Herzlich willkommen! Bad Homburg Düsseldorf München

Größe: px

Ab Seite anzeigen:

Download "Herzlich willkommen! Bad Homburg Düsseldorf München"

Kurt Dieter
vor 7 Jahren
Abrufe

1 Herzlich willkommen! Bad Homburg Düsseldorf München

2 DATENSCHUTZ Tobias R. Hoffmann

3 Agenda Was ist Datenschutz? eine Einführung Aktuelles Imagegewinn für das Systemhaus Erweiterung des Portfolios Identifikation neuer IT Projekte Vom IT Leiter zum Geschäftsführer

4 Was ist Datenschutz?

5 Was ist Datenschutz? Der Datenschutz hat zur Aufgabe, den Einzelnen davor zu schützen, dass durch den Umgang mit seinen personenbezogenen Daten sein Persönlichkeitsrecht beeinflusst wird. Vorrangig ist dabei nicht der Schutz der Daten selbst, sondern personenbezogene Daten vor unbefugtem Zugriff und unerlaubter Kenntnisnahme, Verarbeitung und Nutzung zu schützen.

6 Buchhaltung warum? Nicht um den Chef was zum Lesen zu geben... weil Zahlenspiele Spaß machen... wegen der hübschen Buchhalterin

7 Gründe für Buchhaltung... weil Ihre Bank Ihnen ohne Zahlen keinen Cent gibt... weil es gesetzliche Zwänge gibt... weil Sie Ihr Geschäft kontrollieren wollen... weil s was bringt!

8 Wozu Datenschutz?... weil es gesetzliche Zwänge gibt... weil unüberlegter Umgang mit Daten einen erheblichen Imageschaden erzeugt... aber Datenschutz bringt doch nichts, oder doch...?

9 Die Datensammelwut Vertrieb, Marketing, Einkauf wollen Daten über die Kunden Je mehr Daten, desto besser Aber...! Daten altern!!! Daten müssen gepflegt werden!

10 Daten altern was heißt das? Daten (außer naturwissenschaftlichen Konstanten) unterliegen einer ständigen Veränderung Daten, die nicht gepflegt werden, altern Ein Datenbestand über Menschen ist nach 2 Jahren zu 30% falsch nach 4 Jahren zu 50% falsch nach 7 Jahren zu 80% falsch Leben heißt Veränderung

11 Aufwand für Datenpflege Feld im Fragebogen Datenbankfeld Ausfüllen des Fragebogens Übertrag in Datenbank Stetige Datenpflege in der Verfahrenskette (Name, Familienstand, Kinder, Anschrift, Telefon,...) Löschen von Daten Siemens AG [1994] 1 Sachnummer kostet pro Jahr ~ DM 600 für Speicherplatz und Pflege

12 Datenschutz hilft wirtschaften BDSG 3a: Datenvermeidung und Sparsamkeit Nur die Daten erheben, die unbedingt benötigt werden Zusätzliche Daten bei Bedarf aktuell (!) bei Adresshändler kaufen

13 Welche Daten müssen geschützt werden? Diese Daten müssen geschützt werden: Personenbezogene Daten wie z.b.: Mitarbeiterdaten Bildungsstand, Kenntnisse, Fähigkeiten, Erfahrungen Lohn- und Gehaltsdaten Kunden- oder Mandantendaten Lieferantendaten Nicht Aufgabe des BDSG: Technologiedaten Betriebswirtschaftliche Daten Strategische Daten

14 Meilensteine des Datenschutzes Datenschutzgesetz (der Welt) in Hessen Datenschutzgesetz in Rheinland-Pfalz Bundesdatenschutzgesetz Datenschutzkommission als Kontrollstelle Alle deutschen Länder haben ein Landesdatenschutzgesetz Volkszählungsurteil Europäische Datenschutzrichtlinie Novellierung Bundesdatenschutzgesetz Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft Der Datenschutz ist, wie beide Gesetze, das hessische und das rheinland-pfälzische, demonstrieren, auf Landesebene entstanden.

