Neues Datenschutzgesetz - die wesentlichen Änderungen

Das neue Datenschutzgesetz kommt – nein, es ist schon längst in Kraft getreten und gilt ab dem 25. Mai 2018. Wer sich nicht daran hält muss mit extrem hohen Bußgeldern rechnen. Aber das ist noch nicht alles: Vor allem sollten Geschäftsführer und Vorstände nicht den Aufwand zur Erstellung der geforderten Maßnahmen und Dokumentationen unterschätzen. Es ist keine „Kann-Aufgabe“, die nebenbei mit niedriger Priorität erledigt werden kann. Der interne Datenschutzbeauftragte benötigt dafür entsprechenden Freiraum. Der externe DSB ist für kleine und mittelständische Unternehmen meist eine Alternative, denn er ist i.d.R. günstiger und bietet seinen Kunden mehr Flexibilität.

Dies sind die wesentlichen Änderungen zum bisherigen Bundesdatenschutzgesetz:

  • Transparenz- und Informationspflichten stärken vor allem die Rechte von Betroffenen. Dies bedeutet unter anderem, dass Unternehmen die Betroffenen in einfacher, leicht verständlicher Sprache unter anderem über folgendes informieren müssen:
    • Name und Kontaktmöglichkeiten des Unternehmens (der „verantwortlichen Stelle“)
    • Name und Kontakt zum Datenschutzbeauftragten
    • Die Zwecke der Datenspeicherung
    • Die Art und die Daten, die gespeichert werden

 

  • Das Recht auf Vergessenwerden besagt, dass Unternehmen Daten von Betroffenen löschen müssen, wenn diese dies fordern (sofern keine gesetzlichen Aufbewahrungsfristen dagegen sprechen). Das Recht auf Vergessenwerden geht aber noch weiter, denn es verpflichtet Unternehmen dazu, dass auch Dritte, die diese Daten ebenfalls speichern, diese ebenfalls unverzüglich löschen müssen.

 

  • Datenschutzfreundliche Voreinstellungen Data-Privacy-by-default und –by-design sind den bisherigen technisch-/organisatorischen Maßnahmen ähnlich, gehen aber deutlich darüber hinaus. Gefordert wird, dass Unternehmen als verantwortliche Stellen durch technische Voreinstellungen und Einstellungen datenschutzrechtliche Grundsätze sicherstellen müssen. Heißt unter anderem: die aus Datenschutzsicht bestmöglichen Default-Werte müssen schon bei der Datenerhebung verwendet werden. „Data Privacy by design“ bedeutet die Gestaltung von IT-Systemen, Software bzw. allgemein der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten. Beispiel: Apps werden so programmiert, dass bei der Datenerhebung, für die es kein Gesetz gibt, eine Einwilligung abgefragt wird.
    Prinzipiell gilt, dass nur tatsächlich notwendige Daten entsprechend des genannten Zweckes erhoben werden dürfen. Personenbezogene Daten sollen zudem schnellstmöglich pseudonymisiert werden.

 

  • Geänderte Verfahrensübersicht (Verzeichnis der Verarbeitungstätigkeiten)
    Das bisheriger Verfahrensverzeichnis wird erweitert um u.a.:

    • Pseudonymisierung
    • Verschlüsselung
    • Sicherstellung der Vertraulichkeit …
    • Sicherstellung der Integrität von Daten …
    • Sicherstellung der Verfügbarkeit …
      … hierzu jeweils mit Risikobewertung und entsprechenden Maßnahmen

 

  • Die Pflicht zur Datenschutzfolgenabschätzung besteht, wenn für die Betroffenen ein hohes Risiko für die Rechte und Freiheiten Betroffener besteht. Dann muss vorab eine Untersuchung der Folgen erfolgen. Für die Risiken müssen geeignete Maßnahmen, Garantien, Vorkehrungen zur Risikominimierung beschrieben und umgesetzt werden.

 

  • Geltungsbereich des neuen Gesetzes wurde erweitert für Unternehmen, deren Sitz außerhalb der EU liegen, die aber in EU-Ländern Geschäfte abwickeln. Das bedeutet, dass die neue Gesetzgebung für alle in der EU ansässigen Unternehmen sowie für ausländische Unternehmen gilt, die ihre Waren an EU-Bürger vertreiben.

