+49 6201 8725124 info@suhling.biz

    Frequently asked questions

    Finden Sie die Antworten auf Ihre Fragen. Häufig gestellte Fragen zum Thema Datenschutz und IT-Sicherheit.

    Wie muss man seine Mitarbeiter informieren?

    Eine bedeutsame Aufgabe des Datenschutzbeauftragten stellt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Betriebsangehöriger dar (Art. 39 Abs. 1 lit. b)).

    Alle Betriebsangehöriger, die in Ihrem Firmierungen mit personenbezogenen Wissen, exemplarisch von Adressaten, Anbieter, Kollegen oder Bewerbern wirken, haben die DSGVO sowohl nationale Vorschriften, Gesetze und vergleichbare Richtlinien und Klauseln des Unternehmens einzuhalten!

    Auch aus den Meldepflichten der verantwortlichen Lokalität gem Gattung. 33 und 34 DSGVO ergibt sich die notwendige Notwendigkeit von geschulten Mitarbeitern um dem Schutzbedarf der Fakten entsprechen zu können.

    Neben turnusmäßigen Awarness-Maßnahmen sind Präsenzschulungen und / oder e-Learning Tools das geeignete Mittel um gleichfalls den Nachweis führen zu können.

    #dsgvo39

    Was genau ist die Verarbeitungstätigkeit und das dazugehörige Verzeichnis?

    Die Datenschutz-Grundverordnung verpflichtet nach Artikel 30 EU-DSGVO hierzu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, im Zuge deren personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung vorgetragen werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Menschen, der Vorsatz der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde völlig zur Bereitschaft zu stellen.

    Das Verarbeitungsverzeichnis gestattet den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten binnen der Initiative zu überschauen. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse.

    #dsgvo

    Wie wird mit externen Dienstleistern umgegangen?

    Im Zuge des Zusammenwirkens mit dritten Dienstleistern ist zu klären, ob eine Auftragsverarbeitung vorliegt. Signifikant für Auftragsverarbeitung ist, dass ein Firmen außenstehende Dienstleister hiermit beauftragt, weisungsgebunden personenbezogene Wissen zu verarbeiten. Ebenfalls wenn die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Adressaten verbleibt, haftet trotzdem genauso derjenige, der die Informationen im Auftrag verarbeitet. Und zwar genau gegenüber dem Betroffenen, wenn er mit dem Wissen nicht gesetzeskonform vermeidet und sie exemplarisch für eigene Zwecke verarbeitet oder an Dritte weitergibt. Gleichermaßen innerhalb Datenpannen haftet ebenso der Auftragsverarbeiter.

    Ein Auftragnehmer darf lediglich mit Auftragsverarbeitern funktionieren, die genug Garantien dazu bieten, dass geeignete technologische und organisatorische Maßnahmen in dieser Art eingesetzt werden, dass die Verarbeitung im Einklang mit den Voraussetzungen der DSGVO geschieht und die Sicherheit der Rechte der betroffenen Person verspricht wird.

    Grundlage für die Auftragsverarbeitung ist ein schriftlicher Vertrag nebst Mandanten und Auftragsverarbeiter. Dies kann gleichwohl in einem elektronischen Format erfolgen, komme was wolle müssen die Voraussetzungen aus Artikel 28 DSGVO erfüllt sein.

    #dsgvo

    Ab welchen Zeitpunkt benötige ich einen Datenschutzbeauftragten?

    Die Klauseln zur Bestellpflicht für einen Datenschutzbeauftragten sind in Ausprägung. 37 DSGVO und § 38 BDSG (n.F.) enthalten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich grundsätzlich aus 3 Punkten:

    . Spezielle Kategorien von Fakten entsprechend Artikel 9 der DSGVO werden verarbeitet oder

    . Die „Haupttätigkeit“ macht eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erforderlich

    . es gibt (als Angestellte oder gleichfalls freie Mitarbeiter) mehr als 19 Menschen mit der automatisierten Verarbeitung personenbezogener Fakten befasst.

    Sobald einer der Punkte zutrifft, wird ein Datenschutzbeauftragter gebraucht.

    #dsgvo

    Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?

    Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).

    Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:

    • Name und Vorname,

    • Geschlecht,

    • Geburtsdatum,

    • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,

    • weitere Kontaktdaten,

    • Diagnose oder Verdachtsdiagnose,

    • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,

    • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in

    Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.

    Demnach sind Ärzte aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u. a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.

    Die Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Informationen gemäß Artikel 13 und 14 DS-GVO enthalten ist.

    Dürfen Unternehmen (z. B. Messeveranstalter, Theater usw.) auf Aufforderung durch Gesundheitsbehörden Daten von Kunden oder Besuchern von Veranstaltungen erheben, speichern oder übermitteln für den Fall, dass später bekannt wird, dass eine infizierte Person auf der Veranstaltung war?

    Gem. § 16 Absatz 1 IfSG gilt: „Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die bei diesen Maßnahmen erhobenen personenbezogenen Daten dürfen nur für Zwecke dieses Gesetzes verarbeitet werden.“

    Für den Fall, dass von der zuständigen Behörde eine auf Speicherung von Besucherdaten gerichtete Verfügung ergangen ist, kann der Veranstalter die Erhebung und Speicherung der Daten entsprechend der behördlichen Anordnung auf Artikel 6 Absatz 1 Buchstabe c sowie Absatz 2 und 3 DS-GVO stützen. Einer solchen Anordnung zur Speicherung von Besucherdaten korrespondiert regelmäßig eine Übermittlungspflicht an die zuständige Behörde, etwa nach der Regelung des § 16 Absatz 2 Satz 3 IfSG. Demnach besteht die Verpflichtung, auf Verlangen der Behörde die erforderlichen Auskünfte zu erteilen und Unterlagen vorzulegen.

    Sobald eine solche behördliche Anordnung vorliegt, sollte das von ihr betroffene Unternehmen prüfen, ob die hieraus resultierende Datenverarbeitung (insbesondere die Erhebung und Speicherung der betreffenden Daten und ggf. die Übermittlung an die Gesundheitsbehörde) in den von ihr zu erteilenden Informationen nach Artikel 13, 14 DS- GVO angeführt wird und andernfalls eine Anpassung vornehmen.

    Solange eine behördliche Anordnung nicht vorliegt, ist es Veranstaltern unbenommen, die Namen und Kontaktdaten ihrer Besucher zu dem Zweck, diese den Gesundheitsbehörden auf Anforderung zu übermitteln, auf der Grundlage einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DS-GVO von den Besuchern zu erheben und zu speichern. Die Dauer der Speicherung sollte sich in diesem Fall an der mutmaßlichen Inkubations- und Entdeckungszeit von Infektionen orientieren.

