Sind personenbezogene Daten in Ihrem Unternehmen DSGVO-gerecht geschützt?

Die elektronische Verarbeitung und Übermittlung personenbezogener Daten gehört heute zum unternehmerischen Tagesgeschäft. An den Schutz dieser Daten stellt die DSGVO hohe Anforderungen. Jedes Unternehmen ist dabei – unabhängig von der Betriebsgröße – verantwortlich für Datenschutz und Datensicherheit, auch Unternehmen mit weniger als 10 Mitarbeitern, die laut Gesetz keinen Datenschutzbeauftragten (DSB) brauchen. Daher ist ein externer Datenschutzbeauftragter für kleinere Unternehmen eine wichtige Hilfe. Schließlich muss bei einer Datenpanne nachgewiesen werden, dass die IT-Sicherheit gewährleistet ist und die Anforderungen der DSGVO korrekt umgesetzt wurden. Dazu zählt z. B. auch, ob Passwörter richtig gewählt und aufbewahrt werden. Ansonsten haftet das Unternehmen, sogar bei unwissentlichen Verstößen.

Die in der DSGVO formulierten Datenschutzziele sind durch technisch-organisatorische Maßnahmen (TOM) umzusetzen. Dazu sind die organisatorischen Richtlinien zu erfüllen, aber ebenso sollte die technische Infrastruktur auf dem neuesten Stand sein. Da sich die Technik ständig weiterentwickelt, ist eine regelmäßige Überprüfung notwendig, auch zur Abwehr vor Angriffen von außen. So werden Datenpannen oder der Ausfall der IT verhindert und finanzielle bzw. Haftungsrisiken vermindert.

 

Kontakt

Der externe Datenschutzbeauftragte macht Ihre IT fit für den Datenschutz

Damit Sie beim Datenschutz auf der sicheren Seite sind, unterstütze ich Sie im technischen Bereich gerne als externer DSB. Ebenfalls begleite ich Unternehmen, die schon einen internen DSB haben. Ich wirke darauf hin, dass Sie die TOM rechtskonform und individuell nach dem Bedarf Ihres Unternehmens umsetzen können. Dazu berate ich Sie über grundlegende Dinge des Datenschutzes, mache Bestandsaufnahmen und erstelle IT-Sicherheitskonzepte. Ebenso übernehme ich Koordination und Leitung sowie die Schulung und Sensibilisierung von Geschäftsführung und Mitarbeitern. Verarbeitungsverzeichnisse und Datenschutzerklärungen für Kunden stelle ich als Vorlagen bereit; außerdem sichte, prüfe und ergänze ich vorhandene Unterlagen. Bei juristisch relevanten Fragen stelle ich gerne den Kontakt zu einem Anwalt für Datenschutz her. So können Ihnen Kunden ihre Daten mit gutem Gewissen anvertrauen.

 

Vorteile eines externen Datenschutzbeauftragen

 

  • keine Aus- und Fortbildungskosten für Auftraggeber
  • senkt unternehmerisches Risiko
  • Fachmann für IT
  • keine Interessenkonflikte bzw. Überschneidungen mit anderen Tätigkeiten im Unternehmen
  • objektiv und neutral, unabhängig
  • Pflicht zur Verschwiegenheit
  • aus der Region und daher schnell vor Ort
  • steigert das Vertrauen der Kunden in Ihr Unternehmen

 

Kontakt

* Michael Carlitz ist zertifiziert als betrieblicher und externer Datenschutzbeauftragter (IHK)

Damit Ihre IT für die DSGVO gut gerüstet ist

Beratung: Welche Daten sind wie geschützt?

Je größer das Risiko ist, das die Datenverarbeitung personenbezogener Daten für die betroffenen Personen mit sich bringt, desto mehr Vorgaben zum Datenschutz müssen erfüllt werden. Zu den personenbezogenen Daten zählen Name, Alter, Geburtsdatum, Anschrift, Telefonnummer, E-Mail, Bankdaten und Familienstand. Unter besonderem Schutz stehen dabei sensible Daten wie ethnische Herkunft, religiöse und weltanschauliche Überzeugungen oder auch Gesundheitsdaten. Dies gilt gleichermaßen für Daten von Kunden wie von Mitarbeitern. In der Beratung klären wir ab, welche Daten in Ihrem Unternehmen wie verarbeitet werden und welche Schutzmaßnahmen es gibt.

Bestandsaufnahme: Ist Ihre EDV auf dem neuesten Stand? Wo lauern Datenpannen?

