Compliance leicht gemacht. Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit

Größe: px
Ab Seite anzeigen:

Download "Compliance leicht gemacht. Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit"

Transkript

1 Compliance leicht gemacht Schirmherrschaft Ein Handlungsversprechen von gemeinsam mit

2 Ständig variierende Richtlinien und eigene interne Anforderungen machen den Unternehmensalltag zur echten Herausforderung. Wenn User Ihre Richtlinien nicht einhalten, hagelt es nicht nur rechtliche Konsequenzen in Form von Bußgeldern. Auch Ihr Ruf kann erheblichen Schaden nehmen. Deutschland sicher im Netz e.v. und Sophos erklären Compliance in leicht verständlicher Weise. Copyright 2011 Sophos Group. Alle Rechte vorbehalten. Kein Teil dieser Publikation darf ohne vorherige schriftliche Genehmigung des Copyright-Inhabers in irgendeiner Form vervielfältigt, gespeichert oder übertragen werden, ob elektronisch, mechanisch, als Fotokopie oder Aufzeichnung. Sophos und Sophos Anti-Virus sind eingetragene Warenzeichen der Sophos Plc und Sophos Group. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Warenzeichen oder eingetragene Warenzeichen der jeweiligen Eigentümer.

3 Inhalt Einleitung 4 Compliance von A bis Z 6 Sicherheitstipps zum Umgang mit Daten 33 Beispiele für Datenschutzrichtlinien 37

4 Einleitung Wir lesen und hören es oft: Da sollen Prozesse compliance-konform sein oder die Unternehmens-Compliance gibt vor, dass.... Doch was ist eigentlich Compliance? Die Compliance legt die Maßnahmen fest, die das Verhalten eines Unternehmens, seiner Mitarbeiter und Organisationsmitglieder regelt und zwar im Hinblick auf alle gesetzlichen Ge- und Verbote. Und sie geht noch weiter: Sie legt auch die Übereinstimmung mit allen gesellschaftlichen Richtlinien und Wertvorstellungen, mit Moral und Ethik fest. Compliance ließe sich also am Besten mit Regelkonformität übersetzen. Das gelebte Compliance-Konzept eines Unternehmens fördert nicht nur Image und Vertrauenswürdigkeit, es hat auch einen wirtschaftlichen Nutzen, der sich in Zahlen ausdrückt: Dann nämlich, wenn es um die Vermeidung von Schäden, Straf- und Bußgeldern geht. Die Compliance hilft also, das Unternehmen vor bewusstem oder fahrlässigem Fehlverhalten zu schützen. Ein wichtiger Baustein eines Compliance-Konzepts ist der Datenschutz. Denn nur wer verantwortungsvoll mit personenbezogenen Daten umgeht und nicht mit dem Gesetz in Konflikt gerät, ist für seine Kunden vertrauenswürdig. Wie empfindlich Datenschutzverstöße ein Unternehmen treffen können, zeigen zwei Datenschutzskandale aus der jüngsten Vergangenheit: 4

5 Ende April 2011 gab Sony bekannt, dass das PlayStation Network (PSN) gehackt wurde. Sony bestätigte, dass Cyberkriminelle sich Zugriff auf persönliche Anwenderdaten wie Namen, Adressen, Geburtsdaten und Zugangsinformationen verschafft hatten. Das Unternehmen schloss zudem den Diebstahl von Kreditkarteninformationen nicht aus. Im PlayStation Network sind etwa 75 Millionen Accounts registriert. Sony schätzt, dass etwa 24 Millionen Datensätze kopiert worden sind. Das macht den vorliegenden Fall zum größten Datenklau aller Zeiten, die Folgen sollen dem Unternehmen mindestens 1,2 Milliarden Euro gekostet haben. Bei Neckermann klauten Hacker 1,2 Millionen -Adressen von Gewinnspielteilnehmern. Wie der Versandhändler meldet, hat das Unternehmen im Mai 2011 einen Angriff auf die Daten von Gewinnspielteilnehmern bemerkt. Der Hacker-Angriff habe sich in einem Nebensystem ereignet, der Onlineshop von neckermann.de war nicht betroffen. Die Internetkriminellen konnten demnach die Vornamen, Namen und Adressen von rund 1,2 Millionen Gewinnspielteilnehmern vorwiegend aus Deutschland abgreifen. Hier wird klar: Die Datensicherheit sollte in jedem Unternehmen sorgfältig geregelt werden. Die gute Kombination aus Richtlinien, Technologien und durchdachter Strategie ist wichtig als Hilfestellung für Ihre Compliance haben wir daher auf den folgenden Seiten das Thema Datenschutz von A Z speziell im Hinblick auf Compliance-Richtlinien erläutert. 5

