Compliance leicht gemacht. Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit

Transkript

1 Compliance leicht gemacht Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit

2 Ständig variierende Richtlinien und eigene interne Anforderungen machen den Unternehmensalltag zur echten Herausforderung. Wenn User Ihre Richtlinien nicht einhalten, hagelt es nicht nur rechtliche Konsequenzen in Form von Bußgeldern. Auch Ihr Ruf kann erheblichen Schaden nehmen. Deutschland sicher im Netz e.v. und Sophos erklären Compliance in leicht verständlicher Weise. Copyright 2011 Sophos Group. Alle Rechte vorbehalten. Kein Teil dieser Publikation darf ohne vorherige schriftliche Genehmigung des Copyright-Inhabers in irgendeiner Form vervielfältigt, gespeichert oder übertragen werden, ob elektronisch, mechanisch, als Fotokopie oder Aufzeichnung. Sophos und Sophos Anti-Virus sind eingetragene Warenzeichen der Sophos Plc und Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer.

3 Inhalt Einleitung 4 Compliance von A bis Z 6 Sicherheitstipps zum Umgang mit Daten 33 Beispiele für Datenschutzrichtlinien 37

4 Einleitung Wir lesen und hören es oft: Da sollen Prozesse compliance-konform sein oder die Unternehmens-Compliance gibt vor, dass.... Doch was ist eigentlich Compliance? Die Compliance legt die Maßnahmen fest, die das Verhalten eines Unternehmens, seiner Mitarbeiter und Organisationsmitglieder regelt und zwar im Hinblick auf alle gesetzlichen Ge- und Verbote. Und sie geht noch weiter: Sie legt auch die Übereinstimmung mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit Moral und Ethik fest. Compliance ließe sich also am Besten mit Regelkonformität übersetzen. Das gelebte Compliance-Konzept eines Unternehmens fördert nicht nur Image und Vertrauenswürdigkeit, es hat auch einen wirtschaftlichen Nutzen, der sich in Zahlen ausdrückt: Dann nämlich, wenn es um die Vermeidung von Schäden, Straf- und Bußgeldern geht. Die Compliance hilft also, das Unternehmen vor bewusstem oder fahrlässigem Fehlverhalten zu schützen. Ein wichtiger Baustein eines Compliance-Konzepts ist der Datenschutz. Denn nur wer verantwortungsvoll mit personenbezogenen Daten umgeht und nicht mit dem Gesetz in Konflikt gerät, ist für seine Kunden vertrauenswürdig. Wie empfindlich Datenschutzverstöße ein Unternehmen treffen können, zeigen zwei Datenschutzskandale aus der jüngsten Vergangenheit: 4

5 Ende April 2011 gab Sony bekannt, dass das PlayStation Network (PSN) gehackt wurde. Sony bestätigte, dass Cyberkriminelle sich Zugriff auf persönliche Anwenderdaten wie Namen, Adressen, Geburtsdaten und Zugangsinformationen verschafft hatten. Das Unternehmen schloss zudem den Diebstahl von Kreditkarteninformationen nicht aus. Im PlayStation Network sind etwa 75 Millionen Accounts registriert. Sony schätzt, dass etwa 24 Millionen Datensätze kopiert worden sind. Das macht den vorliegenden Fall zum größten Datenklau aller Zeiten, die Folgen sollen dem Unternehmen mindestens 1,2 Milliarden Euro gekostet haben. Bei Neckermann klauten Hacker 1,2 Millionen -Adressen von Gewinnspielteilnehmern. Wie der Versandhändler meldet, hat das Unternehmen im Mai 2011 einen Angriff auf die Daten von Gewinnspielteilnehmern bemerkt. Der Hacker-Angriff habe sich in einem Nebensystem ereignet, der Onlineshop von neckermann.de war nicht betroffen. Die Internetkriminellen konnten demnach die Vornamen, Namen und Adressen von rund 1,2 Millionen Gewinnspielteilnehmern vorwiegend aus Deutschland abgreifen. Hier wird klar: Die Datensicherheit sollte in jedem Unternehmen sorgfältig geregelt werden. Die gute Kombination aus Richtlinien, Technologien und durchdachter Strategie ist wichtig als Hilfestellung für Ihre Compliance haben wir daher auf den folgenden Seiten das Thema Datenschutz von A Z speziell im Hinblick auf Compliance-Richtlinien erläutert. 5