15 Aktuelles

16 Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft vom Aus vier Arbeitnehmern werden neun Personen Erheben, verarbeiten oder nutzen -> Verarbeiten bzw. automatisiert verarbeiten Fachkunde -> abhängig vom Umfang der Datenverarbeitung Externer DSB darf auch Daten kontrollieren die einem Berufs- oder besonderen Amtsgeheimnis unterliegen Beschlagnahmeverbot von Akten des Datenschutzbeauftragten -> berufliches Zeugnisverweigerungsrecht

17 Imagegewinn für das Systemhaus

18 Image Was gehört zum guten Ton? Wen betrifft es eigentlich? Wer bekommt es ab? Hosting / Housing Onlinedienste Outsourcing allgemein Mitnahme von Kundendaten zu Servicezwecken

19 Erweiterung des Portfolios

20 Portfolio Datenschutzmanagementsoftware Dienstleistung externer DSB Verfahrensverzeichnisse Audits Systembeschreibugen Dokumentationen Online Schulungssysteme zur Datenschutzsensibilisierung Ind. Softwareentwicklung zur Anbindung an z.b. andere QM Systeme

21 Schulung

22 Identifikation von IT-Projekten

23 Identifikation Security Themen Identity Management Risk Management Assetmanagement

24 Gebote der Datensicherheit Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot BDSG Vertraulichkeit, Integrität und Verfügbarkeit

25 Zutrittskontrolle Pförtner (Betriebsausweis) Schlüssel (mechanisch) Ausweisleser (Chipkarte) Vereinzelungsanlage Einbruchsichere Fenster u. Türen Organisatorische Maßnahmen (Fenster schließen, Vorbildfunktion der Vorgesetzten)

26 Zugangskontrolle Bootpasswort Benutzerkonzept Erzwungenes Login (Benutzer, Passwort) Sichere Betriebssysteme Zeitkonten Smartcard, Biometrische Verfahren Akten(Listen-)sicherung (abschließbarer Schrank) Verriegelung Endgeräte (Datenschutzkäfige) Bildschirmschonerpasswort

27 Passwortmanagement

28 Zugriffskontrolle Berechtigungskonzept Ablagekonzept Personenspezifisches Anmelde-Passwort Passwort für jeweilige Anwendung Verpflichtung (der Administratoren auf die einschlägigen Gesetze) Chip-/Smartkarte (zum Login) Protokollierung (verschlüsselt, zwangsweise, revisionssicher) Monitoring Richtlinie zum Sperren des PC beim Verlassen des Arbeitsplatzes Technisch erzwungenes Bildschirmschonerpasswort

29 Weitergabekontrolle Sperrung der Datenträgerlaufwerke Verschlüsselung Digitale Signatur Organ. Maßnahme Übermittlungsprotokoll Datensafe mit Einbruch - und Brandschutz Kurierdienst/Botendienst Versiegelung der Datenträger

30 Eingabekontrolle Dienstplan Logfile über Veränderung von pers.-bez. Daten (! Zugriff Vier-Augen-Prinzip! Regeln!) Berechtigungskonzept (umgesetzt!) Smartcards

31 Auftragskontrolle Spezieller Vertrag Kontrollrechte des Auftraggebers physikalische Verfahrenstrennung Ausschluss von Subunternehmern Zweckbindung Auftragnehmer arbeitet im Haus des Auftraggebers (Aktenvernichter, Archivierung, etc.) Referenzen

32 Verfügbarkeitskontrolle Infrastruktur Datensicherung USV/Notstromversorgung Brandschutz Technik Redundante Systeme Berechtigungskonzept Organisation Providersicherheit (Vertragsgestaltung, Alternativprovider) Personalmanagement Lifecyclemanagement (Investitionsplanung)

33 Zweckbindungskontrolle Unterschiedliche Masken (Datenbankfilter) Getrennte Speicherung Pseudonomisierung Anonymisierung

34 Vom IT-Leiter zum Geschäftsführer

35 Haftung Vom IT Leiter zum Geschäftsführer Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.

36 Ende. Fragen?

Ähnliche Dokumente

Technische und organisatorische Maÿnahmen

Technische und organisatorische Maÿnahmen Umsetzung von Ÿ9 BDSG bzw. Artikel 32 EUDSGVO Inhaltsverzeichnis 1 Ÿ9 BDSG und Anlage 1 2 Maÿnahmen 3 3 Verhältnismäÿigkeit 5 1 Ÿ9 BDSG und Anlage Ziel der technischen