Tag: Technische und organisatorische Maßnahmen

Archiv

IT-Sicherheit: Was bedeutet eigentlich „Stand der Technik“?

Wer beruflich in den Bereichen IT-Sicherheit oder Datenschutz unterwegs ist, der kommt nicht an ihm vorbei: Dem sog. „Stand der Technik“. Datenschutzbeauftragten begegnet er meist im Rahmen der technischen und organisatorischen Maßnahmen. Beispielsweise muss eine Datenverschlüsselung dem „Stand der Technik“ entsprechen. Aber was verbirgt sich eigentlich hinter diesem Begriff? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat diese Frage aufgegriffen und eine ausführliche Handreichung als Hilfestellung für Verantwortliche veröffentlicht. Weiterlesen

Hilfe, ein ADV!? – Tipps für Dienstleister

Sei es das Drucken von Visitenkarten, die Gestaltung einer Homepage oder die Konfiguration von Hard- oder Software – Einzelunternehmer und kleine Agenturen verarbeiten häufig personenbezogene Daten im Auftrag. Bekommen sie von ihrem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung (sogenannter „ADV“) vorgelegt, sind gerade kleinere Unternehmen mit dem umfangreichen Vertragswerk und den darin geforderten Angaben verständlicherweise oft überfordert. Dieser Artikel enthält Tipps zum Ausfüllen eines ADV und soll eine Hilfestellung für Dienstleister bieten. Weiterlesen

DSGVO & ISMS: Der PDCA-Zyklus

Ein Managementsystem, egal ob dieses für die Informationssicherheit, Datenschutz oder Qualitätsmanagement eingesetzt wird, erschöpft sich nicht in einem einmaligen Aufbau, sondern ist ein kontinuierlicher Prozess. In diesem Zusammenhang hat sich der Plan-Do-Check-Act Zyklus (PDCA-Zyklus) bewährt. In diesem Artikel erläutern wir, was sich hinter diesem Modell verbirgt. Weiterlesen

Datenschutz-Grundverordnung und Datensicherheit

Im Zuge der Datenschutz-Grundverordnung (DSGVO) wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen überarbeitet. Welche Änderungen bei der „Sicherheit der Verarbeitung“ auf die Unternehmen und Verantwortlichen zukommen, wird in dem folgenden Artikel erklärt, der ein Teil unserer Reihe zur Datenschutz-Grundverordnung ist. Weiterlesen

IT-Sicherheitsgesetz: Was sind kritische Infrastrukturen?

Im Juli vergangenen Jahres wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, besser bekannt unter dem Namen IT-Sicherheitsgesetz verabschiedet. Mit diesem Gesetz wurden den Betreibern kritischer Infrastrukturen unter anderem die Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie die Pflicht zur Meldung von Cyberangriffen auferlegt. Weiterlesen

Software-Customizing datenschutzkonform umsetzen

Bei der Einführung einer neuen Software im Unternehmen, kommt es oft vor, dass eine Standardsoftware noch auf die spezifischen Bedürfnisse des Unternehmens angepasst werden muss. Wichtig ist sowohl bei der Einführung als auch beim Customizing den Datenschutzbeauftragten rechtzeitig ins Boot zu holen, um das Vorhaben von Anfang an datenschutzrechtlich abzusichern. Dieser Artikel erklärt zunächst das Customizing und gibt anschließend eine Orientierungshilfe, was datenschutzrechtlich zu beachten ist. Weiterlesen

Nutzung von Microsoft-Produkten ohne Safe Harbor

Das Urteil des EuGH zur (Un-)Gültigkeit von Safe Harbor schlägt wie erwartet große Wellen. Viele Unternehmen fragen sich nun, ob sie wie gewohnt auf ihre Dienstleister in den USA bauen können oder welche Alternativen ihnen andernfalls bleiben. Unternehmen, die bisher auf renommierte Software-Anbieter wie Salesforce oder Microsoft gesetzt haben, können erstmal durchatmen. Weiterlesen

IT-Sicherheitsgesetz: Zweck, Anforderungen und Sanktionen

Am 25.07.2015 ist das langdiskutierte IT-Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten, welches das IT-Sicherheitsniveau für Deutschland signifikant anheben soll. Weitere Informationen veröffentlicht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Informationsseiten. Nachfolgend geben wir einen kurzen Überblick über den Gesetzeszweck, die inhaltlichen Anforderungen und Folgen von Verstößen. Weiterlesen

WorkMail von AWS und Datenschutz

Künftig bietet Amazon Web Services (AWS) einen an Unternehmen gerichteten cloudbasierten E-Mail-Dienst unter dem Namen „WorkMail“ an, der die üblichen Funktionalitäten eines E-Mail-Programmes sowie eines Dienstes zum Datenaustausch beinhaltet. In Europa wird der Dienst zunächst in Irland angeboten, weitere Länder werden jedoch folgen. Für europäische und dann vor allem deutsche Unternehmen, die eine Nutzung dieses Dienstes in Betracht ziehen, gilt es jedoch, die geltenden Datenschutzanforderungen zu beachten. Weiterlesen

Videoüberwachung und Datenschutz

Die Videoüberwachung am Arbeitsplatz stellt naturgemäß einen erheblichen Eingriff in das Persönlichkeitsrecht der Beschäftigten als Betroffene dar. Dennoch möchten immer mehr Unternehmen die Videoüberwachung zum Schutz des Unternehmens und seiner Sachwerte einsetzen.

Doch gerade bei der Videoüberwachung am Arbeitsplatz gibt es teilweise keine klaren gesetzlichen Vorgaben. Für Unternehmen besteht daher oft Unklarheit, was erlaubt ist und wie man das Verfahren ausgestalten muss. Der nachfolgende Beitrag soll eine erste Orientierung bieten und oft gestellte Fragen beantworten. Weiterlesen

Vertrauen ist gut, (Vorab)Kontrolle ist besser

Äußerst selten lassen sich neue Systeme oder automatisierte Verfahren ad hoc als rechtlich zulässig oder aber unzulässig einordnen. Meist wird dann im Schnelldurchlauf eine Grobprüfung vorgenommen – und am Ende aus dem Bauch heraus entschieden. Leider wissen nur die wenigsten, dass die Durchführung einer solchen Kontrolle bestimmter Verfahren sogar eine gesetzliche Verpflichtung ist… Weiterlesen