+49 6201 8725124 info@suhling.biz

Frequently asked questions

Finden Sie die Antworten auf Ihre Fragen. Häufig gestellte Fragen zum Thema Datenschutz und IT-Sicherheit.

Wie melde ich eine Datenpanne in Rheinland Pfalz?

Eine Datenpanne kann in Rheinland Pfalz unter folgender Webadresse gemeldet werden:

https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/

Was muss ich machen, wenn ich eine Cyber Attacke entdeckt habe?

Verwenden Sie das Formular vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und füllen Sie die Online-Meldung aus unter:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Online_Meldung/onlinemeldung.html

Was muss die Schulleitung tun, wenn die personenbezogenen Daten nicht intern gespeichert werden?

Falls die Daten von einem Dritten, einem sogenannten Auftragsverarbeiter, bearbeitet und/oder gespeichert werden (z. B. in einem Rechenzentrum oder bei einem Cloud-Anbieter), ist ein entsprechender Vertrag abzuschließen.
Zu beachten: auch Wartungsarbeiten, Betreuung des Betriebssystems o. ä. fällt unter „Datenverarbeitung im Auftrag“ und somit ist auch hier ein Auftragsverarbeitungsvertrag abzuschließen.

Übrigens: auch die Durchführung von Wartungsarbeiten oder vergleichbarer Hilfstätigkeiten, also z.B. Hardwarewartung an Servern oder Festplattensyste­men, Betreuung des Betriebssystems usw. gilt als Datenverarbeitung im Auftrag, sofern dabei der Auftragsverarbeiter auf personenbezogene Daten zugreifen könnte.

Gelten für schulische Unterlagen auch Aufbewahrungsfristen?

Ja, für öffentliche Schulen gelten Aufbewahrungsfristen für alle gespeicherten Daten sowohl in digitaler als auch in analoger Form.
Die Löschung der personenbezogenen Daten haben folgende Aufbewahrungsfristen:
– Schülerkarteikarten/-listen: 50 Jahre nach Verlassen der Schule
– Abschlusszeugnisse: 50 Jahre nach Verlassen der Schule
– Klassenbücher: 5 Jahre nach Ablauf des Schuljahres
– Einwilligungserklärung zur Veröffentlichung von Fotos: 5 Jahre nach Veröffentlichung
– Klassenarbeiten: nach Ende des nächsten Schuljahres
– Notenübersicht: nach Ende des nächsten Schuljahres
– Prüfungsunterlagen: 5 Jahre nach Feststellung des Prüfungsergebnisses
– Personenbezogene Daten auf privaten Datenverarbeitungsgeräten, die im Besitz von Lehrkräften sind: nach Ende des nächsten Schuljahres

Im Laufe dieser Aufbewahrungsfristen hat die Schulleitung die Pflicht des Schutzes der personenbezogenen Daten vor unbefugtem Zugriff.

Sind Datenschutzmaßnahmen auch bei papiergebundenen Daten (z. B. Schülerakten, Klassenbücher) zu ergreifen?

Ja, auch für die personenbezogenen Daten, die in papiergebundener Form festgehalten sind, müssen Datenschutzmaßnahmen ergriffen werden. Diese Akten müssen vor Einblick von Unbefugten geschützt werden, z. B. bei der Bearbeitung, bei der Aufbewahrung in einer abgeschlossenen Schublade, Zimmer, Tasche usw., bei der Vernichtung oder bei einem Transport.

Was bedeutet Stand der Technik?

Hierzu gibt es viele Interpretationen. Eine aktuelle Handreichung gibt es hier von der TeleTrusT:

TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

Was bedeutet beim Auditergebnis NC1, NC2 und OFI?

NC1 ist eine Abkürzung für „non conformity 1“ und bedeutet Hauptabweichung oder Abweichung (A,
NC2 ist eine Abkürzung für „non conformity 2 und bedeutet Nebenabweichung,
OFI ist eine Abkürzung für „opportunity for improvement“ und bedeutet Verbesserungspotenzial.

#conformity #nonconformity

Wird meine Störungsmeldung ausreichend durch das BSI geschützt?

Ihre Meldung wird vertraulich behandelt, gem. § 8d BSIG ist die Weitergabe an Dritte eingeschränkt. Das BSI darf nur dann Auskünfte erteilen, wenn dadurch die Sicherheitsinteressen des Betreibers gewahrt bleiben und seinen schutzwürdigen Interessen nichts entgegensteht. Personenbezogene Daten werden nicht zugänglich gemacht.

Aufgrund einer Störungsmeldung wird das BSI eine anonymisierte Information erstellen, ohne dabei den Betreibernamen zu nennen. Dies wird auch dann nicht geschehen, sollte der Betreibername bereits über andere Wege öffentlich gemacht worden sein.

#kritis #bsi #bsig8d

Innerhalb welcher Frist muss dem BSI eine Störung gemeldet werden?

Sobald eine IT-Störung erkannt wurde, ist diese unverzüglich dem BSI zu melden. Die zu diesem Zeitpunkt vorliegenden Erkenntnisse sind vollständig zu melden. Allerdings gilt für die Erstmeldung: Schnelligkeit vor Vollständigkeit. Sollten noch Informationen fehlen, bzw. diese erst später bekannt werden, ist eine Folgemeldung zu machen. Nach der vollständigen Umsetzung aller notwendigen Maßnahmen, ist eine Abschlussmeldung abzugeben. Mit dieser Meldung ist die Meldepflicht seitens des Betreibers gegenüber dem BSI vollständig erfüllt.

#kritis

Muss ich Anzeige erstatten, wenn ein IT-Angriff stattgefunden hat?

Ja, IT-Angriffe müssen in die Kriminalstatistik aufgenommen werden. Wenden Sie sich daher an den BKA bzw. auf der Internetseite finden Sie hilfreiches Material.

#bka #kritis

Gemäß §8b (3) BSIG muss der KRITIS-Betreiber jederzeit erreichbar sein. Was bedeutet dies konkret?

Unter „jederzeit erreichbar“ versteht das BSI, dass ein Betreiber rund um die Uhr (24/7) in der Lage sein muss, über die registrierte Kontaktstelle BSI-Produkte, also Cyber-Sicherheitswarnungen, Lageinformationen usw. entgegenzunehmen. Diese sind unverzüglich zu sichten und zu bewerten.

Eine Cyber-Sicherheitswarnung wird von der BSI so gestaltet, dass man aus dem E-Mail-Betreff die Dringlichkeit und den eventuellen Handlungsbedarf sofort erkennt. Geschulte Ansprechpartner können sofort erkennen, ob akuter Handlungsbedarf besteht, können den konkreten Vorfall beurteilen und sind in die Vorfallsbewältigung eingebunden.

#kritis #cyber

Ich bin Webseiten-Betreiber – was muss ich beachten?

Webseiten-Betreiber müssen entsprechend dem „Stand der Technik“ geeignete technische und organisatorische Maßnahmen ergreifen, damit unerlaubte Zugriffe auf Daten und die technischen Einrichtungen verhindert werden. Dies kann beispielsweise SSL-Verschlüsselung sein.

#dsgvo #gdpr

Wie erfolgt die Berechnung des Schwellenwertes bei Stoffen, die bei der Gewinnung, Produktion oder Verarbeitung von Lebensmitteln gewonnen werden, z. B. Futtermittel?

Diese Stoffe werden nicht von der BSI-KritisV bewertet. Die entstandenen Mengen, die sie nachweislich als Futtermittel weiterverwerten, bleiben bei der Schwellenwert-Berechnung unberücksichtigt.

#kritis

Sollte eine Anlage einen Teil ihrer Produktion ins Ausland verkaufen, wird dann dieser Teil aus der Jahresumschlagmenge herausgerechnet?

Nein, wenn die Produktion in Deutschland stattfindet und dann ins Ausland verkauf wird, wird diese Menge auch in der Jahresumschlagmenge berücksichtigt und darf nicht herausgerechnet werden.

Ausnahme: berücksichtigt werden ausschließlich die Produktion von verschreibungspflichtigen Medikamenten für den deutschen Markt

#kritis

Gelten Anlagen als gemeinsame Anlage, wenn sie einer gemeinsamen Leitung unterstehen?

Ja, wenn diese Anlagen einem gemeinsamen Betreiber unterstehen – hier gilt der Grundsatz der Betreiberidentität. Wenn die Anlage von einer natürlichen oder juristischen Person betrieben wird, ist diese Voraussetzung gegeben. Diese Voraussetzung gilt auch, wenn ein gemeinsames Management/Leitung besteht.

Achtung: dies gilt auch für mehrere Anlagen mit jeweiliger Leitung, sollten diese in einem konzernrechtlichen Verhältnis stehen.

#kritis

Werden ein Betrieb, Unternehmen, Konzern, Standort als kritische Infrastruktur eingestuft, wenn der Schwellenwert der betriebenen Anlagen zusammen überschritten wird?

Der Schwellenwert nach BSI-KritisV wird pro Anlage festgelegt. Dies bedeutet, dass jede Anlage im Einzelnen bewertet wird – wenn also keine der einzelnen Anlage den vorgegebenen Schwellenwert überschreitet, zählen sie nicht als „kritische Infrastruktur“.
Ausnahme: die „gemeinsame Anlage“, sollte diese für jeden Sektor der BSI-KritisV definiert sein.

#kritis

Welcher Zeitpunkt zur Schwellenwert-Bemessung ist ausschlaggebend?

Maßgebend ist das Kalenderjahr, das für die Produktion/Leistung anzugeben ist.
 Außer Acht zu lassen sind buchhalterische Anhaltspunkte.

#kritis

Unterliegt meine Anlage einer kritischen Infrastruktur, wenn meine Anlage über dem Schwellenwert liegt, die Anlage aber weniger als 500.000 Personen versorgt?

Als kritische Infrastruktur gilt eine Anlage, sobald sie den Schwellenwert erreicht oder darüber liegt. Dieser Schwellenwert ergibt sich aus der BSI-KritisV der entsprechenden Anlagenkategorie. Sie beziehen sich auf die Regelschwelle von 500.000 versorgten Personen – dies ist aber nur eine Orientierungsgröße und wird nicht zu einer konkreten Bemessung herangezogen.

#kritis

Für wen gilt überhaupt das IT-Sicherheitsgesetz?

Dieses Gesetz ist am 25.07.2015 in Kraft getreten und gilt für folgenden Personenkreis:
– Online-Shops und andere Betreiber von Webangeboten
– Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit und Betreiber von Kernkraftwerken.

Als Betreiber können Sie in entsprechenden Rechtsverordnungen prüfen, ob sie in diesen Kreis fallen. Der Versorgungsgrad wird für jede Kategorie im jeweiligen Bereich anhand von Schwellenwerten bestimmt. In der Regel beträgt dieser 500.000 versorgte Personen.

#kritis

Wer sollte nicht als Datenschutzbeauftragter benannt werden?

…Als Faustregel lassen sich zu den mit Interessenkonflikten einhergehenden Positionen solche des leitenden Managements (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT- Abteilung) zählen, jedoch auch hierarchisch nachgeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen…

Quelle: ARTIKEL-29-DATENSCHUTZGRUPPE

…Insbesondere darf er als Datenschutzbeauftragter mit Kontrollfunktionen nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Nicht jede weitere Aufgabe, die mit der Verarbeitung personenbezogener Daten verbunden ist, ist mit dem Amt eines Datenschutzbeauftragten unvereinbar. Interessenkonflikte können aber insbesondere dann auftreten, wenn der Datenschutzbeauftragte gleichzeitig Aufgaben in den Bereichen
– Personal,
– Automatisierte Datenverarbeitung (ADV) /Informationstechnik (IT) oder in
– Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder
– Geheimschutzbeauftragter ist.

