Datenschutzhandbuch (erneut)

By René Floitgraf

Zu Ostern haben wir Ihnen das neue Datenschutzkonzept bereitgestellt, mit der Bitte sich mit dem Thema zu befassen. Wir haben mittlerweile mitbekommen, dass der eine oder andere Empfänger die Mail als Ostergruß „ignoriert“ hat.

Daher nochmals die Bitte: Im DSMS haben wir Ihnen die Basisausführung des neuen Konzeptes bereitgestellt. Dieses Konzept sollte in Ihrem Unternehmen umgesetzt werden und damit das alte Datenschutzkonzept ersetzen.

Warum?
Datenschutz als Managementthema bedarf der Organisation im Unternehmen. Gleichzeitig ist auch das Thema IT-Sicherheit fest mit dem Datenschutz verbunden.
Daher haben wir das neue Konzept stark an die üblichen Strukturen eines Informationssicherheitssystem angepasst bzw. angelehnt.
Zudem haben wir einige Inhalte konkretisiert und näher an die aktuelle Ansicht der Aufsichtsbehörden herangeführt.

Inhalte:
Das Datenschutzkonzept definiert die Verantwortlichkeiten für den Datenschutz in den Funktionen des Datenschutzteams und gibt den Anwendern im Unternehmen die Möglichkeit sich im Bedarfsfall direkt an die passenden Personen zu wenden. Grundsätzlich kann die Verantwortlichkeit der Unternehmensleitung nicht delegiert werden, jedoch wird das Datenschutzteam durch diese Leitlinie in seiner Arbeit ermächtigt. Zudem haben wir auf Basis unserer bisherigen Beratungspraxis bereits diverse Richtlinien vorbereitet, die den Mitarbeitern verpflichtend auferlegt werden. Diese Richtlinien definieren die Basisanforderungen zum sorgsamen Umgang mit der IT und unterstützen damit die Maßnahmen zum Datenschutz.

Erste Rückfragen zum Konzept:
1) Ist dies ein vollständiges ISMS?
Wir haben versucht uns an der VDS10000 zu orientieren. Die Vorbereitung erfolgte nach bestem Wissen und Gewissen. Es fehlen aber ganz bewußt auch Bestandteile: In einem ISMS werden auch die Prozesse im Unternehmen dokumentiert – dabei geht es um alle Prozesse. Im Datenschutz werden jedoch nur personenbezogene Daten betrachtet, daher wird im Datenschutz nur eine Teilmenge der Prozesse betrachtet. Diese Teilmenge wird im Datenschutz „Verarbeitung“ genannt und im „Verzeichnis der Verarbeitungstätigkeiten“ dokumentiert. Die dort dokumentierten Verarbeitungen unterscheiden sich zudem in der Form der Dokumentation von den Prozessen, wie diese in einem ISMS erfasst werden.

2) Ist der IT-Dienstleister der Informationssicherheitsbeauftragte (ISB)?
Auch wenn diese Vermutung naheliegend ist, grundsätzlich ist diese Frage mit „nein“ zu beantworten. Es ist nicht unmöglich, dass der Dienstleister auch der ISB ist, aber erstmal sind dies unterschiedliche Tätigkeitsfelder. Auch der IT-Leiter oder der interne Administrator ist nicht unbedingt als ISB einzusetzen oder dazu geeignet der ISB zu sein. Während der Administrator in den meisten Fällen versucht die IT stabil – trotzdem ohne zu viel Aufwand – zu betreiben, sieht der ISB nicht den Aufwand, sondern die Sicherheit im Fokus. Während der Administrator beispielsweise dazu geneigt ist eine Firewall so zu konfigurieren, dass die internen Systeme ohne großen Aufwand mit externen Systemen Kontakt aufnehmen können, sieht der ISB die Notwendigkeit für granulare Firewallregeln, damit auch mögliche Datenübertragungen nach außen reglementiert werden können. Es kann also durchaus zu einem Interessenkonflikt führen. Sollten Sie keinen ISB haben, kann das Datenschutzhandbuch um die entsprechenden Stellen gekürzt werden.

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

Datenschutzhandbuch 2019Datenschutz
facebook fanpage – Eine RisikoakzeptanzDatenschutz