Eventkalender

DSGVO Workshop – Das Verzeichnis der Verarbeitungstätigkeiten mit Vorlage

Aufgrund der großen Nachfrage unser Kunden und Interessenten hat SEC4YOU im November 2017 einen DSGVO Workshop angeboten, der speziell die Umsetzung von DSGVO Maßnahmen beleuchtet und betroffenen Unternehmen die Chance bietet direkt am Workshop mit den Maßnahmen zu beginnen bzw. das eigene Vorhaben mit Vorlagen und Entscheidungsgrundlagen zu unterstützen.

Der Workshop richtete sich an öffentliche und private Unternehmen aller Branchen die personenbezogene Daten verarbeiten bzw. speichern. Entgegen der weit verbreiteten Meinung, dass die DSGVO nur für große Unternehmen gilt, wurde diese Frage sowohl von Workshop Leiter Manfred Scholz, als auch von zwei anwesenden Rechtsanwältinnen abschließend beantwortet:

Die DSGVO betrifft alle Unternehmen die personenbezogene Daten verarbeiten – unabhängig von der Unternehmensgröße und Rechtsform – ab dem 25.5.2018!

Nach der Erklärung der Historie der Datenschutz-Grundverordnung und der Position von Österreich bei der europäischen Abstimmung, einigten sich die Teilnehmer auf die wesentlichen Bestandteile der DSGVO Umsetzung. Als wichtige Aufgabe innerhalb der DSGVO Maßnahmen wurde die in Österreich neue Anforderung der Führung eines Verzeichnis der Verarbeitungstätigkeiten thematisiert.

Verzeichnis der Verarbeitungstätigkeiten mittels Software?

Entgegen der Meinung einzelner Anbieter sollte ein Software-Tool zur Führung des Verzeichnisses der Verarbeitungstätigkeiten nicht im Vordergrund eines DSGVO Projektes stehen, da die initiale Erstellung bei kleinen und mittelgroßen Unternehmen in der Regel in Excel oder Word erfolgen kann. In großen Unternehmen, oder wenn die Pflegeaufwände für die Führung und regelmäßige Kontrolle bzw. Überarbeitung des Verzeichnisses durch mehrere Mitarbeiter oder in verteilten Unternehmens erfolgen soll, kann die Einführung eines speziellen Tools auch Kosten sparen.

Das Verzeichnis der Verarbeitungstätigkeiten – DSGVO VV

Wie im deutschen Datenschutz als „Verfahrensverzeichnis“ oder „Verfahrensübersicht“ seit über 10 Jahren üblich, fordert nun die DSGVO ebenfalls die Führung eines Verzeichnis der Verarbeitungstätigkeiten von Unternehmen. Experten sehen hier einen Unterschied zum DSG 2000 bei dem in Österreich eine grundsätzliche Meldepflicht bestimmter Datenanwendungen im Datenschutzregister erforderlich ist (bis Mai 2018) bzw. war (ab Mai 2018).

Wichtiges Merkmal eines Verfahrensverzeichnisses ist, dass die datenverarbeitenden Unternehmensprozesse erfasst werden und nicht die Anwendungen selbst.

=> Was gehört daher nicht in ein Verzeichnis der Verarbeitungstätigkeiten? z.B. MS CRM, Excel oder Exchange

Die wichtigen Inhalte des Verzeichnis der Verarbeitungstätigkeiten wurden zusammengefasst.

In der Rolle des Verantwortlichen ist zu erfassen:

• Name und Kontaktdaten des Verantwortlichen, ggfls. gemeinsam Verantwortlichen oder eines Vertreters (EU)
• Name und Kontaktdaten des Datenschutzbeauftragten
• Zweck der Verarbeitung
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Kategorien von Empfängern
• Übermittlung in Drittländer (ggfls. Garantien)
• Löschfristen
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM gemäß Art 32 Abs.1)

Hingegen haben Auftragsverarbeiter folgende Erfassungspflichten:

• Name und Kontaktdaten des Verantwortlichen, ggfls. gemeinsam Verantwortlichen oder eines Vertreters (EU)
• Name und Kontaktdaten des Datenschutzbeauftragten
• Kategorien von Verarbeitungen
• Übermittlung in Drittländer (ggfls. Garantien)
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM gemäß Art 32 Abs.1)

Im letzte Teil des Workshops wurden exemplarische Beispiele präsentiert, wie ein Verfahrensverzeichnis aussieht und das SEC4YOU Template V1.1 des Verzeichnis der Verarbeitungstätigkeiten vorgestellt.

DEEPSEC IN-DEPTH SECURITY CONFERENCE 2016

DEEPSEC In-Depth Security Conference 2016

Die DEEPSEC 2016 war ein großer Erfolg. Die Location The Imperial Riding School Vienna – A Renaissance Hotel war wie in den letzten Jahren ein hervorragender Ort für die qualitativ hochwertigen Vorträge. Aufgrund des internationalen Publikums waren alle Vorträge in Englisch.

Besonders überzeugt haben wie in kleinen Gruppen organisieren Workshops, hier ein Auszug:

• Hacking Web Applications: Case Studies of Award-winning Bugs in Google, Yahoo, Mozilla and more, Dawid Czagan (Silesia Security Lab)
• Do-It-Yourself Patching: Writing Your Own Micropatch, Mitja Kolsek (ACROS d.o.o.)
• Deploying Secure Applications with TLS, Juraj Somorovsky (Hackmanit GmbH / Ruhr University Bochum)
• Offensive iOS Exploitation, Marco Lancini (MWR InfoSecurity)
• IoT Hacking: Linux Embedded, Bluetooth Smart, KNX Home Automation, Slawomir Jasek (SecuRing)
• Hands on Hacking with the WiFi Pineapple, USB Rubber Ducky and LAN Turtle, Darren Kitchen, Sebastian Kinne, Robin Wood (Hak5 LLC, Digininja)
• Offensive PowerShell for Red and Blue Teams, Nikhil Mittal (Independent)
• Fundamentals of Routing and Switching from a Blue and Red Team Perspective, Paul Coggin (Representing self)
• Penetration Testing Humans, Bethany Ward & Cyni Winegard (TraceSecurity)
• Secure Web Development, Marcus Niemietz (Hackmanit)

Vielen Dank an das Orga-Team Michael ‚MiKa‘ Kafka & René ‚Lynx‘ Pfeiffer für das hervorragende Event, im nächsten Jahr werden wir sicherlich auch wieder dabei sein!