Datenschutz in der Praxis. für

Größe: px
Ab Seite anzeigen:

Download "Datenschutz in der Praxis. für"

Transkript

1 Datenschutz in der Praxis für DGQ-Regionalkreis Oberschwaben-Bodensee Referenten: Dipl. Verw. Wiss. Daniel Voigtländer Dipl. Wi. Ing. Thomas Schmischke 1

2 Inhalt 1. Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit 2. Umsetzung der gesetzlichen Forderungen mit Praxisbeispielen 3. Das Datenschutzprojekt (mit Beispielen aus der Praxis) 4. Kosten Nutzen Betrachtungen 5. Technisch-organisatorische Aspekte des Datenschutzes 6. Datenschutz und Informationssicherheit in ERP- Umgebungen (am Beispiel SAP) 2

3 Teil 1 Einführung: Gesetzliche Forderungen zum Thema Datenschutz und Informationssicherheit 3

4 Begriffe IT-Sicherheit Datenqualität Datenschutz IT-Compliance Informationsschutz Datensicherheit Informationssicherheit 4

5 Begriffe Datenschutz 64 Mio IT-Compliance IT-Sicherheit 6,3 Mio Datenqualität Informationsschutz Datensicherheit 1,8 Mio Informationssicherheit

6 Datenschutz Informationsschutz Datenqualität Datenschutz Informationssicherheit Daten-/IT- Sicherheit IT-Compliance 6

7 Abgrenzung Datenschutz zu IT-Sicherheit IT-Sicherheit in Ihrem eigenen Interesse Das Unternehmen für sich selbst Der Mitarbeiter für sich selbst Datenschutz im Interesse der Betroffenen Das Unternehmen für die Mitarbeiter Aber: Ohne IT-Sicherheit kein Datenschutz! 7

8 Abgrenzung Datenschutz zu Datensicherheit Datenschutz Datensicherheit Schutz natürlicher Personen vor Verletzung des Rechts auf informationelle Selbstbestimmung 9 BDSG und Anlage Schutz von Daten jeder Art sowie von Hard- und Software vor Verlust, Zerstörung, Missbrauch durch Unbefugte 8

9 Das Bundesdatenschutzgesetz (BDSG) Das BDSG ist die gesetzliche Grundlage und regelt den Umgang mit personenbezogenen Daten im Gebiet der Bundesrepublik Deutschland. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten durch Dritte in seinem Persönlichkeitsrecht nicht beeinträchtigt wird. 9

10 Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder einer bestimmbaren Person. Personenbezogen sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, gleichgültig, ob Mitarbeiter, Kollege oder Kunde bzw. Lieferant oder deren Ansprechpartner (Betroffener). sind alle Angaben, die zu einer identifizierbaren Person gehören, z.b. Adresse, Telefonnummer, Geburtsdatum, Familienstand, Staatsangehörigkeit, Konfession, Beruf, Foto, Arbeitgeber, Gehalt, Einkommen, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Zeugnisnoten, Beurteilungen, Krankheiten, Vorstrafen, Steuern, Versicherungen, Vertragskonditionen. können auch Daten ohne direkten Personenbezug (z.b. ohne Namensangabe) sein, wenn aus ihnen auf die zugehörigen Personen Bezug genommen werden kann (z.b. Personalnummer, PC-Benutzerkennung, maschinenbezogene Nutzungszeiten bei nur einem infrage kommenden Benutzer). 10

11 Personenbezogene Daten Diese Daten gehören nicht dazu Technologiedaten Betriebswirtschaftliche Daten Strategische Daten Qualitätsdaten 11

12 Schutzstufen personenbezogener Daten Quelle: Landesdatenschutzbeauftragter Niedersachsen Stufe A: Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z.b. Adressbücher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken. Stufe B: Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.b. beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen. Stufe C: Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann ( Ansehen ), z.b. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten. Stufe D: Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann ( Existenz ), z.b. Unterbringung in Anstalten, Straffälligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologischmedizinische Untersuchungsergebnisse, Schulden, Pfändungen, Konkurse. Stufe E: Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann, z.b. Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. (Identität eines verdeckten Ermittlers) 12

