GFI White Paper. GFI IT-ComplianceBundle Compliance Check

Größe: px
Ab Seite anzeigen:

Download "GFI White Paper. GFI IT-ComplianceBundle Compliance Check"

Transkript

1 GFI White Paper GFI IT-ComplianceBundle Compliance Check

2 Contents 1. Einleitung 3 2. Rechtliche Grundlagen 3 a. Allgemeine Grundlagen 3 b. KonTraG, AktG, GmbHG 4 c. Datenschutz 4 d. Betriebsverfassungsrecht 5 3. Kosten 6 4. Rechtliche Prüfung des GFI ComplianceBundle 7 a. GFI EventsManager 7 b. GFI LanGuard 9 c. GFI EndPointSecurity Ergebnisse zu den rechtlichen Anforderungen Weitergehende Auskünfte 12 GFI IT-ComplianceBundle Compliance Check 2

3 1. Einleitung Im September 2011 wurden PRW RECHTSANWÄLTE von GFI mit der rechtlichen Prüfung des IT- ComplianceBundles (nachfolgend Bundle ) hinsichtlich der Erfüllung der gesetzlichen Anforderungen im Umfeld von IT-Security im Mittelstand beauftragt. Darüber hinaus wurde gefordert, dass die insbesondere in Deutschland strengen Anforderungen nach dem Bundesdatenschutzgesetz (BDSG) mit den Novellierungen I-III in die Prüfung und Begutachtung einbezogen werden. Die notwendigen Prüfungen wurden erfolgreich durchgeführt. In diesem Whitepaper werden die wichtigsten Grundlagen zusammengefasst. 2. Rechtliche Grundlagen Die rechtlichen Grundlagen der Prüfung ergaben sich aus nachfolgenden Normen: KonTraG 43 GmbHG 91, 93 AktG 3a BDSG 4b, Absatz 1 BDSG 4c, Absatz 1, Nummer 1 BDSG 4c, Absatz 2 BDSG 9 BDSG mit Anlage a. Allgemeine Grundlagen Zu unterscheiden ist zunächst zwischen spezialgesetzlichen Vorschriften, die sich in erster Linie an besondere Branchen richten und insoweit einen abgegrenzten Adressatenkreis betreffen und den allgemeinen Sicherheitspflichten, die gegenüber jedermann bestehen. Auf Letzteren liegt hier der Schwerpunkt. Wesentlich für die Haftung ist das Konzept der Verkehrssicherungspflichten; sie sind ausschlaggebend, um Schäden, die durch mittelbare Verletzungen entstanden sind, zuzurechnen. Sie beanspruchen eine allgemeine Geltung für die Ableitung von Pflichten, die aus der Beherrschung von Gefahrenquellen erwachsen können. 1 Für die Konkretisierung dieser, durch richterliche Rechtsfortbildung entwickelten Pflichten, sind insbesondere die berechtigten Sicherheitserwartungen des Verkehrs und der zumutbare Aufwand maßgeblich. 2 Stets ist jedoch eine Basissicherheit zu gewährleisten, von deren Einhaltung der Verkehr auf jeden Fall ausgehen darf. 3 Erheblich ist ferner, ab welcher Schwelle der Bedrohung von Rechtsgütern Dritter der Datenhalter Maßnahmen zur Sicherung ergreifen muss. Die Pflicht zum Eingreifen wird umso eher ausgelöst, je höherrangiger die bedrohten Rechtsgüter sind. 4 Mit anderen Worten, der Datenschutz ist eine gesetzliche Vorgabe. Bei der Datensicherheit ist der Maßstab die mögliche Schwelle der Bedrohung einerseits und die Zumutbarkeit andererseits. Die meisten Menschen unterscheiden nicht zwischen den Begriffen Datenschutz und Datensicherheit, wenn auch der Bereich Datenschutz erheblich in den Bereich der Datensicherheit eingreift. Es kann jedoch folgende einfache Unterscheidung getroffen werden. Daten sind entweder kritisch oder unkritisch. Wenn sie unkritisch sind, ist es im Grunde gleich, was damit geschieht. Wenn sie kritisch sind, gibt es für die meisten Daten drei rechtliche Grundausrichtungen: Sie unterliegen dem Datenschutz, der Datensicherheit oder sogar den Vorschriften des Strafgesetzbuches. Bei Letzterem ist etwa an die Verschwiegenheitsverpflichtung von Ärzten, Anwälten, Steuerberatern, Datenschützern, etc., gemäß 203 StGB zu denken. Werden geheimhaltungspflichtige Daten offenbart, sieht das Gesetz einen Strafrahmen von einem, in besonderen Fällen sogar von zwei Jahren Haftstrafe vor. Datenverluste können zudem Schadensersatzansprüche auslösen und somit insgesamt für den Schädiger schwerwiegende Folgen haben. GFI IT-ComplianceBundle Compliance Check 3

