Vortrag W2P-1 Data Warehouse im Fokus von Compliance und Datenschutz

Transkript

1 Vrtrag W2P-1 Data Warehuse im Fkus vn Cmpliance und Datenschutz TDWI Knferenz, München, Carsten Marmulla

2 Data Warehuse im Fkus vn Cmpliance und Datenschutz Agenda Teil 1: Prlg Kurze Vrstellung Referent Kennzahlen zur Größenrdnung Business Intelligence & Big Data als Business Enabler Datenschutz als Cmpliance-Risik Teil 2: Gesetze, Regelungen, Nrmen, Zertifizierer und Behörden Teil 3: Fragen & Antwrten, Diskussin 2

3 Data Warehuse im Fkus vn Cmpliance und Datenschutz Kurze Vrstellung Referent Business Intelligence meets IT-Security Carsten Marmulla SEVEN PRINCIPLES AG, Unit Manager Security Themenschwerpunkte (aktuell): Infrmatin Security Management, IT-GRC, Datenschutz Themenschwerpunkte (zuvr): Crprate Perfrmance Management, Business Intelligence (Micrsft BI-Stack, MIS DecisinWare/Infr PM) Qualifikatinen/Zertifizierungen: CISM, ISO Auditr, COBIT Practitiner Pr, PRINCE2 Practitiner, ITIL v3 Fundatin, CPRE 3

4 Data Warehuse im Fkus vn Cmpliance und Datenschutz Kennzahlen zur Größenrdnung 1,8 Zettabyte (entspricht 1,8 Trillinen Gigabyte) weltweit generierte und kpierte Infrmatinsmenge im Jahr 2011 nach Schätzungen vn IDC 200 Terabyte (entspricht: Gigabyte) gespeicherte Datenmenge in jedem Unternehmen mit mehr als Mitarbeitern (Quelle: McKinsey, 2011) 4

5 Data Warehuse im Fkus vn Cmpliance und Datenschutz Kennzahlen zur Größenrdnung 40 Zettabyte (entspricht 40 Trillinen Gigabyte) weltweit erzeugtes Datenvlumen im Jahr 2020 nach Schätzungen vn EMC Faktr 57 zum geschätzten weltweiten Vrkmmen an Sandkörnern 5

6 Data Warehuse im Fkus vn Cmpliance und Datenschutz Business Enabling Vrteilsversprechungen: Bessere Entscheidungen, weniger Fehler Steigerung vn Umsätzen und/der Reduktin vn Ksten Erkennung vn Krrelatinen und Kausalitäten Methden: Zielrientierte Datenexplratin Strukturierte Verknüpfung vn Datenquellen Big Data: Aufgrund des Ressurcen-Bedarfs i.d.r. nur sinnvll in der Clud, Massenhafte Generierung vn Daten (stark steigende Tendenz mit IT, Industrie 4.0, Smart Everything ) 6

7 Data Warehuse im Fkus vn Cmpliance und Datenschutz Business Enabling Big Data im Prjekteinsatz: ecmmerce/retail (Beispiel Amazn, Ggle, Apple) Empfehlungsmarketing, Analyse des Kaufverhaltens, ibeacns Versicherungen (Beispiele Kfz-Versicherungen) Tarifptimierungen Gesundheitswesen (Beispiel Apple Healthkit, Nike+, u.a.) Erfassung vn Bewegungsdaten i.e.s. / ehealth Telekmmunikatin (Beispiel: alle Mbilfunkbetreiber) Erfassung vn Bewegungsdaten / Metadaten Autmbilindustrie (alle Fahrzeughersteller seit 2015) Seit 2015 hat jeder Neuwagen eine integrierte SIM-Karte (für ecall) ca. 100 Sensren in jedem mdernen Aut Lgistik (Beispiel: Eisenbahnen, Paketversand) Predictive Maintenance für Wartungszwecke vn Fahrzeugen und Maschinen Sendungs-/Paketverflgung in Echtzeit Energie (Beispiele: Energieversrger) Smart-Hme, Smart-Grid, (sensrische Gebäude- und Netzsteuerung) IT-Security (Beispiele: UTM- der SIEM-Lösungen) Lg Management, Identifikatin und Analyse vn APTs 7

8 Data Warehuse im Fkus vn Cmpliance und Datenschutz Datenschutz als Cmpliance-Risik INNOVATION Das Image der IT-Security? 8

9 Data Warehuse im Fkus vn Cmpliance und Datenschutz Datenschutz als Cmpliance-Risik Widerspruch: Datensparsamkeit vs. riesige Datenmengen Kntrllverlust: Big Data in der Clud verlagert Daten an Dritte Datenflüsse teilweise nicht mehr kntrllierbar 9

10 Data Warehuse im Fkus vn Cmpliance und Datenschutz Datenschutz als Business Enabler Cmpliance und Datenschutz als Mehrwert: Cmpliance als Wettbewerbsvrteil Vertrauensbeweis an den Kunden Technische Maßnahmen (Beispiele): Hmmrphe Verschlüsselung Pseudnymisierung / Annymisierung Tkenizatin (Fristgerechte) Datenlöschung 10

