Das BDSG (§ 4 f.) sieht für Unternehmen die Bestellung eines Datenschutzbeauftragten vor, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet werden oder eine Vorabkontrolle nach § 4d Abs. 5 BDSG durchzuführen ist.

Auch die Anforderungen für den betrieblichen Datenschutzbeauftragten sind im Bundesdatenschutzgesetz (BDSG) klar geregelt. Eine Person, die zum Datenschutzbeauftragten benannte werden soll, muss die nötige Fachkunde nachweisen. Dies gilt hinsichtlicher der gesetzlichen aber auch der technischen Grundlagen. In diesem zweitägigen Kompaktseminar vermitteln wir Ihnen die notwendigen Grundlagen. Am Ende der Schulung erhalten Sie eine Teilnahmebestätigung, die Ihnen die notwendige Fachkunde bescheinigt.

Teilnehmer: zukünftige Datenschutzbeauftragte, Geschäftsführer, Führungskräfte

Vorraussetzungen: keine

Dauer: 2 Tage

Kursinhalte:

• Das Bundesdatenschutzgesetz (BDSG) im Überblick
  • Rechtliche Grundlagen
  • Grundprinzipien
  • Gesetzliche Erlaubnisnormen
• Pflichten und Rechte des Datenschutzbeauftragten
• Pflichten der verantwortlichen Stelle
• Datenschutz Organisation
• Rechtliche Konsequenzen und Bußgelder
• Rechte der Betroffenen
• Arbeitnehmerdatenschutz
• Kundendatenschutz
• Verfahrensverzeichnis
• Technische und organisatorische Maßnahmen
• Praxisbeispiele (die ersten Tage als Datenschutzbeauftragter)

Sonstiges:

Alle Teilnehmer erhalten eine Teilnahmebestätigung.
Alle Teilnehmer erhalten das BDSG in gedruckter Form.
Preis beinhaltet Unterlagen, Mittagessen und Pausengetränke inkl. Snacks.
Einzelschulungen möglich (Bitte nehmen Sie dazu mit uns Kontakt auf)

Preis:
EUR 999 Euro/netto

Termine:
07.11 – 08.11.2016 Düsseldorf

In unserer BSI IT Grundschutz Schulung lernen die Teilnehmer wie ein ISMS initiiert und aufgebaut wird. Grundlage sind die BSI Standards (200-1, 200-2 und 200-3).

Teilnehmer:
IT-Sicherheitsbeauftragte, Datenschutzbeauftragte, IT-Leiter

Teilnehmeranzahl:
max. 10 Teilnehmer

Voraussetzung:
keine

Dauer:
2 Tage

Kursinhalte:

Tag 1:

BSI-Sicherheitsstandards
– BSI 200-1 (Managementsysteme für Informationssicherheit (ISMS))
– BSI 200-2 (IT-Grund­schutz-Me­tho­dik)
– BSI 200-3 (Ri­si­ko­ma­na­ge­ment)

BSI 200-1: Managementsysteme für Informationssicherheit (ISMS)
– ISMS-Definition und Prozessbeschreibung
– Prozessbeschreibung und Lebenszyklus-Modell (PDCA)
– Management-Prinzipien
– Ressourcen für Informationssicherheit
– Einbindung der Mitarbeiter in den Sicherheitsprozess
– Sicherheitskonzeption
– Erfolgskontrolle
– Ziel des IT-Grundschutzes
– Initiierung des Sicherheitsprozesses
– Formulieren allgemeiner Sicherheitsziele
– Bestimmung des angemessenen Sicherheitsniveaus
– Erstellung einer Leitlinie zur Informationssicherheit
– Organisation des Sicherheitsprozesses

BSI 200-2: IT-Grundschutzvorgehensweise
– Aufbau der Neuen IT-Grundschutzkataloge
– IT-Sicherheitsmanagement mit IT-Grundschutz
– BASIS-Absicherung
– Standard-Absicherung
– Kern-Absicherung
– Modellierung

Tag 2:

Basis Sicherheitscheck: Soll-Ist-Vergleich
Ermittlung des aktuellen Umsetzungsgrades der Sicherheitsmaßnahmen
Umsetzung der Sicherheitsmaßnahmen

