitepaper wurden die drei wichtigsten und geläufigsten Prinzipien vorgestellt. Mit der Erkenntnis, dass die aktuelle Gesetzeslage keine perfekte Umsetzung vorschreibt, sondern nur die erforderliche Sorgfalt, ein angemessenes Verhalten und eine Anpassung der Sicherheitsmaßnahmen an den Charakter der exponierten Daten verlangt, ist bereits ein großer Schritt auf dem Weg zur Erreichung von Compliance getan. Aus den Erläuterungen zur Informationssicherheit im Umgang mit Lieferanten und Entwicklung von effektiven BYOD-Programmen ist deutlich geworden, wie sich diese gemeinsamen Prinzipien in der Praxis anwenden lassen. Durch den klugen Einsatz von Schulungen, Richtlinien und Technologien lässt sich das Compliance-Risiko insgesamt beträchtlich verringern. Über den Autor Michael R. Overly ist Partner in der Information Technology and Outsourcing Group in der Niederlassung von Foley & Lardner LLP in Los Angeles. Overly beschäftigt sich beruflich hauptsächlich mit der Ausarbeitung und Aushandlung von Technologievereinbarungen und den rechtlichen Aspekten von Technologie am Arbeitsplatz, und elektronischen Beweisen. Er hat eine Vielzahl von Artikeln und Büchern zu diesen Themen veröffentlicht und ist mit seinen Kommentaren häufig in der US-amerikanischen Presse vertreten (New York Times, Chicago Tribune, Los Angeles Times, Wall Street Journal, ABCNEWS.com, CNN und MSNBC). Overly hat Schulungsseminare in den USA, Norwegen, Japan und Malaysia abgehalten und wurde vor dem US-Kongress zu Online-Aspekten befragt. Er ist u. a. Autor der folgenden Werke: A Guide to IT Contracting: Checklists, Tools and Techniques (CRC Press 2012), e-policy: How to Develop Computer, , and Internet Guidelines to Protect Your Company and Its Assets (AMACOM 1998), Overly on Electronic Evidence (West Publishing 2002), The Open Source Handbook (Pike & Fischer 2003), Document Retention in The Electronic Workplace (Pike & Fischer 2001) und Licensing Line-by-Line (Aspatore Press 2004). Haftungsausschluss: Gesetze ändern sich häufig. Sie unterliegen außerdem unterschiedlichen Auslegungen. Es obliegt dem Leser, den aktuellen Gesetzesstand von einem kundigen Juristen oder einem anderen Experten prüfen zu lassen, bevor er sich auf die in diesem Whitepaper getroffenen Aussagen verlässt. Weder der Autor noch der Verleger übernimmt irgendeine Gewährleistung hinsichtlich der Folgen, die durch die Nutzung dieses Whitepaper entstehen. Weder der Autor noch der Verleger hat die Absicht, dem Leser mit diesem Whitepaper eine rechtliche Beratung oder eine andere Art von Dienstleistung zur Verfügung zu stellen. 19

