2. Technische und organisatorische Maßnahmen
23.05.2018 Betrieblicher Datenschutzbeauftragter 2
1. Aktuelle Gesetzeslage
2. Organisatorische Maßnahmen
3. Vertraulichkeit
a) Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle
b) Zugangs- und Benutzerkontrolle
c) Zugriffskontrolle
d) Transport- und Übertragungskontrolle
e) Auftragskontrolle
3. Integrität
a) Eingabekontrolle/Verarbeitungskontrolle
b) Dokumentationskontrolle
4. Verfügbarkeitskontrolle
5. Trennungsgebot
3. Aktuelle Gesetzeslage
23.05.2018 Betrieblicher Datenschutzbeauftragter 3
■ EU-Datenschutzgrundverordnung
■ https://dsgvo-gesetz.de
■ gültig seit Mai 2016
■ verbindlich ab 25.05.2018
■ BDSG-neu
■ https://dsgvo-gesetz.de/bdsg-neu
■ gültig ab 25.05.2018
■ ePrivacy-Verordnung
■ https://www.bvdw.org/themen/rec
ht/eprivacy-verordnung
4. ePrivacy-Verordnung
23.05.2018 Betrieblicher Datenschutzbeauftragter 4
■ Regelungen für das Online‐ und
Direktmarketing ( besonders: §§11 ff
TMG und des §7 UWG).
■ einheitliche Vorgaben für die
Verarbeitung personenbezogener
Daten und den Schutz der
Privatsphäre bei Diensten im Bereich
der elektronischen Kommunikation
■ Die Verordnung gilt für Telefonie und
Internetanbieter, wie Browser‐
Anbieter, Website‐Betreiber und Over
the Top Dienste (Messenger), sowie
Anbieter von Internet of Things (IoT)
Lösungen.
5. Double Opt-In
(DOI)
23.05.2018 Betrieblicher Datenschutzbeauftragter 5
■ Registrierungsver-
fahren im E-Mail
Marketing
1. Formular ausfüllen
lassen
2. Sofort DOI-Mail mit
Aktivierungslink
versenden
■ Nur Inhaber der E-
Mail-Adresse kann
den Newsletter
abonnieren.
■ Auf Spamordner
hinweisen.
6. I. Organisatorische Maßnahmen
23.05.2018 Betrieblicher Datenschutzbeauftragter 6
1. Datenschutzbeauftragten bestellen, wenn mindestens eine der
Bedingungen dazu erfüllt ist:
a) mindestens 10 Personen sind ständig mit automatisierter
Datenverarbeitung beschäftigt,
b) sensible Daten werden als Kerntätigkeit des Unternehmens
verarbeitet,
c) es gehört zur Kerntätigkeit des Unternehmens, Personen
regelmäßig und umfangreich zu überwachen.
7. I. Organisatorische Maßnahmen
23.05.2018 Betrieblicher Datenschutzbeauftragter 7
2. Regelmäßige Schulung der Mitarbeiter über Datenschutzrecht und
Datensicherheit.
■ Teilnehmerliste mit Datum, Unterschrift und Inhaltsangabe
3. Schriftliche Verpflichtung aller Mitarbeiter (Kopie aushändigen) auf
das Datengeheimnis, ggf. auf das Fernmeldegeheimnis.
4. Dokumentierte verfahrensunabhängige Plausibilitäts- und
Sicherheitsprüfungen (technisch unterstützt oder durch Externe)
■ z. B. Test der Backup-Maßnahmen – Datei exemplarisch zurückholen
■ E-Mails mit verschlüsselten Anhängen verschickt?
■ …
■ Zuschuss für externe Berater durch go-digital
8. I. Organisatorische Maßnahmen
23.05.2018 Betrieblicher Datenschutzbeauftragter 8
5. Mit der dokumentierten Nutzung der Checkliste „Technische
organisatorische Maßnahmen“ werden die Forderungen nach einem
Datensicherheits- und Datenschutzkonzept weitestgehend erfüllt.
6. Die Dokumentation der Anwendung der Checkliste kann als
Auditierung betrachtet werden.
7. Bisher gibt es noch keine branchenspezifischen Verhaltensregeln für
Handwerker nach Art. 40 DSGVO.
9. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 9
a. Zutritts-, Zugangs-, Speicher- und Datenträgerkontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zugang zu
Datenverarbeitungsanlagen zu verwehren, mit denen personenbezogene
Daten verarbeitet werden.
■ Schriftliche Zutrittsregelungen zum Betreten des
Rechenzentrums/der Räume mit DV-Anlagen sind vorhanden
■ Alarmanlage
■ Automatisches Zutrittskontrollsystem, Ausweisleser
■ Türsicherung (elektrischer Türöffner, Zahlenschloss usw.)
■ Schlüsselregelung (Schlüsselverwaltung: Schlüsselausgabe etc.)
■ Sicherheitsschlösser
■ Chipkarten-/Transponder-Schließsystem
■ Biometrie (Fingerabdrücke o. ä.)
10. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 10
■ Manuelles Schließsystem
■ Schranken/Vereinzelungsanlagen (Drehkreuze o. ä.)
■ Magnetschleusen
■ Werkschutz/Pförtner
■ Empfang mit Anmeldung Sorgfältige Auswahl von Wachpersonal
■ Sorgfältige Auswahl von Reinigungspersonal
■ Lichtschranke/Bewegungsmelder
■ Feuerfeste Türen
■ Absicherung von Gebäudeschächten
■ Fenstervergitterung
■ Panzerglas
■ Videoüberwachung der Zugänge
11. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 11
b. Zugangs- und Benutzerkontrolle
Maßnahmen, die geeignet sind, zu verhindern, dass
Datenverarbeitungssysteme von Unbefugten genutzt werden können.
■ Passwortvergabe
■ Länge des Passworts: 10 Zeichen
■ Zeichen: Klein- und Großbuchstaben, Ziffern, Sonderzeichen
■ Wechselfristen: 3 Monate,
■ Anzahl der Fehleingaben: 10
■ Chipkarte mit PIN/Passwort
■ Authentifikation mit Benutzername/Passwort
■ Biometrisches Merkmal mit PIN/Passwort
12. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 12
■ Einsatz von VPN-Technologie
■ Verschlüsselung von Smartphone-Inhalten
■ Verschlüsselung von mobilen Datenträgern
c. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Personen nur im Rahmen ihrer
Zugriffsberechtigung auf Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können.
■ Schriftliches Berechtigungskonzept vorhanden
■ Zuordnung von Benutzerrechten/Erstellen von Benutzerprofilen
■ Verwaltung der Rechte durch System-Administrator
■ Anzahl der Administratoren auf das „Notwendigste“ reduziert
13. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 13
■ Gesicherte Nutzung von USB-Schnittstellen
■ Automatische Sperrung des Arbeitsplatzes
■ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei
der Eingabe, Änderung und Löschung von Daten
■ Die Protokolle werden ausgewertet, zeitlicher Abstand: 3 Monate
■ Einsatz von Akten-/Datenträgervernichtern bzw. Dienstleistern unter
Beachtung von DIN 66399
■ Verschlüsselung von Datenträgern
■ Sichere Aufbewahrung von Datenträgern
■ Ordnungsgemäße Vernichtung von Datenträgern
■ Löschungskonzept für Daten
■ Protokollierung der Vernichtung
14. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 14
d. Transport- und Übertragungskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass überprüft werden kann, an
welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist.
■ Einrichtungen von Standleitungen bzw. VPN-Tunneln
■ Firewall: Die nach dem Stand der Technik erforderlichen Firewall-
Technologien sind implementiert und werden auf dem aktuellen Stand
gehalten
■ Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
bzw. Verschlüsselung
■ E-Mail-Verschlüsselung
15. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 15
■ Dokumentation der Empfänger von Daten und der Zeitspannen der
geplanten Überlassung bzw. vereinbarter
■ Löschfristen
■ Protokollierung von Übermittlungen
■ Erstellen einer Übersicht von Datenträgern, Aus- und Eingang
■ Beim physischen Transport: sorgfältige Auswahl von Transportpersonal
und Fahrzeugen
■ Sicherung von Datenträgertransporten (verschließbarer
Transportbehälter), auch für Papiere)
16. II. Vertraulichkeit
23.05.2018 Betrieblicher Datenschutzbeauftragter 16
e) Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im
Auftrag verarbeitet werden, nur entsprechend den Weisungen des
Auftraggebers verarbeitet werden können.