6 6 A Compliance von

7 bis Z 7

8 Auftragskontrolle Die Auftragskontrolle fasst Maßnahmen zusammen, die dafür sorgen, dass Ihr Unternehmen personenbezogene Daten nur entsprechend den Weisungen Ihres Auftraggebers verarbeitet. Dies geschieht z. B. durch eine schriftliche Dokumentation der Weisungen, durch die Verpflichtungen Ihrer eigenen Mitarbeiter auf das Datengeheimnis nach 5 BDSG und durch eine verschlüsselte Datenübergabe. 8

9 Bußgeld Für die Folgen von Datenschutzverstößen setzen die zuständigen Behörden ein Bußgeld von bis zu EUR fest. Ein solches Bußgeld soll vor allem eines: abschrecken. 43 BDSG enthält einen langen Katalog an Verstößen gegen den Datenschutz, die mit einem Bußgeld zu ahnden sind. So wird ein Unternehmen z. B. dann zur Kasse gebeten, wenn nicht wie im Gesetz gefordert ein Datenschutzbeauftragter bestellt wird. Generell gilt: Ein Bußgeld soll so hoch sein, dass ein Täter aus der begangenen Ordnungswidrigkeit keinen Gewinn ziehen kann. Kurzum: Er soll sich nicht durch Umgehung des Datenschutzes bereichern können. Das Gesetz stellt dabei klar, dass die Höchstsumme von EUR auch überschritten werden kann, wenn es nötig erscheint: Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. ( 43 Abs. 3. Satz 2, und 3 BDSG) 9

10 10

11 Datensicherheit Unter Datenschutz versteht man nicht nur den Schutz persönlicher Daten vor der Weitergabe an andere, sondern auch den der personenbezogenen Daten. Zur Umsetzung des Datenschutzes dient in Deutschland das Bundesdatenschutzgesetz (BDSG). Mit Datensicherheit assoziieren viele das gleiche, der Begriff ist jedoch kein Synonym für Datenschutz. Vielmehr versteht man unter Datensicherheit, dass einmal erhobene und gespeicherte Daten vor dem Zugriff von unbefugten Dritten, vor Verlust und Manipulationen geschützt werden sollen. Die Maßnahmen zur Datensicherheit sind in 9 BDSG und der Anlage zu 9 BDSG geregelt. Hinreichende Datensicherheit ist demnach eine zwingende Voraussetzung für den Datenschutz. Eine der einfachsten Maßnahmen zum Schutz von Daten gegen Manipulation und unbefugtem Zugriff ist die Verschlüsselung. Datenschutz: Geregelt im Bundesdatenschutzgesetz (BDSG) Datensicherheit: Geregelt in 9 BDSG und der Anlage zu 9 BDSG 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben 11

12 die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage zu 9 BDSG 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, [ ]. 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 12

13 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 2 Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 13

14 14

15 Eingabekontrolle Die Art und Weise, wie Ihr Unternehmen Daten schützt, dient immer auch Ihrer eigenen Absicherung. Daher sollte die komplette Historie der personenbezogenen Daten ablesbar sein. So ist z. B. nachweisbar, wann die Daten in das jeweilige System eingegeben wurden. Erkennbar ist dann auch, wer die Daten wann nachträglich geändert oder entfernt hat. Sinnvoll ist daher die Installation einer Eingabekontrolle. Wie diese Eingabekontrolle auszusehen hat, wird in den Compliance- Richtlinien festgelegt: Hier werden z. B. der Protokollierungsumfang der Systemaktivitäten, die Verarbeitungsprotokolle selbst und die Aufbewahrung dieser Protokolle konkret beschrieben. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 5 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 15

16 16

17 Kommunikation Kommunikation sei es intern oder extern ist für jedes Unternehmen ein wichtiges Thema. Dazu gehören der richtige und angemessene Tonfall und die Wertschätzung der Kommunikationspartner, dazu gehört aber auch, höchstmögliche Vertraulichkeit zu gewährleisten. Bei der Kommunikation per sollten die Daten entsprechend ihrer Vertraulichkeit verschlüsselt und mit einer digitalen Signatur versehen werden. Zusätzlich sollte auf die Verwendung von Filtersystemen geachtet werden, die versehentlichen Datenabfluss verhindern. 17