4 b. KonTraG, AktG, GmbHG Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG ist ein umfangreiches Artikelgesetz, das der Deutsche Bundestag am 5. März 1998 verabschiedete. Es trat am 1. Mai 1998 in Kraft. Ziel des KonTraG ist es, die Corporate Governance in deutschen Unternehmen zu verbessern. Deshalb wurden mit diesem Artikelgesetz etliche Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Das KonTraG präzisiert und erweitert dabei hauptsächlich Vorschriften des HGB (Handelsgesetzbuch) und des AktG (Aktiengesetz). Mit dem KonTraG wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Dies betrifft in zunehmendem Maße das Thema IT und Datensicherheit. Wörtlich schreibt das Gesetz in 91 Abs. 2 AktG vor, dass der Vorstand verpflichtet wird geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Das KonTraG betrifft entgegen weit verbreiteter Meinung nicht ausschließlich Aktiengesellschaften. Auch GmbHs sind von den Vorschriften erfasst, zumindest in analoger Anwendung (Ausstrahlungswirkung). Hier setzt z.b. 43 GmbHG (GmbH Gesetz) an, wenn er normiert: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Der Weg dahin ist einfach. Die Frage lautet: Ist die IT für das Unternehmen wichtig? Stellt ihr Ausfall ein betriebswirtschaftliches Risiko für das Unternehmen dar? Wenn ja, stellt die Außerachtlassung von IT-Security Maßnahmen einen Haftungsgrund für das Management dar? c. Datenschutz Im Datenschutzrecht gilt der Grundsatz der Datenvermeidung und Datensparsamkeit. 5 Dies bedeutet, dass personenbezogene Daten nur unter strengen Voraussetzungen erhoben, verarbeitet und eben auch gespeichert werden dürfen. Daten, die für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden, sind zu löschen oder zu sperren. 6 Werden personenbezogene Daten übertragen, ergeben sich zusätzliche datenschutzrechtliche Einschränkungen. So erlaubt das Bundesdatenschutzgesetz die Übermittlung personenbezogener Daten innerhalb des europäischen Wirtschaftsraums ( 4b, Abs. 1 BDSG). Eine Übermittlung an andere ausländische Stellen ist beispielsweise dann zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist ( 4b, Abs. 2 BDSG), der Betroffene eingewilligt hat ( 4c, Abs. 1, Nr. 1 BDSG) oder die Aufsichtsbehörde die Übermittlung genehmigt ( 4c, Abs. 2 BDSG). GFI IT-ComplianceBundle Compliance Check 4