 

  • Ein Datenschutzmanagement-System ist notwendig, da Unternehmen umfangreiche Maßnahmen umsetzen und kontrollieren müssen – und dies hat risikobasiert zu erfolgen. Datenschützer werden hier mit dem aus Managementsystemen bekannten PDCA-Methode arbeiten (Plan – Do – Check – Act), um ein DSMS aufzubauen.

 

  • Die Rechenschaftspflicht in der DSGVO für Unternehmen besagt, dass Unternehmen nachweisen müssen, dass sie sich an die DS-Grundsätze und Prinzipien des Datenschutzes halten und dies durch geeignete und wirksame Maßnahmen und Dokumentationen belegen müssen.

 

  • Melde- und Informationspflichten bei Datenpannen bestehen schon heute. Zukünftig gilt hier Artikel 33 DSGVO.

 

  • Das Recht auf Datenübertragbarkeit besagt, dass Betroffene erstmals verlangen können, dass ihre Daten von einem Unternehmen zu einem anderen (Mitbewerber) in maschinenlesbarer Form übertragen werden. Dies betrifft nur solche Daten, die der Betroffene selbst zur Verfügung gestellt hat.

 

  • Die Auftragsverarbeitung hieß bisher Auftragsdatenverarbeitung. Dienstleister (i.d.R. Auftragsverarbeiter) müssen:
    • Garantien bieten und „geeignete technische und organisatorische Maßnahmen müssen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ (lt. Artikel 28 DSGVO)
    • Ein Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) führen und
    • Gleichfalls auf den Abschluss eines Vertrages zur Auftragsverarbeitung mit der verantwortlichen Stelle hinwirken.

 

Die Inhalte der Verträge zur Auftragsverarbeitung ändern sich (siehe Artikel 28 DSGVO). Bisherige Verträge müssen also bis zum 25.Mai 2018 umgestellt werden.

 

  • Die Bußgelder steigen erheblich. Laut neuem Gesetz liegen sie bei bis zu 2% bzw. 4% des weltweiten Jahresumsatzes oder 10 Mio. EUR bzw. 20 Mio. EUR (siehe hierzu Artikel 83 DSGVO)

 

Alle hier gelieferten Informationen stellen lediglich allgemeine Hinweise im Datenschutzrecht dar. Sie sind als unverbindliche Anregungen, Tipps, Hinweise (ggf. mit Formulierungshilfen) zu verstehen. Sie entbinden den Verwender nicht von eigener sorgfältiger Prüfung sowie Anpassung im konkreten Einzelfall und stellen insbesondere keine Rechtsberatung oder Arbeit eines bestellten Datenschutzbeauftragten dar. Jegliche Haftung von Seiten der SIX DATENSCHUTZ ist daher ausgeschlossen.

Datenschutzbeauftragter

Alle Unternehmen ab 10 Mitarbeitern, die mit personenbezogenen Daten arbeiten, müssen laut Datenschutzgrundverordnung (DS-GVO) einen Datenschutzbeauftragten (DSB) bestellen.

Professioneller Datenschutz schafft Vertrauen bei Ihren Kunden, Lieferanten und Ihrem Personal, er verhindert Datenpannen und vermeidet teils empfindlich hohe Bußgelder und weitere Kosten.

Hierfür arbeitet CBC mit einem kompetenten externen Partner, der sich auf das Thema Datenschutz spezialisiert hat.

 

Vorteile des externen Datenschutzes gegenüber interner Bestellung:

  • Geringere Kosten durch Einsparung von Weiterbildungskosten, keine Ausfallzeiten
  • Neutralität und bessere Durchsetzbarkeit der erforderlichen Maßnahmen
  • Höhere Verfügbarkeit u.a. durch Stellvertreter-Regelung
  • Fokussierung auf Datenschutzaufgaben, kein Verzetteln durch andere Aufgaben/Doppelfunktion

 

Das Leistungsspektrum umfasst unter anderem:

