Datenschutz Informationssicherheit Compliance

Transkript

1 Datenschutz Informationssicherheit Compliance Anforderungen, Risiken und Lösungsansätze Thomas Schneider Dipl.-Informatiker, Wirtschaftsinformatik Datenschutzbeauftragter (TÜV), Externer Datenschutzbeauftragter (TÜV), Datenschutz-Auditor (TÜV)

2 Wer ist ORGATEAM? ORGATEAM GmbH ist ein Beratungsunternehmen im IT-Umfeld Kern-Themen Datenschutz Compliance Informations-Sicherheit Energie-Effizienz Rechenzentrums-Planung Strategieberatung Governance Risiko-Management

3 Philosophie Beratung auf Augenhöhe

4

5 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Wie schützen wir unser Unternehmen vor Daten-Klau und sonstigen wirtschaftlichen Schäden?

6 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Begriffe abgrenzen: Datenschutz Datensicherheit IT-Sicherheit Informationssicherheit Compliance

7 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Datenschutz Schutz vor missbräuchlichem Umgang mit personenbezogenen Daten. Nicht Schutz der Daten, sondern Schutz des informellen Selbstbestimmungsrecht einer natürlichen Person! Grundlage in Deutschland: Bundesdatenschutzgesetz (BDSG) etc. Gesetzliche Vorgabe für Unternehmen Achtung: privat <> personenbezogen <> persönlich

8 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Personenbezogene Daten sind Name, Adresse, Geburtsdatum, Telefonnummer -Adresse (geschäftlich, privat) Personalausweisnummer Einzelangaben (Geschlecht, Titel, Größe, Geb.datum, ) Freunde, Hobbies, Interessen, Nutzerverhalten Verbindungsdaten, IP-Adresse, Seitenverlauf, Browser und Betriebssysteminformationen Bewerbungsunterlagen, Personalakten Fotos von Personen Familienverhältnisse (verheiratet, Kinder, ) Krankheiten, Therapiepläne, Eigentumsverhältnisse Vertragliche Verhältnisse zu Dritten

9 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Datensicherheit Schutz von Daten vor Verlust, Verfälschung, Beschädigung oder Löschung durch organisatorische und technische Lösungen sowie durch Software. Dies betrifft alle schützenswerten Daten im Unternehmen.

10 Datenschutz und Informationssicherheit in mittelständischen Unternehmen TOM Knowhow des Unternehmens kaufmännische Daten technische Daten steuerrelevante s Mitarbeiter-Bilder Private s, privates Internet Vernichten von Dokumenten mit personenbezogenen Daten Weitergabe von Kundendaten

11 Datenschutz und Informationssicherheit in mittelständischen Unternehmen IT-Sicherheit Schutz der IT-Systeme vor dem unberechtigten Zugriff. Schutzziele sind: Vertraulichkeit: Verbergen der Informationen vor Unberechtigten Integrität: Schutz vor unerlaubter Veränderung Verfügbarkeit: Schutz vor Zerstörung etc.

12 Datenschutz und Informationssicherheit in mittelständischen Unternehmen IT-Sicherheit Umsetzung i.d.r. durch technische Maßnahmen wie: Firewall Virensoftware u.ä. Passwort-Schutz Zugriffsrechte Verschlüsselung Redundante Systeme Datensicherung

13 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Informationssicherheit Erweitert die IT-Sicherheit um Daten, die in nicht digitaler Form vorliegen und beschäftigt sich neben der IT auch mit den Prozessen, Menschen, Organisation etc. Beispiel: ISO 27001

14 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Compliance Regeltreue und Regelkonformität eines Unternehmens. Regeln können dabei aus folgenden Quellen stammen: Rechtliche Vorgaben Vertragliche Vorgaben Vorgaben von Verbänden Eigene Regelungen (z.b. Richtlinien, Betriebsvereinbarungen etc.)

15 Gesamtheitlicher Ansatz Datenschutz Informations- Sicherheit Geschäfts- Prozesse Applikationen GRC (Governance, Risk, Compliance) Infrastruktur IT

16 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Risiken Durch das Abhören, Diebstahl, Verlust und Zugriff auf sensible Unternehmensdaten und personenbezogene Daten Knowhow-Verlust bzw. Transfer zur Konkurrenz Angebote, Aufträge, Preise, werden Dritten bekannt Anbahnung von Geschäftsbeziehungen Strategien und Pläne Wirtschaftlicher Schaden Rechtliche Anforderungen nicht erfüllt (z.b. BDSG) Strafen gemäß 43, 44 BDSG Schadensersatz-Ansprüche Image-Schaden Versicherungs-Ausfall (grobe Fahrlässigkeit)

17 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Schlagwörter Internet Telefonie Smartphone und BYOD Mobile Geräte NSA-Affäre Cloud -Archivierung ECM/DMS Recht am eigenen Bild Webseite

18 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Grundlagen für Vermeidung der Risiken BDSG: Anlage (zu 9 Satz 1) BSI: IT-Grundschutz ISO 27001

19 Datenschutzmaßnahmen Technische und organisatorische Maßnahmen TOM (Anlage zu 9) Zutrittskontrolle Gebot der Datentrennung Zugangskontrolle Auftragskontrolle 9 (3) BDSG Zugriffskontrolle Verfügbarkeitskontrolle Weitergabekontrolle Eingabekontrolle

20 Datenschutz und Informationssicherheit in mittelständischen Unternehmen Vorgaben an den Datenschutz Rechtskonforme Bestellung eines DSB Verpflichtung der Mitarbeiter auf das Datengeheimnis Unterweisung der Beschäftigten Verfahrensverzeichnisse Vereinbarungen zur Auftragsdatenverarbeitung (ADV) Vorabkontrolle durch den DSB Prozesse für Auskunft Prozess bei Datenschutzvorfall Prüfen der Verfahren durch den DSB

21 Pragmatischer Ansatz Risiko-Betrachtung

22 Vorgehensweise Datenschutz-IST-Analyse Ist-Aufnahme vor Ort Bewerten der Ergebnisse Priorisieren Handlungsempfehlungen Ergebnis-Präsentation Datenschutz-Projekt Mitarbeiter-Unterweisung Verpflichtungen (Datengeheimnis, Sozialgeheimnis, 203 StGB) Verfahrens-Verzeichnisse Auftragsdatenverarbeitung Prozesse für Vorabkontrolle, ADV-Vereinbarungen, Rechtskonforme Homepage, Dokumente, Umsetzung von Maßnahmen für die Datenschutz-Konformität wie Entsorgung, Begutachtung, Einweisung von Datenschutz-Koordinatoren bzw. Assistenten Datenschutz-Betrieb Bestellung eines Datenschutzbeauftragten (ggf. bei Projektstart) Prüfung der Verfahren Begutachtung der technischen und organ. Maßnahmen (TOM) Vorabkontrolle, ADV-Begutachtung, Regelmäßige Unterweisung der Mitarbeiter Beratung in Datenschutz-Fragen

23 Aufgabenverteilung Externer Datenschutzbeauftragter (DSB) (ggf. weitere externe Person von ORGATEAM als Redundanz) Datenschutz-Koordinator (DSB) (interner Mitarbeiter, z.b. aus GF oder IT-Leiter) Vorteile: Effizienz durch Koordination intern Kostensenkung Klare Kommunikationswege Erhöhung des Datenschutz-Niveaus

24 Was tun?

25 Affekt-Handlung: Schnell einen internen DSB bestellen notwendige Fachkunde vor Bestellung erwerben! Interessenskonflikt mit sonstiger Position! In seiner Tätigkeit weisungsfrei und (finanzielle) Rechte Bestellung kann nicht widerrufen werden! praktisch Kündigungsschutz auf Lebenszeit!

26 Lösung: Prüfen: interne oder externe Bestellung Sprechen Sie mit uns!

27 Lösung: Schritt-1: IST-Analyse Handlungsbedarf ermitteln und priorisieren

28 Lösung: Schritt-2: Projekt

29 Lösung: Schritt-3: Betreuung Datenschutz-Betreuung durch einen externen Datenschutzbeauftragten

30 Vorgehensweise Datenschutz-IST-Analyse Ist-Aufnahme vor Ort Bewerten der Ergebnisse Priorisieren Handlungsempfehlungen Ergebnis-Präsentation Datenschutz-Projekt Mitarbeiter-Unterweisung Verpflichtungen (Datengeheimnis, Sozialgeheimnis, 203 StGB) Verfahrens-Verzeichnisse Auftragsdatenverarbeitung Prozesse für Vorabkontrolle, ADV-Vereinbarungen, Rechtskonforme Homepage, Dokumente, Umsetzung von Maßnahmen für die Datenschutz-Konformität wie Entsorgung, Begutachtung, Einweisung von Datenschutz-Koordinatoren bzw. Assistenten Datenschutz-Betrieb Bestellung eines Datenschutzbeauftragten (ggf. bei Projektstart) Prüfung der Verfahren Begutachtung der technischen und organ. Maßnahmen (TOM) Vorabkontrolle, ADV-Begutachtung, Regelmäßige Unterweisung der Mitarbeiter Beratung in Datenschutz-Fragen

31 ORGATEAM - Ansprechpartner Thomas Schneider Dipl.Inf., Prokurist Thomas Weik Ass. jur. Dr. Rainer Harwardt Dr. rer. nat. Eric Kummer Datenschutz-Auditor (TÜV) Compliance Officer (TÜV) Datenschutzbeauftragter (TÜV) IT-Sicherheitsbeauftragter (TÜV) Telefon +49 (7805) Fax +49 (7805) tschneider@orgateam.org Telefon +49 (7805) Fax +49 (7805) tweik@orgateam.org Telefon +49 (7805) Fax +49 (7805) rhardwardt@orgateam.org Telefon +49 (7805) Fax +49 (7805) ekummer@orgateam.org