5 9 BDSG schreibt sogar explizit vor, dass dazu technische und organisatorische Maßnahmen getroffen werden müssen: Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Anlage zu 9 Satz 1 des Bundesdatenschutzgesetzes enthält die folgenden acht Vorgaben für die Datenverarbeitung in Organisationen, die auch als 8 Gebote des Datenschutzes bekannt sind. Anlage (zu 9 Satz 1 BDSG): Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. d. Betriebsverfassungsrecht Die Einführung technischer Einrichtungen, wie eines Datenverarbeitungssystems, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können, unterliegt zwingend der Mitbestimmung des Betriebsrats ( 87, Abs. 1, Nr. 6 BetrVG) 7. Es ist davon auszugehen, dass im zukünftigen Arbeitnehmerdatenschutzrecht hierzu weitergehende Regelungen in Kraft treten werden. GFI IT-ComplianceBundle Compliance Check 5

6 3. Kosten Zu der Umsetzung von Compliance-Maßnahmen gehört natürlich auch der Blick auf die Kosten. Die Sichtweise ist in vielen Fällen jedoch etwas einseitig. Es wird nahezu erwartet, dass Compliance Programme ohne Kosten umsetzbar sind. IT-Security gehört zu einem der grundlegenden Pfeiler, die das Haus der IT- Compliance tragen. Eine Verschuldenshaftung ist aus ökonomischer Perspektive die Festlegung eines bestimmten Sorgfaltsstandards, dessen Nichteinhaltung zur Haftung führt. 8 Dieser Sorgfaltsmaßstab wird objektiv bestimmt und ist juristisch beim Terminus des Verschuldens angesiedelt und nicht von den individuellen Fähigkeiten des Schädigers abhängig. 9 Diese Feststellungen lassen sich zur sogenannten marginalisierten Learned-Hand Formel verallgemeinern. Danach ist ein Verschulden anzunehmen, wenn das Sorgfaltsniveau so gewählt ist, dass weitere Sorgfaltsanstrengungen (V) höhere Kosten verursachen würden als sie Schadenshöhe (S) mal Schadenswahrscheinlichkeit (q) reduzieren. Ein Verschulden ist also zu verneinen wenn: V < S * q 10. Trotz dieser rechtlichen Situation wird IT-Sicherheit in vielen Fällen noch falsch bewertet. Das zeigt folgender Vergleich. Die Ausgabe des Geldes für Türschlösser wird nicht hinterfragt, sie ist selbstverständlich und bedarf keiner Begründung, weil die Notwendigkeit offensichtlich ist. Gleiches gilt aber für IT-Sicherheit. Wer sich dieser Argumentation nicht öffnen kann, dem empfehlen wir den Rat der englischen Kollegen: If you think compliance is expensive, try non-compliance. Beispiele, die die Situation aufzeigen: In Deutschland ist die Verwendung eines Türschlosses nicht gesetzlich vorgeschrieben, wird allerdings das Inventar gestohlen, wird sich die Versicherung zu Recht darauf berufen, dass nicht mit der erforderlichen Sorgfalt gehandelt wurde. Der Schaden wird nicht ersetzt. Ähnliches gilt auch für digitale Türen. Stecke ich jemanden mit einem Virus an, kann darin eine Körperverletzung gesehen werden. Will ich jemanden dagegen infizieren oder nehme dies grob fahrlässig in Kauf, handelt es sich ganz sicher um eine strafbare Körperverletzung. Bei einer Ansteckung mit Computerviren, die ich billigend in Kauf nehme, handelt es sich indessen um eine Sachbeschädigung. GFI IT-ComplianceBundle Compliance Check 6