11

12 Willkmmen HOŞGELDİNİZ Bienvenue tervetula خوش آمدید Welcme yôks Benvenut welkm Καλώς ορίσατε مرحبا, أهال وسهال ย นด ต อนร บ Bienvenida 환영합니다 1 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

13 Data Warehuse im Fcus vn Cmpliance und Datenschutz Gesetze, Regelungen, Nrmen, Zertifizierer und Behörden

14 Vrstellung Dr. Jachim Müller akkr. ISO Auditr (TÜV InterCert, u.a.) Datenschutzbeauftragter (TÜV) Auditr für Rechenzentrumssicherheit (TÜV InterCert) TÜV-gepr. Risk Manager Auditr für EVU nach BDEW/EnWG Certified Infrmatin Systems Auditr (CISA ISACA) Certified Infrmatin Security Manager (CISM ISACA) Berater für ISMS, BCM und Sarbanes Oxley (ICFR) Mitglied im Expertengremium ISO/IEC Fachbuchautr C.H. BECK Frmularhandbuch Datenschutzrecht Dzent an der Steinbeis Universität, SMI, Carl vn Ossietzky Universität, Berufsakademie für Wirtschaftsinfrmatik 3 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

15 Agenda Begriffe und Definitinen Prjekte im Dschungel der Gesetze Datenschutz als Cmpliance-Risik Wie man Datenschutz als Business-Enabler nutzen kann Was nutzen Zertifizierungen ISO Datenschutz nach internatinaler Nrm für die Clud Was Datenschutzbehörden im Netz prüfen 4 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

16 Begriffe und Definitinen 5 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

17 Quelle: Datawarehuse und Clud Services Ein Data-Warehuse (DWH, DW), deutsch Datenlager, ist eine Datenbank, in der Daten aus unterschiedlichen Quellen in einem einheitlichen Frmat zusammengefasst werden (Infrmatinsintegratin). Der Begriff stammt aus dem Infrmatinsmanagement in der Wirtschaftsinfrmatik. Werden Datenbankdienste (Data-Warehuse-Services) als Clud-Services angebten, s ist der Anbieter der Dienste im Sinne dieses Vrtrages ein Clud-Service- Prvider. 6 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

18 Definitin Datenschutz Schutz persnenbezgener Daten (Bundesdatenschutzgesetz) IT-Sicherheit technische Sicherheit der IT-Systemen Infrmatinssicherheit Schutz und Sicherheit wirtschaftlich sensibler und wirtschaftlich vrteilhafter Daten Risiken finanzielle, rganisatrische, technische Gefahren/Bedrhungen der Chancen vn innen und außen Cmpliance rechtliche, regulatrische und rganisatrische Maßnahmen für den rdnungsgemäßen Geschäftsbetrieb 7 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

19 Das Zusammenspiel im Unternehmen 8 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

20 Przessrientierung 9 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

21 Managementsystem Managementsystem Managementsysteme beschreiben die Aufgaben des Managements und verknüpfen Methden, um die Management-Aufgaben und Ziele zu setzen, zu steuern, zu kntrllieren und erflgreich zu bewältigen. Ma nage ment - Substantiv [das] 1. die Leitung eines (größeren) Unternehmens. Synnyme: Führung, Leitung 2. die Führungskräfte, die zum Management gehören. Synnyme: Direktin, Vrstand, Unternehmensleitung ( 10 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

22 Integriertes Management Cmpliance bdsb IT-S CISO CISO IT-S bdsb Risk Revisin CISO Risk-Manager Cmpliance-Manager bdsb 11 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

23 Prjekte im Dschungel der Gesetze 12 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

24 Ein IT-Prjekt Visinen und Ideen Budget Funktinalitäten Zeit Ging Live $$$ 13 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

25 Auftragsdatenverarbeitung (ADV) Wird im Rahmen des Verfahrens ein Outsurcing/Cludcmputing angestrebt, s handelt es sich um Auftragsdatenverarbeitung nach 11 BDSG, sfern möglicherweise persnenbezgene Daten in der Clud gespeichert werden sllen. 14 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

26 ADV Was ist zu beachten? 1/2 Vraussetzungen: schriftliche Beauftragung Berücksichtigung des Anfrderungskatalges gem. 11 Abs. 2 BDSG Grundsätzliche Weisungsbindung des Auftragnehmers Abgrenzung zur Funktinsübertragung Geschäftsführung des Auftraggebers ist und bleibt verantwrtlich! Nach 4d Abs. 5 BDSG muss eine Vrabkntrlle durchgeführt werden, wenn..autmatisierte Verarbeitungen besndere Risiken für die Rechte und Freiheiten der Betrffenen aufweisen... Nach 4g Abs. 2 BDSG muss die verantwrtliche Stelle dem Datenschutzbeauftragten das autmatisierte Verfahren melden. 15 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

