Home / Aktuelles & Termine / it.sec blog

Beim Aufbau einer geeigneten Infrastruktur zum IT Governance, Risk & Compliance Management (IT GRC Management) sollten folgende Schritte durchgeführt werden:

Aktivitäten in der Plan-Phase:

  1. Einbindung der zu beteiligenden Stellen ins Projekt:
    1. IT-Sicherheitsbeauftragter zur Projektsteuerung (dieser ist i.d.R. der Eigner der aufzubauenden IT GRC Infrastruktur)
    2. Datenschutzbeauftragter im Rahmen der durchzuführenden Datenschutz-Folgenabschätzung nach der EU-Datenschutzgrundverordnung, da im Zuge eines IT GRC Managements stets personenbezogene Profilingdaten verarbeitet werden
    3. Betriebsrat bzw. Personalrat im Rahmen betrieblicher Mitbestimmung, da im Zuge eines IT GRC Managements i.d.R. auch Verhaltenskontrollen unter Zuhilfenahme von technischen Einrichtungen durchgeführt werden
    4. Rechtsabteilung zur Bestimmung weiterer rechtlicher Anforderungen, die beim Aufbau der IT GRC Infrastruktur zu beachten sind (z.B. zur Revisionsfestigkeit von Protokollen und der Einhaltung bestehender Aufbewahrungs- und Löschungspflichten)
  2. Festlegung der einzuhaltenden Sicherheitsziele, die u.U. (z.B. aufgrund gesetzlicher Vorgaben) auch über die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen können, um z.B. die Authentizität (zusätzlich nach dem IT-Sicherheitsgesetz), die Nichtabstreitbarkeit von Aktionen (zusätzlich nach Basel II/III) oder die Belastbarkeit (zusätzlich nach der EU-Datenschutzgrundverordnung) nachweisen zu können – hier liefern internationale Standards wie z.B. die ISO/IEC 27001 eine strukturierte Vorgehensweise
  3. Bestimmung der zu schützenden Information Assets (darunter sind sowohl Informationen – inkl. personenbezogener Daten – als auch Prozessbeschreibungen – inkl. notwendiger Compliance-Prozesse – zu verstehen) und deren Kritikalität sowie Wertigkeit – dabei ist der Schutzbedarf ausschlaggebend und leiten sich daraus insbesondere datenschutzrechtliche Anforderungen bzw. für kritische Infrastrukturen auch Anforderungen aus dem IT-Sicherheitsgesetz ab
  4. Bestimmung der zu schützenden Supporting Assets (wie Hardware, Software, Netzwerkkomponenten, Personal, Gebäude, Räume und organisatorische Strukturen und der jeweiligen Abhängigkeiten der Assets untereinander). Deren Schutzbedarf leitet sich aus den Primary Assets ab, die durch diese Supporting Assets unterstützt werden.

Aktivitäten in der Do-Phase:

  1. Anwendung der festgelegten Sicherheitsziele auf die Gestaltung und Verwendung der Information Assets – dies erfordert eine umfangreiche Modellierung und geschieht zweckmäßigerweise unter Beachtung internationaler Standards
  2. Zusammentragung relevanter organisatorischer Anweisungen und deren (i.d.R. checklistenartige) Abbildung im Rahmen des einzusetzenden IT GRC Tools – ein entsprechender Transfer papierner Regeln und technischer Parametereinstellungen in entsprechende Tools erfordert i.d.R. nicht unerhebliche Anpassungsarbeiten
  3. Zusammentragung technischer Basisdaten (möglichst automatisiert!) ins IT GRC Tool – dabei ist darauf zu achten, dass die eingesetzten Tools erst mal eine einheitliche "Sprache" sprechen müssen, um überhaupt vergleichbare Ergebnisse liefern zu können.

Aktivitäten in der Check-Phase:

  1. Durchführung ergänzender Audits und automatisierter Tests. Um die Wirksamkeit der umgesetzten Maßnahmen innerhalb des IT GRC Tools bewerten zu können, sind ergänzende, i.d.R. semi-automatisierbare Prüfungen durchzuführen. Deren Ergebnisse sind ins IT GRC Tool einzuspeisen. Zusammen mit den automatisierten Prüfungen (durch Abgleich technischer Basisdaten mit Vorgaben aus dem umzusetzenden Regelwerk) dient dies als Beleg für die Wirksamkeit des verwendeten Rahmenwerks und damit der Haftungsentlastung.
  2. Bewertung der Ergebnisse unter Zuhilfenahme bereitgestellter Metriken (Key Risk / Goal / Performance Indicators) des IT GRC Tools – unter dem besonderen Fokus auf eine ganzheitliche Sicht. Hierbei wird insbesondere dargestellt, welchen Einfluss die aktuelle Ist-Lage auf die Primary Assets hat.