Eine Beschäftigung im Personalbereich ist regelmäßig mit eigenverantwortlichen Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amtes eines Beauftragten für den Datenschutz ist daher grundsätzlich ausgeschlossen.
Das Gleiche gilt für den IT-Bereich. Der Leiter der IT-Abteilung oder ein sonst maßgeblich für die IT Verantwortlicher kann keinesfalls zugleich Datenschutzbeauftragter sein. Wegen seiner umfassenden Einsichtsmöglichkeiten in personenbezogene Daten ist eine Kontrolle durch eine andere Person zwingend geboten.
Der Beauftragte für den Datenschutz kann grundsätzlich nicht zugleich IT-Sicherheitsbeauftragter sein. So zählt es oftmals gerade zu den Aufgaben des IT-Sicherheitsbeauftragten, auch das IT-Sicherheitskonzept zu erstellen und zu aktualisieren. Das würde aber bedeuten, dass sich der IT-Sicherheitsbeauftragte dann als Beauftragter für den Datenschutz selbst kontrollieren müsste. Eine solche In-Sich-Kontrolle wäre unzulässig und das Erfordernis der objektiven Zuverlässigkeit des Datenschutzbeauftragten wäre nicht erfüllt…

Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

#dsgvo38a2 #bdsg6 #gdpr38p2 #fdpa6

In welcher Form ist ein Auftragsverarbeitungvertrag (AVV) abzuschließen?

Der Auftragsverarbeitungsvertrag ist schriftlich abzufassen, ebenso ist aber auch ein Vertrag in elektronischem Format gültig.

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

Welche Voraussetzungen gelten für eine Auftragsverarbeitung?

Die Datenverarbeitung ist „weisungsgebunden“. Die Verantwortung liegt beim Verantwortlichen. Dieser hat den Auftragsverarbeiter genauestens zu prüfen, auszuwählen und zu kontrollieren. Der Auftragsverarbeiter hat dem Verantwortlichen Nachweise seiner Pflichten zur Verfügung zu stellen. Zwischen den beiden muss ein Vertrag geschlossen werden, in dem alle Rechten und Pflichten festgehalten sind. Zwingend ist, dass der Vertragsabschluss vor Beginn der Datenverarbeitung stattfindet.

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

Was bedeutet eine Auftragsverarbeitung?

Ein Auftragsverarbeiter ist:
– eine natürliche Person
– eine juristische Person
– eine Behörde
– eine Einrichtung oder andere Stelle
,

die personenbezogene Daten verarbeitet und dafür von einem Verantwortlichen beauftragt wurde. Beispiele hierfür sind Datenauslagerung in einer Cloud oder Aktenvernichter, DV-technische Arbeiten für die Lohn- und Ge- haltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren, Werbeadressenverarbeitung in einem Letter- shop, Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort, Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenträgerentsorgung durch Dienstleister, Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbe- zogene Daten nicht ausgeschlossen werden kann, Zentralisierung bestimmter „Shared Services- Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekosten- abrechnungen (jedenfalls sofern kein Fall ge- meinsamer Verantwortlichkeit nach Art. 26 DS- GVO vorliegt)

#dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

Hat der Betroffene ein Widerrufsrecht gegenüber einer Einwilligung?

Ein Betroffener kann seine Einwilligung gem. Art. 7 Abs. 3 DSGVO jederzeit widerrufen. Durch einen solchen Widerruf dürfen keine zukünftigen Verarbeitungen mehr erfolgen, die bisher erfolgten Verarbeitungen jedoch dürfen bestehen bleiben.

#dsgvo7a3 #dgvoeg32 #dsgvoeg33 #dsgvoeg42 #dsgvoeg43 #gdpr7 #gdprr32 #gdprr33 #gdprr42 #gdprr43

Ab wann bin ich in der EU nach der EU-DSGVO betroffen?

Sobald Sie als Verantwortlicher bzw. Auftragsverarbeiter einer Niederlassung in der EU den Zweck verfolgen, Daten zu verarbeiten und zu speichern (Niederlassungsprinzip). Sollten Sie keine Niederlassung in der EU haben, sind Sie nur der DSGVO unterworfen, wenn Sie Ihre Produkte oder Dienstleistungen in der EU anbieten (Marktortprinzip).

#dsgvo3a2 #gdpr3a2 #bdsg1 #fdpa1

Gilt in Europa ein einheitlicher Datenschutz?

Die Intention der DSGVO ist, das europäische Datenschutzrecht zu vereinheitlichen. Das ist aber nur zum Teil der Fall. Für die Mitgliedstaaten gibt es jedoch einige Möglichkeiten, eigene Vorschriften zu erlassen.

#dsgvo  #gdpr #bdsg #fdpr

Was ist denn nun ab dem 25.05.2018 gültig – DSGVO oder BDSG-neu?

Beides, jedoch bildet die DSGVO die Grundlage und ist gültig in ganz Europa. Die DSGVO hat ein sogenanntes Unionsrecht, was vor dem nationalen Recht steht.

Was kostet mich die Umsetzung der ISO 27001?

Dies ist leider erst abschätzbar, wenn die Risikoeinschätzung gemacht wurde. Die größten Kosten entstehen meistens nicht durch Hard- und Software, sondern durch die Verfahrensentwicklung (Abläufe, Dokumentation), sowie Mitarbeiterschulungen usw. Dies ist natürlich alles ebenfalls von der Größe des Unternehmens abhängig. Hier ist zu beachten, dass nicht alle notwendigen Sicherheitsmaßnahmen gleich umgesetzt werden müssen. Einige können auch später erfolgen, solange den eigenen Sicherheitsmaßnahmen und dem Stand der Technik genügen.

#27001 #27k16.1.2 #27k16.1.3 #27k18.2 #27k18.3

Besteht ein Unterschied zwischen IT-Sicherheit und Informationssicherheit?

Ja, unter IT-Sicherheit versteht man zum Beispiel den Einsatz einer Firewall. Unter Informationssicherheit sind Arbeitsabläufe, Sicherheitsverantwortlichkeiten usw. gemeint.

#27001 #27k1

Stimmt es, dass die ISO 27001 umfassend dokumentiert werden muss? Behindert das nicht unser Tagesgeschäft?

Je nach Größe des Unternehmens ist dies richtig. Zwar erfordert die ISO 27001 eine Dokumentation, aber dies wird ein kleineres Unternehmen kaum beeinträchtigen.
Bei einem großen Unternehmen werden mehrere Dokumente benötigt, was schon einen kleinen Eingriff in das Tagesgeschäft bedeuten kann. Sie können jedoch davon ausgehen, dass darauf geachtet wird, dass nur die wirklich benötigten Dokumente verlangt werden, die zur Zertifizierung benötigt werden, um Ihren Geschäftsablauf so wenig wie möglich zu beeinträchtigen.

Letztlich ist es Aufgabe des Beraters, die Dokumentation so einfach und knapp wie möglich zu halten.

#27001 #27k1

Ist die ISO 27001 für das gesamte Unternehmen umzusetzen?

Nein, das ist nicht notwendig. Die Umsetzung kann auch auf einen bestimmten Teil des Unternehmens beschränkt werden. Gerade bei großen Unternehmen mit mehreren Standorten macht dies Sinn. Allerdings ist es bei kleineren Unternehmen sinnvoller, das gesamte Unternehmen mit einzubeziehen.

#27001 #27k1 #anwendungsbereich

Wieviel Zeit braucht es, um die ISO 27001 umzusetzen?

