Buffl
Buffl
Datenschutz

BSI-IT-Grundschutz/ Folgeabschätzung/ VVT/ Audit

DW
by Dastin W.

Was ist eine Schwellwertanalyse?

Es werden Daten erhoben, bei denen es sehr unplausibel erscheint, dass diese unproblematisch für einen Score-Wert verwendet werden können (z.B. ethnische Herkunft). Die Eintrittswahrscheinlichkeit und der Schaden der Rechte und Freiheiten würde in diesem Fall ein hohes Risiko für die Betroffenen bedeuten.

Schwellenweranalyse “Zehnerregel”?



Was wenn die Schwellenanalyse positiv ist?

Teambuilding:

  • Geschäftsführung, als Verantwortlicher

  • AV

  • ggf. Anwalt

  • falls vorhanden BSI

  • Admin

Planung:

  • Prüfplanung

  • Festlegung des Beurteilungsumfangs (Scope)

  • Identifikation und Einbindung von Akteuren und betroffenen Personen

  • Rechtsgrundlagen


Was sagt die Prüfplanung aus?

Überlegen wie zu Prüfen ist? z. B. Zyklen, Zeitinrevall

Festlegung des Beurteilungs Umfangs (Scope)? Methoden?

Systemarchitektur (Zeichnung):


Datenflüsse (Zeichnung):


Identifikation und Einbindung von Akteuren und betroffenen Personen?


  • Verantwortliche,

  • Auftragsverarbeiter,

  • Betroffene,

  • Weitere Betroffene


Rechtsgrundlagen?


Durchführung in einer Folgeabschätzung?

  1. Modellierung der Risikoquellen

  2. Risikobeurteilung (Risikoanalyse)

  3. Auswahl geeigneter Abhilfemaßnahmen


Modellierung der Risikoquellen?



Beispiel:


Risikobeurteilung (Risikoanalyse) ?



Beispiele für Schadenkategorien nach ErwGr. 75 DS-GVO?



Risiko Matrix in einer Folgeabschätzung?


Wie sieht eine Risikobeurteilung aus?


Wie die Risiken in einer Risikomatrix reduzieren?

  • Datenminimierung

  • Pseudonymisieren (Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist ein Code, bestehend aus einer Buchstaben- oder Zahlenkombination) ersetzt, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren)

  • Anonymisieren (Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Eine vollständige Anonymisierung ist sehr schwer zu erlangen)


Was tuen mit dem Risiko?



DS-GVO Art. 36


Lösung über die Behörden, die haben dann für die Lösung 8 Wochen Zeit.

Wozu dient eine Datenschutzfolgenabschätzung?


Die Datenschutz-Grundverordnung (DSGVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein.

Wann muss eine Datenschutzfolgeabschschätzung erfolgen?

Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sogenannte Datenschutz-Folgenabschätzung‎ (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Was hat sich durch die DSGVO am Verfahrensverzeichnis verändert?

1. „Verfahrensverzeichnis“ wurde zum „Verzeichnis von Verfahrenstätigkeiten“

2. Es gibt nur noch ein Verzeichnis

3. Kein Anspruch auf Herausgabe von Betroffenen mehr

4. Faktisch muss jedes Unternehmen mit mehr als dem Inhaber ein Verzeichnis führen

5. Die Struktur hat sich verändert





Wofür brauchen wir das Verzeichnis?

Eine Verarbeitungsübersicht gibt insbesondere darüber Auskunft,

● welche personenbezogenen Daten

● unter Verwendung welcher automatisierten Verfahren

● auf welche Weise verarbeitet werden und

● welche Datenschutzmaßnahmen die Prozesse schützen.

Damit hilft das Verzeichnis der Verarbeitungstätigkeiten auch dabei, die Betroffenenrechte umzusetzen, etwa das Recht auf Auskunft.

Denn nur so bekommt ein Verantwortlicher wirklich einen Überblick, an welcher Stelle er welche Daten wie verarbeitet.

Welche Schritte sollten Sie hin zur Verarbeitungsübersicht machen?

  • Zuerst geht es um einen Überblick über alle Zwecke, zu denen ein Verantwortlicher Daten verarbeitet. Denn die Datenverarbeitungszwecke führen zu den jeweiligen automatisierten Verfahren.