27 ADV Was ist zu beachten? 2/2 Nach 11 Abs. 2 S. 4 BDSG hat sich der Auftraggeber vr Beginn der Auftragsdatenverarbeitung und sdann regelmäßig vn der Einhaltung der beim Auftragnehmer getrffenen technischen und rganisatrischen Maßnahmen in Bezug auf deren Wirksamkeit zu überzeugen. Im Rahmen der Auftragsdatenverarbeitung sind alle beim Auftragnehmer getrffenen technischen und rganisatrischen Maßnahmen nach 9 und Anlage BDSG der Datenverarbeitung zu prüfen. 16 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

28 ADV-Prüfung 1/2 Die Prüfung erflgt wahlweise nach Aktenlage (Dkumentenprüfung) und/der vr Ort. Auf Basis einer Risikbewertung sllte ermittelt werden, welche Prüfungsart als angemessen gelten kann. Der Gesetzgeber frdert vm Auftraggeber die Wahrnehmung seiner Kntrllrechte gegenüber dem Auftragnehmer, dem eine entsprechende Duldungs- und Mitwirkungspflicht ( 11 Abs. 2 Nr. 7 BDSG) auferlegt wird. Zuständigkeit und Kmpetenz für die Vrabkntrlle liegen nach 4d Abs. 5 BDSG beim Datenschutzbeauftragten. 17 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

29 ADV-Prüfung 2/2 Es gibt bekanntermaßen Fälle, in denen eine Vrabkntrlle entfallen kann, z.b. bei Vrliegen der Einwilligung der Betrffenen. Gemäß 11 Abs. 2 S. 5 BDSG ist das Ergebnis der entsprechenden Prüfungen zu dkumentieren. Die Art der Dkumentatin ist im Gesetz nicht vrgegeben, jedch ist eine rdnungsgemäße Durchführung der Kntrllen zu belegen. Ein vm Prüfer unterschriebener krrekt ausgefüllter Prüfbericht erfüllt die gefrderte Nachweisfunktin* ). *) weiterführende Literatur: Frmularhandbuch Datenschutzrecht, C.H. Beck, TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

30 Datenschutz als Cmpliance-Risik Unwissenheit Fehlende Schulung Frusthandlungen Spieltrieb/Neugier Kriminelle Energie Betrug Sabtage Betriebsspinage 19 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

31 Quelle: sueddeutsche.de 31. Mai 2015, 20:35 Cyber-Kriminalität Wenn das Htelzimmer verschlssen bleibt Datenschutzvrfall und die Ksten Ein Datenschutzvrfall kstet Unternehmen in Deutschland im Schnitt 4,9 Millinen Dllar. Die Ksten pr gesthlenem Datensatz liegen hierzulande bei 211 Dllar (190 ), hat das Pnemn Institute im Auftrag vn IBM berechnet. Damit liegt Deutschland auf Platz zwei der elf untersuchten Länder - nur in den USA sind Datenschutzvrfälle teurer. 20 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

32 Quelle: sueddeutsche.de 31. Mai 2015, 20:35 Cyber-Kriminalität Wenn das Htelzimmer verschlssen bleibt Kstenentstehung Die Ksten entstehen aus der Analyse des Angriffs, der Wiederherstellung vn Daten und der Infrmatin der betrffenen Kunden. Dazu kmmt der Imageschaden, der wiederum zu Verdienstausfällen führen kann. Allerdings sind nicht alle Datenschutzvrfälle auf Hackerangriffe zurückzuführen. Etwas mehr als die Hälfte resultieren aus Systemfehlern und menschlichem Versagen. In den USA sind die Ksten nch höher. S verzeichnete die Supermarktkette Target bisher Ksten vn mehr als 230 Millinen Dllar aus einem Grßangriff, davn sind 90 Millinen versichert. Es kann nch mehr werden. Bei Target wurden 2013 Daten vn mehr als 40 Millinen Kreditkarten-Transaktinen gesthlen. Hinzu kmmen mögliche Ksten aus Bußgeldbescheiden. 21 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

33 Unwissenheit schützt nicht vr Bußgeldbescheid Sachlage Eine Mitarbeiterin eines nicht genannten Unternehmens in Bayern (Deutschland) verschickt an Kunden eine . In dieser teilt das Unternehmen den Kunden mit, dass aufgrund vn Lieferverzögerungen die Lieferung alsbald erflgen werde. Der Mailinhalt umfasste nur wenige Sätze, die versendete Mail an sich war dann 10 (zehn) Seiten lang, davn entfielen über 9 (neun) Seiten auf die -Adressen der Empfänger. Das Prblem Im vrliegenden Fall waren die -Adressen als persnenbezgenen Daten im Sinne des 3 Abs. 1 BDSG anzusehen. Es ist ausreichend, wenn die -Adresse einer bestimmten natürlichen Persn zugerdnet werden kann der diese Zurdnung zumindest mittelbar erflgen kann. Persnenbezgenen Daten dürfen aber an Dritte nur dann übermittelt werden, wenn eine Einwilligung vrliegt der eine gesetzliche Grundlage gegeben ist, vgl. 4 Abs.1 BDSG. Dies war im vrliegenden Fall nicht gegeben. 22 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

