blog.atwork.at

news and infos about microsoft, technology, cloud and more

Nachlese zum GDPR Workshop mit atwork, Microsoft und Grant Thornton

atwork organisierte einen GDPR-Workshop, der diese Woche bei Microsoft in Wien stattgefunden hat. Als kompetenten Partner aus der Wirtschaftsprüfung und Steuerberatung konnten wir Philipp Mattes von Grant Thornton gewinnen, der den ersten Teil präsentierte. Unsere Security Expertin Martina Grom informierte in Teil Zwei über die technischen Möglichkeiten mit den Microsoft Cloud Services. Sehen Sie hier eine Nachlese.

Die GDPR-Veranstaltung fand am 5. September 2017 im Microsoft Office in Wien statt. Veranstalter waren Microsoft, atwork und Grand Thornton. Rund 30 Teilnehmer folgten unserer Einladung zu dem kostenfreien Event.

image

Martina Grom von atwork eröffnete die Veranstaltung, Philipp Mattes von Grant Thornton führte durch den ersten Teil.

intro1 20170905_074921723_iOS

Die EU-Datenschutzgrundverordnung oder kurz "GDPR" (für EU General Data Protection Regulation) ist eine gesetzliche Forderung, die ein Unternehmen erfüllen muss, das personenbezogene Daten verarbeitet. Dies betrifft Unternehmen, die innerhalb der EU wirtschaften, aber sie ist auch dann einzuhalten, wenn persönliche Daten außerhalb der EU verarbeitet werden, welche EU-Bürger betreffen: "The GDPR not only applies to organisations located within the EU but it will also apply to organisations located outside of the EU if they offer goods or services to, or monitor the behaviour of, EU data subjects. It applies to all companies processing and holding the personal data of data subjects residing in the European Union, regardless of the company’s location.", siehe www.eugdpr.org und Wikipedia.

Die ursprüngliche EU Datenschutzverordnung Richtlinie 95/46/EG stammt aus dem Jahr 1995 und das österreichische Datenschutzgesetz 2000 aus dem Jahr 2000 (DSGVO), während die IT Evolution sich rasant weiterentwickelt hat. So ist etwa das Apple iPhone erst 10 Jahre alt und steht für den Beginn der heute üblichen Smartphone-Ära und dem modernen Umgang mit persönlichen Daten. Nun, was bedeutet GDPR für Unternehmen im Detail? Um einen Eindruck darüber zu erlangen, hier einige Punkte aus dem Workshop, die für GDPR relevant sind…

Teil 1 – Basis-Wissen und Fragen und Antworten zu GDPR

Philipp Mattes präsentierte eine Reihe von Themen und beantwortete Fragen rund um GDPR. Vielen Dank an Philipp für die Überarbeitung der mitgeschriebenen Punkte!