    Dürfen Arbeitgeber nach Aufforderung durch Gesundheitsbehörden Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

    Behördliche Maßnahmen vor dem Hintergrund der Corona-Pandemie können, je nach der spezifischen Regelung der Länder, meist durch die jeweilige Ortspolizeibehörde oder das zuständige Gesundheitsamt erlassen werden. Besonders bedeutsam mit Blick auf den betrieblichen Pandemieschutz sind die Vorschriften der §§ 30, 31 des Infektionsschutzgesetzes (IfSG), welche die Quarantäneanordnung und das berufliche Tätigkeitsverbot durch das Gesundheitsamt regeln, sowie die Generalklauseln in § 16 Absatz 1 und Absatz 2 Satz 3 IfSG (zu diesen siehe noch die nächste Frage). Die Rechtsgrundlage hängt von der konkreten behördlichen Anfrage ab, welche dort erfragt werden kann.

    Bei Ersuchen von zuständigen Hoheitsträgern, etwa bzgl. erkrankter Beschäftigter im Betrieb, ist von einer mit der Übermittlungspflicht korrespondierenden Übermittlungsbefugnis der Arbeitgeber auszugehen.

    Dürfen Arbeitgeber den Beschäftigten mitteilen, dass ein bestimmter Mitarbeiter am Virus erkrankt ist, sogar unter Nennung des konkreten Namens, um darauf aufbauend mögliche Kontaktpersonen freizustellen?

    Die Kenntnis von der Corona-Erkrankung eines Mitarbeiters kann für diesen zu einer enormen Stigmatisierung führen. Die Nennung des Namens des betroffenen Mitarbeiters ist daher grundsätzlich zu vermeiden. Gleichzeitig sind Mitarbeiter, welche in direktem Kontakt mit einem Infizierten waren, zu warnen und werden in der Regel selbst zur Eindämmung der Ansteckungsgefahr von der Arbeit freigestellt. Regelmäßig kann eine derartige Maßnahme abteilungs-/ bzw. teambezogen ohne konkrete Namensnennung erfolgen. Ist dies ausnahmsweise nicht ausreichend, so muss der Arbeitgeber Kontakt mit den Gesundheitsbehörden aufnehmen und um deren Entscheidung ersuchen. Ist auch dies nicht möglich, dürfen auch die übrigen Mitarbeiter über den Verdacht der Ansteckung oder der Erkrankung des konkreten Mitarbeiters informiert werden, um Infektionsquellen zu lokalisieren und einzudämmen.

    Dürfen Arbeitgeber Informationen darüber erheben und weiterverarbeiten, ob ein Beschäftigter in einem Risikogebiet war oder mit einem Erkrankten direkten Kontakt hatte etc.?

    Arbeitgeber sind auf Grund ihrer Fürsorgepflicht und nach dem Arbeitsschutzgesetz (ArbSchG) verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Belegschaft zu gewährleisten. Hiervon ist auch die Pflicht des Arbeitgebers umfasst, dafür zu sorgen, die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person zu schützen. Für diesen Zweck ist es datenschutzrechtlich zulässig, Informationen darüber zu erheben, zu welchen Personen der erkrankte Mitarbeiter Kontakt hatte.

    Gemäß Artikel 6 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung (DS-GVO) i.V.m. Artikel 9 Absatz 1, Absatz 4 DS-GVO und § 26 Absatz 3 Satz 1, § 22 Absatz 1 Nummer 1 Buchstabe b des Bundesdatenschutzgesetzes (BDSG) kann der Arbeitgeber die erforderlichen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten. Der Arbeitgeber darf demnach beispielsweise auch Urlaubsrückkehrer befragen, ob sie sich in einem, etwa durch das Robert Koch-Institut festgelegten Risikogebiet, aufgehalten haben. Eine Negativauskunft des Beschäftigten genügt regelmäßig. Liegen weitere Anhaltspunkte vor, kann gegebenenfalls eine weitere Nachfrage erfolgen.

    Dürfen Arbeitgeber aktuelle private Handynummern oder andere Kontaktdaten von der Belegschaft erheben, um die Beschäftigten im Falle einer Schließung des Betriebs oder in ähnlichen Fällen kurzfristig warnen oder auffordern zu können, zu Hause zu bleiben?

    Zur Corona-Prävention wird von vielen (Berufs-) Verbänden der Aufbau eines auf den jeweiligen Betrieb zugeschnittenen „innerbetrieblichen Kommunikationsnetzwerks“ empfohlen, damit Unternehmen je nach Pandemiephase bestimmte Maßnahmen treffen können. Eine solche Empfehlung spricht auch das Handbuch des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe aus.

    Damit die Beschäftigten auch kurzfristig gewarnt werden können und nicht zunächst im Betrieb oder bei der Arbeit erscheinen, dürfen Arbeitgeber von ihren Beschäftigten auch die aktuelle private Handynummer etc. abfragen und temporär speichern. Dies kann allerdings nur im Einverständnis mit dem Beschäftigten erfolgen; eine Pflicht zur Offenlegung privater Kontaktdaten besteht für die Beschäftigten nicht, wird jedoch regelmäßig in ihrem eigenen Interesse liegen.

    Entscheidend ist hierbei, dass die Erhebung der privaten Kontaktdaten für eindeutige, konkrete und legitime Zwecke erfolgt. In Betracht kommt insbesondere der Zweck, die Infektionsgefährdung der Beschäftigten zu verringern. Spätestens nach Ende der Pandemie sind die erhobenen Kontaktdaten vom Arbeitgeber wieder zu löschen. Es wäre datenschutzrechtlich nicht zulässig, wenn diese Daten „durch die Hintertür“ später für Kontaktaufnahmen nach Feierabend oder am Wochenende oder für andere Zwecke genutzt werden.

    Geht es bei der Thematik nach § 8a BSIG um Krisen- oder Normallagen?

    Als erstes geht es innerhalb den Erfordernisse entsprechend § 8a BSIG darum, den normalen Betrieb einer Kritischen Infrastruktur abzudecken, also Normallagen. Der Reaktion auf gezielte Vorkommnisse ist hierbei ebenso Rechnung zu tragen (z. B. Fortsetzen des Betriebs innerhalb eines Stromausfalls). Krisenlagen müssen getreu § 8a BSIG ausdrücklich dort adressiert werden, wo zusätzliche gesetzliche Vorgaben von den betroffenen Kritischen Infrastrukturen gleichfalls ein Funktionieren in Krisenlagen erwarten.

    #dsgvo #27k1

    Was muss man als Webseitenbetreiber beachten?

    Mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseiten-Betreiber technologische und organisatorische Maßnahmen nach dem Stand der Technologie ergreifen, um ebenso nicht erlaubte Zugriffe auf ihre technischen Organisationen zu vermeiden.

    Das BSI stellt häufig fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist ebendarum das regelmäßige und fixe Einspielen von Software-Updates und Sicherheitspatches, die jeder Dienstleister eines Telemediendienstes
    beachten sollte.

    #dsgvo #27k1

    Droht ein Bußgeld, wenn die IT-Sicherheitsstandards nicht sofort erfüllt werden?