7 4. Rechtliche Prüfung des GFI ComplianceBundle Diese zuvor beschriebenen Maßstäbe werden nachfolgend auf die Einzelprodukte des Bundles angewendet. Die Bundle Produkte Das Bundle besteht aus folgenden GFI Produkten. 11 GFI EventsManager»GFI» LanGuard»GFI» EndPointSecurity Beschreibung der Produkte a. GFI EventsManager Die zentrale Funktion des GFI EventsManager 12 ist die Überwachung, Auswertung und Archivierung von Systemmeldungen. Systemmeldungen im Netzwerk fallen täglich in sehr großer Zahl an. Wachsende Gefahren für die Kontinuität der IT machen unter anderem die Echtzeit-Überwachung von in IT-Umgebungen ausgegebenen Ereignissen erforderlich. Dies betrifft auch die Möglichkeit, anfallende Daten zu analysieren und zu bewerten, um rechtzeitig auf Vorfälle oder Sicherheitsrisiken eingehen zu können. Die Lösung unterstützt die Überwachung und Verwaltung von Systemmeldungen, um die Performance und Sicherheit des Netzwerks zu gewährleisten. GFI EventsManager Im Rahmen der allgemeinen Sorgfaltspflichten ist es notwendig zu wissen, wie es um die Sicherheit des Netzwerkes bestellt ist. Dies ist gewährleistet weil der GFI EventsManager durch automatische Auswertung alle relevanten Informationen zu aktuellen Vorgängen im Netzwerk liefert. Daneben ist es ebenfalls hoch anzusiedeln, dass die Mitarbeiter davor geschützt werden, dass ihr Benutzername nicht von anderen missbraucht wird. GFI IT-ComplianceBundle Compliance Check 7

8 GFI EventsManager Außerdem hilft die Lösung bei der Einhaltung von gesetzlichen und institutionellen Compliance-Vorgaben wie Sarbanes-Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI DSS), Code of Connection (CoC) und Health Insurance Portability and Accountability Act (HIPAA). Der Schutz ist nicht realisierbar, ohne dass auf der anderen Seite alle Aktivitäten der User erfasst werden, hierdurch könnten sowohl die Rechte des Betriebsrats (Leistungskontrolle nach 87 Abs. 1 Nr. 6 BetrVG) als auch des Datenschutzbeauftragten tangiert sein. Besonders hervorzuheben ist aber, dass der GFI EventsManager die Informationen, soweit sie einzelne Personen betreffen, verschlüsselt in der Datenbank ablegen kann und dass der Zugriff zum Beispiel durch ein Vier-Augen-Prinzip geregelt werden kann. Wichtig ist in diesem Zusammenhang die elegante Lösung, dass durch den Passwortschutz nur die Ansicht entschlüsselt wird. Auf der Datenbank hingegen bleiben die Daten verschlüsselt. GFI EventsManager Dadurch können sowohl die datenschutzrechtlichen ( 9 BDSG i.v.m. der Anlage), als auch die betriebsverfassungsrechtlichen Anforderungen sehr gut erfüllt werden. GFI IT-ComplianceBundle Compliance Check 8

9 b. GFI LanGuard Die zentralen Funktionen der GFI LanGuard Lösung sind Netzwerksicherheits-Scans und Patch-Management. Das Produkt prüft etwa, ob die Firewall und der AntiViren Scanner auf dem aktuellen Stand sind. Der GFI LanGuard übernimmt quasi die Rolle eines virtuellen Sicherheitsberaters, der den Administrator mit umfassenden Informationen zum aktuellen Schutz der IT-Umgebung versorgt. Patches und Service Packs können sowohl von Microsoft, als auch von anderen Hersteller/Produkten bereitgestellt und verwaltet werden. Zusätzlich zu Patches können individuelle Software und Skripte, deren Installation keinen Benutzereingriff erfordert, im gesamten Netzwerk bereitgestellt werden. Beim Scannen von Betriebssystemen, virtuellen Umgebungen und Anwendungen kommen zahlreiche (über ) Schwachstellen-Überprüfungen zum Einsatz, die unter anderem auf den Branchenstandards OVAL (Open Vulnerability and Assessment Language) und SANS Top 20 (SysAdmin, Audit, Network, Security) beruhen. GFI LanGuard hilft damit, die Risiken für die Netzwerksicherheit zu erkennen, bewertet die aktuelle Gefährdung und bietet Hinweise, wie Schwachstellen sich schließen lassen, bevor sie ausgenutzt werden können. Mit Hilfe der Netzwerküberprüfung lässt sich unter anderem detailliert feststellen, welche Anwendungen oder Standardeinstellungen ein Risiko für die Netzwerksicherheit bedeuten. Konfigurationsänderungen, die sich auf die Sicherheit auswirken, neu installierte Anwendungen oder auch gestartete und beendete Dienste zählen zu Ereignissen, über die Administratoren informiert sein sollten. GFI LanGuard protokolliert alle sicherheitsrelevanten Änderungen im Netzwerk und benachrichtigt den Administrator, wenn Gefahr droht. GFI LanGuard Der Bereich der allgemeinen gesetzlichen Anforderungen zur Sorgfaltspflicht wird damit erfüllt. Darüber unterstützt das Produkt bei der Einhaltung von Sondervorschriften, etwa den Bereich der Compliance- Vorgaben des PCI DSS (Payment Card Industry Data Security Standard). GFI IT-ComplianceBundle Compliance Check 9

