Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung. datenschutz cert GmbH Version 1.0
|
|
- Annegret Kraus
- vor 8 Jahren
- Abrufe
Transkript
1 Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung datenschutz cert GmbH Version 1.0
2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für ein Zertifikat zur Auftragsdatenverarbeitung 1. Anforderungen an die Auftragsdatenverarbeitung 4 2. Rahmenbedingungen Gesetzliche Vorgaben für eine Auftragsdatenverarbeitung Förderung des Datenschutzes 8 3. Kriterienkatalog A.1 Zulässigkeit der Auftragsdatenverarbeitung A.2 Vertrag genügt gesetzlichen Anforderungen A.3 Zutrittskontrolle A.4 Zugangskontrolle A.5 Zugriffskontrolle A.6 Weitergabekontrolle A.7 Eingabekontrolle A.8 Auftragskontrolle A.9 Verfügbarkeitskontrolle A.10 Zwecktrennung/ Trennungsgebot A.11 Informationspflichten an den Auftraggeber A.12 Datengeheimnis und Sozialgeheimnis A.13 Betrieblicher / Behördlicher Datenschutzbeauftragte A.14 Zweckbindung und Speicherdauer Förderung des Datenschutzes insgesamt Auditierungs- und Zertifizierungsprozess Laufzeiten Erst-Zertifizierung Überwachungsaudit Re-Zertifizierung Zertifikatsliste Entzug eines Zertifikates Ablauf eines Zertifikates Kosten und Gebühren AGB 17 Seite 2
3 5. Anforderungen an einen Auditreport datenschutz cert GmbH Leitlinien Akkreditierungen Kontakt 20 Historie Version Datum geänderte Kapitel Grund der Änderung geändert durch Finalisierung nach Abnahme durch Zertifizierungsstelle IK, SM Dokumenten-Überwachungsverfahren Status: final Prozess-/Dokumentbesitzer: Dr. Karper Version: 1.0 Seite 3
4 1. Anforderungen an die Auftragsdatenverarbeitung 11 Bundesdatenschutzgesetz (BDSG) sowie zahlreiche Landes- und Spezialgesetze, wie etwa 80 des Zehnten Sozialgesetzbuches (SGB X), verpflichten Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten oder darauf zugreifen können (Auftragsdatenverarbeitung). Dabei muss sich der Auftraggeber nicht nur von der Einhaltung des Datenschutzes beim Dienstleister überzeugen, die Prüfergebnisse müssen auch nachweisbar dokumentiert werden. Immer öfter fordern Auftraggeber oder auch Aufsichtsbehörden für diesen Nachweis ein Zertifizierungs- bzw. Gütesiegelverfahren, in welchen die Fragen des Datenschutzes und der Datensicherheit von einer unabhängigen und kompetenten Prüfstelle begutachtet werden 1. Das Zertifikat soll zeigen, dass die Prüfung, die ein Auftraggeber z.b. gemäß 11 BDSG oder 80 SGB X durchführen muss, bereits durch eine unabhängige Instanz geprüft wurden. Damit kann ein Zertifikat den internen Aufwand deutlich reduzieren insbesondere dann, wenn ein Auftragnehmer für mehrere Kunden Daten im Auftrag verarbeitet. Die datenschutz cert GmbH bietet ein solches Zertifizierungsverfahren für Auftragsdatenverarbeitung an. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für das Zertifikat zur Auftragsdatenverarbeitung ein. Im Nachfolgenden wird vorgestellt, wie die datenschutz cert GmbH eine Dienstleistung zur Auftragsdatenverarbeitung auditiert und zertifiziert und welche Kriterien der Prüfung zugrunde liegen. Bremen, den 27. Februar 2012 Dr. Irene Karper LLM.Eur. datenschutz cert GmbH 1 Siehe etwa hierzu die Orientierungshilfe Cloud Computing - der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Version 1.0, Stand , abrufbar unter (Stand: 02/2012). Seite 4
5 2. Rahmenbedingungen 2.1 Gesetzliche Vorgaben für eine Auftragsdatenverarbeitung Einschlägig zur Auftragsdatenverarbeitung sind 11 Bundesdatenschutzgesetz (BDSG) und bei der Verarbeitung von Sozialdaten 80 des Zehnten Sozialgesetzbuches (SGB X) Gesetzliche Anforderungen aus 11 BDSG Die gesetzlichen Anforderungen leiten sich aus der jeweils geltenden Fassung der Norm ab. 11 BDSG lautet 2 : 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 2 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist. Seite 5
6 (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11 Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4 f, 4 g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann Gesetzliche Anforderungen aus 80 SGB X Die Anforderungen leiten sich aus der jeweils geltenden Norm ab. 80 SGB X lautet 3 : 80 SGB X Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag (1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 82 bis 84 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 78a zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 3 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (Artikel 1 des Gesetzes vom 18. August 1980, BGBl. I S und Artikel 1 des Gesetzes vom 4. November 1982, BGBl. I S. 1450) in der Fassung der Bekanntmachung vom 18. Januar 2001 (BGBl. I S. 130), das zuletzt durch Artikel 3 des Gesetzes vom 22. Dezember 2011 (BGBl. I S. 2983) geändert worden ist. Seite 6