    Die Pflicht zur Beachtung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach der Rechtmässigkeit der Verordnung, aus der der Kreis der tatsächlich Betroffenen bemessen werden kann.

    Daher gelten auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.

    #27k1 #dsgvo

    Das IT-Sicherheitsgesetz ist am 25. Juli 2015 in Kraft getreten. Für wen gilt dieses Gesetz?

    Das IT-Sicherheitsgesetz umfasst mehrere Personenkreise:

    • Für Betreiber von Webangeboten wie exemplarisch Online-Shops gelten mit Inkrafttreten fortan erhöhte Erfordernisse an die technischen und organisatorischen Maßnahmen zur Sicherheit ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
    • Telekommunikationsunternehmen sind ab jetzt verpflichtet, ihre Auftraggeber zu warnen, wenn sie sehen, dass der Anschluss des Käufer – beispielsweise als Teil eines Botnetzes – für IT-Angriffe missbraucht wird. Im gleichen Augenblick sollen die Provider ihre Abnehmer auf realisierbare Wege zur Beseitigung der Störung hindeuten.
    • Mit Inkrafttreten des IT-Sicherheitsgesetzes werden die Autorisierungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Erhebung der Sicherheit von IT-Produkten wie ebenfalls die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung ausgebaut.
    • Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste obligatorische IT nach dem Stand der Technologie angemessen abzusichern und – sofern nicht zusätzliche Spezialregelungen bestehen – ebendiese Sicherheit immerhin sämtliche zwei Jahre überwachen zu lassen. Außerdem müssen die Betreiber dem BSI immense IT-Sicherheitsvorfälle melden. Die aus diesen Berichten, allerdings gleichwohl aus einigen anderen Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Bereitschaft, hierdurch ebendiese ihre IT angemessen beschützen können. Die Meldepflicht von deutlichen IT-Sicherheitsvorfällen bezieht sich die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, sowohl die in der seit dem 3. Mai 2016 gültigen ersten KRITIS Verordnung geregelten KRITIS-Betreiber der Sektoren Energie zum Betrieb, Informationstechnik und Telekommunikation, Ernährung und Wasser. Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für KRITIS-Betreiber der Sektoren Finanz- und Versicherungswesen, Transport und Verkehr ebenso Gesundheit besteht seit Inkrafttreten der ersten Änderungsverordnung der BSI-Kritisverordnung am 30. Juni 2017.

      #dsgvo #27k1

    Was steckt hinter dem Zertifizierungsprozess der ISO 27001?

    Vorbereitung von Seiten des Auftraggeber:

    – Festlegung des Anwendungsbereiches des ISMS
    – Definition einer Informationssicherheits-Richtlinie und der Ziele
    – Richtung einer Risikobewertungs- und Risikobehandlungsmethodik
    – Erstellung einer Anwendbarkeitserklärung
    – Erstellung eines Risikobehandlungsplans und eines Risikobewertungsberichts
    – Definition der Sicherheits-Rollen und Verantwortlichkeiten
    – Erstellung eines Verzeichnisses der Assets
    – Sicherstellung der akzeptablen Verwendung des Assets
    – Definition von Richtlinien wie z.B. für die Zugriffskontrolle laut Annex A der ISO 27001

    Durchführung des Zertifizierungsaudits:

    Stufe 1:
    Prüfung der ISMS- Dokumentation und Feststellung, ob der Betrieb zur Zertifizierung parat ist (Bereitschaftsanalyse) mit Begehung des Unternehmens und Interview mit dem ISMS Verantwortlichen.

    Stufe 2:
    Audit zur Kontrolle der Wirksamkeit des ISMS mit Interviews der verantwortlichen Leitung sowohl Mitarbeitern in den verschiedenen Bereichen Ihres Unternehmens.
    – Die Auditoren erzeugen einen Auditbericht mit Dokumentation des Audits und Bewertung des ISMS Ihres Unternehmens.
    – Folgend geschieht die Ausstellung des Zertifikates und des Siegels mit maximal drei Jahren Laufzeit.
    – Innerhalb eines Annos geschieht das erste Überwachungsaudit und im Folgejahr das zweite Überwachungsaudit.
    – Vor Ablauf der Gültigkeitsdauer des Zertifikats von drei Annos muss ein Rezertifizierungsaudit erfolgen und abgeschlossen sein.
    – Daran danach erfolgen wiederum ein erstes und zweites Überwachungsaudit wie zuvor beschrieben.

    #27k1 #ISMS

    Welchen Mehrwert bringt mir das Informationssicherheitsgesetz?

    • Frühzeitige Warnung vor Missbrauch der Daten.
    • Vermeidung von Gefahren per Cyberangriffe auf das Gemeinwesen.
    • Wirtschaftliche Schäden können gesenkt oder vermieden werden.
    • Die Einführung eines Mindestniveaus an Informationssicherheit.
    • Der illegale Zugriff auf sensible Informationen wird unterbunden.
    • IT-Risiken können leichter identifiziert und somit vermieden werden.#27k1 #ISMS

    Welche Fragen sind für Unternehmen wichtig?

    Stimmen die Voraussetzungen dazu, dass Wissen exakt, völlig und richtig verarbeitet wird?
    Ist sichergestellt, dass bloß autorisierte Menschen Wissen haben über sensible Daten?
    Sind die kritischen Daten bekannt?
    Können autorisierte Anwender auf Fakten und Systeme zugreifen, wenn ebendiese gebraucht werden?
    Sind Gefahrensituationen für die Informationssicherheit systematisch identifiziert?
    Ist die Urheberschaft von Daten über deren kompletten Lebenszyklus hinweg schlüssig?

    #27k1

    Wer kontrolliert, dass ich die DSGVO einhalte?

    Innerhalb eines Konzerns prüft der Datenschutzbeauftragte die Einhaltung der DSGVO, sofern die Anforderungen für eine Bestellpflicht gegeben sind. Obendrein überprüfen die „Aufsichtsbehörden“ der Bundesländer die Einhaltung der DSGVO. Die sich dort im Amt befindenden Landesbeauftragten für den Datensicherheit und die Informationsfreiheit haben die Application der DSGVO zu checken und durchzusetzen.

    #dsgvo #27k1

    Was bedeutet der Begriff „personenbezogene Daten“?

    Gemäß Artikel 4 DSGVO sind es sämtliche Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person betrachtet, die einfach oder indirekt, speziell mit Hilfe Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder vielerlei speziellen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, ökonomischen, kulturellen oder sozialen Identität jener natürlichen Person sind, identifiziert werden kann. Beispiele für personenbezogene Daten sind E-Mail-Adresse, Kontonummer, Augenfarbe, Kleidergröße, IP-Adresse, KFZ-Kennzeichen, Arbeitszeugnisse und viele Weitere.

    Besondere personenbezogene Daten sind Fakten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, ebenso die Verarbeitung von genetischen Wissen, biometrischen Fakten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Informationen zum Sexualleben oder der sexuellen Orientierung.