Das kann man nicht generell festlegen. Es hängt sehr stark vom Anwendungsbereich ab. Als Anhaltspunkt kann man sagen, dass kleine Unternehmen zur Umsetzung etwa 6-12 Monate benötigen, mittlere Unternehmen mit ca. 500 Mitarbeitern brauchen 10 Monate bis 1,5 Jahren und große Unternehmen müssen mit mindestens 12 Monaten Umsetzungsdauer rechnen. In jedem Fall sind die bereits erstellten Dokumente in diese Betrachtung einzubeziehen.

#27k1 #anwendungsbereich

Die ISO 9001 wurde bereits umgesetzt. Gibt es Vorteile bei der Umsetzung der ISO 27001 / ISO 22301?

Ja, diese beiden sind zum Teil inhaltlich gleich. Die internen Audits, das Dokumentationsmanagement, u.a. Hierbei handelt es sich um den Aufbau eines integrierten Managementsystems. Viele neuen ISO-Managementnormen beinhalten die HLS, die High Level Structure. Mit dieser einheitlichen Struktur ist der Aufbau jeder weiteren ISO-Managementnorm einfacher.

#9001 #9k1 #27001 #27k1 #hls #22301

Welche Bedeutung hat die BS 25999-2?

Die BS 25999-2 ist eine britische Norm, in der eine Definition des betrieblichen Kontinuitätsmanagements enthalten ist. Diese wurde jedoch 2012 durch die ISO 22301 ersetzt.

#22301 #bcm

Besteht ein Unterschied zwischen der ISO 27001 und 27002?

Ja, die ISO 27001 enthält neben dem Normenkoerper 114 Maßnahmenziele zur Umsetzung von Sicherheitsrisiken. Die Richtlinien zur Umsetzung sind in der internationalen ISO 27002 festgelegt (Leitfaden für das Informationssicherheitsmanagementsystem), hier finden Sie Details, wie die Maßnahmenziele umzusetzen sind. Die Zertifizierung erfolgt jedoch nach ISO 27001. Alle ISO-Normen, die auf einer 1 enden, sind meistens zertifizierbare Normen.

#27002 #27k2

Welcher Zweck soll durch die Umsetzung der Norm ISO 27001 erzielt werden?

Durch die ISO 27001 werden Risiken, die in Verbindung mit Vertraulichkeit, Verfügbarkeit und Integrität von Informationen im Unternehmen intern entstehen, reduziert. Die Unternehmen und Organisationen sind aufgrund dieser Norm in der Lage, mehr Gesetze einzuhalten, die in Verbindung mit dem Schutz von vertraulichen Informationen bzw. personenbezogener Daten stehen. Auch werden dadurch die Betriebskosten gesenkt, weil weniger Störfälle anfallen. Außerdem sollte beachtet werden, dass Unternehmen mit der Einhaltung der Norm werben können, der Verbraucher erhält mehr Sicherheit.

#27001 #27k1 #27k16.1.2 #informationssicherheitsrisikobeurteilung

Was versteht man unter ISO 27001?

Unter ISO 27001 versteht man eine internationale Norm, mit der die Informationssicherheits-Managementsysteme definiert werden. Diese wurde von der Internationalen Organisation für Normierung = ISO herausgegeben.

#27001 #27k1

Genügt es nach DSGVO, wenn mein Aktenvernichter Streifen erzeugt?

Bitte sehen Sie sich dazu diesen Beitrag an: https://www.wired.com/2011/12/darpa-shredder-challenge-2/

Die Antwort können Sie sich dann selbst geben, ob Sie weiterhin einen Aktenvernichter (Shredder) verwenden, der Streifen erzeugt oder einen, der Partikel erzeugt.

#din66399 #dsgvo #gdpr #shredder

Kann man sich nach der EU-DSGVO zertifizieren lassen?

