Niemeyerweg 2 - 24226 Heikendorf

0179 218 47 95

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. oder Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Prüfer, Gutachter und Berater für Datenschutz und Informationssicherheit beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, ISO 27001 Auditor, Fachbegutachter der Deutschen Akkreditierungsstelle (DAkkS) für Zertifizierungsstellen und Produkte

In der Funktion als Datenschutz- und Informationssicherheitsexperte einer Aufsichtsbehörde führe ich Datenschutz- und Informationssicherheitsaudits sowie datenschutzrechtliche Kontrollen der Einhaltung der Datenschutzgrundverordnung durch. Darüber hinaus begleite ich als von datenschutz cert GmbH zertifizierter ISO 27001 Auditor für Informationssicherheit Organisationen bei der Einführung und Sicherstellung von IT-Grundschutz- und Datenschutzstandards. Die Ausbildung von Datenschutzbeauftragten und die Überprüfung der Datenverarbeitung auf vorhandene technische und organisatorische Schwachstellen gehören zu meinen Schwerpunkten.

Als Referent führe ich Lehrtätigkeiten bei folgenden Institutionen durch:

 

Zu meinem Programm gehören folgende Seminare mit Inhalten: 

 

Cyber-Angriffe abwehren!

Wie kann ich meine Organisation professionell schützen?

  • Cyberangriffe – Ziele und Auswirkungen
  • Angriffsmethoden und Angriffsinstrumente
  • Phishing, Viren und Ransomware, Künstliche Intelligenz (KI), Brute-Force-Angriffe, Distributed-Denial-of-Service (DDoS) Attack, etc.
  • Methodik und Durchführung eines Sicherheitschecks
  • Technische und organisatorische Umgebung auf Schwachstellen prüfen und analysieren
  • Das Sicherheitsniveau in 10 definierten Sicherheitsbereichen mit jeweils 10 Sicherheitsmaßnahmen einfach erhöhen
  • Orientierung an anerkannten Richtlinien und Standards - VdS 10000, CISIS12, IT-Grundschutz, ISO 27001
  • Gegenüberstellung der Standards mit Anwendungsbeispielen
  • Sicherheitsmaßnahmen für KMU mit einem (kostenlosen) Tool verwalten und den aktuellen Umsetzungsstand dokumentieren
  • Weg in die Basisabsicherung (WiBA) des IT-Grundschutzstandards mit Hilfe von Checklisten (Toolbasierend)
  • Tool-Datenbank mit allen Sicherheitsmaßnahmen strukturiert für KMU und für Cyberangriffe zum Mitnehmen und Anwenden

 

Datenschutz für mobile IT-Systeme, Homeoffice und Bring Your Own Device

Schwachstellen durch technische und organisatorische Maßnahmen beseitigen

  • Mobile Systeme – Notebook, Tablet, Smartphone, Datenträger
  • Gefährdungen im täglichen Gebrauch
  • Bring Your Own Device (BYOD) 
  • Datenschutz im Homeoffice
  • Sicherheitsfunktionen im Überblick – Enterprise Mobile Management (EMM)
  • Softwarelösungen für mobile Infrastrukturen
  • Mindestanforderungen für einen sicheren Betrieb
  • Technische und organisatorische Maßnahmen des IT-Grundschutzkompendiums
  • Fallbeispiele und Musterchecklisten

 

Auftragsverarbeitung in Rechenzentren

Housing, Hosting und Cloud-Dienste sicher gestalten

  • Technologietrends in Rechenzentren, wo geht die Reise hin? Stichwort Confidential-Computing
  • Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums (DIN EN 50600)
  • Informationssicherheits-Managementsysteme, Anforderungen nach ISO 27001 und IT-Grundschutz
  • Anforderungen und Umsetzung einer ISO 27001 Zertifizierung
  • C5 Kriterienkatalog Cloud-Computing des BSI
  • Datenschutzgrundverordnung Artikel 28 Auftragsverarbeiter
  • Mindestanforderungen für die Auswahl und Eignung eines Rechenzentrumsdienstleiters
  • Datentransfer in die USA - EU-U.S. Data Privacy Framework (EU-U.S. DPF)
  • Anwendung der Standarddatenschutzklauseln für die Übermittlung von Daten in Drittländer
  • Zertifizierung nach ISO 27001 und der Datenschutzgrundverordnung

 

Technischer Datenschutz in Kliniken und Krankenhäusern

Datenschutz- und Informationssicherheitsstandards praktisch umsetzen

  • Datenverarbeitungsprozesse im Krankenhaus bzw. in Kliniken
  • Abgrenzung der Verantwortlichkeiten und Zuständigkeiten
  • Ausgestaltung des Datenschutz- und Informationssicherheitsmanagements
  • Anforderungen des IT-Grundschutzstandards und der ISO 27001 native
  • Inhalte des Branchenspezifischen Sicherheitsstandards für die medizinische Versorgung (B3S)
  • Anwendung der Orientierungshilfe Krankenhausinformationssysteme (OH-KIS)
  • Leitlinie, Schutzziele, Risikomanagement
  • Abgrenzung des Informationsverbunds (Scope)
  • Toolbasierter Einsatz für die Bearbeitung der Anforderungen für Datenschutz und Informationssicherheit
  • Kritische Schwachstellen im Krankenhaus bzw. in Kliniken erkennen und durch Umsetzung von TOMs beseitigen
  • Rollen und Berechtigungskonzept auf der System- und Anwendungsebene
  • Benutzer- und Gruppenkontenverwaltung im Active Directory und in Fachanwendungen des KIS
  • Protokollierung und Zugriffskontrolle
  • Auftragsverarbeitung und Fernwartung
  • Löschkonzept zur Löschung von Patienten- und Falldaten

 

Datenschutzaudits und Datenschutzkontrolle mit Methode

Überwachung der Einhaltung der DSGVO durch den/die Datenschutzbeauftragte(n)

  • Voraussetzung für die Durchführung eines Audits / einer Kontrolle
  • Datenschutz- und Informationssicherheitsstrategie des Unternehmens/der Behörde
  • Stellung und Aufgaben des Datenschutzbeauftragten
  • Datenschutzregelungen – DSGVO
  • Ablauf und Methodik eines Audits / einer Kontrolle
  • Standards für Audits/Überprüfungen, Informationsquellen
  • Akteure und Anforderungen an den „Auditor“ / Prüfer
  • Methodische Vorgehensweise: Prüfplan, Strategie, Prüfbereiche, Auftakt, Dokumentation, Prüfung vor Ort, Bewertung, Abschluss
  • Indikatoren, Messungen und Kennzahlen für Datenschutz und Informationssicherheit
  • Key Performance Indikatoren (KPI)
  • Dokumentation in Bezug auf den Prüfungsgegenstand
  • Dokumentationsumfang, Dokumentationsstrukturen
  • Konzepte für die Datenverarbeitung
  • Datenschutz- und Informationssicherheitsleitlinie
  • Schutzbedarfsfeststellung
  • Technische und organisatorische Maßnahmen (TOM)
  • Vorgehensweise einer Aufsichtsbehörde bei einer Prüfung 
  • Beispiele aus der Praxis
  • Workshop: Prüf- und Auditbereiche

 

DSGVO richtig anwenden (Recht)

Wichtige Regelungen der DSGVO praktisch umsetzen

  • Aufbau, Ziele und Anwendung der Datenschutzgrundverordnung
  • Rechte der Betroffenen – Transparenz, Informationspflicht und Löschung
  • Pflichten für Verantwortliche und Auftragsverarbeiter
  • Datenschutz- und Informationssicherheitsmanagement
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
  • Sicherheit personenbezogener Daten – Schutzniveau, Risikoanalyse, Festlegung technischer und organisatorischer Maßnahmen – Umsetzungshinweise für die Praxis
  • Dokumentationsanforderungen
  • Meldepflicht bei Verletzung des Schutzes personenbezogener Daten
  • Umsetzung einer Datenschutz-Folgenabschätzung
  • Stellung und Aufgaben des Datenschutzbeauftragten
  • Verhaltensregeln und Zertifizierung
  • Musterformulare und Checklisten

 

Technisches Basiswissen für Datenschutz- und Informationssicherheitsbeauftragte

Funktionen von Hard- und Software, Gefährdungen sowie technische und organisatorische Maßnahmen einfach erklärt

  • IT-Systeme und IT-Komponenten in einer Organisation sicherheitstechnisch prüfen
  • Funktionen und Besonderheiten bei
  • PC, Notebook, Thin-Client, Server
  • Tablets, Mobiltelefon
  • USB-Sticks, Speicherkarten
  • Router, Switches, Firewall
  • Speichersysteme
  • Multifunktionsgeräte
  • Betriebssysteme
  • Benutzerkonten und Berechtigungen
  • Fachanwendungen und Datenbanken
  • Datensicherung
  • Datenlöschung
  • Protokollierung und Monitoring
  • Virtualisierung
  • Ansatzpunkte für die Überprüfung der IT-Systeme und IT-Komponenten
  • Auswahl technischer und organisatorischen Maßnahmen
  • Hilfsmittel zur Dokumentation und Nachvollziehbarkeit

 

Technisches Basiswissen für Personal- und Betriebsräte sowie Personalwesen

Beschäftigtendaten schützen! Überwachung und Einhaltung der DSGVO

  • Datenschutzanforderungen des Personal-/Betriebsrats und des Unternehmens/der Behörde
  • Wichtige Datenschutzvorschriften für den Schutz der Beschäftigtendaten, z. B. Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten, Art. 25 DSGVO Datenschutz durch Technikgestaltung, Art. 32 DSGVO Sicherheit der Verarbeitung, Art. 35 DSGVO Datenschutz-Folgenabschätzung
  • Mitbestimmung im Rahmen der DSGVO
  • Aufgaben und Stellung des Datenschutzbeauftragten (DSB)
  • Zusammenarbeit des DSB mit dem Personal-/Betriebsrat
  • Datenschutz- und Informationssicherheitsmanagement als Grundlage für den Schutz der Beschäftigtendaten und der Umsetzung der Regelungen der DSGVO
  • Methodische Schritte bei der Kontrolle der Einhaltung der Datenschutzvorschriften für Beschäftigtendaten
  • Nachweispflicht der Einhaltung der DSGVO des Unternehmens/der Behörde mittels Dokumentation
  • Technische und organisatorischen Maßnahmen auf IT-Systemen mit Beschäftigtendaten
  • Fallbeispiele mit datenschutzrechtlicher Bearbeitung und Checklisten
  • Was darf der Arbeitgeber, wo sind die Grenzen?
  • Personalinformationssystem - Welche Daten werden verarbeitet?
  • Berechtigungsmanagement der Personaldaten -  Wer kann auf welche Beschäftigtendaten zugreifen?
  • Videoüberwachung im Unternehmen - Darf der Verantwortliche/Arbeitgeber alles sehen?
  • Smartphone zur betrieblichen Nutzung - Der Arbeitgeber erhält Einblick in die Privatsphäre der Beschäftigten!
  • Protokollierung und Tracking der Beschäftigten - Was kann der Arbeitgeber über den Beschäftigten erfahren?

 

Datenschutzlecks in der Organisation erkennen und beseitigen

Gefährdungen durch technische und organisatorische Maßnahmen reduzieren

  • Grundlagen der IT-Infrastruktur und Datenverarbeitungsprozesse
  • Ansatzpunkte für die Überprüfung der IT-Systeme und IT-Komponenten
  • Typische Datenschutzschwachstellen
  • Konkrete Fallbeispiele aus den Bereichen IT-Infrastruktur, IT-Systeme, Netze und Anwendungen
  • Besonderheiten bei der Verwendung mobiler Systeme: Notebook, Smartphone, Datenträger
  • Konkrete Gefährdungen und mögliche Maßnahmen zu deren Beseitigung
  • Tools für die Ausnutzung von Datenschutzschwachstellen
  • Erhöhung der Informationssicherheit mit Sicherheitsprodukten des freien Marktes
  • Checklisten für das Aufspüren von Schwachstellen in der Organisation
  • Meldepflichten bei Datenschutzvorfällen und Datenschutzverletzungen
  • Welche konkreten Schritte müssen bei einem Datenschutzvorfall unternommen werden?
  • Feststellung und Klassifizierung von Datenschutzvorfällen
  • Betroffenenrechte: Wer muss wann informiert werden?
  • Workshop: Meldepflichten bei Datenschutzvorfällen und Datenschutzverletzungen

 

Aufgaben des Datenschutzbeauftragten praktisch umsetzen

Das fachliche Know-How erweitern und richtig anwenden 

  • Integration im Datenschutz- und Informationsmanagement
  • Persönliche und fachliche Voraussetzungen des Datenschutzbeauftragten (DSB)
  • Aufgaben und Stellung des DSB
  • Beraten – Überwachen – Berichten – Sensibilisieren
  • Rechte und Pflichten des DSB
  • Aufgabenjahresplan, Vorgehen nach der Bestellung
  • Audits und Datenschutzkontrollen durchführen
  • Ablauf und Methodik bei der Überwachung der Einhaltung der Datenschutzanforderungen
  • Kontrolle des Dienstleisters bei Vorliegen einer Auftragsdatenverarbeitung
  • Zusammenarbeit mit den Verantwortlichen, Fachbereichen und dem IT-Management
  • Verzeichnis der Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen
  • Feststellung, Klassifizierung und Management von Datenschutzvorfällen
  • Unterstützung bei der Datenschutz-Folgenabschätzung
  • Musterdokumente

 

Datenschutz und Informationssicherheit mit Hilfe anwendbarer Standards

Anforderungen der DSGVO und der Informationssicherheit mit einem Standard für Informationssicherheit einfach umsetzen

  • Datenschutz versus Informationssicherheit
  • Rechtliche Rahmenbedingungen der DSGVO: Artikel 5, 24, 25, 28 und 32
  • Datenschutz- und Informationssicherheitsmanagementsystem (DSMS + ISMS)
  • Nachweise und Dokumentationspflichten des „Datenverantwortlichen“
  • VdS 10000 und VdS 10010 Richtlinien für kleine und mittlere Unternehmen (KMU)
  • CISIS12 – Compliance Informations-Sicherheitsmanagement System in 12 Schritten
  • IT-Grundschutzstandard – IT-Grundschutzkompendium – Basisabsicherung, Stufenmodell
  • ISO 27001 und ISO 27002 – Informationstechnik – Sicherheitsverfahren – ISMS – Anforderungen 
  • Gegenüberstellung und praktischer Anwendungsbereich
  • Strategie und Ziele des Verantwortlichen der Organisation
  • Methodische Schritte der Umsetzung von Datenschutz und Informationssicherheit
  • Schutzbedarfsfeststellung und Gefährdungs- bzw. Risikoanalyse
  • Abgrenzung und Gruppierung der technischen und organisatorischen Gegebenheiten (Scope)
  • Gefährdungen mit technischen und organisatorischen Maßnahmen (TOM) reduzieren
  • Einsatz eines ISMS-Tools zur Unterstützung von Datenschutz und Informationssicherheit
  • Abgrenzung des Informationsverbunds (Scope) am Beispiel einer Musterorganisation
  • Anwendung des IT-Grundschutzkompendiums mit TOMs für die Informationssicherheit
  • Ergänzende TOMs für die Umsetzung der Datenschutzanforderungen
  • Tool-Datenbank einer Musterorganisation mit Informationsverbund und Sicherheitsmaßnahmen

 

Datenschutz und Informationssicherheit auf der Basis von IT-Grundschutz

Datenschutz- und Informationssicherheitsmanagement mit den richtigen Instrumenten professionell implementieren

  • Einführung und Grundlagen der DSGVO und des IT-Grundschutzstandards des BSI
  • Methodik und Vorgehensweisen im Datenschutz und im IT-Grundschutz
  • Anwendung des IT-Grundschutz-Kompendiums i.V.m. Datenschutzanforderungen
  • Prozess- und Systembausteine mit technischen und organisatorischen Maßnahmen (TOM)
  • Stufenmodell: Basis-, Standard- und erhöhte Anforderungen und Maßnahmen
  • Technische und organisatorische Maßnahmen im Rahmen einer Auftragsverarbeitung
  • Aufgaben des Datenschutz- und Informationssicherheitsbeauftragten bei der Implementierung
  • IT-Grundschutz-Check: Überprüfung der festgelegten Anforderungen und Maßnahmen
  • Implementierungsschritte für Datenschutz und IT-Grundschutz (unter Einsatz geeigneter Tools)
  • Abgrenzung und Gruppierung der organisatorischen und technischen Gegebenheiten (Scope)
  • Umsetzungsplan und Implementierungsschritte für die Organisation
  • Zusammenarbeit mit den Verantwortlichen, Fachbereichen und dem IT-Management
  • Datenschutz- und Informationssicherheitsleitlinie
  • Workshop: Umsetzungsplan und IT-Grundschutz-Check
  • Tool-Datenbank einer Musterorganisation mit Informationsverbund und Sicherheitsmaßnahmen

 

Mit dem Grundschutztool „Verinice“ zum Datenschutz- und Informationssicherheitskonzept 

Compliance durch die Festlegung und Umsetzung von technischen und organisatorischen Maßnahmen transparent gestalten

  • Kurze Einführung in die IT-Grundschutzstandards 200-X
  • Anwendung des IT-Grundschutz-Kompendiums
  • Konfiguration und Funktionen von Verinice
  • Erfassung und Abgrenzung eines Informationsverbunds nach der IT-Grundschutz-Methodik
  • Vorgehen bei der Schutzbedarfsfeststellung
  • Prozess- und Systembausteine richtig auswählen und zuordnen
  • Bearbeitung der Bausteine und Dokumentation der Sicherheitsanforderungen
  • Durchführung der Risikoanalyse
  • Stufenmodell Basis-, Standard- und Kernabsicherung
  • Erstellung benutzerdefinierter Bausteine mit Datenschutzperspektive
  • Beispieldatenbanken zum Mitnehmen

 

Agenden mit Terminen werden bei Durchführung auf den Webseiten der o. a. Veranstalter angezeigt. Die Seminare finden als Präsenz- oder auch als Online-Veranstaltung statt. Inhouse-Seminare führe ich nach individueller Festlegung der Inhalte durch.

Zu Fragen über Durchführung und Inhalte der Seminare nehmen Sie bitte mit mir Kontakt auf.

 


Datenschutzerklärung

Beim Aufruf der Webseite überträgt Ihr Webbrowser zu "meinem" Webhosting-Provider "netcup GmbH" automatisch Verbindungsdaten. Hierzu zählen u. a. IP-Adresse, Browsertyp und verwendetes Betriebssystem. Die Daten sind für den Verbindungsaufbau erforderlich und werden vom Webhosting-Provider temporär verarbeitet. Darüber hinaus werden keine personenbezogenen Daten gespeichert.