    #dsgvo #27k1

    Was bringt dir ein Informationssicherheits-Management (ISMS)?

    • Bedienung: Informationsstrukturen und -prozesse werden dokumentiert. Sie erhalten Kenntnis über eventuelle Risiken und können gewollt gegensteuern.
    • Mitarbeitersensibilität: Ihre Angestellten erlangen ein gesteigertes Sicherheitsbewusstsein.
    • Risikoeinschätzung: Sie kennen Ihre Gefahrensituationen und werden in die Lage versetzt jene zu minimieren.
    • Schutz: Informationssicherheit wird zum integralen Bestandteil Ihrer Geschäftsprozesse.
    • Kostensenkung: Sie schaffen klare Strukturen und senken mögliche Versicherungsprämien.
    • Wettbewerbsvorteile: Sie verschaffen sich Nutzeneffekte im nationalen und internationalen Wettbewerb, da die ISO 27001 weltweit anerkannt ist.
    • Kontinuität: Sie stellen sicher das es geregelte Abläufe gibt für einen verlässlichen Informationsaustausch

      #ISMS #27k1

    Sollten personenbezogene Daten verschlüsselt werden?

    Gute Frage. Hierzu sollte man sich den Artikel 32 DSGVO durchlesen, der unter anderem sagt:

    Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

    Damit sollte klar sein, dass vertrauliche Informationen und personenbezogene Daten pseudonymisiert oder verschlüsselt werden sollten. Wie dies in der Praxis umzusetzen ist, sollte mit einem Experten geklärt werden.

    #dsgvo32

    Wo kann ich ISO27k-Standards erhalten?

    ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002 und alle anderen veröffentlichten ISO27k-Normen können direkt im ISO-Geschäft oder bei den verschiedenen nationalen Normungsgremien und Handelsorganisationen erworben werden. Stöbern Sie nach dem besten Angebot.

    Es lohnt sich, nach lokalisierten / nationalen Versionen der Standards zu suchen. Mehrere nationale Normungsgremien veröffentlichen übersetzte Versionen der Normen in ihrer Landessprache. Sie unternehmen große Anstrengungen, um sicherzustellen, dass die Übersetzungen den Originalen treu bleiben, obwohl dies natürlich einige Zeit in Anspruch nimmt.
    ISO27k-Standards können als elektronische Dokumente oder gedruckte Ausdrucke erworben werden. Zusätzlich zu Einzelbenutzer-PDFs können Normungsgremien elektronische Versionen der Normen für den unternehmensinternen Mehrbenutzergebrauch lizenzieren – praktisch, um die endgültigen Normen in Ihrem Intranet verfügbar zu machen.

    #27k1

    Was bedeutet Need-to-know-Prinzip?

    Kenntnis nur bei Bedarf.

    #27k1a912

    An wen muss ich denn eine Beschwerde zum Thema Datenschutz richten?

    An den Datenschutzbeauftragten des Unternehmens.

    #dsgvo39 #gdpr39

    Wie kann ich meine Daten erfragen, wenn das Unternehmen seinen Sitz in einem anderen europäischen Land hat?

    Auch Unternehmen mit einem Sitz in einem anderen EU-Land müssen in klarer und einfacher Sprache Auskunft erteilen, und zwar in der Muttersprache des anfragenden Kunden.

    #dsgvo15 #gdpr15

    Wie kann ich meine Einwilligung zur Daten-Nutzung widerrufen?

    Ein Widerruf der Speicherung und Verwendung von personenbezogenen Daten kann jederzeit, formlos und ohne Kündigungsfrist erfolgen.

    #dsgvo07 #dsgvo17 #gdpr07 #gdpr17

    Gibt es Altersgrenzen bei den Social Media Kanälen?

    Ja! Bei Facebook, Instagram, Whatsapp usw. ist eine Altersgrenze von 16 Jahren festgelegt.

    #dsgvo8 #gdpr8

    Wie melde ich eine Datenpanne in Rheinland Pfalz?

    Eine Datenpanne kann in Rheinland Pfalz unter folgender Webadresse gemeldet werden:

    https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/

    Was muss ich machen, wenn ich eine Cyber Attacke entdeckt habe?

    Verwenden Sie das Formular vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und füllen Sie die Online-Meldung aus unter:

    https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Online_Meldung/onlinemeldung.html

    Was muss die Schulleitung tun, wenn die personenbezogenen Daten nicht intern gespeichert werden?

    Falls die Daten von einem Dritten, einem sogenannten Auftragsverarbeiter, bearbeitet und/oder gespeichert werden (z. B. in einem Rechenzentrum oder bei einem Cloud-Anbieter), ist ein entsprechender Vertrag abzuschließen.
    Zu beachten: auch Wartungsarbeiten, Betreuung des Betriebssystems o. ä. fällt unter „Datenverarbeitung im Auftrag“ und somit ist auch hier ein Auftragsverarbeitungsvertrag abzuschließen.

    Übrigens: auch die Durchführung von Wartungsarbeiten oder vergleichbarer Hilfstätigkeiten, also z.B. Hardwarewartung an Servern oder Festplattensyste­men, Betreuung des Betriebssystems usw. gilt als Datenverarbeitung im Auftrag, sofern dabei der Auftragsverarbeiter auf personenbezogene Daten zugreifen könnte.

    Gelten für schulische Unterlagen auch Aufbewahrungsfristen?

    Ja, für öffentliche Schulen gelten Aufbewahrungsfristen für alle gespeicherten Daten sowohl in digitaler als auch in analoger Form.
    Die Löschung der personenbezogenen Daten haben folgende Aufbewahrungsfristen:
    – Schülerkarteikarten/-listen: 50 Jahre nach Verlassen der Schule
    – Abschlusszeugnisse: 50 Jahre nach Verlassen der Schule
    – Klassenbücher: 5 Jahre nach Ablauf des Schuljahres
    – Einwilligungserklärung zur Veröffentlichung von Fotos: 5 Jahre nach Veröffentlichung
    – Klassenarbeiten: nach Ende des nächsten Schuljahres
    – Notenübersicht: nach Ende des nächsten Schuljahres
    – Prüfungsunterlagen: 5 Jahre nach Feststellung des Prüfungsergebnisses
    – Personenbezogene Daten auf privaten Datenverarbeitungsgeräten, die im Besitz von Lehrkräften sind: nach Ende des nächsten Schuljahres

    Im Laufe dieser Aufbewahrungsfristen hat die Schulleitung die Pflicht des Schutzes der personenbezogenen Daten vor unbefugtem Zugriff.

    Sind Datenschutzmaßnahmen auch bei papiergebundenen Daten (z. B. Schülerakten, Klassenbücher) zu ergreifen?

    Ja, auch für die personenbezogenen Daten, die in papiergebundener Form festgehalten sind, müssen Datenschutzmaßnahmen ergriffen werden. Diese Akten müssen vor Einblick von Unbefugten geschützt werden, z. B. bei der Bearbeitung, bei der Aufbewahrung in einer abgeschlossenen Schublade, Zimmer, Tasche usw., bei der Vernichtung oder bei einem Transport.

    Was bedeutet Stand der Technik?

    Hierzu gibt es viele Interpretationen. Eine aktuelle Handreichung gibt es hier von der TeleTrusT:

    TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf

    Was bedeutet beim Auditergebnis NC1, NC2 und OFI?

    NC1 ist eine Abkürzung für „non conformity 1“ und bedeutet Hauptabweichung oder Abweichung,
    NC2 ist eine Abkürzung für „non conformity 2“ und bedeutet Nebenabweichung oder Beanstandung,
    OFI ist eine Abkürzung für „opportunity for improvement“ und bedeutet Verbesserungspotenzial oder Verbesserung.

    Verbesserungen müssen nicht zwingend umgesetzt werden, jedoch muss das Unternehmen damit rechnen, dass im nächsten Audit danach gefragt wird. Bei Nebenabweichungen müssen die Korrekturmaßnahmen akzeptiert werden, bei Abweichungen die Wirksamkeit der Korrekturmaßnahmen bestätigt werden.

    #conformity #nonconformity #19011

    Wird meine Störungsmeldung ausreichend durch das BSI geschützt?

    Ihre Meldung wird vertraulich behandelt, gem. § 8d BSIG ist die Weitergabe an Dritte eingeschränkt. Das BSI darf nur dann Auskünfte erteilen, wenn dadurch die Sicherheitsinteressen des Betreibers gewahrt bleiben und seinen schutzwürdigen Interessen nichts entgegensteht. Personenbezogene Daten werden nicht zugänglich gemacht.

    Aufgrund einer Störungsmeldung wird das BSI eine anonymisierte Information erstellen, ohne dabei den Betreibernamen zu nennen. Dies wird auch dann nicht geschehen, sollte der Betreibername bereits über andere Wege öffentlich gemacht worden sein.

    #kritis #bsi #bsig8d

    Innerhalb welcher Frist muss dem BSI eine Störung gemeldet werden?

    Sobald eine IT-Störung erkannt wurde, ist diese unverzüglich dem BSI zu melden. Die zu diesem Zeitpunkt vorliegenden Erkenntnisse sind vollständig zu melden. Allerdings gilt für die Erstmeldung: Schnelligkeit vor Vollständigkeit. Sollten noch Informationen fehlen, bzw. diese erst später bekannt werden, ist eine Folgemeldung zu machen. Nach der vollständigen Umsetzung aller notwendigen Maßnahmen, ist eine Abschlussmeldung abzugeben. Mit dieser Meldung ist die Meldepflicht seitens des Betreibers gegenüber dem BSI vollständig erfüllt.

    #kritis

    Muss ich Anzeige erstatten, wenn ein IT-Angriff stattgefunden hat?

    Ja, IT-Angriffe müssen in die Kriminalstatistik aufgenommen werden. Wenden Sie sich daher an den BKA bzw. auf der Internetseite finden Sie hilfreiches Material.

    #bka #kritis

    Gemäß §8b (3) BSIG muss der KRITIS-Betreiber jederzeit erreichbar sein. Was bedeutet dies konkret?

    Unter „jederzeit erreichbar“ versteht das BSI, dass ein Betreiber rund um die Uhr (24/7) in der Lage sein muss, über die registrierte Kontaktstelle BSI-Produkte, also Cyber-Sicherheitswarnungen, Lageinformationen usw. entgegenzunehmen. Diese sind unverzüglich zu sichten und zu bewerten.

    Eine Cyber-Sicherheitswarnung wird von der BSI so gestaltet, dass man aus dem E-Mail-Betreff die Dringlichkeit und den eventuellen Handlungsbedarf sofort erkennt. Geschulte Ansprechpartner können sofort erkennen, ob akuter Handlungsbedarf besteht, können den konkreten Vorfall beurteilen und sind in die Vorfallsbewältigung eingebunden.

    #kritis #cyber

    Ich bin Webseiten-Betreiber – was muss ich beachten?

    Webseiten-Betreiber müssen entsprechend dem „Stand der Technik“ geeignete technische und organisatorische Maßnahmen ergreifen, damit unerlaubte Zugriffe auf Daten und die technischen Einrichtungen verhindert werden. Dies kann beispielsweise SSL-Verschlüsselung sein.

    #dsgvo #gdpr #itsicherheitsgesetz

    Werden ein Betrieb, Unternehmen, Konzern, Standort als kritische Infrastruktur eingestuft, wenn der Schwellenwert der betriebenen Anlagen zusammen überschritten wird?

    Der Schwellenwert nach BSI-KritisV wird pro Anlage festgelegt. Dies bedeutet, dass jede Anlage im Einzelnen bewertet wird – wenn also keine der einzelnen Anlage den vorgegebenen Schwellenwert überschreitet, zählen sie nicht als „kritische Infrastruktur“.
    Ausnahme: die „gemeinsame Anlage“, sollte diese für jeden Sektor der BSI-KritisV definiert sein.

    #kritis

    Welcher Zeitpunkt zur Schwellenwert-Bemessung ist ausschlaggebend?

    Maßgebend ist das Kalenderjahr, das für die Produktion/Leistung anzugeben ist.
 Außer Acht zu lassen sind buchhalterische Anhaltspunkte.

    #kritis

    Unterliegt meine Anlage einer kritischen Infrastruktur, wenn meine Anlage über dem Schwellenwert liegt, die Anlage aber weniger als 500.000 Personen versorgt?

    Als kritische Infrastruktur gilt eine Anlage, sobald sie den Schwellenwert erreicht oder darüber liegt. Dieser Schwellenwert ergibt sich aus der BSI-KritisV der entsprechenden Anlagenkategorie. Sie beziehen sich auf die Regelschwelle von 500.000 versorgten Personen – dies ist aber nur eine Orientierungsgröße und wird nicht zu einer konkreten Bemessung herangezogen.

    #kritis

    Für wen gilt überhaupt das IT-Sicherheitsgesetz?

    Dieses Gesetz ist am 25.07.2015 in Kraft getreten und gilt für folgenden Personenkreis:
    – Online-Shops und andere Betreiber von Webangeboten
    – Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser Finanz- und Versicherungswesen, Transport und Verkehr, Gesundheit und Betreiber von Kernkraftwerken.

    Als Betreiber können Sie in entsprechenden Rechtsverordnungen prüfen, ob sie in diesen Kreis fallen. Der Versorgungsgrad wird für jede Kategorie im jeweiligen Bereich anhand von Schwellenwerten bestimmt. In der Regel beträgt dieser 500.000 versorgte Personen.

    #kritis

    Wer sollte nicht als Datenschutzbeauftragter benannt werden?