34 Lösung hne Bußgeld Bußgeldbewehrt Das Bayrische Landesamt für Datenschutz hatte in diesem Fall einen Bußgeldbescheid gegen die Mitarbeiterin erlassen. In einem vergleichbaren Fall hat die Aufsichtsbehörde einen Bußgeldbescheid nicht gegen einen Mitarbeiter, sndern gegen die Unternehmensleitung erlassen. Begründet wurde dies damit, dass in manchen Unternehmen dieser Fragestellung ffensichtlich nicht die entsprechende Bedeutung beigemessen wird, d.h. vn Seiten der Unternehmensleitung die Mitarbeiter entweder nicht entsprechend angewiesen der überwacht werden. Lösung Statt in das AN-Feld der CC-Feld sind die -Adressen in das BCC-Feld einzutragen. Denn nur bei der Eintragung der -Adressen in das BCC-Feld wird die Übertragung der -Adressen an die Empfänger unterdrückt, s dass keiner erkennen kann, an wen diese snst nch geschickt wurde. 23 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

35 Quelle: C.H. Beck Kreng/Lachenmann/Kglin Frmularhandbuch Datenschutzrecht S. 78 ff. Datenschutzstrategien in Unternehmen Keine Datenschutz-Organisatin deutliche Unterschreitung der datenschutzrechtlichen Anfrderungen Feigenblatt-Strategie bemühen um Einhaltung der Vrschriften in frmaler Hinsicht Einhaltung des BDSG ernsthaftes Bemühen um Einhaltung des Mindestmaß Datenschutz im Gesamtkntext Datenschutz als wichtiger Aspekt für Cmpliance und Image Hher Grad an Cmpliance 24 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

36 Wie man Datenschutz als Business- Enabler nutzen kann Verschiedene Zertifizierungsstellen bieten Datenschutzzertifizierungen mit Erteilung eines entsprechenden Zertifikates an. Ein Beispiel: TÜV-geprüfter Datenschutz 25 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

37 eprivacy-zertifizierung Datenschutz ist kmplex und risikreich, insbesndere weil eine wachsende Digitalisierung eine immer stärkere Nutzung persnenbezgener Daten erfrdert und gesetzliche Rahmenbedingungen (und damit die Haftungsrisiken) sich stetig weiter entwickeln. Die eprivacy-zertifizierung vn TÜV InterCert GmbH Grup f TÜV Saarland deckt Ihren Datenschutz durch Audits, Nn-Knfrmitäts-Maßnahmen, Dkumentatin und ständige Privacy-Inspektin basierend auf aktueller Gesetzgebung, Rechtsprechung und Branchenauffassung umfassend und nachhaltig ab. zeigt Ihnen Risiken der persönlichen Haftung, des Datenmissbrauchsfalls swie der Sanktinen durch Landesdatenschutzbeauftragte auf, hilft diese Risiken zu überwachen und damit dauerhaft zu minimieren. Ziel: ist es, auf digitalen Prdukten und Services zu dkumentieren, dass der Endkunde Ihrem Umgang mit Kundendaten vertrauen kann. Zielgruppe: Für alle Unternehmen die Kundendaten in digitaler Frm erheben. 26 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

38 Zertifikats-Spezifika hhe Vertrauenswürdigkeit und Glaubwürdigkeit durch Zertifikate vn TÜV InterCert GmbH Grup f TÜV Saarland nachgewiesener verantwrtungsvller Umgang mit Kundendaten TÜV InterCert GmbH Grup f TÜV Saarland mit ausgewiesener Expertise für digitale Prdukte, Services und Geschäfte umfassende Dkumentatin mit standardisierten Prüfberichten künftige Begleitung im Rahmen der Re-Audits bei Änderungen vn Gesetzen, Richtlinien und deren Auslegung swie bei Prdukt- Neuauflagen bzw. Entwicklung vn Neugeschäften die eprivacy-zertifizierung steht für den verantwrtungsvllen und vertraulichen Umgang mit Kundendaten und schafft damit Vertrauen gegenüber Kunden, Lieferanten und Partnern 27 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

39 Was nutzen Zertifizierungen Extern sichtbare Vrteile eines zertifizierten Unternehmens Vertrauen durch bestätigten Datenschutz Wettbewerbsvrteil Datenschutzwissen der Mitarbeiter in der Außendarstellung gegenüber Kunden Kundenbindung auch gegenüber Bestandskunden (kntinuierliche Verbesserung) Aufwandsminimierung bei Auftragsdatenverarbeitung (ADV) nach 11 Bundesdatenschutzgesetz Standardisierte Przesse und Dkumente bei Auftragsabschluss in Bezug auf ADV 28 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

