Datenschutz-Audit Teil 3

Trotz des vorhandenen Willens des Gesetzgebers, die Selbstregulierung des Datenschutzes neben den vorhandenen §§ 9a und 38a BDSG durch weitere Elemente im System des Datenschutzrechts zu etablieren bzw. zu stärken, ist zu sagen, dass die Möglichkeiten einer greifbaren und gewinnbringenden Darstellung der eigenen Datenschutzbemühungen der Unternehmen derzeit noch nicht besonders ausgeprägt sind. Dies hat dazu geführt, dass Unternehmen die wenigen vorhandenen Möglichkeiten (z. b. DS-Gütesiegel, TÜV-Zertifizierung) kaum nutzen, den Datenschutz als Qualitätsmerkmal des eigenen Produktes / der eigenen Dienstleistung anzuführen und damit einen Wettbewerbsvorteil auf dem Markt zu erzielen. Eine gewisse Grundlage zur Orientierung hinsichtlich der Beschaffenheit von Datenschutzmaßnahmen bieten … Ganzen Artikel lesen

Verwertbarkeit externer Prüfungsergebnisse für die Prüfungen der internen Revision

von Roy v. Rango

In der betrieblichen Praxis wird AUDIT sehr häufig mit der Frage konfrontiert, warum beim Vorliegen externer Prüfungen oder Zertifizierungen eigene Prüfungshandlungen durch die interne Revision erforderlich seien. Durch ein positives externes Prüfungsergebnis bzw. die Ausstellung eines externen Zertifikats sei der Nachweis der Funktionstüchtigkeit des von externer Stelle begutachteten bzw. zertifizierten Sachverhalts doch hinreichend belegt. Die folgenden Ausführungen stellen die diesbzgl. relevanten Standards und deren Anwendung in Bezug auf die Verwertbarkeit einer externen Zertifizierung gemäß IDW PS 951 bzw. SAS 70 dar.

Hinweise zur Verwertbarkeit von Prüfberichten bzw. Zertifizierungen durch Dritte bei Prüfungen der internen Revision gibt … Ganzen Artikel lesen

Serie zum Datenschutzaudit – Teil 2

Konzeption und Ablauf eines Datenschutzaudits

Der Ablauf eines von der Firma CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) durchgeführten Datenschutzaudits stellt sich wie folgt dar:

In einem ersten Vorbereitungsgespräch wird die Erstellung des durchzuführenden Auditplan-Ablaufs geklärt. Diesem Gespräch folgt das eigentliche Datenschutzaudit, bei dem alle Abteilungen und die wesentlichen Prozesse eines Unternehmens analysiert werden.
Dritter Punkt des durchgeführten Audits ist der Hardware-Check. Hierbei erfolgt im Rahmen einer Überprüfung der vorhandenen IT-Technik und der entsprechenden Räumlichkeiten (z. B. Serverraum oder Rechenzentren) eine Kontrolle der physischen Datensicherheit.
Es schließt sich ein Check der in Anspruch genommenen Dienstleistungen an. D. h. die vom … Ganzen Artikel lesen

Serie zum Datenschutzaudit Teil 1

Skandale als Beleg für die Notwendigkeit eines Datenschutzaudits

Wie groß die Notwendigkeit eines Datenschutzaudits ist, zeigen zwei in den letzten Monaten bekannt gewordene Fälle: zum einen die Datenpanne bei der Allianz, zum anderen das Verschwinden zehntausender Patientendaten aus baden-württembergischen Krankenhäusern.

Mit dem in §9a BDSG als freiwillige Kontrollinstanz beschriebenen Datenschutzaudit kann einem Unternehmen von dritter Seite die Funktionsfähigkeit und Zweckmäßigkeit eines unternehmensinternen Datenschutz-Managementsystems bescheinigt werden. Diese unabhängige Sicht von außen stellt eine wertvolle Hilfe für die Herausarbeitung evtl. vorhandener Schwachstellen und deren Beseitigung dar.

Ziele eines Datenschutzaudits sind zum einen, gefördert durch den mit der Werbung verbundenen Wettbewerbseffekt, … Ganzen Artikel lesen

Das Thema Datenschutz gewinnt an Bedeutung

Glaubt man einer aktuellen Studie von PwC so gewinnt das Thema Datenschutz in deutschen Großunternehmen an Bedeutung.