■ Vorhandene Vereinbarungen zur Auftragsverarbeitung
■ Kontrolle der Vertragsausführung
■ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
■ Regelung zu Wartungen (speziell Fernwartung)
17. III. Integrität
23.05.2018 Betrieblicher Datenschutzbeauftragter 17
a) Eingabekontrolle/Verarbeitungskontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann,
ob und von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind.
■ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten
durch individuelle Benutzernamen (nicht Benutzergruppen)
■ Aufbewahrung von Formularen, von denen Daten in automatisierte
Verarbeitungen übernommen worden sind
■ Protokollauswertungsroutinen/-systeme vorhanden
■ Aufbewahrungs-/Löschungsfrist für Protokolle vorhanden
18. III. Integrität
23.05.2018 Betrieblicher Datenschutzbeauftragter 18
b) Dokumentationskontrolle
Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der
Verarbeitung personenbezogener Daten in einer Weise dokumentiert
werden, dass sie in zumutbarer Weise nachvollzogen werden können.
■ Führung eines Verarbeitungsverzeichnisses
■ Dokumentation der eingesetzten IT- Systeme und deren
Systemkonfiguration
■ Zulässigkeit eines Datentransfers in Drittländer ist gegeben
19. IV. Verfügbarkeitskontrolle
23.05.2018 Betrieblicher Datenschutzbeauftragter 19
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen
zufällige Zerstörung oder Verlust
■ geschützt sind und im Störfall wieder hergestellt werden können.
■ Unterbrechungsfreie Stromversorgung (USV)
■ Überspannungsschutz
■ Schutz gegen Umwelteinflüsse (Sturm, Wasser)
■ Geräte zur Überwachung von Temperatur und Feuchtigkeit in
Serverräumen
■ Feuer- und Rauchmeldeanlagen
■ Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
■ Testen von Datenwiederherstellung
■ Klimaanlage in Serverräumen
20. IV. Verfügbarkeitskontrolle
23.05.2018 Betrieblicher Datenschutzbeauftragter 20
■ Schutzsteckdosenleisten in Serverräumen
■ Feuerlöschgeräte in Serverräumen
■ Backups (Beschreibung von Rhythmus, Medium, Aufbewahrungszeit
und -ort)
■ Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten
Ort
■ Virenschutzsystem
■ Spiegelung von Festplatten (z. B. RAID-Verfahren)
■ Konzept für Katastrophenfall vorhanden
21. V. Trennungsgebot
23.05.2018 Betrieblicher Datenschutzbeauftragter 21
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken
erhobene Daten getrennt verarbeitet werden können.
■ Physikalisch getrennte Speicherung auf gesonderten Systemen oder
Datenträgern
■ Versehen der Datensätze mit Zweckattributen/Datenfeldern
■ Logische Mandantentrennung (softwareseitig)
■ Trennung von Produktiv- und Testsystem
■ Festlegung Technologie von Datenbankrechten
■ Trennung von Daten verschiedener Auftraggeber
23. Basisschutz
Betrieblicher Datenschutzbeauftragter
■ Firewall einsetzten
■ Virenschutz installieren und regelmäßig aktualisieren
■ Software ständig aktualisieren, insbesondere
Betriebssystem und Browser
■ Datensicherungskonzept erstellen, umsetzen
und austesten
■ Daten sicher löschen
■ EDV-Arbeitsplätze zeitgesteuert mit Passwort absichern
■ Starke Passwörter einsetzen (mind. 10 Zeichen, Groß- und
Kleinbuchstaben, Sonderzeichen, …)
■ Mitarbeiter sensibilisieren: Phishing, Passwörter, …
■ Nur E-Mail-Anhänge von bekannten Absendern öffnen
23.05.2018 23
24. Sicher surfen
Betrieblicher Datenschutzbeauftragter
■ Spuren vermeiden und verwischen
■ richtige Einstellung des Browsers
■ Cookies löschen
■ Ixquick als „anonyme“ Suchmaschine verwenden
■ Facebook
■ Facebook Blocker einsetzen
■ Spitznamen (Nicknames) verwenden
■ Kontaktdaten nicht veröffentlichen
■ Mit Flagfox den Standort der Website anzeigen lassen
■ Mit Adblock Plus Werbung blockieren
■ Tracking (Werbeverfolgung) weitgehend unterbinden
■ HTTPS Everywhere einsetzen (HTTPS-Verbindungen)
23.05.2018 24
25. Starke Passwörter, z. B. !5g3n!z$!M
Betrieblicher Datenschutzbeauftragter
■ Systematisch aufbauen, z. B.: Im Sommer geht es nach Italien zum
Schnorcheln im Meer → !5g3n!z$!M
■ Sicher generieren
■ Anleitungen beachten
■ 3sat: nano
■ sicher-im-netz.de
■ Checkliste
■ nicht auf einem Zettel unter die Tastatur legen
■ nicht unter den Deckel des Handys kleben
■ nicht an den Monitor pinnen
■ nicht in eine Textdatei am PC schreiben
■ nicht im Browser speichern
Foto: http://www.splicemarketing.co.uk/_blog/Splice_Blog/post/
putting-your-finger-on-mobile-security/#.VGNuPsmqJoU
23.05.2018 25
26. Starke systematische Passwörter
■ Verwenden Sie für jeden Zugang ein anderes Passwort, z. B.:
■ Goggle: !5gg3n!z$!ME
■ Amazon: !5ag3n!z$!MN
■ Ebay: !5eg3n!z$!MY
■ Wechseln Sie regelmäßig ihre Passwörter,
z. B. zu Beginn eines jeden Quartals
■ Ein Passwort sollte
■ lang (mindestens 10 Zeichen),
■ kompliziert (Groß- und Kleinbuchstaben, Sonderzeichen, …),
■ willkürlich,
■ muster- und variantenfrei (z. B. QWERTZ als Tastaturmuster),
■ nicht im Lexikon zu finden sein.
23.05.2018 Betrieblicher Datenschutzbeauftragter 26
27. Drei einfache Passwortregeln
Betrieblicher Datenschutzbeauftragter
■ Lügen
■ Die Kontrollfragen für das Passwort sind
Hintertüren, die für Einbrüche leicht recherchiert werden können.
■ “Dein erstes Auto“→ Wolf WTI
■ “der Mädchenname deiner Mutter“→ Klaus-Bärbel
■ Betrügen
■ Schummeln Sie bei Zahlen in Ihren Kennwörtern
■ merkbare Zahl +3 oder -5, …
■ Verfälschen
■ Originale einfacher Zitate grundsätzlich verfälschen (Alle meine
Gänschen hopsen uebern Bach: A!mGhu8)
23.05.2018 27
28. Passwortmanager
Betrieblicher Datenschutzbeauftragter
■ z. B. Keepass oder
■ Password Safe
■ nur ein einziges starkes kompliziertes
Passwort muss sich gemerkt werden
■ mobil einsetzbar (Smartphone, USB-Speicher)
■ stark verschlüsselt - bei Diebstahl ohne Passwort nicht verwendbar
■ das jeweils aktuelle Passwort kann regelmäßig neu an einem sicheren
Ort für den Notfall deponiert und so einem Vertrauten zugänglich
gemacht werden
■ integrierte zufallsgestützte Passwortgeneratoren
23.05.2018 28
29. Sichere eigene Website
erstellen (1)
Betrieblicher Datenschutzbeauftragter
■ Server absichern
■ Firewall vorschalten
■ Auf Schadsoftware prüfen
■ Sichere Softwarearchitektur und
sichere Programmierung
■ Fremdprogramme aktuell halten
■ Web Application Firewall (WAF)
vorschalten
23.05.2018 30