Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Größe: px

Ab Seite anzeigen:

Download "Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg"

Katrin Brodbeck
vor 8 Jahren
Abrufe

1 Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

2 Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen Studien-Schwerpunkte; u. a.» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte Datenschutz und Informationssicherheit/ IT-Sicherheit in KMU Bestellter Datenschutzbeauftragter Leiter des Arbeitskreises Informationssicherheit (networker.nrw) Arbeitsgruppe Datenschutz (UNiTS) Missverständnisse, Halbwahrheiten, Vorurteile 2

» Organisation» Informationsmanagement Seit 2002 als Berater bei der Schwerpunkte Datenschutz und

3 Dienstleistungen der UIMC Hier den Name der Präsention eintragen // Referentenname 3

4 Lösungsansatz im Mittelstand/bei KMU!? Outsourcing von Diensten, Service, Support etc. Lösungsansatz und neuer Lösungsbedarf! Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 4

5 Informationssicherheit Zugriff auf vertrauliche Daten möglich Abhängigkeit von Externen im Vergleich zu eigenen Mitarbeitern:» andere Vertrauensbeziehung» andere Kontrollmöglichkeiten» indirektere Einflussmöglichkeiten Informationssicherheits-Managementsystem auf Dienstleister ausweiten! Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 5

Kontrollmöglichkeiten» indirektere Einflussmöglichkeiten

6 Datenschutz Outsourcing» Auslagern von Aufgaben an einen Dienstleister» Datenschutzrechtlich aber keine Auslagerung von Verantwortung möglich Auftragsdatenverarbeitung» Auftraggeber bleibt für Datenschutz verantwortlich» Liegt auch vor, wenn auch nur ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. [ 11 Absatz 5 BDSG] Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 6

verantwortlich» Liegt auch vor, wenn auch nur ein Zugriff auf personenbezogene Daten nicht

7 Anforderungen Konkrete Anforderungen an die Vertragsinhalte» u. a. technische und organisatorische Maßnahmen Kontrollverpflichtung des Auftraggebers vor der Auftragserteilung und sodann regelmäßig Dokumentationspflicht der Kontrolle Bußgeld-Bewehrung gemäß 43 Absatz 1 BDSG» nicht richtige, nicht vollständige oder nicht in der vorgeschriebenen Weise erfolgte Erteilung des Auftrags» kein Überzeugen vor Beginn der Datenverarbeitung über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 7

technische und organisatorische Maßnahmen Kontrollverpflichtung des Auftraggebers vor der Auftragserteilung und sodann regelmäßig

8 Hausaufgaben Existiert ein Überblick über alle Dienstleistungs- Verhältnisse? Klassifizierung und Priorisierung anhand» Datenkategorien» Dienstleistungsart» grundsätzlich: Kritikalität Welche Änderungen sind in den Verträgen/ Vereinbarungen umzusetzen?» Prüfung der bestehenden Verträge» (sofern erforderlich) Nachverhandlung bei Dienstleister Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 8

Kritikalität Welche Änderungen sind in den Verträgen/ Vereinbarungen umzusetzen?

9 Sich Überzeugen Wie sieht das Sich Überzeugen aus?» Vor-Ort-Überprüfung» Audit (auf Basis eines Interviews und von Dokumenten)» Beantwortung eines Fragebogens» Testat eines unabhängigen Sachverständigen» Selbst-Auskunft des Dienstleisters Erarbeitung eines Konzepts ( Wer schreibt, der bleibt ):» Verfahren / Vorgehensweise» Intervalle / Regelmäßigkeit» Dokumentationsart» Priorisierung / Umfang Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 9

eines unabhängigen Sachverständigen» Selbst-Auskunft des Dienstleisters Erarbeitung eines Konzepts ( Wer schreibt,

10 Neue Dienstleister Erarbeitung eines Pflichtenhefts für Ausschreibung» Abbildung der sorgfältigen Auswahl» Fokus auf TOMs nach 9 BDSG» insbesondere bei EDV-Dienstleistern ist ein ISMS nach ISO ebenfalls begrüßenswert Kombination mit Audit/Audit-Tool» ggf. Quantifizierung: Erreichung eines Mindestmaßes in SLA» aber: A fool with a tool remains a fool Erarbeitung eines (neuen) Vertragsmusters» Mindest-Inhalte einen Dienstleister-Vertrags» Integration des Datenschutzes in Beschaffungsprozesse Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 10

Quantifizierung: Erreichung eines Mindestmaßes in SLA» aber: A fool with a tool remains a fool Erarbeitung eines (neuen) Vertragsmusters»