  • Dann geht es darum, eine Liste aller Fachverfahren und Software-Anwendungen aufzustellen, die personenbezogene Daten verarbeiten.

  • Im dritten Schritt erfolgt eine Verknüpfung zwischen Fachverfahren, Softwareapplikation und Datenverarbeitungszwecken.

  • Sodann geht es darum, die jeweils betroffenen Personengruppen und Datenkategorien feststellen,

  • mögliche Datenempfänger zu ermitteln,

  • die Löschfristen zu definieren

  • und geplante Datenübermittlungen an Drittstaaten festzuhalten


Früher waren Audits Grundlage?

Bis zur Einführung der DSGVO galt laut BDSG(alt) §9 ein Datenschutzaudit als Garantie für die sachgerechte Umsetzung der gesetzlichen Regelungen für den Datenschutz. Daher war die Durchführung für Firmen notwendig. Heute ist er freiwillig und ist dann Teil einer Zertifizierung.


Dennoch können wir viele Informationen über solche Audits bekommen.

Wann könnte sich ein Datenschutzaudit lohnen?

● Zweifel an der Notwendigkeit der Bestellung eines Datenschutzbeauftragten

● Zweifel an der Effektivität des Datenschutzmanagementsystems (DSMS), durchgeführter Datenschutz-Folgenabschätzungen und angelegter Verzeichnisse der Verarbeitungstätigkeiten

● Keine spezifischen Datenschutzmaßnahmen für einzelne Unternehmensbereiche wie IT, Marketing, Vertrieb, HR

● Umfangreiche Auftragsverarbeitungsverträge

● Gefahren für die IT-Sicherheit, drohende oder mögliche Hackerangriffe

● Datenschutzverstößen durch das zuständige Amt

Wie läuft ein Audit in der Regel ab?

1. Es wird ein Termin vereinbart mit einem entsprechendem Auditor. (Bei Zertifizierung immer extern)

2. Es wird ein Prüfkatalog herangezogen und die entsprechenden Punkte werden Systematisch überprüft.

3. Es wird ein Prüfbericht geschrieben und Maßnahmen vorgeschlagen.

4. Nach der Umsetzung der Maßnahmen werden spontan Stichproben genommen um die Umsetzung zu überprüfen.

ToDo´s

● Termine koordinieren und als Ansprechpartner zur Verfügung stehen wenn nicht anders möglich Vertreter benennen

● Notwendige Dokumente bereitstellen (nicht alles was gewünscht ist ist notwendig)

● Dokumentation der Kommunikation und der Begehung

● Zusammenfassung und Bericht für den Verantwortlichen erstellen

● Termin mit Verantwortlichen machen und offene Fragen klären

● Wenn nötig bei den Zuständigen stellen nach Ergebnis erkundigen

Welche Wege gibt es, sich zu authentifizieren?

1. Erkennung durch Wissen

2. Erkennung durch Besitz

3. Erkennung durch Fähigkeit

4. Erkennung durch den Ort

5. Erkennung durch Eigenschaften

Kombinationen der Authentifizierung?

Durch die Kombination unterschiedlicher Faktoren erhöht sich der Grad der Sicherheit. Hierbei können auch mehrere Faktoren der gleichen Kategorie verwendet werden.


Verschlüsselung ist z.B. in der Regel die Kombination von Besitz und/oder Wissen.

Was beinhaltet der BSI Grundschutz

  • Managementsysteme für Informationssicherheit

  • IT Grundschutz Methodik

  • Risikoanalys auf der Basis von IT-Grundschutz

  • Notfallmanagement


Schritte bei der Standard Absicherung?


PDCA Zyklus?


Die Phasen des Sicherheitsprozess?


Erstellung eines Sicherheitskonzeptes?

• Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten,

• technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente,

• Regelungen zum Umgang mit klassifizierten Informationen,

• ein geeignetes Identitäts- und Berechtigungsmanagement,

• die Anwendung kryptographischer Maßnahmen,

• ausreichende Datensicherungsverfahren,

• Verfahren zur Erkennung und Abwehr von Schadsoftware

Join Course
Preview

Author

Dastin W.

Information

Last changed

Report course
© 2023 Buffl GmbH