40 Was nutzen Zertifizierungen (intern) Interne Vrteile eines zertifizierten Unternehmens Datenschutzknfrmität und damit Einhaltung gesetzlicher Vrgaben Minimierung der Cmpliance-Risiken Prfessineller Umgang mit identifizierten Risiken Imageschutz durch sensibilisierte Mitarbeiter (Awareness) Przessptimierung aufgrund hher Integratin des Themas 29 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

41 Kmpetenz vn Auditren Auditr audire (lat.) = hören audere (lat.) = wagen Auditausführung erfrdert Selbstkritik Da die meisten Auditren nicht richtig zuhören, ist es ein Wagnis, das, was sie heraushören, eine Beurteilung zu nennen. *) Hermann J. Paul, QM-Auditr 30 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

42 Der Auditr Integrität die Grundlage des Berufsbildes Der Auditr ist ehrlich srgfältig verantwrtungsbewusst gesetzesknfrm kmpetent unparteilich sensibel 31 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

43 Ausschluss Beratung Audit Beratung und Audit schließen sich aus. Berater dürfen Unternehmen bei denen Sie tätig waren zwei Jahre nach Abschluss der Beratungstätigkeiten nicht auditieren. Auditren dürfen während ihrer Audittätigkeiten (und schn gar nicht im Audit) das auditierte Unternehmen beraten. 32 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

44 ISO Datenschutz nach internatinaler Nrm für die Clud 33 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

45 ISO Nrmenfamilie 1/2 Die ISO/IEC Familie beschäftigt sich mit Infrmatinssicherheits-Management und besteht aus einer Nrmenreihe, u.a.: ISO/IEC ein Überblick über das Thema ISM und die Nrmen-Familie ISO/IEC mit 46 Begriffsdefinitinen. ISO/IEC das zentrale Kerndkument der Reihe spezifiziert Mindestanfrderungen an das Infrmatin Security Management System (ISMS) ISO/IEC ein Cde f Practice für die Implementierung vn Sicherheitsmaßahmen zur ISO TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

46 ISO Nrmenfamilie 2/2 ISO/IEC Leitfaden zur Umsetzung der ISO/IEC ISO FCD behandelt das Thema Risikmanagement in der Infrmatinssicherheit ISO/IEC legt Anfrderungen und allgemeine Prinzipien für die Kmpetenz vn Auditren und deren Überwachung, die Anfrderungen an swie den Auditierungs- und Zertifizierungsprzess fest. Dieser übernimmt dabei die Anfrderungen der DIN EN ISO/IEC TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

47 Zertifizierung ISO 27001:2013 Eine Zertifizierung erflgt nach der ISO/IEC 27001:2013. Zertifiziert wird das Infrmatin Security Management System (ISMS) und erfrderliche Sicherheitsmaßnahmen (Cntrls). Damit ist die Knfrmität zum Standard ISO/IEC für Organisatinen/ Unternehmen auditierbar und zertifizierbar auf Basis der ISO TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

48 Auditarten Internes Audit Externes Audit First Party Audit mit der Beteiligung nur einer Partei (z.b. Unternehmensintern) Secnd Party Audit Lieferantenaudit/ Kundenaudit freiwillige Zertifizierungen Third Party Audit - Auditieren durch unabhängige Dritte gesetzliche, rechtliche der ähnliche Zwecke/ Ntwendigkeit Nrmzertifizierungen wie ISO 9001, ISO 14001, ISO 27001, u.a.) Systemaudit: Wirksamkeit eines Managementsystems Verfahrensaudit: Einhaltung und Zweckmäßigkeit vn Verfahren (Tätigkeiten) Przessaudit: Gezielte Untersuchung eines Przesses zur Ermittlung bestimmter Sachverhalte (Geschäftsprzesse) Cmpliance-Audit: Überprüfung der Einhaltung gesetzlicher und regulatrischer Vrgaben. 37 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

49 Anwendungsbereich (Scpe) Internes Audit ISO First Party Audit mit der Beteiligung nur einer Partei (z.b. Unternehmens-intern) Externes Audit Secnd Party Audit Lieferantenaudit/ Kundenaudit freiwillige Zertifizierungen ISO Third Party Audit - Auditieren durch unabhängige Dritte gesetzliche, rechtliche der ähnliche Zwecke/ Ntwendigkeit Nrmzertifizierungen wie ISO 9001, ISO 14001, ISO 27001, u.a.) 38 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

50 ISO27001: Zahlen 39 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

51 40 1-8= TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

52 Sektrspezifische Nrmen ISO/IEC 27010: Infrmatin security management fr inter-sectr cmmunicatins (draft) ISO/IEC 27011: Infrmatin security management guidelines fr telecmmunicatins rganizatins based n ISO/IEC ISO/IEC 27012: Guidelines fr Finance ISO/IEC 27013: Guideline n the integrated implementatin f ISO/IEC and ISO/IEC ISO/IEC 27014: Infrmatin security gvernance framewrk (draft) ISO/IEC TR 27015: Infrmatin security management systems guidelines fr financial and insurance sectrs ISO/IEC TR 27016: Auditing and Reviews ISO/IEC 27017: Security techniques Cde f practice fr infrmatin security cntrls fr clud cmputing services ISO/IEC 27018: Security techniques Cde f practice fr cntrls t prtect persnally identifiable infrmatin prcessed in public clud cmputing services ISO/IEC TR 27019: Infrmatin security management guidelines based n ISO/IEC fr prcess cntrl systems specific t the energy industry (Übersetzung DIN SPEC 27009). 41 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