20 Kaspersky Endpoint Security for Business Kaspersky Lab bietet eine umfassende Sicherheitsplattform zum Schutz Ihres Unternehmens an, mit der Sie alle Ihre Endpoints (physisch, virtualisiert oder mobil) verwalten, sichern und kontrollieren, Server und Gateways absichern oder Ihre gesamte Sicherheitsumgebung per Fernzugriff verwalten können. Kaspersky Endpoint Security for Business kann mit einer umfangreichen Palette von Technologien aufwarten, angefangen bei Malware-Schutz, Endpoint-Steuerung, Verschlüsselung und Mobile Device Management (MDM) über Systems Management, Patch Management bis hin zur Inventarisierung von Lizenzen. Und da immer mehr Unternehmen die Vorteile von BYOD- Initiativen (Bring Your Own Device), die es Mitarbeitern ermöglichen, die eigenen privaten Geräte auch zu beruflichen Zwecken zu nutzen, erkennen, können Sie BYOD durch mobile Sicherheit und MDM aufwerten. Bei Kaspersky-Produkten kann der Administrator die gesamte Sicherheitsumgebung über eine einzige, zentrale Konsole überwachen und steuern. Alle Komponenten sind nahtlos integriert und werden durch das Cloud-basierte Kaspersky Security Network unterstützt, um Unternehmen den erstklassigen Schutz zu bieten, den sie zur Abwehr immer ausgeklügelterer Cyberbedrohungen benötigen. Unsere Sicherheitsplattform wurde von Grund auf neu erstellt, damit IT-Experten ihre Infrastruktur erkennen, kontrollieren und schützen können. Unsere Sicherheitsmodule, Tools und Verwaltungskonsolen werden komplett von unseren eigenen Experten entwickelt. Das Resultat sind Stabilität, integrierte Richtlinien, sinnvolles Reporting und intuitiv zugängliche Tools. Kaspersky Endpoint Security for Business ist branchenweit die einzige wirklich integrierte Sicherheitsplattform. Über Kaspersky Lab Kaspersky Lab ist der weltweit größte Privatanbieter von Lösungen für den Schutz von Endpoints. Das Unternehmen gehört weltweit zu den führenden vier Anbietern von Sicherheitslösungen für Endpoint-Benutzer. In seiner 15-jährigen Firmengeschichte hat Kaspersky Lab stets eine Vorreiterrolle bei der IT-Sicherheit gespielt und bietet Einzelverbrauchern ebenso wie Unternehmen jeder Größenordnung wirksame Lösungen für die Datensicherheit. Derzeit ist das Unternehmen weltweit in fast 200 Ländern und Territorien tätig und sorgt bei über 300 Millionen Benutzern für den Schutz des Datenbestands. Weitere Informationen erhalten Sie unter: pm0qa/stand: Juli

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Nutzungsbedingungen und Datenschutzrichtlinie der Website Nutzungsbedingungen und Datenschutzrichtlinie der Website Besucher unserer Website müssen die folgenden Bestimmungen akzeptieren, um Informationen über uns, unser Unternehmen und die von uns mittels unserer

Mehr

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER Bei ihrer Geschäftstätigkeit erheben Dassault Systèmes und seine Tochtergesellschaften (in ihrer Gesamtheit als 3DS bezeichnet) personenbezogene

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive 12. Konferenz Biometrics Institute, Australien Sydney, 26. Mai 2011 Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive Peter Hustinx Europäischer

Mehr

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein. Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

Die Inhalte dieser Website werden mit größtmöglicher Sorgfalt erstellt. Vollständigkeit Aktualität der bereit gestellten Inhalte.

Die Inhalte dieser Website werden mit größtmöglicher Sorgfalt erstellt. Vollständigkeit Aktualität der bereit gestellten Inhalte. Nutzungshinweise (1) Haftungsbeschränkung Inhalte dieser Website Die Inhalte dieser Website werden mit größtmöglicher Sorgfalt erstellt. Der Anbieter übernimmt jedoch keine Haftung für die Richtigkeit,

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Rechtliche Informationen und Datenschutz

Rechtliche Informationen und Datenschutz Rechtliche Informationen und Datenschutz Letzte Aktualisierung: 01 April 2010 RECHTLICHER HINWEIS Bitte lesen Sie die nachfolgenden Ausführungen genau durch. Mit Ihrem Zugriff auf diese Website und deren

Mehr

ARTIKEL-29-DATENSCHUTZGRUPPE

ARTIKEL-29-DATENSCHUTZGRUPPE ARTIKEL-29-DATENSCHUTZGRUPPE 12110/04/DE WP 102 Muster-Checkliste Antrag auf Genehmigung verbindlicher Unternehmensregelungen angenommen am 25. November 2004 Die Gruppe ist gemäß Artikel 29 der Richtlinie

Mehr

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können,

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können, Beschluss Nr. 110 des UNHCR-Exekutivkomitees über Flüchtlinge mit Behinderungen und andere Personen mit Behinderungen, die Schutz und Unterstützung von UNHCR erhalten verabschiedet auf seiner 61. Sitzung

Mehr

SaaS. Geschäftspartnervereinbarung

SaaS. Geschäftspartnervereinbarung SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und

Mehr

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen:

Vertraulichkeitserklärung / Non Disclosure Agreement - zwischen: success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo-nerd digital success seo- Präambel Die jeweiligen Vertragspartner haben die Absicht, auf

