Präsentation zur Schulung der Mitarbeitenden

1. Präsentation zur Schulung der Mitarbeitenden Weitere Informationen: http://www.datenschutz-zug.chVersion 2.0, November 2013

2. Rechtliche Grundlagen: Überblick Schulung: Umsetzung der Datensicherheitsverordnung 2 2

3. DSV Datensicherheitsverordnung Kanton Zug Bezweckt den Schutz von Daten Gilt für alle dem DSG unterstellten Organe Regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten Schulung: Umsetzung der Datensicherheitsverordnung 3 3

4. Datensicherheitsverordnung (1) § 1 Gegenstand und Geltungsbereich 1 Diese Verordnung regelt das Verfahren und die Zuständigkeiten zur Gewährleistung der Sicherheit von Daten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden. 2 Sie gilt für die dem Datenschutzgesetz unterstellten Organe. Für Organe, die für den Kanton oder die Gemeinden öffentliche Aufgaben erfüllen, ist sie nur im Rahmen der übertragenen Aufgaben anwendbar. § 2 Zweck der Datensicherheit Die Datensicherheit bezweckt den Schutz von Daten insbesondere gegen: a) zufällige Bekanntgabe, Vernichtung oder Verlust; b) technische Fehler; c) unbefugte Kenntnisnahme; d) unbefugte Bearbeitung; e) Fälschung, Entwendung oder widerrechtliche Verwendung. Schulung: Umsetzung der Datensicherheitsverordnung 4 4

5. Datensicherheitsverordnung (2) § 3 Überprüfung der Datensicherheit Die Organe sind verantwortlich für die Überprüfung der Sicherheit der Daten in den Phasen ihrer Erhebung, Bearbeitung, Aufbewahrung und Löschung. Für die Überprüfung der Sicherheit der Daten in der Phase der Archivierung ist das Archiv zuständig. § 4 Sicherheitsmassnahmen 1 Die Organe bestimmen die zum Schutz der Daten erforderlichen Sicherheitsmassnahmen, wie Zugangs-, Benutzer-, Zugriffs- oder Bearbeitungskontrollen. 2 Sie berücksichtigen dabei den gegenwärtigen Stand der Technik sowie die Grundsätze der Verhältnismässigkeit und Wirtschaftlichkeit. 3 Sie erstellen einen Massnahmenkatalog, der Auskunft gibt über den Zweck und die Kosten der vorgeschlagenen Massnahmen sowie den Zeitbedarf für deren Umsetzung. Schulung: Umsetzung der Datensicherheitsverordnung 5 5

6. Datensicherheitsverordnung (3) § 5 Umsetzung 1 Die Organe beantragen die Umsetzung des Massnahmenkatalogs – je nach Zuständigkeit – bei den Direktionen, dem Obergericht, dem Verwaltungsgericht, der Staatskanzlei sowie den vorgesetzten gemeindlichen Stellen. Bei ausgelagerter Datenbearbeitung gehen die betreffenden Organe sinngemäss vor. 2 Die Organe sorgen für die Instruktion der Mitarbeitenden und überprüfen alle vier Jahre die Wirksamkeit der bisherigen Massnahmen. § 6 Regierungsrat Der Regierungsrat erlässt eine Weisung zur Überprüfung der Datensicherheit. Schulung: Umsetzung der Datensicherheitsverordnung 6 6

7. Merkblatt «Der sichere Umgang mit Daten» Bei der Bearbeitung von Personendaten bestehen gewisse Risiken und Gefahren • Schutz gegen Zugriff Unberechtigter • Bei Abwesenheit Gerät sperren • Bei Arbeitsschluss • Weitergabe, Speichern und Löschen von Daten • Weitergabe von Daten • Speichern von Daten • Löschen von Daten • Schutz vor Verlust • Mobile Datenträger • Viren: Schutz vor Viren und Vorgehen bei Auftreten von Viren Schulung: Umsetzung der Datensicherheitsverordnung 7

8. Merkblatt «Der sichere Umgang mit Daten» • Kommunikation über Netze • Internet • Intranet und internes Netz • Datenspuren • In Dateien • Beim Surfen • Rechtsgrundlagen • Datenschutzgesetz des Kantons Zug • Datensicherheitsverordnung • Verordnung über die Benutzung von elektronischen Kommunikationsmitteln im Arbeitsverhältnis • Personalgesetz und Personalverordnung • Strafgesetzbuch Schulung: Umsetzung der Datensicherheitsverordnung 8