10 GFI LanGuard Die GFI LanGuard Lösung unterstützt zudem den Mitarbeiter bei der Bewerkstelligung seiner Security Einstellungen. Wird vom Mitarbeiter etwa ein zu schwaches Passwort gewählt, wird er darauf hingewiesen. c. GFI EndPointSecurity 13 Die zentrale Funktion dient der Steuerung des Einsatzes von USB-Sticks, ipods 14 und anderen tragbaren Geräten im Netzwerk. Gefahren für die IT-Sicherheit kommen nicht nur von außen, sie lauern auch firmenintern: Vielfach wird übersehen, wie leicht Mitarbeiter ipods oder USB-Sticks an Netzwerkrechner anschließen können. Dies scheint zunächst ein technischer Fortschritt zu sein, kann aber auch zum Problem werden. Wer Böses will, kann binnen Minuten vertrauliche Daten (personen- oder unternehmensbezogen) in großem Umfang kopieren. Zudem können auf diesem Weg Viren und illegale Software ins System gelangen. Wie kann Abhilfe geschaffen werden? Das komplette Sperren aller Schnittstellen ist keine empfehlenswerte, praktikable und dauerhafte Lösung, um Sicherheitsrisiken zu minimieren. Eine differenzierte Zugriffssteuerung ist zur Gefahrenabwehr besser geeignet. GFI IT-ComplianceBundle Compliance Check 10

11 GFI EndPointSecurity Niemand kann heute noch ernstlich behaupten von Phänomenen wie ungewolltem Datenverlust nicht gehört zu haben. Das Problem am Datenverlust ist, dass die verlorenen Daten in der Regel nicht weg sind. Das unterscheidet den Datendiebstahl von allen anderen Diebstahlarten. Cybercrime und Datenabfluss sind auf dem Vormarsch. Endpunkte am Arbeitsplatz sind ein beliebtes Ziel für Informationsdiebstahl. Risiken des Datenabflusses über portable Medien lassen sich jedoch nur mindern, wenn Administratoren unmittelbar steuern können, welche Geräte im Firmennetzwerk eingesetzt werden dürfen. GFI EndPointSecurity erlaubt es zudem, den Einsatz tragbarer Massenspeicher durch einzelne Mitarbeiter zu überprüfen und zwar inklusive genauer Angaben zu ausgetauschten Daten. GFI IT-ComplianceBundle Compliance Check 11