Mehr

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten

Verwaltung von Geräten, die nicht im Besitz des Unternehmens sind Ermöglich mobiles Arbeiten für Mitarbeiter von verschiedenen Standorten Tivoli Endpoint Manager für mobile Geräte Die wichtigste Aufgabe für Administratoren ist es, IT-Ressourcen und -Dienstleistungen bereitzustellen, wann und wo sie benötigt werden. Die Frage ist, wie geht

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Versicherungsnehmer HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon:

Mehr

Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum )

Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum ) Addendum zum Lizenzvertrag für die BlackBerry-Lösung WatchDox Cloud by BlackBerry ( Addendum ) Wichtige Hinweise: Um auf diesen Cloud Service (im Sinne der nachfolgenden Definition) zuzugreifen bzw. um

Mehr

Bedingungen über die- Nutzung des VPS-Service

Bedingungen über die- Nutzung des VPS-Service Bedingungen über die- Nutzung des VPS-Service Stand April 2015 Einleitung Der Virtual Private Server ist eine reservierte und private Hardware Server Lösung, die für alle Neukunden sowie Stammkunden zugänglich

Mehr

Bedingungen für die Nutzung der bruno banani Cloud

Bedingungen für die Nutzung der bruno banani Cloud Bedingungen für die Nutzung der bruno banani Cloud 1 Anwendungsbereich Die nachstehenden Bedingungen gelten ausschließlich für die Nutzung der bruno banani Cloud durch registrierte Nutzer. Für die Nutzung

Mehr

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin

Berlin, den 13.07.2015. Transparency International Deutschland e.v. Alte Schönhauser Str. 44 D 10119 Berlin D Dr. iur. Rainer Frank Arbeitsgruppe Hinweisgeber Geschäftsstelle D- Tel.: (49) (30) 54 98 98 0 Tel. (dienstl.): (49) (30) 31 86 853 Fax: (49) (30) 54 98 98 22 E-Mail: rfrank@transparency.de www.transparency.de

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Broker HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon: +41 44 265 47

Mehr

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutz Schnellcheck. Referent Jürgen Vischer Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Nutzungsbedingungen science-results.net

Nutzungsbedingungen science-results.net Nutzungsbedingungen science-results.net Die Nutzungsbedingungen regeln den Umgang der Nutzer untereinander und der Nutzer mit science-results.net. Alle beteiligten Parteien sollen ehrlich, rücksichtsvoll,

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR DAS PERSONALWESEN

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR DAS PERSONALWESEN DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR DAS PERSONALWESEN Die folgenden Bestimmungen bilden in Ihrer Gesamtheit die Datenschutzrichtlinie ( Richtlinie ) für das Personalwesen der Dassault Systèmes

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Übersetzung aus der englischen Sprache

Übersetzung aus der englischen Sprache Übersetzung aus der englischen Sprache Richtlinie zur Beilegung von Streitigkeiten betreffend Registrierungsvoraussetzungen für.tirol Domains (Eligibility Requirements Dispute Resolution Policy/ERDRP)

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Nutzung von Netzlaufwerken und Cloud-Speicher-Diensten Referenznummer Titel Zielgruppe IT-SEC RL009 IT-Sicherheitsrichtlinie zur Nutzung von Netzlaufwerken

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Basis der Vereinbarung Folgende Datenschutz & Geheimhaltungsvereinbarung (NDA) ist gültig für alle mit der FLUXS GmbH (nachfolgend FLUXS

Mehr

NUTZUNGSBESTIMMUNGEN UND RECHTLICHE BESCHRÄNKUNGEN FÜR DIE UNTERNEHMENSWEBSITE VON BUFFALO TECHNOLOGY

NUTZUNGSBESTIMMUNGEN UND RECHTLICHE BESCHRÄNKUNGEN FÜR DIE UNTERNEHMENSWEBSITE VON BUFFALO TECHNOLOGY NUTZUNGSBESTIMMUNGEN UND RECHTLICHE BESCHRÄNKUNGEN FÜR DIE UNTERNEHMENSWEBSITE VON BUFFALO TECHNOLOGY BEACHTEN SIE: Diese rechtlichen Hinweise gelten für sämtliche Inhalte der Website unter dem Domänennamen

Mehr

Datenschutzrichtlinien POS Solutions GmbH (POS)