6 6 A Compliance von

7 bis Z 7

8 Auftragskontrolle Die Auftragskontrolle fasst Maßnahmen zusammen, die dafür sorgen, dass Ihr Unternehmen personenbezogene Daten nur entsprechend den Weisungen Ihres Auftraggebers verarbeitet. Dies geschieht z. B. durch eine schriftliche Dokumentation der Weisungen, durch die Verpflichtungen Ihrer eigenen Mitarbeiter auf das Datengeheimnis nach 5 BDSG und durch eine verschlüsselte Datenübergabe. 8

9 Bußgeld Für die Folgen von Datenschutzverstößen setzen die zuständigen Behörden ein Bußgeld von bis zu EUR fest. Ein solches Bußgeld soll vor allem eines: abschrecken. 43 BDSG enthält einen langen Katalog an Verstößen gegen den Datenschutz, die mit einem Bußgeld zu ahnden sind. So wird ein Unternehmen z. B. dann zur Kasse gebeten, wenn nicht wie im Gesetz gefordert ein Datenschutzbeauftragter bestellt wird. Generell gilt: Ein Bußgeld soll so hoch sein, dass ein Täter aus der begangenen Ordnungswidrigkeit keinen Gewinn ziehen kann. Kurzum: Er soll sich nicht durch Umgehung des Datenschutzes bereichern können. Das Gesetz stellt dabei klar, dass die Höchstsumme von EUR auch überschritten werden kann, wenn es nötig erscheint: Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. ( 43 Abs. 3. Satz 2, und 3 BDSG) 9

10 10

11 Datensicherheit Unter Datenschutz versteht man nicht nur den Schutz persönlicher Daten vor der Weitergabe an andere, sondern auch den der personenbezogenen Daten. Zur Umsetzung des Datenschutzes dient in Deutschland das Bundesdatenschutzgesetz (BDSG). Mit Datensicherheit assoziieren viele das gleiche, der Begriff ist jedoch kein Synonym für Datenschutz. Vielmehr versteht man unter Datensicherheit, dass einmal erhobene und gespeicherte Daten vor dem Zugriff von unbefugten Dritten, vor Verlust und Manipulationen geschützt werden sollen. Die Maßnahmen zur Datensicherheit sind in 9 BDSG und der Anlage zu 9 BDSG geregelt. Hinreichende Datensicherheit ist demnach eine zwingende Voraussetzung für den Datenschutz. Eine der einfachsten Maßnahmen zum Schutz von Daten gegen Manipulation und unbefugtem Zugriff ist die Verschlüsselung. Datenschutz: Geregelt im Bundesdatenschutzgesetz (BDSG) Datensicherheit: Geregelt in 9 BDSG und der Anlage zu 9 BDSG 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben 11

12 die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage zu 9 BDSG 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, [ ]. 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 12

13 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 2 Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. 13

14 14

15 Eingabekontrolle Die Art und Weise, wie Ihr Unternehmen Daten schützt, dient immer auch Ihrer eigenen Absicherung. Daher sollte die komplette Historie der personenbezogenen Daten ablesbar sein. So ist z. B. nachweisbar, wann die Daten in das jeweilige System eingegeben wurden. Erkennbar ist dann auch, wer die Daten wann nachträglich geändert oder entfernt hat. Sinnvoll ist daher die Installation einer Eingabekontrolle. Wie diese Eingabekontrolle auszusehen hat, wird in den Compliance- Richtlinien festgelegt: Hier werden z. B. der Protokollierungsumfang der Systemaktivitäten, die Verarbeitungsprotokolle selbst und die Aufbewahrung dieser Protokolle konkret beschrieben. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 5 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 15

16 16

17 Kommunikation Kommunikation sei es intern oder extern ist für jedes Unternehmen ein wichtiges Thema. Dazu gehören der richtige und angemessene Tonfall und die Wertschätzung der Kommunikationspartner, dazu gehört aber auch, höchstmögliche Vertraulichkeit zu gewährleisten. Bei der Kommunikation per sollten die Daten entsprechend ihrer Vertraulichkeit verschlüsselt und mit einer digitalen Signatur versehen werden. Zusätzlich sollte auf die Verwendung von Filtersystemen geachtet werden, die versehentlichen Datenabfluss verhindern. 17

18 Mitarbeiterschulung Ein Datenschutzkonzept ist nur so gut wie seine Umsetzung. Deshalb ist es wichtig, dass alle Mitarbeiter und Mitarbeiterinnen Ihres Unternehmens für den richtigen Umgang mit Daten sensibilisiert werden und genau wissen, wie sie sich in Tagesgeschäft und Abwicklung verhalten sollen. So ist es auch eine der Aufgaben eines Datenschutzbeauftragten, sich um die Schulung der Mitarbeiter in punkto Datensicherheit zu kümmern. Trainingsmaßnahmen, Informationsveranstaltungen und Einzelgespräche sind daher Möglichkeiten, die ebenfalls in Ihre Compliance-Richtlinien aufgenommen werden sollten. 18