13 Der richtige Datenschutzbeauftragte (Ulmer Beschluß 1990) Voraussetzungen Fachkunde Genaue Kenntnisse der Organisation des Hauses Organisationstalent Didaktische und pädagogische Fähigkeiten Verschwiegenheit und Zuverlässigkeit Tätigkeit Datenschutzkonzepte erstellen und kontrollieren Rechtskenntnisse anwenden Schulung der Mitarbeiter Verpflichtet zur Weiterbildung Individuell zu klären Ein Computerexperte als Datenschutzbeauftragter? Konflikte mit sonstigen Aufgaben; Zeitmangel oder Auslastung zu gering Er ist nicht Erfüllungsgehilfe der Geschäftsleitung 13

14 Teil 2 Umsetzung der gesetzlichen Forderungen 14

15 Im Kern geht es um techn.-organisatorischen Datenschutz gem. 9 BDSG (Anlage) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot (Getrennte Verarbeitung/Zweckbindung) Organisation 15

16 Definitionen und Massnahmen I Zutrittskontrolle: Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehren. Beispiel: Türcode, Chipkarte Zugangskontrolle: Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (= Eindringen / Zugriff auf Netzwerk oder Applikationen des EDV-Systems) Beispiel: Passwortschutz, Firewalls, Zugriffskontrolle: Maßnahmen, die gewährleisten sollen, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen ausschließlich auf die Daten zugreifen können, zu denen sie eine Berechtigung haben. Beispiel: Verwaltung von Zugriffsrechten in einem ERP-System 16

17 Beispiel für Zugangskontrolle (per Authentifizierung über Token) Remote-Zugang per VPN 1. Sicherheitszertifikat installieren 2. Login mit Token-Code 17

18 Zugriffskontrolle in SAP 18

19 Definitionen und Massnahmen II Weitergabekontrolle: Maßnahmen, die verhindern sollen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können sowie Überprüfung, an welchen Stellen eine Übermittlung (DFÜ) vorgesehen ist. Beispiel: CD-Safe zum Transport, VPN-Tunnel Eingabekontrolle: gewährleistet, dass feststellbar ist, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind Beispiel: System-Log; Änderungshistorie Auftragskontrolle: gewährleistet, dass im (Fremd-) Auftrag verarbeitete personenbezogene Daten nur entsprechend der Weisungen des Auftraggebers verarbeitet werden können Beispiel: externes Rechenzentrum 19

20 Mängel bei Weitergabe- und Auftragskontrolle 20

21 Definitionen und Massnahmen III Verfügbarkeitskontrolle: gewährleistet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Beispiel: Datensicherung (ggf. doppelt an getrennten Orten) Datentrennung (Trennungsgebot, Zweckbindung): Gewähr dafür, dass zu unterschiedlichen Zwecken erhobene Daten (technisch) getrennt verarbeitet werden Beispiel bei SAP-Applikationen: Trennung in Test-, Schulungs- und Produktivsystem; Gegenbeispiel: Rasterfahndung 21

22 Teil 3 Das Datenschutzprojekt (mit Beispielen aus der Praxis) 22

23 Datenschutz-Projekt Ökonomischer Ansatz: Projekt zur Einführung eines Datenschutz-Managements zur Umsetzung des BDSG wg. gesetzlichem Zwang seit > Focus personenbezogene Daten und dabei Mitnahme von Aktivitäten zum Informationsschutz -> Focus Unternehmensdaten 23

24 Phasenmodell Einführung Datenschutzmanagement Phase 1: Datenschutz-Bestandsaufnahme ( Inventur ) Phase 2: Umsetzung des Bundesdatenschutzgesetzes (Aktivitäten zur Verbesserung des Informationsschutzes) Phase 3: Laufender Betrieb 24

25 Phase 1: Datenschutz-Bestandsaufnahme (Inventur) Feststellung des Ist Zustandes: Datenschutzaudit (Prüfung Status des technisch organisatorischen Datenschutzes) Aufnahme der Organisation (Wie ist das Unternehmen aufgestellt, Verantwortlichkeiten, Organigramm) Aufnahme der Sicherheitskonzepte, falls vorhanden (Virenschutz, Berechtigung Datensicherung ) Aufnahme der Infrastruktur Aufnahme der installierten Software Erstellung Maßnahmenkatalog 25

