Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Transkript

1 Musterfirma Musterstraße Musterort Ralf Bergmeir Verfahrensverzeichnis nach 4g BDSG (Bundesdatenschutzgesetz) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Anlage Nr.: 23 (für jedes Verfahren automatisierter Verarbeitung ist eine separate Anlage zum Hauptblatt auszufüllen) Zu den Ziffern [5] - [17] beachten Sie bitte die Ausfüllhinweise. Sollte der vorhandene Platz nicht ausreichen, fügen Sie bitte ein gesondertes Blatt mit den Angaben bei. Adresse wird vom Hauptblatt übernommen. Verantwortliche Stelle [5] Firmenname Musterfirma Musterstraße Musterort 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung Abschnitt wird über das gemeinsame Eingabeblatt Daten werden zentral auf Servern, lokal auf PC s und Notebook s abgelegt Personalwesen, Mitarbeiterverwaltung, Kundenverwaltung, Finanzbuchhaltung, Controlling, Marketing, Vertrieb, Außendienstmitarbeiter Speicherung und Transport personenbezogener Daten auf mobilen Speichermedien (USB-Speicherstifte / USB-Sticks) 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 1 von 9

2 5. Betroffene Personengruppen und Daten oder Datenkategorien 5.1 Beschreibung der betroffenen 5.2 Beschreibung der diesbezüglichen Personengruppen [7] Daten oder Datenkategorien [8] Mitarbeiter, Bewerber, Praktikanten Kunden, Lieferanten, Handwerker, Dienstleister, Behörden sowie deren Ansprechpartner Interessenten Es werden nur personenbezogene Daten zur Sicherstellung des entsprechenden Bearbeitungsvorganges verarbeitet. 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; bei Datentransfers in Drittstaaten siehe Nr. 8 [9] Kunden, Interessenten, Lieferanten, Behörden, Mitarbeiter 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 2 von 9

3 7. Regelfristen für die Löschung der Daten Zeitraum 10 Jahre Datenart oder Datenkategorie 6 Jahre Handels- und Geschäftsbriefe sowie für sonstige Unterlagen (HGB, BGB) 4 Jahre Jahresabschlüsse, Eröffnungsbilanzen, Handels- und Geschäftsbücher, Aufzeichnungen, Arbeitsanweisungen, Organisationsunterlagen, Rechnungen und Buchungsbeleg (HGB, AO, EStG, KStG, GewStG, UStG, AktG, GmbHG, GenG) Überprüfung gemäß 35 Abs. 2 Nr. 4 BDSG 8. Geplante Datenübermittlung in Drittstaaten [11] [12] 8.1. Name des 8.2. Kategorien von Empfängern 8.3. Art der Daten oder Drittstaates Kategorien von Empfängern Datenkategorie nicht vorgesehen nicht vorgesehen nicht vorgesehen 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 3 von 9

4 Interner Teil für den/die Beauftragte/n für den Datenschutz(nach 4g Abs. 2 BDSG) 9. Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen 9.1. Art der eingesetzten DV-Anlagen und Software [14] Server mit RAID-System, Streamer, USV, Windows 2003, Windows 2008 Client mit Windows XP, Windows 7 und Citri; VM-Ware ist zur Virtualisierung von diversen Servern im Einsatz; USB-Sticks mit Passwortabfrage, Fingerprint-Scanner, Verschlüsselung, Diebstahlschutz (USB-Sticks befestigt über spezielle Ketten) 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 4 von 9

5 9.2. Maßnahmen nach 9 BDSG i. V. m. der Anlage dazu [15] Zutrittskontrolle Abschließbare Behältnisse (Schränke) zur Aufbewahrung der USB-Sticks Liste der Mitarbeiter mit Schlüssel zum Aufbewahrungsschrank (siehe Beiblatt) Zugangskontrolle USB-Sticks mit Passwortabfrage, Fingerprint-Scanner, Diebstahlschutz (USB-Sticks befestigt über spezielle Ketten) USB-Schnittstellen: Kontrolle durch Einsatz von DLP-Lösungen (Data Loss Prevention) 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 5 von 9

6 Zugriffskontrolle Verschlüsselung, geschlossene Bereiche, Passwortabfrage und bei höherem Schutzbedarf Finger-Print-Sensor Festlegung von benutzerabhängigen Bereichen auf USB-Sticks mit jeweils eigenem Passwort (und bei Bedarf Unterscheidung mehrerer Finger-Prints) DLP-Lösungen zur Protokollierung des Anschlusses von USB-Sticks an USB-Schnittstellen, wobei einzelne Sticks und Schnittstellen unterschieden werden könne Weitergabekontrolle Liste aller Datentransporte mit USB-Sticks, dazu eindeutige Kennzeichnung der einzelnen Sticks und Zuordnung zu Benutzern Sichere Datenlöschung und physikalische Vernichtung defekter oder nicht mehr benötigter USB-Sticks Verschlüsselung, Passwortabfrage, ggf. Finger-Print-Prüfung 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 6 von 9

7 Eingabekontrolle DLP-Lösung überwacht alle Aktivitäten im Netzwerk mit USB-Sticks Schreibschutz, Kopierschutz, Passwortabfragen bei USB-Sticks Auftragskontrolle Anforderungen an sicheren Transport (Verschlüsselung USB-Stick) und dokumentierte Übergabe nach Identitätsprüfung beim Empfänger Kontrolle der Transport- und Übergabeverfahren des Transportdienstleisters 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 7 von 9

8 Verfügbarkeitskontrolle Regelmäßige, automatische Backups, Schattenkopien aller Dateien, die auf USB-Sticks kopiert werden Trennungsgebot getrennte USB-Sticks für Daten, die zu jeweils anderen Zwecken erhoben wurden Suchfunktionen dürfen geschlossene Bereiche auf USB-Sticks, die jeweils für einen anderen Zweck erhoben wurden, nicht berühren (verschlüsselte Ordner auf USB-Sticks) Kontrolle der datenschutzgerechten Protokollierung der USB-Aktivitäten (Bitte alle erforderlichen Punkte ankreuzen. Sind zu einem der vorstehenden Punkte keine Maßnahmen zu treffen, brauchen dort keine Angaben gemacht zu werden.) 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 8 von 9

9 10. Zugriffsberechtigte Personen und/oder Personengruppen je Datenart oder Datenkategorie (vgl.[8] ) mit Zugriffsrecht (vgl. [16] ) X = Vollzugriff R = Nur Lesend W/R = Schreibend und Lesend O = Nur auf die eigenen Dateien Datenart oder Datenkategorie [8] Zugriffsberechtigte Personen oder Personengruppen [16] siehe - Beiblatt - Gruppenrichtl. Musterort, Ort Datum Unterschrift 10_Verfahrensverzeichnis_ ls USB-Sticks und Datentransport Seite 9 von 9