19 Passwörter Sichere Passwörter und Codes sind generell ein wichtiges Thema, wenn es um die Datensicherheit geht. Umso mehr sollte auch Ihr Unternehmen einen Standard etablieren, der den unbedarften Umgang mit Passwörtern verhindert. Dazu gehört: Das Vermeiden von zu kurzen und zu einfachen Passwörtern (z. B. Namen, Geburtstage). Stattdessen sollte das Passwort achtstellig sein und sich aus mehreren Buchstaben, Sonderzeichen und Ziffern zusammensetzen. Die Verwendung mehrerer Passwörter für verschiedene Anwendungen am Computer und im Internet. Die rasche Änderung voreingestellter Passwörter (z. B. in neuen Anwendungen) in eigene Passwörter. Die sichere und geschützte Aufbewahrung von dokumentierten Passwörtern. Die regelmäßige Erneuerung der Passwörter z. B. nach Ablauf von 90 Tagen. 19

20 20

21 PCs/Notebooks/Tablets/Smartphones Selbstverständlich gelten die Vorschriften des BDSG für die Daten auf jedem Einzelplatzrechner, Notebook und Smartphone Ihres Unternehmens - daher muss es auch einen Datenschutzbeauftragten geben, der für die Umsetzung der Vorschriften zuständig ist. Jedes Gerät sollte vor Zugriffen Unbefugter gesichert werden. Perfekt wäre es, wenn die Rechner außerhalb ihrer Nutzung durch mechanische Schlösser gesichert oder in verschlossenen Räumen aufbewahrt werden. Jeder Nutzer muss sich mit eigenem Nutzernamen und Kennwort anmelden; falls mehrere Benutzer auf einen Rechner zugreifen, müssen ihre Rechte und Nutzerprofile klar sein. Smartphones sollten vor jeder Benutzung erneut das Passwort verlangen. Schließen Sie die Benutzung offener WLANs systemseitig aus. Wer Kontakt zum Unternehmen von außerhalb aufbaut, sei es, um Mails abzurufen oder Daten anzusehen oder herunterzuladen, sollte dafür immer eine gesicherte VPN- (Virtual Private Network) oder SSL-Verschlüsselung aufbauen. Inventarisieren Sie alle Datenträger, damit ihr Fehlen jederzeit bemerkt und zurückverfolgt werden kann. Zusätzlich sollten Sie die Benutzung von Datenträgern, wie USB Sticks reglementieren. 21

22 Protokolle Die Erstellung von Protokollen stellt eine technologisch und organisatorisch wirksame Möglichkeit des Datenschutzes dar. Dies gilt nicht nur für Veränderungen an Hard- und Software sondern auch für die Verarbeitung (Erhebung, Speicherung, Veränderung, Löschung, Sperrung, Übermittlung) von personenbezogenen Daten. 22

23 23

24 24

25 Sicherheitskonzept Machen Sie es sich zum Ziel, mit Ihrem Sicherheitskonzept Ihr Unternehmen, die Geschäftsführung und alle verantwortlichen Personen gegen rechtliche Ansprüche aufgrund eines Datenlecks abzusichern. Der Schaden am Ansehen Ihres Unternehmens und die daraus resultierenden wirtschaftlichen Verluste wiegen sogar oftmals größer als die rechtlichen Konsequenzen. Ein gutes Sicherheitskonzept beinhaltet einen Maßnahmenkatalog sowie einen Fristenplan, der festlegt, wie Ihre Maßnahmen zur IT-Sicherheitspolitik umgesetzt werden. Zusätzlich sollten die Organisationsstruktur, die Zuständigkeiten und auch die Verfahren, Abläufe und Mittel zur Verwirklichung dargestellt werden. Der Inhalt eines Sicherheitskonzepts wird durch 9 BDSG und seine Anlage bestimmt. Zu beschreiben sind: welche Arten personenbezogener Daten in welchen Verfahren automatisiert verarbeitet werden welche Risiken sich aus der beabsichtigen Verarbeitung ergeben welche technischen und organisatorischen Maßnahmen erforderlich sind, um die analysierten Risiken angemessen zu minimieren 25

26 26

27 Verfügbarkeitskontrolle Schützen Sie einmal erstellte oder weiterverarbeitete persönliche und personenbezogene Daten vor Zerstörung oder Verlust. Denn die Daten müssen so lange verfügbar sein, bis sie bewusst gelöscht werden. Verfügbar bleiben die Daten z. B., wenn Sie Sicherungskopien erstellen und auslagern. Auch Notstromaggregate, unterbrechungsfreie Stromversorgung und ein Katastrophenplan sichern die Verfügbarkeit. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 7 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 27

