Von der Sensibilisierung zum Datenschutzkonzept 21.04.2016 Stefan Bachmann INES IT www.ines-it.de
Zeitstrahl 2009 Údis \ interne Bestellung INES AG 2010 Externe Bestellungen 2011 2012 2013 2014 Datenschutzkonzept Industriekunde 2015 Konzept 2, Konzept 3, Konzept 4 2016 Konzept 5, Anfrage IT-Sicherheit
die Entstehung 2014 Datenschutzkonzept Industriekunde? 2014 Recherche \ Fragen in mein Datenschützer-Netzwerk Ergebnis Ein sehr erfahrener Kollege hat erst ein Konzept gesehen Es ist keine Zauberei Keine Vorgabe über Inhalt und Aufbau Begriff ist nicht definiert: Datenschutzkonzept, handbuch, organisation
mögliche Inhalte Kapitel 1 Wir nehmen Datenschutz ernst Kapitel 2 Wir haben einen DSB das sind seine Aufgaben Kapitel 3 Die Rechte der Betroffenen nehmen wir ernst Kapitel 4 Unsere Mitarbeiter werden regelmäßig geschult Kapitel 5 Technisch organisatorische Maßnahmen
1. Einleitung, Präambel Das Datenschutzkonzept der XY GmbH beinhaltet eine geordnete Darstellung der Maßnahmen, mit der die Anforderungen des Datenschutzes und der IT-Sicherheit im Unternehmen erfüllt werden. 2. Zweck für Was ist dieses Konzept gedacht 3. Vertraulichkeit keine Weitergabe ohne Einwilligung des Verfassers 4. Historischer Verlauf \ Version 1.0 02.04.2014, Version 2.0 Sie können hier auch den Änderungsgrund angeben \ in meiner kommenden Version werde ich ein eigenes Kapitel für diese Änderungen entwerfen
Anlagen Historischer Verlauf, Aktualisierungen Version 1.1 10.2015 5. Ausbildung certified ethical hacker Version 1.2 01.2016 7.1 Teilnahme des Datenschutzbeauftragten in der wöchentlichen Technikbesprechung Version 1.3 04.2016 TOM`s Weitergabekontrolle Implementierung private Cloud für sichere Datenzustellung
5. Verantwortlichkeiten \ Zuständigkeiten Verantwortliche Stelle Leiter der Datenverarbeitung IT-Sicherheitsbeauftragter Anlage: Bestellschreiben, Qualifikation Datenschutzbeauftragter Anlage: Bestellschreiben, Qualifikation 6. Zuständige Datenschutzaufsicht Kontaktdaten 7. Beteiligung des Datenschutzbeauftragten Unser Schwerpunkt, unsere Themen und Aufgaben
7. Beteiligung des Datenschutzbeauftragten 7.1 Schulung und Sensibilisierung a) Datenschutz Grundschulung b) Interner Datenschutz Newsletter c) Schwarzes Brett intern \ extern d) Datenschutz News Security Newsletter Xing Unternehmensplattform Facebook Page Autorenfunktion im BvD Blog Gerne können Sie unseren security Newsletter abonnieren. Senden Sie dazu einfach eine E- Mail an security@ines-it.de Schwerpunktthemen unter http://www.ines-ag.de/short/iezra Wöchentliche Technikbesprechung (neu)
7. Beteiligung des Datenschutzbeauftragten 7.2 Verpflichtung auf das Daten- und Fernmeldegeheimnis Anlage 7.3 Verpflichtung von Praktikanten auf Verschwiegenheit Anlage 7.4 Unternehmensrichtlinie Hard- und Software 7.5 Social Media Guideline Anlage 7.6 Eintritt \ Austritt von Mitarbeitern und Praktikanten
8. Verfahrensverzeichnis Anlage Musterverfahren http://freemind.sourceforge.net/ Basiert auf JAVA Systemsteuerung \ JAVA Control Panel
8. Verfahrensverzeichnis 8.1 Öffentliches Verfahrensverzeichnis Anlage 8.2 Vorabkontrolle nach 4d Abs.5
9. Auftragsdatenverarbeitung 9.1 Als Auftraggeber 9.2 Als Auftragnehmer Anlage: Muster ADV
Schaubild: https://datenschutz-berlin.de/attachments/808/535.4.3.pdf?1311923164 Datenschutzkonzept 10. Informationspflichten bei Datenpannen nach 42a BDSG
11. Technisch organisatorische Maßnahmen Das Datenschutzkonzept soll eine Darstellung der umgesetzten technisch organisatorischen Maßnahmen beinhalten. Treffen Sie eine Abwägung der Detailtiefe, um keine zu vertraulichen Informationen preiszugeben. Entscheiden Sie, ob Sie die Fragen selbst abarbeiten, oder die Unterstützung eines IT-Sicherheitsberaters einholen. Bei dieser Auditierung sollten Sie in jeden Fall die Sicherheitslücken dokumentieren. Im Idealfall, unterziehen Sie diese Sicherheitslücken einer Risikoanalyse und lassen diese priorisiert abarbeiten. Alle umgesetzten Maßnahmen werden neuer Bestandteil Ihres Konzeptes. Parallel dazu, erhöhen Sie die Sicherheit im Unternehmen signifikant.
11. Technisch organisatorische Maßnahmen Grundlagen für Ihren Fragenkatalog: Aufsichtsbehörde https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/baylda_checkli ste_datensicherheit.pdf Grundschutzkatalog https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/i nhalt/_content/m/m02/m02318.html?nn=6604938
1. Zutrittskontrolle Werkszaun Schließsystem Sicherheitszonen Videoüberwachung Besucher Reinigungspersonal Firmenausweis
2. Zugangskontrolle Authentifikation mit Benutzername und Passwort Automatische Bildschirmsperre mit Passwortschutz Passwort-Komplexität SSL-VPN-Technologie (Fernzugriff) MDM Verschlüsselung von mobilen Datenträgern Antivirensoftware Ausscheidende Mitarbeiter
3. Zugriffskontrolle Berechtigungskonzept Verwaltungsberechtigte Administratoren Gerätebasierte Administration Segmentierung der Netzwerke Inventarisierung Protokollierung von Zugriffen Penetrationstests Schutz vor unberechtigten Zugriff auf Backupdatenträger Backupdatenträger werden ausschließlich in gesicherten Bereichen (Bankschließfächer) gelagert.
4. Weitergabekontrolle SSL-VPN Technologie WLAN Transport von Datenträgern E-Mail Verschlüsselung Externer Datenaustausch Team- und Projektarbeit www.protonet.info
5. Eingabekontrolle Limitierte Zugriffsrechte Protokollierung der Eingabe, Änderung und Löschung von Daten Protokollierung Allgemein
6. Auftragskontrolle Auswahl geeigneter Auftragnehmer Auftragsdatenverarbeiter [ ] für den Auftragnehmer beinhaltet dies die Verpflichtung: ausschließlich Personal einzusetzen, dass auf Verschwiegenheit verpflichtet wurde die innerbetriebliche Organisation so zu gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird eine Trennung der INES-Daten von Daten anderer Kunden zu gewährleisten die notwendigen technischen und organisatorischen Maßnahmen zu treffen, um die Einhaltung der datenschutzrechtlichen Bestimmungen sicherzustellen Papierakten oder elektronische Daten von INES vor dem Zugriff Dritter zu schützen INES-Daten nach schriftlicher Weisung unwiderruflich zu löschen Besondere Vorkommnisse in Zusammenhang mit INES-Daten zu melden Eine schriftliche Genehmigung bei der Beauftragung von Unterauftragnehmern einzuholen Kontroll- und Auskunftsrechte gegenüber INES sicherzustellen
7. Verfügbarkeitskontrolle Unterbrechungsfreie Stromversorgung \ Notstromaggregat Brandschutz Klimaanlage Monitoring der Infrastruktur Netzwerkanbindung Backup- und Recoverykonzept Wiederherstellungstests Auslagern der Datensicherung
8. Trennungsgebot Logische Mandantentrennung Berechtigungskonzept Trennung von Netzen Trennung nach Funktion
Anlagen
Kontakt