BSI 200-3: Risikoanalyse auf Basis von IT-Grundschutz

Praxisbeispiele von IT-Grundschutzprofile

ISO 27001 Zertifikat auf Basis von IT-Grundschutz

Sonstiges:
Jeder Teilnehmer erhält am Ende des Seminars eine Teilnahmebestätigung.
Preis beinhaltet Unterlagen, Mittagessen und Pausengetränke inkl. Snacks.
Einzelschulungen möglich (Bitte nehmen Sie dazu mit uns Kontakt auf)

Preis:
EUR 1.399 Euro/netto

Termine:
10.08- 11.08.2020 Düsseldorf
19.10- 20.10.2020 Hilden

Der bekannte Branchenverband Bitkom hat in einer repräsentativen Umfrage festgestellt das 30% der befragten Unternehmen (458 Unternehmen ab 20 Mitarbeiter) einen IT-Sicherheitsvorfall zu verzeichnen hatte, dass ist fast jedes dritte Unternehmen.

Eine gleiche Umfrage im Vorjahr kam zu dem gleichen Ergebnis.

BITKOM Präsident Prof. Dieter Kempf sagt dazu:

„Deutsche Unternehmen sind zu einem attraktiven Ziel für Cybergangster und ausländische Geheimdienste geworden. Umso wichtiger ist es, die Sicherheitsvorkehrungen immer auf dem neuesten Stand zu halten und regelmäßig in den Schutz der eigenen IT-Systeme zu investieren.“

Eine Aussage die man nur unterstreichen kann, denn in der Realität sieht es leider anders aus und gerade bei kleinen und mittelständischen Unternehmen wird der Aspekt der IT Sicherheit leider etwas vernachlässigt, aber genau diese sind häufiger betroffen, lt. dieser Studie.

Bei Unternehmen mit einer Mitarbeiteranzahl von 20-499 war fast jedes dritte Unternehmen betroffen und Unternehmen mit mehr als 500 Mitarbeiter nahezu jedes fünfte.

Dazu Prof. Dieter Kempf

„Große Unternehmen sind zwar häufiger Angriffsziel, können die Attacken aber aufgrund ihrer personellen, finanziellen und technischen Ressourcen besser abwehren. Vor allem innovative Mittelständler mit ihrem spezialisierten Know-how in bestimmten Märkten und Technologien wecken bei kriminellen Hackern und Geheimdiensten Begehrlichkeiten.“

Alles in allem ist diese Umfrage ein Fingerzeig für alle Unternehme mehr in IT-Sicherheit zu investieren, gerade die evtl. technisch getroffenen Maßnahmen sollte man regelmäßig überprüfen und eine entsprechende Risikoanlyse für sein Unternehmen vollziehen.

In diesem Artikel möchte ich Ihnen kurz zeigen, wie Sie einen SSH-Zugang mit dem Public-Key Verfahren absichern können und worauf Sie sonst noch achten sollten. Es gibt sicherlich noch weitere Möglichkeiten z.B. mit 2FA, worauf ich evtl. mal in einem späteren QuickTipp eingehen werde.

Datenschutzrechtlich passt das ganze  zum Thema technische und organisatorische Maßnahmen (§9 BDSG sowie Anlage zu §9 Satz 1 BDSG)

In vielen Bereichen unserer Informationstechnolgie kommen u.a. Linux Server zum Einsatz, die remote Wartung und die Konfiguration des Server findet i.d.R. über ssh (Secure Shell) statt, welches eine verschlüsselte Kommunikation darstellt. Die Authentifizierung findet in der Standardeinstellung über Benutzername und Passwort statt und die Kommunikation über den Standardport 22. Wer dann ein zu einfaches Passwort erstellt hat, wird sich sicherlich mit nicht gewollten Gästen rumschlagen müssen.

Auf dem Client erstellen wir einen RSA-Schlüssel mit 4096 Bit, es ist darauf zu achten das Sie eine Passwort-Passphrase für den Schlüssel erstellen, ansonsten könnte jeder der den Schlüssel besitzt, z.B. durch eine kompromitierung des Clients, ohne Passwort auf den Server zugreifen!

Anschließend kopieren wir den Public-Key vom Client auf dem Server.

Wir können jetzt schon einmal die Verbindung testen, achten Sie darauf das Sie nicht nach Ihrem Passwort vom Server gefragt werden, sondern nach dem erstelln Passhrasen-Passwort.