53 ISO Ein Überblick 1/2 Die ISO setzt auf den bereits existierenden Sicherheitsstandards wie der ISO und ISO auf. Eurpäisch und internatinal vrliegende Datenschutzstandards, wie die ISO/IEC Nrmenfamilie enthalten allgemeine Sicherheitsbestimmungen, die detaillierte Ausgestaltung bliegt dem Nrmenanwender. Die ISO/IEC beschäftigt sich ausschließlich mit der Regulierung der Speicherung und Verarbeitung vn persnenbezgenen Daten in der Clud, als bei einem Clud- Service-Prvider. Es werden datenschutzrechtliche Anfrderungen für Clud-Dienste frmuliert, Grundlage hierfür ist der Maßnahmenkatalg ISO/IEC TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

54 ISO Ein Überblick 2/2 Interessant ist dass die ISO sich sehr deutlich an den Schutz-, Sicherheits- und Überwachungspflichten der geltenden eurpäischen Datenschutzgesetze ausrichtet. Auch kmmt die ISO den Frderungen deutscher Aufsichtsbehörden aus der veröffentlichten "Orientierungshilfe zum Clud Cmputing" (Stand ) nach. Auch die erwartete eurpäische Datenschutzgrundverrdnung (DS- GVO) findet s Berücksichtigung, denn die frdert umfassende und nachhaltige Benachrichtigungs-, Infrmatins-, Transparenz- und Nachweispflichten vn Clud-Service-Prvidern. Entsprechende Planungen finden sich auch im Entwurf der eurpäischen Datenschutzgrundverrdnung. 43 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

55 ISO Besnderheiten 1/2 Persnenbezgene Daten dürfen ausschließlich in Übereinstimmung mit den Vrgaben der Kunden verarbeitet werden Kunden müssen im Falle der Wahrnehmung ihrer Rechte als Betrffene unterstützt werden Clud-Service-Prvider sllen Funktinalitäten bereitstellen, die den Kunden dabei unterstützen Endnutzer sllen Zugang zu ihren persnenbezgenen Daten erhalten, um diese ändern, löschen und krrigieren zu können 44 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

56 ISO Besnderheiten 2/2 Die Herausgabe vn persnenbezgenen Daten an Strafverflgungsbehörden sll nur bei vrliegenden Rechtsbeschlüssen erflgen Der Betrffene Kunde muss vr der Herausgabe davn in Kenntnis gesetzt werden, außer dies ist rechtlich untersagt (z.b. Ermittlungsverfahren) Vr Vertragsabschluss müssen alle Unterbeauftragungsverhältnisse swie die Länder, in denen eine Speicherung und/der Verarbeitung stattfindet dkumentiert sein Clud-Service-Prvider sind verpflichtet jede Art vn Sicherheitsereignissen, unverzüglich, mit Datum und den möglichen Flgen daraus bekannt zu machen Lösungsvrschläge müssen aufgezeigt werden 45 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

57 ISO und das BDSG Betrffene müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall vn Verstößen gegen die Datensicherheit unterstützt werden Verbindliche Regeln für die Übermittlung, Verwendung, Rückgabe und Vernichtung persnenbezgener Daten sind zu implementieren (Vertragsende, Kündigung) Clud-Service-Prvider sind verpflichtet, die betreffenden Clud- Services regelmäßig der nach größeren Systemumstellungen durch unabhängige Dritte prüfen zu lassen 46 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

58 ISO und ADV-Prüfung Zwischen der internatinalen Nrm ISO und dem Vrgehen zur Prüfung eines Auftragsdatenverarbeitungsunternehmens (Outsurcing) gibt es smit erhebliche Deckungsgleichheiten, die mit der geplanten EU- Datenschutzverrdnung eine hhe Knfrmität zeigen. 47 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

59 Zertifizierung ISO 27018:2014 (M1) Möglichkeit 1: Eine integrierte Zertifizierung erflgt nach der ISO/IEC 27001:2013 auf Basis der ISO unter Einbeziehung der ISO 27018:2014. Bei erflgreichem Durchlaufen der kmbinierten Audits erhält das geprüfte Unternehmen ein akkreditiertes Zertifikat für die ISO 27001:2013 (Deutsche Akkreditierungsstelle GmbH [DAkkS] ) und ein nicht akkreditiertes Attestat für ISO 27018:2014 vn der Zertifizierungsstelle. 48 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