Zunächst stelle ich den Ist-Zustand der EDV-Infrastruktur gemäß den Sicherheitsstandards der ISO 27002 und den Empfehlungen des BSI fest, analysiere Geschäftsabläufe, Konzepte und Prozesse. So sehe ich, wie es um die IT-Sicherheit bestellt ist und ob ausreichend sichere Maßnahmen getroffen wurden, um die Datenschutzziele zu erfüllen. Ziele des Datenschutzes sind Pseudonymisierung und Verschlüsselung (wobei diese beiden umgesetzt werden müssen) sowie Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellung, Überprüfung und Dokumentation. Dabei gibt es eine Vielzahl von Fragen zu berücksichtigen, so z. B.: Setzten Sie Cloud-Produkte ein? Wie handhaben Sie die private Internet- und E-Mail-Nutzung, gestatten Sie die private Nutzung von Social Media?

 

Im einzelnen bedeutet dies im Hinblick auf das Erreichen der Ziele:

  • Wie gehen Sie vor, um die die Zuordnung von Daten und Personen zu erschweren? (Pseudonymisierung)
  • Sind personenbezogene Daten z. B. durch kryptographische Verfahren unleserlich gemacht? (Verschlüsselung)
  • Ist der Schutz der Daten vor unbefugter/unrechtmäßiger Verarbeitung bzw. Fremdzugriff gewährleistet? Sprich: Gibt es Zutrittskontrollen wie z. B. Videoüberwachung, Magnet- oder Chipkarten, Zugangskontrollen durch sichere Passwörter oder die Verschlüsselung von Datenträgern sowie Zugriffskontrollen in Form von Berechtigungskonzepten, bedarfsgerechten Zugriffskonzepten, Passwörtern? (Vertraulichkeit)
  • Wie sieht es mit Datensicherung, Virenscanner, Firewall, Software-Updates etc. aus, damit verhindert wird, dass Daten nicht geändert/zerstört werden können? (Integrität)
  • Sind Schutzmaßnahmen – wie Firewall, Virenschutz, Back-up-Systeme, Sicherung der Stromzufuhr – vorhanden, die Ausfälle der zur Datenverarbeitung notwendigen Systeme verhindern? (Verfügbarkeit)
  • Gibt es Schutztechniken, um Angriffe von außen abzuwehren oder bei hohen Zugriffsraten ein stabiles System zu gewährleisten? (Belastbarkeit)
  • Gibt es Back-up-Systeme, Wiederherstellungsverfahren und Notstromversorgung, um Daten bei Systemstörungen oder Ausfall wiederherzustellen? (Wiederherstellung)
  • Überprüfen Sie regelmäßig, ob der Stand der EDV-Technik noch die Zeile des Datenschutzes erfüllt? (Überprüfung)

 

Kontakt

IT-Sicherheitskonzepte: So werden Daten richtig geschützt

Nach der Bestandsaufnahme und Analyse der Geschäftsabläufe gebe ich Ihnen Empfehlungen bzw. arbeite ein Konzept aus, mit welchen technisch-organisatorischen Maßnahmen (TOM) Sie die Ziele zur Sicherung der personenbezogenen Daten umsetzten können. Um Schwachstellen zu beheben, berate ich Sie je nach Anwendungsfall zur Neuanschaffung technischer Lösungen im Bereich der Hard- und Software, wie z. B. Chipkarten-Schließsysteme oder Anti-Viren-Software. Bei der Umsetzung stehen Ihnen die Sicherheitsexperten von regionalen IT-Fachbetrieben zur Seite, die auf Komplettlösungen für Firmen mit weniger als zehn Arbeitsplätzen spezialisiert sind.

Schwerpunkte der TOM sind:

  • die Zutrittkontrolle zu Datenverarbeitungsanlagen, die Zugangskontrolle zu Datenverarbeitungssystemen, die Zugriffrechte auf Datenverarbeitungssysteme;
  • die Weitergabe, damit elektronische Daten bei der Übertragung gesichert sind;
  • die Eingabe von Daten, um zu sehen, wer wann was gemacht hat;
  • die Auftragsverarbeitung, die nur nach der Vorgabe des Auftraggebers erfolgen darf;
  • die Verfügbarkeit der Daten durch Schutz vor Verlust/Zerstörung;
  • das Trennungsgebot, damit Daten für unterschiedliche Zwecke auch getrennt verarbeitet werden.

Kontakt

Kontakt

  • Anschrift: Dechant-Bohnekamp-Straße 18 - 52349 Düren
  • Telefon: 02421 4079257
  • E-Mail: mail@carlitz.de