28 Weitergabekontrolle Selbstverständlich ist es nötig, Daten auszutauschen und sie z. B. per zu verschicken. Hierbei ist die Weitergabekontrolle wichtig. Sie macht ersichtlich, wann es zu einem Datenaustausch kommt oder wann Daten gespeichert werden. Dies kann z. B. durch Identifizierung und Authentifizierung, durch technologisch modernste Verschlüsselungsverfahren und durch Regelungen zur Datenträgervernichtung erreicht werden. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 4 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 28

29 Zugangskontrolle Die Zugangskontrolle stellt die Identität eines Benutzers fest und lässt ihn gemäß dessen vorher festgelegten Rechten Aktionen auf dem Rechner ausführen. Zugang erhalten nur berechtigte Personen passen Sie die Maßnahmen dazu an die in Ihrem Unternehmen verwendeten Technologien, Systemarchitekturen und Geräte an. Dies geschieht z. B. durch eine Regelung zur Passwortvergabe, Richtlinien zur Passworterstellung, Protokollierung der Passwortnutzung, Smartcards, Firewalls und den Einsatz moderner Verschlüsselungsverfahren. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 2 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). 29

30 Zugriffskontrolle Die Zugriffskontrolle erfolgt, sobald der Benutzer die physikalische Verbindung (die Einwahl) hergestellt hat und seine Zugangsberechtigung z. B. durch ein Passwort nachgewiesen ist. Die Zugriffskontrolle bezieht sich also nicht auf einen Zugang zum Empfänger- Rechner, sondern auf den Zugriff auf Daten und Programme auf diesem Rechner. Mit einer Zugriffskontrolle wahren Sie die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen. Dies geschieht durch einen kontrollierten Zugriff auf Daten, Server, Webinhalte und Anwendungen: Nur diejenigen Mitarbeiter sollen auf Daten zugreifen können, die es auch dürfen. Personenbezogene Daten sollen bei der Bearbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 30

31 Die Zugriffskontrolle kann z. B. durch differenzierte Berechtigungen für die Nutzung von Anwendungen und den Zugriff auf Laufwerke umgesetzt werden. Eine Protokollierung der Zugriffe und der Einsatz moderner Verschlüsselungsverfahren gehören ebenso dazu wie das Mehraugenprinzip, das auch digital durchgeführt werden kann. Geregelt in der Anlage zu 9 BDSG Satz 1 Nr. 3 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 31

32 Zutrittskontrolle Personenbezogene Daten müssen aufgrund ihrer Vertraulichkeit besonders geschützt werden. Deshalb es ist wichtig, dass sie nicht in die falschen Hände geraten. Unbefugte sollten unter keinen Umständen Zutritt zu den Datenverarbeitungsanlagen haben, mit denen die personenbezogenen Daten verarbeitet und genutzt werden. Eine Zutrittskontrolle dient also dazu, nur Befugten Zugang zu gewähren. Dies kann durch Smartcards und Kartenlesegeräte oder Transponderkarten und Terminals erreicht werden. Auch Berechtigungsausweise, die kontrollierte Schlüsselvergabe, Personenkontrolle durch Pförtner, Alarmanlagen, Bewegungsmelder, Einbruchsmelder, Videoüberwachung gehören selbstverständlich zur Zutrittskontrolle. Geregelt in: Anlage zu 9 Satz 1 Nr. 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), [ ]. 32

33 Sicherheitstipps zum Umgang mit Daten 33

34 Die besten Tipps zum Datenschutz Ihre Daten sind wertvoll stellen Sie sicher, dass sie nicht in die falschen Hände geraten oder verloren gehen. 1. Verschaffen Sie sich einen Überblick über die zu schützenden Daten Informieren Sie sich darüber, welche Daten es zu sichern gilt und wo diese gespeichert sind. 2. Mit geltenden Regeln vertraut machen Sorgen Sie dafür, dass Sie über die Datenschutzrichtlinien Ihres Unternehmens Bescheid wissen. 3. Verwenden Sie sichere Kennwörter Wählen Sie für Ihren Computer und Website-Logins hart zu knackende Kennwörter! Verwenden Sie hierzu Klein- und Großbuchstaben, Ziffern und Symbole. 34