Datenschutzrichtlinien POS Solutions GmbH (POS) 1 Datenschutzrichtlinien POS Solutions GmbH (POS) Letzte Änderung: November 2011 Diese Datenschutzrichtlinien stellen unsere Richtlinien und Verfahren zur Erfassung, Verwendung und Offenlegung Ihrer Daten

Mehr

Datenschutzrichtlinien POS Solutions GmbH (POS)

Datenschutzrichtlinien POS Solutions GmbH (POS) 1 Datenschutzrichtlinien POS Solutions GmbH (POS) Letzte Änderung: November 2011 Diese Datenschutzrichtlinien stellen unsere Richtlinien und Verfahren zur Erfassung, Verwendung und Offenlegung Ihrer Daten

Mehr

SAACKE International. Allgemeine Verhaltensregeln für Mitarbeiterinnen und Mitarbeiter der SAACKE GmbH

SAACKE International. Allgemeine Verhaltensregeln für Mitarbeiterinnen und Mitarbeiter der SAACKE GmbH SAACKE GmbH Postfach 21 02 61 28222 Bremen Germany Allgemeine Verhaltensregeln für Mitarbeiterinnen und Mitarbeiter der SAACKE GmbH 14.02.2014 SAACKE GmbH Südweststraße 13 28237 Bremen Germany Vorbemerkungen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Mobilgeräte an der WWU

Mobilgeräte an der WWU Mobilgeräte an der WWU Denkanstöße & Probleme Brauchen wir eine Richtlinie? Z I V T. Küfer IV - Sicherheitsteam Mobilgeräte Was ist daran neu? Laptops gibt es schon lange Smartphones/Tablets Geräte werden

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

PARTNERVEREINBARUNG. sumonet.de

PARTNERVEREINBARUNG. sumonet.de PARTNERVEREINBARUNG Partnervereinbarung SumoNet zwischen der Sumo Scout GmbH, Bernd-Rosemeyer-Str. 11, 30880 Laatzen Rethen, vertreten durch den Geschäftsführer, Herrn Jens Walkenhorst, ebenda -nachfolgend:

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Bring your own Device

Bring your own Device Bring your own Device Name, Vorname: Rogler, Dominic Geburtstag: 18.04.1988 Studiengang: Angewandte Informatik 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 15.01.2015 Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Kunden ist der Wohnsitz des Beklagten maßgebend. (4) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen

Kunden ist der Wohnsitz des Beklagten maßgebend. (4) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für einen 1. Allgemeines (1) Für die gesamte Geschäftsbeziehung zwischen den Vertragspartnern ist allein diese Vereinbarung mit den nachfolgenden Bestimmungen maßgeblich. Etwaige allgemeine Geschäftsbedingungen

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Gesetzesverordnung. Alles hat sich verändert. Ing. Giancarlo Bianchi ENSHPO Chairman & AIAS President Opatija Conference 31 March & 1 April 2011

Gesetzesverordnung. Alles hat sich verändert. Ing. Giancarlo Bianchi ENSHPO Chairman & AIAS President Opatija Conference 31 March & 1 April 2011 Gesetzesverordnung Alles hat sich verändert Ing. Giancarlo Bianchi ENSHPO Chairman & AIAS President Opatija Conference 31 March & 1 April 2011 Systemansatz Es betracht alle verschiedenen Faktoren, als

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

EBL CONSULTING GROUP

EBL CONSULTING GROUP EBL CONSULTING GROUP Vertraulichkeitserklärung gegenüber Bewerbern EBL Business Services GmbH Von-Werth-Str. 15 D - 50670 Köln Diese Vertraulichkeitserklärung der EBL Business Services GmbH im Folgenden

Mehr

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter Rechtsvorschriften im Bereich Datenschutz und Privatsphäre Auswirkungen auf Unternehmen und Verbraucher Podiumsdiskussion 1 Wie sich der Ansatz in Bezug auf die Privatsphäre entwickelt: die Visionen der

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte, Diese Datenschutzrichtlinie ist auf dem Stand vom 05. November 2012. Die vorliegende Datenschutzrichtlinie legt dar, welche Art von Informationen von Chocoladefabriken Lindt & Sprüngli GmbH ( Lindt ) erhoben

Mehr

3. In dieser Richtlinie bezeichnet der Ausdruck "Mitgliedstaat" die Mitgliedstaaten mit Ausnahme Dänemarks.

3. In dieser Richtlinie bezeichnet der Ausdruck Mitgliedstaat die Mitgliedstaaten mit Ausnahme Dänemarks. EU-Richtlinie zur Mediation vom 28.02.2008 Artikel 1 Ziel und Anwendungsbereich 1. Ziel dieser Richtlinie ist es, den Zugang zur alternativen Streitbeilegung zu erleichtern und die gütliche Beilegung von

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern. Nutzungsbedingungen für Endanwender (kostenlose Anwendungen) 1. Begriffsbestimmungen Für die Zwecke der vorliegenden Bestimmungen gelten die folgenden Begriffsbestimmungen: Anwendung bedeutet jede potenzielle

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

BOOKMARKING (Favoritenfunktion) NUTZUNGSBEDINGUNGEN

BOOKMARKING (Favoritenfunktion) NUTZUNGSBEDINGUNGEN BOOKMARKING (Favoritenfunktion) NUTZUNGSBEDINGUNGEN DATENBANK-LIZENZ GLOBALG.A.P. gewährt registrierten Nutzern (GLOBALG.A.P. Mitgliedern und Marktteilnehmern) gemäß den unten aufgeführten Nutzungsbedingungen

Mehr

Allgemeine Nutzungsbedingungen

Allgemeine Nutzungsbedingungen Allgemeine Nutzungsbedingungen für DaVinciPhysioMed GmbH Physiotherapie und Sport rehabilitation in Berlin Charlottenburg 1. Informationen zum Urheberrecht Alle Informationen dieser Web-Seite werden wie

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

Bring Your Own Device (BYOD) - Rechtliche Aspekte

Bring Your Own Device (BYOD) - Rechtliche Aspekte Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Allgemeine Geschäftsbedingungen. 1 Allgemeines/Geltungsbereich

Allgemeine Geschäftsbedingungen. 1 Allgemeines/Geltungsbereich Allgemeine Geschäftsbedingungen 1 Allgemeines/Geltungsbereich Die Geschäftsbedingungen gelten für all unsere gegenwärtigen und zukünftigen Geschäftsbeziehungen und werden damit Bestandteil jedes Vertrages

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

ALLGEMEINE GESCHÄFTSBEDINGUNGEN der Unternehmensberatung

ALLGEMEINE GESCHÄFTSBEDINGUNGEN der Unternehmensberatung ALLGEMEINE GESCHÄFTSBEDINGUNGEN der Unternehmensberatung ANC- International Consulting e.u. Schikanedergasse 11/11, 1040, Wien Tel.: +43 (0) 1-9677533 alejandra.navarro@anc-ic.at 1. Allgemeine Grundlagen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG

Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG Allgemeine Software-Lizenzbedingungen der CENIT (Schweiz) AG Stand Dezember 2011 1. Gegenstand der Lizenz 1.1 Gegenstand der Lizenz ist die dem Kunden auf der Grundlage der Allgemeinen Geschäftsbedingungen

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten

Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten Zwischen (Bezeichnung der kirchlichen Stelle - vertreten durch), nachfolgend Dienststelle

Mehr

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich DISCLAIMER KSA CHECK-IN Nutzungsbestimmungen KSA Check-in Geltungsbereich Das KSA Check-in ist eine Dienstleistung des KSA (Kantonsspital Aarau AG). Sie ermöglicht Schweizer Fachärzten und Praxen, die

Mehr

FAX NR.040/35018-199

FAX NR.040/35018-199 FAXBESTELLFORMULAR FAX NR.040/35018-199 An CorinaDunkel AgenturfürAudiovisueleKommunikation Warburgstrasse50 20354Hamburg Kaufpreis:Euro5.740,00 (zzgl.19% MwST) NachEingangIhrerBestelungsowiederrechtsverbindlichunterzeichneten

Mehr

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug)

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug) Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug) 1. Abschnitt Gegenstand und Begriffsbestimmungen Gegenstand und Anwendungsbereich 1. (1) Dieses Bundesgesetz regelt den rechtlichen

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr