Von der Sensibilisierung zum Datenschutzkonzept Stefan Bachmann INES IT

Größe: px

Ab Seite anzeigen:

Download "Von der Sensibilisierung zum Datenschutzkonzept Stefan Bachmann INES IT"

Ruth Bösch
vor 7 Jahren
Abrufe

1 Von der Sensibilisierung zum Datenschutzkonzept Stefan Bachmann INES IT

2 Zeitstrahl 2009 Údis \ interne Bestellung INES AG 2010 Externe Bestellungen Datenschutzkonzept Industriekunde 2015 Konzept 2, Konzept 3, Konzept Konzept 5, Anfrage IT-Sicherheit

3 die Entstehung 2014 Datenschutzkonzept Industriekunde? 2014 Recherche \ Fragen in mein Datenschützer-Netzwerk Ergebnis Ein sehr erfahrener Kollege hat erst ein Konzept gesehen Es ist keine Zauberei Keine Vorgabe über Inhalt und Aufbau Begriff ist nicht definiert: Datenschutzkonzept, handbuch, organisation

4 mögliche Inhalte Kapitel 1 Wir nehmen Datenschutz ernst Kapitel 2 Wir haben einen DSB das sind seine Aufgaben Kapitel 3 Die Rechte der Betroffenen nehmen wir ernst Kapitel 4 Unsere Mitarbeiter werden regelmäßig geschult Kapitel 5 Technisch organisatorische Maßnahmen

5 1. Einleitung, Präambel Das Datenschutzkonzept der XY GmbH beinhaltet eine geordnete Darstellung der Maßnahmen, mit der die Anforderungen des Datenschutzes und der IT-Sicherheit im Unternehmen erfüllt werden. 2. Zweck für Was ist dieses Konzept gedacht 3. Vertraulichkeit keine Weitergabe ohne Einwilligung des Verfassers 4. Historischer Verlauf \ Version , Version 2.0 Sie können hier auch den Änderungsgrund angeben \ in meiner kommenden Version werde ich ein eigenes Kapitel für diese Änderungen entwerfen

6 Anlagen Historischer Verlauf, Aktualisierungen Version Ausbildung certified ethical hacker Version Teilnahme des Datenschutzbeauftragten in der wöchentlichen Technikbesprechung Version TOM`s Weitergabekontrolle Implementierung private Cloud für sichere Datenzustellung

7 5. Verantwortlichkeiten \ Zuständigkeiten Verantwortliche Stelle Leiter der Datenverarbeitung IT-Sicherheitsbeauftragter Anlage: Bestellschreiben, Qualifikation Datenschutzbeauftragter Anlage: Bestellschreiben, Qualifikation 6. Zuständige Datenschutzaufsicht Kontaktdaten 7. Beteiligung des Datenschutzbeauftragten Unser Schwerpunkt, unsere Themen und Aufgaben

8 7. Beteiligung des Datenschutzbeauftragten 7.1 Schulung und Sensibilisierung a) Datenschutz Grundschulung b) Interner Datenschutz Newsletter c) Schwarzes Brett intern \ extern d) Datenschutz News Security Newsletter Xing Unternehmensplattform Facebook Page Autorenfunktion im BvD Blog Gerne können Sie unseren security Newsletter abonnieren. Senden Sie dazu einfach eine E- Mail an security@ines-it.de Schwerpunktthemen unter Wöchentliche Technikbesprechung (neu)

9 7. Beteiligung des Datenschutzbeauftragten 7.2 Verpflichtung auf das Daten- und Fernmeldegeheimnis Anlage 7.3 Verpflichtung von Praktikanten auf Verschwiegenheit Anlage 7.4 Unternehmensrichtlinie Hard- und Software 7.5 Social Media Guideline Anlage 7.6 Eintritt \ Austritt von Mitarbeitern und Praktikanten

10 8. Verfahrensverzeichnis Anlage Musterverfahren Basiert auf JAVA Systemsteuerung \ JAVA Control Panel

11 8. Verfahrensverzeichnis 8.1 Öffentliches Verfahrensverzeichnis Anlage 8.2 Vorabkontrolle nach 4d Abs.5

12 9. Auftragsdatenverarbeitung 9.1 Als Auftraggeber 9.2 Als Auftragnehmer Anlage: Muster ADV

Schaubild: https://datenschutz-berlin.de/attachments/808/535.4.3.pdf?

