Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Transkript

1 Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte dar. Zweck des Datenschutzes ist es, Kunden, Mitarbeiter und sonstige Betroffene vor Beeinträchtigungen ihres Persönlichkeitsrechts beim Umgang mit ihren personenbezogenen Daten zu schützen. Datensicherheit bedeutet, dass alle für das Unternehmen wichtigen EDV-Systeme, die Software und Daten vor dem Verlust von Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität geschützt sind. Dieses Datenschutz- und Datensicherheitskonzept regelt verbindlich für e.consult und für alle dort Beschäftigten den sicheren Umgang mit Daten, Informationen, IT-Systemen, IT- Anwendungen und IT-basierten Abläufen. II. Verantwortlichkeiten bei e.consult Verantwortlich für den Datenschutz und die Datensicherheit ist die Geschäftsführung und der betriebliche Datenschutzbeauftragte. III. Rechtliche Rahmenbedingungen bei e.consult Allgemeine Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten ergeben sich aus den geltenden Gesetzen, insbesondere aus dem Bundesdatenschutzgesetz und dem Telekommunikationsgesetz. Die Daten von Kunden werden auf gesetzlicher Grundlage sowie auf Basis von Verträgen und Einwilligungserklärungen erhoben und verarbeitet. Der Umgang mit Mitarbeiterdaten erfolgt auf der Grundlage der Gesetze und auf der Basis von arbeitsvertraglichen Regelungen. IV. Dokumentation e.consult unterhält ein internes Verfahrensverzeichnis gemäß 4e Abs. 2 BDSG. Die Verantwortung für die Eingaben und die Vollständigkeit dieses Verfahrensverzeichnis liegt bei der Geschäftsführung. 1

2 Art und Umfang der Datenschutz- und Datensicherheitsmaßnahmen richten sich unter anderem nach der Schutzbedürftigkeit der jeweiligen personenbezogenen Daten. Diese stuft e.consult anhand eines Schutzstufenkonzeptes ein. V. Technische und organisatorische Maßnahmen Nach Maßgabe des Schutzstufenkonzeptes sind zur Gewährleistung des Datenschutzes wirksame technische und organisatorische Maßnahmen zu treffen. e.consult orientiert sich dabei an den im Gesetz in 9 BDSG festgelegten Kategorien, die aus Vertraulichkeitsgründen hier nur stark verkürzt wiedergegeben werden können: 1. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die Zutrittskontrolle am Sitz der e.consult AG sowie an den Server-Standorten genügt höchsten Ansprüchen. 2. Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Daten werden beim Betrieb der WebAkte außerhalb des DATEV-Rechenzentrums nicht gespeichert. Clientsysteme und sonstige lokale Systeme sind nur nach mindestens passwortgeschützter lokaler bzw. zentraler Authentifizierung nutzbar 2

3 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ein Berechtigungskonzept liegt vor. 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Die Daten beim Betrieb der WebAkte werden von Anwaltskanzleien bzw. Mandanten per ssl- Datenverschlüsselung in die Anwendung übertragen und sind auf entsprechendem Wege abrufbar. 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Administrationstätigkeiten bei der WebAkte (Anlegen von Benutzern, Ändern von Benutzerrechten etc.) werden protokolliert. 3

4 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Auftragnehmer sind und werden unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) ausgesucht. Diesen werden schriftliche Weisungen (z.b. durch Auftragsdatenverarbeitungsvertrag) i.s.d. 11 Abs. 2 BDSG erteilt. 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Verfügbarkeit wird in hohem Maße gewährleistet. 8. Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können Die getrennte Verarbeitung wird durch ein Berechtigungskonzept gewährleistet, welches durch Berechtigungsmechanismen exakt umgesetzt wird. 4

5 VI. Organisatorische Mindestregelungen 1. IT-Sicherheitskonzept e.consult verfügt über ein IT-Sicherheitskonzept. 2. Berechtigungskonzept e.consult verfügt über ein Berechtigungskonzept, welches den Aufbau und die Funktion der Vergabe sowie die Prüfung, Pflege und Entziehung von Berechtigungen bei ihren technischen Systemen regelt. 3. Datenschutzrechtliche Anforderungen e.consult bestellt einen externen betrieblichen Beauftragten für den Datenschutz, der bei seiner Tätigkeit der Geschäftsleitung unmittelbar unterstellt ist. Er ist in Ausübung seiner Tätigkeit weisungsfrei. Der Beauftragte für den Datenschutz wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen. Darüber hinaus hat er die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Datenschutzes und den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheit der Betroffenen aufweisen, unterliegen sie der vorhergehenden Prüfung ( Vorabkontrolle ). 4. Beschäftigte Jeder Mitarbeiter ist auf das Daten- und Fernmeldegeheimnis verpflichtet. Die Mitarbeiter werden regelmäßig geschult. Eine IT-Richtlinie fasst Verhaltensanweisungen, beispielsweise zum Umgang mit Passwörtern, zusammen. Die Einhaltung von Datenschutz und sicherheit wird durch gelegentliche unvermutete Kontrollen verifiziert. Stand 03/2015 5