IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

Transkript

1 IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

2 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 1

3 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 2

4 Auftragsdatenverarbeitung 1/4 1. Verarbeitung durch einen Dritten (Auslagerung von Hilfsfunktionen); Verlängerte Werkbank der verantwortlichen Stelle (Herr der Daten). Ist ausdrücklich erlaubt, aber das Datenschutzniveau soll dadurch nicht gemindert werden, 11 BDSG. 2. Eine Auftragsdatenverarbeitung ist qua Gesetz keine Übermittlung an Dritte und bedarf daher keiner Einwilligung des Betroffenen (Ausnahme: Auftragsdatenverarbeitung außerhalb der EU). 3. Abgrenzung zum echten Outsourcing (Stichwort: Funktionsverlagerung). Folie 3 3

5 Auftragsdatenverarbeitung 2/4 Neu: Anforderung an schriftliche Auftragserteilung Vorabprüfung und regelmäßige laufende Prüfung Bußgeldandrohung Voraussetzungen für Auftragsdatenverarbeitung: 1. Verantwortlich für die Daten bleibt der Auftraggeber. 2. Pflicht zur sorgfältigen Auswahl und Überprüfung der Datensicherheit ( 9 BDSG und Anlage dazu). 3. Schriftliche Auftragserteilung (i.d.r. Geschäftsbesorgung/- Werkvertrag mit Inhalt nach 11 (1) BDSG). 4. Bestimmte im Gesetz vorgegebene vertragliche Regelungen. 5. Weisungsgebundenheit des Auftragnehmers. 6. Hinweispflicht des Auftragnehmers. Folie 4 4

6 Auftragsdatenverarbeitung 3/4 Muss-Inhalt eines Auftrags (verkürzt): Gegenstand und Dauer Art der Daten, Technische und organisatorische Maßnahmen Pflichten des AN, insbesondere Kontrollen Kontroll- und Weisungsrechte des AG Rückgabe von Daten und Löschung bei Beendigung Umfang, Art, Zweck der Verwendung, Kreis der Betroffenen Berichtigung, Löschung und Sperrung von Daten Berechtigung zur Beauftragung von Sub-AN Duldungs- und Mitwirkungspflichten des AN Pflicht zur Mitteilung von Verstößen durch AN Folie 5

7 Auftragsdatenverarbeitung 4/4 Prüfung durch AG Gegenstand: Einhaltung der technisch-organisatorischen Maßnahmen. Zeitpunkt: vor Auftragserteilung und dann regelmäßig. Nachweis: Dokumentation der Prüfergebnisse. Keine Übergangsregel für Altaufträge sowohl für schriftliche Auftragserteilung als auch für die Prüfung Konsequenz? Bußgeldandrohung: Mangelnde Auftragserteilung oder Vorabprüfung bis EUR und mehr. Folgerungen für die Praxis: Erweiterung/Anpassung schriftlicher Aufträge / Vorabprüfung bei neuen Aufträgen und bei wesentlichen Änderungen alter Aufträge. Folie 6

8 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 7

9 Änderung von Bedrohungsverhalten Folie 8

10 Änderung von Bedrohungsverhalten Früher: Hacker - böse, eitel und öffentlichkeitsgeil Heute: Industriespion böse, geldgierig und im Hintergrund Früher: Eindringen ins Netzwerk und Publikation Heute: Eindringen ins Netzwerk und Stille Risiken: Datenverlust Datenmanipulation Datenspionage (!) Know-How-Verlust, Kapitalverlust, Unternehmenswert Folie 9

11 Sensibilisierung für Sicherheit Bedrohungspotential am Arbeitsplatz Beispiele: Shoulder Surfing Clear Desk Policy Social Engineering Umgang mit Passwörtern Umgang mit s, Links, etc. Besucherregelung. Sensibilisierung der Mitarbeiter für Sicherheit! Folie 10

12 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 11

13 Vorgehensweise bei Datenverlust ( 42 a BDSG) 1. Prüfung: Sensible Daten: besondere Daten? Berufsgeheimnis? Strafbare Handlungen oder Ordnungswidrigkeit? Bank- oder Kreditkartenkonten? Verlust: Gehackt? Gestohlen? Untreue? Aus Versehen offengelegt? Besondere Gefahr für Betroffene? 2. Maßnahmen: Leck schließen. Beweise sichern. Unverzügliche und ausführliche Information der Behörde. Information der Betroffenen, sobald Strafverfolgung nicht mehr gefährdet, mit Empfehlungen zum Schutz. Alternativ: halbseitige Anzeige in zwei überregionalen Tageszeitungen oder Ähnliches. Folie 12

14 Risiken bei Datenschutzverstößen Ordnungswidrigkeiten Bußgeld für einfache Verstöße bis EUR , für schwerere Verstöße bis EUR Freiheits- und Geldstrafe (Antragsdelikt) bis zwei Jahre bei schweren Verstößen mit Vorsatz oder Bereicherungs- oder Schädigungsabsicht. Reputationsrisiken Management-Haftung Folie 13

15 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 14

16 Datenschutz und IT: Verschlüsselungssysteme Gewährleistung von Datensicherheit und Vertraulichkeit: Mobile Datenträger (z.b. Laptops, USB-Sticks, etc.) Datenkommunikation ( ) Daten und Datenbanken im Unternehmen (F&E, Personal, etc.) Verschlüsselungstechnologien Hohe Sicherheit Einfache und schnelle Handhabung (auch für Laien) Nahtloses Integration in bestehende IT-Systeme Zentrale Verwaltung Jederzeit Zugriff auf geschützte Daten von berechtigten Personen Einfache Unterstützung bei Passwortverlust Folie 15

17 Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten und Security Awareness 3. Vorgehensweise und Risiken bei Datenverlust ( 42 a BDSG) 4. Datenschutz und IT: Der Beitrag moderner Verschlüsselungssysteme 5. Handlungsempfehlungen für die Praxis! Folie 16

18 Handlungsempfehlungen: IT-Recht Bestandsaufnahme Datenschutz-Compliance zur Feststellung des gegebenenfalls erforderlichen Handlungsbedarfs. Neue Risikoeinschätzung im Hinblick auf derzeit ausgenutzte "Graubereiche". Handlungsoptionen mit Kostenbetrachtung. First steps first. Prozesse zur Einhaltung der Datenschutz-Compliance aufsetzen. Dokumentation. Folie 17

19 Handlungsempfehlungen: IT-Security Termin mit Sicherheitsexperten Rangreihe von Maßnahmen entwickeln: Was ist zu tun? Was ist wann zu tun? Erfüllung gesetzlicher Auflagen! Periodische Revision der IT-Sicherheit und der zugrundeliegenden Policies Aktualität (Updates, Patches, ) Mitarbeitersensibilisierung Folie 18

20 Folie 19

21 Vielen Dank für Ihre Aufmerksamkeit Dr. Oliver Hornung Rechtsanwalt SKW Schwarz Telefon Rechtsanwälte Telefax Mörfelder Landstraße Frankfurt am Main Dr. Michael Kollmannsberger Geschäftsführer Protea Networks Telefon Systemhaus für IT-Security Telefax Grimmerweg 6 kollmannsberger@proteanetworks.de Unterhaching Michael Seele Geschäftsführer Protea Networks Telefon Systemhaus für IT-Security Telefax Grimmerweg 6 seele@proteanetworks.de Unterhaching Folie 20