26 Phase 2: Umsetzung des Bundesdatenschutzgesetzes Erarbeitung der Verfahrensverzeichnisse (Einbeziehung der Abteilungen die personenbezogene Daten verarbeiten) Umsetzung des festgestellten HandIungsbedarfes Schulung der Mitarbeiter, die Umgang mit personenbezogenen Daten haben Verpflichtung der Mitarbeiter zur Einhaltung des Datenschutzes Bestellung Datenschutzbeauftragter 26

27 Phase 2: Bsp. Externes Verfahrensverzeichnis 1.) Verantwortliche Stelle: Name des Unternehmens 2.) Vorstand / Geschäftsführung: Auflistung aller Vorstands- Geschäftsführungsmitglieder 3.) Leiter der Datenverarbeitung Verantwortlicher für IT 4.) Anschrift der verantwortlichen Stelle: Postalisch vollständige Adresse 5.) Zweckbestimmung der Datenverarbeitung Unternehmensinhalt und Einsatzgebiet der DV 6.) Betroffene Personengruppen Auflistung der Personengruppen von denen Daten gespeichert werden 7.) Daten und Datenkategorien Auflistung der Kategorien getrennt nach Kunden, Lieferanten, Mitarbeiter 8.) Empfänger der Daten Auflistung der Datenempfänger 9.) Regelfristen für die Löschung der Daten Hinweis auf gesetzliche oder interne Aufbewahrungsregelungen 10.) Übermittlung in Drittstaaten Eine Übermittlung an Drittstaaten ist geplant / nicht geplant. 11.) Datenschutzbeauftragter Nennung des Datenschutzbeauftragten 27

28 Phase 3: Laufender Betrieb Führen und Pflegen von Verfahrensverzeichnissen Prüfung der datenschutzrechtlichen Relevanz bei neu einzuführenden IT- Systemen (Vorabkontrolle) Überwachung der ordnungsgemäßen Anwendung von DV-Programme Durchführung von Schulungen von neuen Mitarbeitern Beratung der Fachbereiche und Mitarbeiter in datenschutzrelevanten Fragen Pflege der in der Einführungsphase erstellten Dokumentation und installierten Werkzeugen Benachrichtigung und Auskunft an Betroffene Überwachung des Prozesses der Berichtigung, Löschung und Sperrung von Daten Mitwirkung an Projekten mit datenschutzrechtlichen Auswirkungen Unterstützung im Kontakt nach Außen: Kommunikation mit der Aufsichtsbehörde Unterstützung bei Kontrollbesuchen, Datenschutzgespräche mit Betroffenen Durchführung regelmäßiger Datenschutzbegehungen Erstellung des jährlichen Datenschutzberichtes 28

29 Teil 4 Kosten Nutzen - Betrachtungen 29

30 Praxisbeispiele für den externen Aufwand bei Einführung und laufendem Betrieb Bestandsaufnahme Umsetzung BDSG Laufender Betrieb Aufwand / Jahr Mittelständischer Industriebetrieb (100 MA) 3 PT 3 PT 2-3 PT Mittelständischer Konzern mit mehreren Gesellschaften (Inund Ausland, 2000 MA) 10 PT 10 PT 8 PT Gemeinnütziger Verein Behindertenhilfe (450 MA) 6 PT 5 PT 4 PT 30

31 Kosten Nutzen - Relation Datenschutz Im Bußgeldniveau (je Einzelfall!) liegt z.b. Automatisiertes Verfahren nicht gemeldet und kein DSB bestellt Datenschutzbeauftragter nicht oder zu spät bestellt Datenübermittlung kann nicht überprüft werden Im Bußgeldniveau liegt z.b. Unbefugte Verarbeitung personbezogener Daten (Schutzstufe C oder höher) Unbefugte Beschaffung personenbezogener Daten, die nicht allgemein zugänglich sind 31

32 Nutzenfaktoren Ein guter Datenschutz-Standard erzeugt bzw unterstützt Mitarbeiterzufriedenheit / Sicherheitsgefühl Gutes Unternehmens-Image Macht Datenpannen sehr unwahrscheinlich Besseren Status IT-Compliance Bessere Prozesssicherheit Gute Vorbereitung auf DIN ISO

33 Teil 5 Technisch-organisatorische Aspekte des Datenschutzes 33

34 Praktizierter Datenschutz im Büroalltag Schützen Sie die Daten auf Ihrem PC bzw. Server- Laufwerk Nur sichere Passwörter auswählen 34