11 Prüfung der Organisation/ISMS Verantwortlichkeiten Prozesse» Wertschöpfung ( Die Dienstleistung )» Eskalation/Meldewege ( Was passiert, wenn ) Sicherheitsmaßnahmen, u. a.» Berechtigungen (Zutritt, Zugang, Zugriff)» IT-Sicherheit (Virenschutz, Firewall, Verschlüsselung)» Sub-Unternehmen (Zugang, Verträge, Audits)» Verfügbarkeit (Backup, Wartung, Vernichtung) Arbeitsanweisungen, Verpflichtungen, Schulungen Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 11

» Berechtigungen (Zutritt, Zugang, Zugriff)» IT-Sicherheit (Virenschutz, Firewall, Verschlüsselung)» Sub-Unternehmen

12 Auditierungs-/Prüfgrundlage Gemäß ISO und/oder BDSG Best Practice Vollständige Prüfung des Status quo Dokumentation» der Bemühungen durch anerkannte Norm» der Ordnungsmäßigkeit des IT-Systems Zugriff auf ein praxisbewährtes Instrumentarium Neutrale Bewertung Strukturierung der Maßnahmenplanung durch Priorisierung Interne Promotion des IT-Sicherheitsgedankens durch quantitative Auswertung Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 12

praxisbewährtes Instrumentarium Neutrale Bewertung Strukturierung der Maßnahmenplanung durch Priorisierung Interne

13 Ich habe keine Lust, jede Woche ein Kunden-Audit bei uns im Haus zu haben! (Datenschutzbeauftragter eines Systemhauses) Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 13

14 Zertifizierung / Siegelung Benchmark zum State of the art» Maßstab, ob die ergriffenen Maßnahmen ausreichend sind Reduzierung der Haftungsrisiken» Best-Practice als Sicherheitsfaktor Gedanke des Qualitätsmanagement» Wer schreibt, der bleibt!» Dokumentation der Qualität als Marketing-Aussage Verbesserung der Compliance-Situation» Sicherstellung der Einhaltung von rechtlichen Vorgaben Last, but not least:» praxiserprobtes Vorgehen Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 14

» Dokumentation der Qualität als Marketing-Aussage Verbesserung der Compliance-Situation» Sicherstellung der Einhaltung von

15 Konsequenzen Auftraggeber ( verantwortliche Stelle )» sorgfältige Auswahl des Dienstleisters» Vertragsabschluss mit normierten Inhalten» Prüfung/Audit vor Dienstleistungsbeginn» Regelmäßige Nach-Auditierung Auftragnehmer» Aufbau einer Datenschutz-Organisation» Dokumentation der technischen und organisatorischen Maßnahmen» Vorbereitung auf mögliche Prüfungen/Audits Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 15

Nach-Auditierung Auftragnehmer» Aufbau einer Datenschutz-Organisation» Dokumentation der technischen und

16 Fazit zu den Anforderungen schriftliche Verträge mit konkreten Inhalten (z. B. gemäß 11 BDSG) Prüfung / Kontrolle des Dienstleisters» nicht nur einmalig, sondern regelmäßig (Kontrolldruck!?)» Dokumentation der Kontrolle rechtlich eigene Prüfung vor Ort nicht zwingend erforderlich» Auditierung / Testierung des Dienstleisters möglich» ISO gute Voraussetzung, aber im konkreten Fall nicht ausreichend (Einzelfallprüfung!) Kontrolle aber auch aus Eigennutz sinnvoll» Vertrauen ist gut, Kontrolle ist besser! Seien Sievorbereitet als Auftraggeber und -nehmer Ohne Dienstleister geht es nicht!? Aber doch bitte (recht(s-)) sicher! 16

?)» Dokumentation der Kontrolle rechtlich eigene Prüfung vor Ort nicht zwingend erforderlich» Auditierung / Testierung des Dienstleisters möglich» ISO 27001

17 Fragen?? Fragen? Diskussion?? consultants[at]uimc.de (0202) Hier den Name der Präsention eintragen // Referentenname 17

18 Vielen Dank! UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße Wuppertal Telefon: (0202) Telefax: (0202) Internet: UIMCert GmbH Moltkestraße Wuppertal Telefon: (0202) Telefax: (0202) certification@uimcert.de Internet: akkreditiert durch: Hier den Name der Präsention eintragen // Referentenname 18

Ähnliche Dokumente

Missverständnisse, Fehlinterpretationen im Datenschutz bergen Risiken. Tim Hoffmann IT-Trends Sicherheit 22.04.2015 Bochum

Missverständnisse, Fehlinterpretationen im Datenschutz bergen Risiken. Tim Hoffmann IT-Trends Sicherheit 22.04.2015 Bochum Missverständnisse, Halbwahrheiten und Vorurteile Fehlinterpretationen im Datenschutz bergen Risiken Tim Hoffmann IT-Trends Sicherheit 22.04.2015 Bochum Referent Tim Hoffmann Wirtschaftswissenschaften an