WAS VERLANGT DAS GESETZ?



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Nutzung dieser Internetseite

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Internet- und -Überwachung in Unternehmen und Organisationen

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz und IT-Sicherheit

Ansätze für datenschutzkonformes Retina-Scanning

Datenschutz und Schule

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Vertrauen ist gut, Kontrolle ist besser. Datenschutz in der Arztpraxis


Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Selbstauskunft. Tiroler Bauernstandl GmbH Karin Schützler Eurotec-Ring Moers Deutschland. Foto. Name:

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Die neue Datenträgervernichter DIN 66399

Die Umsetzung von IT-Sicherheit in KMU

Datenschutz der große Bruder der IT-Sicherheit

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Vernichtung von Datenträgern mit personenbezogenen Daten

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Informationssicherheitsmanagement

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Gästeverwaltung. Gästestammdaten. Gäste verwalten. Hotelsoftware für Klein- und Mittelbetriebe

4 Ideen zur Verbesserung des -Marketings!

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Die beiden Seiten der Medaille beim -Marketing

Bestandskauf und Datenschutz?

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

15 Social-Media-Richtlinien für Unternehmen!

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Drei Fragen zum Datenschutz im. Nico Reiners

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

GPP Projekte gemeinsam zum Erfolg führen

teamsync Kurzanleitung

Das digitale Klassenund Notizbuch

Technische und organisatorische Maßnahmen der

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Hinweise zum Datenschutz, Einwilligungs-Erklärung

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Internet/ Was darf der Arbeitnehmer, was darf der Arbeitgeber?

Statuten in leichter Sprache

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Erfahrungen mit Hartz IV- Empfängern

STRATO Mail Einrichtung Mozilla Thunderbird

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Kirchlicher Datenschutz

Praxistipps für eine effektive Büro - Organisation von Gisela Krahnke

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Schul-IT und Datenschutz

Weisung zur Videoüberwachung an der Pädagogischen Hochschule Zürich

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Dann zahlt die Regierung einen Teil der Kosten oder alle Kosten für den Dolmetscher.

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

Urheberrecht. Ansprüche bei Urheberrechtsverletzungen. Allgemeine Studien Dr. Ulf Müller 6. Vorlesung

Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts

Benutzerhandbuch - Elterliche Kontrolle

Anleitung Postfachsystem Inhalt

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Tag des Datenschutzes

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Der Milliarden-Effekt: Wie Sie mit intelligenter Zustellung automatisch immer mehr sparen.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Vorbereitung auf die SEPA-Umstellung

Dokumentation zur Versendung der Statistik Daten

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Elektronischer Kontoauszug

ASDI Benchmarking Projekt. Anleitung zum Datenexport

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Projektmanagement in der Spieleentwicklung

Transkript:

Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1

Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Verweis in die Anlage zu 9 Satz 1 Anlage zu 9 Satz 1 Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), [ ] 2

Normen zur IT-Sicherheit WIE BERÄT DER IT-PROFI? Auswahl einer Norm aus dem Normensalat ISO 27001 internationale Norm Schwerpunkt: Management der IT- Sicherheit Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71 IT-Grundschutz nationale Norm Kochbuch 3

Vorgehensweise im IT-Grundschutz 1. Phase Initiierung Verantwortlichkeiten festlegen, Datenschutz-Leitlinie erstellen 2. Phase Strukturanalyse Aufnahme der IT-Infrastruktur (IT-Systeme, Benutzer, Standorte, Anwendungen) 3. Phase Schutzbedarfsfeststellung Festlegung von Schutzklassen, Festlegung des Schutzbedarfs für die Infrastruktur 4. Phase Modellierung Modellierung eines Ideal-Unternehmens 5. Phase Basis-Sicherheitscheck Soll-Ist-Vergleich mit dem Ideal-Unternehmen 6. Phase Realisierung Umsetzung der geplanten Maßnahmen - Projektplan Inventarisierung der IT-Infrastruktur (Strukturanalyse) Muster-Unternehmen: Im Unternehmen verfügen 23 Mitarbeiter (MA) über einen Zugriff auf Arbeitsplatzrechner /Zugriff auf personenbezogene Daten Ein Facility Manager 20 MA zur Abwicklung von Bestellungen (Großraumbüro) Zwei MA im Rechnungs-/Personalwesen (vorbereitende Tätigkeiten) Jeder MA ist mit einem Zugriff auf E-Mail ausgestattet 4

Bildung von Schutzstufen Schutzstufen: normal hoch sehr hoch Einteilung erfolgt in fünf Dimensionen Quelle: IT-Grundschutz-Profile, Anwendungsbeispiel für den Mittelstand Ermittlung des Schutzbedarfs Muster-Unternehmen: 1 MA bestellt per E-Mail (hier: Facility Manager ) Keine personenbezogenen Daten 20 MA versenden Angebote/Aufträge per E-Mail an Kunden (Abteilung Akquise) Personenbezogene Daten des Auftraggebers 2 MA übermitteln Daten aus der LoBu/FiBu an den StB Achtung: 42a BDSG 5