12 GFI EndPointSecurity Es ist sicher ein Haftungsfall des Managements anzunehmen, wenn dem Management zwar bekannt ist oder sein müsste dass vertrauliche Daten auf den Firmenrechnern sind, es aber nichts zu ihrem Schutz unternommen hat. Dies ließe sich nicht mehr mit der Sorgfalt eines ordentlichen Kaufmanns in Einklang bringen. Auf der anderen Seite darf aber nicht verkannt werden, dass die Lösung optional die Möglichkeit bietet sämtliche Vorgänge zu protokollieren. Wird diese Option gewählt und ist ein Betriebsrat vorhanden, sollte eine sachgerechte Rücksprache mit ihm genommen werden, da über die Protokollfunktion auch ersichtlich ist, welcher Mitarbeiter mit welcher Applikation arbeitet. Auch der Datenschützer sollte eingebunden werden, denn es ist auch IP-Adressenbezogen sichtbar, wer auf welche Dateien zugegriffen hat. 5. Ergebnisse zu den rechtlichen Anforderungen Nach dem zuvor Gesagten steht fest, mit dem GFI IT-ComplianceBundle können neben den allgemeinen Sorgfaltspflichten auch die datenschutzrechtlichen und betriebsverfassungsrechtlichen Compliance Vorgaben sehr gut abgedeckt werden. 6. Weitergehende Auskünfte Im Rahmen dieses Berichts können nicht alle Fragen beantwortet werden. Für weitergehende technische Fragen wenden Sie sich gerne an den technischen Support von GFI oder an Ihren IT-Ansprechpartner. Für rechtliche Fragen wenden Sie sich gerne an: PRW RECHTSANWÄLTE Steinsdorfstraße München. Telefon +49 (89) Telefax +49 (89) Prof. Dr. Spindler in Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, BSI BGHZ 104, 323 (329) = NJW 1988, BGH NJW 1990, 908 (909). 4 BGHZ 80, 186 (192). 5 3a BDSG (Bundesdatenschutzgesetz) BDSG. 7 Analoge Vorschriften existieren auch für den öffentlichen oder kirchlichen Rechtsraum. 8 Vgl. statt vieler Brown, J., Towards a Theory of Liability, 323 ff.. 9 Vgl Spindler er a.a.o. 10 Vgl Spindler er a.a.o. 11 Die nachfolgenden Produkte sind urheber- und markenrechtlich geschützt. 12 Beschreibung auf der Website 13 Produktbeschreibung siehe 14 Marke der Apple Inc.. GFI IT-ComplianceBundle Compliance Check 12

13 ZENTRALEUROPA Mooslackengasse 17, 1190 Wien, Austria Telefon: +49 (0) (DE) Fax: +49 (0) (DE) GFI USA, KANADA, MITTEL- UND SÜDAMERIKA Weston Parkway, Suite 104, Cary, NC 27513, USA Telefon: +1 (888) Fax: +1 (919) VEREINIGTES KÖNIGREICH UND IRLAND Magna House, London Road, Staines-upon-Thames, Middlesex, TW18 4BP, UK Telefon: +44 (0) Fax: +44 (0) EUROPA, NAHER OSTEN UND AFRIKA GFI House, San Andrea Street, San Gwann, SGN 1612, Malta Telefon: Fax: AUSTRALIEN UND NEUSEELAND 83 King William Road, Unley 5061, South Australia Telefon: Fax: Kontaktdaten aller GFI-Niederlassungen weltweit finden Sie hier: Haftungsausschluss GFI Software. Alle Rechte vorbehalten. Alle aufgeführten Produkt- und Firmennamen können Marken der jeweiligen Inhaber sein. Die in diesem Dokument bereitgestellten Informationen und Inhalte dienen lediglich der Information und werden wie besehen ohne ausdrückliche oder stillschweigende Gewährleistung bereitgestellt, einschließlich, aber nicht beschränkt auf stillschweigende Gewährleistung für Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzung von Rechten. GFI Software ist nicht haftbar für Schäden, darunter auch Folgeschäden, die aus der Verwendung dieses Dokuments entstehen. In diesem Dokument enthaltene Informationen stammen aus öffentlich zugänglichen Quellen. Die bereitgestellten Informationen wurden sorgfältig überprüft, dennoch erhebt GFI keinen Anspruch auf ihre Vollständigkeit, Genauigkeit, Aktualität oder Angemessenheit und kann diese Eigenschaften nicht versprechen oder zusichern; außerdem ist GFI nicht verantwortlich für Druckfehler, veraltete Informationen oder ähnliche Fehler. GFI übernimmt keine ausdrückliche und stillschweigende Gewährleistung sowie Haftung oder Verantwortung für die Genauigkeit oder Vollständigkeit von in diesem Dokument enthaltenen Informationen. Sollten Sie der Ansicht sein, dass dieses Dokument sachliche Fehler enthält, setzen Sie sich bitte mit uns in Verbindung. Ihr Hinweis wird sobald wie möglich überprüft.

