Slideshow

Datenschutz

 

Vorgehensweise bei der Beratung und Planung eines Datenschutzmanagements.

Die zugehörige vollständige Infografik zur Strategie finden Sie hier.

 

Wenn wir hier von Datenschutzmanagement sprechen, meinen wir die Prozesse, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung sowie den Betrieb und Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement knüpft auch an IT-Compliance an. Dazu gehört auch das Risikomanagement. Compliance und Datenschutz sind essentielle Bestandteile einer IT-Strategie und gehören in jedes Unternehmen.

Was genau heißt das?

Es gibt gesetzliche Anforderungen für den Betrieb von IT/TK-Infrastrukturen, die es gilt vor dritten zu schützen. Vielen Unternehmern, die die heutigen Gefahren in der Informationstechnologie nicht ernst genug nehmen, laufen somit Gefahr, die Sicherheit in ihren Unternehmen zu unterwandern sowie gegen geltende Gesetze zu verstossen. Zu nennen ist hier zum Beispiel das Bundesdatenschutzgesetz §9 BDSG. In der Anlage (zu § 9 Satz 1 BDSG) ist beschrieben, wie die Technischen und organisatorischen Datenschutzmaßnahmen durchzuführen sind:

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind. Diese sind:


Anlage
(zu § 9 Satz 1)

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.


Aber auch andere Gesetze wie Beispielsweise das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich welches im Kern dazu dient, ein unternehmensweites Früherkennungssystem (Risikomanagement) für Risiken einzuführen und zu betreiben, sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Das heißt im Überblick, das die Unternehmer verpflichtet sind, den Datenschutz sowie Risikomanagement / Risikoanalysen in allen Fragestellungen zu gewährleisten.

Weiter können allgemeingültige Standards wie der IT-Grundschutz des BSI bei der weiteren Ausarbeitung der Gesetzesgebung helfen, diese ordnungsgemäß umzusetzen.

 

Was wir für Sie an dieser Stelle tun können.

Datenschutzmanagement knüpft auch an interne Sicherheitsrichtlinien und IT-Compliance an. Wir erarbeiten mit Ihnen in Verbindung mit einem Datenschutz- und Compliance Regelwerk sowie interner Sicherheitsrichtlinien ein Gesetzeskonformes Werk. Dabei werden die Mitarbeiter in dieses Konzept mit eingebunden. Bei Bedarf werden Schulungen hinsichtlich unternommen. Denn Datenschutz und Sicherheit beginnt bereits in unseren Köpfen. Lesen Sie hierzu auch die Ausführungen der Psychologie der IT-Security. Dieser Prozess des Regelwerkes ist nicht einmalig zu verstehen sondern er ist fortlaufend und benötigt ständige Kontrolle und Weiterentwicklung. Wir stehen Ihnen mit unserem Know-how von Beginn an zur Seite und begleiten Sie während des gesamten Prozesses, angefangen von der Planung bis hin zur Implementierung und natürlich darüber hinaus.

 

zurück nach Strategie