    …Als Faustregel lassen sich zu den mit Interessenkonflikten einhergehenden Positionen solche des leitenden Managements (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT- Abteilung) zählen, jedoch auch hierarchisch nachgeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen…

    Quelle: ARTIKEL-29-DATENSCHUTZGRUPPE

    …Insbesondere darf er als Datenschutzbeauftragter mit Kontrollfunktionen nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Nicht jede weitere Aufgabe, die mit der Verarbeitung personenbezogener Daten verbunden ist, ist mit dem Amt eines Datenschutzbeauftragten unvereinbar. Interessenkonflikte können aber insbesondere dann auftreten, wenn der Datenschutzbeauftragte gleichzeitig Aufgaben in den Bereichen
    – Personal,
    – Automatisierte Datenverarbeitung (ADV) /Informationstechnik (IT) oder in
    – Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder
    – Geheimschutzbeauftragter ist.

    Eine Beschäftigung im Personalbereich ist regelmäßig mit eigenverantwortlichen Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amtes eines Beauftragten für den Datenschutz ist daher grundsätzlich ausgeschlossen.
    Das Gleiche gilt für den IT-Bereich. Der Leiter der IT-Abteilung oder ein sonst maßgeblich für die IT Verantwortlicher kann keinesfalls zugleich Datenschutzbeauftragter sein. Wegen seiner umfassenden Einsichtsmöglichkeiten in personenbezogene Daten ist eine Kontrolle durch eine andere Person zwingend geboten.
    Der Beauftragte für den Datenschutz kann grundsätzlich nicht zugleich IT-Sicherheitsbeauftragter sein. So zählt es oftmals gerade zu den Aufgaben des IT-Sicherheitsbeauftragten, auch das IT-Sicherheitskonzept zu erstellen und zu aktualisieren. Das würde aber bedeuten, dass sich der IT-Sicherheitsbeauftragte dann als Beauftragter für den Datenschutz selbst kontrollieren müsste. Eine solche In-Sich-Kontrolle wäre unzulässig und das Erfordernis der objektiven Zuverlässigkeit des Datenschutzbeauftragten wäre nicht erfüllt…

    Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

    #dsgvo38a2 #bdsg6 #gdpr38p2 #fdpa6

    In welcher Form ist ein Auftragsverarbeitungvertrag (AVV) abzuschließen?

    Der Auftragsverarbeitungsvertrag ist schriftlich abzufassen, ebenso ist aber auch ein Vertrag in elektronischem Format gültig.

    #dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

    Welche Voraussetzungen gelten für eine Auftragsverarbeitung?

    Die Datenverarbeitung ist „weisungsgebunden“. Die Verantwortung liegt beim Verantwortlichen. Dieser hat den Auftragsverarbeiter genauestens zu prüfen, auszuwählen und zu kontrollieren. Der Auftragsverarbeiter hat dem Verantwortlichen Nachweise seiner Pflichten zur Verfügung zu stellen. Zwischen den beiden muss ein Vertrag geschlossen werden, in dem alle Rechten und Pflichten festgehalten sind. Zwingend ist, dass der Vertragsabschluss vor Beginn der Datenverarbeitung stattfindet.

    #dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

    Was bedeutet eine Auftragsverarbeitung?

    Ein Auftragsverarbeiter ist:
    – eine natürliche Person
    – eine juristische Person
    – eine Behörde
    – eine Einrichtung oder andere Stelle
,

    die personenbezogene Daten verarbeitet und dafür von einem Verantwortlichen beauftragt wurde. Beispiele hierfür sind Datenauslagerung in einer Cloud oder Aktenvernichter, DV-technische Arbeiten für die Lohn- und Ge- haltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren, Werbeadressenverarbeitung in einem Letter- shop, Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort, Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen), Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenträgerentsorgung durch Dienstleister, Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbe- zogene Daten nicht ausgeschlossen werden kann, Zentralisierung bestimmter „Shared Services- Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekosten- abrechnungen (jedenfalls sofern kein Fall ge- meinsamer Verantwortlichkeit nach Art. 26 DS- GVO vorliegt)

    #dsgvo28 #dsgvoeg81 #gdpr28 #gdprr81

    Hat der Betroffene ein Widerrufsrecht gegenüber einer Einwilligung?

    Ein Betroffener kann seine Einwilligung gem. Art. 7 Abs. 3 DSGVO jederzeit widerrufen. Durch einen solchen Widerruf dürfen keine zukünftigen Verarbeitungen mehr erfolgen, die bisher erfolgten Verarbeitungen jedoch dürfen bestehen bleiben.

    #dsgvo7a3 #dgvoeg32 #dsgvoeg33 #dsgvoeg42 #dsgvoeg43 #gdpr7 #gdprr32 #gdprr33 #gdprr42 #gdprr43

    Ab wann bin ich in der EU nach der EU-DSGVO betroffen?

    Sobald Sie als Verantwortlicher bzw. Auftragsverarbeiter einer Niederlassung in der EU den Zweck verfolgen, Daten zu verarbeiten und zu speichern (Niederlassungsprinzip). Sollten Sie keine Niederlassung in der EU haben, sind Sie nur der DSGVO unterworfen, wenn Sie Ihre Produkte oder Dienstleistungen in der EU anbieten (Marktortprinzip).

    #dsgvo3a2 #gdpr3a2 #bdsg1 #fdpa1

    Gilt in Europa ein einheitlicher Datenschutz?

    Die Intention der DSGVO ist, das europäische Datenschutzrecht zu vereinheitlichen. Das ist aber nur zum Teil der Fall. Für die Mitgliedstaaten gibt es jedoch einige Möglichkeiten, eigene Vorschriften zu erlassen.

    #dsgvo  #gdpr #bdsg #fdpr

    Was ist denn nun ab dem 25.05.2018 gültig – DSGVO oder BDSG-neu?

    Beides, jedoch bildet die DSGVO die Grundlage und ist gültig in ganz Europa. Die DSGVO hat ein sogenanntes Unionsrecht, was vor dem nationalen Recht steht.

    Was kostet mich die Umsetzung der ISO 27001?

    Dies ist leider erst abschätzbar, wenn die Risikoeinschätzung gemacht wurde. Die größten Kosten entstehen meistens nicht durch Hard- und Software, sondern durch die Verfahrensentwicklung (Abläufe, Dokumentation), sowie Mitarbeiterschulungen usw. Dies ist natürlich alles ebenfalls von der Größe des Unternehmens abhängig. Hier ist zu beachten, dass nicht alle notwendigen Sicherheitsmaßnahmen gleich umgesetzt werden müssen. Einige können auch später erfolgen, solange den eigenen Sicherheitsmaßnahmen und dem Stand der Technik genügen.

    #27001 #27k16.1.2 #27k16.1.3 #27k18.2 #27k18.3

    Besteht ein Unterschied zwischen IT-Sicherheit und Informationssicherheit?