  • GDPR regelt den Umgang und die Sicherheit von Personen-bezogenen Daten im EU-Wirtschaftsraum. Das sind Daten, die mit einfachen Mitteln auf eine Person zurückführbar sind (Name, Geburtsdatum, Wohnort, etc.). Autokennzeichen etwa sind sind für Normalverbraucher nicht rückführbar (für Behörden jedoch schon). Biometrische Daten sind besonders schützenswert, beispielsweise durch Verschlüsselung.
  • DVR (Meldung beim Datenverarbeitungsregister) Information zur Meldung beim Datenverarbeitungsregister (DVR) nach DSG 2000 ist ab dem Inkrafttreten der GDPR nicht mehr relevant.
  • GDPR ab Mai 2018: GDPR tritt mit 25. Mai 2016 in Kraft und ist nach einer 24-monatigen Frist mit 25. Mai 2018 anzuwenden.”. Somit gilt diese Verordnung ab kommendem Mai rechtsverbindlich.
  • Strafrahmen: dieser reicht bis zu einem Maximum von 20 Millionen Euro oder 4% des Konzern-Umsatzes (je nachdem, was höher ist). Die Strafen sollen somit auch große Unternehmen treffen, wenn sie ihre Datensorge-Pflichten deutlich verletzen.
  • Öffentlicher Dienst: ist von der Strafdrohung zwar grundsätzlich ausgenommen, jedoch sind die Behördenleiter dennoch für die Einhaltung der GDPR und des nationalen Datenschutzrechts verantwortlich.
  • Datenschutzbeauftragter: dieser hat eine rein beratende Funktion, es haftet nach wie vor der Unternehmensverantwortliche (Geschäftsführer). Der Datenschutzbeauftragte ist für personenbezogene Daten im Unternehmen zuständig. Dies ist schriftlich festzuhalten, wer die Person ist und was die Aufgaben sind. Ein Datenschutzbeauftragter ist nicht immer erforderlich, sondern etwa wenn die Kerntätigkeit im Verarbeiten von persönlichen Daten gegeben ist, in öffentlichen Bereichen, etc.
  • ISO27001 ist der Standard in Europa für Informationssicherheits-Managements-Systeme (ISMS); die Ausrichtung von Unternehmen an ISO 27001 kann als Nachweis gesehen werden, dass Datensicherheit und Datenschutz ernst genommen werden. (es gilt jedoch nach wie vor nach "Stand der Technik" – es ist dem Unternehmen freigestellt, wie eine technische Umsetzung realisiert wird).
  • Maßnahmen müssen (verhältnismäßig) definiert werden. So gilt etwa auch eine Teilnahme an einem Workshop wie diesem als Maßnahme, dass man sich mit dem Thema DSGVO befasst und informiert hat.
  • "Business drives IT": findet in GDPR ihre logische Fortsetzung. Dies umfasst etwa eine Dokumentation der Verarbeitungstätigkeiten, die praktischerweise prozessorientiert erfolgen sollte (etwa, welche Daten verarbeitet werden wie zB. Namen, Geburtsdatum, Religion, etc.) dabei können IT-Parameter wie Belastbarkeit (etwa Schutz gegen Denial of Service Attacken) und die Bedrohungsszenarien mit beurteilt werden um eine Datenschutz-Folgenabschätzung im Bedarfsfall zu erleichtern.
  • Bußgelder-Höhe: (Verwaltungsstrafrecht) werden von der Aufsichtsbehörde verhängt. Hier gilt es zu beobachten in welcher Höhe die Behörde tatsächlich verhängt bzw. ob die Strafhöhen von den unterschiedlichen Aufsichtsbehörden innerhalb der EU in derselben Höhe verhängt werden. Unbenommen der Verwaltungsstrafen gilt selbstverständlich das Strafrecht sowie etwa zusätzliche zivilrechtliche Verfahren..
  • Unverzügliche Meldung von Datenschutzvorfällen ist verpflichtend und zwar ab dem Zeitpunkt der Kenntnis durch den Verantwortlichen (maximal innerhalb von 72 Stunden, auch wenn noch nicht detailliert). Eine solche Meldung sollte etwa erfolgen, wenn etwa ein Notebook mit personenbezogenen Daten gestohlen wird und keinerlei Schutz (Verschlüsselung, etc.) vorhanden ist, grundsätzlich hängt die Meldepflicht aber von Fall zu Fall ab. Meldungen können bei www.dsb.gv.at abgegeben werden.
  • Aufbewahrungspflichten: gelten wie bisher zu 7 Jahre (bzw. bei vertraglichen Pflichten zwischen Kunden und Lieferanten gelten diese genauso) und stehen etwaigen Löschbegehren entgegen. Grundsätzlich gilt aber nicht mehr benötigte Daten zu löschen.
  • Anonymisierung, wo es geht (etwa für Statistiken), solche Daten sind völlig unproblematisch und werden nicht durch den Geltungsbereich der GDPR erfasst.
  • Datensparsamkeit: Die Empfehlung lautet, nicht benötigte Daten (etwa Religion, Gewerkschaftszugehörigkeit, etc.) nicht zu verarbeiten (bzw. wenn vorhanden zu löschen).
  • Prozesse: Datenschutzkontrollen, Aufforderung zur Stellungnahme, etc. sind Workflows, die in Unternehmen vorhanden sein sollten können bereits jetzt vorbereitet werden, denn die Interessenvertretungen (zB: AK und VKI) bereiten sich ebenso darauf vor ihre Kunden in Datenschutzfragen zu beraten.
  • Maßnahmen: Sind vom Unternehmen aus der Sicht der Kunden risikoorientiert zu treffen und somit individuell verschieden. Es ist eine strukturierte Vorgangsweise zu dokumentieren.
  • Externe Dienstleister: Lieferanten und Subunternehmer müssen genauso ihrem Kunden nachweisen, dass die GDPR Richtlinien eingehalten werden. Data Processing Agreements” beschreiben die Spielregeln und Verfahren (etwa eine verpflichtende Zertifizierung nach ISO 27001).
  • Ausnahmen von einzelnen Pflichten: sind vorhanden, etwa, wenn weniger als 250 Mitarbeiter im Unternehmen beschäftigt sind und sich kein Risiko aus der Datenverarbeitung ergibt. Es gibt keine pauschale Beurteilung, es muss individuell beurteilt werden, denn auch für Kleinstunternehmen deren Kerntätigkeit im Verarbeiten von personenbezogenen Daten besteht gilt die GDPR unabhängig von der Unternehmensgröße uneingeschränkt.
  • Geltungsbereich ist der EU-Wirtschaftsraum: Es gilt der "Wirtschaftsraum" für die Anwendung, d.h. relevant ist, welche Daten innerhalb der EU verarbeitet werden (siehe oben). Der eigentliche Verarbeitungsort ist irrelevant, jedoch muss der Ort dokumentiert sein und wie die Daten übermittelt werden.
  • Risiken: Hohe Geldbußen, Beweislastumkehr, Haftung, Meldepflichten und erhöhte Eigenverantwortung sind wesentlichen Herausforderungen für Unternehmen in Hinblick auf GDPR.

20170905_083016427_iOS 20170905_103153912_iOS 

20170905_082622347_iOS 20170905_072853675_iOS 

Teil 2 – Tools in Office 365 und Azure

Nach einer kurzen Pause informierte Martina Grom in Teil Zwei über Mechanismen und Sicherheitsstandards in der Microsoft Welt mit Office 365 und Azure. Hier einige Eckpunkte:

  • Threats: Große Rechenzentren-Anbieter haben statistisch gesehen weit höheren Schutz vor Angriffen als kleine Applikationen. Microsoft betreibt eigene Security-Abteilungen zum Schutz ihrer Datencenter: Protecting the Microsoft Cloud”.
  • User-awareness: User fühlen sich im Unternehmen durch die eigene IT geschützt”. Wie gut es um die Sicherheit im eigenen Unternehmen steht wird oft überschätzt. Mitarbeiter-Schulungen erhöhen das Sicherheitsbewusstsein immens.
  • Maßnahmen zum Schutz: BitLocker, Conditional Access, Multi-Factor-Authentication (MFA), Cloud App Security, Data Classification and Policies, Data Retention & Deletion Policy, E-Discovery, Advanced Data Governance (u.v.m.)
  • Demo: Cloud App Security zeigt unterschiedliche Applikationen und Dienste, rund 15.000 Applikationen werden klassifiziert. Cloud App Security zeigt in Reports, welche Applikationen im Unternehmen eingesetzt werden (Shadow-IT”), wie viele User betroffen sind und von wo die Zugriffe erfolgen.
  • Demo: Azure Information Protection schützt Office Dokumente wirkungsvoll, auch außerhalb des Unternehmens, etwa ein Word Dokument mit schützenswerten Daten. Eine Klassifikation wird vorgeschlagen oder automatisch durch Policies klassifiziert und geschützt.
  • Identity-Schutz: Personifizierte Admin-Accounts sind eine gute Sache. Es kann Azure AD Privileged Admin Access Management: Workflow (inkl. Monitoring) verwendet werden. Customer Lockbox funktioniert nach dem gleichen Prinzip.
  • Demo: Intune ermöglicht, Computer und Smartphones zu verwalten und zu schützen, etwa auch für Bring-Your-Own-Device Strategien. Intune App Protection schützt die Applikation und die darin verbundenen Daten. Es können Policies eingesetzt werden, welche für Betrieb nur auf compliant devices” sorgen. Alte Daten, auf die länger als beispielsweise 30 Tage nicht zugegriffen wird, werden automatisch gelöscht.
  • Reporting: Security & Compliance Center: Office 365 Secure Score hilft, die Sicherheit zu verbessern. Audit Log Search liefert Audit Daten (etwa: Shares, Downloads, Login Attempts, etc,). Service Assurance liefert Dokumente und Reports.
  • Wichtige Tipps zum Abschluss: Nutzen Sie MFA, MAM Policies und aktivieren Sie die Audit-Funktion in Office 365. Weitere Tipps sind die Nutzung von Azure Information Protection und ATP.

20170905_092942356_iOS 20170905_091921773_iOS 

20170905_094443826_iOS 20170905_100653764_iOS

Nach der Veranstaltung gab es noch ein Mittagessen und Interessierte konnten sich in der "Office-Tour" das neue Arbeiten bei Microsoft ansehen, was auch einige Teilnehmer genutzt haben.

 20170905_104000920_iOS 20170905_103954645_iOS

Wir von atwork bedanken uns herzlich bei Microsoft und Grant Thornton für die Unterstützung der kostenfreien Veranstaltung.

Downloads

Wenn Sie die Präsentationsunterlagen und Handouts herunterladen wollen, folgen Sie bitte diesem Link. Sie erhalten danach in Kürze eine email mit den Dokumenten:

Download GDPR-Workshop atwork und Grant Thornton Präsentationen und Handouts

Hier finden Sie unser Informationsblatt für unser erweitertes Angebot zum Enterprise Security & Compliance Workshop:

Enterprise-Security-and-Compliance-Workshop-atwork.pdf

Nächste Schritte

Für Interessierte, die sich tiefer mit GDPR und Office 365 und Azure Sicherheitsmechanismen befassen wollen, bietet atwork einen eigenen Enterprise Security & Compliance Workshop an. Hier erfahren Sie im Detail, welche Maßnahmen es im Microsoft Ökosystem gibt und wie Sie diese in Ihrem Unternehmen einsetzen können.

image

Wir hoffen, unser GDPR Workshop war interessant und hat Ihnen die Grundzüge von GDPR näher gebracht. Für weitere Informationen und konkrete Schritte kontaktieren Sie uns bitte per E-Mail an office@atwork.at oder an info@at.gt.com oder sehen Sie sich unser Angebot im Enterprise Security & Compliance Workshop an.

Wir sehen uns dort!

Loading