35 Praktizierter Datenschutz im Büroalltag Beispiel gutes Passwort Grundsatz: Nicht das Passwort merken, sondern die Methode, wie es gebildet wird! Akronym-Methode Bildung eines Passwortsatzes Verwendung der Anfangs- oder auch der Endbuchstaben der einzelnen Wörter als Passwort Zusätzlich mindestens zwei Ziffern oder Sonderzeichen einfügen Passortsatz: Maus & Elefant gehen zusammen 1 Pizza essen Passwort: M&Egz1Pe 35

36 Zugriffskontrolle in SAP - Regeln für Passwortvergabe - 36

37 Praktizierter Datenschutz im Büroalltag Schützen Sie die Daten auf Ihrem PC bzw. Server- Laufwerk Passwörter regelmäßig wechseln Bildschirme und PCs bei Abwesenheit vom Arbeitsplatz sperren (auch bei nur kurzzeitiger Abwesenheit, sofern kein Blickkontakt besteht) unerlaubte Einsichtnahme auf PC-Bildschirme vermeiden Problembereich USB-Anschlüsse und Laufwerke Laptops sorgfältig sichern, anbinden z.b. Kensington-Schloss 37

38 Praktizierter Datenschutz im Büroalltag Fax bzw. ist nicht automatisch vertraulich Verschlüsselung bei vertraulichem Inhalt ( ) Antwortfunktion kann Falsche erreichen Auf Verteiler achten Virengefahr bei Anlagen ( ) Schaden durch unsinnige Weiterleitungen vertrauliche Informationen grundsätzlich durch telefonische Absprache mit dem Empfänger 38

39 Praktizierter Datenschutz im Büroalltag Plaudertasche Mobiltelefon Wer hört mit? Telefonbuch-Adresslisten SMS-Nachrichten PIN-Nummer / Paßwortschutz Diebstahlgefahr Unberechtigter Zugang in das Hausnetz (Smartphones) Keine zentrale Datensicherung 39

40 Praktizierter Datenschutz im Büroalltag Büro und Schreibtisch Aufgeräumter Schreibtisch (vertrauliche Akten oder Berichte nicht offen liegen lassen) Unterlagen verschließen Vertrauliches nur persönlich abgeben Ablagefächer Mitarbeiter-Hauspost Abhol - Bahnhöfe für Boten 40

41 Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag Der Papierkorb ist das gefährlichste Möbelstück! Shredder oder Datenschutztonnen verwenden Datenträger (CDs, Disketten) nicht in den Müll werfen Entsorgung von PCs und Festplatten nur über die IT- Abteilung 41

42 Technisch-organisatorische Aspekte des Datenschutzes im Büroalltag Microsoft-Office-Dokumente verraten mehr, als Sie glauben! Microsoft-Office-Dokumente enthalten viele versteckte Informationen Die Geschwätzigkeit solcher Dokumente ist gefährlich nicht an Betriebsfremde/Kunden versenden besser in PDF umwandeln 42

43 Technisch-organisatorische Aspekte des Datenschutzes Faustregel: Behandeln Sie die Daten anderer so, wie Sie selbst Ihre eigenen Daten behandelt wissen möchten. 43

44 Technisch-organisatorische Aspekte des Datenschutzes außerhalb Büro Neben allen Sach-Investitionen muß auch die Aufklärung der Mitarbeiter Raum bekommen. Informationssicherheits-Risiken werden u.a. vermieden durch Keine vertraulichen Gespräche im Zug führen Geschäftspapiere zu Hause/auf Reisen nicht herumliegen lassen (z.b. beim Gang zur Toilette) Laptop/Handy stets mit Zugangsschutz Etc. Ziel: Mitarbeiter müssen Ihr Verhalten hinterfragen! 44

45 Teil 6 Datenschutz und Informationssicherheit in ERP-Umgebungen (am Bsp. SAP) 45

46 Zugriffskontrolle in SAP am Beispiel der SAP Business Suite 7 Nach Verarbeitung: Nach Organisationseinheit: Nach Datenobjekt: Innerhalb Datenobjekt: Nach Kontierung: Temporär: lesen/schreiben/ändern/löschen Nur Holding und Tochter A, nicht Tochter B; Nur Vertriebssparte A, nicht B, etc. nur Transaktion A, B, C und Report A, B Transaktion Bestellung anzeigen, aber ohne das Datenfeld Preis Nur Daten für Kostenstelle 120, Auftrag Stihl oder Projekt 7B Nur für den Zeitraum 1. Sep. 1. Nov 2009 Und fast alle Kombinationen daraus 46

47 Zugriffskontrolle in SAP Mächtiges Instrument: SAP-Berechtigungskonzept Prinzipiell kann Datenzugriff unterschieden werden nach lesen / schreiben / ändern / löschen und sehr fein, z.t bis auf Feld-Ebene, festgelegt werden. Nachteile sehr aufwendig zu konzipieren, einzurichten und zu pflegen Probleme im Vertretungsfall Probleme, falls Berechtigungen nicht gut an Geschäftsvorgänge angepasst oder sich diese oft ändern. Mittelweg Rollen Schaffung von Berechtigungsclustern für den typischen Einkäufer, Vertriebsinnendienstler oder QM-Manager Jedes Unternehmen muß seinen Detaillierungslevel selbst bewußt erarbeiten, umsetzen und aktuell halten! 47

48 Zugriffskontrolle in SAP 48 Quelle: SAP Seminarunterlage

49 Zugriffskontrolle in SAP: Objektklassen 49

50 Zugriffskontrolle in SAP 50

51 Zugriffskontrolle in SAP: Berechtigungsobjekte 51

52 Zugriffskontrolle in SAP 52

53 Zugriffskontrolle in SAP: Berechtigung 53

54 Zugriffskontrolle in SAP 54

55 Zugriffskontrolle in SAP: User-Stammsatz Berechtigungsprofil im User-Stammsatz 55

56 Nützliche Links Vereine / Verbände Deutsche Vereinigung für Datenschutz e.v: Gesellschaft für Datenschutz und Datensicherung e.v.: Berufsverband der Datenschutzbeauftragten Deutschlands - Österreichische Gesellschaft für Datenschutz - Zeitschriften DuD - Datenschutz und Datensicherheit - Datenschutz Berater - KES - Verlage: Secumedia Verlag: Datakontext: Beck Verlag: Sonstige Seiten: IT-Revision und IT-Sicherheit - Bundesamt für Sicherheit in der Informationstechnik - Virtuelles Datenschutzbüro - Unabhängiges Landeszentrum für Datenschutz SH - Bundesbeauftragten für den Datenschutz - Verschiedene Artikel:

57 Ihre Ansprechpartner bei Fragen Daniel Voigtländer MSO Consulting Zeisigweg Nellmersbach Fon: 07195/ Mobil: 0172/ Fax: 07195/ Schwerpunkte: Externer Datenschutzbeauftragter Qualitätsmanagement Dokumentenmanagement Thomas Schmischke Return on Concept GmbH & Co. KG Manfred-von-Ardenne-Allee Backnang Fon: 07191/ Mobil: 0172/ Fax: 07191/ Schwerpunkte: SAP-Consulting Interims- und Projektmanagement Externer Datenschutzbeauftragter 57

58 Backup 58 58

59 Sicherheitstipps Vertrauliche s-Inhalte verschlüsseln (z.b. Dokumentenschutz mit sicherem Passwort) Keine aktiven Inhalte öffnen (.com,.exe,.vbs, ) Nicht jedem Link folgen Vertrauenswürdigkeit prüfen - Autor bekannt - Anlagen angekündigt - -Inhalt stimmig 59 59

60 Berechtigungsobjekte Jede Berechtigung im R/3-System basiert auf einem Berechtigungsobjekt. Technisch gesehen ist ein Berechtigungsobjekt ein Baustein, der aus einem Namen, Feldern und möglichen Werten, die die Aktionen darstellen, besteht. Die Zuordnung eines Berechtigungsobjekts zu einem Handlungsablauf (Report, Transaktion, Verbuchung) ist dabei von der SAP fest vorgegeben. Zur besseren Unterscheidung wurde eine Unterteilung nach Themengebieten, den sogenannten Objektklassen vorgenommen. Die Berechtigung ist die kleinste Einheit im Berechtigungskonzept der SAP. 60