  • Erstellung aller erforderlichen Dokumente wie Verzeichnis von Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Datenschutzhandbuch
  • Datenschutzschulung/-unterweisung
  • Lfd. Datenschutzbetreuung/-beratung für u.a.
    • Mitarbeiterdatenschutz
    • Auftragsdatenverarbeitung
    • Cloud-Anwendungen
    • Mobile Endgeräte
    • E-Mail und Internetnutzung am Arbeitsplatz
  • Erstellung/Prüfung von Berechtigungskonzepten
  • Erstellung von Datensicherheitskonzepten
  • Vertragsgestaltung z.B. für Auftragsverarbeiter
  • Ansprechpartner für Landesdatenschutzbehörden z.B. bei Prüfungen u/o Anfragen
  • IT-Sicherheit in Kooperation mit CBC-Experten

Veeam Disaster Recovery as a Service (DRaaS)

Veeam bietet DRaaS als Teil einer umfangreichen Availability-Strategie an, berücksichtigt dabei die Aspekte Virtualisierung und Speicherinvestitionen in Ihr Rechenzentrum und erweitert diese durch eine Hybrid-Cloud. Dank einer preiswerten und effizienten Image-basierten VM-Replikation und den weltweit führenden und besonders vertrauenswürdigen DRaaS-Providern lässt sich für ALLE Anwendungen (mit RTPO von weniger als 15 Minuten) ein echtes, Cloud-basiertes Disaster Recovery erreichen.

 

Die Lösung umfasst folgende Features:

  • Einen Cloud-Host für DR mit CPU, RAM, Storage- und Netzwerkressourcenzuweisung von einem DRaaS-Provider
  • Ein vollständiges Site-Failover an einen DR-Remotestandort mit nur wenigen Klicks über ein sicheres Webportal an jedem beliebigen Ort und ein teilweises Site-Failover, um sofort nur auf ausgewählte VM-Replikate zu wechseln
  • Ein vollständiges und teilweises Failback, um den normalen Geschäftsbetrieb wiederherzustellen
  • Integrierte Netzwerkerweiterungs-Appliances zur Vereinfachung der Netzwerkkomplexität und zur Aufrechterhaltung der Kommunikation mit und zwischen laufenden VMs, unabhängig vom physischen Standort
  • 1-Click Failover Orchestrierung für die schnelle Ausführung und das Testen von Site-Failovern für eine Failover-Simulation ohne Unterbrechung des Produktivbetriebs
  • Eine Anbindung über einen einzigen Port über eine sichere und zuverlässige SSL/TLS-Verbindung (Transport Layer Security/Secure Sockets Layer) zu einem Serviceprovider mit Datenverkehrverschlüsselung
  • Mehrere Technologien zur Reduzierung des Datenverkehrs einschließlich einer integrierten WANBeschleunigung und Replikations-Seeding

 

Veeam

SonicWall

  • SonicWall Next Generation Firewalls
  • Deep Packet Inspection
  • RFDPI Technologieermöglicht protokollunabhängige Applikationserkennung
  • Network Security: UTM Firewalls
  • Content Security: E Mail Security
  • Remote Access: SSL-VPN
  • Clean Wireless: SonicPoints
  • Firewall Hosting
  • VPN Standortvernetzung
  • Automatisierte Konfigurationssicherung
  • Analyse Internetverkehr / Traffic
  • Firewall-Patching und kontinuierliches Updaten für aktuellste Bedrohungsabwehr
  • Monitoring der Angriffe auf das Firmennetzwerk
  • Firmware Update
  • AntiSpam/Content Filter
  • Mail & Web Security Gateways
  • Secure Remote Access

Firewall Scan mit SonicWall Wire Mode

Wissen Sie eigentlich wie gut Ihre Firewall ist?

Um das IT-Sicherheitsniveau weiterzuentwickeln und zu verbessern, muss der aktuelle Status bekannt sein. CBC bietet Ihnen einen Scan Ihrer Firewall-Umgebung und die Möglichkeit, in Ihrer produktiven Umgebung eine Next-generation Firewall zu testen.

 

Unser Angebot für Sie:

  • Implementierung einer SonicWall in Ihrer produktiven Umgebung:
  • Einrichtung der Firewall in der bestehenden Umgebung
  • Einweisung in die Handhabung
  • Einweisung zu False / Positive
  • Optional: Konfiguration Reporting zur Analyzer VM oder Windows Software

 

Vorteile auf einen Blick:

  • Schnelle Testumgebung der NGFW Features von Sonicwall ohne große Kosten
  • Erweiterung bestehender Firewall Konzepte um NGFW Features
  • Optional langfristige Ablösung der bestehenden Firewall Infrastruktur

 

Fileserver Mangement Suite

Die Fileserver Management Suite bietet Ihnen:

  • Transparente Fileberechtigungen
  • Automatisiertes Berechtigungsmanagement
  • Self Service für Fachabteilungen
  • Auditsichere Protokollierung der Berechtigungen
  • Monitoring der Berechtigungssituation

 

Vorteile:

  • Automatisierter Berechtigungsmanagement Prozess ohne Aktivitäten durch Helpdesk oder IT-Administration
  •  Zeit- und Kosteneinsparung durch den Wegfall manueller Tätigkeiten im Bereich First und Second Level Support
  • Jederzeit Transparenz darüber wer Zugriff auf welche Daten hat ohne Mitwirkung der IT-Administration
  • Gewährleistung der Informationssicherheit durch kontinuierliches Monitoring der Zugriffsberechtigungen und Audit-Trail über alle Berechtigungsveränderungen
  • Unerwünschte Ansammlung von Rechten kann durch zeitlich befristete Berechtigungsvergabe vermieden werden
  • Beschleunigte Prozesse durch die Vergabe von Real-Time Berechtigungen und Einsatz effizienter Freigabeworkflows
  • Skalierbar auf jede Organisationsgröße und –struktur hinsichtlich geografischer Verteilung der Standorte und Datenvolumen
  • Keine lokale Installation auf den Clients erforderlich, vollständig browserbasierte Bedienung
  • Multilinguales Self Service Portal für den Einsatz in internationalen Umgebungen

 

Gerne stehen Ihnen die Experten von CBC bezüglich Beratung und Implementierung der Lösung zur Verfügung.

WLAN-Ausleuchtung und WLAN-Konzepterstellung

Von der Planung, Konzeptionierung und Modernisierung über die optimale Installation und Konfiguration bis hin zur täglichen Überwachung und Betriebsführung decken die Leistungen der CBC WLAN Services den kompletten Lifecycle Ihrer WLAN-Infrastruktur ab. Die Basis bildet eine professionelle IST-Analyse, die sowohl On-Site als auch Offl-Site erfolgen kann.


Leistungsumfang CBC WLAN Survey:

  • Ausleuchtung der Räumlichkeiten oder einer bestehenden WLAN-Infrastruktur zur Abdeckungsüberprüfung sowie Schwachstellenanalyse
  • Nachweis der erreichten Signalstärken, Kanalinterferenzen und Rauschabstände
  • Erstellung einer vollständigen Dokumentation inkl. grafischer Aufbereitung der Analyseergebnisse
  • Erweiterung der Dokumentation mit Handlungsempfehlungen
  • Planung und Konzeptionierung auf Basis Ihrer Anforderungen hinsichtlich Client-Dichte, Roaming, Gäste-Management etc.
  • Detailplanung möglicher Wi-Fi-Montagepunkte und Anzahl an benötigten Access-Points
  • Fachgerechte Montage und korrekte Einstellung der WLAN-Geräte (Modem, Router etc.)
  • Inbetriebnahme, Konfiguration und Einstellung des WLAN mit lückenloser Netzabdeckung in Ihrer gewünschten Bandbreite
  • Präzise Begrenzung der Funksignale auf Ihre Büros und Arbeitsflächen, um Missbrauch zu vermeiden
  • Abschließende Überprüfung der neuen WLAN-Infrastruktur


Netzwerk (LAN/WAN)

  • kosteneffiziente Netzwerkinfrastruktur
  • Routing, Switching, Wireless LAN
  • Ausschreibungsbegleitung und Projektierung
  • vereinfachte Netzwerkverwaltung
  • Anbindung mobiler Mitarbeiter


WLAN

  • Planung und Implementierung von komplexen Netzwerk-Infrastrukturen nach Kundenbedürfnissen
  • Implementierung, Monitoring & Reporting im Bereich  HP und Meru Netzwerk Management
  • Erstellung von Routing-Konzepten
  • Durchführung von Hardware- und Netzwerkanalysen

Nessus

Schwachstellenscan

Wir bieten Ihnen umfangreiche Schwachstellenscans Ihrer IT-Systeme und Netzwerkkomponenten.Diese sind wichtig um:

  • Schwachstellen in IT-Systemen und Netzwerkkomponenten systematisch schließen
  • IT-Sicherheitsniveau weiterentwickeln
  • Sicherheitsanforderungen durch Gesetze wie das BDSG und Standards und Normen wie PCI DSS, SOX oder ISO erfüllen

 

Key Features sind:

  • Breite Abdeckung von Hard- und Software
  • Scannen ohne Authentifizierung: Auffinden von Hosts und Schwachstellen
  • Scannen mit Authentifizierung: Identifizierung von Fehlkonfigurationen, fehlenden Patches und Systemzuständen
  • Identifizierung von Bedrohungen
  • Flexibles Reporting

8MAN

Berechtigungsanalyse und –management

Warum Berechtigungsmanagement?

Sicherheit

  • Ressourcen visualisieren: Unstimmigkeiten auf einen Blick erkennen und optimieren
  • Risiken minimieren: Relevante Unternehmensdaten durch Berechtigungsmanagement schützen


Transparenz

  • Compliance untermauern: 8MAN als Fundament für zertifizierte Sicherheit (BSI, PCI-DSS, BDSG, etc.)
  • Änderungen dokumentieren: Im Vergabeprozess Kommentare verpflichtend eingeben


Effizienz

  • Rechtevergabe beschleunigen: Im Dashboard und der Suche durch schnelle und präzise Ergebnisse Zeit einsparen
  • Zugriffsrechte provisionieren: Berechtigungen flexibel zeit- und rollenbasiert vergeben und entziehen
  • Reporte automatisieren: Tatsächliche Berechtigungen an Fachverantwortliche zeitgesteuert kommunizieren
  • Data Owner einbeziehen: Zuständigkeiten für Ressourcen definieren und kontrollieren


Leistungen und Vorteile im Überblick:

  • Berechtigungsmanagement in Windows-Umgebungen
  • Analyse und Reporting von bestehenden Berechtigungsstrukturen und Zugriffen
  • Administration von Benutzern und Berechtigungen
  • Prüfen von Berechtigungen
  • Delegation von Berechtigungsmanagement
  • AD, NTFS, SharePoint, Exchange, vSphere
  • Einfache Oberfläche
  • Zertifizierte Abläufe und Reports
  • Einfaches Ändern und/oder Klonen von Berechtigungen
  • Entwirren von Berechtigungen und Loops

Icinga

  • Icinga Consulting / Beratung und Implementierung
  • Beschaffung und Installation geeigneter Hardware
  • Installation und Konfiguration des Monitorings
  • Integration in Helpdesk und Trouble Ticket Systeme
  • Integration von Monitoring Clients
  • Entwicklung geeigneter Eskalationsstrategien
  • Schulung von Administratoren und Endanwendern
  • Icinga Support

 

Netzwerk / WLAN

  • Schwachstellen Scan und Reporting
  • Standortvernetzung
  • Zugriffsberechtigungen/Sicherheitsmanagement
  • Überwachung von Netzwerkkomponenten
  • Bandbreitenmanagement
  • Netzwerksegmentierung
  • Performanceberichte & Analyseberichte
  • Durchführung von Konfigurationssicherungen
  • Protokollierung von Systemzugriffen

Docusnap

  • Dokumentation und Inventarisierung der Hard- und Software z.B. Microsoft Windows, Linux, Mac OS
  • Inventarisierung und Dokumentation kompletter IT-Netzwerke z.B. Dienste wie DNS, DHCP, DFS und die Active Directory Services ADS
  • Inventarisierung und Dokumentation weiterer Netzwerkgeräte wie Switche, Router, Firewalls oder Drucker mittels SNMP
  • Inventarisierung von Virtualisierungen auf Basis Microsoft Hyper-V, VMware ESX oder vSphere und Citrix XenCenter
  • Berechtigungsanalyse
  • Notfallhandbücher, Visualisierung von IT Beziehungen, IT-Konzepte
  • Automatisierungen von IT-Dokumentation
  • Software-Lizenzmanagement

 

ISO Zertifizierung: Consulting, Implementierung und Projektmanagement

Steigender Wettbewerbsdruck, die Erfordernis, Geschäftsprozesse zu optimieren und die Erfüllung von Kundenanforderungen erfordert eine schlanke Organisation mit Blick auf Synergien, Bündelung von Ressourcen, Kosten und Aufwand sowie zur Steigerung der Wettbewerbsfähigkeit.

Unter anderem die Einführung von Qualitätsmanagementsystemen ermöglicht es Unternehmen, diesen Anforderungen in geeigneter Form gerecht zu werden.

Durch die Einführung und Implementierung von integrierten Managementsystemen, wie z.B. eines Qualitätsmanagementsystems nach ISO 9001 und eines Informations-Sicherheits-Management-Systems (ISMS) nach ISO 27001 gehen Sie einen entscheidenden Schritt in Richtung nachhaltige Sicherheit und der Erfüllung Ihrer Kundenanforderungen.

Zu unserem Leistungsumfang gehören unter anderem:

  • Implementierung, Aufrechterhaltung und Weiterentwicklung von integrierten Managementsystemen (Schwerpunkte: ISO 9001, 14001 und 27001 sowie weitere Standards z.B. PSI DSS)
  • Beratung und Unterstützung in allen Fragen eines (integrierten) Qualitätsmanagementsystems
  • Projektbegleitung – Konzeption, Auslegung und Inbetriebnahme von Qualitätsmanagement- und Dokumentationsmanagementsystemen
    – von der Planung bis zur Zertifizierung, z.B. DIN EN ISO 9001, 14001
  • Unterstützung bei der Auswahl geeigneter Intranet Lösungen
  • Interne Management- und Mitarbeiterschulungen sowie Workshops zum Thema QM
  • Beratung bei der Auswahl des Zertifizierers und Betreuung im Zertifizierungsaudit
  • weitergehende Betreuung und Beratung auch nach der Zertifizierung
  • Beratung zur Integration weiterer Qualitätsmanagementsysteme, z.B. ISO 27001
  • Durchführung interner Audits
  • QM-Marketing: Beratung bei der Planung und ggf. Durchführung von Maßnahmen zur innerbetrieblichen Umsetzung des QM Systems

IT Security Trainings und Workshops

Wir bieten Ihnen ein umfangreiches Angebot an IT Security Trainings und Workshops.

Ob spezialisiertes IT Wissen oder Anwenderschulungen (z.B. Microsoft Office), ob für IT Administratoren oder Anwender, für größere Gruppen oder Einzelpersonen, bei Ihnen vor Ort oder in unserem Schulungsraum – sprechen Sie uns an und lassen Sie sich ein individuelles Angebot erstellen!

img-securityGrundlage für jedes Unternehmen: Eine ganzheitliche IT Security Strategie nach Maß.

Zu den größten Security Herausforderungen von Unternehmen gehören heute der Schutz geschäftskritischer und personenbezogener Daten sowie die Sicherstellung der Compliance Anforderungen.

Wir stel­len sicher, dass alle Infor­ma­tio­nen, Daten und IT Services Ihres Unter­neh­mens jeder­zeit hin­sicht­lich ihrer Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit geschützt sind. Dabei setzen wir auf ganzheitliche IT Security Strategien um jederzeit technische Sicherheit und Informationssicherheit zu gewährleisten.

Mit unseren umfassenden Managed Security Lösungen mit 24×7 Monitoring und Support durch unser hochqualifiziertes Personal bieten wir Ihnen umfassenden Schutz aus einer Hand.

 

 

IT Security Solutions Partner


8MANAerohiveArubaDell EMCDocusnapFileserver Management SuiteHewlett Packard EnterpriseIcingaNessus

Ihr Ansprechpartner

Jörg Schorstein
Sales Solution Consultant
- IT Security Solutions -
Tel. +49 69 97377-0
MuD@cbc-ag.de