Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. Mai 2018 bereits in Kraft gesetzt. Die Benennung eines Datenschutzbeauftragten (DSB) ist in Deutschland erforderlich, wenn in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Natürlich gibt es noch speziellere Regeln, wie z.B. für Gemeinschaftsarztpraxen oder Vertragsärzte mit angestelltem Arzt. Dort gilt der Grundsatz: „Ein Datenschutzbeauftragter muss auch dann benannt werden, wenn umfangreiche Verarbeitung besonders geschützter Daten den Kernbereich der Tätigkeit bilden.“

Es obliegt dann die Entscheidung, möchte ich einen eigenen fachlich qualifizierten Mitarbeiter einsetzen oder den DSB extern bestellen.

Bei der internen Benennung des DSB sind einige Besonderheiten im Zusammenhang mit dem Arbeitsrechtsverhältnis zu beachten.

Gut, Sie brauchen keinen DSB. Trotzdem müssen Sie die Datenschutzregelungen nach DSGVO einhalten. Jedes große und auch kleine Unternehmen muss für sich selbst das optimale Datenschutz-Management-System entwickeln. Ziel ist es immer die personenbezogenen Daten zu schützen. Unsere Berater der BCC/IAP haben einen strukturierten Weg zu einem gesetzeskonformen Datenschutz-Management-System entwickelt, welche zur Dokumentation durch eine Spezialsoftware otris privacy unterstützt wird. Einmal gut aufgestellt, verringert sich der weitere Aufwand auf Kontrolle und Anpassung.

Die Independent Consulting + Audit Professionals GmbH steht Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!

 

Keyfacts

  • Seit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) bestehen für Unternehmen strikte Rechenschaftspflichten. Unternehmen müssen nachweisen, dass sie die Datenschutzgrundsätze der DS-GVO einhalten.
  • Durch die Einrichtung und Aufrechterhaltung eines funktionierenden Datenschutz-Managementsystems (DSMS) können Unternehmen die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch planen, steuern und kontrollieren.
  • Damit Unternehmen Aufsichtsbehörden und ihren Kunden gegenüber die Angemessenheit und Wirksamkeit des Datenschutz-Managementsystems nachweisen können, hat das Institut der Wirtschaftsprüfer (IDW) mit dem IDW PH 9.860.1 einen neuen Prüfungshinweis für die Prüfung von Datenschutzorganisationen herausgebracht

Erreichen Sie DS-GVO Konformität für Ihr Unternehmen durch ein effektives DSMS

Unternehmen sind gefordert, ihre datenschutzrelevanten Verfahren und Maßnahmen anzupassen, um den datenschutzrechtlichen Vorgaben vollumfänglich nachzukommen. Zudem sind Unternehmen verpflichtet, die Einhaltung der in Art. 5 Abs. 1 DS-GVO genannten Datenschutzgrundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit) nachweisen zu können. Die Implementierung eines Datenschutz-Managementsystems ist somit unerlässlich, um die gesetzlichen Anforderungen zu erfüllen. Bei einem Verstoß gegen die neuen Datenschutzbestimmungen drohen Unternehmen aller Größen und Branchen erhebliche Sanktionen.

Prüfen Sie die Angemessenheit und Wirksamkeit ihres DSMS

Es besteht daher ein erhöhter Bedarf für eine Prüfung dieser technischen und organisatorischen Verfahren und Maßnahmen durch einen Wirtschaftsprüfer. Der IDW Prüfungshinweis „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (IDW PH 9.860.1)“ konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf datenschutzspezifische Prüfungen und soll den Berufsstand bei diesen Prüfungen unterstützen. Ziel ist die Einheitlichkeit im Berufsstand bei der Durchführung der Prüfungen. Der IDW PH 9.860.1 enthält einen Katalog von Regelbeispielen für geeignete Grundsätze, Verfahren und Maßnahmen zur Gewährleistung und Prüfung der Datenschutzkonformität, insbesondere im Rahmen von Angemessenheits- und Funktionsprüfungen. Gegenstand einer Prüfung nach IDW PH 9.860.1 sind die Kriterien der aus dem Geschäftsmodell des Unternehmens abgeleiteten Datenschutzziele, der Datenschutzkultur, seine Aufbau- und Ablauforganisation, das Rahmenregelwerk inkl. Risikoanalysen, Schulungs- und Sensibilisierungsmaßnahmen sowie Maßnahmen zur Überwachung und Verbesserung des Systems.

Nutzen für Ihr Unternehmen

  • Sie erhalten ein Überblick über die Angemessenheit und Wirksamkeit Ihres DSMS sowie über den aktuellen Umsetzungsstand der datenschutzrechtlichen Anforderungen in Ihrem Unternehmen.
  • Handlungsbedarfe werden frühzeitig aufgezeigt und können kompetenzgerecht adressiert werden.
  • Durch den Prüfbericht – auf Wunsch mit Testat vom Wirtschaftsprüfer – erhalten Sie einen gültigen Nachweis der DS-GVO-Compliance Ihres Unternehmens. Dies sichert Sie nicht nur gegenüber der Aufsicht ab, sondern schafft zudem Vertrauen bei Ihren Kunden und Stakeholdern und kann Ihnen zu einem Wettbewerbsvorteil verhelfen

Gern besprechen wir Ihre aktuelle Situation und Ziele und erstellen Ihnen ein passgenaues Prüfungsangebot. Sprechen Sie uns an!

Am 03. Februar 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 veröffentlicht. Die Aktualisierung des IT—Grundschutz-Kompendiums erfolgt inzwischen jährlich.

Die zahlreichen Änderungen erfordern von den IT Sicherheits Verantwortlichen im Unternehmen in großem Umfang Nacharbeiten, um die Basisanforderungen zu sichten und anzupassen – der überwiegende Teil muss nur einmal angeschaut werden. Dies kann man gut in die jährlich vorgesehene Aktualisierung der Regelungen mit einfließen lassen. Der Umfang zeigt sich deutlich bei den Anforderungen in den einzelnen thematischen Bausteinen mit ca. 1.700 Änderungen.

Im BSI-Grundschutz werden drei Anforderungsstufen unterschieden: Basisanforderungen, Standardanforderungen und Anforderungen für erhöhten Schutzbedarf. Welche Kriterien man ansetzen sollte, um das passende Schutzniveau für seine Geschäftsprozesse und die damit verbundenen Anforderungen festzulegen, definiert der BSI-Standard 200-2 IT-Grundschutz-Methodik (PDF) und darin explizit das Kapitel 3.2.3 „Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse“.

Die Neuerungen zeigen sich neben der umfangreichen Überarbeitung der Anforderungen auch in Verschiebungen und Konsolidierungen von Bausteinen. Zwei neue Bausteine sind hinzugekommen. Das BSI stellt eine Detailübersicht von 67 Seiten bereit, welches die Änderungen besser erkennen und verarbeiten lässt. Sieben Bausteine erhielten neue Namen und ein Baustein wurde in eine andere Schicht verschoben. Die neuen Bausteine sind der wichtige Baustein „CON.8 Software-Entwicklung“ und der Baustein „INF.5 Raum sowie Schrank für technische Infrastruktur“.

Kein Passwortwechsel mehr, der rein zeitlich gesteuert ist!

Die neue Basis-Anforderung „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme“ verdeutlicht die Forderung, rein zeitlich definierte Passwortwechsel zu meiden und nur aufgrund eines validen Bedarfs die Benutzer zum Wechsel aufzufordern. Hier gibt es auch viele Hinweise zur praktischen Handhabung von Passwörtern, beispielsweise das Wechseln von Standardpasswörtern oder das testen, ob die gesamte Passwortlänge bei der Sicherheitsprüfung von Anwendungen und IT-Systemen genutzt wird. Weitere Forderungen sind das sichere Speichern, das verschlüsselte Übertragen und das Anzeigen minimalistischer Hinweise bei Falscheingaben.

Im Baustein „ORP.4 Identitäts- und Berechtigungsmanagement“ gab es auch eine kritische Änderung, die vor allem fordert, dass Authentisierungsinformationen kryptografisch sicher übertragen und gespeichert werden MÜSSEN. Dies stellt eindeutig eine weitere Verbesserung der Sicherheit dar, wird aber nicht in allen Teilen ohne weiteres umsetzbar sein. Das kann durchaus erhebliche Auswirkungen in der Konzeption der IT Sicherheitsarchitektur haben. Die BERLINCOUNSEL Consulting GmbH steht Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!

Die Independent Audit Proffessionals stehen Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!

T-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act

Mehr als vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde. Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war strittig, ob auch eine kleine Arztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren. Der Begriff „Stand der Technik“ entwickelte sich zu jener Zeit zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).

Kurz nach Einführung des IT-SiG folgte im Jahr 2016 die europäische Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen. Diese sog. NIS-Richtlinie enthält analoge Regelungen wie das IT-SiG, bezieht aber auch explizit die Anbieter von „digitalen Diensten“ ein, die von hoher Bedeutung für den digitalen Binnenmarkt sind, also etwa Online-Marktplätze, Suchmaschinen und Cloud-Computing-Provider. Zwischenzeitlich wurde durch die BSI-Kritisverordnung (BSI-Kritis) dann auch der Anwendungsbereich des IT-SiG zahlenmäßig festgelegt – und damit war klar, dass die „kleine Arztpraxis“ nicht von den entsprechenden IT-Sicherheitspflichten betroffen ist.

Nachdem man in den Betrieben dann erst einmal eine Weile mit der Implementierung der neuen gesetzlichen Pflichten befasst war, nutzten EU- und Bundesgesetzgeber die Gelegenheit, weitere rechtliche Regelungen zur Cybersecurity auf den Weg zu bringen. So wurde im April 2019 der Referentenentwurf des BMI für ein „IT-Sicherheitsgesetz 2.0“ veröffentlicht. Dieser Entwurf des zweiten Gesetzes enthält umfassende Neuerungen: Das BSI darf demnach aktiv Sicherheitsrisiken und Angriffsmethoden detektieren, kann Informationen über sicherheitsrelevante Eigenschaften von Produkten (z.B Router, SmartTV) sammeln, Hersteller müssen für KRITIS-Kernkomponenten die Lieferketten nachweisen können und der Adressatenkreis der ursprünglichen Regelungen wird ausgedehnt. In eine ganz ähnliche Richtung geht auch die EU mit ihrem jüngst in Kraft getretenen „Cybersecurity Act“, der nicht nur die Befugnisse der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) aufstockt, sondern auch den Grundstein für ein EU-weit geltendes System der Zertifizierung von Cybersicherheit legt (europa.eu).

Die Independent Audit Proffessionals beraten Sie gerne bei der Implementation eines ISMS und unterstützt bei der Abbildung der BSI-KRITIS Anforderungen im Unternehmen.

Im Zuge der Digitalisierung ist der Einsatz moderner Informations- und Kommunikationstechnik für Unternehmen unverzichtbar geworden. Die stetig wachsende Menge an Geschäftsunterlagen und -informationen in jeglicher Form (Papier-/Digitalform) wird in Unternehmen oft manuell und lokal archiviert oder in den dazugehörigen Aktenordnern abgelegt. Mit einer derartigen Archivierung gehen Unternehmen das Risiko ein, dass die archivierten Dokumente und Informationen nicht rechtzeitig oder schlimmstenfalls gar nicht auffindbar sind.

Damit die Informationen und Geschäftsprozesse nachhaltig und effizient organisiert werden, ist ein unternehmensgerechtes Dokumentenmanagement-System (DMS) notwendig, das die elektronischen Geschäftsunterlagen verwaltet, die Papierunterlagen mit Hilfe automatisierter Workflows digitalisiert und die aufbewahrungspflichtigen Daten anforderungsgerecht archiviert. Zudem werden die Geschäftsinformationen mit Einsatz eines Dokumentenmanagement-Systems (DMS) strukturiert und klassifiziert erfasst. Das unternehmensgerechte digitalisierte Archivsystem versetzt die Dateneigner (Datenbearbeiter) in die Lage, die Arbeitsabläufe effizienter und schneller zu gestalten. Ein adäquates Informationsmanagement-System steigert die Produktivität und reduzieren die Kosten des Unternehmens.

Um die Vorteile eines Dokumentenmanagement-System (DMS) zu nutzen und Ihre Konkurrenzpotentiale zu induzieren, sind zwei wesentliche Aspekte – nämlich die Auswahl und die Einführung des Dokumentenmanagement-systems (DMS) – zu berücksichtigen. Welchen Nutzen für Ihr Unternehmen ein Dokumentenmanagement-System (DMS) explizit anbietet und welches Dokumenten-Management-System (DMS) für Ihr Unternehmen vorteilhaft ist, lässt sich durch einen umfassenden Überblick des Anbietermarktes und umfangreiche Kenntnisse der komplexen Anforderungen beurteilen.

Die richtige Auswahl Ihres unternehmensgerechten Dokumentenmanagement-System (DMS) erfordert:

Die Festlegung auf ein unternehmensgerechtes Dokumenten-Management-System erfordert:

  • eine Analyse des Ist-Zustandes der Geschäftsprozesse und Geschäftsdokumente, welche in einem Lastenheft definiert wird,
  • die Identifizierung der funktionalen und technischen Anforderungen an die revisionssichere Aufbewahrung der als relevant identifizierten Dokumente und
  • die Entwicklung des Soll-Zustandes, welches die Lösungsansätze bzw. die Grundlage für die Implementierung der vorhandenen technischen Lösung weit herangezogen, die in einem Pflichtenheft beschrieben wird.

Darüber hinaus sichert eine erfolgreiche Einführung des Dokumentenmanagement-System weitere Erfolgsfaktoren des Unternehmens, wie z.B.:

  • die Optimierung  und/oder Ablösung der Ablage im Dateisystem,
  • die Prozessoptimierung durch bessere Verfügbarkeit bzw. Auffindbarkeit von Dokumenten,
  • die Qualitätssteigerung durch Aktualität und strukturierte Dokumente und
  • die Aufrechterhaltung eines unternehmensübergreifenden Überblicks über das Gesamtunternehmen.

Wir, die Independent Audit Professionals, leisten einen wichtigen Wertbeitrag dazu und unterstützen Sie bei der Auswahl und erfolgreichen Einführung Ihres Dokumentenmanagement-Systems. Gern entwickeln wir ein auf Ihre Situation und Ziele ausgerichtetes System!