Der Login mit Public Key funktioniert, allerdings ist es nach wie vor möglich sich mit dem reinen Passwort via ssh anzumelden, aber genau das wollen wir ja abstellen. Um dieses, und noch andere Einstellungen, zu ändern – müssen wir Änderungen an der /etc/ssh/sshd_config vornehmen.

Im einzelnen habe ich hier folgende Einstellungen vorgenommen:
Den Port habe ich von 22 auf 22555 gewechselt, die meisten Angriffe (Dictonary Attacks, etc) werden auf dem Standarport 22 gefahren, um diesen entgegenzuwirken wechseln wir den Port – hier auf 22555.

PermitRootLogin sollte auf no gesetzt werden, somit ist es nicht möglich sich als root über ssh auf den Server anzumelden.

Um die Authentifizierung via Benutzername und Passwort zu unterbinden ändern wir noch PasswordAuthentication und UsePAM von yes auf no. Anschließend lesen wir die neue konfiguration mit reload ssh ein und die Konfiguration ist soweit abgeschlossen.

Im unteren Fenster sehen Sie das die Standardverbindung auf Port 22 abgewiesen wird, sobald wir uns mit einem verifizierten Benutzer, wo der Public key auf dem Server hinterlegt ist, verbinden – und die korrekte Passphrase für den Schlüssel eingegeben haben, können wir uns auf den Server verbinden.

Kontextmenu Creator v1.0

In einem meiner letzten Beiträge habe ich Ihnen die Möglichkeit aufgezeigt, wie man Programm im Kontextmenu hinzufügen kann. Damit dieses auch schneller und einfacher geht, habe ich auch hierzu ein kleines Programm geschrieben, welches Ihnen diese Arbeit abnimmt. Hier können Sie den KontextmenuCreator herunterladen.

Klicken Sie einfach auf Programm wählen und suchen Sie sich eine Anwendung auf, die Sie gerne im Kontextmenu hinzufügen wollen. Das Feld Programm Name wird automatisch ausgefüllt, kann aber auf Wunsch abgeändert werden, so das dieser Eintrag dann auch im Kontextmenu erscheint.

Diese Software ist ausschließlich für Windows 7 entwickelt worden und startet automatisch mit Administrativen Rechten um Eingriffe in der Registry vornehmen zu können.

Hier finden Sie den Download

Ob der Datenschutz in einem Unternehmen ordnungsgemäß durchgeführt wird, entscheidet die Implementierung einer anständigen Datenschutzorganisation. Hier sind mehr Faktoren entscheidend, denn gerade das Unternehme muss sich zum Datenschutz bekennen und dieses auch in der Organisation anerkennen.

Der Datenschutzbeauftragte, wenn denn einer zu bestellen ist, ist maßgeblich für die Einführung einer Datenschutzorganisation verantwortlich, für die ordnungsgemäße Umsetzung benötigt er die Mithilfe der Mitarbeiter und der Geschäftsführung, wenn hier nicht in eine Richtung gearbeitet wird, dann wird es schwer werden eine anständige Datenschutzorganisatin im Unternehmen zu etablieren.

Der Datenschutzbeauftragte sollte eine genaue Vorstellung haben, wie welche Prozesse geändert werden müssen bzw. welche neuen Prozess etabliert werden sollen. Eine Tendenz zur theoretischen Seite sollte man nicht in Betracht ziehen, denn immerhin sind es die Mitarbeiter die Ihre Abläufe kennen und später auch ausführen.

Daher ist anzuraten, dass der Datenschutzbeauftragte mit den verantwortlichen Mitarbeitern die Prozesse im Unternehmen etabliert, was auch zu einer höheren Akzeptanz des Datenschutzbeauftragten bei den Mitarbeitern führen kann.

Der Datenschutzbeauftragte hat in der Regel oft ein Problem von neuen Verfahren, welche personenbezogen Daten verarbeiten, zu erfahren. Wenn diese Verfahren dann evtl. noch einer Vorabkontrolle unterliegen, dann kommt der Datenschutzbeauftragte „ins Schleudern“. Daher ist an den entsprechenden Stellen für eine Sensibilisierung für den Datenschutz zu sorgen und entsprechende Prozesse einzurichten das neue Verfahren, oder geänderte Verfahren, an den Datenschutzbeauftragten gemeldet werden. Man muss die Verantwortlichen darauf hinweisen und entsprechend schulen.

Ist dieser Prozess später im Unternehmen etabliert, hat man schon eine sehr große Hürde gemeistert, denn oft ist dieses der schwierigste Punkt – die Sensibilisierung der Mitarbeiter.  Denn diese sehen oft im Datenschutz eine Mehrarbeit, was aber natürlich nicht stimmt, wenn man entsprechende Prozesse einführt.

Wenn der Datenschutzbeauftragte nicht weiß wo und in welcher Art und Weise personenbezogene Daten erhoben werden, dann ist eine ordnungsgemäße Einführung einer Datenschutzorganisation nicht möglich, daher gilt es auch vorher die Prozesse zu identifizieren die personenbezogene Daten speichern, verarbeiten und/oder erheben.

Der Datenschutz und die Einführung einer Datenschutzorganisation ist ein Prozess der kontinuierlich weitergeführt werden muss, wir als externer Datenschutzbeauftragter, helfen Ihnen gerne dieses in Ihrem Unternehmen einzuführen.

Vereinbaren Sie einfach einen unverbindlichen Termin, oder nehmen Sie kostenlos Kontakt zu uns auf.

Es stehen Landtagswahlen in NRW an und auch bei der Vorbereitung sind Datenschutzfragen zu klären, dass LDI NRW informiert darüber

LDI Informationen zu Landtagswahl in NRW

WA6GG4FDTK6K

Beim Umgang mit den persönlichen Daten vertrauen die Deutschen an erster Stelle Krankenkassen und Banken. Wie eine vom IT-Branchenverbandes BITKOM in Auftrag gegebene Umfrage ergab, sehen 77 Prozent der Deutschen ihre Daten bei Krankenkassen geschützt, knapp vor Banken (75 Prozent), sowie Ärzten und Krankenhäusern (74 Prozent).

Nur im Mittelfeld der Umfrage-Statistik hingegen rangieren hinter den Versicherungen (60 Prozent) der Staat und die Behörden (59 Prozent), gefolgt von den Energiekonzernen (50 Prozent) und den Internetprovidern (48 Prozent). Abgeschlagen am Ende liegen die sozialen Netzwerke, denen nur 14 Prozent der Deutschen in Sachen Datenschutz ein stärkeres Vertrauen schenken.

Inwieweit die über 1000 Teilnehmer (ab 14 Jahre) der vom Institut Forsa durchgeführten Umfrage über Datenschutz informiert waren, wurde bei der Umfrage nicht berücksichtigt. Es ging also primär um das tatsächliche Empfinden beim Datenschutz innerhalb der deutschen Bevölkerung. Laut BITKOM-Präsident Dieter Kempf sei das Ziel der Studie, die Selbstverpflichtungen der Unternehmen und Behörden zu fördern. Auf diese Weise könne man unabhängig vom Staat flexibel auf neue Technologien reagieren.

Das Ergebnis der Umfrage zeigt, dass die Verbraucher gerade bei scheinbar größeren technischen Dateninfrastrukturen skeptisch in Bezug auf den Schutz ihrer Daten sind. Vor allen Dingen Unternehmen mit einer direkten Anbindung der Daten zum Internet, wie soziale Netzwerke und Internetprovider, scheinen dem Umgang mit den Daten eine nach außen sichtbare Priorität geben zu müssen, sofern sie das Vertrauen der Nutzer gewinnen wollen.

Auf der anderen Seite sieht es so aus, als würde dieses Vertrauen bei den Deutschen vor allem bei Altem und Bewährtem liegen – so ist es kein Zufall, dass Banken neben dem medizinischen Sektor die besten Umfrage-Resultate erzielen konnten. Dies dürfte nicht zuletzt daran liegen, dass hierbei altbekannte Grundsätze wie die ärztliche Schweigepflicht oder das Bankgeheimnis gelten.

Wie viele Dienstleistungen, kann man auch den Datenschutz outsourcen (externer Datenschutzbeauftragter), die Vorteile die ein Unternehmen dadurch erlangt, wenn der Datenschutz Outsourcing betrieben wird, sind folgende

Vorteile Datenschutz Outsourcing

• Betriebskosten können gesenkt werden
• Mehr Transparenz bei den Kosten
• Keine Betriebsblindheit
• Kerngeschäft kann wie gewohnt weiterlaufen
• Minimierung des Haftungsrisiko
• Erfahrung nutzen
• Umgeht den Kündigungsschutz eines internen Datenschutzbeauftragten

Das sind nur eine der wenigen Vorteile beim Datenschutz Outsourcing.

Wenn Sie auf der Suche nach einem externen Datenschutzbeauftragten sind, dann nehmen Sie mit uns Kontakt auf, wir werden Ihnen unverbindlich ein Angebot zukommen lassen.

Auch wenn Sie Fragen zum Fördergeld haben, die Sie bei gewissen Voraussetzungen erhalten, können Sie uns gerne ansprechen.

Fehler: Kontaktformular wurde nicht gefunden.

Da uns immer wieder die Frage gestellt wird, wann man einen betrieblichen Datenschutzbeauftragten bestellen muss, möchten wir mit diesem Beitrag noch einmal diese Frage klären.

Das BDSG hat die Grundlagen für die Bestellung in § 4f Abs. 1 gepackt, der wie folgt lautet

Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. (Quelle: BDSG § 4 Abs.1 )

Wir hören immer wieder Aussagen, dass ein Datenschutzbeauftragter NUR bestellt werden muss, wenn mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten. Diese Aussage ist natürlich nicht falsch, sondern nur nicht ganz komplett.

Fangen wir also von vorne an.

Ein Datenschutzbeauftragter muss bestellt werden, wenn

mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten fortlaufend beschäftigt sind

Dieses ist wie gesagt der „Klassiker“ und diese Aussage ist auch bei vielen Unternehmen bekannt, leider berufen sich einige Unternehmen nur auf diese Aussage und das ist leider falsch.

Weiterhin muss ein Datenschutzbeauftragter bestellt werden, wenn

personenbezogene Daten auf eine andere Weise (nicht automatisiert) erhoben, verarbeitet oder genutzt werden und damit min. 20 Personen beschäftigt sind.

Als Beispiel könnte man hier einen großen Handwerksbetrieb nehmen, der auch sehr viele Private Endkunden betreut und seine Touren z.B. handschriftlich aufteilt. Hier kommen die Mitarbeiter, in diesem Fall die Handwerker, mit personenbezogenen Daten in Berührung z.B. durch Nutzung der Anschriften im Tourenplan, Aufträge oder auch Reparaturaufträge und weitere.

Aber auch das ist noch nicht alles, es gibt noch eine Möglichkeit wann man einen Datenschutzbeauftragten zu bestellen hat.

Ein Datenschutzbeauftragter muss ebenfalls bestellt werden, wenn

nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen (Auszug BDSG § 4 Abs.1)

Diese Aussage ist bei kaum einem Unternehmen wirklich bekannt, zu mindestens sind das unsere Eindrücke, wir wollen hier versuchen etwas Licht in das Dunkle zu bringen, was es mit dieser Aussage auf sich hat. Dieses lässt sich wohl am besten an einem Beispiel zeigen.

Der Geschäftsführer eines kleinen Unternehmens mit nur 7 Mitarbeitern möchte ein Datenbank seiner Mitarbeiter anlegen lassen, um dort Angaben über die Fortbildung und Fähigkeiten der Mitarbeiter zu erfassen, diese Datenbank soll dazu dienen neue Aufstiegschancen für die Mitarbeiter zu schaffen.

Hier wird natürlich eine Persönlichkeitswertung vorgenommen und somit unterliegt dieses Verfahren einer Vorabkontrolle, obwohl das Unternehmen nicht mehr als 9 Mitarbeiter beschäftigt, muss ein Datenschutzbeauftragter bestellt werden, weil dieses Verfahren einer Vorabkontrolle unterliegt.

Wir wissen um die Tücken der Vorabkontrollen und können Sie dazu gerne umfassend informieren, falls Sie noch Fragen haben. Nutzen dazu einfach unser Kontaktformular.

Wichtig ist noch zu wissen, dass die Bestellung eines Datenschutzbeauftragten schriftlich zu erfolgen hat. Dieses muss bei Antritt, spätestens aber innerhalb eines Monats nach der Aufnahme der Tätigkeit erfolgen. Wir haben hier eine Beispiel Mustervorlage, zur Bestellung von einem Datenschutzbeauftragten, für Sie hochgeladen. (Muster: Bestellung Datenschutzbeauftragter)

Bestellt man keinen Datenschutzbeauftragten, obwohl man in der gesetzlichen Pflicht ist, so kann diese nicht Bestellung mit einer Geldbuße von bis zu 50.000 Euro geahndet werden ( § 43 Abs. 1 BDSG )