Posts mit dem Label Datengeheimnis werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Datengeheimnis werden angezeigt. Alle Posts anzeigen

Samstag, 21. April 2018

Die Verpflichtung auf das Datengeheimnis

Wer in einem Unternehmen mit personenbezogenen Daten umgeht, muss auf das Datengeheimnis verpflichtet sein. So war man es bisher gewohnt. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) und auch das neue Bundesdatenschutzgesetz (BDSG-neu) sehen keine förmliche Verpflichtung mehr vor. Trotzdem werden Unternehmen auch in Zukunft eine Verpflichtung unterzeichnen lassen müssen.


Ende eines gewohnten Rituals?


Es gehört zum gewohnten Ritual: Wer neu in ein Unternehmen eintritt, muss eine „Verpflichtung auf das Datengeheimnis“ unterschreiben. Dazu erhält er ein Info- oder Merkblatt sowie einen Auszug der betreffenden Gesetze. Hintergrund ist eine entsprechende Regelung im bisherigen Bundesdatenschutzgesetz (BDSG-alt). Am 25. Mai 2018 löst die EU-DSGVO ergänzt durch das BDSG-neu das BDSG-alt ab. Beide neuen Datenschutz-Gesetze enthalten aber keine Regelung mehr, wonach Beschäftigte auf das Datengeheimnis zu verpflichten sind. Das hört sich zunächst nach einem willkommenen Abbau von Bürokratie an. Doch so einfach ist es nicht...

EU-DSGVO - Was wird aus der Verpflichtung auf das Datengeheimnis?


Montag, 15. September 2014

Lückenhafter Datenschutz - Die Gefahr lauert im Unternehmen

Um Angriffe auf ihre Daten abzuwehren, investieren Unternehmen viel Geld. Dabei wird aber meist nur die Gefahr von außen berücksichtigt. Doch auch eine wirkungsvolle Firewall bietet keinen Schutz, wenn der Angreifer zum Zugriff autorisiert ist. Jüngste Erhebungen zeigen, dass eine große Gefahr besonders im Unternehmen selbst lauert. Mit einem Beschneiden der Zugriffsrechte sowie restriktiveren Vorgaben beim Passwortschutz ließe sich schon viel gewinnen.


Denn der Datenklau wird in den meisten Fällen nicht durch Hacker von außen, sondern durch Insider verursacht. In vielen Unternehmen wird mit Administrator-Rechten aus Bequemlichkeit zu nachlässig umgegangen. Weil ein kleiner Kreis Privilegierter die Personal- und Prozessplanung zumindest im Bereich der Flexibilität erschweren kann, werden auf Kosten eines schlüssigen Sicherheitskonzepts oft großzügig Zugriffsrechte eingeräumt.

Wie sich bei einer kürzlich durchgeführten Befragung ergab, wird die Nutzung der (Admin-) Rechte in der Regel nicht überwacht. Doch auch wenn eine Kontrolle stattfindet, wird der Sicherheit nicht immer ausreichend gedient: In vielen Fällen lassen sich die genutzten Mechanismen ganz einfach umgehen.

Verhängnisvolle Partnerschaft: Sicherheitskonzept muss kooperierende Firmen einschließen


Ein umfassendes Sicherheits- und Datenschutzkonzept wird umso notwendiger, wenn ein Zugriff von Dienstleistern wie z.B. IT-Systemhäusern auf die eigenen Daten möglich ist. Denn hier kommt zu der grundsätzlichen Problematik, bereits den eigenen Mitarbeitern vertrauen zu müssen, die Schwierigkeit hinzu, auch Dritte an den Prozessen zu beteiligen und Einsicht zu gewähren. Bedenken Sie: Wettbewerber haben immer ein Interesse an Ihren sensiblen Geheimnissen. Nicht umsonst gebietet § 11 BDSG die regelmäßige Kontrolle aller Auftragsdatenverarbeiter. Tipp: Wählen Sie wenn möglich ausschließlich Auftragsdatenverarbeiter aus, die entsprechend geprüft und zertifiziert sind. Wir wissen was zu tun ist und können die §-11-Zertifzierung gerne bei Ihren bestehenden Dienstleistern durchführen. Empfehlen Sie uns weiter!

Nutzer-Monitoring deckt Missbrauch auf


Obwohl dieses Problem von immer mehr Unternehmen erkannt wird, fehlt es häufig an wirksamen Maßnahmen. Dabei sind diese meist recht einfach umsetzbar. Zu den Grundregeln gehört es beispielsweise, dass jeder Mitarbeiter und besonders jeder Admin nur jene Zugriffsrechte bekommen darf, die für seine Arbeit auch tatsächlich benötigt werden. Pauschale Vollzugriffe erhöhen die Gefahr erheblich.