Am Markt existieren viele Siegel und Zertifikate, mit denen sich Unternehmen zum Datenschutz zertifizieren lassen können. Derzeit ist es jedoch nicht möglich, sich von einer Zertifizierungsstelle „akkreditiert“ von der DAkkS (Deutsche Akkreditierungsstelle) zertifizieren zu lassen. Hier ist ein Auszug der Stellungnahme der DAkkS vom 10.04.2018:

Deshalb gilt im Hinblick auf Datenschutzzertifikate:

Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Konformitätsbewertungsaussagen (Zertifikate), die eine Konformität mit den Anforderungen der EU-DSGVO bestätigen, vor dem 25. Mai 2018 weder wirksam ausgestellt noch erworben werden.

Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Zertifikate, die eine Übereinstimmung (Konformität) mit den Anforderungen der EU-DSGVO bestätigen, nur auf Grundlage genehmigter Kriterien und von akkreditierten privaten Zertifizierungsstellen ausgestellt werden. Zertifikate, die diesen Anforderungen genügen, tragen das Akkreditierungssymbol der DAkkS.

Eine Zertifizierung nach der DSGVO ist für viele Unternehmen sinnvoll. Diese Themen sind bereits in den Art. 42 DSGVO (Zertifizierung) und Art. 43 DSGVO (Zertifizierungsstellen) beschrieben. Ebenfalls wird im Erwägungsgrund 100 (Zertifizierung) das Thema angeregt.

#dakks #dsgvo42 #dsgvo43 #dsgvoeg100 #gdpr42 #gdpr43 #grprr100

Wie werden Verfahrensverzeichnisse nach der EU-DSGVO erstellt?

Nach der EU-Datenschutzgrundverordnung (EU-DSGVO) werden die bisherigen Verfahrensverzeichnisse (das Öffentliche bzw. Jedermann Verzeichnis und die internen Verfahrensverzeichnisse) abgelöst durch die Verarbeitungstätigkeiten.

Verfahrensbeschreibungen = Verarbeitungstätigkeiten
Verfahrensverzeichnis = Verzeichnis der Verarbeitungstätigkeiten

Geregelt ist dies in der EU-DSGVO in Artikel 30. Nützliche Hinweise zu diesem Thema gibt es vom Datenschutz Sachsen Anhalt hier.

#dsgvo30 #gdpr30

Was bedeutet „besonders strenger“ Datenschutz?

Es bedeutet, dass der Datenschutz im Unternehmen oder der Organisation scheinbar nicht angemessen ist. Denn nach § 64 BDSG sind die technisch und organisatorischen Maßnahmen zu treffen, die erforderlich sind. Und Maßnahmen sind nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Wenn Sie also „besonders strenger“ Datenschutz hören, fragen Sie einfach nach der Angemessenheit und warum man mit Kanonen auf Spatzen plant zu schießen.

#bdsg§64, #AnforderungenandieSicherheitderDatenverarbeitung

Was sind Kritische Infrastrukturen?

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

#kritis

Wie erreiche ich das BSI – Bundesamt für Sicherheit in der Informationstechnik?

Was ist der Unterschied zwischen einer Verfahrensanweisung und einem Verfahrensverzeichnis?

Eine Verfahrensanweisung ist ein Dokument, das durch verschiedene Normen gefordert wird. Mit einer VA wird die Umsetzung von normativen Anforderungen in einem Unternehmen festgelegt und – im Sinne einer verbindlichen Vorschrift – nachvollziehbar dokumentiert.

Die jeweiligen Verfahren müssen festgelegt, dokumentiert, verwirklicht und aufrechterhalten werden. Dieser Anspruch zieht die Tätigkeiten der Freigabe, Schulung sowie Prüfung bzw. Auditierung nach sich, deren Durchführung ihrerseits mit Aufzeichnungen nachvollziehbar nachgewiesen werden muss.

