Support

Lorem ipsum dolor sit amet:

24h / 365days

We offer support for our customers

Mon - Fri 8:00am - 5:00pm (GMT +1)

Get in touch

Cybersteel Inc.
376-293 City Road, Suite 600
San Francisco, CA 94102

Have any questions?
+44 1234 567 890

Drop us a line
info@yourdomain.com

About us

Lorem ipsum dolor sit amet, consectetuer adipiscing elit.

Aenean commodo ligula eget dolor. Aenean massa. Cum sociis natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus. Donec quam felis, ultricies nec.

Datenschutz & DSGVO

Lösung für kleine und mittelständische Firmen

Datenschutz/DSGVO für kleine Unternehmen

Schutz gegen Abmahnungen und Ausfälle

Version 0.8 – Stand 6.2.2018

Oft wird einem die Wichtigkeit der IT-Sicherheit erst bewusst, wenn ein Schaden entstanden ist. Jedoch sind IT-System heutzutage Lebensadern von kleinen und großen Unternehmen. Ein Ausfall kann teuer werden – bis hin zur Insolvenz.

Hinzu kommt, dass personenbezogene Daten einem besonderen gesetzlichen Schutz unterliegen. Dieser wird ab dem 25. Mai 2018 mit der europäischen Datenschutzgrundverordnung geregelt.

Datenschutzbehörden können bei Verstößen gegen geltende Verordnungen Geldbußen von bis zu 20 Millionen Euro festsetzen. Dazu können Schadensersatzforderungen von Geschädigten kommen.

Die Datenschutzgrundverordnung betrifft auch kleine Unternehmen maßgeblich.

Schutzmaßnahmen sind daher zwingend. Zusätzlich drohen ab Mai 2018 Abmahnungen durch Mitbewerber oder Abmahnvereine.

Schutzziele

Beim Datenschutz geht es um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Bei der IT Sicherheit geht es im Wesentlichen um den Schutz von Unternehmenswerten.

Die Datenschutzgrundverordnung fokussiert folgende Schutzziele:

  1. Vertraulichkeit
    Informationen sollen vor Unbefugten verborgen sein und bleiben.
    BSP: Informationen aus Email und Kontaktformularen müssen gesichert und verschlüsselt übertragen werden.
  2. Integrität
    Es geht um die Unversehrtheit von Daten. Daten müssen vor Manipulation geschützt werden.
    BSP: Der Praktikant darf nicht versehentlich Geburtsdaten ändern
  3. Verfügbarkeit
    Vorhandene Daten müssen bei Bedarf zur Verfügung stehen.
    BSP: Ein Onlineshop wird durch einen Hackerangriff lahmgelegt. So kann der Kunde nicht mehr auf seine Daten zugreifen.

 Wir wollen hier nicht schon bestehende Veröffentlichungen noch einmal zusammenschreiben. Daher haben wir eine praktikable Checkliste zusammengestellt, um vor allem kleinen Unternehmen die Umsetzung der wichtigsten Themen zu erleichtern.

Allerdings ersetzt diese Checkliste keine individuelle Beratung – vor allem wenn Sie viel mit personenbezogenen Daten arbeiten.

Diese Checkliste beinhaltet die minimalen Anforderungen, die Unternehmen jeder Größe mindestens erfüllen muss.

Je nach Größe, Art und Inhalt der Unternehmen gelten jedoch weitaus umfangreichere Vorschriften.

 

PC & Laptops

1.1

Software auf aktuellem Stand (neueste Updates werden genutzt)

z.B. WIN XP oder 2000 sind nicht sicher

 

1.2

Keine ungenutzte Software ist installiert

Alte Software birgt Sicherheitslücken

 

1.3

Virenschutz ist auf jedem Rechner installiert und aktuell

 

 

1.4

Jeder Nutzer hat ein eigenes Passwort

Das Passwort sollte regelmäßig geändert werden

 

1.5

PCs nutzen Passwortschutz bei Pause

 

 

Smartphones, Tablets

2.1

Es wird aktuelle Software genutzt

 

 

2.2

Passwortschutz wird genutzt

Einfaches Entsperren ist nicht möglich

 

2.3

Nur notwendige Apps sind installiert

 

 

Netzwerk

3.1

Es wird eine Firewall genutzt

Software ist aktuell, Passwortschutz vorhanden

 

3.2

Alle Daten sind Passwortgeschützt

z.B. auf Server oder Netzwerkfestplatte

 

3.3

Unbefugte können das Netzwerk nicht nutzen

 

 

3.4

WLAN Zugang ist verschlüsselt

Mindestens WPA Verschlüsselung

 

Backup

4.1

Es gibt ein regelmäßiges Backup

 

 

4.2

Das Backup ist verfügbar

 

 

4.3

Das Backup ist gegen Diebstahl oder Brand gesichert

 

 

4.4

Rücksicherung ist möglich

Muss regelmäßig getestet werden

 

Website/ Homepage

5.1

Die Homepage wird per SSL verschlüsselt

 

 

5.2

Die Software erhält regelmäßige Updates

Ist das CMS aktuell gegen Angriffe geschützt

 

5.3

Das Webhostingpaket nutzt aktuelle Software

z.B. aktuelle PHP Version

 

5.4

Zugangspasswörter werden regelmäßig gewechselt

 

 

5.5

Wird eine aktuelle Datenschutzerklärung verwendet

 

 

5.6

Genügt das Impressum der aktuellen Gesetzeslage

 

 

5.7

Sammeln Sie nur notwendige personenbezogene Daten und klären Sie den Besucher darüber auf

 

 

5.8

Google Analytics oder andere Analysesystem: Hier gelten verschärfte Vorschriften.

-       Vertrag zur Auftragsdatenverarbeitung

-       IP Anonymisierung

-       Datenschutzerklärung aktualisieren

-      Opt Out Cookies + Link zu Browser PlugIn setzen

 

5.9

Cookie Hinweise: Einsatz muss geprüft werden

 

 

Emails

6.1

Es wird ausschließlich die verschlüsselte Übertragungstechnik verwendet

STARTTLS oder SSL

 

6.2

Das Emailsystem nutzt Antivirensoftware

 

 

6.3

Es gibt Verhaltensvorschriften für die Öffnung von Anhängen und Links

 

 

Mitarbeiter

7.1

Es gibt Verhaltensvorschriften für die Öffnung von Anhängen und Links aus Emails

 

 

7.2

Es gibt Verhaltensvorschriften für die Nutzung des Web und von Browsern

 

 

7.3

Jeder Mitarbeiter hat eigene Zugangsdaten

So kann ein Mitarbeiter auch explizit gesperrt werden.

 

7.4

Mitarbeiter kennen die Gefahren und handeln umsichtig mit Daten

 

 

Notfall

8.1

Es gibt eine Dokumentation aller Maßnahmen und Passwörter

 

 

8.2

Es gibt einen Maßnahmenplan für Notfälle

 

 

8.3

Wichtige Ansprechpartner und Adressen sind verzeichnet.

 

 

Personenbezogene Daten

9.1

Prüfen Sie, ob Sie einen Datenschutzbeauftragen brauchen

 

 

9.2

Erstellen Sie eine Dokumentation über die Daten:

-      Wo fallen diese Daten an?

-      Wer verarbeitet die Daten?

-      Welche Daten fallen an?

-      Wer hat Zugriff?

-      Wo werden die Daten gespeichert?

-      Wie können die Daten gelöscht werden

Hier benötigen Sie wahrscheinlich Beratung

 

Weitere Infos erhalten Sie z.B. bei Ihrer IHK

 

9.3

Prüfen Sie Verträge mit anderen Unternehmen, bei denen personenbezogene Daten ausgetauscht werden

Hier benötigen Sie wahrscheinlich Beratung

 

Weitere Infos erhalten Sie z.B. bei Ihrer IHK

 

9.4

Mitarbeiter sind im Umgang mit personenbezogenen Daten geschult.

Hier benötigen Sie wahrscheinlich Beratung

 

Weitere Infos erhalten Sie z.B. bei Ihrer IHK

 
             

 

Quellen und weiterführende Informationen

 

  1. https://www.ihk-oldenburg.de/blob/olihk24/geschaeftsfelder/rechtundsteuern/downloads/3924028/b6f58d87cce09c645baf3a65e6855d13/Datenschutz-fuer-kleine-Unternehmen-data.pdf
  2. http://www.awv-net.de/upload/online-dokumente/04651_Broschre_zur_DSGVO.pdf
  3. „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“
    Bayrisches Landesamt für Datenschutzaufsicht

www.erecht24.de

Copyright 2018 ViCoTec.