13 Schaubild: Datenschutzkonzept 10. Informationspflichten bei Datenpannen nach 42a BDSG

14 11. Technisch organisatorische Maßnahmen Das Datenschutzkonzept soll eine Darstellung der umgesetzten technisch organisatorischen Maßnahmen beinhalten. Treffen Sie eine Abwägung der Detailtiefe, um keine zu vertraulichen Informationen preiszugeben. Entscheiden Sie, ob Sie die Fragen selbst abarbeiten, oder die Unterstützung eines IT-Sicherheitsberaters einholen. Bei dieser Auditierung sollten Sie in jeden Fall die Sicherheitslücken dokumentieren. Im Idealfall, unterziehen Sie diese Sicherheitslücken einer Risikoanalyse und lassen diese priorisiert abarbeiten. Alle umgesetzten Maßnahmen werden neuer Bestandteil Ihres Konzeptes. Parallel dazu, erhöhen Sie die Sicherheit im Unternehmen signifikant.

11. Technisch organisatorische Maßnahmen Grundlagen für Ihren Fragenkatalog: Aufsichtsbehörde https://www.lda.bayern.

15 11. Technisch organisatorische Maßnahmen Grundlagen für Ihren Fragenkatalog: Aufsichtsbehörde ste_datensicherheit.pdf Grundschutzkatalog nhalt/_content/m/m02/m02318.html?nn=

16 1. Zutrittskontrolle Werkszaun Schließsystem Sicherheitszonen Videoüberwachung Besucher Reinigungspersonal Firmenausweis

17 2. Zugangskontrolle Authentifikation mit Benutzername und Passwort Automatische Bildschirmsperre mit Passwortschutz Passwort-Komplexität SSL-VPN-Technologie (Fernzugriff) MDM Verschlüsselung von mobilen Datenträgern Antivirensoftware Ausscheidende Mitarbeiter

19 3. Zugriffskontrolle Berechtigungskonzept Verwaltungsberechtigte Administratoren Gerätebasierte Administration Segmentierung der Netzwerke Inventarisierung Protokollierung von Zugriffen Penetrationstests Schutz vor unberechtigten Zugriff auf Backupdatenträger Backupdatenträger werden ausschließlich in gesicherten Bereichen (Bankschließfächer) gelagert.

20 4. Weitergabekontrolle SSL-VPN Technologie WLAN Transport von Datenträgern Verschlüsselung Externer Datenaustausch Team- und Projektarbeit

21 5. Eingabekontrolle Limitierte Zugriffsrechte Protokollierung der Eingabe, Änderung und Löschung von Daten Protokollierung Allgemein

22 6. Auftragskontrolle Auswahl geeigneter Auftragnehmer Auftragsdatenverarbeiter [ ] für den Auftragnehmer beinhaltet dies die Verpflichtung: ausschließlich Personal einzusetzen, dass auf Verschwiegenheit verpflichtet wurde die innerbetriebliche Organisation so zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird eine Trennung der INES-Daten von Daten anderer Kunden zu gewährleisten die notwendigen technischen und organisatorischen Maßnahmen zu treffen, um die Einhaltung der datenschutzrechtlichen Bestimmungen sicherzustellen Papierakten oder elektronische Daten von INES vor dem Zugriff Dritter zu schützen INES-Daten nach schriftlicher Weisung unwiderruflich zu löschen Besondere Vorkommnisse in Zusammenhang mit INES-Daten zu melden Eine schriftliche Genehmigung bei der Beauftragung von Unterauftragnehmern einzuholen Kontroll- und Auskunftsrechte gegenüber INES sicherzustellen

23 7. Verfügbarkeitskontrolle Unterbrechungsfreie Stromversorgung \ Notstromaggregat Brandschutz Klimaanlage Monitoring der Infrastruktur Netzwerkanbindung Backup- und Recoverykonzept Wiederherstellungstests Auslagern der Datensicherung

24 8. Trennungsgebot Logische Mandantentrennung Berechtigungskonzept Trennung von Netzen Trennung nach Funktion

25 Anlagen

26 Kontakt

Ähnliche Dokumente

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Anlage 1 Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO Die Datenverarbeitung erfolgt ausschließlich auf den Servern in den Rechenzentren an den verschiedenen Standorten. Die Maßnahmen