    Ja, unter IT-Sicherheit versteht man zum Beispiel den Einsatz einer Firewall. Unter Informationssicherheit sind Arbeitsabläufe, Sicherheitsverantwortlichkeiten usw. gemeint.

    #27001 #27k1

    Stimmt es, dass die ISO 27001 umfassend dokumentiert werden muss? Behindert das nicht unser Tagesgeschäft?

    Je nach Größe des Unternehmens ist dies richtig. Zwar erfordert die ISO 27001 eine Dokumentation, aber dies wird ein kleineres Unternehmen kaum beeinträchtigen.
    Bei einem großen Unternehmen werden mehrere Dokumente benötigt, was schon einen kleinen Eingriff in das Tagesgeschäft bedeuten kann. Sie können jedoch davon ausgehen, dass darauf geachtet wird, dass nur die wirklich benötigten Dokumente verlangt werden, die zur Zertifizierung benötigt werden, um Ihren Geschäftsablauf so wenig wie möglich zu beeinträchtigen.

    Letztlich ist es Aufgabe des Beraters, die Dokumentation so einfach und knapp wie möglich zu halten.

    #27001 #27k1

    Ist die ISO 27001 für das gesamte Unternehmen umzusetzen?

    Nein, das ist nicht notwendig. Die Umsetzung kann auch auf einen bestimmten Teil des Unternehmens beschränkt werden. Gerade bei großen Unternehmen mit mehreren Standorten macht dies Sinn. Allerdings ist es bei kleineren Unternehmen sinnvoller, das gesamte Unternehmen mit einzubeziehen.

    #27001 #27k1 #anwendungsbereich

    Wieviel Zeit braucht es, um die ISO 27001 umzusetzen?

    Das kann man nicht generell festlegen. Es hängt sehr stark vom Anwendungsbereich ab. Als Anhaltspunkt kann man sagen, dass kleine Unternehmen zur Umsetzung etwa 6-12 Monate benötigen, mittlere Unternehmen mit ca. 500 Mitarbeitern brauchen 10 Monate bis 1,5 Jahren und große Unternehmen müssen mit mindestens 12 Monaten Umsetzungsdauer rechnen. In jedem Fall sind die bereits erstellten Dokumente in diese Betrachtung einzubeziehen.

    #27k1 #anwendungsbereich

    Die ISO 9001 wurde bereits umgesetzt. Gibt es Vorteile bei der Umsetzung der ISO 27001 / ISO 22301?

    Ja, diese beiden sind zum Teil inhaltlich gleich. Die internen Audits, das Dokumentationsmanagement, u.a. Hierbei handelt es sich um den Aufbau eines integrierten Managementsystems. Viele neuen ISO-Managementnormen beinhalten die HLS, die High Level Structure. Mit dieser einheitlichen Struktur ist der Aufbau jeder weiteren ISO-Managementnorm einfacher.

    #9001 #9k1 #27001 #27k1 #hls #22301

    Welche Bedeutung hat die BS 25999-2?

    Die BS 25999-2 ist eine britische Norm, in der eine Definition des betrieblichen Kontinuitätsmanagements enthalten ist. Diese wurde jedoch 2012 durch die ISO 22301 ersetzt.

    #22301 #bcm

    Besteht ein Unterschied zwischen der ISO 27001 und 27002?

    Ja, die ISO 27001 enthält neben dem Normenkoerper 114 Maßnahmenziele zur Umsetzung von Sicherheitsrisiken. Die Richtlinien zur Umsetzung sind in der internationalen ISO 27002 festgelegt (Leitfaden für das Informationssicherheitsmanagementsystem), hier finden Sie Details, wie die Maßnahmenziele umzusetzen sind. Die Zertifizierung erfolgt jedoch nach ISO 27001. Alle ISO-Normen, die auf einer 1 enden, sind meistens zertifizierbare Normen.

    #27002 #27k2

    Welcher Zweck soll durch die Umsetzung der Norm ISO 27001 erzielt werden?

    Durch die ISO 27001 werden Risiken, die in Verbindung mit Vertraulichkeit, Verfügbarkeit und Integrität von Informationen im Unternehmen intern entstehen, reduziert. Die Unternehmen und Organisationen sind aufgrund dieser Norm in der Lage, mehr Gesetze einzuhalten, die in Verbindung mit dem Schutz von vertraulichen Informationen bzw. personenbezogener Daten stehen. Auch werden dadurch die Betriebskosten gesenkt, weil weniger Störfälle anfallen. Außerdem sollte beachtet werden, dass Unternehmen mit der Einhaltung der Norm werben können, der Verbraucher erhält mehr Sicherheit.

    #27001 #27k1 #27k16.1.2 #informationssicherheitsrisikobeurteilung

    Was versteht man unter ISO 27001?

    Unter ISO 27001 versteht man eine internationale Norm, mit der die Informationssicherheits-Managementsysteme definiert werden. Diese wurde von der Internationalen Organisation für Normierung = ISO herausgegeben.

    #27001 #27k1

    Genügt es nach DSGVO, wenn mein Aktenvernichter Streifen erzeugt?

    Bitte sehen Sie sich dazu diesen Beitrag an: https://www.wired.com/2011/12/darpa-shredder-challenge-2/

    Die Antwort können Sie sich dann selbst geben, ob Sie weiterhin einen Aktenvernichter (Shredder) verwenden, der Streifen erzeugt oder einen, der Partikel erzeugt.

    #din66399 #dsgvo #gdpr #shredder

    Kann man sich nach der EU-DSGVO zertifizieren lassen?

    Am Markt existieren viele Siegel und Zertifikate, mit denen sich Unternehmen zum Datenschutz zertifizieren lassen können. Derzeit ist es jedoch nicht möglich, sich von einer Zertifizierungsstelle „akkreditiert“ von der DAkkS (Deutsche Akkreditierungsstelle) zertifizieren zu lassen. Hier ist ein Auszug der Stellungnahme der DAkkS vom 10.04.2018:

    Deshalb gilt im Hinblick auf Datenschutzzertifikate:

    Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Konformitätsbewertungsaussagen (Zertifikate), die eine Konformität mit den Anforderungen der EU-DSGVO bestätigen, vor dem 25. Mai 2018 weder wirksam ausgestellt noch erworben werden.

    Unbeschadet der gesetzlichen Befugnisse von Bediensteten der Bundes- oder Landesdatenschutzbehörden können in Deutschland Zertifikate, die eine Übereinstimmung (Konformität) mit den Anforderungen der EU-DSGVO bestätigen, nur auf Grundlage genehmigter Kriterien und von akkreditierten privaten Zertifizierungsstellen ausgestellt werden. Zertifikate, die diesen Anforderungen genügen, tragen das Akkreditierungssymbol der DAkkS.

    Eine Zertifizierung nach der DSGVO ist für viele Unternehmen sinnvoll. Diese Themen sind bereits in den Art. 42 DSGVO (Zertifizierung) und Art. 43 DSGVO (Zertifizierungsstellen) beschrieben. Ebenfalls wird im Erwägungsgrund 100 (Zertifizierung) das Thema angeregt.

    #dakks #dsgvo42 #dsgvo43 #dsgvoeg100 #gdpr42 #gdpr43 #grprr100

    Wie werden Verfahrensverzeichnisse nach der EU-DSGVO erstellt?

    Nach der EU-Datenschutzgrundverordnung (EU-DSGVO) werden die bisherigen Verfahrensverzeichnisse (das Öffentliche bzw. Jedermann Verzeichnis und die internen Verfahrensverzeichnisse) abgelöst durch die Verarbeitungstätigkeiten.

    Verfahrensbeschreibungen = Verarbeitungstätigkeiten
    Verfahrensverzeichnis = Verzeichnis der Verarbeitungstätigkeiten

    Geregelt ist dies in der EU-DSGVO in Artikel 30. Nützliche Hinweise zu diesem Thema gibt es vom Datenschutz Sachsen Anhalt hier.

    #dsgvo30 #gdpr30

    Was bedeutet „besonders strenger“ Datenschutz?

    Es bedeutet, dass der Datenschutz im Unternehmen oder der Organisation scheinbar nicht angemessen ist. Denn nach § 64 BDSG sind die technisch und organisatorischen Maßnahmen zu treffen, die erforderlich sind. Und Maßnahmen sind nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Wenn Sie also „besonders strenger“ Datenschutz hören, fragen Sie einfach nach der Angemessenheit und warum man mit Kanonen auf Spatzen plant zu schießen.

    #bdsg§64, #AnforderungenandieSicherheitderDatenverarbeitung

    Was sind Kritische Infrastrukturen?

    Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

    #kritis

    Wie erreiche ich das BSI – Bundesamt für Sicherheit in der Informationstechnik?

    Was ist der Unterschied zwischen einer Verfahrensanweisung und einem Verfahrensverzeichnis?

    Eine Verfahrensanweisung ist ein Dokument, das durch verschiedene Normen gefordert wird. Mit einer VA wird die Umsetzung von normativen Anforderungen in einem Unternehmen festgelegt und – im Sinne einer verbindlichen Vorschrift – nachvollziehbar dokumentiert.

    Die jeweiligen Verfahren müssen festgelegt, dokumentiert, verwirklicht und aufrechterhalten werden. Dieser Anspruch zieht die Tätigkeiten der Freigabe, Schulung sowie Prüfung bzw. Auditierung nach sich, deren Durchführung ihrerseits mit Aufzeichnungen nachvollziehbar nachgewiesen werden muss.

    Verfahrensanweisungen sind eine Möglichkeit, die für ein Qualitätsmanagementsystem notwendigen dokumentierten Verfahren umzusetzen. Aktuelle Normen (z. B. ISO/TS 16949, DIN EN ISO 9001:2015) erlauben einige Freiheitsgrade in Bezug auf Dokumentationstiefe, Art und Umfang sowie Wahl der Medien (Papier, elektronische Daten etc.) in Abhängigkeit von der Organisationsstruktur und -Größe. (Quelle)

    Ein Verfahrensverzeichnis (§ 4d, § 4e des Bundesdatenschutzgesetzes) stammt aus dem Datenschutz und heißt mit der EU-Datenschutzgrundverordnung Verarbeitungstätigkeit nach Artikel 30.

    #dsgvo30 #gdpr30

    Wie kann ich mich bei einem US-amerikanischen Unternehmen beschweren

    Wer sich zum Thema Datenschutz bei einem US-amerikanischen Unternehmen beschweren möchte, kann dieses Formular verwenden. Außer Beschwerden stehen den Betroffenen das Recht auf Informationen, das Recht auf Berichtigung, sowie das Recht auf Löschung zu.

    Weitere Informationen zum Thema EU-US-Privacy Shield können hier geladen werden.

    #privacyshield

    Was sollen Betreiber kritischer Infrastrukturen unternehmen?

    Nach einer festgelegten Vorgehensweise wie beispielsweise der ISO 27001 (Informationssicherheitmanagementsystem) sollten die kritischen Bereiche der IT-Infrastruktur im Unternehmen analysiert werden, danach der Schutzbedarf und das Angriffsrisiko, sowie deren Qualitätsklassen festgelegt werden.

    Der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO/IEC 27001:2013 oder des IT-Grundschutzes sind danach erforderlich sein.

    Für die Umsetzung wenden Sie sich an einen ISMS-Berater, der bei der Implementierung, also beim Aufbau des ISMS, unterstützt.

    #itiskat #enwg§11 #27001 #27019 #itsig

    Welche KRITIS-Betreiber sind/werden konkret betroffen?

    Betreiber kritischer Infrastrukturen sind alle jene Infrastrukturen, deren Ausfall eine große Auswirkungen auf die öffentliche Sicherheit bzw. das staatliche Gemeinwesen haben können.

    Folgende Sektoren sind betroffen: Energienetzbetreiber (Zertifizierung bis 31.01.2018), Wasserversorgung, Ernährung (Lebensmittelhandel), Informationstechnik und Telekommunikation, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung.

    #enwg11 #itsikat

    Wann muss der Betroffene über die Datenverarbeitung informiert werden?

    Direkt bei Erhebung der Daten beim Betroffenen. Dies kann zum Beispiel bei der Bestellung eines Newsletters sein, oder auf einem Personalbogen bei der Einstellung eines Mitarbeiters.

    #dsgvo13 #Informationspflicht-bei-Erhebung-von-personenbezogenen-Daten-bei-der-betroffenen-Person #gdpr13 #Information-to-be-provided-where-personal-data-are-collected-from-the-data-subject

    Welche Rechte hat der Betroffene einer Datenverarbeitung?

    Er hat folgende Rechte: Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung, Löschung und Einschränkung, Recht auf Datenübertragbarkeit.

    #gdpr20 #dsgvo20

    Gibt es einen Zeitplan für die EU-Datenschutz-Grundverordnung?

    25. Mai 2018: Anwendbarkeit der EU-Datenschutz-Grundverordnung inklusive weiterer Gesetze wie das BDSG-neu.

    Was sind die Ziele und Grundsätze der EU-DSGVO?

    Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

    #gdpr01 #dsgvo01

    Was bedeutet EU-DSGVO?

    Die Datenschutz-Grundverordnung ist eine Verordnung des Europäischen Parlaments, sowie des Europäischen Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

    Ab wann gilt die EU-Datenschutzgrundverordnung?

    Ab dem 25.05.2018.

    Wie bereite ich mein Unternehmen am besten auf die EU-Datenschutzgrundverordnung vor?

    Hierzu wenden Sie sich an einen Datenschutzberater. Dieser kann mit Ihnen einen Datenschutz-Check durchführen, um die wichtigsten Aspekte der EU-Datenschutzgrundverordnung zu klären.

    Was ist Datenschutz?

    Datenschutz ist ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch Schutz der Privatsphäre.