Bearbeitungs- und Prüfungsleitfaden Datenschutz & IT-Sicherheit Neue Herausforderungen für die Interne Revision und den Datenschutzbeauftragten von Banken uind Sparkassen aufgrund der jüngsten BDSG-Novellen und der aktuellen MaRisk Bearbeitet von Michael Borchert, Andreas Kirsch, Andreas Kolb, Björn Toemmler 1. Auflage 2010. Buch. 280 S. Hardcover ISBN 978 3 940976 28 4 Format (B x L): 14,8 x 21 cm Wirtschaft > Finanzsektor & Finanzdienstleistungen: Allgemeines > Bankwirtschaft schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.
Inhaltsverzeichnis Abschnitt 1: Interne Überwachung der automatisierten Verarbeitung personenbezogener Daten 1 I. Personalwirtschaftliche Beurteilung der Aufgaben des Datenschutzbeauftragten (DSB) 3 II. 1. Wesentlicher Bestandteil des Internen Kontrollsystems 3 1.1. Fundstellen 3 1.2. Wesentlicher Inhalt 3 1.3. Checkliste 6 1.4. Praktikerhinweise 6 2. Zur Rolle als Datenschutzbeschwerdestelle in 4f BDSG 7 2.1. Fundstellen 7 2.2. Wesentlicher Inhalt 7 2.3. Checkliste 10 2.4. Praktikerhinweise 10 3. Positionierung gegenüber Geschäftsleitung und Mitarbeitern 10 3.1. Fundstellen 10 3.2. Wesentlicher Inhalt 11 3.3. Checklisten 12 3.4. Praktikerhinweise 12 Bewertung der Voraussetzungen für die erforderliche Fachkunde des DSB 13 1. Mitgestaltung an datenschutzrelevanten Regelwerken 13 1.1. Fundstellen 13 1.2. Wesentlicher Inhalt 13 1.3. Checkliste 15 2. Informations- und kommunikationstechnische Kenntnisse 15 2.1. Fundstellen 15 2.2. Wesentlicher Inhalt 16 2.3. Checkliste 16 2.4. Praktikerhinweise 17 VII
III. IV. 3. Kenntnisse über datenschutzrelevanten Geschäftsprozesse 17 3.1. Fundstellen 17 3.2. Wesentlicher Inhalt 17 3.3. Checkliste 18 3.4. Praktikerhinweise 18 Kontrollhandlungen zur ordnungsgemäßen Anwendung der DV-Programme 19 1. Datenverarbeitung in einem externen Rechenzentrum 19 1.1. Fundstellen 19 1.2. Wesentlicher Inhalt 19 1.3. Checklisten 22 1.4. Praktikerhinweise 23 2. Institutsinterne Datenverarbeitungsanlage 24 2.1. Fundstellen 24 2.2. Wesentlicher Inhalt 24 2.3. Checkliste 25 2.4. Praktikerhinweise 25 3. Standardsoftwareprogramme auf dem PC 26 3.1. Fundstellen 26 3.2. Wesentlicher Inhalt 26 3.3. Checkliste 26 3.4. Praktikerhinweise 27 Geschäftsbereichsspezifische Schulung und Unterweisung der Mitarbeiter 28 1. Einholung einer Verpflichtungserklärung 28 1.1. Fundstellen 28 1.2. Wesentlicher Inhalt 28 1.3. Checkliste 30 1.4. Praktikerhinweise 30 2. Datenschutzspezifische Regelungen im Intranet 31 2.1. Fundstellen 31 2.2. Wesentlicher Inhalt 31 2.3. Checkliste 33 2.4. Praktikerhinweise 34 VIII
3. Datenschutzrichtlinien in Ergänzung zu Arbeitsanweisungen 34 3.1. Fundstellen 34 3.2. Wesentlicher Inhalt 34 3.3. Checkliste 36 3.4. Praktikerhinweise 36 V. Prüfung der Zulässigkeitsvoraussetzungen bei der Erhebung, Speicherung, Veränderung und Übermittlung von Daten 37 VI. 1. Fundstellen 37 2. Wesentlicher Inhalt 37 3. Checkliste 39 4. Praktikerhinweise 40 Überwachung der Löschung bzw. Sperrung personenbezogener Daten 41 1. Fundstellen 41 2. Wesentlicher Inhalt 41 3. Checkliste 42 4. Praktikerhinweise 42 VII. Benachrichtigung des Betroffenen 43 1. Fundstellen 43 2. Wesentlicher Inhalt 43 3. Checkliste 45 3. Praktikerhinweise 46 VIII. Regelungen zur Auskunftserteilung an den Betroffenen 46 IX. 1. Fundstellen 46 2. Wesentlicher Inhalt 46 3. Checkliste 48 4. Praktikerhinweise 48 Erstellung und Führung eines internen Verfahrensverzeichnisses 49 1. Fundstellen 49 IX