Aktivitäten in der Act-Phase:

  1. Report der Bewertung, Behebung festgestellter Mängel und Monitoring der Langzeitentwicklung – die eingesetzte Infrastruktur sollte hierzu möglichst zeitnahe Berichte "auf Knopfdruck" liefern. Diese müssen sowohl managementtauglich sein (Überblick zur Steuerung) als auch dem technischen Personal eine klaren Hinweis zur Mängelbeseitigung bzw. Administration liefern.
  2. Anpassung der bestehenden IT GRC Infrastruktur und ggf. geeignete Modifikation von deren Konfiguration – im Rahmen der kontinuierlichen Fortentwicklung

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

Am 26.07.2017 hatten wir darüber berichtet, dass das geplante Fluggastdaten-Abkommen der EU mit Kanada nach einem Gutachten des EuGH nicht mit den Grundsätzen der Europäischen Grundrechtecharta zu vereinbaren ist (das Gutachten 1/15 des EuGH vom 26.07.2017 ist abrufbar hier.).

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 09.11.2017 an die jeweils zuständigen Gesetzgeber appelliert, die bestehenden Instrumente der Verwendung von Fluggastdaten (PNR-Daten) zur Abwehr terroristischer Straftaten und schwerer Kriminalität hinsichtlich der Aussagen im Gutachten des EuGH zu überprüfen und entsprechend „nachzubessern“ (die Entschließung ist abrufbar hier.)

Zwar sei die Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität „eine dem Gemeinwohl dienende Zielsetzung der Union (…), die auch schwere Eingriffe rechtfertigen kann“, so dass die „Übermittlung der PNR-Daten (…) und ihre anschließende Verarbeitung geeignet sind, die Verwirklichung des (…) verfolgten Ziels des Schutzes der öffentlichen Sicherheit zu gewährleisten“. Dennoch sei es nicht erforderlich, besondere Kategorien personenbezogener Daten oder solche, die die Rekonstruktion eines solchen Datums zulassen, zu verarbeiten. Zudem muss die Speicherdauer der PNR-Daten sämtlicher Fluggäste auf das absolut Notwendige beschränkt werden - eine anlasslose Vorratsspeicherung von Reisedaten einschließlich sensibler Daten ist nach wie vor grundrechtswidrig.

Zu den PNR-Instrumenten gehören neben dem geplanten Fluggastdaten-Abkommen der EU mit Kanada ebenso das deutsche Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (FlugDaG) als auch das geplante Entry-Exit-System (EES), mit dem die Ein- und Ausreisedaten von Nicht-EU-Staatsangehörigen an den Außengrenzen der EU-Mitgliedstaaten erfasst werden, sowie das EU-weite Reiseinformations- und -genehmigungssystem (ETIAS) für die Sicherheitsüberprüfung von nicht visumpflichtigen Personen vor ihrer Einreise in die EU.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Monatlich gehen in Deutschland um die 50.000 neue Webseiten online. Alle diese Seiten sind gesetzlich verpflichtet, eine Datenschutzerklärung bereitzustellen. Dass ist jedoch häufig nicht der Fall.

Ab Mai 2018 kann dies empfindliche Bußgelder nach sich ziehen. Vor allem eine Webseite bietet für Aufsichtsbehörden und Verbände eine einfache Möglichkeit zu kontrollieren, ob die datenschutzrechtlichen Vorgaben umgesetzt wurden.

§ 13 TMG und auch Art 12 ff DSGVO legt jedem Webseitenbetreiber die Pflicht auf, eine Datenschutzerklärung auf seiner Webseite einzupflegen. Diese sollte im Idealfall mit nur einem Klick von jeder Seite aus erreichbar sein.

In dieser Datenschutzerklärung muss der Betreiber der Webseite den Nutzer in allgemein verständlicher Form u.a. über Art, Umfang, Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über mögliche Weitergaben von Daten an Staaten außerhalb der Europäischen Union bzw. des EWR unterrichten.

Die Nutzer müssen u.a. über Folgendes informiert werden:

  • die Erhebung von IP-Adressen,
  • die vom Browser übermittelten Daten,
  • Gewinnspiele,
  • Benutzerkonto,
  • Newsletter,
  • Webtracking,
  • Cookies,
  • Online-Bewerbungen,
  • Kontaktformulare,
  • Foren,
  • Plugins,
  • Widerspruchsrecht.

Es müssen stets die Zwecke angegeben werden, zu denen die Daten verarbeitet und an wen sie weitergegeben werden, sowie die jeweilige Rechtsgrundlage der Datenverarbeitung.

Wer den Nutzer einer Webseite nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, begeht gemäß § 16 TMG und Art 83 Abs. 5 DSGVO eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20.000.000 € geahndet werden kann. Auch kann ein Verstoß gegen das Wettbewerbsrecht vorliegen, so dass eine Abmahnung erfolgen kann.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abwehr terroristischer Straftaten ADCERT AfD Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsch Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Englisch Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Landesverband Laptop Lazarus Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht Meldeportal Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schüler Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG TOM Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Übernahme Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile Wachstum WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung Zukauf zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30