35 4. Schützen Sie Ihre Computer Ihre Daten sind für Hacker Gold wert. Stellen Sie daher sicher, dass Hacker keinen Zugriff auf Ihre Daten erhalten. Verwenden Sie nur Computer mit aktueller Security-Software sowie aktuellen Firewalls und Patches. 5. Tauschen Sie Daten mit Bedacht aus Überlegen Sie sich stets zweimal, ob Sie potenziell sensible Daten auf Social-Networking-Websites veröffentlichen oder derlei Informationen per versenden möchten. 6. Surfen Sie undercover Erstellen Sie Benutzernamen auf Social-Networking-Websites, die nichts über Ihre tatsächliche Identität verraten und geben Sie in keinem Fall Ihr echtes Geburtsdatum an. 7. Löschen Sie Daten Werden sensible Daten nicht mehr benötigt, sollten diese gelöscht werden dies gilt vor allem für Daten auf USB-Sticks. 35

36 8. Verschaffen Sie sich einen Überblick über die zu schützenden Daten USB-Sticks und andere tragbare Geräte (Handys, Laptops usw.) gehen leicht verloren überlegen Sie sich daher stets zweimal, ob Sie sensible Daten wirklich auf diese Speichermedien übertragen möchten. 9. Lassen Sie unterwegs besondere Vorsicht walten Behalten Sie Ihre Laptops, Handys, USB-Sticks und andere tragbare Geräte auf Reisen stets gut im Auge auf den 9 größten europäischen Flughäfen kommen wöchentlich im Durchschnitt Laptops abhanden. 10. Verschlüsseln Sie Daten Indem Sie sensible Daten verschlüsseln, verhindern Sie, dass diese von Unbefugten eingesehen werden Ende der Diskussion! 36

37 Beispiele für Datenschutzrichtlinien 37

38 Beispiel-Datenschutzrichtlinien Eine gute Umsetzung orientiert sich am Besten an guten Beispielen. Nachfolgend haben wir daher drei exemplarische Datenschutzricht-linien zusammengestellt, die Sie auf die Bedürfnisse Ihres Unternehmens anpassen und entsprechend erweitern sollten. Die drei Richtlinien decken folgende Bereiche ab: 1. Datenschutzrichtlinie: Mitarbeiteranforderungen 2. Datenschutzrichtlinie: Data Loss Prevention (Verhinderung von Datenverlusten) Daten in Übertragung 3. Datenschutzrichtlinie: Richtlinie zur übergreifenden Verschlüsselung von Arbeitsplatzrechnern Kommentare, die Sie bei der Verwendung dieser Richtlinie unterstützen sollen, sind orange markiert. 38

39 1. Datenschutzrichtlinie: Mitarbeiteranforderungen Anwenden der Richtlinie Diese Beispielrichtlinie gibt an, welches Verhalten von Mitarbeitern bei der Verarbeitung von Daten erwartet wird, und klassifiziert Datentypen, bei denen besondere Vorsicht geboten ist. Um Benutzern einheitliche Anweisungen über das von ihnen erwartete Verhalten bereitzustellen, sollte die Richtlinie eng mit Ihrer Nutzungsrichtlinie, Ihrem Security-Training und Ihrer Datenschutzrichtlinie verknüpft werden. 1.0 Zweck Um Rufschädigungen und negative Beeinflussungen von Kunden zu vermeiden, muss <Unternehmen X> Verluste geheimer, vertraulicher oder sensibler Daten unterbinden. Der Schutz von Daten im Geltungsbereich ist eine entscheidende Unternehmensanforderung. Gleiches gilt jedoch für die Flexibilität beim Zugriff auf Daten und eine effektive Arbeitsweise. Es ist nicht davon auszugehen, dass diese Verfahrenskontrolle mutwillige Datendiebstähle wirksam verhindern bzw. alle Daten zuverlässig erkennen kann. Vorrangiges Ziel sollte sein, Benutzer so weit aufzuklären, dass versehentliche Datenverluste weitgehend 39

40 verhindert werden können. Diese Richtlinie definiert die Anforderungen und wünschenswerten Schwerpunkte für eine Data Loss Prevention (Verhinderung von Datenverlusten) und führt Begründungen hierfür an. 2.0 Geltungsbereich 1. Diese Richtlinie ist für alle Mitarbeiter und Einzelpersonen mit Zugriff auf Systeme oder Daten des Unternehmens <Unternehmen X> verbindlich. 2. Definition zu schützender Daten (Sie sollten alle Datentypen aufzeigen und diese anhand von Beispielen veranschaulichen, damit Benutzer entsprechende Daten im Zweifelsfall identifizieren können) Personenbezogene Daten Finanzdaten Geheime/sensibele Daten Vertrauliche Daten IP-Daten 3.0 Richtlinie Mitarbeiteranforderungen 1. Sie müssen das Security-Awareness-Training von <Unternehmen X> erfolgreich abschließen und sich zur Einhaltung der Nutzungsrichtlinien verpflichten. 40

