Datenschutz und Datenträgervernichtung

Das sollten Sie wissen! – Informationen zur neuen DIN-Norm 66399

In Kürze wird die neue DIN-Norm 66399 die Vernichtung von Datenträgern neu regeln. Sie löst damit die bisherige Norm 32757 ab. Hierfür bietet unser Partner, der Balinger Aktenvernichter-Hersteller IDEAL Krug & Priester eine interessante Informationsbroschüre, die in einfacher und übersichtlicher Form die wichtigsten Neuerungen und Änderungen im Vergleich zur alten Norm veranschaulicht. Die neuen Sicherheitsstufen, die Ermittlung des Schutzbedarfs und die Einteilung der Schutzklassen sowie die Materialklassifizierungen sind anschaulich dargestellt. Sie erhalten dadurch umfassende Einblicke sowie wichtige Entscheidungshilfen für die Erstellung eines hausinternen Datenschutz- und Sicherheitskonzeptes.

Öffnen der Informationsbroschüre zur DIN 66399

Näheres zu dieser Informations-Broschüre mit dem Titel „Das sollten Sie wissen! – Informationen zur neuen DIN-Norm 66399 für die Vernichtung von Datenträgern“ finden Sie auf der IDEAL-Microsite www.din-66399.com.

10 Jahre yourIT - Posts zu unserem Jubiläum

Urlaubslektüre gefällig? Verfolgen Sie auf unserem DOCUframe-Blog meine aktuellen Posts über die vergangenen 10 Jahre yourIT. Ich wünsche Ihnen viel Vergnügen!

yourIT ist Hauptpreisträger im Mittelstandsprogramm 2012

Wie ich eben erfahren habe hat es yourIT dieses Jahr wieder geschafft. Mit dem erneuten Gewinn des Hauptpreises im Mittelstandsprogramms 2012 knüpft yourIT an die erfolgreichen Erfolge der Jahre 2003 bis 2009 an. Insgesamt war yourIT bereits 7 Mal Preisträger im Mittelstandsprogramm. Nachdem yourIT im September 2012 10-jähriges Firmenjubiläum feiert, kann sich diese Erfolgsbilanz sicher sehen lassen.

Hauptsponsor für diesen Preis ist die Kresse und Discher Wirtschaftsverlag GmbH, Herausgeber des Wirtschaftsmagazins econo. Das Verbreitungsgebiet von econo umfasst mehr als 200.000 Unternehmen, rund vier Millionen Einwohner und 1,2 Millionen Beschäftigte. Das Magazin setzt auf eine dezentrale Struktur und ist dabei konsequent regional.

Interessanterweise deckt sich das Verbreitungsgebiet des Magazins econo - das sind die Regionen Nord- und Südbaden sowie Schwarzwald-Alb-Bodensee - ziemlich genau mit dem "normalen" Vertriebsgebiet von yourIT für die Bereiche Systems, Solutions und Consulting.

Über yourIT: Unser Ziel ist es, die IT-Prozesse unserer Kunden zu optimieren und damit langfristig die Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus in der Region Neckar-Alb prüfen wir den Sicherheits-Status der IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT- Sicherheit & Datenschutz und implementieren die für den Kunden besten Lösungen. Wir unterstützen unsere Kunden ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern so den laufenden Betrieb.

Wir freuen uns sehr, wieder Preisträger des Mittelstandsprogramms zu sein. Diese Auszeichnung wird unser Image weiter stärken und unseren Bekanntheitsgrad in den von econo abgedeckten Gebieten und sicher auch darüber hinaus weiter steigern.

Unterliegen Ort und Datum einer Vortrags-Veranstaltung dem Datengeheimnis?

Heute erhielt ich die Einladung von der IHK Reutlingen zum Vortragsnachmittag "Social Media - Was man kann und was man darf" - Rechtliche Grenzen und Hintergründe der Social Networks.

Damit ich nicht so viel schreiben muss, habe ich Euch die Einladung als PDF eingescannt:

 

http://www.yourit.de/externDATA/events/Einladung_Social_Media_und_Datenschutz.pdf

Lest einfach selbst nach: Während alle personenbezogenen Daten der Vortragenden sowie des Ansprechpartners bei der IHK mitgeteilt werden, fehlen zwei wichtige Punkte für die Veranstaltung:
1. Ort und
2. Datum

In Kreisen der eingeladenen IHK-Mitglieder geht nun anscheinend das Gerücht um, diese Informationen würden dem Datengeheimnis unterliegen und wären daher aufgrund spezieller Datenschutzgesetze nicht mitgeteilt worden. Diesem Gerücht möchte ich hiermit widersprechen und werde es kurz widerlegen.

In jeder halbwegs sinnvollen Datenschutz-Einsteigerschulung wird ganz am Anfang darauf hingewiesen, dass das Bundesdatenschutzgesetz (BDSG) zum Schutz personenbezogener Daten erlassen wurde.

An den Daten Ort und Datum kann ich aber nichts personenbezogenes feststellen. Folglich kann das mit dem Datengeheimnis tatsächlich nur ein Gerücht sein (q.e.d.). Auch die Geheimhaltung begründende Betriebsgeheimnisse und/oder Geschäftsgeheimnisse getraue ich mich im Falle dieser öffentlichen IHK-Veranstaltung definitiv ausschließen.

Nachdem ich von der IHK Reutlingen erfahren habe, dass dort aufgrund der fehlenden Daten bereits Telefonanrufe in dreistelliger Zahl eingegangen sind, möchte ich hier abhilfe schaffen und verrate Ihnen die bisher streng geheimen und gut gehüteten Informationen zum Vortrag: 

Ort: Vortragssaal der IHK Reutlingen
Datum: 26.04.2012

Hatte ich bereits erwähnt, dass ich als Referent den Part für "Social Media & Datenschutz" übernehmen darf? Vielleicht kann ich das nutzen, um weitere Gerüchte und Irrtümer rund um das Thema Datenschutz auszumerzen.

Ich denke, diese Veranstaltung sollte sich keiner entgehen lassen (zur Online-Anmeldung). Das wird sicher witzig.

Ein schönes Wochenende wünscht
Thomas Ströbele

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Die Novellen des Bundesdatenschutzgesetzes aus dem Jahre 2009 haben für viele Unternehmen Änderungen mitgebracht. Eine der wichtigsten war die Neuordung des § 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Kaum ein Unternehmen ist von diesen neuen Regelungen nicht betroffen.

Neben den anderen Punkten wird in diesem neuen § 11 BDSG erstmals geregelt, dass der Auftraggeber den Auftragnehmer sorgfältig auszuwählen hat. § 11 Abs. 2 S.4 regelt die Pflicht des Auftraggebers, sich vor Beginn in einer Erstkontrolle und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Die Missachtung dieser Pflicht ist im Übrigen bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 b BDSG). Das Ergebnis ist zu dokumentieren. (Vergleiche hierzu BDSG Kommentar Gola/Schomerus, 10. Auflage, Verlag CH. Beck, München)

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Doch wie soll ein Unternehmen nun diesen Kontrollpflichten effektiv nachkommen? Meist gibt es niemanden im Unternehmen, der die Kontrolle durchführen kann. Auch unerfahrene interne Datenschutzbeauftragte haben damit erfahrungsgemäß ihre Mühe. Im Falle einer Auftragsdatenverarbeitung im Konzern ist die Überprüfung durch einen externen Dienstleitser wie yourIT meist angenehmer zu gestalten.

Hier hilft meist nur die Beauftragung eines erfahrenen Dienstleisters wie unseren Beratern für Datenschutz & IT-Sicherheit von yourIT.

Die Vorprüfung: Anlegen einer Liste der Auftragsdatenverarbeiter

Zuallererst prüfen wir, welche Lieferanten überhaupt als Auftragsdatenverarbeiter im Sinne von § 11 BDSG für Ihr Unternehmen tätig sind. Typische Beispiele für Auftragsdatenverarbeitung sind:

• Ihr Callcenter soll die Kunden des Auftraggebers anrufen;
• Ihr Lettershop soll Briefe an die Kunden des Auftraggebers adressieren;
• Ihr IT- / TK-Systemhaus wartet die IT-Systeme des Auftraggebers per Fernwartung;
• Sie stellen das Rechenzentrum für Ihren Auftraggeber;
• Sie entsorgen Papier und/oder Datenträger für Ihren Auftraggeber.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei reinem Postversand oder Bankgeschäften.

Durchführung der Kontrolle:

Die Berater von yourIT erfassen, analysieren und bewerten die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOM) für Datenschutz & IT-Sicherheit.

1. Aufnahme des Ist-Zustandes der TOM beim Auftragnehmer vor Ort (Erstbegehung) und Feststellung von Datenschutz-Schwachstellen.
2. Aufnahme der Schwachstellen im IT-Netzwerk (unter Einsatz von QualysGuard).
3. Aufnahme weiterer datenschutz- und sicherheitsrelevanter Informationen anhand strukturierter Checklisten.
4. Bewertung der gefundenen Schwachstellen nach Gefährdungen und Risiken.
5. Erstellung eines ausführlichen Prüfberichts über den Stand des Datenschutzes und der auf die Auftragsdatenverarbeitung bezogenen IT-Sicherheit. Zur Behebung festgestellter Schwachstellen werden Maßnahmenempfehlungen gegeben.

Diese Kontrollen können durch unsere Berater sowohl vor der Aufnahme der Auftragsdatenverarbeitung (Erstkontrolle) als bei laufenden Verarbeitungen regelmäßig vorgenommen werden.

Wir würden uns freuen, wenn auch Sie uns künftig mit der Kontrolle Ihrer Auftragsdatenverarbeiter beauftragen würden.

Gerne beantworte ich Ihre Fragen und erstelle Ihnen ein individuelles, auf Ihre Bedürfnisse zugeschnittenes Angebot. Fordern Sie uns!

Unsere Datenschutz-Beratung - sponsored by ESF

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

So werden Sie betrieblicher Datenschutzbeauftragter nach § 4f BDSG und so bleiben Sie es auch

In meiner täglichen Arbeit als Berater für Datenschutz & IT-Sicherheit stelle ich fest, dass der Tätigkeit des betrieblichen Datenschutzbeauftragten immer mehr Bedeutung zugemessen wird. Die meisten Unternehmen haben mittleile erkannt, dass der sensible Umghang mit personenbezogenen Daten wichtig ist - das gilt für Mitarbeiterdaten, Bewerberdaten und die Daten von Kunden und Lieferanten in gleichem Maße.

Der betriebliche Datenschutzbeauftragte soll z.B. auf Datensparsamkeit und Transparenz in der Datenverarbeitung hinwirken. Gleichzeitig übernimmt er die Kontrolle und die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen.

Als betrieblicher Datenschutzbeauftragter oder Datenschutzkoordinator sollten Sie sich in verschiedenen Fachgebieten auskennen. Sie sollten firm sein mit juristischen, technischen und organisatorischen Fragestellungen. Und täglich kommen neue Aufgaben dazu. Welcher Datenschutzbeauftragte musste sich z.B. im Jahr 2010 bereits mit Themen wie Bring Your Own Device (BYOD) oder Social Media beschäftigen? Heute kommen Sie kaum noch daran vorbei. Oft hinkt daher die verfügbare Datenschutz-Literatur den tatsächlichen Anforderungen hinterher.

Daher ist es für Sie als betrieblicher Datenschutzbeauftragter unbedingt notwendig, dass Sie aktuell geschult sind und von externen Datenschutz-Beratern betreut werden, um somit Antworten auf die aktuellen Fragestellungen liefern zu können. Erfahrungsgemäß fehlt den internen Datenschutzbeauftragten die Zeit, alle Änderungen und Neuerungen auf dem Gebiet Datenschutz selbst zu verfolgen.

Da uns diese Problematik bekannt ist, bieten wir Ihnen mit unserem Schulungs- und Betreuungsangebot die Möglichkeit, sich an einem zweitägigen Einsteigerseminar einen ersten Überblick darüber zu verschaffen, was auf Sie zukommen wird. Danach bieten wir Ihnen eine Schulung "Die ersten 100 Tage als Datenschutzbeauftragter" sowie jährliche Fortbildungen an. Alle unsere Schulungen sind hauptsächlich Praxisseminare, in denen gearbeitet wird. Trotzdem liefern wir Ihnen die notwendige Theorie in machbaren Bissen mit.

Gleichzeitig können Sie ständig auf unsere Unterstützung als Berater für Datenschutz & IT-Sicherheit zählen. Entsprechende Beraterverträge bieten wir Ihnen gerne an.

Für weitere Informationen zu unseren Datenschutz-Schulungen kontaktieren Sie mich bitte.

Ich freue mich darauf, Sie bei unseren Seminaren begrüßen zu dürfen.

Ihr Thomas Ströbele

Fehlende Angaben im Impressum können zur Abmahnung führen

Eine unserer Sofortmaßnahmen als Berater für Datenschutz sehen wir seit Jahren in der Überprüfung der Korrektur des Impressums eines Unternehmens. Wieso? Das Impressum ist öffentlich sichtbar. Dort schauen sich Ihre (potentiellen) Kunden, Lieferanten und Bewerber zuallererst um.

Die Erfahrung zeigt uns: Wer seinen Internetauftritt nicht in Ordnung hat, der hat sich in der Regel auch noch nicht ausreichend um den Datenschutz gekümmert.

Doch immer wieder stellen uns Kunden die Frage, ob der Aufwand lohnt und man wirklich wettbewerbsrechtlich abgemahnt werden kann, nur weil einige der vorgeschriebenen Angaben im Impressum fehlen. Die Vorgaben für das Impressum liefert im Wesentlichen § 5 (TMG) Telemediengesetz.

Es gab zwar in der Vergangenheit hierzu einige widersprüchliche Urteile, doch in einer aktuellen Entscheidung (5 U 144/10) hat das KG Berlin bestätigt, dass tatsächlich alle in § 5 TMG verlangten Informationen als wesentlich anzusehen sind. Damit rechtfertigen Sie bei einem Verstoß eine Abmahnung.

Auch die Angaben zur Handelsregistereintragung und Umsatzsteuer-ID wurden von den Berliner Richtern als wesentliche Informationen im Sinne § 5a Abs. 2 UWG (Gesetz gegen den unlauteren Wettbewerb) bestätigt.

Wir empfehlen daher allen Kunden und Interessenten: Lassen Sie Ihr Impressum jetzt professionell überprüfen und gegebenenfalls anpassen. Gerne erledigen wir das für Sie. Rufen Sie mich an.

Und: Vergessen Sie nicht, ein Impressum auch in Ihren Social Media Auftritten wie z.B. XING oder facebook anzulegen.

Datenschutz & Schwachstellenmanagement

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister (siehe §11 Abs. 2 BDSG Auftragsdatenverarbeitung)

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.

Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.