Sie sind auf Seite 1von 39

BDO AWT MNCHEN

Fachforum Datenschutz 2014


Datensicherheit und Datenschutz
- Risiken und Empfehlungen -
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 2
Zur Person
Dipl.-Kfm. Wolf-Dietrich Richter
Steuerberater
CRISC (Certified in Risk and Information Systems Control)
Netzwerkbetreuung / Programmierung
Administration und IT-Leitung
Einfhrung und Leitung der Abteilung IT Audit
Aufbau und Leitung der Consulting-Abteilung
Externer Datenschutzbeauftragter
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 3
BDO AWT / BDO AG / BDO weltweit
BDO AWT GmbH Mnchen Chemnitz Mnchengladbach
mittelstndische Wirtschaftsprfungsgesellschaft
ca. 150 Mitarbeiter / ca. 50 Berufstrger
BDO AG
ber 1.900 Mitarbeiter, 25 Standorte in Deutschland
BDO weltweit: 144 Lnder, 56.000 Mitarbeiter
Wirtschaftsprfung und prfungsnahe Dienstleistungen
Steuer- und wirtschaftsrechtliche Beratung
Advisory Services
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 4
1. Risiken und Sicherheitslage
2. Betrieblicher Datenschutz
3. Compliance-Manahmen zur IT-Sicherheit
4. Business Process Outsourcing
Agenda
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 5
Risiken
Systemausflle / mangelnde Verfgbarkeit
Datenverlust
Datenverflschung
Unberechtigte Kenntnisnahme
Wirtschaftsspionage
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 6
Sicherheitslage
Finanzieller Schaden durch Industriespionage
in Deutschland jhrlich 11,8 Mrd. Euro
in sterreich 1,6 Mrd. Euro.
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 7
Sicherheitslage
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 8
Wer kmmert sich um die IT-Sicherheit?
Warum nicht auch der Datenschutzbeauftragte?
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 9
Agenda
1. Risiken und Sicherheitslage
2. Betrieblicher Datenschutz
3. Compliance-Manahmen zur IT-Sicherheit
4. Business Process Outsourcing
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 10
Was ist Datenschutz?
Datensicherheit ist der
Schutz von Daten
Datenschutz ist der
Schutz von Menschen
... vor unberechtigter Speicherung, Kenntnisnahme und
Verwendung oder sonstigem Umgang mit deren Daten.
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 11
Was ist Datenschutz?
1 Abs.1 BDSG lautet:
Zweck dieses Gesetzes ist es, den Einzelnen
davor zu schtzen, dass er durch den Umgang
mit seinen personenbezogenen Daten in seinem
Persnlichkeitsrecht beeintrchtigt wird.
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 12
Wo ist der Datenschutz geregelt?
EU-Datenschutz-Richtlinie bzw. EU-Datenschutz-Grundverordnung
BDSG BDSG
Landes Landes- -DS DS--
Gesetze Gesetze
Kirchl. DS Kirchl. DS- -
Ordnungen Ordnungen
Spezialgesetze, z. B.
Abgaben Abgaben- -
ordnung ordnung
Allg. Gleich Allg. Gleich--
stellungsgesetz stellungsgesetz
Melderecht
Multimedia Multimedia- -
gesetze gesetze
Sozial Sozial- -
gesetze gesetze
Dienst Dienst- -/Arbeits /Arbeits- -
recht recht
StGB
Interne Regeln,
z. B.
Betriebs Betriebs- -
vereinbarung vereinbarung
Einzel Einzel--
vereinbarung vereinbarung
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 13
Wann gilt das BDSG?
1. personenbezogene Daten einer bestimmten oder
bestimmbaren natrlichen Person
2. erhoben, verarbeitet oder genutzt werden.
(unabhngig, ob dies mit EDV oder auf Papier erfolgt).
Achtung!
Erhhtes Schutzniveau fr besondere personenbezogene Daten
(Krankheiten, Sexualleben, politische berzeugung,
Gewerkschaftszugehrigkeit etc.)
Das Bundesdatenschutzgesetz gilt immer dann, wenn
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 14
Wann drfen personenbezogene Daten erhoben,
verarbeitet oder genutzt werden?
Grundsatz:
Personenbezogene Daten drfen gar nicht erhoben, verarbeitet oder
genutzt werden.
Ausnahmen:
1. Spezielle Regelungen, z. B.: Tarifvertrag, Betriebsvereinbarung,
andere Gesetze (TMG, SGB, GewO, StGB, ...)
2. Bundesdatenschutzgesetz (BDSG) z. B. bei Daten, die zur
Vertragserfllung bentigt werden oder die allgemein zugnglich sind
3. Einwilligung
Einwilligung muss auf freier Entscheidung beruhen und in der Regel
schriftlich erklrt werden
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 15
Technische und organisatorische Manahmen
Die 8 Gebote des 9 BDSG:
Zutrittskontrolle Zugangskontrolle
Zugriffskontrolle Weitergabekontrolle
Eingabekontrolle Auftragskontrolle
Verfgbarkeitskontrolle Trennungsgebot
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 16
Technische und organisatorische Manahmen
Zutrittskontrolle
Unbefugten ist der Zutritt zu Daten-
verarbeitungsanlagen, auf denen sich
personenbezogene Daten befinden,
zu verwehren!
Manahmen:
Schlssel
Key-Karten
Zwischentren
Alarmanlage
Besucherberwachung
Zutrittskontrolle
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 17
Technische und organisatorische Manahmen
Zugangskontrolle
Unbefugten ist das Nutzen der
Datenverarbeitungsanlagen zu
verwehren.
Manahmen:
Zentrale Benutzerverwaltung
Passwrter (IT-Richtlinien)
Festplattenverschlsselung bei
mobilen Gerten
Bildschirm-Pausenschaltung
Zugangskontrolle
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 18
Technische und organisatorische Manahmen
Zugriffskontrolle
Datenzugriff nur fr
zugriffsberechtigte Benutzer
Manahmen:
Benutzer- und
Rechteverwaltung
Regeln fr Remote- und Admin-
Zugriffe
Firewall, Verschlsselung
Zugriffskontrolle
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 19
Technische und organisatorische Manahmen
Verfgbarkeitskontrolle
= gewhrleisten, dass Daten gegen zufllige
Zerstrung oder Verlust geschtzt sind.
Manahmen:
Sicherheitskonzept / Business Continuity Management
(Gesamtkonzept, Kontrollen, Notfallplan, Abwehrmanahmen)
Risikoanalyse
berprfung der technischen Einrichtungen
Back-up und Archivierung
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 20
Der betriebliche Datenschutzbeauftragte
Aufgaben:
Ansprechpartner der Geschftsleitung fr Datenschutzfragen ( 4g Abs. 1
S. 1 BDSG) Funktion eines Inhouse-Beraters
Ansprechpartner fr Beschftigte fr Datenschutzfragen ( 4f Abs. 4 BDSG)
Fhren der Verfahrensbersicht ( 4g Abs. 2 BDSG)
berwachung der ordnungsgemen Anwendung von
Datenverarbeitungsprogrammen ( 4g Abs. 1 Nr. 1 BDSG)
Durchfhrung von Vorabkontrollen ( 4d Abs. 6 BDSG)
Schulungen des Personals ( 4g Abs. 1 Nr. 2 BDSG)
Untersttzung der Geschftsleitung beim Aufbau eines
Datenschutzmanagements/einer Datenschutzorganisation
Durchfhrung von DS-Audits, Beteiligung an Quality-Audits
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 21
Der betriebliche Datenschutzbeauftragte
Anforderungen:
Kenntnisse in IT und EDV
Betriebswirtschaftliches Verstndnis
Rechtskenntnisse (BDSG, TMG, TKG, SGB, Grundrechte)
Durchsetzungsfhigkeit und Autoritt
Verhltnismigkeit / angemessene Umsetzung (Augenma)
Kommunikations- und Mediationsfhigkeiten
Didaktische Fhigkeiten
Prfungs- und Audit-Methodik
und nicht zuletzt: Persnliche Integritt und Verschwiegenheit
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 22
Agenda
1. Risiken und Sicherheitslage
2. Betrieblicher Datenschutz
3. Compliance-Manahmen zur IT-Sicherheit
4. Business Process Outsourcing
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 23
Compliance Manahmen: IT-Sicherheitskonzept
Erstellung eines IT-Sicherheitskonzepts auf Grundlage
der relevanten IT-Risiken (Risikolandkarte) und unter
Bercksichtigung der gesetzlichen Rahmenbedingungen.
Einzelmanahmen:
- Schutzbedarfsanalyse - IT-Richtlinienkonzept
- aktueller Virenscanner - Notfallkonzept (Tests?)
- Patch-Management - Systemberwachung
- Identity- & Accessmanagement - Prfungen / Audits
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 24
Compliance Manahmen: IT-Sicherheitskonzept
Basis sollte ein Rahmenkonzept sein:
COBIT (vorzugsweise zum Start in Version 3)
ITIL
BSI Grundschutzkatalog (ca. 4.500 Seiten)
BSI Grundschutz Standards 100-1 bis 100-4
ISO 2700x
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 25
Compliance Manahmen: Schutzbedarfsanalyse
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 26
Compliance Manahmen: Schutzbedarfsanalyse
typischer Klassenkatalog Klare Strukturmerkmale
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 27
Compliance Manahmen: Schutzbedarfsanalyse
Ausgefllter Unternehmens-Schutzbedarfskatalog
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 28
Compliance Manahmen: Schutzbedarfsanalyse
Prozessorientierte Beurteilung zum Schutzbedarf
Bsp.: C4: Client-PC:
Standardbeurteilung =Schutzklasse 1
Prozessbeurteilung =Schutzklasse 3
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 29
Compliance Manahmen: Identity & Access Management
Am Anfang war das Wort.
Berechtigungs- und Berechtigungsvergabekonzept
Konzeptionierung anhand Schutzbedarf und
Prozessanforderungen (Sammlung der Einflussgren)
Minimalprinzip (need to know)
Funktionstrennungprinzipien (workflowabhngig)
Ausfhrliche Dokumentation mit Vorgaben und Strukturkriterien
Freigabe des Konzeptes durch Daten-, Prozess-, IT- und
Unternehmensverantwortliche
Protokollierung und Aufbewahrung (Stammdaten)
bersichtlichkeit und Auditierbarkeit
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 30
Compliance Manahmen: Identity & Access Management
Technische und organisatorische Umsetzung des Konzeptes
Basis in Betriebssystemen (clients/server und Windows vs Unix)
Bercksichtigung in Anwendungssystemen
(Programmentwicklung)
Bercksichtigung bei der Auswahl von Software
Umsetzung bei der Einfhrung der Software
Vermeidung zu tiefer Gliederung (bersicht)
Sammelrollentechnik (Ausnahme Einzelrolle)
Regelmige eigene und externe Prfung
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 31
Compliance Manahmen: Identity & Access Management
Prozessorientierte Funktionstrennung der Benutzeradministration:
Antragsverantwortung der Fachabteilungen (Formularbasiert)
nderungs- und Lschungsverantwortung ggf. bei HR
Umsetzung durch IT-Abteilung (ggf. mit Protokollierung)
Operative Rollenkonzeption auf Basis der Geschftsprozesse
Trennung von:
Rollendefinition / -erstellung (Betriebs- und Anwendungssysteme)
Freigabe und Produktivsetzung Rollennderungen
Initiale Benutzeranlage im Gesamtsystem (Freigaben)
Lfd. Benutzerpflege Betriebssysteme
Initiale Benutzeranlage Anwendungssysteme
Rollenzuodnung / lfd. Benutzerpflege in Anwendungssystemen
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 32
Compliance Manahmen: IT-Richtlinienkonzept
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 33
Agenda
1. Risiken und Sicherheitslage
2. Betrieblicher Datenschutz
3. Compliance-Manahmen zur IT-Sicherheit
4. Business Process Outsourcing
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 34
Business Process Outsourcing (BPO)
Auslagerung von Geschftsprozessen
Dauerprozesse / Projekte
Offshore / Nearshore / Inland
Stichwort: cloud:
public cloud
private cloud
commercial oder business clouds
Auslagerung der Ablauforganisation (Prozesse)
ggf. auch Auslagerung der Aufbauorganisation (Abteilung)
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 35
Business Process Outsourcing (BPO)
Voraussetzungen:
Klrung Aufbau- und Ablauforganisation
Herstellen von Prozesstransparenz / Prozessdesign
Prozess- bzw. Verfahrensdokumentation!
Profunde Kenntnis der eigenen Prozesse als notwendige
Voraussetzung fr eine erfolgreiche Auslagerung
Schwachstellenanalyse zur Optimierung
Digitalisierung von Geschftsprozessen (ERP, workflows,
etc.) - Standardisierung
Vergleich internes / externes Optimierungspotential
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 36
Business Process Outsourcing (BPO)
Chancen:
Konzentration auf die eigene Kernkompetenz
Beschaffung von Spezialwissen zu ausgelagerten Prozessen
(extern statt intern)
best practice Kompetenz der Dienstleister
Hhere Qualitt beim Dienstleister durch Vervielfachung
gleichartiger Prozesse
Skaleneffekte beim Dienstleister (Kosteneffekte)
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 37
Business Process Outsourcing (BPO)
Risiken:
Kompetenzverlust / Wissensbertragung
Gefhrdung der Unternehmensentwicklung bei Fehlern in
ausgelagerten Prozessen
(Prozesshoheit, Warnfunktionen, Alternativen)
Wichtig!
Aktives Changemanagement
Partnerschaft!
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 38
Business Process Outsourcing (BPO)
Beispiel: Externe Archivierung fr steuerliche Zwecke
Betreuung der Betriebsprfungen durch den steuerlichen Berater
Konzepterstellung zusammen mit BPO-IT-Dienstleister,
Fachabteilung(en) und IT-Abteilung + Datenschutzbeauftragter!
Informationen auswhlen und Auswertungsmglichkeiten
ermitteln (Vor- und Nebensysteme beachten!)
Zugriffsmglichkeiten festlegen (Z1, Z2, Z3 sowie Dokumente!)
Archivierung, Zugriff und Lschung sicherstellen
BPO-Prozess monitoren, ggf. anpassen und evtl. berprfen
BDO AWT Leitfaden zum BPO verwenden
BDO AWT MNCHEN
Fachforum Datenschutz 2014 I 39
Vielen Dank fr Ihre Aufmerksamkeit!
Fr Rckfragen stehen wir Ihnen gerne zur Verfgung:
Tel. + 49 89 76906 0
Im Internet finden Sie uns unter: www.bdo-awt.de
E-Mail: datenschutz@bdo-awt.de oder persnlich
BDO AWT GmbH
Wirtschaftsprfungsgesellschaft
Hchstleistungen entstehen aus dem Zusammenspiel
von Kompetenz und Begeisterung fr die Sache