7 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz von Sozialdaten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber ist verpflichtet, erforderlichenfalls Weisungen zur Ergänzung der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zu erteilen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Auftragserteilung an eine nicht-öffentliche Stelle setzt außerdem voraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, 1. Auskünfte bei ihm einzuholen, 2. während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen und 3. geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen, soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist. (3) Der Auftraggeber hat seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung 1. den Auftragnehmer, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen nach Absatz 2 Satz 2 und 3, 2. die Art der Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden sollen, und den Kreis der Betroffenen, 3. die Aufgabe, zu deren Erfüllung die Erhebung, Verarbeitung oder Nutzung der Daten im Auftrag erfolgen soll, sowie 4. den Abschluss von etwaigen Unterauftragsverhältnissen schriftlich anzuzeigen. Wenn der Auftragnehmer eine öffentliche Stelle ist, hat er auch schriftliche Anzeige an seine Aufsichtsbehörde zu richten. (4) Der Auftragnehmer darf die zur Datenverarbeitung überlassenen Sozialdaten nicht für andere Zwecke verarbeiten oder nutzen und nicht länger speichern, als der Auftraggeber schriftlich bestimmt. (5) Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn 1. beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder 2. die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Der überwiegende Teil der Speicherung des gesamten Datenbestandes muss beim Auftraggeber oder beim Auftragnehmer, der eine öffentliche Stelle ist, und die Daten zur weiteren Datenverarbeitung im Auftrag an nicht-öffentliche Auftragnehmer weitergibt, verbleiben. (6) Ist der Auftragnehmer eine in 35 des Ersten Buches genannte Stelle, gelten neben den 85 und 85a nur 4g Abs. 2, 18 Abs. 2 und die 24 bis 26 des Bundesdatenschutzgesetzes. Bei den in 35 des Ersten Buches genannten Stellen, die nicht solche des Bundes sind, treten anstelle des Bundesbeauftragten für den Da- Seite 7
8 tenschutz insoweit die Landesbeauftragten für den Datenschutz. Ihre Aufgaben und Befugnisse richten sich nach dem jeweiligen Landesrecht. Ist der Auftragnehmer eine nicht-öffentliche Stelle, kontrolliert die Einhaltung der Absätze 1 bis 5 die nach Landesrecht zuständige Aufsichtsbehörde. Bei öffentlichen Stellen der Länder, die nicht Sozialversicherungsträger oder deren Verbände sind, gelten die landesrechtlichen Vorschriften über Verzeichnisse der eingesetzten Datenverarbeitungsanlagen und Dateien. (7) Die Absätze 1, 2, 4 und 6 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann. Verträge über Wartungsarbeiten sind in diesem Falle rechtzeitig vor der Auftragserteilung der Aufsichtsbehörde mitzuteilen; sind Störungen im Betriebsablauf zu erwarten oder bereits eingetreten, ist der Vertrag unverzüglich mitzuteilen. 2.2 Förderung des Datenschutzes Mit dem Zertifikat für Auftragsdatenverarbeitung wird nicht nur die Rechtskonformität bescheinigt; es soll darüber hinaus auch insbesondere Kunden und den von der Verarbeitung der Daten Betroffenen zeigen, dass sie sich bei dem zertifizierten Dienstleister sicher fühlen können. Neben den genannten gesetzlichen Vorgaben muss die Auftragsdatenverarbeitung daher den Datenschutz auch insgesamt fördern können. Für eine Auditierung und Zertifizierung stehen damit auch Maßnahmen im Vordergrund, die zur Förderung des Datenschutzes beitragen (zu den Prüfkriterien vgl. Abschnitt 3. 15). Seite 8
9 3. Kriterienkatalog Die in Kapitel 2 aufgeführten Rahmenbedingungen lassen sich zu konkreten Anforderungen zusammenfassen, die den Kriterienkatalog für eine Zertifizierung der Auftragsdatenverarbeitung bilden. Die nachfolgenden Anforderungen stellen keine abschließende Checkliste dar. Vielmehr sind im Rahmen der Auditierung die getroffenen Maßnahmen zur Umsetzung der jeweiligen Anforderungen in einer Gesamtschau zu bewerten. Soweit möglich, soll auf anerkannte Standards der Informationssicherheit verwiesen werden. 3.1 A.1 Zulässigkeit der Auftragsdatenverarbeitung Ziel: Prüfung, ob eine Auftragsdatenverarbeitung, die Gegenstand dieses Audits ist, vorliegt und wenn ja ob diese Auftragsdatenverarbeitung datenschutz-rechtlich zulässig ist. Hierzu sind ggf. zwei Richtungen zu beachten: --- Einerseits die Auftragsdatenverarbeitung, die Gegenstand des Audits ist und die der Antragsteller als Auftragnehmer erbringt. --- Andererseits ist darüber hinaus auch eine kaskadierende Auftragsdatenverarbeitung zu berücksichtigen, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt, z.b. an Subunternehmer. 3.2 A.2 Vertrag genügt gesetzlichen Anforderungen Ziel: Prüfung, ob die Anforderungen an 11 BDSG Abs. 2 bzw. 80 SGB X Abs. 2 oder an andere einschlägige Gesetze inhaltlich in einem Vertragswerk umgesetzt sind. Hierzu sind im Nachfolgenden zwei Richtungen zu beachten: --- Die Auftragsdatenverarbeitung, die Gegenstand des vorliegenden Audits ist, die der Antragsteller als Auftragnehmer erbringt. --- Darüber hinaus ist auch eine kaskadierende Auftragsdatenverarbeitung zu berücksichtigen, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt. 3.3 A.3 Zutrittskontrolle Ziel: Prüfung, ob die Zutrittskontrolle umgesetzt wurde, die Gebäude und Räume fokussiert, in denen Systeme stehen, die für die Auftragsdatenverarbeitung verwendet werden. Für alle relevanten Gebäude und Räume sind Zutrittskontrollmaßnahmen wirksam umzusetzen, um den unbefugten Zutritt zu den physischen Räumlichkeiten der Datenverarbeitungsvorgänge zu verhindern. Die Norm ISO enthält in Abs. A.9 Anforderungen an physische und umgebungsbezogene Sicherheit, die sofern anwendbar zu berücksichtigen sind. 3.4 A.4 Zugangskontrolle Ziel: Prüfung, ob die Zugangskontrolle umgesetzt wurde. Sie fokussiert Systeme, die für die Auftragsdatenverarbeitung verwendet werden. Für alle Systeme sind Zugangskontrollmaßnahmen umzusetzen, die den unbefugten Zugang zu den Daten- Seite 9