18 Mitarbeiterschulung Ein Datenschutzkonzept ist nur so gut wie seine Umsetzung. Deshalb ist es wichtig, dass alle Mitarbeiter und Mitarbeiterinnen Ihres Unternehmens für den richtigen Umgang mit Daten sensibilisiert werden und genau wissen, wie sie sich in Tagesgeschäft und Abwicklung verhalten sollen. So ist es auch eine der Aufgaben eines Datenschutzbeauftragten, sich um die Schulung der Mitarbeiter in punkto Datensicherheit zu kümmern. Trainingsmaßnahmen, Informationsveranstaltungen und Einzelgespräche sind daher Möglichkeiten, die ebenfalls in Ihre Compliance-Richtlinien aufgenommen werden sollten. 18

19 Passwörter Sichere Passwörter und Codes sind generell ein wichtiges Thema, wenn es um die Datensicherheit geht. Umso mehr sollte auch Ihr Unternehmen einen Standard etablieren, der den unbedarften Umgang mit Passwörtern verhindert. Dazu gehört: Das Vermeiden von zu kurzen und zu einfachen Passwörtern (z. B. Namen, Geburtstage). Stattdessen sollte das Passwort achtstellig sein und sich aus mehreren Buchstaben, Sonderzeichen und Ziffern zusammensetzen. Die Verwendung mehrerer Passwörter für verschiedene Anwendungen am Computer und im Internet. Die rasche Änderung voreingestellter Passwörter (z. B. in neuen Anwendungen) in eigene Passwörter. Die sichere und geschützte Aufbewahrung von dokumentierten Passwörtern. Die regelmäßige Erneuerung der Passwörter z. B. nach Ablauf von 90 Tagen. 19

20 20

21 PCs/Notebooks/Tablets/Smartphones Selbstverständlich gelten die Vorschriften des BDSG für die Daten auf jedem Einzelplatzrechner, Notebook und Smartphone Ihres Unternehmens - daher muss es auch einen Datenschutzbeauftragten geben, der für die Umsetzung der Vorschriften zuständig ist. Jedes Gerät sollte vor Zugriffen Unbefugter gesichert werden. Perfekt wäre es, wenn die Rechner außerhalb ihrer Nutzung durch mechanische Schlösser gesichert oder in verschlossenen Räumen aufbewahrt werden. Jeder Nutzer muss sich mit eigenem Nutzernamen und Kennwort anmelden; falls mehrere Benutzer auf einen Rechner zugreifen, müssen ihre Rechte und Nutzerprofile klar sein. Smartphones sollten vor jeder Benutzung erneut das Passwort verlangen. Schließen Sie die Benutzung offener WLANs systemseitig aus. Wer Kontakt zum Unternehmen von außerhalb aufbaut, sei es, um Mails abzurufen oder Daten anzusehen oder herunterzuladen, sollte dafür immer eine gesicherte VPN- (Virtual Private Network) oder SSL-Verschlüsselung aufbauen. Inventarisieren Sie alle Datenträger, damit ihr Fehlen jederzeit bemerkt und zurückverfolgt werden kann. Zusätzlich sollten Sie die Benutzung von Datenträgern, wie USB Sticks reglementieren. 21

22 Protokolle Die Erstellung von Protokollen stellt eine technologisch und organisatorisch wirksame Möglichkeit des Datenschutzes dar. Dies gilt nicht nur für Veränderungen an Hard- und Software sondern auch für die Verarbeitung (Erhebung, Speicherung, Veränderung, Löschung, Sperrung, Übermittlung) von personenbezogenen Daten. 22

23 23

24 24

25 Sicherheitskonzept Machen Sie es sich zum Ziel, mit Ihrem Sicherheitskonzept Ihr Unternehmen, die Geschäftsführung und alle verantwortlichen Personen gegen rechtliche Ansprüche aufgrund eines Datenlecks abzusichern. Der Schaden am Ansehen Ihres Unternehmens und die daraus resultierenden wirtschaftlichen Verluste wiegen sogar oftmals größer als die rechtlichen Konsequenzen. Ein gutes Sicherheitskonzept beinhaltet einen Maßnahmenkatalog sowie einen Fristenplan, der festlegt, wie Ihre Maßnahmen zur IT-Sicherheitspolitik umgesetzt werden. Zusätzlich sollten die Organisationsstruktur, die Zuständigkeiten und auch die Verfahren, Abläufe und Mittel zur Verwirklichung dargestellt werden. Der Inhalt eines Sicherheitskonzepts wird durch 9 BDSG und seine Anlage bestimmt. Zu beschreiben sind: welche Arten personenbezogener Daten in welchen Verfahren automatisiert verarbeitet werden welche Risiken sich aus der beabsichtigen Verarbeitung ergeben welche technischen und organisatorischen Maßnahmen erforderlich sind, um die analysierten Risiken angemessen zu minimieren 25

26 26

27 Verfügbarkeitskontrolle Schützen Sie einmal erstellte oder weiterverarbeitete persönliche und personenbezogene Daten vor Zerstörung oder Verlust. Denn die Daten müssen so lange verfügbar sein, bis sie bewusst gelöscht werden. Verfügbar bleiben die Daten z. B., wenn Sie Sicherungskopien erstellen und auslagern. Auch Notstromaggregate, unterbrechungsfreie Stromversorgung und ein Katastrophenplan sichern die Verfügbarkeit. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 7 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 27

28 Weitergabekontrolle Selbstverständlich ist es nötig, Daten auszutauschen und sie z. B. per zu verschicken. Hierbei ist die Weitergabekontrolle wichtig. Sie macht ersichtlich, wann es zu einem Datenaustausch kommt oder wann Daten gespeichert werden. Dies kann z. B. durch Identifizierung und Authentifizierung, durch technologisch modernste Verschlüsselungsverfahren und durch Regelungen zur Datenträgervernichtung erreicht werden. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 4 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 28

29 Zugangskontrolle Die Zugangskontrolle stellt die Identität eines Benutzers fest und lässt ihn gemäß dessen vorher festgelegten Rechten Aktionen auf dem Rechner ausführen. Zugang erhalten nur berechtigte Personen passen Sie die Maßnahmen dazu an die in Ihrem Unternehmen verwendeten Technologien, Systemarchitekturen und Geräte an. Dies geschieht z. B. durch eine Regelung zur Passwortvergabe, Richtlinien zur Passworterstellung, Protokollierung der Passwortnutzung, Smartcards, Firewalls und den Einsatz moderner Verschlüsselungsverfahren. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 2 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). 29

30 Zugriffskontrolle Die Zugriffskontrolle erfolgt, sobald der Benutzer die physikalische Verbindung (die Einwahl) hergestellt hat und seine Zugangsberechtigung z. B. durch ein Passwort nachgewiesen ist. Die Zugriffskontrolle bezieht sich also nicht auf einen Zugang zum Empfänger- Rechner, sondern auf den Zugriff auf Daten und Programme auf diesem Rechner. Mit einer Zugriffskontrolle wahren Sie die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen. Dies geschieht durch einen kontrollierten Zugriff auf Daten, Server, Webinhalte und Anwendungen: Nur diejenigen Mitarbeiter sollen auf Daten zugreifen können, die es auch dürfen. Personenbezogene Daten sollen bei der Bearbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 30

31 Die Zugriffskontrolle kann z. B. durch differenzierte Berechtigungen für die Nutzung von Anwendungen und den Zugriff auf Laufwerke umgesetzt werden. Eine Protokollierung der Zugriffe und der Einsatz moderner Verschlüsselungsverfahren gehören ebenso dazu wie das Mehraugenprinzip, das auch digital durchgeführt werden kann. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 3 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 31

32 Zutrittskontrolle Personenbezogene Daten müssen aufgrund ihrer Vertraulichkeit besonders geschützt werden. Deshalb es ist wichtig, dass sie nicht in die falschen Hände geraten. Unbefugte sollten unter keinen Umständen Zutritt zu den Datenverarbeitungsanlagen haben, mit denen die personenbezogenen Daten verarbeitet und genutzt werden. Eine Zutrittskontrolle dient also dazu, nur Befugten Zugang zu gewähren. Dies kann durch Smartcards und Kartenlesegeräte oder Transponderkarten und Terminals erreicht werden. Auch Berechtigungsausweise, die kontrollierte Schlüsselvergabe, Personenkontrolle durch Pförtner, Alarmanlagen, Bewegungsmelder, Einbruchsmelder, Videoüberwachung gehören selbstverständlich zur Zutrittskontrolle. Geregelt in: Anlage zu 9 Satz 1 Nr. 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), [ ]. 32

33 Sicherheitstipps zum Umgang mit Daten 33

34 Die besten Tipps zum Datenschutz Ihre Daten sind wertvoll stellen Sie sicher, dass sie nicht in die falschen Hände geraten oder verloren gehen. 1. Verschaffen Sie sich einen Überblick über die zu schützenden Daten Informieren Sie sich darüber, welche Daten es zu sichern gilt und wo diese gespeichert sind. 2. Mit geltenden Regeln vertraut machen Sorgen Sie dafür, dass Sie über die Datenschutzrichtlinien Ihres Unternehmens Bescheid wissen. 3. Verwenden Sie sichere Kennwörter Wählen Sie für Ihren Computer und Website-Logins hart zu knackende Kennwörter! Verwenden Sie hierzu Klein- und Großbuchstaben, Ziffern und Symbole. 34

35 4. Schützen Sie Ihre Computer Ihre Daten sind für Hacker Gold wert. Stellen Sie daher sicher, dass Hacker keinen Zugriff auf Ihre Daten erhalten. Verwenden Sie nur Computer mit aktueller Security-Software sowie aktuellen Firewalls und Patches. 5. Tauschen Sie Daten mit Bedacht aus Überlegen Sie sich stets zweimal, ob Sie potenziell sensible Daten auf Social-Networking-Websites veröffentlichen oder derlei Informationen per versenden möchten. 6. Surfen Sie undercover Erstellen Sie Benutzernamen auf Social-Networking-Websites, die nichts über Ihre tatsächliche Identität verraten und geben Sie in keinem Fall Ihr echtes Geburtsdatum an. 7. Löschen Sie Daten Werden sensible Daten nicht mehr benötigt, sollten diese gelöscht werden dies gilt vor allem für Daten auf USB-Sticks. 35

36 8. Verschaffen Sie sich einen Überblick über die zu schützenden Daten USB-Sticks und andere tragbare Geräte (Handys, Laptops usw.) gehen leicht verloren überlegen Sie sich daher stets zweimal, ob Sie sensible Daten wirklich auf diese Speichermedien übertragen möchten. 9. Lassen Sie unterwegs besondere Vorsicht walten Behalten Sie Ihre Laptops, Handys, USB-Sticks und andere tragbare Geräte auf Reisen stets gut im Auge auf den 9 größten europäischen Flughäfen kommen wöchentlich im Durchschnitt Laptops abhanden. 10. Verschlüsseln Sie Daten Indem Sie sensible Daten verschlüsseln, verhindern Sie, dass diese von Unbefugten eingesehen werden Ende der Diskussion! 36

37 Beispiele für Datenschutzrichtlinien 37

38 Beispiel-Datenschutzrichtlinien Eine gute Umsetzung orientiert sich am Besten an guten Beispielen. Nachfolgend haben wir daher drei exemplarische Datenschutzricht-linien zusammengestellt, die Sie auf die Bedürfnisse Ihres Unternehmens anpassen und entsprechend erweitern sollten. Die drei Richtlinien decken folgende Bereiche ab: 1. Datenschutzrichtlinie: Mitarbeiteranforderungen 2. Datenschutzrichtlinie: Data Loss Prevention (Verhinderung von Datenverlusten) Daten in Übertragung 3. Datenschutzrichtlinie: Richtlinie zur übergreifenden Verschlüsselung von Arbeitsplatzrechnern Kommentare, die Sie bei der Verwendung dieser Richtlinie unterstützen sollen, sind orange markiert. 38

39 1. Datenschutzrichtlinie: Mitarbeiteranforderungen Anwenden der Richtlinie Diese Beispielrichtlinie gibt an, welches Verhalten von Mitarbeitern bei der Verarbeitung von Daten erwartet wird, und klassifiziert Datentypen, bei denen besondere Vorsicht geboten ist. Um Benutzern einheitliche Anweisungen über das von ihnen erwartete Verhalten bereitzustellen, sollte die Richtlinie eng mit Ihrer Nutzungsrichtlinie, Ihrem Security-Training und Ihrer Datenschutzrichtlinie verknüpft werden. 1.0 Zweck Um Rufschädigungen und negative Beeinflussungen von Kunden zu vermeiden, muss <Unternehmen X> Verluste geheimer, vertraulicher oder sensibler Daten unterbinden. Der Schutz von Daten im Geltungsbereich ist eine entscheidende Unternehmensanforderung. Gleiches gilt jedoch für die Flexibilität beim Zugriff auf Daten und eine effektive Arbeitsweise. Es ist nicht davon auszugehen, dass diese Verfahrenskontrolle mutwillige Datendiebstähle wirksam verhindern bzw. alle Daten zuverlässig erkennen kann. Vorrangiges Ziel sollte sein, Benutzer so weit aufzuklären, dass versehentliche Datenverluste weitgehend 39

40 verhindert werden können. Diese Richtlinie definiert die Anforderungen und wünschenswerten Schwerpunkte für eine Data Loss Prevention (Verhinderung von Datenverlusten) und führt Begründungen hierfür an. 2.0 Geltungsbereich 1. Diese Richtlinie ist für alle Mitarbeiter und Einzelpersonen mit Zugriff auf Systeme oder Daten des Unternehmens <Unternehmen X> verbindlich. 2. Definition zu schützender Daten (Sie sollten alle Datentypen aufzeigen und diese anhand von Beispielen veranschaulichen, damit Benutzer entsprechende Daten im Zweifelsfall identifizieren können) Personenbezogene Daten Finanzdaten Geheime/sensibele Daten Vertrauliche Daten IP-Daten 3.0 Richtlinie Mitarbeiteranforderungen 1. Sie müssen das Security-Awareness-Training von <Unternehmen X> erfolgreich abschließen und sich zur Einhaltung der Nutzungsrichtlinien verpflichten. 40

41 2. Bei Identifizierung einer unbekannten, unbegleiteten oder anderweitig unbefugten Einzelperson auf dem Gelände von <Unternehmen X> sind Sie dazu verpflichtet, <X> zu informieren. 3. Besucher des Unternehmens <Unternehmen X> müssen zu jedem Zeitpunkt von einem hierzu befugten Mitarbeiter begleitet werden. Wenn Sie mit der Begleitung von Besuchern betraut werden, dürfen Sie diesen nur Zugang zu ausgewählten Bereichen gewähren. 4. Sie verpflichten sich, in der Öffentlichkeit stillschweigen über sensible bzw. vertrauliche Daten und ihre Inhalte zu bewahren. Gleiches gilt bei der Verwendung von Kommunikationskanälen und Systemen, die nicht unter der Kontrolle von <Unternehmen X> stehen. So ist z. B. die Verwendung externer -Systeme, die nicht von <Unternehmen X> gehostet werden, zur Übertragung von Daten unzulässig. 5. Bitte halten Sie Ihren Schreibtisch sauber und ordentlich. Daten des Geltungsbereichs dürfen in keinem Fall unbeaufsichtigt an Ihrem Arbeitsplatz hinterlassen werden. 6. Sie sind dazu verpflichtet, auf allen <Unternehmen X> -Systemen sichere Kennwörter zu verwenden. Diese müssen die Anforderungen der Kennwortrichtlinie erfüllen. Anmeldeinformationen müssen einzigartig sein und dürfen nicht auf anderen externen Systemen oder Services zum Einsatz kommen. 41