41 2. Bei Identifizierung einer unbekannten, unbegleiteten oder anderweitig unbefugten Einzelperson auf dem Gelände von <Unternehmen X> sind Sie dazu verpflichtet, <X> zu informieren. 3. Besucher des Unternehmens <Unternehmen X> müssen zu jedem Zeitpunkt von einem hierzu befugten Mitarbeiter begleitet werden. Wenn Sie mit der Begleitung von Besuchern betraut werden, dürfen Sie diesen nur Zugang zu ausgewählten Bereichen gewähren. 4. Sie verpflichten sich, in der Öffentlichkeit stillschweigen über sensible bzw. vertrauliche Daten und ihre Inhalte zu bewahren. Gleiches gilt bei der Verwendung von Kommunikationskanälen und Systemen, die nicht unter der Kontrolle von <Unternehmen X> stehen. So ist z. B. die Verwendung externer -Systeme, die nicht von <Unternehmen X> gehostet werden, zur Übertragung von Daten unzulässig. 5. Bitte halten Sie Ihren Schreibtisch sauber und ordentlich. Daten des Geltungsbereichs dürfen in keinem Fall unbeaufsichtigt an Ihrem Arbeitsplatz hinterlassen werden. 6. Sie sind dazu verpflichtet, auf allen <Unternehmen X> -Systemen sichere Kennwörter zu verwenden. Diese müssen die Anforderungen der Kennwortrichtlinie erfüllen. Anmeldeinformationen müssen einzigartig sein und dürfen nicht auf anderen externen Systemen oder Services zum Einsatz kommen. 41

42 7. Bei Beendigung des Arbeitsverhältnisses verpflichtet sich der Mitarbeiter zur Herausgabe sämtlicher Datensätze persönlicher Natur, unabhängig von ihrem Format. 8. Bei Verlust von Geräten, die in den Geltungsbereich fallende Daten enthalten (z. B. Handys, Laptops usw.), sind Sie dazu verpflichtet, unverzüglich <X> zu informieren. 9. Sollten Sie auf ein System oder einen Prozess stoßen, an deren Konformität mit dieser Richtlinie oder deren Einklang mit den Maßnahmen zur Steigerung der Informationssicherheit Sie zweifeln, sind Sie dazu verpflichtet, <X> zu informieren, damit entsprechende Maßnahmen getroffen werden können. 10. Wenn Ihnen das Recht eingeräumt wird, von extern zu arbeiten, sind Ihrerseits besondere Vorsichtsmaßnahmen für die Verarbeitung von Daten zu treffen. Lassen Sie sich von <X> beraten, wenn Sie sich unsicher über Ihre Verantwortlichkeiten sind. 11. Ferner haben Sie sicherzustellen, dass Daten, die in den Geltungsbereich fallen, nicht unachtsam offengelegt werden (z. B. auf dem Autorücksitz). 12. Daten, die innerhalb von <Unternehmen X> transportiert werden müssen, sind unter Verwendung der vom Unternehmen bereitgestellten, sicheren Transfermechanismen zu übertragen (z. B. verschlüsselte USB-Sticks, Dateifreigaben, 42

43 s usw.). <Unternehmen X> stellt Ihnen für diese Zwecke geeignete Systeme und Geräte bereit. Es sind keinerlei andere Mechanismen für die Verarbeitung von Daten des Geltungsbereichs zulässig. Bei Fragen zu den Transfermechanismen oder potenziellen Konflikten mit Ihren Arbeitsprozessen wenden Sie sich bitte an <X>. 13. Sämtliche Informationen, die über portable Geräte (z. B. USB- Sticks und Laptops) übertragen werden, müssen unter Einsatz bewährter Verfahren sowie in Einklang mit geltenden Gesetzen und Vorschriften verschlüsselt werden. Wenn bezüglich der Anforderungen Zweifel bestehen, wenden Sie sich bitte an <X>. 43

44 44

45 2. Datenschutzrichtlinie: Data Loss Prevention (Verhinderung von Datenverlusten) Daten in Übertragung Anwenden der Richtlinie Dieses Beispiel soll Ihrem Unternehmen bei der Implementierung und Aktualisierung Ihrer Kontrollen zur Verhinderung von Datenverlusten helfen. Passen Sie diese Richtlinie an Ihre Bedürfnisse, an die Realisierbarkeit sowie geltende Regularien an. Wir schlagen nachfolgend exemplarisch Gruppen von Daten vor, die überwacht werden sollen erweitern Sie unsere Vorschläge einfach um Ihre unternehmensspezifischen sensiblen Daten. Hintergrundinformationen Ziel von Verfahren zur Data Loss Prevention (Verhinderung von Datenverlusten) ist es, Benutzer darüber aufzuklären, dass sie Daten übertragen. 45

46 1.0 Zweck Um Rufschädigungen und negative Beeinflussungen von Kunden zu vermeiden, muss <Unternehmen X> Verluste geheimer, vertraulicher oder sensibler Daten unterbinden. Der Schutz von Daten im Geltungsbereich ist eine entscheidende Unternehmensanforderung. Gleiches gilt jedoch für die Flexibilität beim Zugriff auf Daten und eine effektive Arbeitsweise. Es ist nicht davon auszugehen, dass diese Verfahrenskontrolle mutwillige Datendiebstähle wirksam verhindern bzw. alle Daten zuverlässig erkennen kann. Vorrangiges Ziel sollte sein, Benutzer so weit aufzuklären, dass versehentliche Datenverluste weitgehend verhindert werden können. Diese Richtlinie definiert die Anforderungen und wünschenswerten Schwerpunkte für eine Data Loss Prevention (Verhinderung von Datenverlusten) und begründet diese. 2.0 Geltungsbereich 1. Alle <Unternehmen X>-Geräte, auf denen Kundendaten, sensible bzw. personenbezogene Daten oder Unternehmensdaten verarbeitet werden. Sämtliche Geräte, die üblicherweise für , Internet oder andere Arbeitszwecke zum Einsatz kommen und für die keine Ausnahmen aufgrund legitimer Unternehmens- und Verfahrenszwecke bestehen. 2. Die <Unternehmen X>-Richtlinie zum Informationsschutz definiert die Anforderungen an die Verarbeitung von Daten und an das Benutzerverhalten. Diese Richtlinie dient dazu, die Daten- 46

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Vernetzung ohne Nebenwirkung, das Wie entscheidet Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Felix-Dahn-Str. 43 70597 Stuttgart Telefon: 07 11 / 97 63 90 Telefax: 07 11 / 97 63 98 info@rationelle-arztpraxis.de www.rationelle-arztpraxis.de Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Stand: 10.02.2014

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9 BDSG Technische

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG Name der Freien evangelischen Gemeinde, der Einrichtung oder des Werkes, die diesen Antrag stellt Freie evangelische Gemeinde Musterort Anschrift ( Straße, Hausnummer, PLZ, Ort) der oben genannten Einrichtung

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes Landesbeauftragte für Datenschutz und Informationsfreiheit Freie Hansestadt Bremen Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes insbesondere zum Inhalt der Verfahrensbeschreibung und zu

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Anlage 1 zum Vertrag zur Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Wir helfen: www.activemind.de Seite

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu

Mehr

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Vorgehensweise Auftragsdatenverarbeitungsvertrag Vorgehensweise Auftragsdatenverarbeitungsvertrag Beiliegend finden Sie unseren Auftragsdatenverarbeitungsvertrag. Diesen benötigen Sie, sobald Sie personenbezogene Daten an einen Dienstleister weitergeben.

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Zwischen nachstehend Leistungsnehmer genannt und Demal GmbH Sankt-Salvator-Weg 7 91207 Lauf a. d. Pegnitz nachstehend Leistungsgeberin genannt werden aufgrund 11 Bundesdatenschutzgesetz (BDSG) folgende

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Auftragsdatenverarbeitung. gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG).

Auftragsdatenverarbeitung. gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG). Auftragsdatenverarbeitung gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG). Technische und organisatorische Maßnahmen des Auftragnehmers. Firma Straße Plz Ort EDV Sachverständigen- und

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Checkliste zur Rechtssicherheit

Checkliste zur Rechtssicherheit Checkliste zur Rechtssicherheit Was sollten Sie für einen rechtskonformen Umgang mit Personalakten beachten? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit besonders schützenswerte

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

2. Datenbackups... 3 2.3 Recovery... 3. 3. Verfügbarkeit... 3 3.1 Datenverfügbarkeit... 3 3.2 Stromversorgung... 3

2. Datenbackups... 3 2.3 Recovery... 3. 3. Verfügbarkeit... 3 3.1 Datenverfügbarkeit... 3 3.2 Stromversorgung... 3 1. Datenspeicherung... 2 1.1 Speicherung von Daten auf administrativen Systemen... 2 1.1.1 Firmenbezogen... 2 1.1.2 Kundenbezogen... 2 1.2 Speicherung von Daten auf online Systemen... 2 1.2.1 Firmenbezogen...

Mehr

Beispielrichtlinie zur Sicherheit mobiler Geräte

Beispielrichtlinie zur Sicherheit mobiler Geräte Beispielrichtlinie zur Sicherheit mobiler Geräte Anwenden der Richtlinie Eine besondere Herausforderung für IT-Abteilungen ist heute die Sicherung von mobilen Geräten, wie Smartphones oder Tablets. Diese

Mehr

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner 0.3. Emailadresse Ansprechpartner 0.

