EU DSGVO Umsetzung im Unternehmen:

Größe: px

Ab Seite anzeigen:

Download "EU DSGVO Umsetzung im Unternehmen:"

Linus Winkler
vor 6 Jahren
Abrufe

1 EU DSGVO Umsetzung im Unternehmen: Praxisbeispiel aus der Automobilzulieferer-Industrie Stephanie Langer IT Consultant N+P Informationssysteme GmbH Peter Liebing Vertriebs- und Marketingleiter digitronic computersysteme gmbh

2 Agenda Einleitung Kernpunkte DSGVO - Personenbezogene Daten 7 Kern-Fragen Verschlüsselung Geltung Anwendung Grundsätze Ziele der DSGVO Praxis Automobilzulieferer Vorteile einer Informationssicherheitszertifizierung Resümee 2

3 Personenbezogene Daten sind alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4, Ziffer 1 DSGVO) 4

4 Personenbezogene Daten sind Kundendaten Online Daten Kennnummern Bankdaten Allgemeine Personendaten Physische Merkmale Besitzmerkmale Gesundheitsdaten 5

5 7 Fragen? Wie und wo sind die personenbezogenen Daten gespeichert?? Wer hat eine Zugriffsberechtigung darauf?? Wie ist der Zugriff organisiert?? Werden die Zugriffe fälschungssicher abgelegt?? Sind die Daten verschlüsselt abgelegt und wo?? Wer hat Zugriff auf diese verschlüsselten Daten?? Welcher Sicherheitsschutz ist bereits installiert? 6

6 Artikel 32 Pseudonymisierung und Verschlüsselung personengebundener Daten. 7

7 Daten verschlüsseln, aber WIE? 8

nwnaalwu3nck291öönnliönbamaliei3n mclösidije45löü2pmxmakldmdmrbiulsi

8 slk238fjnllkdlo3lömxn35mölöckemri3 8KMMPSöäe4p5mckllsöer39mlao35mM Mlöl4io5jcmcÖÄspden4596Nljdouv49m claiodpocirmcöiepo30klököaiomljahrif nwnaalwu3nck291öönnliönbamaliei3n mclösidije45löü2pmxmakldmdmrbiulsi slk238fjnllkdlo3lömxn35mölöckemri3 8KMMPSöäe4p5mckllsöer39mlao35mM Mlöl4io5jcmcÖÄspden4596Nljdouv49m Geschäftsführer Administrator/Provider Mit HiCrypt 2.0 9

oder bestimmbaren natürlichen Person zuordnen lassen.

9 EU-DSGVO & BSI-KRITIS IT-Sicherheit: Art. 32 EU-DSGVO & A3.7 und A3.8 (BSI-KRITIS): Verschlüsselung und Authentisierung personengebundener Daten Personenbezogene Daten sind: alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. BSI-Gesetz 8: Betreiber Kritischer Infrastrukturen (KRITIS), ihre kritischen IT-Systeme, - Komponenten und -Prozesse durch angemessene Vorkehrungen absichern müssen Umsetzungsfristen zur Einhaltung von Mindeststandards für die IT- Sicherheit: EU-DSGVO KRITIS Aller 2 Jahre Re-Auditierung 10

10 Fiktiver Audit - Bogen der bayrischen Datenschutzaufsichtsbehörde: 11

11 Audits als Mittel zum Ziel ISO TS ISO Strategische und organisatorische Kriterien des Information- Schutzes (Verfügbarkeit, Integrität, Vertraulichkeit) Klassische Sicherheitsaspekte Prototypenschutz Technische Kriterien der IT-Systeme (Verfügbarkeit, Integrität, Vertraulichkeit) 12

12 Zwei Forderungen im Bereich Automotive Automobilhersteller fordern die Zertifizierung ihrer Zulieferer nach ISO und Prozessaudit nach VDA-ISA 3.0. Erhöhung der Sicherheit bei der Anmeldung an Geräten Schutz übergebener vertraulicher Daten vor Missbrauch Zwei-Faktor- Authentifizierung (2FA) eine passgenaue Absicherung der Daten (Verschlüsselung) Erhöhung der Produktsicherheit: z. B.: in der Prototypen-Entwicklung 13

Vorteile einer Informationssicherheitszertifizierung* anerkannte Standards werden eingehalten Pflicht bei Betreibern kritischer Infrastrukturen schafft Vertrauen beim

13 Vorteile einer Informationssicherheitszertifizierung* anerkannte Standards werden eingehalten Pflicht bei Betreibern kritischer Infrastrukturen schafft Vertrauen beim Kunden Basis der Volkswagen Partnerfirmenabnahme bietet Potential für Kosteneinsparungen führt zu sicheren Prozessen in der Organisation *Quelle: ITConcepts Automobile GmbH 14

ISO 27001 basierte Partnerfirmenabnahme* OEM Datenaustausch

Schutzbedarf ist abhängig vom Schadenspotenzial Bestimmung der

14 ISO basierte Partnerfirmenabnahme* OEM Datenaustausch Partner Sicherheitsniveau Es werden anerkannte Standards erwartet Schutzbedarf ist abhängig vom Schadenspotenzial Bestimmung der Auditanforderung Vertraulich Geheim *Quelle: ITConcepts Automobile GmbH 15

Self-Assessment Liste Prüfpunkte Nachweise Besprechung Ergebnis, ggf.

15 Ablauf der VW Partnerfirmenzertifizierung* VW Fachbereich initiiert Orga27 Partner startet Prozess, beauftragt Prüfgesellschaft Abnahme Vertraulich schriftlich/telefonisch Self-Assessment Liste Prüfpunkte Nachweise Besprechung Ergebnis, ggf. Auflagen Abnahme Geheim i.d.r. vor Ort Auditor Dauer: mindestens 3 Monate *Quelle: ITConcepts Automobile GmbH 16

16 Lebenszyklus und Beratungskompetenz* *Quelle: ITConcepts Automobile GmbH 17

17 Konsequenzen beim Nichtbestehen Dvfd,b.mfbdbbvn Dsvfdbgfmnklbblkdfbnlkgnbk älfgnlkgbnklgbnklgmbdf, m,- asmfmjiofdmnkldfhewnfmujciifgnkj fbnujtbgjänbnäklgbhoiurehgnkmd bklaerjgierijnklnfdbjoijehgdfflfmgerl glkbmrtkhtklhnölmtnlkfdnbewpo#0 th+#u9oerhinklädfig09rwthnkldbnn ujiohtklrtnh mk nlrknzhltjhjltjnctrjmi rtjn rwojötghaer-hgbjkbgör Dsvfdbgfmnklbblkdfbnl kgnbkälfgnlkgbnklgbn Ohne erweiterte IT-Sicherheit, kein Zertifikat! Ohne Zertifikat, kein Lieferantenstatus!!!! 18

18 Resümee Wer VDA ISA 3.0/ ISO zertifiziert ist, erfüllt bereits einen Teil der Anforderungen der DSGVO Aufklärung und Unterstützung ist notwendig Der 25. Mai 2018 kommt schneller als man denkt 19

Ähnliche Dokumente

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um? Entscheidend für den Erfolg der Umsetzung der EU-DSGVO ist der geschickte initiale Einstieg in die Fülle von erforderlichen