42 7. Bei Beendigung des Arbeitsverhältnisses verpflichtet sich der Mitarbeiter zur Herausgabe sämtlicher Datensätze persönlicher Natur, unabhängig von ihrem Format. 8. Bei Verlust von Geräten, die in den Geltungsbereich fallende Daten enthalten (z. B. Handys, Laptops usw.), sind Sie dazu verpflichtet, unverzüglich <X> zu informieren. 9. Sollten Sie auf ein System oder einen Prozess stoßen, an deren Konformität mit dieser Richtlinie oder deren Einklang mit den Maßnahmen zur Steigerung der Informationssicherheit Sie zweifeln, sind Sie dazu verpflichtet, <X> zu informieren, damit entsprechende Maßnahmen getroffen werden können. 10. Wenn Ihnen das Recht eingeräumt wird, von extern zu arbeiten, sind Ihrerseits besondere Vorsichtsmaßnahmen für die Verarbeitung von Daten zu treffen. Lassen Sie sich von <X> beraten, wenn Sie sich unsicher über Ihre Verantwortlichkeiten sind. 11. Ferner haben Sie sicherzustellen, dass Daten, die in den Geltungsbereich fallen, nicht unachtsam offengelegt werden (z. B. auf dem Autorücksitz). 12. Daten, die innerhalb von <Unternehmen X> transportiert werden müssen, sind unter Verwendung der vom Unternehmen bereitgestellten, sicheren Transfermechanismen zu übertragen (z. B. verschlüsselte USB-Sticks, Dateifreigaben, 42

43 s usw.). <Unternehmen X> stellt Ihnen für diese Zwecke geeignete Systeme und Geräte bereit. Es sind keinerlei andere Mechanismen für die Verarbeitung von Daten des Geltungsbereichs zulässig. Bei Fragen zu den Transfermechanismen oder potenziellen Konflikten mit Ihren Arbeitsprozessen wenden Sie sich bitte an <X>. 13. Sämtliche Informationen, die über portable Geräte (z. B. USB- Sticks und Laptops) übertragen werden, müssen unter Einsatz bewährter Verfahren sowie in Einklang mit geltenden Gesetzen und Vorschriften verschlüsselt werden. Wenn bezüglich der Anforderungen Zweifel bestehen, wenden Sie sich bitte an <X>. 43

44 44

45 2. Datenschutzrichtlinie: Data Loss Prevention (Verhinderung von Datenverlusten) Daten in Übertragung Anwenden der Richtlinie Dieses Beispiel soll Ihrem Unternehmen bei der Implementierung und Aktualisierung Ihrer Kontrollen zur Verhinderung von Datenverlusten helfen. Passen Sie diese Richtlinie an Ihre Bedürfnisse, an die Realisierbarkeit sowie geltende Regularien an. Wir schlagen nachfolgend exemplarisch Gruppen von Daten vor, die überwacht werden sollen erweitern Sie unsere Vorschläge einfach um Ihre unternehmensspezifischen sensiblen Daten. Hintergrundinformationen Ziel von Verfahren zur Data Loss Prevention (Verhinderung von Datenverlusten) ist es, Benutzer darüber aufzuklären, dass sie Daten übertragen. 45

46 1.0 Zweck Um Rufschädigungen und negative Beeinflussungen von Kunden zu vermeiden, muss <Unternehmen X> Verluste geheimer, vertraulicher oder sensibler Daten unterbinden. Der Schutz von Daten im Geltungsbereich ist eine entscheidende Unternehmensanforderung. Gleiches gilt jedoch für die Flexibilität beim Zugriff auf Daten und eine effektive Arbeitsweise. Es ist nicht davon auszugehen, dass diese Verfahrenskontrolle mutwillige Datendiebstähle wirksam verhindern bzw. alle Daten zuverlässig erkennen kann. Vorrangiges Ziel sollte sein, Benutzer so weit aufzuklären, dass versehentliche Datenverluste weitgehend verhindert werden können. Diese Richtlinie definiert die Anforderungen und wünschenswerten Schwerpunkte für eine Data Loss Prevention (Verhinderung von Datenverlusten) und begründet diese. 2.0 Geltungsbereich 1. Alle <Unternehmen X>-Geräte, auf denen Kundendaten, sensible bzw. personenbezogene Daten oder Unternehmensdaten verarbeitet werden. Sämtliche Geräte, die üblicherweise für , Internet oder andere Arbeitszwecke zum Einsatz kommen und für die keine Ausnahmen aufgrund legitimer Unternehmens- und Verfahrenszwecke bestehen. 2. Die <Unternehmen X>-Richtlinie zum Informationsschutz definiert die Anforderungen an die Verarbeitung von Daten und an das Benutzerverhalten. Diese Richtlinie dient dazu, die Daten- 46