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner <Freitext> 0.3. Emailadresse Ansprechpartner <Freitext> 0. Fragen an den Auftraggeber 0.1 Name der Firma 0.2 Anschrift der Firma 0.3 Ansprechpartner 0.4 Emailadresse Ansprechpartner 0.5 Beschreibung der durchzuführenden Aufgaben 1 / 15 0.6

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

EDV & DATENSCHUTZ "AKTUELL"

EDV & DATENSCHUTZ AKTUELL EDV & DATENSCHUTZ "AKTUELL" 42579 Heiligenhaus Homepage: www.drqm.de Zur Person Seit 1984 im Projektmanagement im Großhandel, Bauindustrie und Maschinenbau Leitung von EDV und Rechenzentrum im Großhandel

Mehr

Kassenzahnärztliche Vereinigung Bayerns KZVB

Kassenzahnärztliche Vereinigung Bayerns KZVB Kassenzahnärztliche Vereinigung Bayerns Quellen des Datenschutzes Grundgesetz (GG) Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) Bundesdatenschutzgesetz (BDSG) für

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz von Paul Marx Geschäftsführer ECOS Technology GmbH ECOS Technology Die Spezialisten für einen hochsicheren Datenfernzugriff Seit 1999 am Markt

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

für die Einrichtung..

für die Einrichtung.. SLW Altötting Technische und organisatorische Maßnahme zur Einhaltung des Datenschutzes (gemäß 6 KDO) für die Einrichtung.. 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle

Mehr

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731 Datenschutz 1 Die Hintergründe des BDSG 2 Ziel des Datenschutzes: Die Vermeidung von erfahrungsfreiem Wissen (Informationelle Selbstbestimmung) Jeder Mensch sollte wissen, wer was mit seinen Daten macht

Mehr

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG Audit-Checkliste: Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG zwecks Überprüfung Auftragsdatenverarbeiter: Durch:,..201 Folgende technische und organisatorische

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Zertifizierte Auftragsdatenverarbeitung

Zertifizierte Auftragsdatenverarbeitung Anforderungskatalog zur Bewertung und Zertifizierung von Auftragsdatenverarbeitungen von Auftragnehmern für die Zertifizierung Zertifizierte Auftragsdatenverarbeitung Version 6.4 09.11.2015 Sitz: München

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Umweltschutz. Qualität. Arbeitssicherheit

Umweltschutz. Qualität. Arbeitssicherheit Umweltschutz. Qualität. Arbeitssicherheit Firmenprofil Ingenieurbüro Standorte: Paderborn Düsseldorf Dortmund Frankfurt a. M. Hamburg München Kerngeschäft Umweltschutz Qualität Arbeitssicherheit Baustellensicherheit

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte, Diese Datenschutzrichtlinie ist auf dem Stand vom 05. November 2012. Die vorliegende Datenschutzrichtlinie legt dar, welche Art von Informationen von Chocoladefabriken Lindt & Sprüngli GmbH ( Lindt ) erhoben

Mehr

9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort

9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort UNTERNEHMENSLOGO 9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort Muster erstellt vom: EDV Sachverständigen- und Datenschutzbüro

Mehr

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der 1/6 Datenschutzvereinbarung zwischen (im nachfolgenden Auftraggeber genannt) und der GSG Consulting GmbH -vertreten durch deren Geschäftsführer, Herrn Dr. Andreas Lang- Flughafenring 2 44319 Dortmund (im

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Checkliste zum Datenschutz in Kirchengemeinden

Checkliste zum Datenschutz in Kirchengemeinden 1. Allgemeines Checkliste zum Datenschutz in Kirchengemeinden Umfeld Wie viele Personen arbeiten in der Kirchengemeinde? Wie viele PC-Arbeitsplätze gibt es? Sind Notebooks im Einsatz? Sind die PCs/Notebooks

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM

MailSealer Light. Stand 10.04.2013 WWW.REDDOXX.COM MailSealer Light Stand 10.04.2013 WWW.REDDOXX.COM Copyright 2012 by REDDOXX GmbH REDDOXX GmbH Neue Weilheimer Str. 14 D-73230 Kirchheim Fon: +49 (0)7021 92846-0 Fax: +49 (0)7021 92846-99 E-Mail: sales@reddoxx.com

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Informationen zum Datenschutzaudit durch dbc Sachverständige

Informationen zum Datenschutzaudit durch dbc Sachverständige Informationen zum Datenschutzaudit durch dbc Sachverständige Sehr geehrter Kunde, mit dieser Information möchten wir Ihnen einen Überblick über die Auditierung (=Prüfung) und Zertifizierung Ihres Unternehmens

Mehr