IT-Security Symposium 2018 24.10.2018 in Stuttgart - Workshop Acronis Backups und Datenspeicherung gemäß der neuen Datenschutzgrundverordnung ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Security
Symposium 2018 24.10.2018 in Stuttgart
Workshop Acronis Backups und Datenspeicherung gemäß der
neuen Datenschutzgrundverordnung,
So stemmen Sie die DSGVO
Praktische Tipps für Unternehmen
und Service Provider
Markus Bauer
Technology Evangelist EMEA
® 2018 2
Was ist die Datenschutz-Grundverordnung
(DSGVO) der Europäischen Union (EU)?
• Die DSGVO ist ein neues • Die DSGVO gilt für
EU-Recht, das nicht nur für personenbezogene Daten
Unternehmen aus der EU gilt! und ist generell strenger als
die meisten anderen
Datenschutzgesetze.
• Die DSGVO gilt für alle
Unternehmen, die
• Mitarbeiter in der EU haben • Eine Einhaltung der DSGVO
erfordert nicht nur die
• Waren oder Dienste für
Entwicklung und Umsetzung
EU-Bürger anbieten
von Richtlinien, Prozessen und
• Verhalten von EU-Bürgern Verfahren, sondern auch den
überwachen (etwa im dauerhaften Einsatz für
Rahmen gezielter Datenschutz.
Werbung)
® 2018 3
Der Termin für die DSGVO ist da!
BUSSGELDER:
DIE VERORDNUNG
TRAT 10.000.000 €
oder 2 % des weltweiten Jahresumsatzes, je nachdem,
welcher Wert größer ist
AM Beispiele: Nichtbeachtung der Vorschrift zur schriftlichen Erfassung
der Verarbeitungstätigkeiten, Durchführung risikoadäquater
technischer/organisatorischer Maßnahmen bzw. bei Bedarf
25. MAI
Ernennung eines Datenschutzbeauftragten
2018 20.000.000 €
oder 4 % des weltweiten Jahresumsatzes, je nachdem,
welcher Wert größer ist
IN KRAFT! Beispiele: Nichteinhaltung der Anforderungen an die
grenzüberschreitende Datenübermittlung, besondere
Beschränkungen für sensible Daten (Kinder, Gesundheit usw.) oder
individuelle Rechte zur Kontrolle ihrer personenbezogenen Daten
® 2018 4
Wichtige DSGVO-Konzepte
Betroffene Verantwortlicher Auftragsverarbeiter
Personen (Nutzer)
„Die natürliche oder juristische Person, „Die natürliche oder juristische
Jede(r) in der EU, der oder die Behörde, Einrichtung oder andere Person, Behörde, Einrichtung
über seine oder ihre Stelle, die allein oder zusammen mit oder andere Stelle, die
„personenbezogenen Daten“ anderen über die Zwecke und Mittel der personenbezogene Daten im
unmittelbar oder mittelbar zu Verarbeitung von personenbezogenen Auftrag des Verantwortlichen
identifizieren ist. Daten entscheidet.“ verarbeitet.“
Personenbezogene Daten Datenverarbeitung
„Alle Informationen, die sich auf eine identifizierte oder „Jeder Vorgang oder jede solche Vorgangsreihe im
identifizierbare natürliche Person beziehen.“ Zu Zusammenhang mit personenbezogenen Daten.“ Als
personenbezogenen Daten können gehören: Name, E-Mail- Datenverarbeitung gelten Erhebung, Speicherung,
Adresse, Gesundheitsinformationen, geografischer Archivierung, Vervielfältigung, Nutzung, Zugriff,
Standort, Bankverbindung, IP-Adresse, Cookies, kulturelle Übergang, Änderung, Abruf, Offenlegung, Löschung
Identität usw. oder Vernichtung von Daten.
® 2018 5
Was konkret bedeutet
eine Einhaltung der DSGVO?
Die Datenschutz-Grundverordnung erfordert Dauerengagement!
Wie kann man die Einhaltung der DSGVO nachweisen?
• Durch Datenverarbeitung in Übereinstimmung mit den • Die Richtlinien und Verfahren im Unternehmen
DSGVO-Grundsätzen: Sie muss rechtmäßig, fair, müssen stets aktuell sein.
sicher, zweckgebunden usw. sein.
• Es müssen geeignete technische und
• Es müssen regelmäßig Bewertungen des organisatorische Maßnahmen ergriffen werden, um
Sicherheitsrisikos vorgenommen werden. das Risiko für personenbezogene Daten zu mindern.
• Datenprozesse müssen so überwacht werden, dass
Verstöße aufgedeckt werden.
® 2018 6Verpflichtungen von Verantwortlichen und
Auftragsverarbeitern
Sowohl Verantwortliche als auch Auftragsverarbeiter unterliegen der
DSGVO und haben im Rahmen der DSGVO folgende Pflichten:
• Sie müssen für die Sicherheit bei der Datenverarbeitung sorgen.
• Sie müssen die Rechte betroffener Personen wahrnehmen.
• Sie müssen die Richtlinie zum Umgang mit Datenschutzverletzungen umsetzen.
• Sie müssen grenzüberschreitende Datenübertragungen ordnungsgemäß vornehmen.
Jeder Verantwortliche ist gehalten, mit jedem Auftragsverarbeiter eine genaue Vereinbarung zur
Datenverarbeitung einzugehen. Eine Vereinbarung zur Datenverarbeitung muss vorschreiben, dass
der Auftragsverarbeiter nur auf Anweisung des Verantwortlichen handelt und (unter anderem) die
DSGVO einhält.
® 2018 7Wichtigste Anforderungen
Sicherheit bei der Datenverarbeitung
Rechte betroffener Personen
Reaktion auf und Melden von Datenschutzverletzungen
Grenzüberschreitende Datenübertragungen
® 2018 8Sicherheit bei der Datenverarbeitung
Sicherheitskontrollen müssen durchgeführt werden, Systeme zur Verarbeitung personenbezogener
um dauerhaft Vertraulichkeit, Integrität und Daten müssen den Datenschutz von der
Verfügbarkeit von Systemen und Diensten zu Gestaltung her und durch Standardverfahren
gewährleisten und so personenbezogene Daten zu umsetzen und Sicherheitsvorkehrungen wie
schützen vor: Verschlüsselung und Pseudonymisierung
• Externen Bedrohungen (z. B. böswilligen beinhalten.
Hackerangriffen),
• Internen Bedrohungen (z. B. schlecht geschulten Es muss ein Verfahren zur regelmäßigen
Mitarbeitern)
Überprüfung und Bewertung der Wirksamkeit
• Unbefugter oder unrechtmäßiger Datenverarbeitung
• Versehentlichem Verlust, Vernichtung oder
der technischen und organisatorischen
Beschädigung Maßnahmen zur Gewährleistung der
dauerhaften Sicherheit der Datenverarbeitung
Personenbezogene Daten sind in Übereinstimmung eingerichtet werden.
mit folgenden DSGVO-Grundsätzen (Art. 5) zu
verarbeiten: Sicherheit, Fairness, Transparenz,
Zweckbindung, Genauigkeit, Datenminimierung,
Vertraulichkeit und Integrität.
® 2018 9Rechte betroffener Personen/Nutzer
Im Rahmen der DSGVO genießen EU-Bürger neue und erweiterte Rechte in Bezug auf ihre personenbezogenen Daten:
• Zugriff auf personenbezogene Daten (einschließlich der Beschreibung der Verarbeitungszwecke, Informationen über
Verantwortliche und Auftragsverarbeiter, Aufbewahrungsdauer, Aktivitätsprotokolle usw.)
• Berichtigung personenbezogener Daten: Korrektur von Fehlern und Aktualisierung personenbezogener Daten
• Beschränkung der Verarbeitung/Widerspruch gegen die Verarbeitung für den Fall ausstehender Verifizierungen
• Löschung personenbezogener Daten (auch bekannt als „Recht auf Vergessenwerden“)
• Datenübertragbarkeit: Möglichkeit, persönliche Daten in maschinenlesbares Format zu exportieren
• Transparenz: Möglichkeit zu erfahren, welche personenbezogenen Daten erhoben, gespeichert und verarbeitet
werden und wie und wo sie verarbeitet und gespeichert werden
Die Benutzer können ihre Rechte über einen Verantwortlichen, einen Auftragsverarbeiter oder gegebenenfalls einen
Selbstbedienungsmechanismus ausüben. Entsprechende Anfragen sind binnen 30 Tagen zu bearbeiten.
Die Rechte betroffener Personen sind nicht absolut! So gilt beispielsweise das Recht auf Löschung nur, wenn:
• die personenbezogenen Daten nicht mehr für ihren ursprünglichen Zweck benötigt werden (und kein neuer rechtmäßiger Zweck vorliegt);
• die rechtmäßige Grundlage für die Verarbeitung die Einwilligung der betroffenen Person ist, die betroffene Person diese Einwilligung jedoch
widerruft und kein anderer rechtmäßiger Grund vorliegt;
• die betroffene Person ihr Widerspruchsrecht ausübt und der Verantwortliche keinen zwingenden Grund hat, die Verarbeitung fortzusetzen;
• die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder
• die Löschung personenbezogener Daten erforderlich ist, um das EU-Recht oder das nationale Recht des betreffenden Mitgliedstaats
einzuhalten.
® 2018 10Richtlinie zur Benachrichtigung bei Datenverstößen
Sämtliche für die Verarbeitung Verantwortliche sollten sicherstellen, dass sämtliche von
Verantwortlichen sind verpflichtet, ihre ihnen eingesetzten Auftragsverarbeiter und
DSGVO-Aufsichtsbehörde innerhalb von Unterauftragsverarbeiter ebenfalls über geeignete
72 Stunden zu informieren, nachdem sie Richtlinien zur Meldung von Datenschutzverletzungen
hinreichend sicher sind, dass Verfügbarkeit, verfügen.
Vertraulichkeit oder Integrität von
personenbezogenen Daten in der EU Der Auftragsverarbeiter benachrichtigt den
beeinträchtigt wurden. Verantwortlichen unverzüglich, nachdem er von einer
Kompromittierung personenbezogener Daten Kenntnis
Falls der Verstoß wahrscheinlich ein hohes erlangt hat.
Risiko für die Rechte und Freiheiten
natürlicher Personen darstellt, muss der für Es müssen Systeme für Monitoring und
die Verarbeitung Verantwortliche auch die Berichterstattung vorhanden sein, ebenso Prozesse und
betroffenen Personen davon in Kenntnis Richtlinien für die Benachrichtigung im Falle einer
setzen. Datenschutzverletzung.
Noch besser: Funktionen zur Erkennung, Blockierung und
Behebung von Datenschutzverletzungen
® 2018 11Grenzüberschreitende Datenübertragung
• Die Übermittlung personenbezogener Daten von • Verantwortliche und Auftragsverarbeiter
in der EU bzw. im EWR ansässigen Personen an müssen gesetzeskonforme Mechanismen zur
Empfänger außerhalb der EU/des EWR ist Übermittlung personenbezogener Daten
grundsätzlich untersagt, es sei denn: einführen, einschließlich der Einwilligung der
• von der Rechtsordnung, in der sich der betroffenen Personen, Musterklauseln, der
Empfänger befindet, wird angenommen, Einhaltung des EU-US-Datenschutzschildes
dass sie ein angemessenes und verbindlicher Unternehmensregeln.
Datenschutzniveau gewährleistet,
• der Datenexporteur trifft geeignete • Service Provider, die Acronis Cloud-Dienstes
Sicherheitsvorkehrungen (z. B. verbindliche (Backup, Disaster Recovery, Files Cloud)
Unternehmensvorschriften, nutzen, können angeben, in welcher Region
Standarddatenschutzklauseln, ein Kundendaten gespeichert werden sollen (z. B.
rechtsverbindliches und durchsetzbares in einem Datenzentrum mit Sitz in der EU).
Regelwerk zwischen dem Verantwortlichen Anbieter von Diensten sollten stets bedenken,
oder dem Auftragsverarbeiter im Drittland) dass der Datenfernzugriff als Übertragung gilt.
• eine Ausnahmeregelung oder Befreiung gilt
® 2018 12DSGVO-konformes Backup und Storage:
Grenzüberschreitende Datenübertragung
Personenbezogene
Daten dürfen nur
innerhalb der EU oder
in Ländern gespeichert
werden, die von der EU
bestätigte Datenschutz-
standards einhalten.
® 2018 13SO KANN ACRONIS IHNEN DABEI
HELFEN, IHRE PROZESSE FÜR
BACKUP UND STORAGE DSGVO-
KONFORM ZU GESTALTEN?
® 2018 14Acronis Backup und Backup Cloud
Sicherheit bei der Rechte betroffener
Datenverarbeitung Personen
• Verschlüsselung auf dem Gerät (AES), • Zugriff auf Daten, Durchsuchen von
während der Übertragung (SSL/TLS), bei der Archiven nach erforderlichen Daten
Speicherung (Acronis Storage mit AES*) • Konfiguration von Kontoprofildaten zur
• Überwachungsprotokolle zur Erkennung einfachen Korrektur personenbezogener
von verdächtigem Verhalten und zur Daten
Erfassung von Datensätzen über die • Export personenbezogener Daten in eine
Datenverarbeitung ZIP-Datei
• Rollenbasierter Zugriff, um die • Löschung von Archiven
Vertraulichkeit und den Schutz vor nicht
autorisierter Verarbeitung zu gewährleisten
• Dashboards mit Warnmeldungen und
Grenzüberschreitende
Berichten zur Verbesserung der Kontrolle und Datenübertragung
Überwachung
• Anpassbare Aufbewahrungsregeln zur • Auswahl des Standorts für die Datenspeicherung
Einhaltung des Prinzips der Datenminimierung • Datenzentren in der EU
® 2018 15Acronis Notary Acronis Active Protection
Standardmäßig integrierter Datenschutz Standardmäßig integrierter Datenschutz
• Zertifizierung der • Erkennung und Blockierung
Authentizität von Ransomware-Angriffen
personenbezogener Daten zum Schutz vor Zerstörung
per Blockchain-Technologie und Manipulation
zum Schutz vor personenbezogener Daten
Datenmanipulation • Sofortige Wiederherstellung
personenbezogener Daten
im Falle eines Ransomware-
Angriffs
® 2018 16Acronis Files Advanced und Files Cloud
Sicherheit bei der
IOS
Datenverarbeitung Service
Provider’s
Storage
• Sync und share von jedem Gerät
(Web, Desktop, Mobilegerät)
Android
• Editieren/Bearbeiten oder
kommentieren von Officefiles in der Acronis
Mobilgeräte App Web Cloud
• Files mit internen und externen
Mitarbeitern und Kunden teilen Acronis
• Over-the-air und on-device FIPS Mac Files
140-2 encryption (Militärstandard)
• Audit-fähiges Logging pro User und
pro System
PC
• Schutz for Datenverlust
• Volltextsuche
® 2018 17Acronis Cloud hält die Regeln zur grenzüberschreitenden
Datenübertragung ein
Lokale Acronis Datenzentren sind absolut Ermöglicht die Wahl des
sicher und entsprechen internationalen Datenzentrumstandorts, in dem Ihre
Vorschriften wie PCI DSS, HIPAA, ISO 9001, Cloud-Backups gespeichert werden.
ISO 27001, ISO 22301 usw.
Schutz von Daten bei Zugriff und
Übertragung mit starker AES-256-Bit-
Verschlüsselung.
® 2018 18Erste Schritte zur Einhaltung der DSGVO
Beginnen Sie mit zwei Bereichen, Evaluierung Ihrer Datenschutz-
Aufklärung die Sie sofort angehen können: und Storage-Infrastruktur und -
Dienste in Bezug auf diese
• Unterstützen Sie Ihre Kunden • Sichere Speicherung und wichtigen DSGVO-Aspekte:
dabei, mit Ihren Cloud- Schutz personenbezogener
Diensten bei Datensicherung Daten • Grenzüberschreitende
und -speicherung • Archivierung und Löschung Datenübertragung
Richtlinienkonformität zu • Sicherheit bei der Datenverarbeitung
erreichen. • Standardmäßig
integrierter Datenschutz
• Rechte betroffener Personen
• Richtlinie zum Umgang mit
Datenschutzverletzungen
DIE VERORDNUNG IST IN KRAFT GETRETTEN!
® 2018 19New Generation Data Protection
www.acronis.com
Vielen Dank
twitter.com/acronis facebook.com/acronis
blog.acronis.com motorsport.acronis.com
® 2018 20Sie können auch lesen