60 Zertifizierung ISO 27018:2014 (M2) Möglichkeit 2: Es erflgt ein Audit auf Basis der ISO 27018:2014 unter Einbeziehung der ISO Bei erflgreichen Durchlaufen des Audits erhält das geprüfte Unternehmen ein nicht akkreditiertes Attestat für die ISO 27018:2014 der Zertifizierungsstelle. 49 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

61 Zertifizierungsverfahren Hinweis: Die zuvr vrgestellten Möglichkeiten 1 und 2 gelten auch für andere sektrspezifische Nrmen, wie z.b. die ISO/IEC TR TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

62 Bedeutung Die ISO/IEC 27018:2014 stellt smit hhe Cmpliance-Anfrderungen an Clud-Service-Prvider wie sich diese rganisieren und verhalten müssen, um den gesetzlichen und den Nrm- Anfrderungen zu genügen. 51 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

63 Unvllständiger Auszug Was Datenschutzbehörden im Netz prüfen 52 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

64 Ein Beispiel Wir über uns Das Bayerische Landesamt für Datenschutzaufsicht überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich in Bayern, das heißt wir sind zuständig für private Wirtschaftsunternehmen selbstständig, freiberuflich Tätige private Krankenhäuser und Heime Vereine, Parteien Internet Privatpersnen. Unsere wesentlichen Aufgaben sind Bearbeitung vn Beschwerden und Anfragen Kntrllen vr Ort Beratungen der Datenschutzbeauftragten und Unternehmen Aufarbeitung vn Datenschutzpannen Öffentlichkeitsarbeit Zusammenarbeit mit Verbänden und Kammern. Als Datenschutzaufsichtsbehörde haben wir ein Recht auf unverzügliche Auskünfte durch die der Kntrlle unterliegenden Stellen Zutrittsrecht zu Räumen Prüfungs- und Besichtigungsrecht Einsichtsrecht in geschäftliche Unterlagen. Bei Datenschutzverstößen können wir flgende Maßnahmen ergreifen Beanstandungen Unterrichtung der Betrffenen Anrdnungen zur Beseitigung festgestellter Verstöße Untersagung der Verfahren Bußgeldverfahren Strafanträge, Strafanzeigen. 53 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

65 Was tut die Behörde "App-Prüfung zeigt erhebliche Mängel beim Datenschutz" (Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vm ) Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer internatinalen Prüfungsaktin 30 Apps bayerischer Anbieter überprüft und dabei erhebliche Mängel bei der Infrmatin über den Umgang mit Daten festgestellt. Vn der Festsetzung vn Bußgeldern wird zunächst abgesehen. [ ] Erneute App-Prüfung zeigt weiterhin erhebliche Mängel beim Datenschutz (Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vm ) Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat erneut im Rahmen einer internatinalen Prüfungsaktin 60 Apps bayerischer und internatinaler Anbieter überprüft und dabei wiederum erhebliche Mängel bei der Infrmatin über den Umgang mit Daten festgestellt. Hinsichtlich der bayerischen Apps ist die Festsetzung vn Bußgeldern geplant. [ ] Das BayLDA weist insbesndere darauf hin, dass eine Ordnungswidrigkeit begangen wird, wenn ein Nutzer nicht, nicht richtig, nicht vllständig der nicht rechtzeitig gem. 13 Abs. 1 Telemediengesetz (TMG) insbesndere über Art, Umfang und Zwecke der Erhebung und Verwendung persnenbezgener Daten infrmiert wird ( 16 Abs. 2 Nr. 2 TMG). Diese Ordnungswidrigkeit kann mit einem Bußgeld bis zu Eur geahndet werden. Sweit Apps bayerischer Apps nicht den Anfrderungen des 13 Abs. 1 TMG genügen, wird das BayLDA entsprechende Bußgelder verhängen. Ebenfalls zum Anlass genmmen haben wir den diesjährigen Sweep-Day, um einige der bereits im letzten Jahr geprüften Apps anhand der internatinalen Prüfkriterien erneut anzusehen. Mit 2,3 schnitten diese Apps im Vergleich gut ab, allerdings knnten wir feststellen, dass die App-Anbieter teilweise unsere datenschutzrechtliche Frderungen nur in den knkret vn uns geprüften Versinen erfüllten, aber nicht in anderen Versinen. Dieses Verhalten ist nicht nachvllziehbar und muss abgestellt werden, ntfalls mit Anrdnungen der Bußgeldbescheiden. s Thmas Kranig, Präsident des BayLDA. 54 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