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung GFI-Produkthandbuch Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung Die Informationen in diesem Dokument dienen ausschließlich Informationszwecken und werden in der vorliegenden

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

1 Verwenden von GFI MailEssentials

1 Verwenden von GFI MailEssentials Endbenutzerhandbuch Die Informationen in diesem Dokument dienen ausschließlich Informationszwecken und werden in der vorliegenden Form ohne (ausdrückliche oder stillschweigende) Haftung jeglicher Art bereitgestellt,

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Zielpublikum. Qualifizierungsfragen

Zielpublikum. Qualifizierungsfragen Verkaufsargumente GFI VIPRE Antivirus Business kombiniert Anti-Spam- und Antiviren-Technologien, um immer trickreichere und sich ständig verändernde Malware mit höchster Effizienz abzuwehren. Zielpublikum

Mehr

Upgrade-Handbuch für GFI MailEssentials 2014 Ein Leitfaden für Upgrades von früheren Versionen von GFI MailEssentials und GFI MailSecurity

Upgrade-Handbuch für GFI MailEssentials 2014 Ein Leitfaden für Upgrades von früheren Versionen von GFI MailEssentials und GFI MailSecurity Upgrade-Handbuch für GFI MailEssentials 2014 Ein Leitfaden für Upgrades von früheren Versionen von GFI MailEssentials und GFI MailSecurity Die Informationen in diesem Dokument dienen ausschließlich Informationszwecken

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG Name der Freien evangelischen Gemeinde, der Einrichtung oder des Werkes, die diesen Antrag stellt Freie evangelische Gemeinde Musterort Anschrift ( Straße, Hausnummer, PLZ, Ort) der oben genannten Einrichtung

Mehr

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz von Paul Marx Geschäftsführer ECOS Technology GmbH ECOS Technology Die Spezialisten für einen hochsicheren Datenfernzugriff Seit 1999 am Markt

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

Datenschutz. Anwaltskanzlei Baron v. Hohenhau

Datenschutz. Anwaltskanzlei Baron v. Hohenhau Datenschutz Anwaltskanzlei Baron v. Hohenhau Beim Datenschutz stehen, anders als der Begriff zunächst vermuten lässt, nicht die Daten im Vordergrund, sondern die Personen, über die Informationen (Daten)

Mehr

EDV & DATENSCHUTZ "AKTUELL"

EDV & DATENSCHUTZ AKTUELL EDV & DATENSCHUTZ "AKTUELL" 42579 Heiligenhaus Homepage: www.drqm.de Zur Person Seit 1984 im Projektmanagement im Großhandel, Bauindustrie und Maschinenbau Leitung von EDV und Rechenzentrum im Großhandel

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Anwender verfügen über ein Software-Portfolio mit durchschnittlich. 14 verschiedenen. Update-Verfahren. Secunia Jahresbericht 2010

Anwender verfügen über ein Software-Portfolio mit durchschnittlich. 14 verschiedenen. Update-Verfahren. Secunia Jahresbericht 2010 Anwender verfügen über ein Software-Portfolio mit durchschnittlich 14 verschiedenen Update-Verfahren Secunia Jahresbericht 2010 Einige Schwachstellen werden bis zu zwei Jahren vernachlässigt SANS, 2009

Mehr

Patch-Management: Schwachstellen rechtzeitig beheben

Patch-Management: Schwachstellen rechtzeitig beheben Whitepaper von GFI Software Patch-Management: Schwachstellen rechtzeitig beheben Verwaltung und Bereitstellung von Software-Updates beides Aufgaben, die Ressourcen besonders beanspruchen zählen auch weiterhin