Die Nutzung sogenannter "Shared-Accounts" sollte vermieden werden. Personalisierte Zugriffe ermöglichen es, die Mitarbeiter im Zweifel auch persönlich zur Verantwortung ziehen zu können.
Sollten eventuell Super-User oder Root-Rechte vergeben werden, dann dürfen diese bei einem einzelnen Mitarbeiter nicht alle in der IT genutzten Systeme umfassen, sondern nur jene, für die er auch zuständig ist.

Die Einführung eines Nutzer-Monitorings sollte in jedem Fall erfolgen. Wichtig ist dabei die Möglichkeit des "Privileged Activity Monitoring": Darunter versteht man die Möglichkeit, im Zweifel auch den Inhalt einer Aktion nachverfolgen zu können. Viele einfache Monitoring-Lösungen speichern nur eine Aktion als solches.

Wir beraten - Sie erhalten die staatliche Fördermittel


Welche Maßnahmen konkret sinnvoll sind, können auf IT-Sicherheit & Datenschutz spezialisierte Beratungsdienstleister wie yourIT am besten beurteilen. Die Voraussetzung ist allerdings, dass die betroffenen Firmen die Risiken zunächst erkennen und angemessen bewerten. Denn glaubt man den Auskünften, die die Verantwortlichen in der Studie gegeben haben, ist ein Bewusstsein für die Problematik häufig vorhanden. Einzig die Konsequenzen daraus werden noch viel zu selten gezogen.

yourIT_Sicherheitsaudit_IT-Infrastruktur-sponsored_by_ESF


Unser yourIT-Beratungskonzept ist zertifiziert - dadurch erhält Ihr Unternehmen unter bestimmten Voraussetzungen Fördermittel aus dem Europäischen Sozialfonds (ESF) zur Unterstützung der Beratung.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

Thomas Ströbele


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Freitag, 13. April 2012

Unterliegen Ort und Datum einer Vortrags-Veranstaltung dem Datengeheimnis?

Heute erhielt ich die Einladung von der IHK Reutlingen zum Vortragsnachmittag "Social Media - Was man kann und was man darf" - Rechtliche Grenzen und Hintergründe der Social Networks.

Damit ich nicht so viel schreiben muss, habe ich Euch die Einladung als PDF eingescannt:
 


Lest einfach selbst nach: Während alle personenbezogenen Daten der Vortragenden sowie des Ansprechpartners bei der IHK mitgeteilt werden, fehlen zwei wichtige Punkte für die Veranstaltung:
1. Ort und
2. Datum

In Kreisen der eingeladenen IHK-Mitglieder geht nun anscheinend das Gerücht um, diese Informationen würden dem Datengeheimnis unterliegen und wären daher aufgrund spezieller Datenschutzgesetze nicht mitgeteilt worden. Diesem Gerücht möchte ich hiermit widersprechen und werde es kurz widerlegen.

In jeder halbwegs sinnvollen Datenschutz-Einsteigerschulung wird ganz am Anfang darauf hingewiesen, dass das Bundesdatenschutzgesetz (BDSG) zum Schutz personenbezogener Daten erlassen wurde.

An den Daten Ort und Datum kann ich aber nichts personenbezogenes feststellen. Folglich kann das mit dem Datengeheimnis tatsächlich nur ein Gerücht sein (q.e.d.). Auch die Geheimhaltung begründende Betriebsgeheimnisse und/oder Geschäftsgeheimnisse getraue ich mich im Falle dieser öffentlichen IHK-Veranstaltung definitiv ausschließen.

Nachdem ich von der IHK Reutlingen erfahren habe, dass dort aufgrund der fehlenden Daten bereits Telefonanrufe in dreistelliger Zahl eingegangen sind, möchte ich hier abhilfe schaffen und verrate Ihnen die bisher streng geheimen und gut gehüteten Informationen zum Vortrag: 

Ort: Vortragssaal der IHK Reutlingen
Datum: 26.04.2012

Hatte ich bereits erwähnt, dass ich als Referent den Part für "Social Media & Datenschutz" übernehmen darf? Vielleicht kann ich das nutzen, um weitere Gerüchte und Irrtümer rund um das Thema Datenschutz auszumerzen.

Ich denke, diese Veranstaltung sollte sich keiner entgehen lassen (zur Online-Anmeldung). Das wird sicher witzig.

Ein schönes Wochenende wünscht
Thomas Ströbele