Serie zum Datenschutzaudit – Teil 2

Konzeption und Ablauf eines Datenschutzaudits

Der Ablauf eines von der Firma CDC Compliance & Datenschutz Consulting UG (haftungsbeschränkt) durchgeführten Datenschutzaudits stellt sich wie folgt dar:

In einem ersten Vorbereitungsgespräch wird die Erstellung des durchzuführenden Auditplan-Ablaufs geklärt. Diesem Gespräch folgt das eigentliche Datenschutzaudit, bei dem alle Abteilungen und die wesentlichen Prozesse eines Unternehmens analysiert werden.
Dritter Punkt des durchgeführten Audits ist der Hardware-Check. Hierbei erfolgt im Rahmen einer Überprüfung der vorhandenen IT-Technik und der entsprechenden Räumlichkeiten (z. B. Serverraum oder Rechenzentren) eine Kontrolle der physischen Datensicherheit.
Es schließt sich ein Check der in Anspruch genommenen Dienstleistungen an. D. h. die vom … Ganzen Artikel lesen

Serie zum Datenschutzaudit Teil 1

Skandale als Beleg für die Notwendigkeit eines Datenschutzaudits

Wie groß die Notwendigkeit eines Datenschutzaudits ist, zeigen zwei in den letzten Monaten bekannt gewordene Fälle: zum einen die Datenpanne bei der Allianz, zum anderen das Verschwinden zehntausender Patientendaten aus baden-württembergischen Krankenhäusern.

Mit dem in §9a BDSG als freiwillige Kontrollinstanz beschriebenen Datenschutzaudit kann einem Unternehmen von dritter Seite die Funktionsfähigkeit und Zweckmäßigkeit eines unternehmensinternen Datenschutz-Managementsystems bescheinigt werden. Diese unabhängige Sicht von außen stellt eine wertvolle Hilfe für die Herausarbeitung evtl. vorhandener Schwachstellen und deren Beseitigung dar.

Ziele eines Datenschutzaudits sind zum einen, gefördert durch den mit der Werbung verbundenen Wettbewerbseffekt, … Ganzen Artikel lesen

Rechtskonforme Hardware-Verschlüsselung bei USB-Sticks

Anders als beispielsweise eine Vielzahl von Speicherangeboten aus der Cloud bieten Hardwareverschlüsselte Datenträger wie USB-Sticks derzeit immer noch eine deutlich höhere Sicherheit. Aufgrund ihrer geringen Größe und zunehmenden Speicherkapazitäten sind diese Datenträger außerdem als perfektes, spontan zu nutzendes Speichermedium zu betrachten. Die geringe Größe der Sticks birgt allerdings auch die Gefahr eines eventuellen Verlustes, wobei ein daraufhin folgender möglicher Missbrauch der vorhandenen Daten schwerwiegende juristische oder finanzielle Folgen mit sich bringen kann.

Um diesem entgegen zu wirken, gilt eine Datenverschlüsselung zwar als gute Sicherheitsmaßnahme, die aber wegen des hiermit verbundenen zusätzlichen Aufwandes einer Software-Verschlüsselung von den Anwendern nur wenig akzeptiert … Ganzen Artikel lesen

Arztpraxen und Krankenhäuser – Probleme des Datenschutzes

Anhand von zahlreichen Datenschutzpannen in Arztpraxen bzw. Krankenhäusern, ist eine Sensibilisierung der Mitarbeiter und Stärkung des Datenschutzmanagements in diesem Bereich anzuraten. Beispiele aus der Vergangenheit weisen auf diesen Handlungsbedarf hin. So verweigerte z.B. ein Krankenhaus die Behandlung einer Patientin, nachdem sie eine pauschale Vollmacht über die Weitergabe persönlicher Daten an Dritte nicht unterzeichnen wollte  oder Ende 2011 als 4.000 Psychiatrie-Akten offen via Internet einsehbar waren.

Als wesentliche Grundlage für die Datensicherheit und den Datenschutz in Arztpraxen dient, neben der durch § 203 StGB geregelten ärztlichen Schweigepflicht und den Berufsordnungen der Landesärztekammern vor allem das Bundesdatenschutzgesetz (BDSG).

In § 4 … Ganzen Artikel lesen

Wie organisiere ich den Datenschutz in meiner Firma?

Warum muss ich bzw. mein Unternehmen sich überhaupt mit dem Thema beschäftigen?

Neben einer Vielzahl von fachspezifischen Datenschutzregelungen in Gesetzen wie z. B. das Sozialgesetzbuch (SGB), das Telekommunikationsgesetzes (TKG), etc.  regelt in Deutschland vordergründig das Bundesdatenschutzgesetz (BDSG) die Einhaltung des Schutzes des Einzelnen, dass dieser durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht nicht beeinträchtigt wird.

Für Sie als Unternehmer ist wichtig, dass das BDSG für Sie dann gilt, wenn Sie DV-Anlagen einsetzen oder wenn Sie mit nicht-automatisierten Dateien umgehen, sowie sich die daraus aufbauenden Aktivitäten auf personenbezogene Daten beziehen. In der heutigen Zeit bedeutet dieses konkret, dass … Ganzen Artikel lesen

Datenschutz ist unser Metier

Kennen Sie es auch, dass Sie von Ihnen – bisher vollkommen – unbekannten Firmen Mailings erhalten, die darauf hinweisen, dass der Absender neben den öffentlich bekannten Kontaktdaten, wie Name und Anschrift,  auch etwas über Ihre Interessen weiß (z. B. Sie haben einen kleinen Vorgarten und Sie erhalten ein Gartenprospekt, etc.)? Oder Sie sind im Empfangsbereich Ihres Hausarztes und “dürfen” ein Telefonat der Arzthelferin mit Ihrer Nachbarin über dessen Krankheitserscheinungen mithören.

Diese Liste kann x-beliebig von jedem von uns fortgesetzt werden. Wir wissen alle, dass bei den genannten Vorgängen zumindestens datenschutzrechtliche Überlegungen eine Rolle spielen, aber was ist zulässig und was … Ganzen Artikel lesen