pre-seminare: 02. märz 2016 konferenz: 03. - 04. …...tensicherheit (gdd) e.v. in dieser funktion...
TRANSCRIPT
The
men • Vom Wettlauf zwischen Hase und Igel - zum Verhältnis von Datenschutz und Technik
• Datenschutz gehackt - Live und Lösungen• Security Intelligence: Angriffe erkennen, Daten gefährden?• Werbung, Direktmarketing, Kundendaten - datenschutzrechtliche Möglichkeiten und Grenzen• Datenschutz und Administratoren• Das Verfahrensverzeichnis - Heute vorbereitet für die DS-GVO• EU-Datenschutz-Grundverordnung - Wann, Was, Wie oder abwarten?• Sensibilisierung für den Datenschutz - Werkzeuge und Lösungen• Biometrische Systeme im Unternehmenseinsatz• Vertrauen ist gut, Kontrolle ist besser? Technische Arbeitnehmerüberwachung und Datenschutzrecht• Datenschutz und Technik - ist das vereinbar?• Datenschutz als Spaßbremse - (Un)-Sinn technischer Lösungen?
Pre-Seminare: 02. März 2016Konferenz: 03. - 04. März 2016
www.ibs-schreiber.de
4. Hamburger Datenschutztage
Marit Hansen Landesbeauftragte für Daten-schutz Schleswig-Holstein
Prof. Dr. Thomas HoerenITM - Institut f. Informations-, Tele-kommunikations- & Medienrecht
RA Andreas JaspersGeschäftsführer - GDD e.V.
Referenten der Konferenz sind u.a.:
2
Ihre Referenten
RA Dr. Frank Bongers Esche Schümann CommichauDr. Frank Bongers ist Rechtsanwalt mit dem Beratungsschwerpunkt Daten-
schutzrecht sowie Fachanwalt für Arbeitsrecht bei der Sozietät Esche Schümann
Commichau (www.esche.de). Dort berät er seine Mandanten insbesondere in
den spezifischen Rechtsfragen des Kunden- und Arbeitnehmerdatenschutzes. Herr Dr. Bongers
ist Autor zahlreicher Veröffentlichungen.
Dr. Friederike Gräfin von Brühl, M.A. K&L Gates LLPDr. Friederike Gräfin von Brühl ist Rechtsanwältin und Partnerin im Berliner Büro
von K&L Gates und Mitglied der Praxisgruppe Telekommunikation, Medien und
Technologie mit dem Schwerpunkt IP/IT. Sie berät Ecommerce-, Software- und
Technologieanbieter sowie Unternehmen aus der Kunst- und Medienbranche, insbesondere bei
komplexen Lizenzverträgen, Transaktionen und Rechtsstreitigkeiten. Neben dem IT- und Daten-
schutzrecht decken ihre Erfahrungen im Recht des geistigen Eigentums das gesamte Spektrum
des Urheber-, Marken- und Wettbewerbsrechts ab.
Dr. Werner Degenhardt Fakultät für Psychologie der Ludwig-Maximilians-Universität München Dr. Werner Degenhardt ist Akademischer Direktor und CIO. Seine Hauptinter-
essen als Wissenschaftler sind Human Factors in der IT-Sicherheit, computer-
gestützte Zusammenarbeit und Benutzbarkeit von IT-Systemen. Seine IT-Karriere begann er als
Software-Entwickler für wissenschaftlich-statistische Anwendungen. Herr Degenhardt berät Unter-
nehmen und Behörden bei Fragen der IT-Sicherheit und bei Awareness-Maßnahmen.
Daniela Duda Datenschutzbeauftragte GDDcert. - ASINARIUSDaniela Duda ist langjährige externe Datenschutzbeauftragte, berät und begleitet
KMUs sowie Konzerne verschiedener Branchen im Fachbereich Datenschutz
und steht dem ERFA-Kreis Bayern der GDD e.V. vor.
Holger Freundlich Datenschutzbeauftragter - IBS Schreiber GmbHHolger Freundlich ist seit Februar 2011 Mitarbeiter der IBS Schreiber GmbH und
war vorher 25 Jahre in der Siemens AG tätig. Zuletzt hat er in Schweden mehrere
internationale Projekte geleitet. Weiterhin hat sich Holger Freundlich qualifiziert
als: Globaler Zertifizierungsmanager und Auditor im Bereich Netzwerk (CISCO) sowie Projektma-
nager im Bereich Telekommunikationssysteme (HiPath4000 und OpenScape Voice).