Verfahrensanweisungen sind eine Möglichkeit, die für ein Qualitätsmanagementsystem notwendigen dokumentierten Verfahren umzusetzen. Aktuelle Normen (z. B. ISO/TS 16949, DIN EN ISO 9001:2015) erlauben einige Freiheitsgrade in Bezug auf Dokumentationstiefe, Art und Umfang sowie Wahl der Medien (Papier, elektronische Daten etc.) in Abhängigkeit von der Organisationsstruktur und -Größe. (Quelle)

Ein Verfahrensverzeichnis (§ 4d, § 4e des Bundesdatenschutzgesetzes) stammt aus dem Datenschutz und heißt mit der EU-Datenschutzgrundverordnung Verarbeitungstätigkeit nach Artikel 30.

#dsgvo30 #gdpr30

Wie kann ich mich bei einem US-amerikanischen Unternehmen beschweren

Wer sich zum Thema Datenschutz bei einem US-amerikanischen Unternehmen beschweren möchte, kann dieses Formular verwenden. Außer Beschwerden stehen den Betroffenen das Recht auf Informationen, das Recht auf Berichtigung, sowie das Recht auf Löschung zu.

Weitere Informationen zum Thema EU-US-Privacy Shield können hier geladen werden.

#privacyshield

Was sollen Betreiber kritischer Infrastrukturen unternehmen?

Nach einer festgelegten Vorgehensweise wie beispielsweise der ISO 27001 (Informationssicherheitmanagementsystem) sollten die kritischen Bereiche der IT-Infrastruktur im Unternehmen analysiert werden, danach der Schutzbedarf und das Angriffsrisiko, sowie deren Qualitätsklassen festgelegt werden.

Der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001:2013 oder des IT-Grundschutzes sind danach erforderlich sein.

Für die Umsetzung wenden Sie sich an einen ISMS-Berater, der bei der Implementierung, also beim Aufbau des ISMS, unterstützt.

#itiskat #enwg§11 #27001 #27019 #itsig

Welche KRITIS-Betreiber sind/werden konkret betroffen?

Betreiber kritischer Infrastrukturen sind alle jene Infrastrukturen, deren Ausfall eine große Auswirkungen auf die öffentliche Sicherheit bzw. das staatliche Gemeinwesen haben können.

Folgende Sektoren sind betroffen: Energienetzbetreiber (Zertifizierung bis 31.01.2018), Wasserversorgung, Ernährung (Lebensmittelhandel), Informationstechnik und Telekommunikation, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung.

#enwg11 #itsikat

Wann muss der Betroffene über die Datenverarbeitung informiert werden?

Direkt bei Erhebung der Daten beim Betroffenen. Dies kann zum Beispiel bei der Bestellung eines Newsletters sein, oder auf einem Personalbogen bei der Einstellung eines Mitarbeiters.

#dsgvo13 #Informationspflicht-bei-Erhebung-von-personenbezogenen-Daten-bei-der-betroffenen-Person #gdpr13 #Information-to-be-provided-where-personal-data-are-collected-from-the-data-subject

Welche Rechte hat der Betroffene einer Datenverarbeitung?

Er hat folgende Rechte: Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung, Recht auf Datenübertragbarkeit.

#gdpr20 #dsgvo20

Gibt es einen Zeitplan für die EU-Datenschutz-Grundverordnung?

25. Mai 2018: Anwendbarkeit der EU-Datenschutz-Grundverordnung inklusive weiterer Gesetze wie das BDSG-neu.

Was sind die Ziele und Grundsätze der EU-DSGVO?

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

#gdpr01 #dsgvo01

Was bedeutet EU-DSGVO?

Die Datenschutz-Grundverordnung ist eine Verordnung des Europäischen Parlaments, sowie des Europäischen Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Ab wann gilt die EU-Datenschutzgrundverordnung?

Ab dem 25.05.2018.

Wie bereite ich mein Unternehmen am besten auf die EU-Datenschutzgrundverordnung vor?

Hierzu wenden Sie sich an einen Datenschutzberater. Dieser kann mit Ihnen einen Datenschutz-Check durchführen, um die wichtigsten Aspekte der EU-Datenschutzgrundverordnung zu klären.

Was ist Datenschutz?

Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre.