Donnerstag
Beginn: 10:00 Uhr
Ende: 16:30 Uhr

Ort: online

Online-Seminar – Werkzeugkasten für den DSB – Kontrollen und Analysen in der Datenschutzpraxis durchführen

Veranstaltungsbeschreibung:

Referent: Andreas Sachs, Der Dipl.- Informatiker ist Vizepräsident des Bayerischen Landesamtes für Datenschutzaufsicht und Bereichsleiter Cybersicherheit und Technischer Datenschutz

Das Datenschutzrecht weißt dem Datenschutzbeauftragten die Aufgabe der Überwachung der Einhaltung der gesetzlichen Anforderungen zu. Neben einer soliden Kenntnis der Theorie stellt sich in der Praxis dann schnell die Frage, wie das denn dann konkret aussehen sollte. Ziel soll die Einhaltung der gesetzlichen Anforderungen sowie der Nachweis der Wirksamkeit von technischen und organisatorischen Maßnahmen beim Verantwortlichen sein. Das Seminar richtet einen praxisnahen Blick auf den (Datenschutz-)Alltag bei Behörden und Unternehmen und gibt dem Datenschutzbeauftragten einen Werkzeugkasten bestehend aus Vorgehensweisen, Checklisten und Software-Tools mit auf dem Weg, die viele Datenschutzverstöße schon verhindern können, ehe sie möglicherweise eintreten

Kurzinhalte:
– Datenschutzmanagement: Wie sollte der Datenschutz beim Verantwortlichen organisiert werden und welche Stellung nimmt der DSB bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) ein?
Aufbau- und Ablauforganisatioen, Governance und Rechenschaftspflicht sowie die Rolle des DSB überprüfen und ggf. nachbessern; Vorstellung einer Methode zur Bestimmung der Einträge des VVT; VVT als Grundlage der Kontrolltätigkeit und Rechenschaftspflicht nutzbar machen

– Datenschutzkontrollen durch den DSB und die Datenschutzaufsicht
Rechte und Pflichten verstehen und an die Leitung kommunizieren; Angemessenheits- und Wirksamkeitsprüfung abgrenzen und die Einhaltung des Datenschutzes durch Kontrollen dokumentieren und nachweisen; Vorschlag für Vorgehen bei einer Datenschutzkontrolle mit Checkliste

– Der Blick von außen: Open Source Intelligence (OSINT) auf das Unternehmen bzw. die Behörde:
Google Hacking; Internet-Datenbanken; Soziale Netzwerke; Verknüpfung von Informationen (z.B. Maltego); Blick in das Darknet: Quellen für Datenhandel entdecken und prüfen können

– Internet-Tracking, Cookies und Consent-Banner:
Eigene Analysen mit Browser-Entwicklungstools durchführen; HTTP-Cookies, Web-/Flash-Cookies und Browser-Fingerprinting verstehen und prüfen; Einwilligungsbanner für Cookies, Reichweitenanalyse und Tracking datenschutzkonform anwenden und Dark Patterns vermeiden

– Risikobasierte Email-Verschlüsselung verwenden und überprüfen
Transportverschlüsselung vs. Ende-zu-Ende Verschlüsselung verstehen; Begriffe wie STARTTLS, SMTPS, Perfect Forward Secrecy, PGP, S/MIME, DANE und SPF einordnen und damit Emails gemäß dem Datenschutzrisiko nutzen; Online-Prüfung von Mailservern durchführen; Mail-Header analysieren und Transportwege durch das Internet nachvollziehen

– Webseiten vor Hackern absichern
Transportverschlüsselung mit HTTPS nach Stand der Technik verstehen und mit Tools prüfen; Risiken von Content-Management-Systeme (z.B. WordPress) verstehen, überprüfen und eindämmen; Aufbau und Architektur von IT-Systemen (Webserver, Datenbank, Firewalls, Proxies,…) situationsgerecht bewerten; Kenntnisse über Schwachstellen erlangen und auf mögliche Exploits scannen; Organisation und Verantwortlichkeiten verstehen, regeln und dokumentieren

– Apps datenschutzkonform entwickeln und nutzen
Data Protection by Design an Default bei Nutzung von Smartphone-Apps verstehen und in der Organisation umsetzen; App-Berechtigungen und Datenschutzhinweise analysieren und mögliche Risiken evaluieren können; Eigenes Analyse-Lab aufbauen: Datenflüsse von Android-Apps entschlüsseln und analysieren können; Grundlagen der App-Forensik auf Testgeräten und virtuellen Smartphones einsetzen können; Checkliste: Datenschutz bei Apps unter der DS-GVO (und TTDSG)

– Notfallmanagement nach Art. 33 DS-GVO
Prozess zum Umgang mit Sicherheitsverletzungen vorbereiten; Datenschutzrisiko bestimmen und Meldungen bei den Datenschutzaufsichtsbehörden durchführen; Praxisbeispiel: Ransomware-Angriff auf mittelständisches Unternehmen

– Irgendwann sollte alles weg: Löschen datenschutzkonform umsetzen
Gesetzliche Anforderungen auf eine DIN A4-Seite; Löschkonzept nach DIN 66398 mit Leben befüllen und in der Organisation umsetzen; Blick auf Archive-/ und Backups: Passen diese?; Baustein „Löschen“ des Standard-Datenschutzmodells anwenden

– Recht auf Auskunft: Im Dschungel der Sichtweisen zurechtfinden
Gesetzliche Anforderungen auf einer DIN A4-Seite; Prozess zur Identifikation und Auskunft umsetzen; Aktuelle gerichtliche Entscheidungen kennen und einordnen können

– Cloud-Systeme datenschutzkonform nutzen
Checkliste Auftragsverarbeitung; Drittlandstransfer, Schrems II und Supplementarie Measures verstehen und auf Basis des VVT prüfen; Praxisbeispiel: Checkliste Microsoft 365

Hinweis:
Seminar zum Fachwissenerhalt nach Artikel 37 Absatz 5 DS-GVO, sowie Selbstverpflichtungskriterien auf das Berufsbild des BvD e.V. Teilnehmer erhalten eine Teilnahmebescheinigung.

Anmeldung:
Sie erhalten mit der Anmeldebestätigung einen Link zur gewünschten Buchung. Bitte beachten Sie, dass systembedingt eine erneute Eingabe von Pflichtdaten erforderlich sein kann. Ca. eine Stunde vor Start des jeweils gebuchten Webinars und/oder Online-Seminars erhalten Sie eine E-Mail-Erinnerung.

Systemvoraussetzungen:
Sie können ganz einfach an einer Sitzung teilnehmen, von überall und jederzeit, mit einem kompatiblen Computer oder von einem Mobilgerät aus! Die Bestätigungs-E-Mail des Webinars enthält einen Link zur Seite mit den Systemanforderungen.