Konstantin Gork IBS Schreiber GmbHDipl.-Geophys. Konstantin Gork ist seit Mitte 2007 bei der IBS Schreiber GmbH
als Prüfer IT und Security tätig und war vorher 8 Jahre für den Betrieb eines Re-
chenzentrums bei der Siemens AG verantwortlich. Zu seinen Aufgaben gehörte
das Planen und Einrichten von Kundenanbindungen, das Betreiben einer Firewall und der Netzin-
frastruktur sowie die Unterstützung des technischen Vertriebes. Weiterhin war er verantwortlich für
die Umsetzung kundenspezifischer ITIL-Prozesse.
Marit Hansen Landesbeauftragte für Datenschutz Schleswig-HolsteinDipl.-Inf. Marit Hansen ist seit 2015 die Landesbeauftragte für Datenschutz
Schleswig-Holstein und damit Leiterin des Unabhängigen Landeszentrums für
Datenschutz Schleswig-Holstein (ULD). Davor war sie sieben Jahre die stellver-
tretende Landesdatenschutzbeauftragte und hat im ULD den Bereich der Projekte für technischen
Datenschutz aufgebaut.
Prof. Dr. Thomas Hoeren ITM - Institut für Informations-, Tele-kommunikations- und Medienrecht, Universität MünsterProf. Dr. Thomas Hoeren studierte Theologie und Rechtswissenschaften. Von
1996 bis Ende 2011 war Hoeren Richter am OLG Düsseldorf. Seit 1997 leitet er
die Zivilrechtliche Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht
der Universität Münster. Zudem ist er Mitglied des Wissenschaftlichen Beirats der DENIC sowie
Kuratoriumsmitglied des Research Center for Information Law der Universität St. Gallen.
RA Andreas Jaspers Geschäftsführer - Gesellschaft für Daten-schutz und Datensicherheit (GDD) e.V.Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Da-
tensicherheit (GDD) e.V. In dieser Funktion begleitet er die Gesetzgebungsvorha-
ben zum Datenschutz und steht unterstützend und beratend den über 2.500 Mitgliedern im Bereich
Datenschutz und den 29 regionalen ERFA-Kreisen mit über 3.000 Mitgliedern in Deutschland zur
Verfügung.
RAin Kathrin Schürmann Schürmann Wolschendorf DreyerKathrin Schürmann ist seit 2007 als Rechtsanwältin bei Schürmann Wolschen-
dorf Dreyer tätig und berät Unternehmen der Film-, Fernseh- und Verlagsbranche
sowie Agenturen, Autoren und Kreativschaffende. Ein weiterer Schwerpunkt der
Tätigkeit von Frau Schürmann liegt in der Beratung und Betreuung von Unternehmen in daten-
schutzrechtlichen Angelegenheiten sowie in Fragen des IT- und Internetrechts.
Oliver Schonschek Freier Journalist und FachautorOliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fach-
journalist im Bereich IT-Sicherheit und Datenschutz. Zudem ist er Herausgeber
und Fachautor zahlreicher Fachpublikationen.
Thomas Tiede Geschäftsführer - IBS Schreiber GmbHThomas Tiede ist seit 2000 Geschäftsführer der IBS Schreiber GmbH. Seine um-
fangreichen Erfahrungen im Bereich der Unternehmensprüfung fließen in seine
langjährige Seminartätigkeit ein. Er gilt als anerkannter Experte der Zugriffs- und
Sicherheitsphilosophien von Betriebssystemen, Datenbanken und SAP®. An der Entwicklung des
GRC-Tools CheckAud® for SAP® Systems war und ist Thomas Tiede maßgeblich beteiligt.
3
Vorwort
Liebe Interessenten und Freunde des IBS!
Datenschutz und IT-Technik sind eng miteinander verknüpft.