9. Merkblatt «Der sichere Umgang mit Daten» • Weitere zusätzliche Hinweise • DSB Kanton Zug:http://www.datenschutz-zug.ch/ • DSB Kanton Zürich: Lernprogramm zu Datensicherheit https://dsb.zh.ch/internet/datenschutzbeauftragter/de/home.html Grobanalyse getroffener Massnahmen für Datenschutz und Informatiksicherheithttps://review.datenschutz.ch/review/index.php • Eidg. Datenschutz- und Öffentlichkeitsbeauftragter:http://www.edoeb.admin.ch Schulung: Umsetzung der Datensicherheitsverordnung 9

10. Merkblatt «Passwort» • Passwort: Schutz vor dem Zugriff Unberechtigter • Ein gutes – oder «starkes» Passwort • mind. 8 oder besser aus 10 Zeichen • enthält Zahlen, Buchstaben und Sonderzeichen kombiniert • hat Gross- und Kleinbuchstaben • können Sie sich gut merken, andere aber nicht erraten, zum Beispiel Sonn**EN00schein, fRan?ziska57 • besteht nicht nur aus Wörtern – auch nicht in einer Fremdsprache – oder Namen • Anleitung für sichere Passwörter • Bilden Sie einen Satz: «Im August schien die Sonne nur 1x!» ergibt das starke Passwort: <IAsdSn1x!> Schulung: Umsetzung der Datensicherheitsverordnung 10

11. Merkblatt «Passwort» • Handhabung des Passwortes • Halten Sie das Passwort geheim • Ändern Sie das Passwort spätestens nach drei Monaten • Verwenden Sie für verschiedene Anwendungen verschiedene Passwörter • Keine Weitergabe an Mitarbeiter oder Dritte • Verwenden Sie privat und geschäftlich andere Passwörter • Wichtige zusätzliche Informationen zum Passwort • Hier können Sie überprüfen, wie gut Ihr Passwort ist:https://review.datenschutz.ch/passwortcheck/check.php • Weitere Hinweise des deutschen Bundesamtes für Sicherheit in der Informationstechnik/BSI für zum Passwort:https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html Schulung: Umsetzung der Datensicherheitsverordnung 11

12. Merkblatt «Der sichere Umgang mit E-Mail» • Eile mit Weile! • Ein Klick und Ihr Mail ist unwiderruflich weg • Wissen Sie wirklich, wer der Adressat ist? • Versand innerhalb des verwaltungseigenen Netzes • Endet die Adresse auf «zg.ch» oder «gemeindename.ch», erfolgt die Zustellung über das eigene Netz • Versand via Internet • Erhalt von E-Mails • Mails von zweifelhafter Herkunft sind ungeöffnet zu löschen • Ebenso ungeöffnet zu löschen sind Dateien mit der Endung «.scr», ausführbare Dateien («.exe», «.bat», «.vbs» etc.) und Bilder von zweifelhafter Herkunft • Fehlende Gewissheit über Identität des Absenders erfordert telefonisches Nachfragen beim Absender Schulung: Umsetzung der Datensicherheitsverordnung 12

13. Merkblatt «Der sichere Umgang mit E-Mail» • Vorgehen bei Ferienabwesenheit • Eingehende E-Mails nicht automatisch an eine E-Mail-Adresse ausserhalb des eigenen Netzes weiterleiten • Absenderinnen und Absender von E-Mails mit einer automatischen Antwort über Ihre Ferienabwesenheit und Ihre Stellvertretung informieren • Wichtige zusätzliche Informationen im Umgang mit E-Mail • Private Nutzung von E-Mails? • Zur Verschlüsselung von [Office-] Dokumenten Schulung: Umsetzung der Datensicherheitsverordnung 13

14. Merkblatt «Mobile Geräte» • Mobile Geräte (Laptops/Notebooks, PDA, Mobiltelefone/Smartphones, USB-Sticks etc.) • Grundsätzlich dieselben Sicherheitsbestimmungen wie für feste Arbeitsstationen • Schutz des Gerätes durch ein starkes Passwort • Diverse Möglichkeiten zur drahtlosen Kommunikation (WLAN, Bluetooth, Infrarot, GSM etc.) • Nutzung von öffentlichen «Hotspots» ist zu vermeiden • Aktualisierung des Virenschutzes • Umgehende Information an IT-Verantwortlichen bei Verlust oder Diebstahl • Verschlüsselung • SMS, MMS und E-Mail • Vertrauliches gehört nicht an die Öffentlichkeit Schulung: Umsetzung der Datensicherheitsverordnung 14

15. Risiken melden! • Beobachten Sie Ihr Umfeld sorgfältig. • Melden Sie entdeckte Risiken Ihrem Vorgesetzten. • Sie sind unser wichtigster Sicherheitssensor! • Besten Dank!

16. Fragen und Antworten Schulung: Umsetzung der Datensicherheitsverordnung 16