Dagegen sprechen aber folgende Aussagen, die ebenfalls in der o. g. Studie ermittelt worden sind:

  • Datenschutzberichte stoßen auf geringes Interesse
  • Die Ressourcen des Datenschutzbeauftragten sind weitgehend unverändert im Vergleich zum Vorjahr
  • Über die Hälfte der betrieblichen Datenschutzbeauftragten denken, dass ihnen nicht genügend Ressourcen zur Verfügung gestellt werden
  • Jeder fünfte Datenschutzbeauftragte wird zu spät in neue Verfahren eingebunden
  • Jeder vierte Datenschutzbeauftragte wird bei schwerwiegenden Vorfällen nicht zeitnah informiert

Wie sieht es in Ihrem Unternehmen aus? Wo stehen Sie?  Entspricht Ihre eigene Wahrnehmung der … Ganzen Artikel lesen

IT-Sicherheitsmanagement einfach umsetzen

Täglich werden Berichte über Verstöße gegen die IT-Sicherheit von Unternehmen in den Medien veröffentlicht. Sei es, dass Kundendatensätze an Dritte gelangen konnten und die
Öffentlichkeit natürlich berechtigt, mehr Datenschutz fordert. Oder, dass Server aufgrund fehleranfälliger Hard- oder Software ausfallen und somit Daten für immer verloren sind. Von dem in naher Zukunft bevorstehenden Cyber-War, der schon heute weitverbreiteten Wirtschaftsspionage von Unternehmens-Know-How, sowie vielfältiger anderer Betrugsversuche aufgrund versuchter oder erfolgreich durchgeführter Datenmanipulation wollen viele deutsche Unternehmer nichts hören. Es trifft ja in der Regel immer die Anderen. Aber wer sind die Anderen?

Studien aus diesem Bereich belegen, dass auch kleine … Ganzen Artikel lesen

Sicherheitsstudie 2010 zeigt Handlungsbedarf im IT-Sicherheits- und Datenschutzbereich auf

In der aktuellen Ausgabe der Zeitschrift für Informationssicherheit <KES> sind die Umfrageergebnisse der o. g. von Microsoft und <KES> durchgeführten Studie veröffentlicht worden.

Die Umfrageergebnisse belegen, dass sich das Sicherheitsbewusstsein in den einzelnen Unternehmen zwar erhöht hat, gleichzeitig wurde aber der gebotene Grad bzgl. der Sensibilität dieses Themas immer noch nicht erreicht.

Hierzu einige ausgewählte Beispiele aus der Studie:

  • Die IT-Sicherheit scheitert am Sicherheitsbewusstsein der Mitarbeiter (59 %) oder des TOP-Managements (47 %)
  • 41 % sind der Meinung, dass es an verfügbaren und kompetenten Mitarbeitern fehlt
  • regelmäßige Schulungen der Datenschutzbeauftragten finden nur bei 45 % der befragten Unternehmen statt.

Aufgrund … Ganzen Artikel lesen

Neulich im Büro oder anderswo

Kennen Sie die folgenden Beispiele auch?

  • Ein Geschäftspartner, ein externer Prüfer, etc. kommt mit einem USB-Stick zu Ihnen und bittet Sie eine Datei auszudrucken. Wie verhalten Sie sich?
  • Der Abgabetermin eines wichtigen Projektes rückt nahe, sie haben aber auch noch private, ebenso dringende Verpflichtungen. Kein Problem, dann arbeiten Sie eben am Wochenende zuhause weiter. Dazu benötigen Sie ja nur drei Dateien daheim und mit der heutigen Technik ist das ja alles kein Problem mehr – der Chef wird schon nichts dagegen haben. Wie verhalten Sie sich?
  • So eine Bahnfahrt Berlin/München ist doch schön, auf dem Weg zum Kunden kann man
  • Ganzen Artikel lesen

Wie organisiere ich den Datenschutz in meiner Firma?

Warum muss ich bzw. mein Unternehmen sich überhaupt mit dem Thema beschäftigen?

Neben einer Vielzahl von fachspezifischen Datenschutzregelungen in Gesetzen wie z. B. das Sozialgesetzbuch (SGB), das Telekommunikationsgesetzes (TKG), etc.  regelt in Deutschland vordergründig das Bundesdatenschutzgesetz (BDSG) die Einhaltung des Schutzes des Einzelnen, dass dieser durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht nicht beeinträchtigt wird.

Für Sie als Unternehmer ist wichtig, dass das BDSG für Sie dann gilt, wenn Sie DV-Anlagen einsetzen oder wenn Sie mit nicht-automatisierten Dateien umgehen, sowie sich die daraus aufbauenden Aktivitäten auf personenbezogene Daten beziehen. In der heutigen Zeit bedeutet dieses konkret, dass … Ganzen Artikel lesen

Datenschutz ist unser Metier

Kennen Sie es auch, dass Sie von Ihnen – bisher vollkommen – unbekannten Firmen Mailings erhalten, die darauf hinweisen, dass der Absender neben den öffentlich bekannten Kontaktdaten, wie Name und Anschrift,  auch etwas über Ihre Interessen weiß (z. B. Sie haben einen kleinen Vorgarten und Sie erhalten ein Gartenprospekt, etc.)? Oder Sie sind im Empfangsbereich Ihres Hausarztes und “dürfen” ein Telefonat der Arzthelferin mit Ihrer Nachbarin über dessen Krankheitserscheinungen mithören.

Diese Liste kann x-beliebig von jedem von uns fortgesetzt werden. Wir wissen alle, dass bei den genannten Vorgängen zumindestens datenschutzrechtliche Überlegungen eine Rolle spielen, aber was ist zulässig und was … Ganzen Artikel lesen