Eventkalender

DSGVO Work­shop – Das Verze­ich­nis der Ver­ar­beitungstätigkeit­en mit Vor­lage

Auf­grund der großen Nach­frage unser Kun­den und Inter­essen­ten hat SEC4YOU im Novem­ber 2017 einen DSGVO Work­shop ange­boten, der speziell die Umset­zung von DSGVO Maß­nah­men beleuchtet und betrof­fe­nen Unternehmen die Chance bietet direkt am Work­shop mit den Maß­nah­men zu begin­nen bzw. das eigene Vorhaben mit Vor­la­gen und Entschei­dungs­grund­la­gen zu unter­stützen.

Der Work­shop richtete sich an öffentliche und pri­vate Unternehmen aller Branchen die per­so­n­en­be­zo­gene Dat­en ver­ar­beit­en bzw. spe­ich­ern. Ent­ge­gen der weit ver­bre­it­eten Mei­n­ung, dass die DSGVO nur für große Unternehmen gilt, wurde diese Frage sowohl von Work­shop Leit­er Man­fred Scholz, als auch von zwei anwe­senden Recht­san­wältin­nen abschließend beant­wortet:

Die DSGVO bet­rifft alle Unternehmen die per­so­n­en­be­zo­gene Dat­en ver­ar­beit­en — unab­hängig von der Unternehmensgröße und Rechts­form — ab dem 25.5.2018!

Nach der Erk­lärung der His­to­rie der Daten­schutz-Grund­verord­nung und der Posi­tion von Öster­re­ich bei der europäis­chen Abstim­mung, einigten sich die Teil­nehmer auf die wesentlichen Bestandteile der DSGVO Umset­zung. Als wichtige Auf­gabe inner­halb der DSGVO Maß­nah­men wurde die in Öster­re­ich neue Anforderung der Führung eines Verze­ich­nis der Ver­ar­beitungstätigkeit­en the­ma­tisiert.

Verzeichnis der Verarbeitungstätigkeiten mittels Software?

Ent­ge­gen der Mei­n­ung einzel­ner Anbi­eter sollte ein Soft­ware-Tool zur Führung des Verze­ich­niss­es der Ver­ar­beitungstätigkeit­en nicht im Vorder­grund eines DSGVO Pro­jek­tes ste­hen, da die ini­tiale Erstel­lung bei kleinen und mit­tel­großen Unternehmen in der Regel in Excel oder Word erfol­gen kann. In großen Unternehmen, oder wenn die Pflegeaufwände für die Führung und regelmäßige Kon­trolle bzw. Über­ar­beitung des Verze­ich­niss­es durch mehrere Mitar­beit­er oder in verteil­ten Unternehmens erfol­gen soll, kann die Ein­führung eines speziellen Tools auch Kosten sparen.

Das Verzeichnis der Verarbeitungstätigkeiten — DSGVO VV

Wie im deutschen Daten­schutz als “Ver­fahrensverze­ich­nis” oder “Ver­fahren­süber­sicht” seit über 10 Jahren üblich, fordert nun die DSGVO eben­falls die Führung eines Verze­ich­nis der Ver­ar­beitungstätigkeit­en von Unternehmen. Experten sehen hier einen Unter­schied zum DSG 2000 bei dem in Öster­re­ich eine grund­sät­zliche Meldepflicht bes­timmter Date­nan­wen­dun­gen im Daten­schutzreg­is­ter erforder­lich ist (bis Mai 2018) bzw. war (ab Mai 2018).

Wichtiges Merk­mal eines Ver­fahrensverze­ich­niss­es ist, dass die daten­ver­ar­bei­t­en­den Unternehmen­sprozesse erfasst wer­den und nicht die Anwen­dun­gen selb­st.

=> Was gehört daher nicht in ein Verze­ich­nis der Ver­ar­beitungstätigkeit­en? z.B. MS CRM, Excel oder Exchange

Die wichti­gen Inhalte des Verze­ich­nis der Ver­ar­beitungstätigkeit­en wur­den zusam­menge­fasst.

In der Rolle des Ver­ant­wortlichen ist zu erfassen:

• Name und Kon­tak­t­dat­en des Ver­ant­wortlichen, ggfls. gemein­sam Ver­ant­wortlichen oder eines Vertreters (EU)
• Name und Kon­tak­t­dat­en des Daten­schutzbeauf­tragten
• Zweck der Ver­ar­beitung
• Kat­e­gorien betrof­fen­er Per­so­n­en
• Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en
• Kat­e­gorien von Empfängern
• Über­mit­tlung in Drit­tlän­der (ggfls. Garantien)
• Löschfris­ten
• All­ge­meine Beschrei­bung der tech­nis­chen und organ­isatorischen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Hinge­gen haben Auf­tragsver­ar­beit­er fol­gende Erfas­sungspflicht­en:

• Name und Kon­tak­t­dat­en des Ver­ant­wortlichen, ggfls. gemein­sam Ver­ant­wortlichen oder eines Vertreters (EU)
• Name und Kon­tak­t­dat­en des Daten­schutzbeauf­tragten
• Kat­e­gorien von Ver­ar­beitun­gen
• Über­mit­tlung in Drit­tlän­der (ggfls. Garantien)
• All­ge­meine Beschrei­bung der tech­nis­chen und organ­isatorischen Maß­nah­men (TOM gemäß Art 32 Abs.1)

Im let­zte Teil des Work­shops wur­den exem­plar­ische Beispiele präsen­tiert, wie ein Ver­fahrensverze­ich­nis aussieht und das SEC4YOU Tem­plate V1.1 des Verze­ich­nis der Ver­ar­beitungstätigkeit­en vorgestellt.

DEEPSEC IN-DEPTH SECURITY CONFERENCE 2016

DEEPSEC In-Depth Secu­ri­ty Con­fer­ence 2016

Die DEEPSEC 2016 war ein großer Erfolg. Die Loca­tion The Impe­r­i­al Rid­ing School Vien­na — A Renais­sance Hotel war wie in den let­zten Jahren ein her­vor­ra­gen­der Ort für die qual­i­ta­tiv hochw­er­ti­gen Vorträge. Auf­grund des inter­na­tionalen Pub­likums waren alle Vorträge in Englisch.

Beson­ders überzeugt haben wie in kleinen Grup­pen organ­isieren Work­shops, hier ein Auszug:

• Hack­ing Web Appli­ca­tions: Case Stud­ies of Award-win­ning Bugs in Google, Yahoo, Mozil­la and more, Daw­id Cza­gan (Sile­sia Secu­ri­ty Lab)
• Do-It-Your­self Patch­ing: Writ­ing Your Own Micropatch, Mit­ja Kolsek (ACROS d.o.o.)
• Deploy­ing Secure Appli­ca­tions with TLS, Juraj Somorovsky (Hack­man­it GmbH / Ruhr Uni­ver­si­ty Bochum)
• Offen­sive iOS Exploita­tion, Mar­co Lanci­ni (MWR InfoS­e­cu­ri­ty)
• IoT Hack­ing: Lin­ux Embed­ded, Blue­tooth Smart, KNX Home Automa­tion, Sla­womir Jasek (SecuR­ing)
• Hands on Hack­ing with the WiFi Pineap­ple, USB Rub­ber Ducky and LAN Tur­tle, Dar­ren Kitchen, Sebas­t­ian Kinne, Robin Wood (Hak5 LLC, Dig­in­in­ja)
• Offen­sive Pow­er­Shell for Red and Blue Teams, Nikhil Mit­tal (Inde­pen­dent)
• Fun­da­men­tals of Rout­ing and Switch­ing from a Blue and Red Team Per­spec­tive, Paul Cog­gin (Rep­re­sent­ing self)
• Pen­e­tra­tion Test­ing Humans, Bethany Ward & Cyni Wine­gard (TraceSe­cu­ri­ty)
• Secure Web Devel­op­ment, Mar­cus Niemietz (Hack­man­it)

Vie­len Dank an das Orga-Team Michael ‘MiKa’ Kaf­ka & René ‘Lynx’ Pfeif­fer für das her­vor­ra­gende Event, im näch­sten Jahr wer­den wir sicher­lich auch wieder dabei sein!