66 IT-Rechtler warnen BayLDA Internatinal Sweep Day 2014 Veröffentlicht am 2. Juni 2014 vn Dr. Andreas Staufer Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Rahmen einer internatinalen Prüfungsaktin 60 Apps bayerischer und internatinaler Anbieter überprüft. Bußgelder angekündigt. Das BayLDA hat im Mai auf Initiative der kanadischen Datenschutzbehörde am Internatinal Sweep Day 2014 teilgenmmen. Die Prüfung stand unter dem Mtt Mbile Privacy. Mbile Applikatinen (Apps) wurden hierzu nach zuvr festgelegten internatinalen Kriterien geprüft. Ziel war es, einen Einblick in das vrhandene App- Angebt zu gewinnen und datenschutzrechtliche Defizite zu erkennen. Die schlechte datenschutzrechtliche Bewertung insbesndere der bayerischen ios-apps zeigt, dass die datenschutzrechtlichen Anfrderungen durch bayerische App-Anbieter nicht ausreichend wahrgenmmen werden. Für uns flgt hieraus, dass wir nach dieser eher allgemeinen Prüfung eine nch intensivere Prüfung vn Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung vn Verstößen ntwendig ist. s Thmas Kranig, Präsident des BayLDA zum Ergebnis der Prüfung. (Quelle/Zitiert nach: BayLDA) Achten Sie daher bei der App-Entwicklung auf die Einhaltung datenschutzrechtlicher Vrgaben. Sie sllten Anwender über Art, Umfang und Zwecke der Erhebung und Verwendung persnenbezgener Daten infrmieren. 55 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

67 Auszugsweise aus der Präsentatin vn Frau Miriam Meder Referat 4 Wie werden die APPs geprüft Prüfung durch Sichtung - technische Prüfung Dynamische Analyse, bebachten des Netzwerkverkehrs der App Statische Analyse des Surce Cde durch Reverse Engineering Frensische Analyse der Live-Daten während der App-Nutzung Datenschutzrechtliche Fragestellungen Persnenbezug, Beachtung BDSG/LDSGe, TMG, TKG, bereichsspezifische Datenschutzgesetze (s.u.) Welche Rechtsgrundlagen Einhlung vn App-Berechtigungen Datenschutzfreundliche Gestaltung Erkennbarkeit der verantwrtlichen Stelle Einhlung der Einwilligung (Minderjährige?) Datenschutzerklärung (zu Beginn, leicht auffindbar, Lesbarkeit) Reichweitenmessung und andere Analysen Heilmittelwerberecht (Fachkreis- der Laienwerbung, Werbegaben, Fernbehandlung) Medizinprdukterecht (Mbile App als eigenständiges Medizinprdukt) Datenschutzrecht (Nutzung vn Gesundheitsdaten) Telemediengesetz (Anbieteridentifizierung) 56 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

68 Orientierungshilfe zu den Datenschutzanfrderungen an App-Entwickler und App-Anbieter Zur weiteren Vertiefung: Orientierungshilfe zu den Datenschutzanfrderungen an App-Entwickler und App- Anbieter Redaktinelle Bearbeitung: Bayerisches Landesamt für Datenschutzaufsicht Prmenade 27, Ansbach Web: Stand: 16. Juni TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

69 Certified Web Applicatin Web Applicatin Security Services autmatisierte & manuelle Prüfung vn Web-Applikatinen auf sicherheitsrelevante Schwachstellen Bewertung des Sicherheitsniveaus Ableitung vn Maßnahmenempfehlungen Zertifizierung Certified Web Applicatin der TÜV INTERCERT GmbH - Grup f TÜV Saarland unabhängige Prüfung der Web-Applikatinen und der zugehörigen Organisatin durch TÜV INTERCERT werbewirksames Zertifikat & Prüfzeichen Certified Web Applicatin 58 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

70 Zertifizierte Rechenzentrumssicherheit Umfassender Anfrderungskatalg ISO 27001, IT-Grundschutz, VdS, BITKOM, Tier Classificatin, TIA 942, allgemeine deutsche RZ-Praxis Ablauf Wrkshp Zertifizierung vn Rechenzentren Auditvrbereitung und Abstimmung Prüfung der Rechenzentrumspläne Prüfung im Aufbau Dkumentenprüfung und Auditplanung Auditdurchführung (Knzeptin und/der Nachhaltigkeit) Auditbericht Prüfzeichen mit zweijähriger Gültigkeit (entspricht weitgehend der Zertifizierung Trusted Site Infrastructure TSI und deren unterschiedlichen Kriterien) 59 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

71 Fragen? 60 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

72 Quellen und Literaturverzeichnis DIN EN ISO 27001:2014 ISO/IEC 27002:2013 ISO/IEC 27018:2014 Bundesdatenschutzgesetz Lachenmann/Kreng, Frmularhandbuch Datenschutzrecht, C.H.Beck 2015 Bundesamt für Sicherheit in der Infrmatinstechnik, Grundschutzkatalge ISACA Germany Chapter, IT-Gvernance, 2015 The ISO Survey f Management System Standard Certificatins 2013 Prüfungsrdnung TÜV InterCert GmbH Grup f TÜV Saarland TIC-F-MS-I-14-de Rev ISMS-Audit Schl f Management and Innvatin (Steinbeis-Hchschule Berlin) Rtman Institute f Philsphy, Lndn, GB 61 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0

73 Vielen Dank für Ihre Aufmerksamkeit 62 TÜV InterCert GmbH - Grup f TÜV Saarland TDWI Knferenz V.1.0