Ein großes Problem besteht darin, dass datenschutzrelevante Regelungen der rasanten IT-technischen Entwicklung weit hinter-herhinken. Cloud-Computing, mobile Geräte, „flexibles Arbeiten“ und soziale Netzwerke beinhalten betreffs des Datenschutzes ein großes Risiko-Potential. Und auf diese aktuellen Techniken müssen wir noch heute Datenschutzvorschriften der 90er Jahre anwenden!
Fragen zur Vereinbarkeit von neuen IT-Technologien und datenschutzrechtlichen Anforderungen für Kunden und für Beschäftigte sind daher zu stellen und zu beantworten. Die Kontrolle auf Einhaltung von Regelungen und Vorschriften ist zu gewährleisten im Sinne der Unternehmen und im Sinne der Betroffenen.
Es sollte ein Selbstverständnis für Beschäftigte und auch Kunden sein, Datenschutzregelungen und -vorschriften zu akzeptieren und danach zu handeln – gestützt durch umfassende Sensibilisierungs- und Awareness-Maßnahmen.
Die IBS Schreiber GmbH nimmt sich dieser Themen jeweils frühzeitig an mit der Intention, das interne Kontrollsystem (IKS) zeit-nah neuen Risiken anzupassen - sei es aus Sicht des Datenschutzbeauftragten, sei es aus Sicht der internen Revision. Dabei liegt der Fokus stets auf der angemessenen praktischen Umsetzung dieser Anpassung unter rechtlichen und IT-technischen Aspekten.
Wir freuen uns, Sie zu den „4. Hamburger Datenschutztagen“ vom 3. bis zum 4. März 2016 hier in Hamburg begrüßen zu dürfen.
Mit herzlichen Grüßen
Ihr
Dr. Michael Foth
Konferenzleitung: Dr. Michael Foth - IBS Schreiber GmbHMichael Foth ist Spezialist für Datenschutz und für Sicherheitsanalysen von LAN- und WAN-Infrastrukturen. Er ist zugelassener Datenschutzgutachter des europäischen Datenschutzgütesiegels. Zudem ist Herr Foth Leiter der An-erkannten Datenschutzprüfstelle der IBS Schreiber GmbH. Er betreut national und international aufgestellte Mandan-ten als externer Datenschutzbeauftragter.
4
Pre-Seminar am 02.03.2016
Termin:02.03.2016 09:30 – 17:00 Uhr
Kosten:400,- € zzgl. MwSt.inkl. Mittagessen, Getränke und Seminarunterlagen
Durchführung:Vortrag, Diskussion, Beispiele am Rechner/Beamer. Jeder Teilnehmer hat eine eigene Workstation.
Teilnehmerzahl:max. 12 Personen
Veranstaltungsort:IBS Schreiber GmbHZirkusweg 1, 20359 Hamburg
Referenten:Holger Freundlich, IBS Schreiber GmbHKonstantin Gork, IBS Schreiber GmbH
Technik und Datenschutz bei mobilen Geräten
Die Nachfrage nach dem Einsatz mobiler Geräte und Kommunikationsmedien in Unternehmen steigt. Den Beginn machte zweifellos das Handy, das am Anfang nur geringe bis keine Risiken mit sich trug. Die Zeiten, in denen das Handy als reines Telefon eingesetzt wurde, sind jedoch längst vorbei. Inzwischen hat sich aus dem Mobiltelefon ein mobiler Computer entwickelt, mit einem vielfältigen Angebot an Funktionen und Diensten. Dieses vielfältige Angebot birgt jedoch viele Risiken und Gefahren.
Im Rahmen von Prüfungen muss daher ein intensives Augenmerk auf diese Kommunikationsmedien (Smartphones, Tablets, USB-Sticks, Notebooks, externe Festplatten usw.) gelegt werden, vor allem auf Regelungen und Weisungen im Umgang mit ihnen. Der Nachteil dieser Systeme besteht darin, dass sie sich nicht permanent stationär in einer zentralen Infrastruktur befinden und daher keiner kontinuierlichen Kontrolle unterliegen können.
In diesem Seminar werden Möglichkeiten und Risiken des Einsatzes der mobilen Kommunikation aufgezeigt. Ziel des Seminars ist die Erarbeitung einer strukturierten Vorgehensweise bei der Prüfung notwendiger organisatorischer und technischer Maßnahmen.
Mobile Kommunikationsgeräte• Smartphone• Netbook, Notebook, externe Festplatte • USB-Stick
Mobile Kommunikation• USB, Bluetooth• Wireless LAN, Infrarot
Risiken• Bewegungsprofile• Abhörbarkeit• Datenverlust
Regelungen / Verfahrensanweisungen• Handhabungen• Konfiguration• Software• Kommunikation• Organisatorisches Umfeld• Backup• Verlust des Gerätes oder der Daten• Unbefugte Einsichtnahme• Beschaffungsweg• Gefährdung anderer Systeme• Datenverschlüsselung
Prüfmittel• Prüfleitfäden• Prüftools
5
Pre-Seminar am 02.03.2016
Termin:02.03.2016 09:30 – 17:00 Uhr
Kosten:400,- € zzgl. MwSt.inkl. Mittagessen, Getränke und Seminarunterlagen
Durchführung:Vortrag, Diskussion, Beispiele am Rechner/Beamer. Jeder Teilnehmer hat eine eigene Workstation.
Teilnehmerzahl:max. 12 Personen
Veranstaltungsort:IBS Schreiber GmbHZirkusweg 1, 20359 Hamburg
Referenten:Melanie Dörholt, IBS Schreiber GmbHDr. Michael Foth, IBS Schreiber GmbH
Datenschutzgerechte Löschkonzepte
Sind vertrauliche Vollstreckungsinformationen oder Abmahnungen in Personalakten für die Ewigkeit? Das Gegenstück zu der Pflicht von Unternehmen, bestimmte Daten für einen bestimmten Zeitraum verfügbar zu halten, ist aus Datenschutzsicht die Verpflichtung, diese Daten nach Ablauf dieser Zeiträume zu löschen. Wie datenschutzgerechte Löschkonzepte aussehen können, ist das Thema dieses Ein-Tagesseminars.
Die Entwicklung von Löschkonzepten in Konzernen und Unternehmen hat sich in den letzten Jahren zum Dauerbrenner entwickelt. Insbesondere aufgrund der Relationalität komplexer IT-Infrastrukturen sind die Lösungen nicht einfach zu finden.
Nach der Erörterung der rechtlichen Grundlagen der Löschverpflichtung werden mit den Teilnehmern die gesetzlichen, organisato-rischen und technischen Anforderungen an Löschkonzepte unter der Zugrundelegung einschlägiger DIN-Normen besprochen. Die Teilnehmer erhalten Hinweise zur Bildung verschiedener Datenkategorien und zur besonderen Berücksichtigung der jeweiligen Zweck-bestimmung der Daten.
Checklisten und Prozessbeschreibungen geben den Teilnehmern Arbeitshilfen für die Entwicklung und Prüfung von Löschkonzepten im Unternehmen.
Rechtsgrundlagen• Das BDSG und die Löschpflicht• Die Bedeutung der Zweckbestimmung• Löschfristen• Definitionen: Löschen, Sperren, Archivieren
Datenarten• Systematische Erfassung von Datenarten• Kriterien für die Kategorisierung • Datenarten kategorisieren• Vertraulichkeitsklassifikation
Löschklassen• Matrix der Löschklassen• Datenarten, Löschklassen und Löschregeln
Festlegung von Löschfristen• Vorhaltefristen und Löschfristen• Regellöschfristen• Definition von Beginn und Ende• Gesetzlich geforderte Fristen• Zweckdefinierte Fristen• Zweckänderung und Friständerung• Besondere Datenarten (Sicherungskopien und Logdaten)
Vorgaben für die Umsetzung von Löschregeln• Inhalt von Umsetzungsvorgaben• Regelungsbereiche im Unternehmen
6
Programm 1. Tag (03.03.2016) - Vormittags
Empfang
Begrüßung und Eröffnung der Fachkonferenz durch den Vorsitzenden
Vom Wettlauf zwischen Hase und Igel - zum Verhältnis von Datenschutz und TechnikProf. Dr. Thomas Hoeren, ITM – Institut für Informations-, Telekommunikations- und Medienrecht, Universität MünsterKonkret geht es darum, das Verhältnis von Technik und Datenschutz näher zu beleuchten. Technik unterläuft notwendig alle territorialen Vorgaben der Juristen, wie die jüngsten Fälle rund um Google, Facebook & Co zeigen. Gleichzeitig kann Technik Datenschutz unterstützen, wie „Privacy by design“-Konzepte demonstrieren. Im Vortrag wird, anhand aktueller Fälle und Ge-richtsentscheidungen, die komplexe und verworrene Beziehung von Technikern und Juristen im Datenschutzrecht aufgezeigt.
Live: Datenschutz gehackt - und LösungenKonstantin Gork, IBS Schreiber GmbHSehr viele Unternehmen und Organisationen speichern ihre Daten in Datenbanken oder in der „Cloud“, um sie persistent zu speichern und verfügbar für verschiedene Standorte zu haben. Bei diesen Daten sind unter anderem Unternehmensdaten wie Mitarbeiter oder wohl möglich noch Kundendaten dabei. Je nach Umsetzung oder Lösung gibt es eine oder mehrere Schnittstel-len, die mittels Login oder einer anderen Authentifi kation geschützt sind. Diese Schnittstellen oder Verbindungen bilden meist die Schwachstellen des Informationsaustausches. Live Hacking einer Webbasierten Schnittstelle mittels:• SQL Injektion• Account-Hijacking / Man-In-The-MiddleMögliche Maßnahmen zum Schutz:• Schnittstelle absichern• Daten gesichert speichern
Kaffeepause
Security Intelligence: Angriffe erkennen, Daten gefährden?Oliver Schonschek, Freier Fachjournalist und FachautorZur Erkennung und Abwehr der zunehmend komplexen Angriffe werden sicherheitsrelevante Daten aus Clouds, Netzwerken, Geräten und Anwendungen gesammelt und ausgewertet. Dabei tauschen sich Sicherheitsanbieter und Anwenderunternehmen auch untereinander aus. Die daraus entstehende Security Intelligence kann dabei helfen, Daten besser zu schützen. Sie kann aber auch Daten gefährden. Der Vortrag klärt die Fragen:• Was ist Security / Threat Intelligence?• Welche Daten werden gesammelt und ausgewertet?• Wie hilft Security Intelligence der Datensicherheit?• Was ist bei Security Intelligence aus der Cloud zu beachten?
Mittagspause
09:00 Uhr
09:15 Uhr
09:30 Uhr
10:15 Uhr
11:15 Uhr
11:30 Uhr
12:30 Uhr
7
Kaffeepause
Das Verfahrensverzeichnis – Heute vorbereitet für die DS-GVODaniela Duda, ASINARIUS - Datenschutzbeauftragte GDDcert. Die EU-Datenschutzverordnung steht vor der Tür. Bis diese Tür sich öffnet besteht keinesfalls Stillstand im Datenschutz. Manches in Ihren heutigen Unternehmensprozessen kann wegweisend und investitionssichernd diesen Schritt vorbereiten. Das Verfahrensver-zeichnis von heute kann für Sie zur übersichtlichen Bewertungsgrundlage der Veränderungen von morgen werden.• Aktueller Stand – Erfordernis und Inhalt des Verfahrensverzeichnisses heute• Das Verfahrensverzeichnis [und Sanktionen] im Licht der EU-Datenschutz-Verordnung• Konkreter Nutzen eines gut geführten Verzeichnisses im Licht der kommenden Verordnung• Was sollte ein Unternehmen heute beachten?
Kaffeepause
EU-Datenschutz-Grundverordnung – Wann, Was, Wie oder abwarten?RA Andreas Jaspers, Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. - GeschäftsführerDie Diskussionen über ein neues EU-Datenschutzrecht beschäftigt Verbände, verunsichert Geschäftsführungen und erschwert schon jetzt den Alltag der betrieblichen Datenschutztbeauftragten. Die Verordnung wird unmittelbare Rechtswirkung bei Inkrafttreten für ganz Europa haben. Vieles ist zwar dem deutschen Datenschutzrecht angelehnt, aber auch für die Datenschutzbeauftragten wird nach dem jetzigen Stand mit weitreichenden Änderungen und neuen Anforderungen zu rechnen sein.• Wie ist der aktuelle Stand zum Inhalt und zu Entscheidungen?• Was sind neue Anforderungen an den betrieblichen Datenschutzbeauftragten?• Was kann schon jetzt getan oder umgesetzt werden?• Wie sieht der Zeitplan der Umsetzung und des Inkrafttretens aus?
Ende des 1. Tages
Hamburger Abend (Networking)
14:00 Uhr
15:00 Uhr
15:15 Uhr
16:15 Uhr
16:30 Uhr
17:15 Uhr
18:30 Uhr
Programm 1. Tag (03.03.2016) - Nachmittags
Parallel-Vorträge
1.1. - Werbung, Direktmarketing, Kundenda-ten - datenschutzrechtliche Möglichkeiten und GrenzenRA Dr. Frank Bongers, Esche Schümann CommichauWer bei Werbung und Direktmarketing an Datenschutz denkt, dem fallen häufi g Schlagwörter ein wie: Einwilligung, „Double Opt-In“, UWG, Bestätigungsmail, Kundenzufriedenheitsbefra-gung, Newsletter, AGB oder Adresshandel. Wie diese zusam-menhängen und welche werbliche Nutzung der Kundendaten zulässig ist, verlangt häufi g viel Klärungsaufwand und Diskussi-onen zwischen Geschäftsleitung und Datenschutzbeauftragten. Eine sorgfältige Prüfung wird immer wichtiger, um Risiken zu vermeiden. Es wird u. a. um folgende Fragen gehen: • Wann ist Werbung ohne Einwilligung möglich und zulässig?• Wie muss eine Einwilligung erfolgen und dokumentiert werden?• BDSG und UWG: Wie ist das Spannungsverhältnis aufzulösen?• Was sind die Risiken bei Nicht-Einhaltung der Vorschriften?• Welche Risiken entstehen durch neue Regelungen?
1.2. - Datenschutz und Administratoren
Holger Freundlich, IBS Schreiber GmbH„Ich bin Administrator, ich darf das“ ist ein sehr bekannter Spruch, der bezüglich des Datenschutzes sehr kritisch gesehen werden muss. Denn der Benutzer Administrator kommt jederzeit an alle Daten des Servers. Diese kann er einsehen und verän-dern, wenn dies nicht durch ein spezielles Berechtigungskonzept geregelt ist. Daher ist wichtig, dass folgende Punkte betrachtet und realisiert sind:• Sensibilisierung der Administratoren• Manipulationssichere Protokollierung• Kontrolle der administrativen Zugänge• Nachvollziehbarkeit der administrativen Tätigkeit(en)
8
08:30 Uhr
09:00 Uhr
10:00 Uhr
10:15 Uhr
Programm 2. Tag (04.03.2016) - Vormittags
Empfang
Parallel-Vorträge
2.1. - Sensibilisierung für den Datenschutz - Werkzeuge und LösungenDr. Werner Degenhardt, Fakultät für Psychologie und Pädagogik der Ludwig-Maximilians-Universität MünchenInformationstechnologie gibt ihren Betreibern alle Möglichkeiten für Datensammlung und Massenüberwachung in die Hand. Die Betroffenen arbeiten nach Kräften mit daran, dass Datensamm-ler Bürgerrechte aushöhlen können. Datenschützer beobachten das mit Resignation, Verhaltensänderung erscheint allzu schwie-rig. Es ist aber nur die Wahl des richtigen Mittels, die schwierig ist.• Ursachen der freiwilligen Selbstpreisgabe• Warum Sensibilisierungsmaßnahmen fehlschlagen: Zur Logik
des Misslingens• Verhaltenswirksame Sensibilisierung: Wie geht das?• Welche Risiken entstehen durch neue Regelungen?
2.2. - Live: Hacking von SAP-Systemen - Die unterschätzte Gefahr Thomas Tiede, IBS Schreiber GmbHSAP-Systeme stehen nicht nur im Fokus von Hackern um Geldfl üsse zu manipulieren, sondern insbesondere auch um an sensible Unternehmensdaten zu gelangen. In SAP-Systemen werden u.a. Mitarbeiter-, Kunden- und Lieferantendaten gespei-chert. In der Vergangenheit sind viele solcher Fälle von Daten-klau durch die Presse gegangen, die Dunkelziffer liegt allerdings um einiges höher. Daher muss auf der Absicherung der SAP-Systeme insbesondere auch aus Datenschutzsicht ein beson-derer Fokus liegen. • Komplexität von SAP-Systemen• Der „typische Hacker“ – gibt es ihn?• SAP Standardfunktionalitäten zum Datenklau• Lösungsansätze zum Datenschutz in SAP-Systemen
Kaffeepause
Parallel-Vorträge
3.1. - Biometrische Systeme im Unternehmens-einsatz
RAin Kathrin Schürmann, Schürmann Wolschendorf DreyerBiometrische Verfahren gehören zu den wichtigsten automati-sierten Authentifi kationsmethoden beim Zugang zu Rechnern oder Gebäuden. Dennoch werden die Systeme in Unternehmen nur sehr zurückhaltend eingesetzt, obwohl die Vorteile solcher Systeme beim Schutz vor unberechtigtem Zutritt und Zugriff auf der Hand liegen. Aus Sicht des Datenschutzes spielt der Schutz der biometrischen Referenzdaten eine wichtige Rolle, nicht zu-letzt um auch die eigenen Mitarbeiter vom Einsatz des Systems zu überzeugen. • Welche biometrischen Verfahren gibt es?• Welche Daten werden gespeichert?• Was ist aus Sicht des Datenschutzes zu beachten? • Welche Anforderungen bestehen an die Systeme und die
Speicherung biometrischer Daten?• Was müssen Unternehmen bei der Einführung biometrischer
Systeme beachten?
3.2. - Vertrauen ist gut, Kontrolle ist besser? Technische Arbeitnehmerüberwachung und DatenschutzrechtDr. Friederike Gräfi n von Brühl, M.A., K&L Gates LLPArbeitgeber können ein nachvollziehbares Interesse daran haben, zur Gewinnung betriebsrelevanter Informationen auf die Daten ihrer Mitarbeiter zuzugreifen. Problematisch ist der Zugriff allerdings im Lichte des Rechts auf informationelle Selbstbestimmung und auf Vertraulichkeit der Information. Wichtig ist daher das Verständnis der Schranken, die ein Arbeitgeber in der Praxis zu beachten hat, um die Kontrolle seiner Mitarbeiter zulässigerweise durchzuführen. Klare Regelungen im Vorfeld ermöglichen den Schutz des Unternehmens unter Wahrung der Persönlichkeitsrechte der Beschäftigten. Folgen-de Fragestellungen stehen im Fokus der Betrachtung:• Welche Grenzen hat der Arbeitgeber beim Zugriff auf die E-Mails
seiner Mitarbeiter einzuhalten?• Unter welchen Voraussetzungen darf eine Videoüberwachung
von Mitarbeitern stattfi nden?• Welche Möglichkeiten hat der Arbeitgeber, seine Mitarbeiter auf
IT-sicherheitskonformes Verhalten zu überprüfen?
9
Kaffepause
Datenschutz und Technik - ist das vereinbar?Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-HolsteinMit dem technischen Fortschritt geht einher, dass immer mehr personenbezogene Daten verarbeitet werden. Ist Technik also eine Bedrohung für die Persönlichkeitsrechte? Ja. Aber zugleich ist sie ein wesentlicher Teil der Lösung für einen zukunftsfähigen Datenschutz. In diesem Beitrag werden der Einfl uss der Technik auf die Gesellschaft, Gestaltungsoptionen und ihr Potenzial für einen besseren Datenschutz diskutiert.• Technik als Bedrohung für den Datenschutz?• Technik als Lösung: Privacy-Enhancing Technologies• Eine Frage der Gestaltung: Privacy by Design = eingebauter Datenschutz• Datenschutz durch Technik in der EU-Datenschutz-Grundverordnung
Mittagspause
Podiumsdiskussion
Datenschutz als Spaßbremse – (Un)-Sinn technischer Lösungen?RA Frank Bongers, Dr. Werner Degenhardt, Daniela Duda, Konstantin Gork, Marit Hansen, RAin Kathrin SchürmannModeration: Dr. Michael FothDie Technik bietet heute viele Möglichkeiten Daten zu erzeugen, zu verarbeiten, zu nutzen und zu verteilen. Der Datenschutz bremst viele durch die IT-Technik gegebenen Nutzungsmöglichkeiten von Daten aus. Oder fehlt die Berücksichtigung des Daten-schutzes schon bei der Entwicklung neuer technischer Lösungen? • Bremst der Datenschutz technische Entwicklungen aus?• Ist jede technische Neuerung aus Datenschutzsicht überhaupt sinnvoll?• Wie kann der Datenschutz als Partner für technische Innovationen dienen?• Lässt sich Vertrauen auf Grund der gegebenen schnellen technischen Entwicklungen bei den Betroffenen überhaupt noch
erreichen?
Verabschiedung - Konferenzende
Programm 2. Tag (04.03.2016) - Nachmittags
11:15 Uhr
11:30 Uhr
12:30 Uhr
14:00 Uhr
15:30 Uhr
...nächster Termin „Hamburger Datenschutztage“
Pre-Seminare: 22.03.2017
Datenschutztage: 23. - 24.03.2017
10
Anmeldung Pre-Seminare (02.03.2016)
Name:
Vorname:
Firma:
Abteilung:
Straße:
PLZ Ort:
Tel.:
E-Mail:
Veranstaltungsort*: IBS Schreiber GmbH Zirkusweg 1, 20359 Hamburg Tel. +49 40 69 69 85-15
Bitte wählen Sie ein Pre-Seminar aus:Pre-Seminare: a Pre-Seminar 1: Technik und Datenschutz bei mobilen Geräten a Pre-Seminar 2: Datenschutzgerechte Löschkonzepte
Teilnahmegebühr1: 400,- € zzgl. MwSt. (pro Seminar/Teilnehmer)
Ort/Datum: Unterschrift:
Für eine Anmeldung faxen Sie diesen Abschnitt an: +49 40 69 69 85-31, nutzen Sie unsere Online-Anmeldung unter: www.ibs-schreiber.de oder senden Sie eine E-Mail an [email protected].
*HINWEIS Der Veranstaltungsort der Pre-Seminare ist 2 min Fußweg vom Konferenzhotel entfernt.
11
Für eine Anmeldung faxen Sie diesen Abschnitt an: +49 40 69 69 85-31, nutzen Sie unsere Online-Anmeldung unter: www.ibs-schreiber.de oder senden Sie eine E-Mail an [email protected].
Veranstaltungsort: Empire Riverside Hotel(Konferenzhotel) Bernhard-Nocht-Straße 97, 20359 Hamburg
Tel. +49 40 31 11 90
Teilnahmegebühr1: 1.200,- € zzgl. MwSt. pro Person (inkl. Fachkonferenzunterlagen als Ausdruck und auf USB-Stick, Mittagessen und Pausengetränke). Teilneh-mer aus dem öffentlich-rechtlichen Bereich erhalten Sonderkonditionen. Sprechen Sie uns gern an!
a Ja, ich nehme am 03.03.2016 gern am „Hamburger Abend“ teil.
Ort/Datum: Unterschrift:
Hotelreservierung Empire Riverside Hotel
Anreise: ___________________________
Abreise: ___________________________
□ Einzelzimmer inkl. Frühstück 99,00 € □ Doppelzimmer inkl. Frühstück 119,00 € □ Nichtraucher □ Raucher
HINWEIS: Bei den genannten Hotelpreisen handelt es sich um IBS-Sonderkonditionen. Diese gelten NUR für den Zeitraum vom 01.03.-04.03.2016 und NUR bei direkter Buchung über die IBS Schreiber GmbH.
Anmeldung 4. Hamburger Datenschutztage (03. - 04.03.2016)
Name:
Vorname:
Firma:
Abteilung:
Straße:
PLZ Ort:
Tel.:
E-Mail:
1Fachkonferenzen (inkl. Pre-Seminare) sind von den Rabattierungen für DIIR-, ISACA- & ISC2-Mitglieder ausgeschlossen.
12
IBS Schreiber GmbHInternational Business Servicesfor Auditing and ConsultingZirkusweg 120359 Hamburg
Fon: +49 40 69 69 85-15Fax: +49 40 69 69 85-31
Wir können mehr für Sie tun.
Unser Produktportfolio:• Seminare & Fachkonferenzen• Prüfung & Beratung (IT-/SAP®-Sicherheit)• Unterstützung im Bereich Datenschutz• GRC Prüfsoftware - CheckAud® for SAP® Systems
Sprechen Sie uns gern an!