Verarbeitung personenbezogener Daten
Es gibt einen Paradigmenwechsel, der Sie in Zukunft dafür verantwortlich macht, dass jedes Unternehmen alle Vorgänge in denen personenbezogene Daten verarbeitet werden, in einem Verzeichnis der Verarbeitungstätigkeiten dokumentieren müssen. Bisher wurden diese Verarbeitungen beim Datenverarbeitungsregister geführt, wobei es sogenannte Standardverarbeitung für Prozesse gab, die in nahezu jedem Unternehmen vorkommen (z.B. Lohnverrechnung), welche nicht meldepflichtig waren. Diese Standardverarbeitung gibt es in Zukunft nicht mehr, sodass jede Verarbeitung personenbezogener Daten im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren sind. Dieses Verzeichnis muss laufend kontrolliert und nötigenfalls angepasst werden. Für manche Unternehmen ist es erforderlich eine Datenschutz-Folgenabschätzung zu erstellen. Hierbei ist auch zu beachten, dass eine Risikoanalyse für die Verarbeitung besonders sensible Daten notwendig ist.
Transparenzanforderung
Betroffene haben das Recht zu erfahren, für welchen Zweck und wie ihre persönlichen Daten erhoben worden sind und auch wofür genutzt werden. Ein wichtiger Aspekt in diesem Zusammenhang ist natürlich auch welche Maßnahmen zum Schutz der Daten ergriffen worden sind. Zudem ergeben sich daraus eine Fülle von Verpflichtungen für Unternehmen, um den geforderten Nachweis- und Auskunftspflichten, sowie den sonstige Betroffenenrechten zur Löschung, Korrektur und Datenübertragung in der gesetzlich geforderten Transparenz vollinhaltlich nachkommen zu können. Die Dokumentation der erforderlichen Prozesse und Maßnahmen ist bei Bedarf den prüfenden Behörden vorzulegen.
AGB´s und Verträge mit Datenverarbeitern und Einwilligungserklärungen
Denken Sie daran, dass Sie bei Übergabe der Daten an einen Auftragsverarbeiter nicht automatisch auch die Verantwortung für diese Daten abgeben (Unterlagen für den Steuerberater, Lohnverrechnung, etc.). Es ist daher erforderlich, dass Sie Ihre Verträge anpassen und verpflichtend sogenannte Dienstleisterverträge mit festgelegten Mindestinhalten für alle errichten. Zudem sind Sie verpflichtet sicherzustellen, dass das mit der Verarbeitung Ihrer Daten beauftragte Unternehmen die einschlägigen Vorschriften einhält. Dazu genügt nicht eine einmalige Überprüfung, sondern es ist eine regelmäßige Prüfung erforderlich, welche sicherstellt, dass der Auftragsverarbeiter den Verpflichtungen aus der Datenschutzgrundverordnung nachkommt.
Werden auf der Homepage personenbezogene Daten erfasst, so gelten hier die Grundsätze der Datenminimierung und spezielle Anforderungen an die Einwilligung zur Verarbeitung der personenbezogenen Daten. Zusätzlich ist auch notwendig, dass Sie bei Online-Shops darauf achten, dass hier der Schutz von Minderjährigen besonderen Anforderungen unterliegt. In diesem Bereich empfiehlt es sich, geeignete Maßnahmen zu treffen, damit alle gesetzlichen Bestimmungen erfüllt werden, da sonst die Gefahr besteht, vom Mitbewerber wegen UHG-Verletzungen bei der Datenschutzbehörde gemeldet zu werden. Diese ist dann, anders als bisher die zuständige Verwaltungsbehörde, verpflichtet, dieser Anzeige nachzugehen, was u.U. zu erheblichen Strafen führen kann.
Organisation ist alles
Die DSGVO ist ein effektives Mittel, damit die Abläufe in den Betrieben genau analysiert und Risiken und deren Reduzierung bzw. Vermeidung aktiv angegangen werden. Die DSGVO ist dabei einheitliche Regeln zu schaffen, damit in Zukunft Cyber-Kriminalität und die Folgen von Angriffen miniert werden können. Auch der von vielen Seiten geforderten Schutz vor der uneingeschränkten Auswertung personenbezogenen Daten wird mit der DSGVO für alle Bürger der EU weltweit einheitlich geregelt. Profiling auf Personenebene, wie es von vielen internationalen Konzernen in der jetzigen Form durchgeführt wird, soll dadurch endgültig der Vergangenheit angehören. Sehen Sie diese Verordnung auch als Chance, die Abläufe in Ihrem Unternehmen zu durchleuchten und zu optimieren und die IT vor externen und internen Angriffen abzusichern. In den letzten Jahren wurde auf Grund der immer schneller fortschreitenden Technologie-Entwicklung die Dokumentation der Abläufe, die Berücksichtigung von Risiken und die Erstellung von Notfallplänen oft vernachlässigt, was zu hohen Risiken für die Unternehmenswerte geführt hat.
Technische Maßnahmen
Datensicherung
Die Datensicherung ist für alle Firmen ein notwendiges Übel und wird deshalb oft nur sehr halbherzig durchgeführt. Zu einer ordnungsgemäßen Datensicherheit gehört es, dass nicht nur Pläne für die Sicherung der Daten erstellt werden, sondern vor allem die Kontrolle der Vollständigkeit der Daten und die regelmäßige Kontrolle, diese Daten wiederhergestellt werden können, durchgeführt werden. Im Falles eines Cyber-Angriffes kann es für die Firma überlebenswichtig sein, auf eine möglichst aktuelle Sicherung zurückgreifen zu können um den Datenverlust auf ein Mindestmaß zu beschränken. Die Sicherungsmedien sollten keinesfalls permanent mit dem System verbunden sein, da die Gefahr besteht, dass bei einem Angriff auch die Sicherungen beschädigt werden. Zudem ist es wichtig die Sicherungsmedien zumindest in einem eigenen Brandabschnitt oder außerhalb des Büros zu verwahren, um im Katastrophenfall, wie z.B. Brand oder Wasserschäden, diese noch zur Verfügung zu haben.
Firewall
Diese technische Einrichtung erschwert es Angreifern zu Ihren persönlichen Daten zu gelangen. In vielen Fällen wird jedoch diese technische Einrichtung sehr stiefmütterlich behandelt. Auf Grund der Angriffsszenarien ist es notwendig, dass die Firewall auch in regelmäßigen Abständen gewartet und überprüft wird. Eine Kontrolle der Funktionsfähigkeit, sogenannte Pen-Tests, sollten in regelmäßigen Abständen durchgeführt werden.
Virenschutz
Bei fast allen Firmen ist ein Virenschutz vorhanden. Doch es genügt nicht, dass der Virenschutz installiert ist, sondern es müssen auch Maßnahmen ergriffen werden, damit dieser Virenschutz auch aktuell ist und bei Gefahr in Verzug den User warnt. Wie schnell reagiert Ihr Virenschutz auf Angriffe? Wissen ihre Anwender Bescheid was im Falle einer Infektion zur tun ist? In unseren IT-Security Seminaren bekommen Sie wichtige Informationen über Schadsoftware und erfahren, wie sie sich im Schadensfall verhalten sollen, um größeren Schaden zu verhindern.
Kennwörter
Der richtige Umgang mit Kennwörtern ist für die Informationssicherheit essentiell. Nicht nur die Wahl eines entsprechend komplexen Kennworts ist wichtig, es gilt vor allem auch die Mitarbeiter/innen entsprechend zu informieren, dass die Weitergabe von Kennwörter nicht zulässig ist und der beste Kennwortschutz nichts hilft, wenn die Arbeitsstation ohne Sperre für längere Zeit verlassen wird. Viele dieser Details und die möglichen Konsequenzen werden in unseren Seminaren zum Thema IT Security ausführlich behandelt.
Lassen Sie sich von Fachleuten unterstützen
Coaching
Sie sind Spezialisten in Ihrer Branche – wir sind die Spezialisten bei der Umsetzung und Begleitung bei der DSGVO und ISO/IEC 27001. Gerne kümmern wir uns um den ordnungsgemäßen Ablauf aller Belange rund um das Thema Datenschutz und Informationssicherheit. Wenn Sie in Ihrer Firma eine eigene Abteilung für diese Aufgaben haben, so sind wir hier der Ansprechpartner und die Begleitung bei der Umsetzung der DSGVO-Richtlinien oder der Vorbereitung der ISO/IEC 27001 Zertifizierung und unterstützen Sie in allen organisatorischen, technischen und rechtlichen Belangen.
Interne Audits
Dieses Audit dient zur laufenden Qualitätssicherung. Der interne Auditor kennt die betrieblichen Abläufe und kann diese gut dokumentieren. Wichtig ist, dass diese Angaben an die DSGVO und die nationalen Gesetze angepasst werden. Je besser diese Prozesse dokumentiert werden, umso leichter wird es sein, dass ein „Dritter“ diese Abläufe überprüft und gegebenenfalls korrigiert, sodass Sie als Geschäftsleitung auf der sicheren Seite sind.
Laufende Anpassung Prozesse und Dokumentationen (KVP)
Nachdem es derzeit keine Erfahrung mit der Umsetzung der neuen Datenschutzgrundverordnung gibt und daher bis jetzt auch noch keine Urteile bei Verletzung dieser Grundsätze durch Behörde bzw. Schadenersatzpflicht gegenüber Betroffenen gibt, ist es umso wichtiger, dass die Unterlagen und Prozesse laufend angepasst werden. Dieser kontinuierliche Verbesserungsprozess dient einerseits der Anpassung an die sich ständig ändernden Geschäftsprozesse und andererseits werden auch Anpassungen des Umfelds entsprechende Maßnahmen erfordern. Die laufende Anpassung ist daher ein wichtiges Ziel bei der Umsetzung der DSGVO und bei allen Themen der Informationssicherheit.
Umsetzung
Unser Team aus Technikern, Unternehmensberatern und Juristen berät Sie gerne und unterstützt Sie bei der Umsetzung der erforderlichen Maßnahmen der DSGVO, aber auch zu weiteren Themen wie Informationssicherheit, Coaching und Auditierung Ihrer internen oder externen IT Dienstleistern, sowie bei der Einführung neuer Technologien der Informationstechnik.
ISO/IEC 27001
Die ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) für sämtliche Arten von Organisationen. Die Norm spezifiziert die Anforderungen für die Implementierung geeigneter Sicherheitsmechanismen um die Informationssicherheit sicherzustellen. Besondere Bedeutung erlangt diese Norm durch die Datenschutz-Grundverordnung, welche dem Verantwortlichen für personenbezogene Daten die Pflicht auferlegt, die von ihm beauftragten Auftragsverarbeiter auf die Einhaltung der einschlägigen Datenschutzrichtlinien regelmäßig zu überprüfen. Bei Unternehmen welche nach ISO/IEC 27001 zertifiziert sind, kann diese Prüfung entfallen, da die Datensicherheit des Unternehmens durch die Zertifizierung und deren jährliche Kontrolle durch eine Zertifizierungsstelle ausreichend nachgewiesen ist. In diesem Fall muss durch den Verantwortliche lediglich geprüft werden ob die Zertifizierung noch aufrecht ist.