2. Wesentlicher Inhalt 49 3. Checkliste 50 4. Praktikerhinweise 51 X. Anlässe für die Vorabkontrolle 51 1. Fundstellen 51 2. Wesentlicher Inhalt 51 3. Checklisten 52 4. Praktikerhinweise 52 XI. Bewertung von Akquisitionsdateien 53 1. Fundstellen 53 2. Wesentlicher Inhalt 53 3. Checkliste 55 4. Praktikerhinweise 55 Abschnitt 2: Technische und organisatorische Maßnahmen zur Einhaltung besonderer Vorgaben für Datenschutz/ -sicherheit 57 I. Einführung 59 II. Besondere Maßnahmen zur Zutrittskontrolle 62 1. Festlegung der Zutrittsberechtigung zu Hardware- Komponenten 62 1.1. Einleitung 62 1.2. Wesentliche Anforderungen 63 1.3. Checkliste 64 1.4. Risiken 73 1.5. Praktische Empfehlungen 74 2. Zutrittsregelungen für bestimmte Personengruppen und für Ausnahmesituationen 74 2.1. Einführung 74 2.2. Wesentliche Anforderungen 74 2.3. Checkliste 75 2.4. Risiken 79 2.5. Praktische Empfehlungen 79 X
3. Einsatz von Zufallsuntersuchungen 80 3.1. Einführung 80 3.2. Wesentliche Anforderungen 80 3.3. Checkliste 81 3.4. Risiken 83 3.5. Praktische Empfehlungen 84 III. Benutzerkontrolle der Datenverarbeitungssysteme 84 1. Überwachung der Zugangsberechtigungen 84 1.1. Einführung 84 1.2. Wesentliche Anforderungen 85 1.3. Checkliste 85 1.4. Risiken 94 1.5. Praktische Empfehlungen 95 2. Passwort-Identifikation des Benutzers 95 2.1. Einführung 95 2.2. Wesentliche Anforderungen 96 2.3. Checkliste 96 2.4. Risiken 102 2.5. Praktische Empfehlungen 103 IV. Maßnahmen zur Zugriffskontrolle 104 1. Beschränkung des Zugriffs auf den erforderlichen Umfang (Need-To-Know-Prinzip) 104 1.1. Einführung 104 1.2. Wesentliche Anforderungen 104 1.3. Checkliste 106 1.4. Risiken 111 1.5. Praktische Empfehlungen 111 2. Laufende Aktualisierung der Zugriffsberechtigungen 112 2.1. Einführung 112 2.2. Wesentliche Anforderungen 113 2.3. Checkliste 113 2.4. Risiken 116 2.5. Praktische Empfehlungen 116 3. Protokollierung der Zugriffe und Auditierung von Benutzerrechtezuweisungen 117 XI
3.1. Einführung 117 3.2. Wesentliche Anforderungen 117 3.3. Checkliste 119 3.4. Risiken 122 3.5. Praktische Empfehlungen 122 4. Abgrenzung der dem Betriebsprüfer vorzulegenden steuerlich relevanten Daten 123 4.1. Einführung 123 4.2. Wesentliche Anforderungen 123 4.3. Checkliste 124 4.4. Risiken 126 4.5. Praktische Empfehlungen 127 V. Weitergabekontrolle personenbezogener Daten 128 1. Klassifizierung der Datenträger nach Schutzbedarf 128 1.1. Einführung 128 1.2. Wesentliche Anforderungen 128 1.3. Checkliste 129 1.4. Risiken 131 1.5. Praktische Empfehlungen 131 2. Richtlinien für die Durchführung von Transfers 132 2.1. Einführung 132 2.2. Wesentliche Anforderungen 132 2.3. Checkliste 133 2.4. Risiken 136 2.5. Praktische Empfehlungen 137 3. Überprüfung der Identität der Empfänger 137 3.1. Einführung 137 3.2. Wesentliche Anforderungen 137 3.3. Checkliste 139 3.4. Risiken 140 3.5. Praktische Empfehlungen 140 VI. Kontrollen bei der Auftragsdatenverarbeitung 141 1. Vorgaben für eine zweckmäßige Betriebsorganisation 141 1.1. Einführung 141 1.2. Wesentliche Anforderungen 141 XII
1.3. Checkliste 142 1.4. Risiken 147 1.5. Praktische Empfehlungen 148 2. Verbindliche Festlegung sämtlicher Arbeitsabläufe 148 2.1. Einführung 148 2.2. Wesentliche Anforderungen 149 2.3. Checkliste 150 2.4. Risiken 151 2.5. Praktische Empfehlungen 152 3. Überwachung der Einhaltung von Arbeitsanweisungen 152 3.1. Einführung 152 3.2. Wesentliche Anforderungen 152 3.3. Checkliste 154 3.4. Risiken 157 3.5. Praktische Empfehlungen 157 VII. Verfügbarkeitskontrolle 158 1. Einführung 158 2. Wesentliche Anforderungen 159 3. Checkliste 160 4. Risiken 165 5. Praktische Empfehlungen 166 Abschnitt 3: Umsetzung, Prüfung und Beurteilung des internen IT-Sicherheitsmanagements 167 I. Zielstellung und Aufbau dieses Abschnittes 169 II. Umsetzung, Prüfung und Beurteilung des internen IT- Sicherheitsmanagements 170 1. Prüfungsumfeld 170 1.1. Bedeutung 170 1.2. Zwischenfazit 173 1.3. Checkliste 173 2. Prüfung und Beurteilung von IT-Umfeld und -Organisation 174 2.1. Strategienpyramide 174 XIII
2.2. Checkliste 176 2.3. IT-Organisation 177 2.4. Checkliste 183 3. Einzubeziehende Bereiche 186 3.1. IT-Risikomanagement auf Gruppenebene 186 3.2. Checkliste 188 4. Abgleich der Geschäftsprozesse mit Organisationsrichtlinien und Prozessbeschreibungen 189 4.1. Prüfungsvorgehen 189 4.2. Checkliste 190 5. Funktionstrennung mittels Kompetenzregelungen und Bearbeitungsvermerke 193 5.1. Beachtenswerte Aspekte bei der Umsetzung der Funktionstrennungen, Kompetenzregelung und Bearbeitungsvermerke 193 5.2. Checkliste 193 6. Prüfung des Unsicherheitsfaktors Mensch (Anwendungsfehler, Manipulation) 194 6.1. Problemskizzierung 194 6.2. Checkliste 196 7. Ad-hoc-Prüfung von Teilen des IKS durch Mitarbeiter unterschiedlicher Bereiche 197 7.1. Nur eine Aufgabe der Revision? 197 7.2. Checkliste 198 III. Überprüfung und Beurteilung infrastruktureller IT-Risiken 199 1. Risikenaufnahme 199 1.1. Prüfungshandlungen 199 1.2. Zwischenfazit 200 1.3. Checkliste 201 2. Schutzfunktionen an Schnittstelle zwischen IT-Infrastruktur und Internet 202 2.1. Ausgangslage 202 2.2. Zwischenfazit 205 2.3. Checkliste 205 3. Beschränkung der Zugriffsrechte 206 XIV
IV. INHALTSVERZEICHNIS 3.1. Grundsätzliches 206 3.2. Checkliste Beschränkung der IT-Zugriffsrechte 207 4. Prüfung und Beurteilung des IT-Notfallkonzepts 208 4.1. Grundsätzliche Anforderungen an eine IT- Notfallkonzeption 208 4.2. Zwischenfazit 211 4.3. Checkliste 211 5. Sicherung der IT-Infrastruktur durch projektbegleitende Prüfungen 212 5.1. Zielsetzung 212 5.2. Checkliste 213 Prozessbegleitung und Prüfung für die Entwicklung und den Einsatz von IT-Anwendungen 213 1. Organisatorische Rahmenbedingungen 213 1.1. Einführung 213 1.2. Checkliste 215 2. Standardisierte Verfahren zur Veränderung der IT- Anwendungen/IT-Systeme 216 2.1. Change-Management als zentraler Ansatzpunkt 216 2.2. Checkliste 219 3. Festlegung der Kriterien für Zeitpunkt, Art und Umfang von Prüfungshandlungen 221 3.1. Festlegung des Rahmens der Begleitung/Prüfung 221 3.2. Checkliste 224 4. Prüfung der Programmentwicklung, Verfahren zur Bewertung und Auswahl von (zu erwerbenden) Programmen 224 4.1. Idealtypischer Ablauf 224 4.2. Checkliste 230 5. Information der Geschäftsleitung bei schwerwiegenden Bedenken gegen den Programmeinsatz 233 5.1. Ziel der Projekt-/Prozessbegleitung 233 5.2. Checkliste 234 V. Auslagerung von IT-Systemen sowie IT-gestützten betrieblichen Funktionen 234 XV
1. Rahmenbedingungen 234 1.1. Einführung 234 1.2. Checkliste 237 2. Integration der Kontroll- und Steuerungskreisläufe des Outsourcingnehmers in das IT-Sicherheitsmanagement des Outsourcinggebers 238 2.1. Integrationserfordernis von outgesourcten Bereichen in die Unternehmenssteuerung 238 2.2. Checkliste 241 3. (Teil-) Outsourcing der besonders unternehmenskritischen IT-Sicherheit 241 3.1. IT-Sicherheitsmanagement outsourcen? 241 3.2. Checkliste 242 4. Technisch-organisatorische Anforderungen unter Datenschutz- und Datensicherheitsaspekten 243 4.1. Grundsätze 243 4.2. Checkliste 244 Abschnitt 4: Datenschutzaudit nach 9a BDSG 247 I. Datenschutzaudit nach 9a BDSG 249 1. Sichtung und Begutachtung der Unterlagen 250 1.1. Checkliste 252 1.2. Checkliste 252 1.3. Checkliste 252 1.4. Checkliste 253 2. Auditierung vor Ort 253 3. Bewertung und Analyse 255 4. Abschlussmeeting 256 5. Nach dem Audit ist vor dem Audit 257 6. Prüfung durch die Aufsichtsbehörde 257 7. Prüfung durch die Aufsichtsbehörde 258 XVI
II. Prüfungen der Innenrevision 259 1. Datenschutz und Revision 259 2. Praktische Empfehlungen 260 Literaturverzeichnis 263 XVII