10 verarbeitungssystemen verhindern, wenn die Zutrittskontrollsicherungsmaßnahmen überwunden wurden. Die Norm ISO enthält in Abs. A.10, A.11 und A.12 Anforderungen an Betriebsund Kommunikationsmanagement, Zugangskontrolle sowie kryptographische Maßnahmen, die sofern anwendbar zu berücksichtigen sind. 3.5 A.5 Zugriffskontrolle Ziel: Prüfung, ob die Zugriffskontrolle umgesetzt wurde. Sie fokussiert Anwendungen (z.b. Tools, IT-Verfahren), die für die Auftragsdatenverarbeitung verwendet werden. Für alle Anwendungen sind Zugriffskontrollmaßnahmen umzusetzen, die berechtigten Nutzern den Zugriff auf bestimmte, fest definierte Daten oder Datenbereiche erlauben. Die Norm ISO enthält in Abs. A.10 und A.11 Anforderungen an Zugriffskontrolle und Rollen-/Berechtigungskonzepte, die sofern anwendbar zu berücksichtigen sind. 3.6 A.6 Weitergabekontrolle Ziel: Prüfung der Weitergabekontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung übermittelt/transportiert werden. Für alle relevanten Daten der Anwendungen sind Weitergabekontrollmaßnahmen zum Schutz vor unbefugtem Lesen, Kopieren, Ändern oder Entfernen sowie beim Transfer von Daten an interne wie an externe Empfänger umzusetzen. Die Norm ISO enthält in Abs. A.10, A.11 und A.12 Anforderungen an Betriebsund Kommunikationsmanagement, Zugangskontrolle sowie kryptographische Maßnahmen, die sofern anwendbar zu berücksichtigen sind. 3.7 A.7 Eingabekontrolle Ziel: Prüfung der Eingabekontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung verarbeitet werden. Für alle relevanten Anwendungen sind Eingabekontrollmaßnahmen umzusetzen, die eine nachträgliche Überprüfung ermöglichen, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben oder verändert wurden. Die Norm ISO enthält in Abs. A Anforderungen an das Monitoring, die sofern anwendbar zu berücksichtigen sind. 3.8 A.8 Auftragskontrolle Ziel: Prüfung der Auftragskontrolle. Sie fokussiert personenbezogene Daten, die im Auftrag entsprechend den Weisungen des Auftraggebers verarbeitet werden dürfen. Die Auftragskontrolle wirkt in zwei Richtungen: --- Die Auftragsdatenverarbeitung, die Gegenstand des Audits ist, muss diese Anforderung umsetzen. --- Darüber hinaus ist auch eine kaskadierende Auftragsdatenverarbeitung möglich, wenn ein Auftragsdatenverarbeiter selber wiederum Auftragsdatenverarbeitung als Auftraggeber weitergibt. Seite 10
11 Die rechtlichen Implikationen wurden dazu bereits beleuchtet: --- zur Weisungsbefugnis wurden die rechtlichen Anforderungen aus 11 Abs. 2 Nr. 9 BDSG in A.2 thematisiert; --- zur kaskadierenden Auftragsdatenverarbeitung wurden die rechtlichen Anforderungen aus 11 Abs. 2 Nr. 6 BDSG in A.2 thematisiert. 3.9 A.9 Verfügbarkeitskontrolle Ziel: Prüfung der Verfügbarkeitskontrolle. Sie fokussiert personenbezogene Daten, die im Kontext der Auftragsdatenverarbeitung verarbeitet werden sowie die Verfahren/Dienstleistungen als solches. Für alle relevanten Verfahren/Dienstleistungen sind Verfügbarkeitskontrollmaßnahmen umzusetzen, um einem Verlust der Daten entgegenzuwirken. Die Norm ISO enthält in Abs. A.9 und A.10 Anforderungen an Notfallszenarien und Backups, die sofern anwendbar zu berücksichtigen sind A.10 Zwecktrennung/ Trennungsgebot Ziel: Prüfung der Maßnahmen zur Zwecktrennung/zur Umsetzung des Trennungsgebotes. Sie fokussiert darauf, dass die ggf. zu unterschiedlichen Zwecken erhobenen personenbezogenen Daten auch getrennt verarbeitet werden. Für alle relevanten Verfahren/Dienstleistungen ist sicherzustellen, dass Benutzer nur auf die für sie benötigten Daten zugreifen können. Die Norm ISO enthält in Abs. A.10.1 Anforderungen an Separation of Duties, die sofern anwendbar zu berücksichtigen sind A.11 Informationspflichten an den Auftraggeber Ziel: Prüfung der Informationspflichten an den Auftraggeber. Dies fokussiert sich darauf, den Auftraggeber zu informieren über --- Verstöße des Auftragnehmers durch die bei ihm beschäftigten Personen --- gegen Vorschriften zum Schutz personenbezogener Daten --- oder gegen die im Auftrag getroffenen Festlegungen. Darüber hinaus ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich darauf hinzuweisen, sofern er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt. Der Auftraggeber ist über Verstöße zu informieren A.12 Datengeheimnis und Sozialgeheimnis Ziel: Prüfung, ob die mit der Datenverarbeitung beschäftigte Personen auf das Datengeheimnis oder sonstige einschlägige Geheimhaltungspflichten (z.b. Sozialgeheimnis) verpflichtet wurden. Die Norm ISO enthält in Abs. A.8 Anforderungen an Verpflichtung von Mitarbeitern sowie Schulung und Sensibilisierung, die sofern anwendbar zu berücksichtigen sind. Seite 11
12 3.13 A.13 Betrieblicher / Behördlicher Datenschutzbeauftragte Ziel: Prüfung, ob ein Beauftragter für den Datenschutz (betrieblicher/behördlicher Datenschutzbeauftragter bdsb) gemäß den gesetzlichen Bestimmungen ( 4f und 4g BDSG i.v.m. 11 Abs. 4 BDSG) bestellt wurde und dieser die gesetzlichen Aufgaben erfüllen kann. Hierbei sind nicht nur die gesetzlichen Anforderungen an den bdsb zu prüfen, sondern auch beispielhaft dessen Prüfungsergebnisse (z.b. Dokumentation über Vorabkontrollen). Ferner ist zu prüfen, ob der bdsb ein Verfahrensregister führt, das den gesetzlichen Anforderungen genügt A.14 Zweckbindung und Speicherdauer Ziel: Prüfung, ob der Auftragnehmer bei Verarbeitung von Sozialdaten gemäß 80 Abs. 4 SGB X die Zweckgebundenheit der Sozialdatenverarbeitung und die jeweils geltende Speicherdauer einhalten kann Förderung des Datenschutzes insgesamt Ziel: Der im Audit untersuchte Gegenstand der Auftragsdatenverarbeitung muss insgesamt auch geeignet sein, den Datenschutz zu fördern. Dies kann auf vielfältige Weise bewerkstelligt werden, z.b. durch --- Einsatz besonderer Tools oder Systeme --- ein nachhaltiges Beschwerdemanagement --- ein nachhaltiges Datenschutzmanagement, das über den Untersuchungsgegenstand hinaus vorbildlich ist --- die Umsetzung von Maßnahmen, die über die gesetzlich geforderten Inhalte hinausgehen und vorbildlich in Sachen Datenschutz oder IT-Sicherheit sind --- anderweitige, anerkannte Auditierungen oder Zertifizierungen, die den Untersuchungsgegenstand betreffen. Seite 12
13 4. Auditierungs- und Zertifizierungsprozess In diesem Abschnitt wird vorgestellt, wie die datenschutz cert GmbH eine Dienstleistung zur Auftragsdatenverarbeitung auditiert und zertifiziert. Dabei wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt: --- Der bei der datenschutz cert GmbH lizenzierte Auditor prüft die Konformität gegen 11 BDSG und erstellt einen Auditreport. --- Die Zertifizierungsstelle prüft den Auditreport, insbesondere um eine Vergleichbarkeit zwischen den Audits sicherstellen zu können. 4.1 Laufzeiten Jedes Zertifizierungsverfahren besteht aus folgenden Phasen: --- Erst-Zertifizierung; Überwachungsaudit (1 Jahr nach Erst-Zertifizierung); Überwachungsaudit (2 Jahre nach Erst-Zertifizierung); --- Re-Zertifizierung (3 Jahre nach Erst-Zertifizierung). Nachfolgend ist in Abbildung 1 der Lebenszyklus eines Zertifikates dargestellt. Lebenszyklus eines Zertifikates zur AuftragsDV Erst-Zertifizierung Auditierung --- Vorbereitung --- Preaudit --- Audit --- ausführlicher Report Zertifizierung --- Zertifizierungstätigkeit --- Ausstellung Zertifikat --- Übergabe des Zertifikats --- Listung im Internet --- über gesamte Laufzeit Laufzeit des Zertifikates: i.d.r. 3 Jahre 1. Überwachungsaudit 2. Überwachungsaudit nach 1 Jahr nach 2 Jahren Re-Zertifizierung Auditierung Zertifizierung Abbildung 1: Lebenszyklus eines Zertifikates zur Auftragsdatenverarbeitung Seite 13
14 4.2 Erst-Zertifizierung Auditierung Die von der datenschutz cert GmbH lizenzierten Auditoren prüfen den gesamten Prozess der Auftragsdatenverarbeitung von der Vertragsgestaltung, über die Dokumentenprüfung bis hin zur Kontrolle der technisch-organisatorischen Sicherheitsmaßnahmen vor Ort. In der Regel werden dazu zunächst in einer Vorab-Prüfung (Preaudit) erste Ergebnisse auf dem Weg zu einem Zertifikat und ggf. notwendige Verbesserungen vom Auditor identifiziert, bevor das finale Audit erfolgt. Sodann stellt der Auditor einen Anforderungskatalog zusammen. Neben den hier genannten Anforderungen A1-A14 sind dabei grundsätzlich auch anerkannte Kriterienwerke zu nutzen (z.b. die Datenschutzauditverordnung Schleswig-Holstein oder ISO 27001). Der Auditor prüft und bewertet anschließend den Untersuchungsgegenstand sowie die Datenschutz-fördernden Maßnahmen anhand der Anforderungen an die Auftragsdatenverarbeitung. Das Audit besteht immer aus einer Informations-/Dokumentenprüfung sowie einem Site Visit vor Ort am Standort der Auftragsdatenverarbeitung. Die Ergebnisse werden in einem aussagekräftigen Audit-Report dokumentiert und der Zertifizierungsstelle vorgelegt. Der Report dient zugleich als Nachweis der gesetzlich geforderten Kontrolle. Kommt der Auditor zu dem Ergebnis, dass alle Anforderungen eingehalten werden, empfiehlt er die Zertifizierung. Der Auditor kann dem Antragsteller im Zuge der Auditierung Gelegenheit zur Nachbesserung bzw. Anpassung geben. Für die Behebung von Mängeln oder Erfüllung von Auflagen sowie für die Vorlage notwendiger Informationen vereinbaren Auditor und Antragsteller grundsätzlich eine angemessene, verbindliche Frist Zertifizierung Die Zertifizierungsstelle prüft den Auditreport auf Schlüssigkeit. Dabei ist sie nicht an die Empfehlung des Auditors gebunden. Auf Grundlage des Auditreports sowie der hier genannten Zertifizierungsanforderungen trifft die Zertifizierungsstelle die Entscheidung, ob Ihre Dienstleistung konform zu den gesetzlichen Anforderungen betrieben wird und den Datenschutz fördert. Ist dem so, erteilt sie ein Zertifikat in Form einer Urkunde. Liegt der Zertifizierungsstelle bereits ein Auditbericht vor und erfüllt dieser nicht die hier aufgeführten Anforderungen oder ergeben sich Rückfragen bzgl. des Untersuchungsgegenstandes oder der Auditierung oder Bewertung, setzt die Zertifizierungsstelle dem Auditor oder dem Antragsteller eine angemessene Frist zur Behebung bzw. vollständigen Beantwortung. Sind innerhalb eines Zeitraumes von maximal 4 Wochen die erforderlichen Anpassungen nicht vorgenommen worden oder werden die für die Zertifizierung erforderlichen Informationen nicht zur Verfügung gestellt, wird der Zertifizierungsvorgang ohne die Vergabe des Zertifikats mit einem Ablehnungsbescheid unter Angabe von Gründen abgeschlossen. In begründeten Ausnahmefällen kann mit Zustimmung des Auditors und der Zertifizierungsstelle ein längerer Zeitraum vereinbart werden. Seite 14
15 Das Zertifikat gilt für einen Zeitraum von 3 Jahren ab Zertifizierungsentscheidung, es sei denn, es liegen die weiter unten genannten Gründe für einen Entzug des Zertifikates vor. 4.3 Überwachungsaudit Nach Erteilung des Zertifikats ist jährlich durch einen lizenzierten Auditor ein Überwachungsaudit durchzuführen, das die Konformität der Auftragsdatenverarbeitung und Gültigkeit des Zertifikates bestätigt. Ein Überwachungsaudit ist darüber hinaus auch in einem kürzeren Zeitraum erforderlich, wenn --- der zertifizierte Untersuchungsgegenstand derart umgestaltet wird, dass die Anforderungen offensichtlich nicht (mehr) erfüllt werden oder der Untersuchungsgegenstand offensichtlich nicht mehr rechtskonform ist, --- in den zertifizierten Untersuchungsgegenstand Funktionen, Verfahren, Systeme oder sonstige Veränderungen aufgenommen oder ergänzt werden, die eine bislang unberücksichtigte Verarbeitung personenbezogener Daten beinhalten, --- datenschutzrelevante Prüfinhalte aus dem zertifizierten Untersuchungsgegenstand entfernt werden, --- der Antragsteller umfirmiert ist oder den Standort gewechselt hat. Dadurch wird sichergestellt, dass relevante zwischenzeitliche Veränderungen Berücksichtigung finden. Der Antragsteller ist verpflichtet, dem Auditor Änderungen im o.g. Sinne mitzuteilen. Gelangt der Auditor im Rahmen der Überwachungsaudits zum Ergebnis, dass die für eine erfolgreiche Auditierung und Zertifizierung erforderlichen Voraussetzungen fehlen, teilt er dies dem Antragsteller und der Zertifizierungsstelle mit. Die Zertifizierungsstelle entzieht dann das Zertifikat vor Ablauf der Gültigkeit vorläufig, so dass der Antragsteller das Logo und alle Verweise auf eine Zertifizierung bis zur Beseitigung der aufgefunden Mängel nicht führen darf. Der Auditor setzt für die Behebung der Mängel eine angemessene Frist, die in der Regel nicht mehr als 3 Monate beträgt und informiert die Zertifizierungsstelle. Stellt er nach Ablauf der Frist fest, dass die Mängel nicht behoben wurden, wird das Zertifikat durch die Zertifizierungsstelle entzogen. Das Ergebnis des Überwachungsaudits wird dokumentiert und der Zertifizierungsstelle vorgelegt, die über die Gültigkeit der Zertifizierung entscheidet. Die Entscheidung wird dem Antragsteller oder Auditor mitgeteilt. 4.4 Re-Zertifizierung Nach Ablauf des (i.d.r.) drei Jahre gültigen Zertifikats kann ein Re- Zertifizierungsaudit durchgeführt werden, dass sich im Wesentlichen an der Erst- Zertifizierung orientiert und die kontinuierliche Wirksamkeit feststellen soll. Hierbei kann sich die Auditierung auf die veränderten Bereiche konzentrieren. Seite 15
16 4.5 Zertifikatsliste Eine Liste unserer erteilten Zertifizierungen kann abgerufen werden unter: Aus der Liste sind der Antragsteller, der Geltungsbereich, die Zertifikats-ID sowie die Gültigkeit der Zertifizierung ersichtlich. 4.6 Entzug eines Zertifikates Das Zertifikat wird entzogen, wenn der Antragsteller nachhaltig gegen die Zertifizierungsvoraussetzungen verstößt. Ein solcher Verstoß liegt insbesondere vor, wenn --- der zertifizierte Untersuchungsgegenstand in der beschriebenen Weise verändert wurde und der Anbieter keine Prüfung ermöglicht --- im Rahmen der Prüfung nicht die für die Vergabe des Zertifikats erforderlichen Voraussetzungen erfüllt werden, --- der Antragsteller aufgrund drohender oder eingetretener Insolvenz einen zuverlässigen Geschäftsbetrieb nicht mehr aufrechterhalten kann --- die Zertifizierungskosten nicht spätestens innerhalb von 4 Wochen nach Abschluss der Zertifizierung gegenüber der Zertifizierungsstelle beglichen werden. Die Zertifizierungsstelle teilt dem Antragsteller die Gründe des Zertifikatsentzugs mit. Im Falle des Entzuges wird das über die Zertifikatsliste online unter veröffentlichte Zertifikat auf den Status als entzogen gesetzt und spätestens nach 4 Wochen aus der Liste entfernt. Der Entzug des Zertifikates kann auch anderweitig veröffentlicht werden. 4.7 Ablauf eines Zertifikates Soweit das Zertifikat nach Ablauf der Gültigkeit entfällt, hat der Anbieter dafür zu sorgen, dass das Logo und sämtliche Hinweise auf eine gültige Zertifizierung aus den genutzten Medien unverzüglich entfernt werden. 4.8 Kosten und Gebühren Kosten fallen einerseits für die Auditierung, andererseits für die Zertifizierung an. Das Honorar für die Durchführung des Audits und des Überwachungsaudits ist i.d.r. abhängig von der Komplexität des Auditgegenstands und wird zwischen dem Auditor und dem Antragsteller individuell vereinbart und abgerechnet. Die datenschutz cert GmbH kann ein Gesamtangebot für eine Auditierung und Zertifizierung abgeben, sofern ein eingesetzter Auditor bei ihr angestellt ist. Die für die Zertifizierung anfallenden Kosten begleichen den gesamten Zertifizierungsvorgang (Prüfung des Audit-Reports, Korrespondenz, Zertifikatsverwaltung sowie bei Zertifikatsvergabe - die Nutzungsrechte). Die Kosten fallen an, sobald ein Antrag auf Zertifizierung oder der Audit-Report bei der Zertifizierungsstelle eingegangen ist. Erteilt die Zertifizierungsstelle einen Ablehnungsbescheid, werden die Kosten anteilig berechnet. Die Höhe der Zertifizierungskosten richtet sich nach der Komplexität des Prüfaufwands. Dieser bestimmt sich u.a. nach den Funktionen des Untersuchungsgegen- Seite 16
17 stands, dem Umfang der Datenverarbeitung, der Umgebung für das Datenschutzmanagement, den vorgelegten Informationen und dem Umfang der Korrespondenz aller Beteiligten. Auf Wunsch kann die Zertifizierungsstelle vor Antragstellung eine kostenlose Einschätzung der Zertifizierungskosten erstellen. 4.9 AGB Im Übrigen sind die Allgemeinen Geschäftsbedingungen der datenschutz cert GmbH zu beachten, die unter abgerufen werden können. Seite 17
18 5. Anforderungen an einen Auditreport Ein Auditreport zur Vorlage bei der Zertifizierungsstelle muss inhaltlich mindestens zu folgenden Aspekten Stellung beziehen: --- Organisatorische und formale Angaben zum Audit: --- das mit der Auditierung angestrebte Zertifikat (z.b. Zertifizierung der Auftragsdatenverarbeitung nach 11 BDSG ); --- Untersuchte Organisation, Name, Anschrift, Standort; --- genaue Bezeichnung des Untersuchungsgegenstands, Abgrenzung zu den nicht auditierten Bereichen; --- Auditoren (Recht/Technik), Name, Anschrift; --- Zeitraum der Auditierung; --- Angewandte Methodik: --- z.b. Prüfung von Dokumenten des Auftraggebers, Führung von Mitarbeitergesprächen, Durchführung von Stichproben vor Ort (Site Visit) oder Plausibilitätstests; --- Grundlagen der Auditierung: --- eingesehene Dokumente; --- befragte Abteilungen/Arbeitsbereiche/Unternehmensorgane; --- Gegenstand der Stichproben; --- Ortsbesichtigung, Standort, Adresse, Dauer, Teilnehmer; --- Erklärung der Auditoren zur Unabhängigkeit und Unparteilichkeit; --- Kurzdarstellung des Untersuchungsgegenstands; --- Zusammenstellung des für den konkreten Auditgegenstand anwendbaren Prüfkriterien/Anforderungen; --- Auditergebnisse: --- Prüfung und Bewertung aller Prüfpunkte des Kriterienkatalogs; --- Votum des Auditors mit: --- Zusammenfassung der Auditergebnisse / Management Summary; --- Vorschlag an die Zertifizierungsstelle. Seite 18
19 6. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg. 6.1 Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unser Tätigkeiten, d.h. --- wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; --- unsere Zertifikate und Auditreports sind klar und verständlich formuliert; --- wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; --- wir benennen klar, wofür wir akkreditiert sind; --- wir lassen uns selber regelmäßig auditieren; --- wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Ver- Seite 19
20 traulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss Datenschutz Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz certifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt. 6.2 Akkreditierungen Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO akkreditierte Zertifizierungsstelle für ISO konforme Informationssicherheits-Managementsysteme und setzt das Zertifizierungsschema auch für das Zertifikat zur Auftragsdatenverarbeitung ein. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert und ist danach berechtigt, Evaluierungen gemäß Common Criteria (CC) durchzuführen. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein akkreditiert. Die Akkreditierung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte IT-Grundschutz-/ ISO Auditoren. 6.3 Kontakt datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen Tel.: Fax: office@datenschutz-cert.de Internet: Seite 20
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrKriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2
Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO
MehrKriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung von Datenschutzbeauftragten. datenschutz cert GmbH Version 1.0
Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung von Datenschutzbeauftragten datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung
MehrRechtlicher Rahmen für Lernplattformen
Rechtlicher Rahmen für Lernplattformen Johannes Thilo-Körner Plattlinger Str. 58a, 94486 Osterhofen, Mobil.: 0151 / 61 61 46 62; Tel.: 09932 / 636 13 66-0, Fax.: 09932 / 636 13 66-9 E-Mail: Johannes@Thilo-Koerner-Consulting.de,Web:
MehrKriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001. datenschutz cert GmbH Version 1.0
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001 datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung
MehrBeraten statt prüfen Betrieblicher Datenschutzbeauftragter
Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten
MehrDatenschutzvereinbarung
Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und
MehrWAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
MehrKriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 20000-1. datenschutz cert GmbH Version 1.1
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 20000-1 datenschutz cert GmbH Version 1.1 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und
MehrKriterienkatalog und Vorgehensweise für die Zertifizierung eines Penetrationstests. datenschutz cert GmbH Version 1.2
Kriterienkatalog und Vorgehensweise für die Zertifizierung eines Penetrationstests datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für die Zertifizierung eines
MehrDatenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)
Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte
MehrBeraten statt prüfen Behördlicher Datenschutzbeauftragter
Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich
MehrRechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrPersonal- und Kundendaten Datenschutz bei Energieversorgern
Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen
MehrPersonal- und Kundendaten Datenschutz in Werbeagenturen
Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von
MehrDatenschutz und Datensicherung (BDSG) Inhaltsübersicht
Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit
MehrDatenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
MehrAUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ
AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrVereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)
Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215
MehrDatenschutz und Systemsicherheit
Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrVerordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen
Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation
Mehrnach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).
Information zum Verfahren zur Anerkennung von rehabilitationsspezifischen Qualitätsmanagement- Verfahren auf Ebene der BAR (gemäß 4 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB
MehrPersonal- und Kundendaten Datenschutz im Einzelhandel
Personal- und Kundendaten Datenschutz im Einzelhandel Datenschutz im Einzelhandel Im Einzelhandel stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung von
MehrVereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)
Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit
MehrAnlage zur Auftragsdatenverarbeitung
Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrDatenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten
Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene
MehrAnlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel
Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrErläuterungen zum Abschluss der Datenschutzvereinbarung
Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH
MehrPersonal- und Patientendaten Datenschutz in Krankenhäusern
Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung
MehrGutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023. im Auftrag der 4U GmbH
Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software 0023 im Auftrag der 4U GmbH datenschutz cert GmbH Februar 2011 Inhaltsverzeichnis Gutachten
MehrVertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de
Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrBetriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000
Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung
MehrLEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001
LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001 ALLGEMEIN Eine Zertifizierung nach EN 16001 erfolgt prinzipiell in 2 Schritten: Prüfung der Managementdokumentation auf Übereinstimmung mit der Norm Umsetzungsprüfung
MehrAnlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7
Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems
MehrBayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken
in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
Mehr"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte
Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Meine Punkte Leistungsvertrag
MehrAllgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )
Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung ) Stand: Januar 2016 Vertragsbedingungen Kapazitätsübertragung Seite - 2 1 Gegenstand
MehrDDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de
DDV-SIEGEL Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen www.ddv.de Setzen Sie auf Nummer Sicher Die Adressdienstleister in den beiden DDV-Councils
MehrVerfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG
Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG 1 Allgemeines (Stand 17.04.2015) (1) Der Vorstand führt die Geschäfte der ICG nach Maßgabe der Gesetze, der Satzung und der
MehrAber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg
Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrAuftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)
Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) zwischen dem Teilnehmer am Abschlepp Manager - Auftraggeber - und Eucon GmbH Martin-Luther-King-Weg 2, 48155 Münster -Auftragnehmer-
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrDatenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013
Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing
MehrRechtliche Anforderungen an Cloud Computing in der Verwaltung
Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,
MehrAnforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers
Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de
Mehr... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt
Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,
MehrDatenschutzbeauftragte
MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist
MehrArbeitshilfen zur Auftragsdatenverarbeitung
Arbeitshilfen zur Auftragsdatenverarbeitung 1 Abgrenzung Die vorliegenden Excel-Tabellen dienen nur als Beispiel, wie anhand von Checklisten die datenschutzrechtlichen Voraussetzungen für die Vergabe einer
MehrMustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)
Verwaltungshandbuch Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165) Der folgende Vertrag soll der Vertragsgestaltung
MehrVerordnung über die Datenschutzzertifizierungen
Verordnung über die Datenschutzzertifizierungen (VDSZ) 235.13 vom 28. September 2007 (Stand am 1. April 2010) Der Schweizerische Bundesrat, gestützt auf Artikel 11 Absatz 2 des Bundesgesetzes vom 19. Juni
MehrAuftragsdatenverarbeiter: Darf s ein bißchen mehr sein?
Auditprozess beim Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein? Itella Information GmbH Klaus Martens QMB Datenschutzbeauftragter 1 04.11.2011 2011 Itella Information GmbH, Klaus Martens Itella
MehrAblauf einer Managementzertifizierung
Kundeninformation siczert Zertifizierungen GmbH Lotzbeckstraße 22-77933 Lahr - (+49) 7821-920868-0 - (+49) 7821-920868-16 - info@siczert.de SEITE 1 VON 7 Inhaltsverzeichnis 1. Allgemeines... 3 2. Ablauf
MehrDatenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrComputer & Netzwerktechnik. Externer Datenschutzbeauftragter
Computer & Netzwerktechnik Externer Datenschutzbeauftragter Zweck des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem
MehrSicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de
Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-
MehrZertifizierungsprogramm
Zertifizierungsprogramm Software-Qualität (Stand: Oktober 2004) DIN CERTCO Burggrafenstraße 6 10787 Berlin Tel: +49 30 2601-2108 Fax: +49 30 2601-1610 E-Mail: zentrale@dincertco.de www.dincertco.de Zertifizierungsprogramm
MehrForschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten
Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrLEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH VDA 6.X
LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH VDA 6.X ALLGEMEIN Eine Zertifizierung nach VDA 6.X erfolgt prinzipiell in 2 Schritten und kann nur in Verbindung mit der ISO 9001 Zertifizierung durchgeführt werden.
Mehr4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin
4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des
MehrWelche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?
Sehr geehrte Damen und Herren, liebe Eltern, Sie möchten Ihr Kind mit der Online-Anwendung kita finder+ in einer Kindertageseinrichtung oder einem Tagesheim anmelden. Hier erhalten Sie die wichtigsten
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrBSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH
zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,
MehrLGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink
LGA InterCert GmbH Nürnberg Exzellente Patientenschulung 05.06.2012 Inhaltsverzeichnis Kurzvorstellung LGA InterCert GmbH Ablauf Zertifizierungsverfahren Stufe 1 Audit Stufe 2 Audit Überwachungs- und Re-zertifizierungsaudits
MehrDatenschutz und Datensicherheit im Handwerksbetrieb
N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist
MehrTÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal
TÜV NORD Akademie Personenzertifizierung Informationen zur Zertifizierung von Qualitätsfachpersonal Informationen zur Zertifizierung von QM-Fachpersonal Personenzertifizierung Große Bahnstraße 31 22525
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
Mehrfür gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de
Rundfunkgebühren für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de 1. Rechtsgrundlage Personenbezogene Daten von Rundfunkteilnehmerinnen und Rundfunkteilnehmern z. B. Namen
MehrErfahrungen mit dem Datenschutzaudit in Schleswig-Holstein
Erfahrungen mit dem Datenschutzaudit in Schleswig-Holstein Barbara Körffer Dr. Thomas Probst Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel www.datenschutzzentrum.de Einführung von
MehrDatenschutz-Management
Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb
MehrDatenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits
Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrDatenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung
Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter
MehrInhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6
Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene
Mehrim Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh
Gutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig-Holstein (Re-Zertifizierung) für das IT-Produkt BackStor Datensicherung, Version 1.2 im Auftrag der Sachsen DV Betriebs-
MehrGeschäftsordnung zur Zertifizierung von Fachunternehmen für die Wartung von Kleinkläranlagen
DWA-Landesverband Sachsen/Thüringen Geschäftsordnung zur Zertifizierung von Fachunternehmen 1 Geltungsbereich Diese Geschäftsordnung gilt für das Verfahren zur Zertifizierung von Fachunternehmen für die
MehrAblauf einer Managementzertifizierung
Kundeninformation siczert Zertifizierungen GmbH Lotzbeckstraße 22-77933 Lahr - (+49) 7821-920868-0 - (+49) 7821-920868-16 - info@siczert.de SEITE 1 VON 7 Inhaltsverzeichnis 1. Allgemeines... 3 2. Ablauf
MehrAngenommen am 14. April 2005
05/DE WP 107 Arbeitsdokument Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien Angenommen
MehrAnlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag
Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen
MehrDer Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR
Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen
MehrPRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag
1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten
MehrHaftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten
Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur
MehrTechnische und organisatorische Maßnahmen der
Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrVernetzung ohne Nebenwirkung, das Wie entscheidet
Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de
MehrEIN C.A.F.E. FÜR DEN DATENSCHUTZ
EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische
MehrDok.-Nr.: Seite 1 von 6
Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
Mehr