Auswahl der Maßnahmen Quelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Umrechnung Maßnahmen DS-Kontrollzielen Zutaten zum Rezept IT-Sicherheit IT-Maßnahmen im Ideal-Unternehmen 6

DS-Maßnahmen im Ideal-Unternehmen DS-Maßnahmen im Ideal-Unternehmen für die Phase Betrieb 7

Basissicherheitscheck (Soll-Ist-Abgleich) Fragestellung: Welche Maßnahmen sind umgesetzt (Klassen: ja, nein, teilweise, entbehrlich)? Sind die ergriffenen Maßnahmen wirkungsvoll? Welche Maßnahmen sollen von wem bis wann umgesetzt werden ( Projektplan)? Achtung: Bei den Sicherheitsstufen hoch und sehr hoch können auch zusätzliche Maßnahmen notwendig sein (Ergebnis einer Entscheidung des Management) Achtung: Zusätzliche Maßnahmen können sich auch aus Service Level Agreements (SLA) ergeben. E-Mail: Auswahl von Maßnahmen nach Schutzklasse (Auszug) Virenscanner Facility Manager Gruppe Akquise Gruppe FiBu/LoBu X X X Beseitigung von Restinformationen Festlegung der Komm.Partner Alternative: Verschlüsselung X X X X Arbeitsanweisung: Gruppe Akquise und Gruppe FiBu/LoBu dürfen keine Word-Dokumente wiederverwenden. Dokumente müssen immer für jedes neue Angebot/neuen Auftrag neu erstellt werden. Gruppe LoBu/FiBu dürfen das Adressfeld einer E-Mail nicht selber ausfüllen. Adressen müssen aus dem Adressbuch übernommen werden. 8

Konflikte: Protokollierung, Telekommunikationsgeheimnis RECHTLICHE ASPEKTE BEACHTEN! Rechtliche Anforderungen an E-Mails E-Mails sind Geschäftsbriefe! Pflichtangaben bei Geschäftsbriefen beachten Rechtssichere E-Mail-Archivierung Disclaimer Disclaimer sind Quatsch 9

Kontrolle von Internet, E-Mail Kontrolle von Internet, E-Mail 10

Grundsätze Unterscheidung, ob private Nutzung erlaubt ist oder nicht entscheidet, ob der ArbG Telekommunikationsanbieter ist! Bei Erlaubnis: ArbG ist Telekommunikationsanbieter: TK-Recht, 88 TKG (h.m.) (keine Vorratsdatenspeicherung, 113a TKG, da die Dienstleistung nicht öffentlich zugänglich) Grundsätze Privatnutzung verboten E-Mails wie Geschäftspost: Kontrolle vollumfänglich möglich Kontrolle zur Einhaltung des Verbots zur Privatnutzung nur Stichproben! Internet: Kontrolle zur Einhaltung des Verbots zur Privatnutzung keine permanente Überwachung Privatnutzung erlaubt Kontrolle der E-Mails ist nicht erlaubt (ü.m.) aber: Rspr. im Verwaltungsrecht: BVerfG: lediglich der Übertragungsweg ist geschützt (BVerfG v. 2.3.2006, VGH Kassel v. 19.5.2009 6 A 2672/08) Internet: Keine Kontrolle der besuchten Seiten 11

Kontrolle von E-Mails Privatnutzung verboten Datum, Beginn, Ende Überprüfung auf Viren ist möglich Unterdrückung von Anhängen ist möglich Empfänger darf erfasst werden Inhaltskontrolle ist möglich Empfehlung, den ArbN darauf hinzuweisen nur Stichprobenkontrolle Privatnutzung erlaubt ArbG als Telekommunikationsanbieter; Ausnahmen von 88 TKG: zu Abrechnungszwecken (Zeit, Dauer, Sender, Empfänger) Missbrauchskontrolle nur bei tatsächlichen Anhaltspunkten ( 102 Abs. 3 TKG) Kontrolle der Inhaltsdaten ist grds. Verboten auch z.b. bei Pornographie; Aufgabe der Staatsanwaltschaft (str.) Folgen rechtswidriger Überwachung durch ArbG Strafbarkeit des ArbG 202a StGB Ausspähen von Daten (str.) 206 StGB - Verletzung des Post- oder Fernmeldegeheimnisses Achtung: greift auch, wenn ArbG Spamfilter einsetzt und Nachrichten dadurch unterdrückt werden und dem Empfänger nicht zugestellt werden können. 303a StGB Datenveränderung Rechtswidrige Datenlöschung oder Veränderung (Spam- und Virenfilter) Lösung : Einwilligung des ArbN Problem: Kündigungsschutzprozess 12

Folgen rechtswidriger Überwachung durch ArbG Verwertung im Prozess eingeschränkt Kein generelles Verwertungsverbot (BAG Spindkontrolle ) Verwertungsverbot besteht bei gravierenden Eingriffen in das allg. Persönlichkeitsrecht, z.b. heimliche Videoüberwachung Schadensersatz und Schmerzensgeld Datenschutzmanagement PDCA-Zyklus B 1.5 Datenschutz M 7.5: IT-Grundschutz- Kataloge unternehmensindividuelle Umsetzung ausgewählter Maßnahmen 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback