Datenschutz Auditierung

Ähnliche Dokumente
EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Betriebliche Organisation des Datenschutzes

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Datenschutz in Schulen

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Auftragsdatenverarbeitung

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Wir schaffen Vertrauen

SES Durchführung von Audits vor Ort

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenverarbeitung im Auftrag

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Umsetzung der MAAS-BGW für IQMP-Reha als Vorbereitung für die erfolgreiche Zertifizierung

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Datenschutz muss nicht trocken sein

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"

Vertragsanlage zur Auftragsdatenverarbeitung

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

Datenschutzaudit. Einhaltung gesetzlicher. Datenschutz. Copyright DQS GmbH. DQS GmbH

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Die Kombination von Medizinprodukten. SystemCheck

Datenschutz und IT-Sicherheit an der UniBi

Zertifizierung gemäß ISO/IEC 27001

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Stellung und Aufgaben der Aufsichtsbehörden nach der DS-GVO und EuGH-Rechtsprechung

Datenschutz-Grundverordnung

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Auditierung und Zertifizierung in der Pharmakovigilanz DQS-Systemaudits des Pharmakovigilanz-Systems

GEFMA FM-Excellence: Lösungen für Betreiberverantwortung im Facility Management

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Auditprogramm für die Zertifizierung. von Qualitätsmanagementsystemen. in Apotheken

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Selbstbewertung Fremdbewertung Chancen, Risiken und Nebenwirkungen von Zertifizierungen QEP-Aktuell

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

EINFÜHRUNG 3. Was ist ein Audit? 3 BEDEUTUNG DES QUALITÄTSMANAGEMENTS EIN EXKURS 4. Kundenorientierung 5. Zielorientierung 5. Prozessorientierung 6

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Deutsche Übersetzung des IAF Dokumentes IAF MD 4:2008

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Vorschlag der Bundesregierung

Ihr Logo. Was ist ein Audit? Audit. Auditnachweise. Auditkriterien

MEHr SICHErHEIT FÜr IHr UNTErNEHMEN. DUrCH DATENSCHUTZ UND IT- SICHErHEIT. ehs_prospekt.indd

Musterhandbuch Audit. nach DIN EN ISO 19011:2011. ISBN Auflage 1

Leitlinie für die Informationssicherheit

Informationen zur AZAV-Zulassung

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

Datenschutz in der Marktund Sozialforschung

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH BRC (GLOBAL STANDARD-FOOD)

Workshop - Governance, Risk & Compliance - Integration durch RSA Archer

ISO 2700 und seine Auswirkungen auf die IT oder: Die Standards kommen. Jürgen Müller Berufsakademie Gera

QM-Handbuch. der. ReJo Personalberatung

Datenschutz beim Umgang mit Datenbanken


Praktischer Datenschutz

Dateiverweis: P:\Qualitätsmanagement\QMS_TUI\Vorschrift_Interne Audits\Vorschrift_Interne_Audits_ doc Erstellt/Geprüft

Ihre externen Datenschutzbeauftragten

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten

Alle Neuerungen auf einen Blick

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Privacy Conference Datenschutzverordnung & Privacy Shield

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Datensicherheit. Datenschutz-Forum Schweiz. Dr. Esther Hefti, CLCC 5 Datenschutzbeauftragte / Archivierungsverantwortliche der Credit Suisse Juni 2005

QS 1 QS-Initialisierung. QS 3 Ergebnisprüfung vorbereiten. QS 4 Ergebnis prüfen. Prüfprotokoll. QS 5 Durchführungsentscheidung

Einführung und erfolgreiche Zertifizierung eines Energiemanagementsystems in der Stadtwerke Strausberg GmbH

Praktischer Datenschutz

Thementag Cloud Computing Datenschutzaspekte

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich?

DE 098/2008. IT- Sicherheitsleitlinie

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar Torsten Trunkl

Ansätze für datenschutzkonformes Retina-Scanning

Datenschutz in der Anwaltskanzlei

Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT- Sicherheit, Geschäftsmodelle und den Datenschutz

Ultraschallprüfung an einem Eisenbahnrad. 2. Normative Grundlagen und Richtlinien für die Tätigkeit der fachlich zuständigen Stelle

Anforderungen zum Auditoren-Pool. für das

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Nicht dem Zufall überlassen: Datenschutz Datenschutzmanagement als Basis für zuverlässigen Auftragsdatenschutz

Informationen zum Datenschutzaudit durch dbc Sachverständige

Umweltmanagementsystem & Energiemanagementsystem

Notes Datenbanken HB OF, Risikomanagement

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Bayerisches Landesamt für Datenschutzaufsicht

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Die geänderten Anforderungen an die Gefährdungsbeurteilung nach der Änderung der BetrSichV

Fragen &Antworten HACCP. Antworten auf die häufigsten Fragen. aus der Praxis. D. UIlmer BEHR'S...VERLAG

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Transkript:

IT-Sicherheitsrechtstag 2017 Gemeinsame Veranstaltung von TeleTrusT und BvD Berlin, 07.11.2017 Datenschutz Auditierung Jörg Schlißke TÜV Informationstechnik GmbH

Datenschutz Auditierung Datenschutz Auditierung im Kontext zur EU-DSGVO Jörg Schlißke, Produktmanager Datenschutzqualifizierung Business Security & Privacy

INHALT 1. Über TÜViT 2. Audit 3. Datenschutz Audit 4. Datenschutz Audit nach der EU DS-GVO 5. Umsetzung Audit 6. Datenschutz Zertifizierung 2

Über uns 3

VERTRAUEN IST DER GRUNDSTEIN UNSERES HANDELNS TÜViT schafft Vertrauen in Technik, Funktion und Betrieb von IT-Systemen und IT-Prozessen durch objektive Prüfung und Zertifizierung sowie Beratung arbeitet hersteller- sowie produktneutral und unabhängig von Interessengruppen entwickelt, verkauft oder integriert keine Produkte ist mit über 100 Mitarbeitern weltweit tätig in den Bereichen IT-Sicherheit, IT-Qualität, Datenschutz und Zertifizierung 4

TÜViT IN DER TÜV NORD GROUP TÜV NORD AG Geschäftsbereich Industrie Service Geschäftsbereich Mobilität Geschäftsbereich Rohstoffe Geschäftsbereich Bildung Geschäftsbereich Aerospace Geschäftsbereich IT Konzernservice TÜV NORD Systems TÜV NORD Mobilität DMT TÜV NORD Bildung ATN TÜViT TÜV NORD Service weitere Gesellschaften weitere Gesellschaften weitere Gesellschaften weitere Gesellschaften weitere Gesellschaften weitere Gesellschaften 5

UNSERE THEMEN, WAS UNS ANTREIBT IT-Sicherheit und -Qualität unabhängig geprüft Security4Safety Cyber Security Automotive Security Industrie 4.0: Vernetzung braucht Sicherheit Prüfung von IT- Systemen/Netzwerken und Applikationen Das sichere "Connected Car" Mobile Security Mobile Sicherheit durch "Trusted Mobile" Siegel Datenschutz Aus der "Pflicht" eine "Kür" machen KRITIS Umsetzung der Vorgaben aus IT- Sicherheitsgesetz Sicherheitsevaluierungen Schutz von sensitiven Daten für Hard- und Software eidas Elektronische Signaturen und Siegel Data Center Security 300+ Zertifikate für sichere Rechenzentren 6

IT SERVICES ÜBER ALLE EBENEN Organisation Systeme Komponenten Informationssicherheits-Management Datenschutz (externer Datenschutzbeauftragter) Projekt- und Qualitätsmanagement Prozessverbesserung Netzwerk- und Applikationssicherheit Webanwendungen Rechenzentren Mobile Security Sicherheitsanalysen und -konzepte Datenschutz-Qualifizierung Produktevaluationen nach Common Criteria Validierungstests nach FIPS140-2 Tests und Sicherheitsanalysen im Hardware-Labor Bewertungen nach Bankenspezifikationen Konformitätsprüfungen 7

Audit 8

AUDIT Ein Audit ist "systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und deren objektiver Auswertung, um zu ermitteln, inwieweit die Auditkriterien erfüllt sind." (Quelle: ISO 19011, Leitfaden zur Auditierung von Managementsystemen) Daraus ergeben sich folgende Anforderungen: Systematischer Prozess Unabhängigkeit der Auditoren Dokumentierter Prozess Erlangung von Auditnachweisen Objektive Auswertung Feststellung Auditschlussfolgerung ob diese erfüllt sind Grundlage ist in allen Fällen die Notwendigkeit, Abweichungen von Anforderungen (IST vom SOLL) zu erkennen und Verbesserungen herbeizuführen. 9

AUDIT Kategorisierung von Audits in: interne Audits Ziel: Erbringung von Nachweisen für eigene Zwecke, z.b. IT-Sicherheit, Umsetzung gesetzlicher Anforderungen, Überprüfung der technischen und organisatorische Maßnahmen externe Audits Ziel: Erbringung von Nachweisen für Stellen außerhalb der Organisation (z.b. Lieferanten- oder Kundenaudit, Audits im Rahmen von Zertifizierungen) Klassifikation von Audits: Prozess-/Verfahrensaudits Produktaudits Systemaudits (z.b. DSMS) 10

GRUNDSÄTZE EINES AUDITS Unabhängigkeit des Auditors Objektivität des Auditors (z.b. keine Beeinflussung durch Sympathie) Sachlichkeit (Dokumentation durch Auditor richtig, genau und vor allem verständlich) Kompetenz (Fachwissen) Integrität (Einhaltung der rechtlichen Anforderungen und ehrliche Erbringung) Vertraulichkeit/Verschwiegenheit Methodischer Ansatz (Durchführung nach Schema und Dokumentation des Auditverlaufs) Quelle: Datenschutz-Audit, Pachinger/Beham 11

Datenschutz Audit (bis 24.05.2018) 12

DATENSCHUTZAUDIT GEMÄß 9A BDSG Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. Datenschutzauditgesetz auf Bundesebene gescheitert Aufgrund fehlender Anforderungen Audit oder Zertifizierung nach 9a BDSG nicht möglich Datenschutzaudit verankert in: Schleswig-Holstein (Datenschutz-Behördenaudit gemäß 43 Abs. 2 LDSG) Bremen(Datenschutzaudit gemäß 7b BremDSG i.v.m. BremDSAuditV) 13

AUDIT VON DIENSTLEISTERN Kontrolle der Einhaltung der technischen und organisatorischen bei einem Dienstleister im Rahmen der Auftragsdatenverarbeitung Kontrolle gemäß 11 Abs. 2 Satz 4 BDSG Kontrolle des Auftraggebers vor Beginn der Datenverarbeitung und sodann regelmäßig (ca. alle 2-3 Jahre) von der Einhaltung der bei Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen Es gibt keine verbindlichen Vorgaben wie das Audit durchzuführen ist (z.b. durch Selbstauskunft oder Erbringung von Nachweisen/Zertifikaten) Das Ergebnis ist gemäß 11 Abs. 2 Satz 5 BDSG zu dokumentieren 14

Datenschutz Audit im Rahmen der EU-DSGVO 15

AUDIT IM KONTEXT DER EU DS-GVO Begriff Audit in der dt. Fassung der DS-GVO nicht vorhanden, aber in der engl. Fassung Begriff Überprüfungen bzw. Inspektionen Art. 28 Abs. 3 lit. h DS-GVO "Auftragsverarbeiter" Einhaltung der Pflichten aus Art. 28 einschließlich durchgeführter Überprüfungen und Inspektionen Art. 39 Abs. 1 lit. b DS-GVO "Aufgaben des Datenschutzbeauftragten" Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen Art. 47 Abs. 1 lit. j DS-GVO "verbindliche interne Datenschutzvorschriften" Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften Art. 58 DS-GVO Abs. 1 lit. b DS-GVO "Befugnisse" (für Aufsichtsbehörden) Aufsichtsbehörde hat Befugnisse Untersuchungen in Form von Audits durchzuführen 16

AUDIT DER TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN Art. 24 Abs. 1 DS-GVO "Verantwortung des für die Verarbeitung Verantwortlichen" Einsatz geeigneter TOM um den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DS-GVO erfolgt. Art. 32 Abs. 1 DS-GVO "Sicherheit der Verarbeitung" Einsatz geeigneter TOM um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Art. 25 "Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen" Art. 35 DS-GVO "Datenschutz-Folgenabschätzung" Sicherstellung des Schutzes personenbezogener Daten Art. 30 DS-GVO "Verzeichnis von Verarbeitungstätigkeiten" Einsatz geeigneter TOM 17

RECHENSCHAFTSPFLICHT (ACCOUNTABILITY) GEMÄß ART. 5 DS-GVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Verarbeitung auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise Erhebung für festgelegte, eindeutige und rechtmäßige Zwecke und Verbot der Weiterverarbeitung in einer mit diesen Zwecken nicht zu vereinbarenden Weise Beschränkung auf das für den Zweck der Verarbeitung angemessene und sachlich relevante sowie notwendige Maß Sachlich richtige und ggf. aktuellste Daten; Vorsehen von Maßnahmen zur unverzüglichen Löschung oder Berichtigung von unzutreffenden Daten Speicherung mit Personenbezug höchstens so lange, wie es für die Verarbeitungszwecke erforderlich ist Geeignete technisch-organisatorische Maßnahmen (TOM) zum Schutz der Daten, insbes. vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung 18

AUDIT IM KONTEXT DER EU DS-GVO hoher Fokus auf Kontroll- und Nachweisbarkeit (z.b. Art. 5 Abs. 2 DS-GVO zum Nachweis der Einhaltung der Verarbeitung von personenbezogenen Daten gemäß Art. 5 Abs. 1 DS-GVO) Pflicht zur Nachweisbarkeit betrifft nicht nur den Verantwortlichen sondern auch den Auftragsverarbeiter der die Einhaltung seiner technischen und organisatorischen Maßnahmen nachweisen muss z.zt auch viele interne Audits zur GAP Analyse im Rahmen der Transformation zur DS-GVO oder DS-GVO Fragebogen des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) Fragen zum: Verzeichnis von Verarbeitungstätigkeiten Einbindung von Auftragsverarbeitern Umsetzung von Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte Prozess zum Umgang mit Datenschutzverletzungen 19

Umsetzung eines Audits 20

UMSETZUNG EINES AUDITS Ziel Risikoanalyse und Accountability zur Implementierung eines nachhaltigen DSMS im Rahmen der EU DS-GVO Normen u.a. EU DS-GVO (Datenschutzgrundverordnung) sowie DSAnpUG-EU (Datenschutz-Anpassungs- und Umsetzungsgesetz EU) In Kraft treten 25. Mai 2016 Übergangsfrist bis 25. Mai 2018 (2 Jahre) Umsetzung Datenschutzaudit GAP-Analyse Arbeitspaket, Umsetzung und Implementierung 21

ERWEITERTER PDCA-ZYKLUS ZUM AUDIT DSMS 1. TOA festlegen 2. Anforderungen identifizieren Plan 3. Auditkatalog 4. Analyse /Audit 5. GAPS identifizieren 6. GAPS bewerten 11. Kontinuierlich verbessern Act Plan 7. Maßnahmen ableiten 10. Überwachen und prüfen Check 9. Maßnahmen umsetzen 8. Umsetzung planen 22 Do

AUDITPROZESS Ablauf eines Audits: Initialisierung: Festlegung von Auditzielen, Definition des Auditgegenstands (Target of Audit ToA), ggf. Pre-Audit Auditplanung: Vorbereitungsmaßnahmen des Auditoren und des zu Auditierenden (ggf. Auskunft über zu vorliegende Dokumentationen durch Anforderungs- oder Fragenkatalog) Durchführung des Audits Bewertung der Auditergebnisse Erstellung des Auditberichts Quelle: Fotolia 23

INITIALISIERUNG DES AUDITS Festlegung der Ziele: Erkennung von Mängeln und Schwachstellen GAP-Analyse im Rahmen des Transformationsprozesses Sicherstellung der Nachweisbarkeit im Kontext der DS-GVO weitere rechtliche Anforderungen interne Anforderungen, z.b. gemäß der Datenschutzleitlinie (regelmäßige Audits) Grundlage für eine Zertifizierung Definition des Prüfgegenstands: klare Definition des Prüfgegenstands (ToA) und der zu überprüfenden Bereiche (z.b. Überprüfung der gesamten Organisation oder nur einzelner Systeme bzw. IT-Verfahren / Überprüfung der TOM im Rahmen eines Dienstleisteraudits) evtl. vorab Scoping-Workshop zur gemeinsamen Festlegung des Prüfgegenstands oder internes Pre-Audit im Rahmen von Zertifizierungen 24

PLANUNG UND VORBEREITUNG Erstellen einer Audit Agenda mit Zeitplan, Ansprechpartnern und möglicher Zeitpuffer Audit Fragenkatalog erstellen ("roter Faden") Kriterien festlegen Auditnachweise Feststellungen Schlussfolgerungen Vorab dem zu auditierenden Fragenkatalog übermitteln zur Vorbereitung oder eine Übersicht der zu prüfenden Dokumente evtl. werden Dokumente vorab übermittelt (z.b. Datenschutzhandbuch oder Beschreibung der Datenschutzorganisation 25

BSP. PLANUNG UND VORBEREITUNG AUDIT DSMS 26 DS Management Rollen und Organisation DS Prozesse Rollen und Organisation sowie Verantwortlichkeiten Einhaltung Accountability (Dokumentation) Verzeichnis von Verarbeitungstätigkeiten als zentrales Organ Einwilligungsmanagement Vertragsmanagement (Auftragsverarbeiter) Übermittlung in Drittländer Datenschutz-Folgenabschätzung Umsetzung von IT-Sicherheitsmaßnahmen Prozess zur Wahrung der Betroffenenrechte Prozess zur Meldung von Datenschutzverstößen...

BSP. PLANUNG UND VORBEREITUNG AUDIT DSMS Identifizierung datenschutzrelevanter Dokumente ADV Vereinbarungen DS Policies Datenschutzerklärungen Internet App Grundsätzliche Einwilligungen Betriebsvereinbarungen 27

BSP. PLANUNG UND VORBEREITUNG AUDIT DSMS DS Unterweisung DSGVO (Führungskräfte Mitarbeiter z.b. Hand-Out) Privacy Impact Assessment Meldung neuer Verfahren / Bewertung / Kontrolle Pflege Verzeichnis von Verarbeitungstätigkeiten IT Security TOM s Dokumentation - Schutzklassenkonzept Umsetzung Privacy by Design Privacy by Default Löschkonzept und Prozess Prozess ADV (Ablage und Nutzung sowie Dokumentation) Prozess Datenpannen (vorhanden Anpassen Reaktionszeiten) Allgemeines DS Richtlinie / DS Handbuch (Zugriff für Führungskräfte) Prozess Auskunft von Betroffenen (vorhanden Anpassen Vorlagen erstellen) 28

DURCHFÜHRUNG DES AUDITS Einführungsgespräch (evtl. vorab Präsentationen) Durchführung des Audits: Interviewtechnik anhand der Prüffragen und Erstellen von Gesprächsnotizen Stichprobenartige Sichtung der bereitgestellten Unterlagen (z.b. Einsicht in die interne Verarbeitungsübersicht) Besichtigung/Vor-Ort Begehung der relevanten Bereiche, z.b. Sichtung der Serverräume Sichtung der Arbeitsplätze Sichtung optisch-elektronischer Einrichtungen Einblick in zu prüfender Software Abschlussgespräch evtl. Erläuterung erster relevanter Gap s Erläuterung der weiteren Schritte 29

BEWERTUNG DER AUDITERGEBNISSE UND AUDITBERICHT Direkte Dokumentation bzw. Zusammenfassung der Ergebnisse, um keine wichtigen Informationen zu vergessen Einsicht in noch zur Verfügung gestellter Dokumente Auswertung der Ergebnisse und Schlussfolgerung von möglichen Abweichungen Erstellung des Auditberichts Darstellung Auditgegenstand und Vorgehensweise Übersicht der übermittelten Dokumente und möglicher Verweise Management Summary Darstellung der Prüfung und möglicher Abweichung Gesamtergebnis Empfehlungen (z.b. Maßnahmen) 30

Zertifizierungen gemäß DS-GVO 31

ZERTIFIZIERUNGEN GEMÄß DS-GVO Erfüllung des hohen Anteils an Nachweispflichten durch genehmigte Verhaltensregeln (Code of Conduct) oder genehmigte Zertifizierungsverfahren Förderung der Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und-prüfzeichen die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird gemäß Art. 42 DS-GVO Höchstdauer der Gültigkeit der Zertifizierung ist 3 Jahre Akkreditierung der Zertifizierungsstellen gemäß Art. 43 DS-GVO 32

MÖGLICHKEITEN DER ZERTIFIZIERUNG Erfüllung der datenschutzkonformen Verarbeitung des Verantwortlichen (Art. 24 DS-GVO) Datenschutz durch Technik (Art. 25 Abs. 1 DS-GVO; Umsetzung der Datenschutzgrundsätze, z.b. Datenminimierung) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO; Umsetzung der Voreinstellungen, z.b. begrenzter Empfängerkreis) Auftragsverarbeitung; Nachweis hinreichender Garantien zur Einhaltung der DS-GVO (art. 28 DS-GVO) Sicherheit der Verarbeitung; Nachweis der Sicherheitsanforderungen gemäß Art. 32 DS-GVO Garantien zur Datenübermittlung an ein Drittland (Art. 46 Abs. 2 lit. f DS-GVO) Datenschutz-Folgenabschätzung (ErwGr. 90), Nachweis zur Einhaltung der DS-GVO Hinweis: Eine Zertifizierung mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zur Einhaltung der DS-GVO (Art. 42 Abs. 4 DS-GVO) 33

MÖGLICHKEITEN UND VORTEILE EINER ZERTIFIZIERUNG Zertifizierung von einzelnen Verfahren Zertifizierung eines Datenschutzmanagementsystems Vorteile einer Zertifizierung: Sicherstellung der Nachweispflichten Nachweis im Rahmen der Auftragsverarbeitung (Prüftourismus) Marketinginstrument für Auftraggeber Geschäftskunden Verbraucher (Betroffene) 34

Vielen Dank für Ihre Aufmerksamkeit! 35

Ihr(e) Ansprechpartner Tobias Mielke, B.Sc. Data Protection Consultant Datenschutz-Qualifizierung Business Security & Privacy +49 201 8999-553 t.mielke@tuvit.de www.tuvit.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback