Tag: Technische und organisatorische Maßnahmen

Archiv

Mandantentrennung im Datenschutz

Datenschutz und Datensicherheit gehen oft Hand in Hand. Gerade die technisch-organisatorischen Maßnahmen (TOMs) garantieren oft die datenschutzkonforme Umsetzung einer Verarbeitung von personenbezogenen Daten. Überprüft man die TOMs eines Unternehmens, zum Beispiel im Rahmen einer Vereinbarung zur Auftragsverarbeitung, so ergeben sich häufig Fragen bezüglich der Mandantentrennung. Hier wird erläutert, was sich hinter diesem Begriff verbirgt. Weiterlesen

Datenschutz im Krankenhaus

Durch das Inkrafttreten der DSGVO sind auch Krankenhäuser zunehmend gefordert, Maßnahmen zum Datenschutz umzusetzen. Denn ein Schwerpunkt der Datenverarbeitung in Krankenhäusern betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO – insbesondere Gesundheitsdaten. Nachfolgend finden Sie einen Überblick von Themen, die Krankenhäuser im Zuge der DSGVO zu beachten haben. Weiterlesen

Technische und organisatorische Maßnahmen nach dem ZAWAS-Prinzip

Wer sich mit der DSGVO beschäftigt, muss sich zwangsläufig auch mit den technischen und organisatorischen Maßnahmen (TOM) auseinandersetzen. Um die Auswahl zu erleichtern, hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) einen Leitfaden entwickelt. Deshalb haben wir dies zum Anlass genommen, uns genauer mit dem sogenannten ZAWAS-Prinzip zu beschäftigen. Weiterlesen

Digitalisierung als Chance für die Immobilienbranche

Digitalisierung ist ein aktuelles Thema. In manchen Bereichen sind technische Innovationen in Einzellösungen aber auch als ganzes Unternehmenskonzept kaum noch wegzudenken – anders in der Immobilienbranche. Die Digitalisierung schreitet hier nur in gemäßigtem Tempo voran. Welche Auswirkungen dies wirtschaftlich und datenschutzrechtlich haben kann, soll im Folgenden aufgezeigt werden. Weiterlesen

Freelancer und Zeitarbeiter – Wer ist für den Datenschutz verantwortlich?

Der Einsatz von Zeitarbeitskräften und Freelancern stellt Unternehmen vor einige datenschutzrechtliche Herausforderungen. Wie mit den personenbezogenen Daten dieser „Mitarbeiter“ umzugehen ist, wird im Beitrag des Expertenforums Arbeitsrecht detailliert dargestellt. Neben dieser Thematik stellt sich jedoch stets auch die Frage, wie damit umzugehen ist, dass diese Mitarbeiter ganz zwangsläufig auch mit personenbezogenen Daten der Kunden in Kontakt kommen. Weiterlesen

Mit Schutzklassenkonzepten zur DSGVO-Compliance

Ein zentraler Schritt bei der Einführung der DSGVO ist die Erstellung eines „Verzeichnis aller Verarbeitungstätigkeiten“. In diesem sollen jeder Verarbeitungstätigkeit die entsprechenden technisch-organisatorischen Maßnahmen (TOMs) zugeordnet werden. Um nicht eine Vielzahl von Maßnahmenkatalogen kreieren und zuordnen zu müssen, empfiehlt sich die Einführung eines Schutzklassenkonzeptes. Weiterlesen

Der Risikobegriff in der Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält einen breiten Pflichtenkatalog für den Verantwortlichen, den dieser erfüllen muss, um datenschutzkonform zu handeln. Ein Kriterium, das der Verantwortliche bei der Erfüllung dieser Pflichten berücksichtigen muss, ist das Risiko für die Rechte und Freiheiten der Betroffenen. Dieser Beitrag beschäftigt sich näher mit dem risikobasierten Ansatz in der DSGVO und mit den Anforderungen an den Verantwortlichen. Weiterlesen

IT-Sicherheit: Was bedeutet eigentlich „Stand der Technik“?

Wer beruflich in den Bereichen IT-Sicherheit oder Datenschutz unterwegs ist, der kommt nicht an ihm vorbei: Dem sog. „Stand der Technik“. Datenschutzbeauftragten begegnet er meist im Rahmen der technischen und organisatorischen Maßnahmen. Beispielsweise muss eine Datenverschlüsselung dem „Stand der Technik“ entsprechen. Aber was verbirgt sich eigentlich hinter diesem Begriff? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat diese Frage aufgegriffen und eine ausführliche Handreichung als Hilfestellung für Verantwortliche veröffentlicht. Weiterlesen

Hilfe, ein ADV!? – Tipps für Dienstleister

Sei es das Drucken von Visitenkarten, die Gestaltung einer Homepage oder die Konfiguration von Hard- oder Software – Einzelunternehmer und kleine Agenturen verarbeiten häufig personenbezogene Daten im Auftrag. Bekommen sie von ihrem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung (sogenannter „ADV“) vorgelegt, sind gerade kleinere Unternehmen mit dem umfangreichen Vertragswerk und den darin geforderten Angaben verständlicherweise oft überfordert. Dieser Artikel enthält Tipps zum Ausfüllen eines ADV und soll eine Hilfestellung für Dienstleister bieten. Weiterlesen

DSGVO & ISMS: Der PDCA-Zyklus

Ein Managementsystem, egal ob dieses für die Informationssicherheit, Datenschutz oder Qualitätsmanagement eingesetzt wird, erschöpft sich nicht in einem einmaligen Aufbau, sondern ist ein kontinuierlicher Prozess. In diesem Zusammenhang hat sich der Plan-Do-Check-Act Zyklus (PDCA-Zyklus) bewährt. In diesem Artikel erläutern wir, was sich hinter diesem Modell verbirgt. Weiterlesen

Datenschutz-Grundverordnung und Datensicherheit

Im Zuge der Datenschutz-Grundverordnung (DSGVO) wurden auch die Bestimmungen zur Datensicherheit und damit zu den technischen und organisatorischen Maßnahmen überarbeitet. Welche Änderungen bei der „Sicherheit der Verarbeitung“ auf die Unternehmen und Verantwortlichen zukommen, wird in dem folgenden Artikel erklärt, der ein Teil unserer Reihe zur Datenschutz-Grundverordnung ist. Weiterlesen

IT-Sicherheitsgesetz: Was sind kritische Infrastrukturen?

Im Juli vergangenen Jahres wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, besser bekannt unter dem Namen IT-Sicherheitsgesetz verabschiedet. Mit diesem Gesetz wurden den Betreibern kritischer Infrastrukturen unter anderem die Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie die Pflicht zur Meldung von Cyberangriffen auferlegt. Weiterlesen

Software-Customizing datenschutzkonform umsetzen

Bei der Einführung einer neuen Software im Unternehmen, kommt es oft vor, dass eine Standardsoftware noch auf die spezifischen Bedürfnisse des Unternehmens angepasst werden muss. Wichtig ist sowohl bei der Einführung als auch beim Customizing den Datenschutzbeauftragten rechtzeitig ins Boot zu holen, um das Vorhaben von Anfang an datenschutzrechtlich abzusichern. Dieser Artikel erklärt zunächst das Customizing und gibt anschließend eine Orientierungshilfe, was datenschutzrechtlich zu beachten ist. Weiterlesen

Nutzung von Microsoft-Produkten ohne Safe Harbor

Das Urteil des EuGH zur (Un-)Gültigkeit von Safe Harbor schlägt wie erwartet große Wellen. Viele Unternehmen fragen sich nun, ob sie wie gewohnt auf ihre Dienstleister in den USA bauen können oder welche Alternativen ihnen andernfalls bleiben. Unternehmen, die bisher auf renommierte Software-Anbieter wie Salesforce oder Microsoft gesetzt haben, können erstmal durchatmen. Weiterlesen

IT-Sicherheitsgesetz: Zweck, Anforderungen und Sanktionen

Am 25.07.2015 ist das langdiskutierte IT-Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten, welches das IT-Sicherheitsniveau für Deutschland signifikant anheben soll. Weitere Informationen veröffentlicht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Informationsseiten. Nachfolgend geben wir einen kurzen Überblick über den Gesetzeszweck, die inhaltlichen Anforderungen und Folgen von Verstößen. Weiterlesen