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9 BDSG Technische

Mehr

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der 1/6 Datenschutzvereinbarung zwischen (im nachfolgenden Auftraggeber genannt) und der GSG Consulting GmbH -vertreten durch deren Geschäftsführer, Herrn Dr. Andreas Lang- Flughafenring 2 44319 Dortmund (im

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen

Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland. lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Archiv Gesetzgebung: E-Mail-Archivierung in Deutschland lnformationen zu den wichtigsten gesetzlichen Vorgaben für Unternehmen Contents Gesetze zum Thema E-Mail-Archivierung 3 Strafmaßnahmen und andere

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Das Datenschutzregister der Max-Planck-Gesellschaft

Das Datenschutzregister der Max-Planck-Gesellschaft Das Datenschutzregister der Max-Planck-Gesellschaft Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 10.12.2014 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Auftragsdatenverarbeitung nach 11 BDSG

Auftragsdatenverarbeitung nach 11 BDSG . Mustervereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG für BMI und Geschäftsbereich Mustervereinbarung zur Auftragsdatenverarbeitung Stand:Mai 2012 Vereinbarung zur Auftragsdatenverarbeitung Als

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Das Rechtliche beim Risikomanagement

Das Rechtliche beim Risikomanagement Das Rechtliche beim Risikomanagement 29.04.2015 Gerald Spyra, LL.M. Kanzlei Spyra Definition und Relevanz von Risiko Risiko wird allgemein definiert als Produkt aus der Eintrittswahrscheinlichkeit eines

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen

Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen Rechtsanwalt Martin Boden, LL.M., Fachanwalt für Gewerblichen Rechtsschutz: Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen 3. Mittelstandskonferenz Fachhochschule

Mehr

GFI LanGuard Netzwerksicherheits-Management GFI EventsManager Echtzeitverwaltung & -auswertung von Log-Daten

GFI LanGuard Netzwerksicherheits-Management GFI EventsManager Echtzeitverwaltung & -auswertung von Log-Daten GFI LanGuard Netzwerksicherheits-Management GFI EventsManager Echtzeitverwaltung & -auswertung von Log-Daten GFI FAXmaker Netzwerk-Faxserver für Exchange/SMTP/Lotus GFI MailEssentials E-Mail-Sicherheits-

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

»Bring Your Own Device«(BYOD)

»Bring Your Own Device«(BYOD) »Bring Your Own Device«(BYOD) Rechtliche Aspekte und praktische Tipps Tagung der Working Group 2 Bonn den 26.11.2013 Dennis Heinemeyer Institut für Rechtsinformatik Leibniz Universität Hannover AGENDA

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken

Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken Haftungsrisiko Webseite: drohen Schadensersatzansprüche? Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Initiative-S - Wie sicher ist Ihr Internetauftritt?

Mehr

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Musterfirma Musterstraße 123 09876 Musterort Ralf Bergmeir Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Datenschutzrichtlinie der SCALTEL AG

Datenschutzrichtlinie der SCALTEL AG Datenschutzrichtlinie der SCALTEL AG SCALTEL AG Buchenberger Str. 18 87448 Waltenhofen Telefon: 0831 540 54-0 Telefax: 0831 540 54-109 datenschutz@scaltel.de - nachfolgend SCALTEL AG genannt - Vertretungsberechtigter

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

www.datenschutzzentrum.de IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 28.10.2014 Christian Prietz

www.datenschutzzentrum.de IT-Sicherheit Schutzziele und technisch-organisatorische Maßnahmen Vorlesung am 28.10.2014 Christian Prietz IT-Sicherheit Schutzziele und technisch-organisatorische Vorlesung am 28.10.2014 Christian Prietz Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD78@datenschutzzentrum.de Datenschutz

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen

Mehr

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg. Datenschutz Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh

Mehr