61 Definition von Rollen: Profil-Generator Einstieg: Auswahl einer vorhandenen oder Definition einer neuen Rolle 61

62 Definition von Rollen: Profil-Generator Auswahl der entsprechenden Transaktionen aus dem Menübaum. Der Profilgenerator sucht automatisch die Berechtigungsobjekte für diese Transaktion und bindet diese in die Rolle ein. 62

63 Definition von Rollen: Profil-Generator Nun kann man die Rolle (Aktivitätsgruppe) den Benutzern zuweisen. Nach Eingabe der Benutzer muss mit dem Button Benutzer abgleichen die Zuweisung durchgeführt werden. Der Benutzer-Abgleich garantiert die Konsistenz der Benutzerstammsätze Berechtugungen könne für bestimmte Gültigkeiteszeiträume freigegeben werden. 63

64 Zuordnung von Rollen im Benutzerstamm 64

65 Das BDSG Das Gesetz gilt für alle öffentlichen Stellen und nichtöffentlichen Stellen (ausgenommen sind rein private oder familiäre Zweckbestimmungen). Verantwortlich sind zwar diese Stellen, letztlich muss aber jeder Mitarbeiter dieser Stellen das Gesetz beachten

66 IT-Compliance IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT- Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. 66

67 Informationsschutz Keine einheitliche Definition. Beispiel: Maßnahmen zum Schutz innerbetrieblicher Informationen zur Wahrung von Betriebs- und Geschäftsgeheimnissen. Eidgenössisches Finanzdepartment: Das Hauptanliegen des Informationsschutzes ist der Schutz klassifizierter Informationen vor unberechtigter Zugriff- oder Einsichtnahme, sowie die Nachvollziehbarkeit von Vorgängen in Bezug auf klassifizierte Informationen. Also: Wer hatte wann von was Kenntnis 67

68 IT-Sicherheit 68

69 Datensicherheit nach DIN genormt: Datensicherheit (= Datenintegrität, Integrität) handelt es sich um einen Zustand der ist und dazu dient Daten in der elektronischen Datenverarbeitung vor Datenverlust, sowie vor unberechtigter Einsicht und Manipulation zu schützen. D. muss den Schutz der Daten vor fahrlässigen bzw. technischen Fehlern, physikalischen Schäden, externen Schadensquellen und durch Spionage bzw. Sabotage garantieren. Instrumente u.a.: Datensicherung = Schutz vor Verlust, Manipulation, Beschädigung und Fehlern. Anti-Virenschutz = Erhöhung Datensicherheit und Wahrung Datenintegrität Bedeutung steigt wg. zunehmender Vernetzung und einhergehenden Verbreitung von Passwort-Phishing, Trojanischen Pferden (auch: Trojaner), Würmer, Hijacker und Viren 69

70 Datenqualität = Informationsqualität bezeichnet die Qualität, also Relevanz und Korrektheit von Informationen. Sie beschreibt, wie gut eine Information (bzw. ein Datensatz) geeignet ist, die Realität zu beschreiben ( ) Insbesondere besagt sie, wie verlässlich eine Information ist und inwieweit man sie als Grundlage für eine Planung des eigenen Handelns verwenden kann. Nach der Deutschen Gesellschaft für Informations- und Datenqualität (DGIQ) sind typische, häufig verwendete Qualitätskriterien Korrektheit, Vollständigkeit Relevanz Konsistenz. 70

71 Weitergabekontrolle Ein aktuell starker Trend ist die Zunahme von Vernetzung und Cloudcomputing. Hier muß der Schutz die Daten begleiten technisch und organisatorisch. Erforderliche Maßnahmen Konzept und Umsetzung von Verschlüsselungsverfahren Verträge zum Umgang mit Daten und Informationen Audits zur Prüfung der Umsetzung Konzept zum Aufspüren- / Umgang mit Sicherheitslücken 71

72 Ihre Ansprechpartner bei Fragen Daniel Voigtländer MSO Consulting Zeisigweg Nellmersbach Fon: 07195/ Mobil: 0172/ Fax: 07195/ Schwerpunkte: Externer Datenschutzbeauftragter Qualitätsmanagement Dokumentenmanagement Thomas Schmischke Return on Concept GmbH & Co. KG Manfred-von-Ardenne-Allee Backnang Fon: 07191/ Mobil: 0172/ Fax: 07191/ Schwerpunkte: SAP-Consulting Interims- und Projektmanagement Externer Datenschutzbeauftragter 72

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Das Datenschutzregister der Max-Planck-Gesellschaft

Das Datenschutzregister der Max-Planck-Gesellschaft Das Datenschutzregister der Max-Planck-Gesellschaft Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Umweltschutz. Qualität. Arbeitssicherheit

Umweltschutz. Qualität. Arbeitssicherheit Umweltschutz. Qualität. Arbeitssicherheit Firmenprofil Ingenieurbüro Standorte: Paderborn Düsseldorf Dortmund Frankfurt a. M. Hamburg München Kerngeschäft Umweltschutz Qualität Arbeitssicherheit Baustellensicherheit

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Vernetzung ohne Nebenwirkung, das Wie entscheidet Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de

Mehr

Kassenzahnärztliche Vereinigung Bayerns KZVB

Kassenzahnärztliche Vereinigung Bayerns KZVB Kassenzahnärztliche Vereinigung Bayerns Quellen des Datenschutzes Grundgesetz (GG) Allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) Bundesdatenschutzgesetz (BDSG) für

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Der interne Datenschutzbeauftragte - ein Praxisbericht

Der interne Datenschutzbeauftragte - ein Praxisbericht Der interne Datenschutzbeauftragte - ein Praxisbericht Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen? Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Vorgehensweise Auftragsdatenverarbeitungsvertrag Vorgehensweise Auftragsdatenverarbeitungsvertrag Beiliegend finden Sie unseren Auftragsdatenverarbeitungsvertrag. Diesen benötigen Sie, sobald Sie personenbezogene Daten an einen Dienstleister weitergeben.

Mehr

Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT-Grundschutz-Experte (TÜV)

Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT-Grundschutz-Experte (TÜV) ebusiness-lotse Magdeburg c/o tti Magdeburg GmbH im ekompetenz-netzwerk für Unternehmen Roland Hallau, Projektleiter Datenschutzbeauftragter (TÜV), IT-Grundschutz-Experte (TÜV) Datenschutz und IT-Sicherheit

Mehr

Datenschutz Informationssicherheit Compliance

Datenschutz Informationssicherheit Compliance Datenschutz Informationssicherheit Compliance Anforderungen, Risiken und Lösungsansätze Thomas Schneider Dipl.-Informatiker, Wirtschaftsinformatik Datenschutzbeauftragter (TÜV), Externer Datenschutzbeauftragter

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu

Mehr

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Felix-Dahn-Str. 43 70597 Stuttgart Telefon: 07 11 / 97 63 90 Telefax: 07 11 / 97 63 98 info@rationelle-arztpraxis.de www.rationelle-arztpraxis.de Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Stand: 10.02.2014

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes Landesbeauftragte für Datenschutz und Informationsfreiheit Freie Hansestadt Bremen Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes insbesondere zum Inhalt der Verfahrensbeschreibung und zu

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Landesbeauftragter für den Datenschutz Niedersachsen

Landesbeauftragter für den Datenschutz Niedersachsen Passworte...aber richtig Orientierungshilfe Landesbeauftragter für den Datenschutz Niedersachsen So erreichen Sie den Landesbeauftragter für den Datenschutz Niedersachsen: Schreiben Postfach 221, 30002

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Zwischen nachstehend Leistungsnehmer genannt und Demal GmbH Sankt-Salvator-Weg 7 91207 Lauf a. d. Pegnitz nachstehend Leistungsgeberin genannt werden aufgrund 11 Bundesdatenschutzgesetz (BDSG) folgende

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Musterfirma Musterstraße 123 09876 Musterort Ralf Bergmeir Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG)

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Die Erfindung des Datenschutzes 1983: Volkszählungsurteil des Bundesverfassungsgerichts Grundrecht auf informationelle Selbstbestimmung als Teil des

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Anlage 1 zum Vertrag zur Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Wir helfen: www.activemind.de Seite

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Webinar Betrieblicher Datenschutz

Webinar Betrieblicher Datenschutz Webinar Betrieblicher Datenschutz In Zusammenarbeit mit der Wirtschaftsförderung Kreis Coesfeld Robert Kandzia 10. Oktober 2013 10:00 Uhr Ziele Ursprünge und Begriff Terminologie im Datenschutz typische

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr