Präsentation zur Schulung der

Mitarbeitenden

Weitere Informationen: http://www.datenschutz-zug.ch

Version 2.0, November 2013

2Schulung: Umsetzung der Datensicherheitsverordnung 2

Rechtliche Grundlagen: Überblick

3

DSV Datensicherheitsverordnung Kanton Zug

Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur

Gewährleistung der Sicherheit von Daten

Schulung: Umsetzung der Datensicherheitsverordnung 3

4

Datensicherheitsverordnung (1)

§ 1 Gegenstand und Geltungsbereich1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur

Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln

oder auf andere Weise bearbeitet werden.

2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe,

die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist

sie nur im Rahmen der übertragenen Aufgaben anwendbar.

§ 2 Zweck der DatensicherheitDie Datensicherheit bezweckt den Schutz von Daten insbesondere gegen:

a) zufällige Bekanntgabe, Vernichtung oder Verlust;

b) technische Fehler;

c) unbefugte Kenntnisnahme;

d) unbefugte Bearbeitung;

e) Fälschung, Entwendung oder widerrechtliche Verwendung.

4Schulung: Umsetzung der Datensicherheitsverordnung

5

Datensicherheitsverordnung (2)

§ 3 Überprüfung der DatensicherheitDie Organe sind verantwortlich für die Überprüfung der Sicherheit der

Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und

Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der

Archivierung ist das Archiv zuständig.

§ 4 Sicherheitsmassnahmen1 Die Organe bestimmen die zum Schutz der Daten erforderlichen

Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen.

2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie

die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit.

3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den

Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf

für deren Umsetzung.

5Schulung: Umsetzung der Datensicherheitsverordnung

6

Datensicherheitsverordnung (3)

§ 5 Umsetzung1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je

nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht,

der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen.

Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe

sinngemäss vor.

2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen

alle vier Jahre die Wirksamkeit der bisherigen Massnahmen.

§ 6 RegierungsratDer Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit.

6Schulung: Umsetzung der Datensicherheitsverordnung

7Schulung: Umsetzung der Datensicherheitsverordnung 7

Merkblatt «Der sichere Umgang mit Daten»

Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren Schutz gegen Zugriff Unberechtigter

Bei Abwesenheit Gerät sperren Bei Arbeitsschluss

Weitergabe, Speichern und Löschen von Daten Weitergabe von Daten Speichern von Daten Löschen von Daten

Schutz vor Verlust Mobile Datenträger Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren

8Schulung: Umsetzung der Datensicherheitsverordnung 8

Merkblatt «Der sichere Umgang mit Daten»

Kommunikation über Netze Internet Intranet und internes Netz

Datenspuren In Dateien Beim Surfen

Rechtsgrundlagen Datenschutzgesetz des Kantons Zug Datensicherheitsverordnung Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im

Arbeitsverhältnis Personalgesetz und Personalverordnung Strafgesetzbuch

9Schulung: Umsetzung der Datensicherheitsverordnung 9

Merkblatt «Der sichere Umgang mit Daten»

Weitere zusätzliche Hinweise DSB Kanton Zug:

http://www.datenschutz-zug.ch/ DSB Kanton Zürich:

Lernprogramm zu Datensicherheit https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html

Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheithttps://review.datenschutz.ch/review/index.php

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:http://www.edoeb.admin.ch

10Schulung: Umsetzung der Datensicherheitsverordnung 10

Merkblatt «Passwort»

Passwort: Schutz vor dem Zugriff Unberechtigter Ein gutes – oder «starkes» Passwort

mind. 8 oder besser aus 10 Zeichen enthält Zahlen, Buchstaben und Sonderzeichen kombiniert hat Gross- und Kleinbuchstaben können Sie sich gut merken, andere aber nicht erraten, zum Beispiel

Sonn**EN00schein, fRan?ziska57 besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder

Namen

Anleitung für sichere Passwörter Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke

Passwort: <IAsdSn1x!>

11Schulung: Umsetzung der Datensicherheitsverordnung 11

Merkblatt «Passwort»

Handhabung des Passwortes Halten Sie das Passwort geheim Ändern Sie das Passwort spätestens nach drei Monaten Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter Keine Weitergabe an Mitarbeiter oder Dritte Verwenden Sie privat und geschäftlich andere Passwörter

Wichtige zusätzliche Informationen zum Passwort Hier können Sie überprüfen, wie gut Ihr Passwort ist:

https://review.datenschutz.ch/passwortcheck/check.php Weitere Hinweise des deutschen Bundesamtes für Sicherheit in der

Informationstechnik/BSI für zum Passwort:https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html

12Schulung: Umsetzung der Datensicherheitsverordnung 12

Merkblatt «Der sichere Umgang mit E-Mail»

Eile mit Weile! Ein Klick und Ihr Mail ist unwiderruflich weg

Wissen Sie wirklich, wer der Adressat ist? Versand innerhalb des verwaltungseigenen Netzes

Endet die Adresse auf «zg.ch» oder «gemeindename.ch», erfolgt die Zustellung über das eigene Netz

Versand via Internet Erhalt von E-Mails

Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr»,

ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft

Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender

13Schulung: Umsetzung der Datensicherheitsverordnung 13

Merkblatt «Der sichere Umgang mit E-Mail»

Vorgehen bei Ferienabwesenheit Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des

eigenen Netzes weiterleiten Absenderinnen und Absender von E-Mails mit einer automatischen Antwort

über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren

Wichtige zusätzliche Informationen im Umgang mit E-Mail Private Nutzung von E-Mails? Zur Verschlüsselung von [Office-] Dokumenten

14Schulung: Umsetzung der Datensicherheitsverordnung 14

Merkblatt «Mobile Geräte»

Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste

Arbeitsstationen Schutz des Gerätes durch ein starkes Passwort Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth,

Infrarot, GSM etc.) Nutzung von öffentlichen «Hotspots» ist zu vermeiden Aktualisierung des Virenschutzes Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl

Verschlüsselung SMS, MMS und E-Mail Vertrauliches gehört nicht an die Öffentlichkeit

Risiken melden!

Beobachten Sie Ihr Umfeld sorgfältig. Melden Sie entdeckte Risiken Ihrem

Vorgesetzten.

Sie sind unser wichtigster Sicherheitssensor!

Besten Dank!

16Schulung: Umsetzung der Datensicherheitsverordnung 16

Fragen und Antworten