Datenschutz-Audit Teil 3

Trotz des vorhandenen Willens des Gesetzgebers, die Selbstregulierung des Datenschutzes neben den vorhandenen §§ 9a und 38a BDSG durch weitere Elemente im System des Datenschutzrechts zu etablieren bzw. zu stärken, ist zu sagen, dass die Möglichkeiten einer greifbaren und gewinnbringenden Darstellung der eigenen Datenschutzbemühungen der Unternehmen derzeit noch nicht besonders ausgeprägt sind. Dies hat dazu geführt, dass Unternehmen die wenigen vorhandenen Möglichkeiten (z. b. DS-Gütesiegel, TÜV-Zertifizierung) kaum nutzen, den Datenschutz als Qualitätsmerkmal des eigenen Produktes / der eigenen Dienstleistung anzuführen und damit einen Wettbewerbsvorteil auf dem Markt zu erzielen. Eine gewisse Grundlage zur Orientierung hinsichtlich der Beschaffenheit von Datenschutzmaßnahmen bieten … Ganzen Artikel lesen

Verwertbarkeit externer Prüfungsergebnisse für die Prüfungen der internen Revision

von Roy v. Rango

In der betrieblichen Praxis wird AUDIT sehr häufig mit der Frage konfrontiert, warum beim Vorliegen externer Prüfungen oder Zertifizierungen eigene Prüfungshandlungen durch die interne Revision erforderlich seien. Durch ein positives externes Prüfungsergebnis bzw. die Ausstellung eines externen Zertifikats sei der Nachweis der Funktionstüchtigkeit des von externer Stelle begutachteten bzw. zertifizierten Sachverhalts doch hinreichend belegt. Die folgenden Ausführungen stellen die diesbzgl. relevanten Standards und deren Anwendung in Bezug auf die Verwertbarkeit einer externen Zertifizierung gemäß IDW PS 951 bzw. SAS 70 dar.

Hinweise zur Verwertbarkeit von Prüfberichten bzw. Zertifizierungen durch Dritte bei Prüfungen der internen Revision gibt … Ganzen Artikel lesen

Cloud-Computing – Betrachtungen aus datenschutzrechtlicher Perspektive

Unter Cloud-Computing ist das Speichern, die Bearbeitung und die Verwendung von Daten auf außerhalb des Bürogebäudes gelegenen Servern zu verstehen. Der Zugriff auf die Daten erfolgt über das Internet. Aus rechtlicher Sicht stellt Cloud-Computing eine „Auftragsdatenverarbeitung“ dar, d. h. ein Auftraggeber speichert Daten auf dem Server des Auftragnehmers. Der Ablauf dieses Vorgangs wird durch § 11 BDSG geregelt. Besondere Aktualität erhält Cloud-Computing durch die zunehmenden Aktivitäten von Cyberkriminellen und Spionageorganisationen. Die Angriffe dieser Gruppen werden begünstigt durch die zunehmende Verlagerung unternehmerischer Arbeitsbereiche und Funktionen in die IT. Hiermit verbunden sind, insbesondere für KMUs, die Schwierigkeiten des Aufbaus und der Pflege … Ganzen Artikel lesen

Serie zum Datenschutzaudit – Teil 2

Konzeption und Ablauf eines Datenschutzaudits

Der Ablauf eines von der Firma CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) durchgeführten Datenschutzaudits stellt sich wie folgt dar:

In einem ersten Vorbereitungsgespräch wird die Erstellung des durchzuführenden Auditplan-Ablaufs geklärt. Diesem Gespräch folgt das eigentliche Datenschutzaudit, bei dem alle Abteilungen und die wesentlichen Prozesse eines Unternehmens analysiert werden.
Dritter Punkt des durchgeführten Audits ist der Hardware-Check. Hierbei erfolgt im Rahmen einer Überprüfung der vorhandenen IT-Technik und der entsprechenden Räumlichkeiten (z. B. Serverraum oder Rechenzentren) eine Kontrolle der physischen Datensicherheit.
Es schließt sich ein Check der in Anspruch genommenen Dienstleistungen an. D. h. die vom … Ganzen Artikel lesen

Serie zum Datenschutzaudit Teil 1

Skandale als Beleg für die Notwendigkeit eines Datenschutzaudits

Wie groß die Notwendigkeit eines Datenschutzaudits ist, zeigen zwei in den letzten Monaten bekannt gewordene Fälle: zum einen die Datenpanne bei der Allianz, zum anderen das Verschwinden zehntausender Patientendaten aus baden-württembergischen Krankenhäusern.

Mit dem in §9a BDSG als freiwillige Kontrollinstanz beschriebenen Datenschutzaudit kann einem Unternehmen von dritter Seite die Funktionsfähigkeit und Zweckmäßigkeit eines unternehmensinternen Datenschutz-Managementsystems bescheinigt werden. Diese unabhängige Sicht von außen stellt eine wertvolle Hilfe für die Herausarbeitung evtl. vorhandener Schwachstellen und deren Beseitigung dar.

Ziele eines Datenschutzaudits sind zum einen, gefördert durch den mit der Werbung verbundenen Wettbewerbseffekt, … Ganzen Artikel lesen

Whistleblowing und Datenschutz – Ein Widerspruch

Der Begriff Whistleblowing  (http://de.wikipedia.org/wiki/Whistleblower ) kommt ursprünglich aus den englischen und bedeutet auf Deutsch wörtlich „die Pfeife blasen“. Whistleblower sind Personen, die Hinweis auf Risiken, Missstände oder Gefahren geben.

Auf Grund Vorgaben wie dem Foreign Account Tax Compliance Act (FAT CA), der Whistleblower Protection des Sarbanes-Oxley Acts (SOX) oder den Vorgaben des Bribery Acts sind immer mehr Unternehmen auch in Deutschland verpflichtet Whistleblowing-Systeme einzurichten. Sie  sollen zur Aufdeckung und Bekämpfung von Verstößen gegen externe und interne Vorschriften dienen.  Dabei kann es sich zum Beispiel auch um mögliche Straftatbestände, wie Korruption, Banken- und Finanzkriminalität, sowie Verstöße gegen Rechnungslegungsvorschriften … Ganzen Artikel lesen

Qualitätsmanagement in Arztpraxen und medizinischen Versorgungszentren ist nur möglich mit qualifiziertem Datenschutz

Ziel eines Qualitätsmanagements in der Arztpraxis ist die Optimierung und effizientere Gestaltung von Praxisabläufen nach fachlichen Standards. Qualitätsmanagement soll somit vor allem Zeit- und Kostenersparnis bedeuten. Sowohl Vertragsärzte als auch medizinische Versorgungszentren sind dazu verpflichtet, ein internes Qualitätsmanagement einzurichten und weiterzuentwickeln. Die Pluspunkte: Der behandelnde Arzt kann mehr Zeit für den Patienten aufbringen. Die bestehende Praxisqualität wird weiterentwickelt, des Weiteren wird damit gesichert, dass die erbrachten medizinischen Leistungen von hoher Qualität sind.

Der Aufbau eines Qualitätsmanagement-Systems kann mit der Teilnahme an einem Zertifizierungsverfahren verbunden werden. Dies ist allerdings derzeit nicht verpflichtend, aber das ausgestellte Zertifikat stellt ein wichtiges … Ganzen Artikel lesen

Rechtskonforme Hardware-Verschlüsselung bei USB-Sticks

Anders als beispielsweise eine Vielzahl von Speicherangeboten aus der Cloud bieten Hardwareverschlüsselte Datenträger wie USB-Sticks derzeit immer noch eine deutlich höhere Sicherheit. Aufgrund ihrer geringen Größe und zunehmenden Speicherkapazitäten sind diese Datenträger außerdem als perfektes, spontan zu nutzendes Speichermedium zu betrachten. Die geringe Größe der Sticks birgt allerdings auch die Gefahr eines eventuellen Verlustes, wobei ein daraufhin folgender möglicher Missbrauch der vorhandenen Daten schwerwiegende juristische oder finanzielle Folgen mit sich bringen kann.

Um diesem entgegen zu wirken, gilt eine Datenverschlüsselung zwar als gute Sicherheitsmaßnahme, die aber wegen des hiermit verbundenen zusätzlichen Aufwandes einer Software-Verschlüsselung von den Anwendern nur wenig akzeptiert … Ganzen Artikel lesen

Arztpraxen und Krankenhäuser – Probleme des Datenschutzes

Anhand von zahlreichen Datenschutzpannen in Arztpraxen bzw. Krankenhäusern, ist eine Sensibilisierung der Mitarbeiter und Stärkung des Datenschutzmanagements in diesem Bereich anzuraten. Beispiele aus der Vergangenheit weisen auf diesen Handlungsbedarf hin. So verweigerte z.B. ein Krankenhaus die Behandlung einer Patientin, nachdem sie eine pauschale Vollmacht über die Weitergabe persönlicher Daten an Dritte nicht unterzeichnen wollte  oder Ende 2011 als 4.000 Psychiatrie-Akten offen via Internet einsehbar waren.

Als wesentliche Grundlage für die Datensicherheit und den Datenschutz in Arztpraxen dient, neben der durch § 203 StGB geregelten ärztlichen Schweigepflicht und den Berufsordnungen der Landesärztekammern vor allem das Bundesdatenschutzgesetz (BDSG).

In § 4 … Ganzen Artikel lesen

Schadenersatzansprüche durch mangelnde Mitarbeiterschulungen im Datenschutz

Datenschutz ist in den meisten Unternehmen erklärtes Unternehmensziel. Selbstverständlich sollen Kunden-, Geschäftspartner-, als auch Mitarbeiterdaten vertraulich behandelt werden. Aber  an der Umsetzung dieses Zieles mangelt es heute immer noch. In einer stetig wandelnden Prozess- / Verfahrenslandschaft in den Unternehmen fällt es schwer den Datenschutz effektiv umzusetzen. Einer der Gründe hierfür ist die mangelnde Sensibilisierung der Mitarbeiter auf dieses so wichtige den Kunden gegenüber vertrauensfördernde und kundenbindendes Thema Datenschutz.  Folgen der Vernachlässigung von Datenschutz in den Prozessen der Unternehmen sind nicht selten Schadensersatzansprüchen der Betroffenen, als auch enorme Reputationsverluste. Aktuelles Beispiel hierfür liefert die Allianz (hier in der FTD).

Mitarbeiter … Ganzen Artikel lesen